Tese RAMS

UTILIZAO DA METODOLOGIA RAMS
NA ANLISE DE BARREIRAS DE SEGURANA

DE INSTALAES INDUSTRIAIS DE RISCO ELEVADO
Jos Augusto da Silva Sobral

Dissertao apresentada na Faculdade de Engenharia da Universidade do Porto
para obteno do ttulo de Doutor
Orientador: Prof. Doutor Luis Antnio de Andrade Ferreira
PORTO
2010
Existe o risco que voc no pode jamais correr, e existe o risco que voc no pode
deixar de correr
(Peter Drucker)
A parte que ignoramos muito maior que tudo quanto sabemos

(Plato)
minha esposa Ana Luisa e aos meus filhos David

Alexandre e Ana Sofia, minhas grandes fontes de
motivao.
RESUMO
Nas sociedades modernas cada vez mais notria a necessidade de controlar ou gerir o
risco. Esta preocupao encontra-se presente nas mais diversas actividades, abrangendo
reas desde as simples questes pessoais e quotidianas at s mais complexas e
exigentes instalaes industriais.
Em matria de segurana podemos actuar no campo da preveno ou no campo da
proteco. No primeiro caso estamos a diminuir a probabilidade de ocorrncia de um
determinado acontecimento indesejvel, enquanto no segundo os esforos vo no
sentido de diminuir ou mitigar as consequncias desse mesmo acontecimento. Na
realidade, por muita preveno que se possa fazer nunca se consegue evitar por
completo a ocorrncia de determinadas situaes potencialmente perigosas. Desta
forma, surge a necessidade de se instalarem barreiras de segurana para fazer face a
esses acontecimentos.
Embora demonstrada e unanimemente aceite a importncia dos equipamentos ou
sistemas denominados barreiras de segurana, verifica-se no entanto uma quase
inexistncia de estudos ou anlises quanto sua fiabilidade, manutibilidade ou
disponibilidade.
neste sentido que se desenvolveu o presente trabalho, recorrendo aos conceitos e
filosofia da Metodologia RAMS (Reliability, Availability, Maintainability and Safety), tendo
sido proposto efectuar uma nova abordagem que, embora fazendo uso de tcnicas de
anlise j existentes, incorporasse tambm novas ferramentas. Desta forma, criou-se um
modelo susceptvel de ser adaptado a qualquer barreira de segurana, determinando a
sua probabilidade de sucesso sempre que a mesma venha a ser solicitada.
Assim, foi criada e desenvolvida a Metodologia RODS (Reliability Of Dormant Systems),
que permite uma anlise da indisponibilidade de determinados items necessrios na fase
de arranque deste tipo de sistemas, obtendo-se como resultado o conhecimento do risco
potencial para cada caso particular. Caber depois aos tcnicos ou responsveis pela
gesto das instalaes definir um critrio para aceitao do risco e, no caso do mesmo
no ser tolervel, criar os mecanismos que levem sua reduo.
Foi tambm demonstrada a metodologia proposta, tendo como alvo de aplicao uma
barreira
de
segurana
especfica.
Desta
aplicao
prtica
retirou-se
importante
informao qualitativa, assim como valores que permitem poder decidir de uma forma
sustentada sobre potenciais aces no domnio da explorao e manuteno da barreira
de segurana em causa.
Palavras-chave
rvore de Falhas, Barreira de Segurana, Disponibilidade, Dormant, Fiabilidade,
Manutibilidade, RAMS, Risco, Segurana
ii
ABSTRACT
In our modern societies theres a necessity to control and manage risk. This concern is
present in a huge diversity of activities, since our daily and personnel actions to complex
and intricate industrial facilities.
In safety we can act in two fields, prevention and protection. The first is related to the
attempt to decrease the probability of occurrence of an undesirable event while in the
later the efforts are directed for trying to decrease or mitigate the consequences of such
event. Reality shows that whatever the amount of prevention we cannot avoid at all the
occurrence of situations considered potentially dangerous. So, its then justified the
installation of safety barriers just to face these events.
Although demonstrated and unanimous accepted the importance of these safety barriers,
the truth shows few studies or analysis concerning its reliability, maintainability and
availability.
The present work was developed in this scope, regarding all aspects and philosophy of
RAMS Analysis (Reliability, Availability, Maintainability and Safety). The proposal was to
create a new approach using well known techniques and incorporating new tools. So, it
was built a model that could be used for any safety barrier, just to determine its success
probability each time a demand occurs.
The RODS Methodology (Reliability Of Dormant Systems) was created and developed,
allowing to know the unavailability of specific items that are necessary in the start-up
phase of these kind of systems. The result of such methodology is the acquisition of the
potential risk for each particular case. Then, industrial technicians and managers must
define a risk acceptance criterion and, when not tolerable, create the mechanisms
necessary to its reduction.
The RODS Methodology is demonstrated for a specific safety barrier. From this
application some qualitative results came up as well as unavailability values allowing to
iii
decide in a sustainable mode about possible actions in the operation and maintenance of
a safety barrier.
Keywords
Availability, Dormant, Fault Trees, Maintainability, RAMS, Reliability, Risk, Safety, Safety
Barriers
iv
RSUM
Dans les socits modernes il est de plus en plus vident quon besoin de contrler ou de
grer les risques. Cette proccupation est prsente dans une varit d'activits couvrant
des domaines de ntre vie quotidienne la plus complexe et xigeant des installations
industrielles.
Dans ce qui concerne la scurit il est possible dagir dans la prvention ou dans le
domaine de la protection. Dans le premier cas, nous rduisons la probabilit d'un
vnement indsirable particulier, tandis que le second testament efforts pour rduire ou
attnuer les consquences de cet vnement. En fait, pour toute la prvention quil est
possible faire on ne peut pas viter totalement l'apparition de certaines situations
potentiellement dangereuses. Ainsi nat le besoin d'installer barrires de scurit pour
faire face ces vnements.
Bien quil a t montr et accepte l'unanimit l'importance des quipements ou
systmes connus par barrires de scurit, il n'y a pas beaucoup d'tudes ou des
analyses quant sa fiabilit, la maintenabilit et de disponibilit.
C'est ce sens que nous avons labor le prsent ouvrage, en utilisant les concepts et la
philosophie de la mthodologie RAMS (Reliability, Availability, Maintainability and Safety)
a t propos de procder une nouvelle approche qui, tout en utilisant des techniques
dj existantes, intgre galement de nouveaux outils. Ainsi, il a t construit un modle
qui peut tre adapt n'importe quelle barrire de scurit, dterminer ses chances de
succs lorsque la mme sera demande.
Ainsi, a t cr et dvelopp la mthodologie RODS (Reliability Of Dormant Systems),
qui permet une analyse de l'indisponibilit de certains composants requis pour les startups de tels quipements, et ensuite l'obtention de la connaissance du risque potentiel
dans chaque cas particulier. Il appartient ensuite la gestion des locaux de dfinir un
critre pour l'acceptation du risque et, sil ne peut pas tre tolr, de crer les
mcanismes qui conduisent sa rduction.
La mthodologie qui a t developp au cours de ce travail a t applique dans le cas

dune barrire de scurit. Cette application pratique permis dobtenir de l'information
qualitative importante, ainsi que des valeurs qui aident dcider sur une base soutenue
sur les actions possibles dans le fonctionnnement et le maintien de la barrire de scurit
concerns.
Mots Cl
Arbre de Fautes, Barrire de Scurit, disponibilit, dormant, fiabilit, maintenabilit,
RAMS, Risque, Scurit
vi
AGRADECIMENTOS
Os meus agradecimentos vo para todos que acreditaram em mim, e de uma forma ou
de outra me ajudaram a completar esta etapa da minha vida.
- Em primeiro lugar gostava de agradecer ao Prof. Doutor Luis Andrade Ferreira, pela sua
orientao. As suas opinies pertinentes, conhecimento e experincia permitiram a
realizao do presente trabalho. Ao longo dos ltimos anos tive o privilgio de com ele
poder partilhar a realizao de vrios trabalhos acadmicos e participar em conferncias
nacionais e internacionais. O meu sincero e eterno agradecimento.
- Gostava tambm de agradecer aos meus colegas do Departamento de Engenharia
Mecnica do ISEL (Instituto Superior de Engenharia de Lisboa), e em especial aos
colegas da Seco de Engenharia Industrial e Manuteno, pelo incentivo e coragem que
me deram ao longo deste trabalho.
- Aos meus amigos Luis Saleiro e Joo Ruivo, pelo estmulo e amizade demonstrada
desde sempre.
- O meu agradecimento s Bombas Grundfos Portugal, nomeadamente ao seu
administrador Doutor Jos Costa e ao Eng. Paulo Conceio por me facultarem alguns
elementos referentes aos equipamentos estudados.
- O meu agradecimento Relex Software Corporation, e em especial a Horst Kuntscher
(Alemanha), Cindy Lutz e Jake Moody (Estados Unidos da Amrica) pela cedncia do
programa informtico utilizado na aplicao prtica da presente dissertao, e sem o qual
no teria sido possvel alcanar os resultados apresentados.
- Finalmente, mas no menos importante, minha esposa Ana Luisa e aos meus filhos
David Alexandre e Ana Sofia, que ao longo dos ltimos anos me perguntavam porque
estava sempre a trabalhar no computador. Agora j lhes posso dizer que em grande
parte foi por isto!
vii
viii
NDICE
RESUMO................................................................................................................ i
ABSTRACT ............................................................................................................iii
RSUM ............................................................................................................... v
AGRADECIMENTOS ............................................................................................... vii
NDICE.................................................................................................................ix
LISTA DE SMBOLOS.............................................................................................xv
LISTA DE ACRNIMOS ........................................................................................ xvii
LISTA DE FIGURAS ............................................................................................ xxiii
LISTA DE TABELAS ............................................................................................xxvii
CAPTULO I........................................................................................................... 1
INTRODUO........................................................................................................ 1
1.1 Enquadramento .................................................................................. 1

1.2 Motivao e Objectivos ........................................................................ 2
1.3 Contribuies da Tese .......................................................................... 2
1.4 Estrutura da Tese................................................................................ 3
CAPTULO II ......................................................................................................... 7
CONCEITO RAMS ................................................................................................ 7
2.1 Introduo ......................................................................................... 7

2.2 Importncia da Fiabilidade e Manutibilidade na Disponibilidade e Segurana
operacional .............................................................................................. 10
2.3 Conceito de Fiabilidade ...................................................................... 11
2.3.1 Fiabilidade e Qualidade ................................................................ 17
2.3.2 Bens reparveis e bens no reparveis ........................................... 20
2.3.3 Fiabilidade Humana ..................................................................... 24
ix
2.3.4 Avarias devido a causa comum ......................................................26

2.3.5 Modelos de fiabilidade ..................................................................29
2.3.6 Estimativas da Fiabilidade .............................................................30
2.3.7 Conceitos relacionados com a fiabilidade .........................................35
2.3.7.1 Funo densidade de probabilidade de falha,
fiabilidade e
probabilidade acumulada de falha ..........................................................35

2.3.7.2 Funo de Risco. Taxa de avarias .............................................37
2.3.7.3 Tempo mdio de vida .............................................................39
2.3.7.4 Fiabilidade condicional ............................................................40
2.3.8 Fiabilidade de Componentes ..........................................................41
2.3.9 Fiabilidade de Sistemas ................................................................44
2.3.10 Metodologias e ferramentas de apoio anlise fiabilistica ................45
2.3.10.1 RBD (Reliability Block Diagram) .............................................45
2.3.10.2 ETA (Event Tree Analysis) .....................................................46
2.3.10.3 PN (Petri Nets) ....................................................................48
2.3.10.4 FTA (Fault Tree Analysis) ......................................................49
2.3.11 Necessidade de evoluir das rvores de Falhas Estticas para as rvores
de Falhas Dinmicas ...............................................................................57
2.4 Conceito de Manutibilidade..................................................................65
2.5 Conceito de Disponibilidade.................................................................70
2.5.1 Disponibilidade instantnea ...........................................................72
2.5.2 Disponibilidade mdia...................................................................72
2.5.3 Disponibilidade operacional ...........................................................75
2.6 Conceito de Segurana .......................................................................75
2.7 Concluses do Captulo.......................................................................79
CAPTULO III .......................................................................................................81
RISCO.................................................................................................................81
3.1 Introduo ....................................................................................... 81

3.2 Risco ............................................................................................... 82
3.2.1 Anlises de Risco......................................................................... 83
3.2.2 Gesto do Risco .......................................................................... 91
3.2.3 Tratamento das Incertezas ........................................................... 92
3.2.4 Metodologias genricas de anlise de risco...................................... 94
3.3 Barreiras de Segurana ...................................................................... 99
3.3.1 - Classificao das funes das barreiras de segurana...................... 102
3.3.2 - Classificao dos sistemas de segurana ....................................... 105
3.3.3 - Desempenho das barreiras de segurana ...................................... 107
3.4 Risco de Incndio ............................................................................ 113
3.4.1 Factores a considerar no risco de incndio .................................... 115
3.4.2 Objectivos das barreiras de segurana contra incndios .................. 118
3.5 Concluses do Captulo .................................................................... 120
CAPTULO IV......................................................................................................123
ANLISE DE BENS NO ESTADO DORMANT...........................................................123
4.1 Introduo ..................................................................................... 123

4.2 Dormant State................................................................................ 127
4.3 As barreiras de segurana e o estado Dormant ................................. 131
4.4 Metodologias de anlise ................................................................... 133
4.5 Anlise da indisponibilidade .............................................................. 136
4.5.1 Falhas ocultas........................................................................... 137
4.5.2 Exemplo de aplicao................................................................. 148
4.6 Probabilidade de ocorrncia de uma situao crtica ............................. 150
CAPTULO V .......................................................................................................153
METODOLOGIA PROPOSTA ..................................................................................153
xi
5.1 Introduo...................................................................................... 153

5.2 Metodologia RODS ........................................................................... 155
5.2.1 - Descrio detalhada da primeira fase da Metodologia RODS ............. 157
5.2.1.1 Definio da barreira de segurana......................................... 157
5.2.1.2 - Identificao dos componentes de suporte (ou de arranque)....... 158
5.2.1.3 - Identificao dos componentes de suporte monitorizados e no
monitorizados ................................................................................... 158
5.2.1.4 Identificao das potenciais falhas dos componentes de suporte . 159
5.2.1.5 Estruturao do modelo ........................................................ 160
5.2.1.6 Anlise qualitativa da rvore de Falhas ................................... 161
5.2.1.7 Anlise quantitativa da rvore de Falhas ................................. 162
5.2.1.8 Outras informaes relevantes na anlise da rvore de Falhas ... 164
5.3 Concluses do Captulo..................................................................... 166
CAPTULO VI...................................................................................................... 169
APLICAO DA METODOLOGIA ............................................................................ 169
6.1 Introduo...................................................................................... 169

6.2 Sistemas de Bombagem ................................................................... 170
6.2.1 Perspectiva histrica .................................................................. 170
6.2.2 A necessidade de sistemas de bombagem ..................................... 173
6.2.3 Caractersticas das bombas usadas em sistemas de bombagem de gua
contra incndios ................................................................................... 174
6.2.4 Tipos de bombas ....................................................................... 175
6.2.4.1 Bombas centrfugas.............................................................. 176
6.2.4.2 Ensaios .............................................................................. 177
6.2.4.3 Meios de accionamento......................................................... 179
6.2.4.4 Funcionamento das bombas .................................................. 181
6.3 Caso de estudo prtico ..................................................................... 185
xii
6.3.1 Definio da barreira de segurana, funo e constituio ............... 185

6.3.2 Identificao dos potenciais acontecimentos de falha dos componentes
de suporte .......................................................................................... 189
6.3.3 Construo da rvore de Falhas .................................................. 191
6.3.4 Anlise qualitativa da rvore de Falhas......................................... 194
6.3.5 Anlise quantitativa da rvore de Falhas....................................... 195
6.3.6 Outros dados importantes .......................................................... 199
6.3.7 Critrio de aceitao do risco ...................................................... 201
6.3.8 Simulao para cenrios alternativos ........................................... 202
CAPTULO VII.....................................................................................................209
CONCLUSES E TRABALHOS FUTUROS .................................................................209
7.1 Concluses da Tese ......................................................................... 209

7.2 Trabalhos futuros ............................................................................ 212
REFERNCIAS ....................................................................................................215
ANEXO I ............................................................................................................227
REFERNCIAS (Anexo I) ......................................................................................238
ANEXO II...........................................................................................................239
ANEXO III..........................................................................................................243
REFERNCIAS (Anexo III)....................................................................................253
ANEXO IV ..........................................................................................................255
REFERNCIAS (Anexo IV) ....................................................................................263
ANEXO V ...........................................................................................................265
ANEXO VI ..........................................................................................................279
xiii
xiv
LISTA DE SMBOLOS
R(t)
Funo fiabilidade
F(t)
Funo probabilidade acumulada de falha
M(t)
Funo manutibilidade
A(t)
Funo disponibilidade
(t)
Funo de risco ou funo taxa de avarias
Varivel tempo
f(t)
Funo densidade de probabilidade de falha
(t)
Durao da misso
Coeficiente de correlao
Parmetro de forma da distribuio Gama
(k)
Funo Gama
Parmetro de escala da distribuio Gama
Parmetro de posio ou vida inicial da distribuio de Weibull
Parmetro de forma da distribuio de Weibull
Parmetro de escala ou vida caracterstica da distribuio de Weibull
Mdia / Taxa de reparao
Desvio padro
Varivel padronizada da distribuio Normal para =0 e =1
Mdia da distribuio Lognormal
Desvio padro da distribuio Lognormal
Nmero de ensaios na distribuio Binomial
Nmero de insucessos na distribuio Binomial
Probabilidade de insucesso na distribuio Binomial
Probabilidade de sucesso na distribuio Binomial
Nf(t)
Nmero mdio de avarias
N0
Dimenso inicial da amostra
H0
Hiptese nula do Teste de Laplace
H1
Hiptese alternativa do Teste de Laplace
Nvel de significncia (Teste de Laplace) / Factor de adormecimento
g(t)
Funo densidade de probabilidade de reposio em servio
Parmetro de forma da funo densidade de probabilidade de reposio
xv
Q(t)
Indisponibilidade
Intervalo de tempo entre inspeces, testes ou ensaios
Tempo mdio de reparao
DU
Taxa de avarias para avarias perigosas no detectadas
DD
Taxa de avarias para avarias perigosas detectadas
2v
Taxa de avarias do componente 2 em vazio
2c
Taxa de avarias do componente 2 em carga
DCa
Taxa de avarias do detector-comutador na actuao
DCd
Taxa de avarias do detector-comutador quando em deteco
Taxa de solicitao do processo ou intensidade do acontecimento acidental
xvi
LISTA DE ACRNIMOS
-AAFNOR
Association Franaise de Normalisation
AGAN
As Good As New
ALARP
As Low As Reasonably Practicable
ALT
Accelerated Life Test
AMSAA
Army Material Systems Analysis Activity
ARAMIS
Accidental Risk Assessment Methodology for Industries in the Context

of the Seveso II Directive
ASEP
Accident Sequence Evaluation Program
BBN
Bayesian Belief Network
BDD
Binary Decision Diagram
BN
Bayesian Network
CBFTA
Condition-Based Fault Tree Analysis
CCF
Common Cause Failures
CEA
Comit Europen des Assurances
Cepreven
Centro Nacional de Prevencin de Daos y Prdidas
CREAM
Cognitive Reliability and Error Analysis
CSP
Cold Spare
DFT
Dynamic Fault Tree
DFTA
Dynamic Fault Tree Analysis
-B-
-C
-D-
xvii
-EEEI
Edison Electrical Institute
EN
European Norm
EPDM
Ethylene Propylene Diene Monomer (M-class)
ESD
Emergency Shutdown Systems
ET
Estatstica de Teste
ETA
Event Tree Analysis
FDEP
Functional Dependency
FDT
Fractional Dead Time
FM
Factory Mutual
FMEA
Failure Modes and Effect Analysis
FPSF
Failure Probability-Safety Factor
FT
Fault Tree
FTA
Fault Tree Analysis
FTS
Fault Tolerant System
GA
Genetic Algorithms
GAMAB
Globalment Au Moins Aussi Bon
GTC
Gesto Tcnica Centralizada
HALT
High Accelerated Life Test
HAZID
Hazard Identification
HAZOP
Hazard and Operability
HEART
Human Error Assessment and Reduction Technique
HPP
Homogeneous Poisson Process
HRA
Human Reliability Analysis
HSP
Hot Spare
-F-
-G-
-H-
xviii
-IIEC
International Electrotechnical Comittee
ISO
International Organization for Standardization
KTT
Kinetic Tree Theory
LC
Confidence Level
LOPA
Layer Of Protection Analysis
MC
Markov Chain
MCS
Minimal Cut Set
MDT
Mean Down-Time
MEM
Minimum Endogenous Mortality
MICSUP
Minimal Cut Set Upwards
MIL-HDBK
Military Handbook
MIL-STD
Military Standard
MLE
Maximum Likelihood Estimator
MOCUS
Method of Obtaining Cut Sets
MPS
Minimal Path Set
MPPS
Maintenance Personnel Performance Simulation
MTBF
Mean Time Between Failures
MTTF
Mean Time To Failure
MTTFF
Mean Time To First Failure
MTTR
Mean Time To Repair
MUT
Mean Up-Time
NFPA
National Fire Protection Association
-J
-K-
-L-
-M-
-N-
xix
NHPP
Non Homogeneous Poisson Process
NP EN
Norma Portuguesa European Norm
NS
Norsok Standard
NSWC
Naval Surface Warfare Center
OREDA
Offshore Reliability Data
OT
Ordem de Trabalho
P&I
Piping and Instrumentation Diagram
PAND
Priority AND
PFOD
Probability of Failure On Demand
PHA
Preliminary Hazard Analysis
PN
Petri Nets (Redes de Petri)
PRA
Probabilistic Risk Assessment
PSA
Probabilistic Safety Assessment
QRA
Quantitative Risk Assessment
QRS
Quadro Repetidor de Sinais
RAC
Rome Air Development Center
RAM
Reliability, Availability and Maintainability
RAMS
Reliability, Availability, Maintainability and Safety
RAMS+C
Reliability, Availability, Maintainability, Safety and Costs
RBD
Reliability Block Diagram
RCA
Root Cause Analysis
RIA
Rede de Incndios Armada
ROCOF
Rate of Ocurrence of Failures
RODS
Reliability Of Dormant Systems
-O-
-P-
-Q-
-R-
xx
RRR
Rapid Risk Ranking
SADI
Sistema Automtico de Deteco de Incndios
SEQ
Sequential Enforcing
SFF
Safe Failure Function
SFL
Sequential Failure Logic
SIL
Safety Integrity Level
SIS
Safety Instrumented System
TESEO
Technique for Empirical Simulation of Errors in Operations
THERP
Technique for Human Error Rate Prediction
TTF
Time To Failure
TTR
Time To Repair
UL
Underwriters Laboratories
VP
Valor de Prova
WSP
Warm Spare
ZBDD
Zero-Supressed Binary Decision Diagrams
-S-
-T-
-U-
-V-
-W-
-X
-Y
-Z-
xxi
xxii
LISTA DE FIGURAS
Figura 2.1 Representao em V do ciclo de vida dos sistemas ................................ 9
Figura 2.2 Curva da banheira tpica..................................................................... 21
Figura 2.3 Padres de representao da taxa de avarias ........................................ 23
Figura 2.4 Metodologia para ensaios de fiabilidade ................................................ 32
Figura 2.5 Aplicaes tpicas de ensaios ............................................................... 33
Figura 2.6 Representao grfica de uma funo densidade de probabilidade de falha36
Figura 2.7 Influncia de alguns factores na taxa de avarias.................................... 39
Figura 2.8 Representao grfica das vrias funes de fiabilidade.......................... 40
Figura 2.9 Exemplo de uma Rede de Petri ............................................................ 49
Figura 2.10 Exemplo de uma rvore de Falhas ..................................................... 51
Figura 2.11 rvore de Falhas e Diagrama de Deciso Binrio.................................. 60
Figura 2.12 Abordagem modular do software Galileo .......................................... 62
Figura 2.13 Porta lgica FDEP............................................................................. 64
Figura 2.14 Porta lgica CSP .............................................................................. 64
Figura 2.15 Porta lgica PAND ............................................................................ 65
Figura 2.16 Porta lgica SEQ .............................................................................. 65
Figura 2.17 Tipos mais comuns da funo densidade de probabilidade de reposio .. 69
Figura 2.18 Relao entre Disponibilidade, Manutibilidade e Fiabilidade ................... 71
Figura 2.19 Exemplo de uma Anlise de rvore de Acontecimentos ......................... 77
Figura 3.1 Metodologia de Anlise de Risco quantitativa......................................... 86
Figura 3.2 Categorias de acidentes...................................................................... 89
Figura 3.3 Exemplo de uma matriz de classificao do risco ................................... 90
Figura 3.4 Princpio de aceitao ALARP ............................................................... 91
Figura 3.5 Tcnicas mais usadas para anlise da segurana ................................... 98
xxiii
Figura 3.6 Funes das barreiras de segurana.................................................... 101

Figura 3.7 Modelo tipo lao ............................................................................... 103
Figura 3.8 Barreiras de segurana tipo prevenir ou controlar ................................. 104
Figura 3.9 Conceito LOPA.................................................................................. 112
Figura 3.10 Modelo genrico de Risco de Incndio ............................................... 116
Figura 4.1 Possibilidade de estados de um bem ................................................... 125
Figura 4.2 Exemplo dos diferentes estados de um bem......................................... 125
Figura 4.3 Metodologia de Anlise a Sistemas tipo Dormant ............................... 135
Figura 4.4 Disponibilidade instantnea de um componente sujeito a testes e
manuteno ................................................................................................ 138
Figura 4.5 Varivel indicadora do estado de um componente................................. 139
Figura 4.6 Comportamento no tempo de um bem sujeito a manuteno, teste ou
ensaio peridicos ......................................................................................... 144
Figura 5.1 Influncia da gesto das barreiras de segurana no risco de incndio...... 154
Figura 5.2 Metodologia RODS (Reliability Of Dormant Systems)............................. 156
Figura 6.1 Bomba bipartida ............................................................................... 176
Figura 6.2 Bomba centrfuga horizontal .............................................................. 177
Figura 6.3 Curvas caractersticas segundo NFPA 20 e Cepreven ............................. 178
Figura 6.4 Central de Bombagem Contra Incndios (verso A) .............................. 180
Figura 6.5 Central de Bombagem Contra Incndios (verso B) .............................. 180
Figura 6.6 Central de Bombagem de gua Contra Incndios.................................. 182
Figura 6.7 Esquema simplificado do subsistema de aspirao ................................ 188
Figura 6.8 Esquema simplificado do subsistema de compresso............................. 188
Figura 6.9 Sub-rvore de Falhas Dinmica #1 ..................................................... 193
Figura 6.10 Sub-rvore de Falhas Dinmica #2 ................................................... 193
Figura 6.11 Menu de entrada de dados ............................................................... 196
Figura 6.12 Cenrios alternativos....................................................................... 203
Figura 6.13 Indisponibilidade vs Cenrios ........................................................... 205
xxiv
Figura A1.1 Funo densidade de probabilidade para a Distribuio de Weibull triparamtrica ................................................................................................228
Figura A1.2 Funo densidade de probabilidade para a distribuio Normal .............231
Figura A1.3 Funo densidade de probabilidade para a distribuio Lognormal ........232
Figura A1.4 Exemplo grfico do Teste de Laplace .................................................236
Figura A4.1 Sistema com arranjo lgico tipo Srie ...............................................255
Figura A4.2 Sistema com arranjo lgico tipo Paralelo Activo ..................................256
Figura A4.3 Sistema com arranjo lgico tipo Paralelo Restrito (k/n)........................257
Figura A4.4 Sistema paralelo tipo standby ..........................................................259
Figura A4.5 Sistema com arranjo lgico misto .....................................................260
Figura A4.6 Sistema srie de paralelos ...............................................................261
Figura A4.7 Sistema paralelo de sries ...............................................................261
Figura A4.8 Sistema Complexo ..........................................................................262
xxv
xxvi
LISTA DE TABELAS
Tabela 2.1 Simbologia lgica e nomenclatura mais usada em Anlises de rvore de
Falhas ......................................................................................................... 53
Tabela 2.2 Portas lgicas de negao usadas em Anlises de rvore de Falhas ......... 59
Tabela 2.3 Portas lgicas dinmicas .................................................................... 63
Tabela 3.1 Dados de entrada.............................................................................. 96
Tabela 3.2 Dados de sada ................................................................................. 97
Tabela 3.3 Requisitos para as barreiras de segurana...........................................108
Tabela 3.4 Nveis de Integridade de Segurana (IEC:61511) .................................109
Tabela 4.1 - Valores tpicos em percentagem de tempo de calendrio para equipamentos
no estado de no-operao ...........................................................................131
Tabela 6.1 Causas de falha em sistemas de bombagem ........................................173
Tabela 6.2 Caractersticas nominais das bombas..................................................186
Tabela 6.3 Identificao dos Acontecimentos Bsicos ...........................................190
Tabela 6.4 Acontecimentos Intermdios da rvore de Falhas.................................192
Tabela 6.5 Parmetros de entrada para o clculo da indisponibilidade ....................197
Tabela 6.6 Indisponibilidade mdia associada aos acontecimentos intermdios ........198
Tabela 6.7 Indisponibilidade mdia associada aos acontecimentos bsicos ..............199
Tabela 6.8 Medida de importncia Fussell-Vesely .................................................200
Tabela 6.9 Cenrios alternativos ........................................................................202
Tabela 6.10 Indisponibilidades para Cenrios alternativos .....................................204
xxvii
xxviii
Captulo I Introduo
CAPTULO I
INTRODUO
1.1 Enquadramento
Desde o incio da histria que a Humanidade tem sempre tentado prever o futuro com
base em determinadas observaes. Alguns dos mtodos usados passavam por observar
o voo das aves, o movimento das folhas das rvores ou a cor do cu, tentando da inferir
ou prognosticar acontecimentos futuros.
Hoje em dia, a Engenharia j no necessita de tais mtodos nem de bolas de cristal para
prever o futuro dos seus bens. Atravs da anlise de dados de vida reais, ensaios
laboratoriais ou tcnicas de simulao, os profissionais de fiabilidade conseguem
determinar a probabilidade de componentes, unidades, sistemas e equipamentos
poderem realizar as suas funes durante determinadas misses, e sob condies
especficas, sem que ocorram avarias nos mesmos.
Um bom diagnstico, estimativa ou previso de avarias pode levar tomada das
melhores decises no mbito da gesto dos bens, tendo significativo impacto ao nvel da
segurana, dos custos e, por vezes, at no ambiente.
Em instalaes industriais de risco elevado, a gesto destes bens e o conhecimento do
risco subjacente em cada situao particular, tem vindo a ocupar lugar de destaque nas
preocupaes dos responsveis pelas instalaes. Trata-se de um assunto de primeira
ordem
sempre
que
estejam
em
causa
vidas
humanas
ou
perdas
econmicas
significativas.
Utilizao da Metodologia RAMS na Anlise de Barreiras de Segurana de Instalaes

Industriais de Risco Elevado
Captulo I Introduo
1.2 Motivao e Objectivos

A motivao para a realizao do presente trabalho resulta da relao desenvolvida ao
longo de quase duas dcadas com uma actividade profissional na rea da segurana
contra incndios, e da actividade de docncia no ensino superior na rea da Manuteno
e Fiabilidade de componentes e sistemas.
Esta conjuno de experincias, por um lado de ordem prtica, na tentativa de perceber
o porqu da avaria dos equipamentos e interpretao das suas consequncias, e por
outro lado com a aquisio de conhecimento terico sobre modelos e metodologias de
anlise existentes, levou a que se tentasse efectuar uma ponte entre estas duas
vertentes, no sentido de estabelecer uma abordagem ou metodologia que fosse
suficientemente prtica e ao mesmo tempo cientificamente slida para o tratamento e
anlise de equipamentos reais, designados por barreiras de segurana.
Assim, o objectivo principal deste trabalho apresentar uma metodologia de anlise para
os bens denominados barreiras de segurana, descrevendo um mtodo de clculo que
permita determinar a disponibilidade deste tipo de sistemas, tendo em conta as suas
especificidades.
1.3 Contribuies da Tese

Relativamente ao tema so apresentadas algumas abordagens existentes, descrito o
estado da arte em diversas matrias, proposta uma metodologia de anlise e efectuada
uma aplicao prtica dessa metodologia, especificamente destinada a barreiras de
segurana normalmente presentes na maioria das instalaes industriais de risco
elevado.
Pretende-se acima de tudo desenvolver algo que ultrapasse o conceito meramente
terico e matemtico, apresentando um modelo com aplicabilidade, potenciando alguma
inovao e a passagem de novas abordagens cientficas para a prtica do campo
industrial.
Com este trabalho pretendeu-se tambm colmatar alguma lacuna existente a nvel da
investigao e desenvolvimento, nomeadamente sobre determinados equipamentos, que

Captulo I Introduo
pela sua condio e caractersticas funcionais no tm sido alvo de muitas anlises no

campo da fiabilidade, manutibilidade e disponibilidade.
Em termos cientficos foram introduzidos conceitos relativamente recentes, como as
portas lgicas dinmicas, portas essas que se encontram inseridas na Anlise de rvore
de Falhas Dinmica (DFTA), sendo utilizadas para mostrar algumas dependncias e
sequncias funcionais de componentes instalados num determinado sistema.
A
grande
contribuio do presente trabalho refere-se
apresentao de uma
metodologia para anlise de barreiras de segurana, no existente na bibliografia

consultada, resultando numa nova abordagem ao problema. Este contributo revela-se de
extrema
importncia,
uma
vez
que
proporciona
um
melhor
conhecimento
do
comportamento deste tipo de bens, ajudando os responsveis pela sua manuteno e

explorao na tomada de decises.
Nesta metodologia faz-se a distino entre duas fases particulares de actuao destes
equipamentos, nomeadamente uma primeira relacionada com a disponibilidade dos
componentes de suporte (ou arranque) e uma segunda fase relativa fiabilidade dos
componentes activos durante um determinado perodo de tempo ou misso. Neste
trabalho em particular d-se nfase primeira fase, considerada fundamental no
funcionamento de qualquer barreira de segurana.
Com o trabalho desenvolvido espera-se ter clarificado alguns assuntos, cujo contedo faz
parte de algumas das unidades curriculares ministradas no ensino superior universitrio e
politcnico nas reas da Engenharia Mecnica, ter construdo uma ferramenta de suporte
aos tcnicos da indstria preocupados com a segurana e disponibilidade dos seus bens e
dado um pequeno contributo para a comunidade cientfica que se interessa por reas to
aliciantes como a Manuteno e a Fiabilidade, onde o desenvolvimento de metodologias
pode propiciar novos campos de estudo cientfico.
1.4 Estrutura da Tese

A tese encontra-se estruturada em sete captulos, existindo uma interligao entre os
mesmos atravs de uma lgica de sustentabilidade terica dos conceitos. Houve tambm
a necessidade de apresentar alguns anexos que complementam o corpo do documento.

Captulo I Introduo
No presente captulo fez-se um enquadramento do tema, apresentou-se uma panormica

sobre o assunto tratado, a motivao para a realizao do trabalho e os objectivos
propostos para o mesmo. Tambm se apontam alguns contributos que se espera terem
sido introduzidos na rea da fiabilidade, manuteno e segurana com a elaborao do
presente estudo.
O Captulo II serve para descrever o conceito RAMS (Reliability, Availability,
Maintainability and Safety), a sua importncia ao longo de todo o ciclo de vida de
sistemas ou equipamentos e as suas implicaes no risco. Relativamente a este conceito,
so apresentadas as caractersticas principais sobre cada um dos elementos que o
constituem, nomeadamente a Fiabilidade, Manutibilidade, Disponibilidade e Segurana.
Na descrio das metodologias existentes para anlise da fiabilidade de sistemas d-se
particular ateno Anlise de rvore de Falhas e necessidade de evoluo das rvores
de Falhas estticas para as rvores de Falhas dinmicas. A focalizao nesta tcnica
justifica-se, uma vez que a mesma faz parte da metodologia proposta em captulos
subsequentes.
O Captulo III tem a ver especificamente com o risco. Define-se o risco e metodologias
de avaliao do mesmo, comparando o risco potencial com o considerado risco aceitvel.
Faz-se referncia a critrios de aceitao como o ALARP, GAMAB ou MEM, apresentandose a denominada matriz de risco. introduzida a noo de barreira de segurana, sua
classificao e avaliao. Referem-se conceitos como o Nvel de Integridade de
Segurana (SIL = Safety Integrity Level), Sistemas Instrumentados de Segurana (SIS =
Safety Instrumented Systems), Probabilidade de Falha quando Solicitado (PFOD =
Probability of Failure On Demand) ou Anlise de Camadas de Proteco (LOPA = Layer Of
Protection Analysis). Neste captulo ainda abordado um tipo particular de risco,
nomeadamente o risco de incndio. Mostra-se a importncia da temtica da segurana
contra incndios, que tem vindo ao longo dos anos a suscitar um interesse crescente, no
sentido de se encontrarem formas para controlar ou mitigar este tipo de acontecimento.
Faz-se a diferenciao entre preveno e proteco, enunciando os factores que
contribuem para a existncia de risco de incndio, apontando as medidas de proteco
como forma de minimizar a gravidade das suas consequncias, onde as barreiras de
segurana assumem papel fundamental. Apresentam-se algumas metodologias ou
abordagens sobre o assunto, quer quanto probabilidade de ocorrncia, quer quanto s
suas eventuais consequncias.

Captulo I Introduo
No Captulo IV, descrevem-se as particularidades inerentes aos bens que se encontram

no estado dormant, como o caso das barreiras de segurana. Clarificam-se as
diferenas entre o que se entende por um bem em armazm (storage), um bem em
standby e um bem no estado dormant. Analisam-se as designadas falhas ocultas,
normalmente presentes nas barreiras de segurana, e mostra-se como importante a
disponibilidade deste tipo de sistemas sempre que so solicitados, assim como a sua
fiabilidade durante a restante misso. dada especial ateno fase de arranque das
barreiras de segurana que se encontram no estado dormant, e importncia da
periodicidade das inspeces, testes ou ensaios, tendo este ltimo aspecto um impacto
significativo na probabilidade de falha do sistema quando solicitado (PFOD).
O Captulo V serve para apresentar uma metodologia para anlise de barreiras de
segurana no estado dormant, designada Metodologia RODS (Reliability Of Dormant
Systems). Esta metodologia permite determinar a fiabilidade deste tipo de bens, com
especial realce na fase de arranque, obtendo-se assim um indicador do maior ou menor
sucesso desses sistemas quando so necessrios. Atravs da construo de uma rvore
de Falhas e identificao dos acontecimentos bsicos relativos aos componentes de
suporte e suas interligaes funcionais, possvel efectuar inicialmente uma anlise
qualitativa, sendo posteriormente realizada uma anlise quantitativa e uma anlise de
sensibilidade.
No Captulo VI demonstra-se a metodologia proposta no captulo anterior, atravs de
um exemplo prtico. descrito o sistema em estudo e realizada uma Anlise de rvore
de Falhas (FTA), verificando a exequibilidade da primeira fase da metodologia RODS para
este caso especfico. efectuada uma anlise qualitativa, com a respectiva determinao
dos conjuntos de corte mnimos, seguida de uma anlise quantitativa, onde se
determinam
os
valores
de
indisponibilidade
para
os
acontecimentos
bsicos,
acontecimentos intermdios e principalmente para o acontecimento de topo. Tambm se

reveste de carcter de grande importncia a anlise de sensibilidade realizada, uma vez
que permite detectar o contributo de cada situao para a ocorrncia do acontecimento
de topo. Neste captulo tambm so simulados vrios cenrios, permitindo aos
responsveis pela gesto do risco tomar as melhores decises, tendo em conta o critrio
de aceitao estipulado.
Finalmente, no Captulo VII, so apresentadas concluses e apontadas algumas
perspectivas de trabalhos futuros, com base no trabalho desenvolvido.

Captulo I Introduo

Captulo II Conceito RAMS
CAPTULO II
CONCEITO RAMS
2.1 Introduo
O mundo est a passar por mudanas de tecnologia cada vez mais rpidas. Este rpido
desenvolvimento, aliado ao crescente aumento da produo e globalizao dos
mercados, tem como consequncia o aumento da competitividade escala mundial,
acarretando tambm um aumento dos padres de consumo e segurana.
O referido aumento da concorrncia empresarial e a globalizao da economia fazem com
que as empresas tenham passado a integrar outros objectivos alm dos meramente
econmicos, visando a maximizao do lucro. Estes passam por objectivos de natureza
mais estratgica e vitais para a sua sobrevivncia, como necessidades sociais, aspectos
de segurana e de conforto dos colaboradores, ter mais preocupao com as questes
ambientais, aumentar a qualidade dos produtos, construir relaes mais fortes com os
fornecedores e distribuidores, cuidar da imagem e prestigio da organizao, cumprir a
legislao, dar uma resposta rpida s necessidades do mercado, etc...
Assim, as empresas tero que encontrar meios para produzir ao custo mais econmico, o
que na maior parte das vezes passa por uma gesto eficaz dos seus activos, evitando as
suas falhas ou resolvendo-as o mais rpido possvel. Para que este objectivo seja
alcanado so realizados novos estudos ou utilizadas metodologias de anlise j testadas
e comprovadas. Nesta vertente, quer nos estejamos a referir a simples componentes ou
a
sistemas
complexos,
quer
sejam
bens
reparveis
ou
bens
descartveis,
ou
independentemente da fase do seu ciclo de vida sobre a qual incidem, os estudos

referentes Fiabilidade, Disponibilidade e Manutibilidade dos bens transmitem a

preocupao
por
parte
da
engenharia
em
optimizar
determinados
processos
estabelecer novas abordagens. Desta forma, muitas metodologias e ferramentas tm

surgido e obtido xito ao longo dos ltimos anos, ajudando quem se interessa por estas
reas na tomada de decises.
Desde ento, e devido afinidade entre as trs reas citadas, tm sido realizados nas
ltimas dcadas diversos estudos e simpsios internacionais sobre a temtica RAM
(Reliability, Availability and Maintainability).
Mais recentemente, com a introduo de um quarto conceito, designado por Segurana
operacional ou de funcionamento, estes temas foram de certa forma agrupados num
acrnimo denominado RAMS (Reliability, Availability, Maintainability and Safety). O
RAMS uma caracterstica de explorao de um sistema e alcanado atravs da
aplicao de conceitos de engenharia, mtodos, ferramentas e tcnicas estabelecidas ao
longo de todo o ciclo de vida do sistema ou equipamento, implicando consequncias
sobre o risco. O acrnimo RAMS uma combinao de fiabilidade, disponibilidade,
manutibilidade e segurana de funcionamento de um sistema, e das suas interaces.
Pode ser assim caracterizado como sendo um indicador qualitativo e quantitativo do grau
de fiabilidade em que o sistema, ou os subsistemas e componentes que integram o
sistema, possam funcionar como requerido, estando ao mesmo tempo disponvel e sendo
seguro (NP EN 50126, 2000) (Sobral, 2003).
Desta forma, as actividades de Manuteno tornaram-se uma rea vital no alcanar de
muitos dos objectivos enunciados, assistindo-se cada vez mais preocupao das
empresas em integrar no processo de aquisio de um dado equipamento, logo na fase
de elaborao do seu Caderno de Encargos, um conjunto de especificaes para alm das
meramente tcnicas, estabelecendo limites (mnimos) considerados aceitveis para a
Fiabilidade, Disponibilidade, Manutibilidade e Segurana.
De acordo com a NP EN 50126 (2000), Os objectivos de segurana e de disponibilidade
de um sistema em funcionamento s podem ser alcanados se estiverem satisfeitos
todos os requisitos de fiabilidade e de manutibilidade e se as actividades de manuteno
e de explorao forem controladas ao longo do ciclo de vida do sistema, assim como o
meio ambiente em que se insere. Assim, o RAMS um mtodo ou abordagem que
integra as caractersticas de fiabilidade, manutibilidade, disponibilidade e segurana de
um bem, ou seja, uma metodologia que visa a reduo dos custos e ao mesmo tempo
a diminuio dos riscos.

O ciclo de vida dos sistemas, com as suas fases individuais e as suas interligaes, pode
ser representado em forma de esquema. A Figura 2.1 uma das vrias representaes
do ciclo de vida (NP EN 50126, 2000).
Figura 2.1 Representao em V do ciclo de vida dos sistemas

[Fonte: NP EN 50126 (2000)]
A ramificao do topo para a base (no lado esquerdo) designa-se por desenvolvimento,
finalizando com o fabrico dos componentes do sistema. A ramificao da base para o
topo (no lado direito) refere-se montagem, instalao, recepo e explorao de todo o
sistema. A representao em V pressupe que as actividades de aceitao esto
intrinsecamente ligadas s actividades de desenvolvimento, pois tudo que foi projectado
deve ser verificado face aos requisitos iniciais.
Mais recentemente, as anlises RAMS tm sido aplicadas em diversos campos, como no
desenvolvimento, teste e avaliao operacionais de sistemas de defesa militar (Jackson
et al, 2005), na integrao com anlises de risco nos processos de manuteno, com
vista diminuio da frequncia de avarias, das suas consequncias e custos de
manuteno (Eti et al, 2007), utilizando igualmente ferramentas relativamente recentes
para a sua prpria modelao, como o exemplo de redes neuronais artificiais (Rajpal et

al, 2006) e algoritmos genticos (Martorell et al, 2007) (Marseguerra et al, 2006)
(Martorell et al, 2005), ou inclusivamente usando as anlises RAMS para modelar o
desempenho de sistemas considerados crticos (Sharma & Kumar, 2008), ou sistemas
tolerantes falha (Wang et al, 2007). Coulibaly et al (2008) descrevem uma metodologia
para determinar os indicadores RAMS numa fase inicial de projecto de produtos
mecnicos, servindo-se deles para tirar vantagens competitivas. Outro estudo (TorresEcheverra et al, 2009) mostra como tambm nesta fase do ciclo de vida se pode
optimizar um sistema instrumentado de segurana (SIS=Safety Instrumented System),
baseado numa anlise RAMS+C (C=Costs), nomeadamente para cumprir determinados
requisitos normativos.
Alguns dos estudos dirigem-se fundamentalmente rea da manuteno, com o
objectivo de reduo de custos e/ou riscos (Baptista & Dias, 2007). Algumas variantes ao
RAMS foram desenvolvidas, como por exemplo num estudo onde o significado do
acrnimo
RAM
foi
modificado,
correspondendo
Reliability,
Availability
and
Maintenance (Herder et al, 2008).
2.2 Importncia da Fiabilidade e Manutibilidade na Disponibilidade e

Segurana operacional
Tendo em conta todo o ciclo de vida de um bem, e tendo como objectivo a tomada das
melhores decises em qualquer uma das suas fases, recorre-se a diversos processos,
quer na fase de seleco desse bem, atravs da anlise da rentabilidade do investimento,
quer na fase de explorao, seleccionando as melhores polticas de manuteno e
introduo de melhorias, ou at mesmo na fase de desactivao, atravs da anlise do
melhor momento para se proceder substituio ou abate do equipamento.
Estas decises fundamentam-se em conceitos bsicos de fiabilidade e manutibilidade,
assentando na maioria dos casos em princpios de racionalidade econmica. No que
respeita fiabilidade, analisa-se e estima-se a frequncia com que o bem ir avariar,
resultado de algumas caractersticas intrnsecas (projecto e fabrico) e de algumas
caractersticas extrnsecas (condies de carga, condies ambientais), enquanto no
campo da manutibilidade se pondera a aptido do bem para ser sujeito a manuteno,
como por exemplo a facilidade de acesso, a ergonomia ou a segurana.
10

Todas as caractersticas anteriormente enunciadas vo, de uma forma ou outra,

influenciar a percentagem de tempo em que o bem se encontra efectivamente em
condies para cumprir a sua funo ou a probabilidade do mesmo se encontrar em
condies operacionais num momento futuro, ou seja, a sua disponibilidade operacional.
Desta forma, ter-se- em conta o tempo mdio de bom funcionamento entre
intervenes de manuteno (MUT = Mean Up-Time) e o tempo mdio de interveno
para restabelecer as condies de bom funcionamento (MDT = Mean Down-Time),
incluindo os tempos relativos a procedimentos administrativos e logsticos. Caso no se
considerem estes ltimos, a caracterstica analisada designar-se- por disponibilidade
intrnseca. Em qualquer dos casos, a combinao de nveis elevados de fiabilidade e de
manutibilidade tem como resultado altos ndices de disponibilidade do bem.
Por outro lado, quando os modos de falha presentes num determinado bem podem
conduzir ocorrncia de potenciais acidentes, pondo em causa a integridade fsica de
quem se encontre na sua prximidade, ou eventualmente causando danos graves no
ambiente (perda de fludo ou emisso de gases), tambm a fiabilidade e a manutibilidade
sero aspectos fundamentais a ter em conta, estimando-se a probabilidade de falha do
bem e a facilidade e consequente rapidez com que se essa falha anulada, relacionandose desta forma estes dois factores tambm com o conceito de segurana.
Para compreender com mais profundidade cada um dos temas inerentes ao conceito
RAMS, os prximos pargrafos visam detalhar cada um dos elementos que o constituem,
servindo tambm como base terica para o trabalho realizado no presente documento.
2.3 Conceito de Fiabilidade

Prever o futuro sempre foi uma das tentativas do homem, a maior parte das vezes
fazendo-o atravs da observao de determinados acontecimentos e comportamentos e
da tentando adivinhar o que poderia acontecer. Naturalmente estas tentativas de
previso apresentam hoje uma incerteza muito menor da que se verificava no passado,
graas evoluo dos mtodos e ferramentas actuais ao dispor dos tcnicos para tratar
a informao referente aos dados recolhidos.
Os mtodos de anlise de fiabilidade (e risco) desenvolveram-se fortemente ao longo dos
ltimos anos, tendo-se comeado a efectuar este tipo de estudos durante a Segunda

11
Guerra Mundial, abordando questes relacionadas com o desempenho de componentes e

sistemas durante as misses areas (Estados Unidos) ou com a probabilidade de falha do
sistema de msseis (Alemanha), passando posteriormente por outras reas como a
espacial ou as instalaes nucleares e generalizando-se, por fim, a outros tipos de
indstria. Uma descrio completa da histria, desenvolvimento e objectivos da
engenharia da fiabilidade (desde 1941 at 1986) pode ser analisada na obra publicada
por Kececioglu (2002).
Questes como: Durante quanto tempo o equipamento capaz de funcionar sem
falhar? ou Qual o momento adequado para fazer a substituio de
determinado componente, antes que o mesmo falhe? so perguntas que o estudo
da fiabilidade tenta responder, utilizando para isso ferramentas matemticas, designadas
por modelos estatsticos.
A informao referente vida de componentes, rgos, subsistemas ou sistemas tem a
ver com a durao ou perodo de tempo de operao bem sucedida, ou o tempo
decorrido at se verificar determinada avaria.
Neste momento interessa desde j ressalvar dois aspectos importantes que podem
ajudar na clarificao de alguns conceitos que so descritos ao longo do texto do
presente trabalho, nomeadamente:
A noo de tempo, que pode ter vrias interpretaes e vrios tipos de unidades
de medida, podendo ser expresso em horas, ciclos, quilmetros, nmero de
actuaes, etc., havendo a necessidade de definir e clarificar bem estas unidades
de medida em qualquer estudo que se efectue. Qualquer informao desta
natureza poder ser tratada em termos de anlise e previso de comportamento
como uma anlise de dados de vida de um determinado bem;
A diferena entre falha e avaria, que muitas vezes referida indistintamente,

mas que, de acordo com a NP EN 13306 (2007), dever ser utilizada de forma
adequada. Deste modo, ao longo do trabalho os dois termos sero usados tendo
em considerao as suas definies, nomeadamente:
Avaria Cessao da aptido de um bem para cumprir uma funo requerida.
Depois da avaria o bem poder estar em falha, total ou parcial. Avaria um
acontecimento. Em falha ou avariado um estado.
12

Em falha Estado de um bem inapto para cumprir uma funo requerida,

excluindo a inaptido devida manuteno preventiva ou outras aces
programadas, ou devida falta de recursos externos.
Assim, ao longo do texto quando se estiver a referir a inaptido de um bem para o
cumprimento de uma dada funo, ser utilizado o termo avaria ou os termos em
falha ou avariado, conforme a referncia corresponda a um acontecimento ou um
estado, respectivamente.
Nem todas as anlises aos dados de vida so de idntico grau de dificuldade. Repare-se,
por exemplo, a difcil tarefa de prever para um determinado indivduo quando ocorrer a
sua morte ou o surgimento de uma doena grave, apesar de estatisticamente poder
haver anlises que apontam idades mdias de vida ou probabilidades de ocorrncia de
determinada doena consoante a idade desse mesmo indivduo.
A par da necessidade de clarificao das unidades de medida de vida tambm
necessrio definir o que constitui uma avaria para estas unidades. O que pode primeira
vista ser uma constatao bvia, quando no tratada de forma rigorosa poder invalidar
os resultados de anlises e testes, muitas vezes traduzidos por custos elevados.
De uma forma geral, a fiabilidade pode ser definida como uma cincia que fornece as
ferramentas terico-prticas, onde a probabilidade e capacidade de componentes,
sistemas ou equipamentos para satisfazer as funes requeridas durante determinados
perodos de tempo sem avaria, em ambientes especficos, e dentro de certos intervalos
de confiana, podem ser especificadas, projectadas, previstas, testadas e demonstradas.
Pode-se complementar a definio de fiabilidade com recurso vasta literatura existente.
De acordo com a recente norma portuguesa sobre terminologia da manuteno, a NP EN
13306 (2007), fiabilidade a Aptido de um bem para cumprir uma funo
requerida sob determinadas condies, durante um dado intervalo de tempo,
onde O termo fiabilidade tambm utilizado como uma medida de desempenho
da fiabilidade e poder tambm ser definido como uma probabilidade.
De acordo com outras fontes, a fiabilidade tambm referida como uma medida da
probabilidade de sucesso no desempenho de um sistema durante um perodo de
tempo (Andrews & Moss, 2002) ou a capacidade de um item realizar uma funo

13
requerida, sob determinadas condies ambientais e operacionais durante um

dado perodo de tempo (Rausand & Hoyland, 2004).
Na norma francesa AFNOR X 06-501, citada por Monchy (1996), a definio de fiabilidade
dada como A caracterstica de um dispositivo expressa pela probabilidade que
esse dispositivo cumpra uma funo requerida nas condies de utilizao e por
um perodo de tempo determinado.
Em
todas
estas
definies
sobressaem
alguns
elementos
(ou
palavras-chave)
significativos, e que so comuns em praticamente toda a bibliografia consultada,

nomeadamente:
Probabilidade;
Funo;
Condies;
Tempo.
Estes elementos so de grande importncia para os estudos de fiabilidade, da se

dispensar nas prximas linhas alguma ateno aos mesmos de forma isolada.
Probabilidade A fiabilidade uma probabilidade. essa probabilidade que caracteriza
a diferena entre equipamentos da mesma natureza. A probabilidade permite-nos saber
o quanto a aptido de um bem para funcionar sem falha durante um certo tempo,
indicando tambm a existncia de um grau de incerteza associado a esse clculo, que
devido em grande parte variabilidade existente em qualquer ramo da Engenharia. A
probabilidade uma quantificao subjectiva da incerteza para suportar uma deciso.
Funo Antes do incio de qualquer estudo de fiabilidade deve-se definir bem aquilo
que se chama desempenhar uma funo e indicar de que funo se trata. O nvel em
que essa funo desempenhada pode ser definido pelo tipo de acontecimento ou
estado. Podem-se distinguir os seguintes tipos de avaria:
De acordo com o grau de influncia na capacidade de trabalho (em falha total ou

parcial);
Atravs do carcter fsico de aparecimento da avaria (catastrfica = avaria

repentina e completa ou paramtrica = gradual);
14
Se independente (primria) ou dependente (secundria) de outras avarias;
Quanto ao tempo de existncia em falha (estvel, temporria ou intermitente).

Condies outro aspecto que tambm deve ser cuidadosamente definido. O tipo de
aplicao, condies ambientais e outros factores diferenciadores em que o equipamento
vai operar podem ter um impacto nos valores de fiabilidade a determinar. Neste contexto
importa especificar bem qual o tipo de fiabilidade que est a ser avaliado; se a
fiabilidade intrnseca (em bancos de teste, com condies bem controladas) ou se a
fiabilidade operacional (nas condies reais de uso).
Tempo H que distinguir se estamos a falar de bens que devem funcionar um certo
tempo, de bens que funcionam intermitentemente ou uma nica vez (durao de uma
misso, nmero de ciclos, quilometragem, etc.) ou se so bens em cuja utilizao no se
observa a interveno do tempo (explosivos).
A fiabilidade, semelhana da manutibilidade (em bens reparveis), cobre todos as fases
da vida de um produto, desde a sua concepo, projecto e produo, assim como
durante o tempo de vida em que explorado e mantido. O conceito de manutibilidade,
ligado maior ou menor facilidade com que as aces de manuteno sobre os bens so
realizadas, ser melhor definido num prximo pargrafo (ver 2.4).
Mas como se pode inserir a fiabilidade na poltica de uma empresa?
Normalmente a fiabilidade baseia-se nos resultados de ensaios em fbrica ou no
desempenho em campo, servindo estas fontes para medir e melhorar de forma apurada
a fiabilidade dos bens.
No entanto, a concorrncia e a evoluo do mercado conduzem a uma constante reduo
de custos, o que poder afectar a realizao de testes ou ensaios e fazer com que se
utilizem componentes mais baratos, normalmente com uma inerente menor fiabilidade
(embora no necessriamente).
Regra geral, verifica-se que a utilizao de componentes mais baratos ou o recurso a
pequenas amostragens podem significar poupanas a curto prazo, mas normalmente
resultam em custos superiores a longo prazo, que normalmente se traduzem em
indemnizaes ao abrigo de garantias ou perda de confiana por parte dos clientes.
Deve assim haver um equilbrio entre a fiabilidade, satisfao do cliente, vendas e
caractersticas do produto. Podem-se apontar algumas razes que justificam o estudo da
fiabilidade, tais como:

15
Produo de componentes com um nvel de fiabilidade ptimo, o que se traduz

por mnimos valores do custo do ciclo de vida para o utilizador e ao mesmo tempo
minimizando os custos para o fabricante sem comprometer a fiabilidade e
qualidade do produto;
Produo de componentes para uma vida expectvel, baixando a probabilidade de

ocorrncia de avaria antes do tempo de misso, mas sem que se produza algo
que perdurar muito mais tempo do que o necessrio;
Evitar avarias catastrficas. Veja-se o exemplo da indstria aeronutica e

aeroespacial onde o estudo da fiabilidade de extrema importncia e tem reflexos
na segurana deste tipo de transporte;
Reflectir as promessas ou requisitos que os produtos devem possuir no que

respeita a valores anunciados. Um cliente no satisfeito poder ter consequncias
desastrosas
(dependendo
da
importncia
desse
cliente
relativamente
ao
fornecedor). Por curiosidade, pode-se referir alguns dados estatsticos que

mostram que um cliente satisfeito pode indicar um produto a 8 pessoas enquanto
um cliente insatisfeito contar em mdia a 22 pessoas a sua insatisfao
(Pallerosi, 2006);
Aplicaes crticas, onde a fiabilidade factor chave.
A implementao de um programa de fiabilidade apresenta algumas vantagens que

podem ser descritas nos seguintes pontos:
Tempo de burn-in1 ptimo;
Perodo de garantia ptimo e estimativa dos seus custos, reduo de custos de

garantia ou aumento do prazo de garantia para o mesmo custo;
Tempo
ptimo
de
substituio
preventiva
de
componentes
em
sistemas
reparveis;
Requisitos de sobressalentes;
Burn-in refere-se a uma tcnica utilizada por alguns fabricantes, onde os componentes ou sistemas so
sujeitos ou colocados a funcionar sob determinadas condies mais severas do que as normais de funcionamento,
a fim de verificar possveis defeitos ou fraquezas dos mesmos, garantindo assim que aquando da sua entrada em
funcionamento este tipo de falhas no se verifique. Pode-se inserir numa poltica de qualidade, verificando-se a
sua aplicabilidade fundamentalmente em componentes elctricos e electrnicos. Esta tcnica ter mais valor se
for suportada por modelos que permitam fazer uma extrapolao das condies de ensaio para as condies reais
de funcionamento.
16

Melhor informao acerca dos tipos de avarias (que podem ajudar a fase de
projecto) e os esforos necessrios em investigao e desenvolvimento para
minimizar essas avarias;
Estabelecimento dos tempos para a avaria esperados e preparao para a

ocorrncia das mesmas;
Estudos dos efeitos da idade, durao da misso e aplicao de nveis de carga na

fiabilidade;
Comparao de dois ou mais projectos do ponto de vista da fiabilidade;
Avaliao de redundncias (projecto) e estimativas do seu nmero para se

alcanar determinada fiabilidade;
Guia para tomada de decises de aces correctivas para minimizar as avarias,

reduzir
os
tempos
de
manuteno
reparao
evitar
sub
ou
sobredimensionamentos;
Guia de ajuda para estabelecer as boas prticas de inspeco da qualidade;
Optimizao do objectivo de fiabilidade no projecto de produtos para reduzir

custos;
Capacidade de conduo de estudos de manutibilidade, disponibilidade, custos,

operacionalidade, etc;
Capacidade de avaliar fornecedores do ponto de vista da fiabilidade;
Promoo das vendas com base em ndices de fiabilidade dos produtos;
Aumentar a satisfao do cliente, com o consequente aumento das vendas;
Promoo da imagem e reputao da empresa.
Se houver um deficiente sistema de informao sobre avarias, o fabricante nunca ir

saber realmente o grau de satisfao dos seus produtos em funcionamento. Na
eventualidade dos mesmos se encontrarem a operar satisfatoriamente tambm se pode
ter a situao inversa, ou seja, ter custos de projecto e fabrico desnecessrios face
fiabilidade requerida, reduzindo os lucros. Devido ao crescente aumento da complexidade
dos equipamentos e adio de novos componentes, os produtos com fiabilidades
actualmente aceitveis necessitam de ser monitorizados para se analisar a evoluo
desta caracterstica.
2.3.1 Fiabilidade e Qualidade

Muitas vezes os termos qualidade e fiabilidade so aplicados como se fossem
semelhantes. No entanto, existe uma diferena fundamental entre estes dois conceitos

17
pois, enquanto a fiabilidade se refere ao desempenho de um bem durante a sua vida

inteira, o controlo de qualidade est relacionado com o desempenho desse bem num
determinado
tempo
particular
especfico,
sendo
este
momento
normalmente
estabelecido durante um processo de fabrico.

Tal como referido na prpria definio, a fiabilidade prev a probabilidade dos
componentes, sistemas e equipamentos funcionarem sem avarias durante determinados
perodos de tempo ao longo da sua vida, desde a concepo at ao abate ou
desmantelamento.
O controlo de qualidade situa-se num momento concreto, embora tambm importante,
assegurando a conformidade com as especificaes ou certificando que os produtos so
testados e inspeccionados correctamente.
De facto, existem algumas diferenas entre o controlo de qualidade tradicional e a
fiabilidade, nomeadamente:
A fiabilidade pode ter por objectivo analisar a taxa de avarias durante um longo
perodo de durao (tempo, ciclos, quilmetros, etc), enquanto o controlo de
qualidade focaliza a percentagem de bens analisados que se encontra fora de
especificao (ou com defeito), num determinado instante do processo de fabrico,
montagem ou teste;
A fiabilidade actua em qualquer instante da vida do bem, desde a sua concepo

at fase de abate ou desmantelamento, enquanto o controlo de qualidade actua
fundamentalmente durante a fase de fabrico;
A fiabilidade visa aplicar conceitos e metodologias de forma a obter sucesso no

que diz respeito sobrevivncia dos bens, enquanto o controlo de qualidade tem
o objectivo de converter de forma correcta desenhos e especificaes em
produtos;
A fiabilidade deve garantir um bom produto, de acordo com a sua utilizao,

enquanto o controlo de qualidade parte do pressuposto que no existe degradao
durante as fases de fabrico, montagem e teste;
O controlo de qualidade assume uma uniformidade dos bens produzidos, dentro

das especificaes (com custos de anlise aceitveis para os consumidores).
Para Ferreira (1998), chamamos qualidade dum produto sua conformidade com uma
especificao sada de fbrica (t=0) e fiabilidade sua capacidade de mant-la durante
a sua vida de funcionamento.
18

Neste sentido, poder-se- tambm afirmar que a fiabilidade a extenso da qualidade ao

longo do tempo. Nesta perspectiva, e de acordo com Pallerosi (2006), o controlo de
qualidade pode ser caracterizado em quatro tipos:
Qualidade dimensional (materiais, dimenses, pesos, etc);
Qualidade operacional (funcionalidade, durabilidade, possibilidade de reparao,

condies de praticabilidade, custos operacionais e obsolescncia);
Qualidade temporal (fiabilidade, manutibilidade e disponibilidade);
Qualidade comercial (preo de venda, condies de pagamento, assistncia

tcnica, imagem do produto, prazo de entrega, armazenamento, transporte e
comercializao).
O tipo de qualidade que caracteriza a vida do bem, no apenas no instante inicial da sua
entrada em servio, a qualidade temporal, uma vez que trata tipos de acontecimentos
como avarias, reparaes e utilizao efectiva. A qualidade temporal refere-se a
determinados atributos mensurveis como a probabilidade de sobrevivncia (ou
fiabilidade) (R), ou a sua complementar probabilidade de falha (F), probabilidade de
reparao ou recolocao em servio (ou manutibilidade) (M) e probabilidade de uso
efectivo (ou disponibilidade) (A).
Todos estes factores so influenciados por acontecimentos indesejveis, como por
exemplo:
Avarias
significativas
na
fase
inicial
da
vida
operacional
(muitas
vezes
denominadas avarias infantis);
Exagerados tempos de paragem para reparao;
Aumento dos custos de manuteno;
Necessidade de redundncias;
Operao ou segurana comprometidas;
Etc.
Devem-se ter sempre em ateno alguns aspectos importantes relacionados com este
tipo de anlises, tais como: ter a noo que qualquer probabilidade se relaciona sempre
com um determinado nvel de confiana, definir correctamente o objecto em anlise
(seus sistemas e componentes), o que se entende por bom funcionamento, quais as
condies operacionais (ambientais, de utilizao e de manuteno), assim como o
perodo de tempo estudado.

19
2.3.2 Bens reparveis e bens no reparveis

Quando se fala de anlises de fiabilidade, um tema bastante importante e que convem
definir partida a noo de bem reparvel e de bem no reparvel. Um bem diz-se
reparvel se aps a sua avaria possvel repor as condies que permitem continuar a
cumprir a sua funo, tal como inicialmente especificado. Para isso, procede-se sua
reparao (substituio de componentes, ajustamento, lubrificao, aperto, etc.). Um
bem diz-se no reparvel, ou descartvel, se aps a avaria se procede sua substituio
por um outro bem idntico (novo).
Em traos gerais, se um bem descartvel (como por exemplo uma lmpada ou um
transstor), ao determinar a sua fiabilidade teremos que ter em conta que apenas uma
avaria pode ocorrer. Valores de vida como a vida mdia ou o tempo mdio at avaria
(MTTF) so caractersticas que podem ser usadas para este tipo de bens. Quando um
componente avaria num sistema no reparvel (com componentes em srie), o prprio
sistema normalmente fica em falha e a sua fiabilidade uma funo no tempo da
primeira avaria do componente (OConnor, 1999). Quando nos referimos a bens no
reparveis, a probabilidade instantnea da sua primeira e nica avaria denomina-se
funo de risco (hazard function). A expresso taxa de avarias s se deve aplicar a
bens reparveis, uma vez que s num sistema reparvel os componentes iro contribuir
para a taxa de avarias do sistema (OConnor, 1999).
Quando se trata de bens reparveis, o tempo necessrio sua reparao e recolocao
em servio muito importante, condicionando a disponibilidade dos equipamentos em
maior ou menor grau. Neste caso, considera-se o tempo mdio entre avarias (MTBF) dos
bens, assim como o seu tempo mdio de reparao (MTTR), sendo estes alguns dos
parmetros importantes no estudo da sua disponibilidade.
Os trabalhos de reparao e recolocao em servio podem ser executados no prprio
local onde o equipamento se encontra, ou, em determinadas situaes, ser necessrio
remover o bem avariado e proceder sua reparao em oficina. Nos casos em que esta
segunda condio se verifica, se procedermos substituio do bem avariado por um
outro idntico (que se encontrava em armazm), realizando-se em paralelo a reparao
do primeiro, o bem designa-se por rotvel.
20

Normalmente, quando se referem bens reparveis estamo-nos a referir a sistemas,

enquanto os componentes so regra geral definidos como bens no reparveis2.
Curiosamente alguns bens podem ser considerados como reparveis ou no reparveis,
como o exemplo de um mssil que pode ser um sistema reparvel enquanto se
encontra armazenado (sujeito a testes peridicos) mas quando lanado se torna um
sistema no reparvel.
Para este tipo de sistema, as anlises de fiabilidade tm que ser efectuados
distintamente para cada um dos estados. Outras consideraes, como o custo, tambm
podem definir se um bem considerado reparvel ou no reparvel, como por exemplo
uma placa electrnica de televiso, onde ser ou no ser reparvel poder depender do
seu custo de reparao (OConnor, 1999).
A maior parte dos bens possui caractersticas de vida que podem ser ilustradas
graficamente. Um exemplo dessas representaes a sobejamente conhecida curva da
banheira. A Figura 2.2 corresponde a uma curva tpica da variao da taxa de avarias
(avarias por unidade de tempo) no tempo (horas, ciclos, quilmetros, etc.), para bens
reparveis, onde se podem distinguir trs fases distintas. A durao de cada fase, assim
como o seu comportamento, variam de acordo com o tipo de bem estudado.
(t)
II
III
Figura 2.2 Curva da banheira tpica

A maioria dos bens comea a sua vida com uma taxa de avarias mais elevada devido a
certos factores, como por exemplo defeitos de fabrico, m montagem ou deficiente
controlo de qualidade de alguns dos seus componentes. Nesta fase, denominada perodo
Eventualmente, em alguns casos, existiro componentes que aps a avaria podero ser recondicionados e
colocados novamente em operao, sendo nessa perspectiva considerados bens reparveis.

21
de infantil, os bens apresentam uma taxa de avarias decrescente, uma vez que os
problemas iniciais so gradualmente identificados e corrigidos.
Posteriormente, esta taxa de avarias estabiliza num valor aproximadamente constante
durante o perodo de vida til, onde as avarias ocorrem aleatoriamente, e de forma
inesperada ou imprevista.
A ltima fase, designada fase de desgaste ou envelhecimento, caracterizada por um
aumento rpido da taxa de avarias no tempo devido a desgaste, perda de caractersticas
importantes (elasticidade, solubilidade, etc) ou degenerao das mesmas. De certo
modo, podemos fazer uma analogia com a taxa de mortalidade para os humanos, de
acordo com o seu tempo expectvel de vida.
No
entanto,
modelo
apresentado
na
figura
anterior
no
nico,
podendo
fundamentalmente ser utilizado para demonstrar o comportamento da taxa de avarias ao

longo do tempo dos bens reparveis que incluem tecnologias variadas, podendo ser
considerada como uma linha de tendncia resultante das diferentes distribuies de
falhas dos componentes de um sistema (Monchy, 2003).
John Moubray (1997) refere esta relao entre a avaria e a idade de um bem, mostrando
a evoluo deste conceito ao longo do tempo e subdividindo-o em trs geraes
temporais.
Na primeira gerao a viso era de que a avaria se relacionava exclusivamente com a
idade, ou seja, s ao fim de um determinado perodo de operao que se
manifestariam fenmenos de falha.
Ao se considerarem as avarias infantis surgiu ento a designao de curva da banheira,
tal como apresentado na Figura 2.2, sendo esta abordagem designada por Moubray como
segunda gerao.
A
terceira
gerao
mostra
que
na
prtica
se
podem
obter
seis
padres
de
comportamento das avarias no tempo, tal como ilustrado na Figura 2.3.
22

Figura 2.3 Padres de representao da taxa de avarias

Uma outra questo importante que deve ser referida tem a ver com a dependncia ou
independncia dos acontecimentos. Assim, dois acontecimentos so independentes se a
ocorrncia de um no afecta a probabilidade de ocorrncia do outro. Esta diferenciao
muito importante quando se analisam questes como a avaria de bens, e onde a
dependncia pode ter um papel muito importante no mtodo e nos resultados obtidos.

23
2.3.3 Fiabilidade Humana

Outro componente de grande importncia na rea da fiabilidade e gesto do risco diz
respeito ao factor humano e organizacional que, devido sua especificidade, ao grau de
complexidade e por se afastar um pouco dos objectivos deste trabalho, no ser
abordado detalhadamente, embora merea ser discutido por especialistas nesta rea
quando se estudam processos onde a sua influncia determinante.
Trata-se de uma matria actual (alvo de investigao recente), na tentativa de mudar a
ideia instalada de que errar humano. O erro humano pode ser quantificado pela sua
frequncia, definida atravs do nmero de erros cometidos por um indivduo em n
solicitaes ou pelo nmero de erros cometidos durante um determinado perodo de
observao. Trata-se de perceber os erros humanos, suas causas e consequncias, com
o objectivo de reduzir a sua ocorrncia at limites aceitveis.
De acordo com alguns autores, o erro humano tem um papel fundamental na ocorrncia
de acidentes em sistemas de segurana crticos, tais como na aviao, sistemas
ferrovirios ou instalaes nucleares (Reason, 1990).
De facto, e de um modo simplista, a fiabilidade humana (HRA = Human Reliability
Analysis) pode ser analisada num paralelismo com a lgica das anlises de fiabilidade dos
equipamentos, podendo os erros ser classificados, quantificados e matematicamente
analisados por meio de uma adequada distribuio estatstica. Ao contrrio da maioria
dos equipamentos, que sofrem uma degradao ao longo do tempo no cumprimento de
uma misso, os erros humanos podem ser reduzidos tendo em conta alguns factores
(Pallerosi, 2007), como:
Aptido;
Treino;
Experincia;
Idoneidade.
Ainda de acordo com o mesmo autor, no quotidiano das empresas comum a ocorrncia
de erros (falhas humanas), devido a vrias causas e motivos, sendo 75% dos mesmos
alocados s seguintes reas de actuao:
24
Inspeco (25%);
Manuteno (22%);
Operao (15%);

Gesto (13%).
As causas apontadas anteriormente tm fundamentalmente a ver com falta de

conhecimento (40%), procedimentos tcnicos incorrectos (20%) e causas pessoais3
(15%). Os restantes 25% das causas so indirectas e tm a ver com o projecto (11%),
com os materiais (8%), com causas ambientais (5%) e outras (1%).
Os erros humanos tambm podem ser agrupados em cinco categorias, nomeadamente
(Assis, 2004):
Erro de omisso no executar a operao que estava inicialmente programada;
Erro de execuo executar a tarefa, mas no da forma prevista;
Erro de derivao introduo de uma aco no prevista;
Erro de sequncia a operao executada, mas no no momento que devia ser;
Erro de atraso a tarefa executada, mas tardiamente.
A fiabilidade humana pode ser avaliada em duas fases: a fase de aprendizagem (taxa de
erros decrescente) e a fase de execuo (erros aleatrios).
Presentemente existem vrias metodologias sobre esta temtica. A quantificao dos
erros humanos pode ser efectuada com recurso a metodologias mais simples, como a
TESEO (Technique for Empirical Simulation of Errors in Operations) ou a HEART (Human
Error Asessment and Reduction Technique), ou atravs de mtodos mais complexos
como o THERP (Technique for Human Error Rate Prediction), o CREAM (Cognitive
Reliability and Error Analysis), o ASEP (Accident Sequence Evaluation Program) ou o
MPPS (Maintenance Personnel Performance Simulation) (Hollnagel, 1998).
Tal como j referido anteriormente, este factor designado por fiabilidade humana, e
consequentemente o estudo de uma qualquer metodologia nesta rea, no fazem parte
dos objectivos do presente trabalho, pretendendo-se apenas fazer referncia a este
assunto, muitas vezes de vital importncia na gesto do risco.
As referidas causas pessoais, tal como o prprio nome indica, englobam aspectos da vida pessoal que tero
reflexo no desempenho de um determinado indivduo durante o perodo de trabalho. A ttulo de exemplo podem
ser referidos problemas familiares ou de sade ou outro qualquer motivo de preocupao que transportado para
o ambiente de trabalho.

25
2.3.4 Avarias devido a causa comum

A reduo da ocorrncia de potenciais avarias de um bem assenta fundamentalmente em
trs princpios, nomeadamente, no aumento da fiabilidade dos seus componentes, no uso
de sensores (que permitem obter a informao antecipada sobre uma potencial avaria) e
na utilizao de redundncias activas ou passivas (utilizando sensores-comutadores).
Hoje em dia, devido ao elevado desenvolvimento tecnolgico, restries de aquisio ou
aos custos elevados, torna-se difcil em muitos casos aumentar ou melhorar a fiabilidade
dos componentes. Por outro lado, a aplicao de sensores muitas vezes no
fisicamente possvel de realizar, e quando exequvel, se por um lado normalmente
comporta custos elevados, por outro no melhora a fiabilidade em termos individuais
(componentes), reflectindo-se essa melhoria apenas ao nvel do sistema. Deve-se assim
dar particular importncia utilizao de redundncias quando se analisam bens de alto
risco, possibilitando alcanar maiores valores de fiabilidade para os sistemas.
No entanto, a ocorrncia de avarias denominadas de causa comum (CCF = Common
Cause Failures) pode provocar a avaria de componentes, sensores e eventualmente
redundncias, anulando por vezes evidentes vantagens de concepo dos sistemas.
As avarias de causa comum correspondem a avarias em mltiplos componentes que
ocorrem devido a uma causa nica que comum a todos eles. No estudo de Volkanovski
et al (2009) apontam-se como exemplos de avarias de causa comum a ocorrncia de
condies atmosfricas severas ou tremores de terra numa determinada regio e seus
efeitos sobre vrias linhas de um sistema de transmisso de energia.
Para exemplificar melhor este tipo de avarias e a sua importncia no contexto de anlises
de fiabilidade na indstria, pode-se dar o exemplo de uma linha de produo onde seja
necessrio o funcionamento de um sistema de ar comprimido para alimentao e
controlo dessa linha. Se for considerada uma avaria na alimentao da energia elctrica,
verifica-se que esta situao pe em causa o funcionamento de todo o sistema,
independentemente de poder haver compressores em redundncia ou sensores que
sinalizem a avaria, sendo assim considerada uma avaria de causa comum.
26

A terminologia sobre avarias de causa comum tem sofrido alteraes ao longo dos anos,
tendo comeado por se confundir este tema com falhas de modo comum4 (modo de
falha). Com a introduo do termo avaria dependente estes dois conceitos foram
fundidos. No entanto,
podem-se considerar
falhas de modo comum
como um
subconjunto das avarias de causa comum.

Em instalaes industriais de risco elevado, como o caso de centrais nucleares,
refinarias ou centrais termoelctricas, torna-se fundamental conhecer as potenciais
avarias de causa comum e sistematizar a sua preveno. Estas avarias so na maior
parte dos casos resultado de falhas de concepo e gesto, e noutras situaes
resultantes de falhas tcnicas, reduzindo a disponibilidade dos sistemas.
A preveno das avarias de causa comum normalmente muito importante em situaes
que envolvam a segurana de uma instalao. Para sistemas altamente redundantes,
este tipo de avarias pode ser a razo principal de avaria dos mesmos. De que adianta
ter um sistema com uma fiabilidade elevada, resultante da utilizao de
componentes redundantes, se existir uma causa comum de avaria a todos os
seus componentes?
Pode-se afirmar que as principais fontes de avaria de causa comum so relativas
engenharia e operao, podendo ser repartidas da seguinte forma (Pallerosi, 2007b):
Engenharia Projecto
Falhas
de
concepo
(dependncias,
proteces
inadequadas,
erros
de
dimensionamento, etc.);
Falhas funcionais (erros de lgica, controlos inadequados, medies inadequadas,

etc.).
Engenharia Construo
Falhas de fabrico (controlo de qualidade, inspeces e testes inadequados, etc.);
Falhas de instalao (controlo de qualidade, inspeces e testes inadequados,

inicio de operao mal conduzido, etc.).
Operao Projecto
De salientar que o modo de falha se refere maneira pela qual verificada a incapacidade de um bem para
cumprir uma funo requerida enquanto a causa se refere razo que origina a avaria (NP EN 13306, 2007).
Neste sentido desaconselhada a utilizao de modo de avaria.

27
Falhas de concepo (reparaes e testes imperfeitos, calibraes e instrues

incorrectas, superviso deficiente, etc.);
Falhas
funcionais
(erros
dos
operadores
ou
de
comunicao,
instrues
incorrectas, superviso deficiente, etc.).

Operao Construo
Falhas devido a valores extremos (temperatura, presso, humidade, tenso,

etc.);
Falhas
devido
acontecimentos
ambientais
(vento,
terramoto,
exploso,
inundao, agentes qumicos, etc.).

Apontada a importncia deste tema, as atenes devem ser dirigidas para a preveno
contra a ocorrncia de avarias de causa comum, desde a fase de projecto at operao
efectiva do equipamento.
Os procedimentos para minimizar as avarias de causa comum passam por questes
tcnicas e de gesto, nomeadamente:
Gesto A nvel de projecto procedendo a especificaes e ao controlo e revises

ao projecto. Na execuo, exercendo controlo na construo e na montagem.
Durante a operao, tendo um controlo operacional, uma boa gesto da
manuteno e conhecendo valores de disponibilidade e de fiabilidade;
Tcnicas
Na
especificao
de
avarias
seguras,
proteco,
interfaces
operacionais, redundncias, simplicidade e diversidade funcional. Ter um controlo

de qualidade seguindo as normas de construo, inspeco e arranque da
instalao,
assim
como
elaborando
instrues
de
operao.
Em
termos
operacionais, produzir instrues para operar e para efectuar testes e tendo

especial ateno gesto da manuteno.
Nesta rea das CCF muitos trabalhos cientficos tm sido desenvolvidos. A ttulo de
exemplo refira-se alguns estudos mais generalistas, onde se pretende uma optimizao
da fiabilidade dos sistemas na presena de avarias de causa comum (Ramirez-Marquez &
Coit, 2007), ou casos mais especficos que passam por exemplo pela verificao das
limitaes impostas pelas avarias de causa comum na anlise de fiabilidade de um
sistema de corte de um reactor atravs de uma rvore de Falhas (Kumar et al, 2005), ou
ainda no clculo de incertezas associadas s taxas das avarias de causa comum (Vaurio,
2005) (Vaurio, 2002).
28

Aparecem tambm alguns trabalhos sobre a estimativa dos parmetros das avarias de
causa comum baseados em testes peridicos (Lundteigen & Rausand, 2007) (Barros et
al, 2009) ou estimativa das probabilidades de ocorrncia dessas avarias quando se
efectuam testes mistos aos componentes (Kang, 2009) ou quando se utiliza a anlise de
rvore de Falhas (FTA) (Vaurio, 2003). Pode ser igualmente analisada uma metodologia
interessante proposta por Vaurio (2007) onde se combina a informao operacional de
vrias instalaes para estimar as taxas para as avarias de causa comum de uma
instalao tipo.
2.3.5 Modelos de fiabilidade

Em termos gerais podem-se considerar dois tipos fundamentais de modelos de
fiabilidade, os determinsticos e os estatsticos (Pereira, 1996).
Os modelos determinsticos so modelos baseados nas leis de degradao fsica dos
componentes ou sistemas sujeitos a avaria e so aplicados a sistemas reparveis que
seguem um Processo de Poisson No Homogneo (NHPP). importante conhecer-se o
que d incio ao processo, que condies ambientais o podem acelerar (ou potenciam o
seu desenvolvimento), e como estas condies conduzem avaria de um dado
componente. Tambm h que controlar as formas pelas quais se consegue parar, ou
normalmente diminuir a taxa de progresso dos efeitos associados. Com base no
conhecimento do processo de deteriorao dominante e da respectiva taxa de
degradao, podem-se fazer previses sobre a vida do bem analisado. A aplicao deste
tipo de modelos a certos componentes pode prever o seu comportamento, com uma
margem de erro relativamente pequena, tornando-se mais difcil quando se trata de
equipamentos ou sistemas complexos. Nestes casos no possvel definir qual o
processo de deteriorao determinante, e a aplicao destes modelos tambm no
permite o tratamento simultneo de vrios processos, salvo se houver um modo de
avaria bem definido e predominante que se sobreponha a todos os outros (Pereira,
1996).
Os modelos estatsticos so modelos de fiabilidade que recorrem ao conhecimento de
situaes ocorridas no passado com um determinado bem (ou com bens semelhantes)
para inferir sobre a condio futura desse bem, quer seja atravs do ajustamento a uma
distribuio de tipo previamente definido ou atravs do clculo de uma funo prpria
caracterizadora da fiabilidade prevista, designando-se por modelos paramtricos e

29
modelos no paramtricos, respectivamente. As variveis podem ser discretas ou

continuas e a cada uma delas pode ajustar-se a distribuio que for mais conveniente. O
ajustamento de uma dada distribuio aos dados de vida de um componente dever
pressupor que o funcionamento desse componente no afectado pela avaria de outro
qualquer componente do sistema.
2.3.6 Estimativas da Fiabilidade

Em fiabilidade, o resultado de uma anlise de dados de vida traduz sempre uma previso
ou estimativa, quer se trate de prever o valor da probabilidade de avaria, probabilidade
de sucesso, vida mdia ou outros parmetros de uma determinada distribuio.
Assim, a fiabilidade, como ramo da engenharia, tem como objectivo estimar valores de
forma apurada, com base na anlise dos dados de vida dos bens. Tal como referido
anteriormente, estas estimativas podem basear-se em amostragens.
Para ilustrar as bases dos testes de amostragem, pode-se recorrer ao exemplo clssico
de bolas brancas e bolas pretas, cujo objectivo estimar a percentagem de cada um
destes tipos de bolas que se encontram num determinado universo. Imaginemos uma
piscina gigante cheia de bolas e comecemos por retirar uma pequena amostra de 10
unidades, contando-se quantas bolas pretas se encontram nessa mesma amostra.
Imaginemos que contmos 4 bolas pretas, ou seja, com base nesta amostra estima-se
em 40% o nmero de bolas pretas dentro da referida piscina. Se repetirmos, mas agora
com uma amostra de 1000 bolas poderemos obter, por exemplo, quantidades de bolas
pretas entre 445 e 495, correspondendo a estimativas entre 44,5% e 49,5%, o que
traduz uma variao da estimativa muito menor. Assim, podemos afirmar que quanto
maior for a quantidade da amostra mais apurada ser a nossa estimativa. Desta forma,
pode-se afirmar que a incerteza referente ao valor real do parmetro a estimar menor
quando possumos mais informao.
Esta questo da incerteza associada a um determinado clculo de fiabilidade pode
traduzir o resultado de dois tipos de incertezas; as que se relacionam com os dados
analisados e as que reflectem as incertezas inerentes ao prprio modelo utilizado na
determinao dos valores. Para um sistema, a variabilidade no clculo de determinado
parmetro pode traduzir-se pela soma das vrias incertezas parciais em jogo.
30

Muitas vezes, em alternativa a amostras ou ensaios, recorre-se a bases de dados

existentes, onde constam alguns parmetros fiabilisticos referentes a bens, cujos
elementos foram compilados por determinada entidade ou organizao. Temos como
exemplo a OREDA (2002), dirigida a um sector especfico da actividade industrial, cuja
inteno passa por permitir a utilizao de dados na avaliao e melhoria da segurana e
fiabilidade nas indstrias de petrleo e gs (explorao e produo).
O projecto OREDA foi iniciado em 1981 em cooperao com o Norwegian Petroleum
Directorate cujo objectivo inicial era a recolha de informao fiabilistica de equipamentos
de segurana. Em 1983, a organizao envolveu um grupo de vrias companhias
petrolferas e alargou o seu campo de recolha de dados a outros tipos de equipamentos.
Apesar da cobertura ser fundamentalmente sobre instalaes offshore, algumas
instalaes onshore de petrleo e gs tambm foram consideradas.
O objectivo principal do projecto OREDA contribuir para uma melhoria da segurana e
eficcia de custos do projecto e operao de instalaes de petrleo e gs atravs da
recolha e anlise de informao sobre a manuteno e operao, criando uma base de
dados fiabilisticos de alta qualidade, assim como a troca de tecnologia RAMS entre as
empresas participantes. Na publicao anteriormente referida est representado o
perodo de anlise entre 1993 e o ano 2000.
Outros documentos podem ser referidos quando se pretende estimar a fiabilidade de
bens. Por exemplo, para componentes electrnicos pode-se referir o MIL-HDBK-217F
(1991) e a TELCORDIA SR-332 (BELLCORE TR-332) (2006). Para componentes
mecnicos (vedantes, molas, rolamentos, engrenagens, vlvulas, etc.) pode-se indicar a
publicao da NSWC-09 (2009).
Uma outra forma de se prever a fiabilidade de um bem atravs de ensaios.
Basicamente, os resultados obtidos nos ensaios, quer sejam acelerados ou no, visam
principalmente definir os parmetros de fiabilidade que podero constar nos contratos de
compra e venda, incorporar os requisitos de fiabilidade nas especificaes gerais do
produto ou confirmar informaes baseadas em ensaios efectuados por terceiros. Os
ensaios podem ser classificados segundo vrios critrios, fundamentalmente:
Quanto ao local da prova (ensaios de laboratrio (Lab-tests) ou ensaios de

campo (Field-tests));
Quanto ao tipo de acontecimento (avaria, suspenso, interrupo, recolocao);

31
Quanto s regras de substituio (sem substituio, com substituio ou com

reparao);
Quanto s regras de concluso dos ensaios (ensaios completos ou ensaios

censurados).
A Figura 2.4 mostra um esquema referente s variveis a ter em conta nos ensaios para
determinao da fiabilidade.
Figura 2.4 Metodologia para ensaios de fiabilidade

[Fonte: Pallerosi (2006)]
O conhecimento da fiabilidade de um bem durante as fases de desenvolvimento, fabrico,
instalao e operao, pode ser obtido atravs de trs meios diferentes de ensaios,
nomeadamente:
32
Ensaios normais;
Ensaios acelerados (ALT = Accelerated Life Tests);
Ensaios altamente acelerados (HALT = High Accelerated Life Tests).

A Figura 2.5 mostra as principais caractersticas das amostras, as duraes e os tipos de

acelerao correspondentes.
DESENVOLVIMENTO DO
PRODUTO
FABRICO / INSTALAO
USO
POUCAS UNIDADES PARA

TESTE
PRAZOS CURTOS
TODAS OU LOTES
SELECCIONADOS
PRAZOS CURTOS/MDIOS
LOTES SELECCIONADOS
PRAZOS LONGOS
ENSAIOS ALTAMENTE
ACELERADOS
ENSAIOS ACELERADOS
ENSAIOS NORMAIS
QUALITATIVOS
(VISUALIZAO)
QUANTITATIVOS
(PREVISO DA.
FIABILIDADE)
QUANTITATIVOS
(FIABILIDADE EM USO)
Figura 2.5 Aplicaes tpicas de ensaios

[Fonte: Pallerosi (2007c)]
O objectivo dos ensaios altamente acelerados (HALT) o de visualizar provveis modos
de falha e efeitos de forma a corrigi-los, ou seja, basicamente demonstrar como o
produto se degradaria com o uso. Este tipo de ensaios promove uma alta degradao nas
amostras, sendo por isso algumas vezes referenciados como testes de elefante ou de
tortura.
Os ensaios acelerados (ALT) assentam em duas condies bsicas (Pallerosi, 2007c):
1. As solicitaes aplicadas so maiores que as normalmente exigidas na utilizao
normal do produto;
2. As solicitaes no devem alterar significativamente os modos, os efeitos e a
criticidade das falhas.
Os objectivos dos ensaios acelerados so:
Permitir o rpido desenvolvimento de novos produtos e tecnologias;
Testar e adoptar rapidamente novas tecnologias e produtos disponveis no

mercado;
Testar
produtos
mais
complexos,
com
mais
componentes
(com
maior
probabilidade de avaria);

33
Satisfazer as expectativas dos consumidores (exigncia de melhores requisitos).
As aces (ou etapas) que fazem parte de um processo de ensaios acelerados assentam
inicialmente na escolha do tipo de solicitao (stress), com a seleco de pontos
sensveis, meios, leis de degradao, etc., passando posteriormente pela escolha do tipo
de acelerao (taxa de avarias ou durao) e pela determinao das probabilidades de
falha (tipo de ensaio e parmetros da distribuio estatstica), sendo por fim calculados
os parmetros da acelerao (Pallerosi, 2007c).
Recentemente tem surgido a publicao de alguns trabalhos cientficos na rea dos
ensaios acelerados, mostrando assim a sua actualidade e a sua importncia no contexto
das anlises de fiabilidade. Os ensaios acelerados tm servido para prever a fiabilidade
de um bem usando, por exemplo, incrementos sequenciais dos esforos aplicados
durante o teste (Fard & Li, 2009). Tm tambm sido aplicados em estudos experimentais
para determinao da fiabilidade e comportamento de componentes muito concretos
relacionados com diferenciadas reas da engenharia, como vlvulas de solenide
hidrulicas (Angadi et al, 2009), vedantes em material EPDM (Placek et al, 2009), microjuntas (Khatibi et al, 2008), asfalto (Yeo et al, 2008), clulas de combustvel (Pei et al,
2008), componentes estruturais no campo aeroespacial (Ozsoy et al, 2008) e aeronutico
(Charruau et al, 2006) ou at mesmo no campo alimentar, como por exemplo para
verificar o comportamento do azeite quando armazenado (Garca-Garca et al, 2008).
Tambm tm servido para prever o comportamento de vida de alguns elementos, em
conjunto com outras tcnicas como as redes neuronais (Freitag et al, 2009), ou a
inferncia Bayesiana (assumindo a distribuio de Weibull e utilizando Cadeias de Markov
e simulao de Monte Carlo) (Dorp & Mazzuchi, 2005).
Encontram-se tambm alguns estudos referentes a testes acelerados de corroso, que
podero servir para avaliar este modo de degradao em elementos estruturais, como
por exemplo ao inoxidvel sujeito a ambientes marinhos (Kosaki, 2008) ou fibras de
carbono reforadas sob aco simultnea de temperatura e gua do mar (Nakada &
Miyano, 2008). Relativamente ao tema dos ensaios acelerados poder-se-ia ir mais alm,
mas como o mesmo no se encontra especificado como o objectivo principal do presente
trabalho,
ficam
apenas
referenciadas
algumas
das
consideraes
anteriormente
apresentadas, julgadas pertinentes.
34

2.3.7 Conceitos relacionados com a fiabilidade

Vejamos agora algumas funes e conceitos importantes quando se fala em estudos de
fiabilidade.
2.3.7.1
Funo
densidade
de
probabilidade
de
falha,
fiabilidade
probabilidade acumulada de falha

A funo densidade de probabilidade de falha um poderoso instrumento de visualizao
de como as avarias ocorrem durante a vida de um bem e como elas esto
estatisticamente distribudas.
A funo densidade de probabilidade de falha representa a funo de probabilidade
instantnea ou funo mortalidade e traduz a quantidade de bens que esto a avariar
num momento t, por unidade de tempo, relativamente populao inicial e no est
condicionada quantidade de sobreviventes no instante anterior a t, da se designar
tambm por probabilidade incondicional. D-nos a probabilidade do bem avariar
exactamente no instante t.
Esta
informao
pode
servir
para
comparar
produtos
verificar
os
diferentes
comportamentos das falhas ao longo da sua vida. Este tipo de estudo pode servir, por
exemplo, para estipular um prazo de garantia ou especificar uma vida mdia para um
determinado bem.
Para variveis aleatrias contnuas (tempo, quilmetros, ciclos, etc) a probabilidade da
varivel aleatria pertencer a um dado intervalo corresponde rea sob a curva de
variao da funo densidade f(t) entre os extremos desse intervalo, ou seja:
tb
P(t a t t b ) = f (t ).dt
(2.1)
ta
Se esta funo for integrada entre o momento de entrada em funcionamento (t=0) e um

momento genrico t (t<), obtemos a funo de probabilidade acumulada de falha
F(t), de acordo com a seguinte expresso:

35
F (t ) = f (t ).dt
( 1)
(2.2)
Para toda a vida do bem, a rea abaixo da curva de variao da funo densidade
(densidade de probabilidade de falha) corresponde sua totalidade, logo a probabilidade
de falha no infinito, a que se refere uma curva de densidade de probabilidade entre zero
e infinito, assume o valor 1 (100%). Em qualquer circunstncia, depois de calculada a
probabilidade de falha F(t), a probabilidade de sucesso, ou funo fiabilidade R(t),
pode ser facilmente determinada, uma vez que estas duas probabilidades so
complementares.
R (t ) + F (t ) = 1
(2.3)
Um exemplo de uma funo densidade de probabilidade de falha, assim como a

interpretao grfica das funes probabilidade acumulada de falha e fiabilidade,
encontra-se representado na Figura 2.6.
Figura 2.6 Representao grfica de uma funo densidade de probabilidade de falha

A probabilidade de sucesso, ou fiabilidade, pode ser apresentada como a probabilidade
do tempo correspondente falha tf ser superior ao tempo considerado no estudo t, ou
seja:
R (t ) = Pr(t f > t )
0<t <
(2.4)
Ou, tendo em considerao as expresses (2.2) e (2.3), a funo fiabilidade pode ser
representada pela seguinte expresso:
36

R(t ) = f (t ).dt
( 1)
(2.5)
Ao analisar-se a fiabilidade para uma grande diversidade de bens, verifica-se que alguns
desses bens apresentam uma vida muito curta, enquanto outros possuem uma enorme
longevidade (sem a ocorrncia de avarias). Tambm para uma mesma durao da
anlise, existem casos em que as avarias podem ocorrer logo desde o incio de operao,
e situaes em que as avarias s se verificam numa fase mais avanada, aps decorrido
um dado perodo do tempo. Assim, a funo densidade de probabilidade de falha pode
assumir diversas configuraes, sendo esta variabilidade alvo de estudo mais detalhado
em futuros pargrafos.
2.3.7.2 Funo de Risco. Taxa de avarias

De acordo com a vasta literatura existente na rea da fiabilidade, e conforme os diversos
pontos de vista dos autores sobre este assunto, constata-se que existe alguma confuso
entre o conceito de funo de risco e o de taxa de avarias. Basicamente, a grande
diferena que o conceito de taxa de avarias s se pode aplicar a bens reparveis,
quando considerados isoladamente.
A taxa de avarias est ligada a acontecimentos repetitivos (avarias), sendo o seu tempo
de referncia contado desde a entrada em funcionamento do bem at ao momento da
anlise. Por seu lado, a funo de risco refere-se a um acontecimento nico, sendo neste
caso tido como referencial o tempo desde o ltimo acontecimento. A funo de risco
h(t) definida como uma probabilidade condicional, dado que a avaria no verificada
at ao tempo t, e pode matemticamente ser expressa atravs da expresso 2.6.
h(t ) = lim t 0
P(t < tf t + t | tf > t )

t
(2.6)
ou
h(t ) =
f (t )
R(t )
(2.7)

37
De acordo com as expresses (2.5) e (2.6), a fiabilidade tambm pode ser expressa
atravs da seguinte expresso:
R(t ) = e
h ( t ) dt
0
(2.8)
Assim:
h(t ) =
d [ln R(t )]
dt
(2.9)
Deste modo, a funo de risco pode ser interpretada como a diminuio relativa da
fiabilidade por unidade de tempo. Traduz a taxa qual os componentes esto a avariar
por unidade de tempo, no momento t+t, em relao ao nmero de sobreviventes no
momento t.
Quando se trata de bens reparveis, sujeitos a ciclos de bom funcionamento
interrompidos por estados de falha dos seus componentes, com as respectivas
distribuies estatsticas, a taxa de avarias (t) do sistema relaciona-se com o processo
estocstico que modela as avarias ao longo do tempo. Este pode ser considerado um
Processo de Poisson Homogneo (HPP) se a distribuio em causa a exponencial
negativa, caracterizada por uma funo de risco constante. Desta forma a sequncia
cronolgica dos tempos at avaria deixa de ter importncia para a anlise. Esta uma
caracterstica que se verifica durante o perodo de vida til dos bens reparveis. Se N(t)
for o nmero de avarias ocorridas at ao instante t, a taxa de avarias ou taxa de
ocorrncia de falhas de um sistema (ROCOF) definida como sendo a derivada em
ordem ao tempo do nmero esperado de falhas at ao instante t.
De acordo com a representao da curva da banheira da Figura 2.4, referente ao
comportamento tpico da taxa de avarias para bens reparveis, a durao do perodo de
vida til pode ser influenciada por factores como o tipo de controlo de qualidade e poltica
de manuteno aplicados, assim como pelo nvel de solicitaes exigido. Assim, estes
factores iro condicionar o comportamento da taxa de avarias, conforme ilustrado na
Figura 2.7.
38

Altas
solicitaes
(t)
Manuteno
deficiente
Vida til
Controlo de
qualidade
excelente
Manuteno
excelente
Baixas
solicitaes
t
Figura 2.7 Influncia de alguns factores na taxa de avarias
2.3.7.3 Tempo mdio de vida

Outro conceito de referncia quando se menciona a probabilidade de sobrevivncia o
que diz respeito vida mdia expectvel de um bem.
Tendo um historial sobre tempos entre as sucessivas avarias de um determinado bem, o
tempo mdio at avaria pode ser definido como a mdia aritmtica da varivel
aleatria idade at avaria.
Para distribuies contnuas, o tempo mdio para a avaria (MTTF - Mean Time To
Failure), quando nos referimos a bens no reparveis, ou tempo mdio entre avarias
(MTBF - Mean Time Between Failures), quando se trata de bens reparveis, dada por:
MTTF = t. f (t ).dt = R(t ).dt
(2.10)
Este tipo de grandeza muito popular, uma vez que de uma forma simples d uma ideia
da fiabilidade de qualquer bem. Por vezes tambm referido o MTTFF (Mean Time To
First Failure), usado fundamentalmente nas anlises dos tempos at a ocorrncia da

39
primeira e nica avaria, como o exemplo de equipamentos do tipo satlites, msseis,

munies, etc...
De acordo com o exposto nos pargrafos anteriores, a Figura 2.8 mostra numa nica
representao as vrias curvas representativas da vida de um bem (Assis, 2010).
Figura 2.8 Representao grfica das vrias funes de fiabilidade

[Fonte: Assis (2010)]
Estas funes, ao representar a vida de um bem, tambm so vulgarmente designadas
por
leis
de
vida.
No
entanto,
que
ter
em
ateno
alguns
pormenores,
nomeadamente referir que as referidas curvas correspondem a bens reparveis

(sistemas) e que a aplicabilidade do termo lei de vida deve ser ponderada para cada
caso particular.
2.3.7.4 Fiabilidade condicional

No se pode deixar de referir um outro conceito, que tem a ver com o clculo do valor da
fiabilidade para uma nova misso de durao t aps o bem em causa ter acumulado
uma durao de vida t. Trata-se da chamada fiabilidade condicional (ou fiabilidade de
misso), que pode ser expressa da seguinte forma:
R(t | t ) = Pr(t f > t1 = t + t | t f > t )
40
(2.11)

ou
R(t | t ) =
R(t + t )
R(t )
(2.12)
Estas expresses significam exactamente a probabilidade do bem s avariar com uma

idade superior misso considerada (t) e com a garantia ou condio que o mesmo se
encontra a funcionar em t, relativo ao limite inferior do intervalo correspondente
misso em estudo.
Estes temas, assim como uma apresentao dos tipos de distribuies mais comuns em
anlises de fiabilidade, sero desenvolvidos com mais detalhe em futuros pargrafos.
Pretende-se neste momento enquadrar o tema e mostrar de uma forma global como se
pode determinar a fiabilidade, assim como outras mtricas com ela relacionadas.
2.3.8 Fiabilidade de Componentes

Quando no se possui uma base de dados credvel acerca da fiabilidade de um
componente, ou outra informao que nos permita calcular com relativa facilidade essa
mesma fiabilidade, teremos que recorrer anlise de dados de vida, sejam eles retirados
do contexto operacional (em fase de explorao) ou provenientes de ensaios (normais,
acelerados ou altamente acelerados).
Tal como referido anteriormente, quando se analisam as avarias de determinados
componentes, o conhecimento da funo densidade de probabilidade de falha desses
componentes torna-se uma ferramenta fundamental para visualizar como ocorrem as
avarias durante a sua vida e como as mesmas se encontram estatisticamente
distribudas.
Conforme indicado em
2.3.7.1, aps o
conhecimento da
funo densidade de
probabilidade de falha, podemos determinar outras funes, como a fiabilidade, a

probabilidade de falha ou a funo de risco. Porm, esta tarefa de anlise de dados de
vida pode no ser to simples como isso e, quando mal conduzida, pode levar a
resultados errados.

41
A primeira etapa da anlise de dados de vida de um bem consiste em escolher a forma

como esses dados sero estudados, nomeadamente se os mesmos so analisados
individualmente ou em grupo.
A etapa seguinte refere-se definio do tipo de dados que possumos, nomeadamente
se so todos tempos at avaria ou se existem dados suspensos (ou censurados)
referentes a tempos de bom funcionamento desde as ltimas avarias at ao momento da
anlise, ou ainda se os dados se referem a intervalos de tempo (se por exemplo apenas
sabemos que a avaria ocorreu durante um turno de trabalho).
Segue-se a seleco da distribuio estatstica. Nas anlises clssicas de fiabilidade, a
determinao do tipo de distribuio que mais se ajusta a um determinado nmero de
dados existentes pode ser efectuada com recurso a vrios testes ou mtodos (Quiquadrado, Kolmogorov-Smirnov, etc.).
Aps se ter adoptado a distribuio que mais se ajusta aos dados, h que estimar os
parmetros caractersticos dessa distribuio. Para esse efeito existem basicamente trs
metodologias:
Mtodo Grfico;
Mtodo dos Mnimos Quadrados (Anlise de Regresso);
Mtodo da Mxima Verosimilhana (MLE).
O Mtodo Grfico (probability plotting) implica o uso de papis especialmente concebidos

para o efeito, linearizando a funo de probabilidade de falha acumulada. Nestes papis,
ao eixo das abcissas correspondem os tempos at avaria (TTF), enquanto no eixo das
ordenadas se indicam as probabilidades de avaria F(t) (em percentagem). Estas
probabilidades podero ser determinadas atravs da categoria mediana5 de cada avaria
ou atravs do mtodo no paramtrico Kaplan-Meier.
O mtodo dos Mnimos Quadrados (Least Squares Parameter Estimation), ou Regresso
Linear, a verso matemtica do mtodo grfico anteriormente referido, ajustando uma
recta a um conjunto de pontos, onde a soma dos quadrados da distncia dos pontos
A Categoria Mediana (Median Rank) pode ser obtida para qualquer ponto aplicando a equao da distribuio
binomial comulativa para uma dimenso da amostra N e para uma ordem de j da avaria, igualando a referida
equao a 0,50. Em alternativa, a Categoria Mediana poder ser determinada atravs da Aproximao de
Bernard.
42

recta ajustada mnimo, quer na vertical (regresso em y), quer na horizontal

(regresso em x). O coeficiente de correlao () significa o quanto os pontos esto
alinhados com a linha de regresso linear. Quanto mais alinhados, melhor a correlao
para a distribuio adoptada, correspondendo a valores de correlao prximos de 1.
Este mtodo indicado quando se trata de dados completos (no censurados).
Do ponto de vista estatstico o mtodo da Mxima Verosimilhana (MLE) , regra geral,
considerado o mtodo mais robusto para estimar os parmetros de uma distribuio. A
ideia bsica por trs do mtodo MLE obter os valores mais verosimilhantes para os
parmetros, que melhor descrevem a distribuio em causa. Como caractersticas
relativas aplicao deste mtodo pode-se indicar como vantagem a sua consistncia e
eficincia assimpttica, ou seja, medida que aumenta a dimenso da amostra (dados)
mais os resultados convergem para os valores correctos e maior a preciso da
estimativa. Desta forma, aconselhvel que a dimenso da amostra seja de certa forma
grande, apontando-se como ideal um valor acima de trinta registos de avarias. Assim,
para poucos dados, ou em situaes onde existam tempos censurados, a descrepancia
dos resultados obtidos maior. Para a aplicao deste mtodo, devido sua
complexidade, necessrio recorrer a programas informticos.
Desta forma, recomenda-se a utilizao do Mtodo dos Mnimos Quadrados (Tcnica de
Regresso) para pequenas amostras, sem dados censurados, e a utilizao do mtodo da
Mxima Verosimilhana para grandes amostras, mesmo que contendo dados censurados.
Quando se trata de variveis contnuas, as principais distribuies estatsticas utilizadas
em estudos de fiabilidade de componentes so:
Distribuio Weibull (1, 2 ou 3 parmetros);
Distribuio Exponencial (1 ou 2 parmetros);
Distribuio Normal (2 parmetros);
Distribuio Lognormal (2 parmetros);
As definies e respectivas equaes relativas s distribuies estatsticas anteriormente

referidas podem ser encontradas na vasta literatura existente nesta rea.
No Anexo I apresentam-se algumas consideraes relativas s funes de densidade de
probabilidade de falha e de fiabilidade das distribuies mais utilizadas.

43
2.3.9 Fiabilidade de Sistemas

Pode-se definir um sistema como um conjunto de componentes, combinados entre si de
modo
especfico,
correspondendo
arranjos
fsicos
(srie,
paralelo,
compostos,
complexos), para atingir as funes operacionais desejadas, desempenho, fiabilidade e

custos que satisfaam as necessidades do utilizador final. No fundo, o termo sistema
pode significar um equipamento ou um conjunto de componentes que prestam um
determinado servio ou cumprem uma determinada funo.
Os diferentes tipos de componentes, a sua quantidade, qualidade e arranjos, quando
combinados entre si, apresentam um efeito directo na fiabilidade do referido sistema. No
clculo da fiabilidade de sistemas tambm se deve ter em conta que os componentes em
paralelo correspondem a redundncias activas ou passivas (standby) e que todas as
avarias de causa comum (CCF = Common Cause Failures) devem ser consideradas.
Cada componente do sistema ter um ndice de importncia com base no que se
considera a sua influncia individual no valor da fiabilidade do sistema, sendo para tal
fundamental conhecer a sua distribuio de avarias e a sua correspondente posio no
sistema em anlise.
De um modo geral a aplicao de redundncias baseia-se no pressuposto de que o
componente primrio no permite alcanar o desejado valor de fiabilidade, ou o custo
para o fazer atingir elevado. A utilizao de redundncias , por exemplo, justificada
em sistemas crticos, onde a consequncia da avaria poder levar a situaes
catastrficas. As redundncias podem ser activas ou passivas, necessitando estas ltimas
de
detectores-comutadores
(ou
sensores-comutadores),
devendo
tambm
ser
considerada a sua probabilidade de falha nos sistemas onde estejam includos.

Convm referenciar que por vezes existe uma diferena entre o modelo fsico e o modelo
de fiabilidade. Isto quer dizer, por exemplo, que podemos ter fisicamente um arranjo tipo
srie, como por exemplo duas caldeiras ligadas em srie para aquecer gua a uma
determinada temperatura, mas em termos de fiabilidade as duas caldeiras funcionam
uma como reserva da outra, uma vez que a temperatura pretendida alcanada por
qualquer um dos dois equipamentos, logo fiabilisticamente o sistema calculado como
um sistema paralelo activo.
44

2.3.10 Metodologias e ferramentas de apoio anlise fiabilistica

As metodologias para estimar a fiabilidade de sistemas necessitam na maior parte dos
casos de conhecimentos bsicos da teoria geral das probabilidades, assim como a
definio de alguns dos seus conceitos fundamentais (espao amostral, reunio,
interseco, etc.). No Anexo III encontram-se descritos alguns conceitos bsicos,
teoremas e axiomas referentes a esta teoria.
O clculo ou determinao da fiabilidade de um sistema deve considerar a previso
analtica de vida, ou seja, como a durao influencia a fiabilidade. Quando este mtodo
no for possvel, dever-se- utilizar um mtodo de simulao.
Para a determinao da probabilidade de falha (ou sucesso) de um sistema possvel
recorrer a vrias metodologias, como RBD (Reliability Block Diagrams), FTA (Fault Tree
Analysis), ETA (Event Tree Analysis), PN (Petri Nets), modelos de Markov ou modelo
hbridos, muitas vezes com recurso a simulao. Cada uma destas tcnicas tem as suas
vantagens e desvantagens e a sua escolha depende do sistema a ser modelado. Neste
captulo
pretende-se
referir
algumas
das
metodologias
de
uma
forma
simples,
apresentando as suas caractersticas principais.
2.3.10.1 RBD (Reliability Block Diagram)

Os diagramas de blocos de fiabilidade (RBD) so grficos directos que representam os
elementos que constituem um sistema e a disposio lgica como os mesmos se
encontram relativamente uns aos outros.
O sistema construdo com recurso a blocos que representam cada elemento, ligados
entre si por linhas ou conectores. A anlise efectuada numa lgica de sucesso, ou seja,
a questo colocada em funo do sucesso do sistema.
O fluxo lgico de um diagrama de blocos parte de um n inicial, colocado esquerda do
diagrama, e termina num n final ou de sada, colocado sua direita. Os blocos so
colocados construtivamente entre os dois ns acima referidos, de acordo com os vrios
tipos de arranjos lgicos.

45
Os diagramas de blocos servem para modelar sistemas complexos. Para cada bloco so
fornecidos dados, permitindo efectuar clculos para determinar taxas de avarias, MTBF,
fiabilidade e disponibilidade dos sistemas analisados. Alterando a configurao dos
blocos, os resultados tambm sero diferentes. Assim, podero ser comparadas vrias
configuraes na tentativa de encontrar a melhor estrutura global de um sistema.
Como qualquer outra metodologia, o diagrama de blocos de fiabilidade tem vantagens e
desvantagens quando
comparado
com
outros
mtodos de
representao.
Essas
desvantagens prendem-se fundamentalmente com os componentes bsicos e o tipo de

construo usada no diagrama, no permitindo traduzir determinadas interaces entre
os componentes e afastando-se por vezes do objectivo principal, que o representar
fielmente as relaes lgicas atravs de um sistema de blocos, em termos fiabilsticos.
Normalmente
os
sistemas
representados
por
blocos
de
fiabilidade
apresentam
configuraes tipo srie, paralelo ou combinaes destes dois, ou ainda arranjos

especficos resultando nos sistemas designados por complexos. No entanto, quando se
trata de representar dependncias funcionais, componentes em standby ou sequncias
de falhas, a dificuldade aumenta, sendo muitas vezes impossvel concretizar esse tipo de
representao.
O Anexo IV ao presente documento descreve a forma como determinar analitica e
empiricamente a fiabilidade de um sistema atravs de blocos funcionais, partindo dos
dados fiabilisticos individuais dos elementos que o constituem e da forma como os
mesmos se encontram organizados.
2.3.10.2 ETA (Event Tree Analysis)

A metodologia de Anlise de rvore de Acontecimentos (ETA = Event Tree Analysis)
uma
ferramenta
que
segue
lgica
indutiva,
atravs
de
uma
sequncia
de
acontecimentos a partir de um incidente ou acontecimento inicial, e onde so

equacionados os vrios cenrios subsequentes possveis de ocorrer.
46

As consequncias de um acontecimento acidental so determinadas pela forma como a

sua progresso afectada pelas falhas posteriores na operao das funes de
segurana6, por erros humanos e por outros factores como as condies ambientais.
A Anlise de rvore de Acontecimentos um diagrama lgico que cobre o referido
acontecimento inicial ou iniciador e toda a sequncia de propagao at aos vrios
cenrios ou consequncias finais, assumindo as falhas e sucessos das funes de
segurana que so disponibilizadas medida que o acidente se propaga. Cada
acontecimento da rvore ser condicional ocorrncia dos acontecimentos anteriores da
cadeia.
Os resultados de cada acontecimento so normalmente assumidos na sua forma binria
(verdadeiro ou falso, sim ou no), podendo no entanto incluir multiplas sadas (ex. sim,
parcialmente, no).
A Anlise de rvore de Acontecimentos insere-se na maior parte das anlises de risco,
podendo ser usada como uma ferramenta de projecto para demonstrar, por exemplo, a
eficcia de um sistema de proteco. A sua informao pode ser qualitativa, quantitativa
ou ambas, dependendo dos objectivos da anlise. Numa anlise de risco quantitativa
(QRA Quantitative Risk Assessment) as rvores de Acontecimentos podem ser
efectuadas de forma independente ou ser elaboradas no prolongamento de uma Anlise
de rvore de Falhas (Rausand & Hoyland, 2004).
Uma Anlise de rvore de Acontecimentos qualitativa normalmente efectuada em seis
etapas, nomeadamente:
1. Identificao
de
um
acontecimento
inicial
(acidental)
que
possa
levar
consequncias indesejadas;
2. Identificao das funes de segurana que esto presentes para fazer face ao
acontecimento inicial;
3. Construo da rvore de Acontecimentos;
4. Descrio das sequncias de acontecimentos resultantes;
5. Clculo da probabilidade ou frequncias das consequncias identificadas;
6. Compilao e apresentao dos resultados da anlise.
Ver Captulo III para mais informaes sobre esta temtica

47
A identificao do acontecimento inicial bastante importante, podendo ser realizada

atravs de outra tcnica como uma Anlise de Modos de Falha, Efeitos e Criticidade
(FMECA), Anlise Preliminar de Perigos (PHA Preliminary Hazard Analysis) ou uma
Anlise de Perigos e Operabilidade (HAZOP Hazard and Operability Analysis).
Relativamente aos vrios cenrios possveis, deve haver uma forma clara de os
apresentar, fruto de uma hierarquizao efectuada de acordo com a sua criticidade.
Desta forma, a estrutura do diagrama mostra todas as sequncias e progresso do
acidente at aos vrios cenrios alcanados, permitindo especificar onde se devero
incluir medidas (procedimentos) adicionais ou sistemas de segurana. Tambm se podem
dividir os vrios cenrios resultantes em categorias, como por exemplo no que respeita
perda de vidas, danos patrimoniais ou danos ambientais.
2.3.10.3 PN (Petri Nets)

As Redes de Petri foram desenvolvidas e apresentadas por Carl A. Petri em 1962, e so
usadas fundamentalmente como uma representao grfica de processos dinmicos,
especialmente aqueles que possuem ligaes internas complexas (Schneeweiss, 2004).
Nestas representaes grficas usam-se ns (nodes) ou vrtices (vertices) unidos por
ligadores (edges) indicando um determinado sentido. Devido a esta ltima caracterstica,
as Redes de Petri tambm se designam por grficos directos (digraphs).
Apesar das Redes de Petri j terem alguns anos, a sua utilizao no tem tido grande
divulgao no campo da fiabilidade, embora se constate uma grande potencialidade da
sua aplicao. No entanto, observa-se uma inverso desta tendncia atravs de alguns
estudos recentes recorrendo utilizao desta tcnica para modelao de sistemas com
vista determinao da sua fiabilidade, como o exemplo de um estudo que se encontra
a ser realizado para a Fora Area Inglesa (Royal Air Force) (Shew et al, 2010), onde se
pretende modelar a fiabilidade de avies militares para misses tendo em conta os
perodos livres de manuteno, recorrendo s Redes de Petri.
Os ns podem ser de dois tipos, nomeadamente os designados por locais (places),
representados por circulos, e as transies (transitions) representadas por quadrados.
Os locais contm pontos indicados a preto chamados marcas (tokens). So estas
marcas que se movem de local para local aps o atraso indicado nas transies,
48

conferindo desta forma uma dinmica ao sistema. A Figura 2.9 mostra a situao antes e
depois do movimento referente a uma transio de durao D.
Figura 2.9 Exemplo de uma Rede de Petri

Dado que no presente documento a metodologia utilizada para a anlise fiabilistica no
se centrou nesta tcnica (Redes de Petri), pretendeu-se apenas fazer a referncia
mesma, abrindo campo a futuros e promissores desenvolvimentos.
2.3.10.4 FTA (Fault Tree Analysis)

A avaliao probabilstica de segurana (PSA Probabilistic Safety Assessment) uma
metodologia sistemtica realizada e aplicada para estimar a fiabilidade e segurana de
sistemas complexos (Volkanovski, 2009). Dois mtodos bsicos usados na PSA so as
rvores de Acontecimentos (j referidas) e as rvores de Falhas.
A rvore de Falhas uma ferramenta usada para identificar e avaliar as combinaes de
acontecimentos indesejveis no contexto da operao de um sistema que podem levar a
um estado indesejvel do mesmo, representado pelo acontecimento de topo. Os
acontecimentos bsicos so as partes finais da rvore de Falhas que representam
estados de falha de componentes (ou sistemas) ou falhas de cumprimento de uma
determinada funo. A rvore de Falhas clssica representada por um conjunto de
equaes baseadas na lgebra de Boole.
A rvore de Falhas um fluxograma lgico construdo a partir de uma anlise dedutiva,
onde em cada acontecimento mais geral se deduzem os acontecimentos particulares que,
na ordem natural dos acontecimentos, o podem originar.

49
O conceito de rvore de Falhas foi inicialmente desenvolvido por H. Watson em 1961, na

Bell Telephone Laboratories, e tem sido modificado muitas vezes desde ento
(Schneeweiss, 1999). Segundo Sinnamom & Andrews (1997) esta tcnica teve a sua
primeira utilizao durante um estudo ao sistema de controlo do lanamento dos msseis
balsticos intercontinentais Minuteman.
Muitas indstrias utilizam o mtodo da Anlise de rvore de Falhas no estudo da
adequabilidade de um sistema numa perspectiva de risco e fiabilidade. Este mtodo
fornece uma representao da lgica de um modo de falha do sistema, que pode ser
analisada para prever o desempenho do mesmo (Sun & Andrews, 2004).
A rvore de Falhas uma tcnica grfica destinada a entender como pode ocorrer um
determinado acontecimento, denominado como falha principal ou evento de topo de um
sistema, atravs da anlise e identificao dos possveis estados de falha, designados por
acontecimentos
primrios
dos
subsistemas
ou
componentes,
considerados
individualmente e tendo em conta os arranjos funcionais entre os mesmos. Esta

metodologia visa fundamentalmente satisfazer requisitos de segurana e melhorias de
projecto ou processo, determinando a probabilidade de ocorrncia do acontecimento de
topo.
Como referido, um mtodo que se aplica com grande frequncia em sistemas de
segurana, como os existentes em instalaes nucleares ou plataformas de petrleo
offshore. A importncia da Anlise de rvore de Falhas em sistemas de segurana reside
no facto de se poder obter uma descrio completa das vrias causas da falha do
sistema, sendo assim possvel identificar e rectificar qualquer problema de projecto
(Sinnamom & Andrews, 1997).
A Figura 2.10 mostra um exemplo de uma rvore, com os vrios tipos de avarias que
podem ocorrer nos componentes, subsistemas e/ou sistemas, ligadas por portas lgicas
tipo E (AND) e OU (OR). Com este exemplo simples pretende-se mostrar e perceber
como pode ocorrer a falta de energia (evento de topo) numa instalao que possua uma
ligao rede elctrica (pblica) e um gerador de emergncia como alternativa a essa
rede.
50

Figura 2.10 Exemplo de uma rvore de Falhas

A fiabilidade de um sistema afectada no s pelas fiabilidades dos componentes, mas
tambm pela forma como os mesmos se encontram relativamente entre si e pelas
proteces existentes. A Anlise de rvore de Falhas (FTA) do tipo de cima para baixo
(top down), ao contrrio, por exemplo, da Anlise de Modos e Efeitos de Falha (FMEA
Failure Modes and Effect Analysis).
Como referido anteriormente, comea-se pelo acontecimento indesejado, sendo a
estrutura de toda a rvore estabelecida normalmente atravs da utilizao de portas
lgicas tipo E (AND) e OU (OR) para combinar os acontecimentos bsicos ou
intermdios. Trata-se de um mtodo bastante testado, havendo software especializado
para a sua anlise. A probabilidade do acontecimento inicial (evento de topo) se verificar
pode ser calculada atravs das probabilidades dos denominados eventos bsicos. As
rvores de Falhas tambm so uma ferramenta importante na ajuda do diagnstico aps
a ocorrncia de avarias ou acidentes graves.
Constata-se que uma rvore de Falhas um negativo do diagrama (lgico) do sistema
formado pelas funes correspondentes aos acontecimentos de sucesso considerados, ou
seja, as referidas no Diagrama de Blocos de Fiabilidade anteriormente referido. O

51
Diagrama de Blocos analisado numa lgica de sucesso do sistema, enquanto a rvore

de Falhas vista numa ptica de insucesso ou falha.
Na correspondncia das rvores de Falhas com a lgebra Booleana pode-se dizer que as
portas lgicas OU, E e NO combinam acontecimentos da mesma forma que as
operaes Booleanas unio, interseco e complementar, respectivamente.
Os principais objectivos de uma anlise utilizando FTA passam por:
Aumentar a segurana funcional, operacional e ambiental;
Avaliar e aumentar a fiabilidade dos sistemas;
Identificar os componentes mais frgeis do ponto de vista da fiabilidade do

sistema;
Compreender melhor o sistema;
Identificar os efeitos das avarias de causa comum (CCF Common Cause

Failures);
Avaliar o risco de um determinado produto;
Fornecer documentao com resultados analticos;
Investigar acidentes ou incidentes;
Analisar a influncia de redundncias;
Analisar e reduzir os erros humanos na operao, numa lgica funcional.
Com a aplicao da metodologia FTA pretende-se fundamentalmente ter uma viso clara
e detalhada do projecto, processo ou sistema, e uma diminuio das falhas crticas e
acidentes considerados graves. A grande vantagem de uma FTA prende-se com o facto
de ser um mtodo orientado para os acontecimentos e ser um mtodo grfico, o que a
torna de certa forma de fcil compreenso. A grande desvantagem de uma FTA
relaciona-se com a circunstncia dos acontecimentos indesejveis que conduzem at ao
acontecimento de topo terem de ser conhecidos por antecipao, necessitando tambm
que o analista tenha conhecimento profundo sobre o sistema, podendo dessa forma por
vezes ser um processo moroso.
As seguintes etapas devem ser seguidas na estruturao e aplicao de uma Anlise de
rvore de Falhas:
1. Definir com clareza o acontecimento de topo (ex. falha de um produto);
2. Estruturar o sistema para se ter uma viso clara e objectiva (identificar
componentes, pontos crticos e nveis de risco);
52

3. Identificar as possveis falhas, com os seus modos, efeitos e causas, bem como os
controlos existentes;
4. Construir a rvore com o maior detalhe possvel, mas com objectividade (utilizar
a simbologia e portas lgicas normalizadas, falhas dependentes e independentes,
arranjos fsicos, redundncias);
5. Calcular as probabilidades em funo dos dados disponveis (teste ou utilizao) e
duraes, atravs de mtodos analticos (meios informticos);
6. Avaliar os resultados obtidos para a falha principal (ou acontecimento de topo) ou
falhas primrias, se necessrio;
7. Implementar aces correctivas, fundamentalmente para os bens crticos (com
baixa fiabilidade).
A Tabela 2.1 apresenta a simbologia normalmente utilizada na construo grfica de uma
rvore de Falhas, referentes a portas lgicas e acontecimentos.
Tabela 2.1 Simbologia lgica e nomenclatura mais usada em Anlises de rvore de
Falhas

53
A anlise de uma rvore de Falhas faz-se normalmente em duas fases: uma anlise
qualitativa seguida de uma anlise quantitativa. A anlise qualitativa traduz-se por
obter as vrias combinaes de acontecimentos que podem causar a falha ou evento de
topo (MCS - minimal cut sets), enquanto a anlise quantitativa se baseia no clculo da
probabilidade ou frequncia com que a falha (estado) do sistema pode ocorrer. A anlise
qualitativa pode ser efectuada recorrendo a Diagramas de Deciso Binrios (BDD
Binary Decision Diagrams) (Sinnamom & Andrews, 1997) ou outros algortmos
computacionais.
Um conjunto de corte (cut set) de uma rvore de Falhas uma lista de acontecimentos
bsicos ou falhas de componentes, que quando ocorrem, o acontecimento de topo
tambm ocorre, ou seja, o sistema encontra-se em falha. Todos os conjuntos de corte
(cut sets) correspondem a todos os modos como o sistema pode falhar. Um conjunto de
cortes mnimo (minimal cut set) refere-se mais pequena combinao de componentes
que levam falha do sistema (ou ocorrncia do acontecimento de topo). Se algum dos
acontecimentos bsicos de um conjunto de cortes mnimo removido do conjunto, a
falha j no ocorrer. A listagem completa do conjunto dos cortes mnimos a maior
preocupao da anlise qualitativa de uma rvore de Falhas (Sinnamom & Andrews,
1997). Os conjuntos de corte mnimos compostos por um elemento designam-se por
conjuntos de corte mnimos de primeira ordem, com dois elementos designam-se por
segunda ordem e assim sucessivamente. Os conjuntos de ordens mais baixas so
aqueles que devem ser analisados, de forma a serem eliminados e assim melhorar o
desempenho do sistema.
Aps a determinao do conjunto dos cortes mnimo (MCS), a forma mais correcta de
determinar a probabilidade do acontecimento de topo ser utilizar o mtodo da inclusoexcluso (Andrews & Moss, 2002) (Cepin & Mavko, 2002). Desta forma, se a rvore de
Falhas tem n conjuntos de corte mnimos Ki, onde i=1, 2, ..., n, ento o acontecimento
de topo existe se pelo menos um conjunto de corte mnimo existir, ou seja:
T = K1 + K 2 + ... + K n
(2.13)
n
P(T ) = U K i
i =1
(2.14)
ento, usando a expresso da expanso incluso-excluso, fica:
54

P(T ) = P( K i )
i =1
i =2
i 1
P( K
j =1
K j ) + ... + (1) n 1 .P(k1 k 2 ... k n )

(2.15)
Como este clculo poder ser na maioria dos casos fastidioso e manualmente
impraticvel, uma vez que numa rvore de Falhas podem-se obter milhares de conjuntos
de corte mnimos, ento fazem-se aproximaes, verificando-se que o primeiro termo da
expresso mais significativo que o segundo, o segundo que o terceiro e assim
sucessivamente. A srie converge com cada termo a dar cada vez um menor contributo
para o valor da probabilidade final. Se bloquearmos a srie num nmero impar ficaremos
com o limite superior, e se for com um nmero par, com o limite inferior. Desta forma, o
valor exacto da probabilidade encontra-se entre estes dois valores limite.
i 1
P( K ) P( K
i
i =1
i =2
j =1
K j ) P(T ) P( K i )
(2.16)
i =1
O valor limite superior para a probabilidade do acontecimento de topo conhecido como

a aproximao ao evento raro, uma vez que se torna um valor certo se as avarias dos
componentes so raras. Andrews e Moss (2002) apresentam ainda outra forma mais
apurada para o clculo do limite superior, designada por minimal cut set upper bound.
Volkanovski et al. (2009) calculam a probabilidade de ocorrncia do acontecimento de
topo (P) atravs da seguinte expresso:
P=
P
i =1
(2.17)
MCS i
onde a probabilidade de cada conjunto de corte mnimo (PMCS) determinada usando a

relao de ocorrncia simultnea de acontecimentos independentes:
PMCSi =
(2.18)
j =1

55
ou seja, o produto das probabilidades dos acontecimentos bsicos (Pj) que fazem parte
desse conjunto.
Como a obteno da listagem dos conjuntos de corte mnimos pode representar um
trabalho rduo quando uma rvore de Falhas no contem acontecimentos mutuamente
exclusivos ou esta for muito extensa, so normalmente utilizados mtodos de gerao de
cortes mnimos. Destes mtodos destaca-se um algoritmo designado por MOCUS
(Method of Obtaining Cut Sets), desenvolvido por Fussell e Vesely em 1972.
Este algoritmo efectuado de cima para baixo (top-down) e assenta no facto das portas
lgicas OU terem o efeito de aumentar o nmero de conjuntos de corte e as portas E
aumentarem o tamanho ou a ordem desses conjuntos (Andrews & Moss, 2002).
Podem ainda ser referidos outros mtodos como o Esary Proschan (assumindo que todos
os conjuntos de corte so independentes, incluindo algumas simplificaes) ou mtodos
mais exactos com algoritmos de gerao de conjuntos de corte, como o MICSUP (Minimal
Cut Set Upwards), similar ao MOCUS mas com uma abordagem de baixo para cima
(bottom-up), ou o ZBDD (Zero-Suppressed Binary Decision Diagrams), baseado em
Diagramas de Deciso Binria (BDD).
A anlise quantitativa de uma rvore de Falhas identifica a probabilidade de ocorrncia
do acontecimento de topo e de cada conjunto de corte mnimo identificado na fase
qualitativa. Esta quantificao necessita de dados de entrada para cada acontecimento
situado no nvel mais baixo, como as probabilidades de falha, as taxas de avaria, as
taxas de reparao ou a frequncia das avarias, conforme os objectivos em jogo. Assim,
poder ser calculada a indisponibilidade ou probabilidade de falha do sistema.
Outro tipo de informao que se pode extrair de uma rvore de Falhas um conjunto de
medidas indicando a contribuio de cada componente para a falha do sistema, tambm
designadas por medidas de importncia7.
Na quantificao de uma rvore de Falhas h que ter em conta se os acontecimentos so
independentes, ou seja, se no se repetem na estrutura ou se no h interesse em ter
em conta a ordem temporal da sequncia dos mesmos. Neste caso, a probabilidade do
acontecimento de topo pode ser obtida atravs das probabilidades dos acontecimentos
Ver Captulo V
56

bsicos, comeando pela base da rvore. Trata-se de uma abordagem simples, mas
infelizmente no aplicvel maioria das rvores de Falhas, uma vez que em muitos
casos os acontecimentos bsicos se repetem e normalmente a ordem em que os mesmos
ocorrem importante. Ignorar este aparente pormenor pode levar ao clculo de
probabilidades para o acontecimento de topo sobre-estimadas ou sub-estimadas,
dependendo da estrutura da rvore em anlise (Andrews & Moss, 2002).
2.3.11 Necessidade de evoluir das rvores de Falhas Estticas para as

rvores de Falhas Dinmicas
A rvore de Falhas indubitavelmente uma das ferramentas mais usadas em anlises de
fiabilidade. Como as rvores de Falhas tradicionais (ou estticas) no suportam
dependncias sequenciais e funcionais entre os componentes, algumas metodologias
designadas
por
dinmicas
foram
desenvolvidas
para
ultrapassar
esta
situao,
destacando-se a utilizao das Cadeias de Markov (MC) e as suas extenses, provando

ser uma ferramenta verstil para modelar comportamentos dinmicos complexos de
componentes.
No entanto, a utilizao das cadeias de Markov apresenta dois grandes problemas: um
refere-se construo manual da cadeia para descrever o comportamento de um
sistema, tornando-se em muitos casos uma tarefa complexa, e outro tem a ver com o
problema da exploso do nmero de estados, que aumenta exponencialmente com o
nmero de componentes includos no sistema.
Para ultrapassar algumas destas dificuldades, Boudali & Dugan (2005) propem uma
nova metodologia para anlise da fiabilidade baseada em redes Bayesianas (BN Bayesian networks) para fazer face ao problema do aumento da complexidade de
comportamentos e interaces de componentes, assim como ao crescimento do nmero
de estados.
A questo do crescimento do nmero de estados de um modelo de Markov tambm
referida por Guo & Yang (2008), que afirmam que quanto mais complexo for o sistema
mais o modelo manual de Markov se torna falvel e maior o tempo consumido, o que
pode levar os tcnicos a evitar a sua utilizao (apesar da existncia de algumas
aplicaes informticas). Estes autores desenvolveram uma metodologia baseada na

57
decomposio, encontrando subsistemas independentes e tendo em conta zero avarias,

avarias seguras, avarias perigosas detectadas e avarias perigosas no detectadas.
Da mesma forma, Knegtering & Brombacher (2000) apresentam um mtodo para reduzir
de forma acentuada o esforo de clculo em anlises quantitativas de segurana e
fiabilidade para determinao dos SIL (Safety Integrity Levels), combinando os benefcios
dos modelos de Markov com o modelo RBD (Reliability Block Diagram). Atravs de um
exemplo, os autores mostram como um clculo que demora horas pode ser reduzido a
meros segundos com a aplicao de micro modelos de Markov.
Numa FTA, e em alguns casos, a determinao dos conjuntos de corte mnimos (minimal
cut sets) no depende apenas da ocorrncia em simultneo dos acontecimentos bsicos,
mas tambm da sequncia com que ocorrem. Long et al (2000) chamam SFL (sequential
failure logic) a este tipo de lgica de avaria. No seu trabalho, estes autores referem uma
comparao entre o modelo SFL e o modelo de Markov, onde se mostra que os dois
modelos so consistentes entre si.
Resultante do facto das rvores de Falhas tradicionais (ou estticas) no poderem conter
dependncias sequenciais e funcionais entre os componentes de um sistema, foram
desenvolvidas algumas ferramentas que convertem a descrio dinmica de um sistema
numa MC, como o caso do software Galileo (2004) desenvolvido na Universidade da
Virgnia, nos Estados Unidos da Amrica, fazendo uso de portas lgicas especiais
(dinmicas) e desta forma permitindo modelar substituies de componentes por
sobressalentes, falhas que ocorrem apenas quando se verifica uma certa ordem,
dependncias que propagam a avaria de um componente a outros e avarias que apenas
podem ocorrer numa ordem pr-definida.
Desta forma, e resumindo, podem-se considerar as rvores de Falhas em dois tipos:
Estticas;
Dinmicas.
Os tipos de portas lgicas utilizadas na construo das rvores de Falhas definem se

estas so estticas ou dinmicas. As estticas contm apenas portas lgicas estticas,
enquanto as dinmicas possuem uma ou mais portas lgicas designadas por dinmicas.
Uma rvore de Falhas esttica pode ser depois classificada como coerente (coherent) ou
no-coerente (non-coherent). Quando se incorpora a lgica negativa (NOT) numa rvore
58

de Falhas esttica esta torna-se no-coerente. Desta forma, existem acontecimentos

positivos
acontecimentos
negativos,
correspondendo
sucessos
falhas,
respectivamente, e que levam ocorrncia do acontecimento de topo. Neste ltimo

aspecto incluem-se as portas lgicas NOT, NOR, NAND e XOR. A Tabela 2.2 mostra a
simbologia utilizada para as portas lgicas de negao.
Tabela 2.2 Portas lgicas de negao usadas em Anlises de rvore de Falhas
Os prximos pargrafos descrevem algumas caractersticas relacionadas com a Anlise

de rvores de Falhas Dinmicas (DFTA Dynamic Fault Tree Analysis).
Consideram-se as rvores de Falhas Dinmicas (DFT) como uma extenso das rvores
de Falhas (FT), ao definir portas especiais de forma a capturar as dependncias e
sequncias de funcionamento. Trata-se de um modelo hbrido, com uma abordagem
modular, servindo para analisar rvores de Falhas estticas e dinmicas, combinando a
utilizao de Diagramas de Deciso Binria (BDD) para rvores de Falhas estticas e
Cadeias de Markov (MC) para as dinmicas.
Se
todos
os
componentes
forem
considerados
no-reparveis
(generalidade)
mutuamente independentes poder-se- utilizar a metodologia RBD (Reliability Block

Diagram) ou FTA (Fault Tree Analysis) tradicional (por vezes designada de KTT Kinetic
Tree Theory). Em sistemas que possuem taxas de avaria e de reparao consideradas
constantes tem-se utilizado modelos de Markov, modelos hbridos ou redes de Petri (Petri
Nets).
Os diagramas de deciso binria (BDD) fornecem um meio rpido para analisar rvore de
Falhas. Com este mtodo a rvore de Falhas transformada num BDD, de onde se pode
obter directamente o conjunto de cortes mnimos (Sinnamom & Andrews, 1997).

59
Um BDD um grfico acclico directo onde todos os caminhos do diagrama terminam em

um de dois estados, ou o estado 1 que corresponde falha, ou o estado 0 que
corresponde ao sucesso. Todos os caminhos que terminam no estado 1 do-nos os
conjuntos de corte da rvore de Falhas.
Um BDD composto por vrtices terminais e vrtices no-terminais. Os vrtices
terminais (com valor 0 ou 1) e os no-terminais correspondem aos acontecimentos
bsicos da rvore de Falhas. Cada ramal com vrtice 0 significa a no ocorrncia do
acontecimento bsico e os ramais com vrtice 1 representam a sua ocorrncia (falha).
Cada vrtice do BDD tem uma estrutura if-then-else (ite) do tipo:
ite(X1,f1,f2)
que significa que se X1 falha, ento considerar a funo f1, seno considerar a funo f2.
A funo f1 fica no ramal 1 de X1 e a funo f2 fica no ramal 0 de X1.
A Figura 2.11 mostra um exemplo de uma rvore de Falhas e o correspondente BDD.
Figura 2.11 rvore de Falhas e Diagrama de Deciso Binrio

Neste caso simples e especfico, aplicando a metodologia referente aos BDD, o
corresponde conjunto de cortes mnimos dado por:
{X3}
{X1, X2}
60

Nesta temtica, relacionada com a utilizao de rvores de Falhas, de referir tambm

um estudo recente de Shalev & Tiran (2007). Os autores referem que a FTA uma
ferramenta de anlise de fiabilidade e segurana, onde normalmente atribuda uma
taxa de avarias constante a cada um dos acontecimentos bsicos. No entanto, devido a
factores relacionados com a operao e manuteno dos equipamentos, algumas destas
taxas de avarias tendem a aumentar, pelo que a fiabilidade calculada inicialmente no
corresponde aquela que se regista aps um determinado perodo. Assim, propem uma
nova metodologia baseada na condio (CBFTA - Condition-Based Fault Tree Analysis)
para ultrapassar esta deficincia das FTA. A informao da FTA vai sendo actualizada
com base no controlo de condio que se vai realizando no mbito de uma manuteno
condicional, sendo recalculada periodicamente a probabilidade do evento de topo.
Manian et al (1999) referem tambm que o comportamento falha de muitos
componentes dependente do tempo, sendo assim descrito mais correctamente atravs
de taxas de avaria variveis, ao invs do uso de taxas de avarias constantes. Tal como
descrito
no
pargrafo
referente
fiabilidade
de
componentes,
esse
tipo
de
comportamento pode ser representado atravs de outras distribuies, como a de

Weibull, a Normal ou a Lognormal. Desta forma, para modelar e avaliar sistemas com
valores para as transies que sejam variveis no tempo, dever-se-o registar nos arcos
do modelo de Markov os parmetros relevantes referentes s taxas de avarias e avaliar o
sistema para os diferentes tempos de anlise pretendidos (Manian et al, 1999).
As rvores de Falhas estticas expressam os critrios de falha em termos de combinao
de acontecimentos, enquanto nas rvores de Falhas dinmicas o critrio da falha se
refere combinao dos acontecimentos e a sua ordem de ocorrncia.
Os Diagramas de Deciso Binria (BDD) no podem ser usados para resolver rvores de
Falhas dinmicas. Por outro lado, transformar ou converter grandes rvores de Falhas
numa Cadeia de Markov tambm no muito prtico, uma vez que, tal como referido
anteriormente, o tamanho deste modelo aumenta exponencialmente, aumentando
tambm o tempo para encontrar a sua soluo.
Uma soluo eficiente consiste no uso das duas tcnicas de forma equilibrada, usando
uma abordagem modular, convertendo uma rvore de Falhas (FT) para uma MC apenas
se existir uma ou mais portas dinmicas. Se existirem apenas portas estticas toda a FT
convertida para um BDD.

61
Na prtica, constata-se que apenas uma pequena parte de uma FT dinmica por
natureza, pelo que a identificao de sub-rvores independentes nesta abordagem
modular promove uma deciso no sentido de cada sub-rvore ser resolvida com uma das
duas tcnicas. Estas sub-rvores so tratadas separadamente e as suas solues so
integradas para posteriormente se obter a soluo para toda a FT. Esta abordagem tem a
vantagem de reduzir substancialmente qualquer um dos modelos.
A
Figura
2.12
ilustra
como
metodologia
por
modularizao
foi
pensada
no
desenvolvimento do software Galileo.
Figura 2.12 Abordagem modular do software Galileo

[Fonte: Galileo (2004)]
As sub-rvores independentes so encontradas usando um algoritmo e identificadas
como estticas ou dinmicas. Desta forma, a etapa mais importante da modulao
encontrar uma forma eficiente de identificar sub-rvores independentes. Existem vrios
mtodos para detectar estes mdulos numa FT, entre os quais se destaca o algoritmo
proposto por Dutuit & Rauzy (1996).
Devido ao potencial valor da modulao de rvores de Falhas dinmicas, esta
metodologia tem vindo a ganhar a ateno dos profissionais da fiabilidade que
62

normalmente trabalham com sistemas de segurana crticos, no se ficando apenas pelos

projectos de investigao. O primeiro passo da metodologia apresentada por Amari et al
(2003) idntico ao apresentado por Gulati & Dugan (1997), ou seja, a identificao dos
mdulos independentes de uma FT.
De referir que na anlise de rvores de Falhas, as sub-rvores estticas podem conter
probabilidades de falha constantes (independentes do tempo) ou seguir uma distribuio
exponencial, e que as dinmicas apenas suportam a distribuio exponencial para os
tempos para a avaria.
Relativamente s rvores de Falhas so referidos seis tipos de portas dinmicas, para
alm das trs portas estticas (AND, OR e K/N) tradicionais. So elas:
A porta de dependncia funcional (FDEP);
As portas de sobressalentes Cold, Hot e Warm (CSP, HSP e WSP);
A porta AND Prioritrio (PAND);
A porta de sequncia forada (SEQ).
A Tabela 2.3 mostra a simbologia de portas lgicas usada em rvores de Falhas

dinmicas.
Tabela 2.3 Portas lgicas dinmicas
A porta FDEP composta por um acontecimento despoletador (ou gatilho) (trigger) e um

conjunto de componentes dependentes. Quando o acontecimento despoletador ocorre,
causa a falha dos componentes dependentes. Atravs desta porta pode-se representar a
ocorrncia de falhas simultneas devido a um acontecimento nico. O designado efeito
de domin pode ser tambm representado atravs de portas FDEP em cascata. A
prxima figura mostra uma representao grfica da porta FDEP.

63
FDEP
Trigger
...
Acontecimentos dependentes
Figura 2.13 Porta lgica FDEP

Quanto porta lgica Spare pode-se dizer que as portas CSP e HSP so casos
particulares da porta WSP, quando os factores de adormecimento (=dormancy factors)
correspondem aos valores 0 e 1, respectivamente. Por exemplo, para a porta CSP
com uma entrada primria e uma ou mais entradas alternativas (sobressalentes), onde
todas as entradas so acontecimentos bsicos (ou componentes), se a entrada primria
est inicialmente a funcionar, quando esta falha, substituda por uma entrada
alternativa. A sada da porta CSP verdadeira (falha) quando a entrada primria e todas
as alternativas corresponderem a falhas. A prxima figura mostra tambm uma
representao grfica deste tipo de porta.
CSP
1
Primrio
...
Sobressalentes
Figura 2.14 Porta lgica CSP

A porta E prioritrio (PAND) tem duas entradas (A e B). O resultado
correspondente a uma falha quando A e B falham, e desde que A falhe antes (ou ao
mesmo tempo) de B, caso contrrio no ocorrer uma falha.
64

Com a falha dos dois componentes chega-se a dois estados absorventes, embora um
seja de falha do sistema e outro no. A representao grfica da porta PAND pode ser
visualizada atravs da seguinte figura.
Figura 2.15 Porta lgica PAND

A porta lgica Sequncia forada (SEQ) fora as suas entradas a falhar numa ordem
sequencial particular, ou seja, s ocorrer a falha se a sua sequncia for respeitada.
Figura 2.16 Porta lgica SEQ
2.4 Conceito de Manutibilidade

O conceito de manutibilidade s deve ser utilizado quando se tratar de bens reparveis,
uma vez que este conceito traduz a facilidade e consequente rapidez com que um bem
que avariou ou atingiu a altura de fazer manuteno preventiva pode ser reposto no seu
estado operacional.

65
A manutibilidade do equipamento pode ser definida como a Aptido de um bem, sob

condies de utilizao definidas, para ser mantido ou restaurado, de tal modo
que possa cumprir uma funo requerida, quando a manuteno realizada em
condies definidas, utilizando procedimentos e recursos prescritos (NP EN
13306, 2007).
A definio de manutibilidade tambm pode ser dada como a capacidade de um item,
sob determinadas condies de uso, ser mantido ou restaurado para um estado
no qual pode cumprir as funes requeridas, quando a manuteno realizada
em determinadas condies e usando procedimentos e recursos prescritos
(Rausand & Hoyland, 2004).
Monchy (1996) transcreve a manutibilidade da norma francesa AFNOR X 60-010 como
sendo a Aptido de um dispositivo a ser mantido ou restabelecido num estado
que possa cumprir a funo requerida, em condies de utilizao, desde que a
manuteno seja realizada em determinadas condies, com os procedimentos
e meios prescritos.
Como
se
pode
observar,
as
definies
anteriores
so
muito
similares.
Assim,
resumidamente, a manutibilidade de um produto a sua capacidade, expressa por uma

probabilidade, de:
Ser convenientemente reparado, ou seja, colocar o bem avariado no estado

considerado operacional;
Num perodo de tempo conveniente;
Sob condies operacionais e ambientais especificadas;
Por uma equipa ou operador habilitado.
Claramente, a manutibilidade est relacionada com a fase de projecto do equipamento e

com a ateno que nessa fase foi dada a aspectos como:
66
Boa acessibilidade;
Montagem das unidades concebida para substituies rpidas;
Acesso a inspeces internas por meios alternativos (ex. fibras pticas);
Indicadores de vibrao;
Identificao dos circuitos pelas cores convencionais;
Modularizao de funes;

Utilizao de ligas diferentes em zonas e componentes diferentes de modo a

permitir pela anlise de partculas em suspenso no leo identificar a sua
provenincia, indicando a zona que est a ser afectada por desgaste;
Outros.
Quando se fala em reparao h que ter o cuidado em separar, de uma forma clara, o
que corresponde s aces tcnicas de manuteno e o que inerente a atrasos
administrativos ou logsticos (ex.: espera pela chegada de peas sobressalentes).
De acordo com a diversidade de bens e variedade de procedimentos de reparao, os
valores da manutibilidade variam de forma significativa, apresentando casos em que a
reposio em servio praticamente instantnea e outras situaes onde se necessita
mais tempo.
A manuteno correctiva pode ser quantificada atravs do tempo mdio para reparar
(MTTR = Mean Time To Repair). No entanto, este tempo inclui diversas actividades,
normalmente divididas em trs grupos, nomeadamente (OConnor, 1999):
Tempo de preparao encontrar a pessoa para o servio, deslocao, obter as

ferramentas e equipamento de teste, etc;
Tempo de manuteno efectivo tempo exclusivo para fazer a tarefa;
Atrasos Tempo logstico, como por exemplo esperar por sobressalentes, uma
vez comeada a tarefa.
Para Ferreira (1998), os tempos tcnicos de reparao (TTR) resultam geralmente do

somatrio dos seguintes tempos:
Tempo de verificao que a avaria existe de facto (eliminar o falso alarme);
Tempo de diagnstico;
Tempo de acesso ao orgo avariado;
Tempo de substituio e/ou reparao;
Tempo de montagem;
Tempo de controlo e de arranque do sistema.
Na quantificao da manutibilidade recorre-se normalmente ao indicador correspondente

ao tempo mdio de reparao ou recolocao em servio (MTTR), sendo este calculado
de uma forma simples para o registo de n intervenes atravs da seguinte expresso.

67
MTTR =
TTR
i = 1,2,3,...
(2.19)
Em qualquer estudo que se efectue, convm numa primeira fase especificar de forma
correcta o que se entende por reposio em servio, de forma a no influenciar o valor
da manutibilidade de forma significativa.
Como a manutibilidade tambm pode ser traduzida por uma probabilidade, pode-se
tambm ajustar aos tempos de reparao ou recolocao em servio uma determinada
distribuio estatstica. semelhana da fiabilidade, as distribuies estatsticas mais
caractersticas, quando se efectuam estudos de manutibilidade, so:
Weibull (1, 2 ou 3 parmetros);
Exponencial (1 ou 2 parmetros);
Lognormal (2 parmetros);
Normal (2 parmetros).
Tambm de forma anloga aos estudos de fiabilidade, quando se fala no conceito de

manutibilidade, pode-se referir a funo densidade de probabilidade de reposio [g(t)].
A funo manutibilidade corresponde probabilidade do tempo para recolocao em
servio ser inferior a um dado tempo t. Desta forma, a funo manutibilidade pode ser
expressa por:
M (t ) = Pr(TTR < t )
t >0
(2.20)
ou
t
M (t ) = g (t )dt
(2.21)
A Figura 2.17 mostra o comportamento tpico da variao deste tipo de curvas no tempo,
de acordo com os parmetros da distribuio em causa.
68

g(t)
WEIBULL
1 < <3
>>3
=1
<1
Durao t
g(t)
EXPONENCIAL
g(t)
=1
Durao t
LOGNORMAL
g(t)
NORMAL
Durao t
Durao t
Figura 2.17 Tipos mais comuns da funo densidade de probabilidade de reposio

A distribuio de Weibull de uma forma geral muito prtica, uma vez que pode
englobar a maioria dos casos prticos, tudo devido influncia do parmetro de forma
(). A distribuio Exponencial pode ser considerada um caso particular da distribuio de
Weibull, onde o parmetro de forma assume o valor unitrio ( = 1).
A distribuio Normal aplica-se quando as reposies em servio se concentram em torno
de um valor mdio de forma simtrica. Esta distribuio assemelha-se com a distribuio
de Weibull quando o parmetro de forma () assume valores prximos de 3,4.
a distribuio que mais frequentemente se utiliza em estudos de manutibilidade, uma
vez que a maior parte dos trabalhos de recolocao em servio se efectua volta de
valores considerados tempos-padro.
Alm destas distribuies mais usuais, outras podero corresponder aos dados relativos
s recolocaes em servio, como a distribuio Gama, Gama Generalizada ou Logstica,
entre outras, embora no acontea com tanta frequncia.

69
2.5 Conceito de Disponibilidade

De acordo com a norma portuguesa NP EN 13306 (2007), disponibilidade a Aptido
de um bem para cumprir uma funo requerida sob determinadas condies,
num dado instante ou durante um dado intervalo de tempo, assumindo que
assegurado o fornecimento dos necessrios recursos externos, com uma nota
mencionando que esta aptido depende da combinao da fiabilidade, da manutibilidade
e da adequabilidade da manuteno.
A disponibilidade tambm pode ser descrita como a capacidade de um item (sob
determinados aspectos combinados de fiabilidade, manutibilidade e suporte de
manuteno) realizar a funo requerida num dado instante ou durante um
dado perodo de tempo (Rausand & Hoyland, 2004).
O complementar da disponibilidade [A(t)] a indisponibilidade [Q(t)], satisfazendo a
relao:
A(t ) + Q(t ) = 1
(2.22)
Poder-se-ia numa primeira fase afirmar que a disponibilidade depende basicamente de:
Frequncia de avarias Fiabilidade;
Tempo de reparao das avarias (bens reparveis) Manutibilidade
No entanto, existem outros factores que no devem ser esquecidos, tais como:
Tipo e frequncia de intervenes Estratgia de manuteno;
Quantidade
qualidade
dos
meios
administrativos
logsticos,
sua
interdependncia Logstica.
A Figura 2.18 mostra as relaes entre a disponibilidade, a manutibilidade e a fiabilidade
para bens reparveis.
70

Figura 2.18 Relao entre Disponibilidade, Manutibilidade e Fiabilidade

[Fonte: Pallerosi (2007d)]
A afirmao corrente de que quando se analisam bens no reparveis o conceito de
fiabilidade se torna um caso particular da disponibilidade, assumindo desta forma valores
idnticos discutvel, e necessrio definir bem o que est em causa. Esta ideia pode ter
algum fundamento quando analisada do ponto de vista da disponibilidade do bem, mas
quando observada a disponibilidade em termos da funo, tendo em conta os tempos
referentes troca do bem avariado por outro, com as inerentes aces de pesquisa da
avaria, acesso ao local, disponibilizao de mo de obra, etc., a fiabilidade e a
disponibilidade (funcional) do equipamento ou sistema no tero obrigatoriamente os
mesmos valores. De acordo com a representao da Figura 2.18, constata-se que o
aumento da disponibilidade alcanado se a fiabilidade e/ou a manutibilidade forem
melhoradas. De facto, ao reduzir-se a probabilidade de avaria e/ou ao se diminuirem os
tempos de interveno para realizar as actividades de manuteno, quer de carcter
preventivo, quer correctivo, o tempo global em que o bem se encontra disponvel para
cumprir a sua funo aumentar. No entanto, a disponibilidade (ou indisponibilidade)
pode ser referida a vrias condies e duraes de referncia, podendo ser apresentada
de vrias formas. Os prximos pargrafos descrevem os vrios tipos de disponibilidade.

71
2.5.1 Disponibilidade instantnea

A disponibilidade instantnea a probabilidade de um bem ser capaz de desempenhar
uma funo requerida, sob dadas condies, num dado instante, supondo-se que os
recursos externos esto assegurados.
Quando se trata de variveis contnuas, para o clculo da disponibilidade instantnea de
um sistema adopta-se uma soluo numrica, por meio de simulao, com recurso a
software
disponvel
devido
complexidade
das
solues
analticas
(diferentes
distribuies estatsticas para os componentes do sistema para a fiabilidade e

manutibilidade). Quanto maior o nmero de simulaes, maior o tempo requerido para
os clculos, mas melhor a preciso dos resultados (se as simulaes forem as mais
correctas).
No caso de nos referirmos a bens reparveis (uma unidade simples) com taxa de avarias
() e taxa de reparao () constantes, a disponibilidade instantnea, ou probabilidade
do bem se encontrar disponvel no tempo t igual a (OConnor, 1999):
a (t ) =
.e [( + ).t ]
(2.23)
2.5.2 Disponibilidade mdia

A
disponibilidade
mdia
pode
ser
descrita
como
mdia
das
disponibilidades
instantneas durante um determinado intervalo de tempo.

Para variveis contnuas, e de forma anloga ao clculo da disponibilidade instantnea,
adopta-se uma soluo numrica, por meio de simulao, com recurso a software
disponvel. Nota-se uma tendncia decrescente dos valores pontuais da disponibilidade,
desde t=0, tendendo assimptoticamente para um determinado valor. A disponibilidade
mdia calcula-se fazendo tender para infinito o valor t da expresso (2.23).
A(t ) = lim a (t )
t
72
(2.24)

No caso particular, onde a taxa de avarias () e taxa de recolocao () so constantes,

correspondentes a modelos de distribuio exponenciais, a disponibilidade mdia (ou
assimpttica), dada por:
A(t ) =
(2.25)
Ou, em funo das duraes, na forma:
A(t) =
MUT
MUT + MDT
(2.26)
com
MUT = Tempo mdio de funcionamento (Mean Up-Time)

MDT = Tempo mdio de paragem (Mean Down-Time)
De acordo com Pallerosi (2007d), consegue-se determinar o valor assimpttico da
disponibilidade para duraes correspondentes a cerca de 4 (quatro) vezes o valor do
tempo mdio at falha (MTTF).
O valor da disponibilidade mdia (ou assimpttica) um dado importante, pois na prtica
define a disponibilidade real de um bem durante um longo perodo de utilizao,
caracterstico da sua qualidade de explorao e manuteno.
Por vezes a disponibilidade mdia tambm referida como a disponibilidade inerente (ou
intrnseca), que se refere ao tempo mdio at avaria e ao tempo mdio at
recolocao, no includos os atrasos logsticos e administrativos nas reparaes. Esta
uma expresso muito comum quando se pretende quantificar a disponibilidade, embora
seja mais aplicvel a bens reparveis.
A(t ) =
MTTF ( MTBF )
MTTF ( MTBF ) + MTTR
(2.27)
importante realar que quando se trata de equipamentos novos, com as inerentes

avarias no perodo inicial de operao (ver 2.3.2), perodo onde as taxas de avaria so
decrescentes, haver a possibilidade de se verificar uma disponibilidade crescente com o
uso, contrariando um pouco as explicaes dos pargrafos anteriores. Ser ento

73
necessrio proceder-se a uma anlise independente da disponibilidade aps este perodo

(perodo de mortalidade infantil).
Deve-se tambm considerar a situao de se poderem verificar reparaes imperfeitas,
havendo em determinados clculos a hiptese de afectar o bem de um factor de
restaurao. A poltica de recursos humanos tambm deve ser tida em conta, uma vez
que em determinados casos a disponibilidade e o nvel de formao do pessoal para
efectuar a manuteno podem induzir atrasos recorrentes nas aces a realizar.
A frmula de clculo da disponibilidade mdia varia de acordo com o tipo de arranjo em
que os componentes que fazem parte desse sistema se encontram (OConnor, 1999). A
expresso (2.28) refere-se ao clculo de um sistema com n componentes idnticos em
srie.
A(t ) =
i =1
+ i
(2.28)
No caso de n componentes idnticos em paralelo activo, a disponibilidade mdia

determinada pela seguinte expresso:
A(t ) = 1
i =1
+ i
(2.29)
Para um sistema k/n, como por exemplo um sistema 2 em 3, a disponibilidade mdia

pode ser determinada atravs da expresso (2.30).
A(t ) = 1
k 1 n
1
n i
.
.
n
( + ) i = 0 i
(2.30)
Conforme se pode constatar, na eventualidade de os componentes no serem idnticos

ou quando se trata de sistemas complexos, ser necessrio recorrer a programas
informticos especializados para se determinar a sua disponibilidade mdia.
74

2.5.3 Disponibilidade operacional

A disponibilidade operacional considera todos os tempos adicionais para recolocao do
bem no estado funcional, tais como os tempos indisponveis devido a manuteno
preventiva e atrasos logsticos ou administrativos, reflectindo o seu valor no s as
caractersticas de fiabilidade e manutibilidade, como tambm os aspectos organizacionais
e operacionais.
Representa o valor da disponibilidade correspondente utilizao real do bem aps a
ocorrncia de falhas e recolocaes. Quando se tenta estimar este valor, tem que se ter
em conta a dificuldade em controlar alguns tempos adicionais, uma vez que os mesmos
apresentam uma grande variao, devido fundamentalmente a factores externos
(fornecimento de bens ou servios).
2.6 Conceito de Segurana

De acordo com a MIL-STD 882-C (1993), segurana definida como a Ausncia das
condies que podem causar morte, ferimentos, doena, dano ou perda de
equipamento ou propriedade, ou dano para o ambiente.
O conceito de segurana est intimamente ligado aos outros trs elementos do RAMS j
referidos, fundamentalmente quando falamos de aplicaes consideradas crticas ou
instalaes de alto risco industrial, se com a ocorrncia de avarias ou indisponibilidade
dos equipamentos estiverem em causa riscos para a vida humana, ambiente ou factores
econmicos relacionados com a perda de bens ou cessao das actividades. Dizemos que
existe segurana quando h ausncia de risco no aceitvel (NP EN 50126, 2000).
Para toda a aplicao crtica em termos de segurana devero adoptar-se mecanismos
especiais, de forma a garantir que qualquer estado considerado inseguro no ocorra. Se
tal acontecer, o sistema dever promover uma reduo ou mitigao das suas
consequncias e a rpida recuperao para um dado estado considerado seguro.
Como exemplos mais marcantes, podem-se referir as instalaes nucleares, sistemas de
transportes areos ou ferrovirios, equipamentos mdicos e a rea da energia, entre
outros. Neste ltimo caso, a energia elctrica toma carcter de relevo, uma vez que dela

75
dependem inmeros sistemas crticos, onde uma falha de energia pode ter efeitos graves
(ex. hospitais, sinalizao rodoviria).
Normalmente as aplicaes crticas ou de alto risco quanto segurana esto sujeitas a
regulamentao rgida, garantindo assim que a preocupao com a segurana esteja
presente desde o projecto, desenvolvimento e implementao do sistema, assim como
na fase de explorao (manuteno) e em alguns casos na fase de abate ou
desmantelamento.
O desenvolvimento de solues tecnolgicas, que restringem ou reduzem a possibilidade
de avaria nos sistemas, e neste caso com maior incidncia nos sistemas crticos ou de
alto risco, torna-se um grande desafio no campo da investigao e engenharia.
A maioria das aplicaes necessita de um sistema de superviso e controlo de forma a
garantir que os requisitos especificados sejam cumpridos. Este sistema de superviso e
controlo dever tambm merecer especial ateno, uma vez que dele dependem os
sistemas supervisionados.
Sempre que um bem se encontra a desempenhar as suas funes de segurana nas
condies estabelecidas e durante um perodo de tempo determinado, designa-se por
integridade da segurana. De acordo com normas internacionais (IEC 61508, 1998)
estabelecem-se nveis discretos de integridade de segurana (SIL = Safety Integrity
Level) para especificar os requisitos das funes de segurana. Ao nvel de integridade de

maior valor (SIL 4) corresponde o nvel de integridade de segurana mais elevado.
Os conceitos tcnicos de segurana so baseados no conhecimento de (NP EN 50126,
2000):
Situaes potencialmente perigosas do sistema;
Caracterstica de cada situao potencialmente perigosa, quanto gravidade das

suas consequncias;
Critrios de falha contrrios segurana (modos de falha, probabilidade de

ocorrncia, sequncia ou coincidncia de acontecimentos, estados operacionais,
condies, etc.);
Manutibilidade dos bens (facilidade para executar manuteno, probabilidade de

ocorrncia de erros durante as aces de manuteno, tempo para se atingir um
estado de segurana, etc.);
76

Sistema
de
explorao
manuteno
(influncia
de
factores
humanos,
ferramentas, infra-estruturas logsticas, procedimentos e controlos, etc).

A segurana, como um elemento de extrema importncia nas instalaes industriais de
risco elevado, pode ser salvaguardada com recurso introduo de factores de
segurana na fase de projecto, com base em estudos probabilsticos referentes aos
modos de falha, ou com ambos os critrios, como o caso da metodologia FPSF (Failure
Probability-Safety Factor Method) que combina os constrangimentos referentes aos

factores de segurana e a probabilidade de falha (Castillo et al, 2003). Neste aspecto
particular, os factores de segurana surgem em muitos casos associados fiabilidade,
mostrando a existncia de uma relao entre ambos os conceitos (Ching, 2009).
Burdekin (2007) explica os princpios gerais para aplicar os referidos factores de
segurana na fase de projecto e nos estudos de integridade estrutural.
Em alguns estudos de segurana d-se mais nfase prpria sequncia dos
acontecimentos que levam falha do sistema e s probabilidades de ocorrncia dessa
sequncia do que propriamente ao conhecimento dos modos de falha dos componentes
(Adamyan & He, 2002). Nesta perspectiva, a Figura 2.19 retrata uma rvore de
Acontecimentos para o exemplo j mencionado aquando da referncia Anlise de
rvore de Falhas (FTA).
Figura 2.19 Exemplo de uma Anlise de rvore de Acontecimentos

Os resultados numricos dos estudos probabilsticos de segurana (PSA = Probabilistic
Safety Assessment) dependem da informao ou dados relativos fiabilidade e dos

mtodos usados na anlise.

77
Hauptmanns (2009) mostra no seu trabalho como os resultados variam quando se dispe
de conjuntos de dados distintos e se opta por diferentes critrios de sucesso para os
sistemas de segurana de uma instalao. O mesmo autor mostra noutro estudo
(Hauptmanns, 2008) o impacto dos dados de fiabilidade nos clculos probabilsticos de
segurana. De facto as bases de dados de fiabilidade, assim como a informao referente
s taxas de avarias, podem servir de ponto de partida para uma melhoria da segurana
(Keren et al, 2003).
Sorensen (2002) mostra numa interessante compilao a evoluo do termo cultura de
segurana e a relao entre cultura de segurana e a segurana das operaes na

produo de energia nuclear e outras tecnologias potencialmente perigosas. Segundo
este autor, os atributos de uma cultura de segurana incluem uma boa organizao das
comunicaes e da formao e uma gesto empenhada na temtica da segurana, o que
permite reduzir erros latentes em sistemas complexos.
Como no podia deixar de ser, a segurana de equipamentos e instalaes est em
grande parte associada aos erros humanos. Colombo & Demichela (2008) propem uma
metodologia de integrao do desempenho e dos resultados das anlises de fiabilidade
humana (HRA = Human Reliability Analysis) em estudos de risco quantitativos (QRA =
Quantitative Risk Assessment), e nomeadamente dos factores humanos e organizacionais

em anlises de segurana. Outro estudo demonstra os benefcios de usar os factores
humanos na melhoria da segurana dos sistemas e da fiabilidade dos mesmos (Hughes &
Kornowa-Weichel, 2004).
Como se pode constatar atravs dos pargrafos anteriores, o conceito de segurana
encontra-se directamente ligado noo de risco. De facto, o risco torna-se um tema
inevitvel quando se efectuam as mais diversas anlises de instalaes industriais de
risco elevado. Se teoricamente nestas instalaes no existissem quaisquer tipos de risco
(vida humana, econmicos, ambientais), no se justificaria a realizao de estudos na
rea do RAMS.
Assim, devido importncia demonstrada na questo do risco, justifica-se a introduo
do Captulo III, exclusivamente dedicado a esta temtica.
78

2.7 Concluses do Captulo

Neste captulo fez-se uma introduo ao conceito RAMS (Reliability, Availability,
Maintainability and Safety), mostrando a sua importncia no contexto industrial e a sua

aplicao ao longo de todo o ciclo de vida dos bens e suas implicaes no risco. Foi
referida a importncia da Fiabilidade e da Manutibilidade na Disponibilidade e na
Segurana operacional. Conceptualmente, na metodologia RAMS, os dois primeiros
factores podem ser referenciados como factores originais (ou de input), enquanto os dois
ltimos factores como resposta (ou output).
Para melhor compreenso de cada um dos referidos elementos do RAMS, foram
apresentadas individualmente as suas caractersticas e alguns conceitos relacionados
com cada uma das temticas.
Relativamente Fiabilidade, foram apresentadas algumas definies e apontadas
algumas razes que justificam o seu estudo. Mostraram-se as principais diferenas entre
os conceitos de fiabilidade e qualidade com a introduo da fiabilidade como uma
extenso da qualidade ao longo do tempo. Relativamente s estimativas da fiabilidade
foram referidas as duas fontes onde fundamentalmente nos podemos basear para prever
a fiabilidade dos bens, nomeadamente a execuo de ensaios ou o recurso a bases de
dados.
Quanto aos ensaios foram ainda referidos os vrios tipos de ensaios normalmente
realizados para determinao ou clculo da fiabilidade, como os ensaios normais, ensaios
acelerados (ALT) ou os ensaios altamente acelerados (HALT), assim como os seus
objectivos e aplicaes tpicas.
Foi explicada a noo de bem reparvel e bem no-reparvel (descartvel), acentuando
as suas diferenas e a distino na abordagem quando se realizam estudos de fiabilidade.
Apesar de no se proceder ao seu desenvolvimento no presente trabalho, tornou-se
imperioso referir o tema da fiabilidade humana e algumas metodologias actualmente
usadas no clculo deste factor, que em muitas situaes pode ser a principal fonte de
ocorrncia de acidentes. Referiram-se as avarias de causa comum (CCF) como algo a ter
em conta nas anlises de fiabilidade, uma vez que a sua ocorrncia tambm poder ter
grande influncia nos resultados obtidos.

79
Referiram-se tambm outros conceitos relacionados com a fiabilidade, como por exemplo
a distino entre falha e avaria e entre acontecimentos dependentes e independentes.
Foram referidas as principais funes associadas ao clculo da fiabilidade, como a funo
densidade de probabilidade de falha, fiabilidade e probabilidade acumulada de falha,
assim como taxa de avarias, tempo mdio de vida e fiabilidade condicional.
Ainda dentro do estudo de fiabilidade foi referida a importncia do clculo da fiabilidade
de componentes e apresentadas no Anexo I as principais distribuies estatsticas mais
em pormenor. No seguimento deste tema remeteu-se para o Anexo IV o clculo da
fiabilidade de sistemas, de acordo com o tipo de arranjo em que os componentes que os
constituem se encontram (srie, paralelo, standby, k/n, etc.).
Para o clculo da fiabilidade descreveram-se alguns mtodos como a rvore de
Acontecimentos, os diagramas de Blocos de Fiabilidade, as Redes de Petri e as rvores
de Falhas. Neste aspecto em particular aprofundou-se a metodologia de Anlise de
rvores de Falhas, distinguindo as rvores estticas das dinmicas e apresentando as
razes que levaram a evoluir das primeiras para as ltimas.
O segundo factor explicado em detalhe foi o conceito de Manutibilidade. Neste tema,
partiu-se da sua definio e da traduo da manutibilidade como uma probabilidade.
Verificaram-se alguns aspectos e caractersticas que se devem ter em conta na fase de
projecto com vista melhoria da manutibilidade e mostrou-se neste contexto a diferena
entre o que propriamente se entende como aces tcnicas de manuteno e questes
como atrasos logsticos ou administrativos. Desta forma, aproveitou-se para demonstrar
que relativamente aos tempos de recolocao em servio de um determinado bem,
tambm se podem ajustar as distribuies estatsticas usadas nos estudos de fiabilidade.
O terceiro conceito a ser referido foi a Disponibilidade, descrevendo como este
fortemente influenciado pelos dois conceitos anteriores (Fiabilidade e Manutibilidade).
Apresentaram-se alguns tipos de disponibilidade e a forma como os mesmos podem ser
calculados.
De forma a completar em detalhe todos os elementos do RAMS, passou-se ao ltimo
conceito, relacionado com a Segurana. Neste aspecto, tornou-se imperioso referir a
noo de risco como ideia complementar segurana, abrindo espao para o prximo
tema. Assim, este captulo serviu para apresentar e cimentar as bases para o trabalho
realizado, sendo fundamental para a compreenso dos prximos captulos.
80

Captulo III Risco
CAPTULO III
RISCO
3.1 Introduo
Qualquer actividade integra nos seus mais variados aspectos uma anlise e uma gesto
dos riscos. Independentemente das situaes, quer se trate de questes pessoais,
profissionais ou at mesmo governativas, existe uma necessidade constante para a
tomada de decises onde normalmente o risco ponderado, muitas vezes sem a sua
percepo.
Outras decises, porm, carecem de uma anlise mais profunda e maior ponderao
quanto opo a escolher. Como qualquer acontecimento depende de um conjunto de
factores, existe sempre uma incerteza associada, o que torna a tomada de decises uma
tarefa por vezes complicada pois necessrio avaliar essas incertezas. Trata-se de um
processo onde se estima o risco envolvido em cada opo, seguido de uma avaliao e
tomada de deciso pela opo mais favorvel, assumindo o risco ou, por vezes,
transferindo-o para terceiros (ex. seguros). A aceitao do risco tem normalmente a ver
com o que se considera serem os valores mximos admissveis para cada situao
especfica.
A primeira definio conhecida de risco citada na literatura aparece na obra Logic, or the
Art of Thinking (Arnauld & Nicole, 1996) publicada pelo Port Royal Monastery, em
Inglaterra, no ano de 1662, onde risco definido como sendo: O medo do dano
(harm), que dever ser proporcional no s gravidade do dano mas tambm
probabilidade de ele acontecer.

81
Captulo III Risco
A noo de risco e a sua percepo pelo pblico tem evoludo com o tempo. No entanto,
a avaliao matemtica do risco relativamente recente. S em meados do sc. XX
que se desenvolveram as ferramentas matemticas necessrias para um tratamento
cientfico mais rigoroso deste problema. Quando os riscos so identificados e avaliados
pode-se ento considerar se so aceitveis ou no. obvio que esta tomada de deciso
deve ser feita dentro de pressupostos realistas e objectivos de segurana para pessoas,
ambiente e bens.
Qualquer que seja a rea estudada, quer seja nuclear, aeroespacial, qumica, automvel
ou outra, a segurana tem vindo a ganhar cada vez mais importncia. Segundo
Kumamoto (2007), de acordo com as actividades internacionais desenvolvidas nesta
rea, transformou-se este sculo numa era de prioridade segurana (safety-first age).
Em termos de risco, so estabelecidos objectivos e a partir da desenvolvem-se
projectos, instalam-se os
equipamentos e
procede-se
sua
explorao, nunca
esquecendo a manuteno dos mesmos.

A falha um fenmeno inevitvel em todos os produtos e sistemas tecnolgicos. Do
ponto de vista cientfico e da engenharia, a investigao do incerto e obscuro domnio
das falhas leva explorao dos limites funcionais e fsicos dos sistemas, no esforo de
perceber como, porqu e quando um bem no ir funcionar adequadamente. Seja qual
for o contexto, o controlo e gesto das falhas fundamental na gesto do risco.
Tal como j referenciado no captulo anterior, as reas relacionadas com a anlise das
falhas tornam-se multidisciplinares, uma vez que envolvem temas como a fiabilidade,
disponibilidade,
manutibilidade
segurana
(RAMS),
risco,
qualidade,
deteco,
identificao de falhas e tolerncia falha, entre outras.
3.2 Risco
Pode-se comear por definir o que o risco. Fundamentalmente, o risco envolve
acontecimentos futuros de consequncias incertas e pretende quantificar o que se espera
a nvel de consequncias. Assim, o risco basicamente composto por duas
componentes, uma a incerteza quanto ocorrncia dos acontecimentos
futuros e a outra refere-se dimenso ou intensidade das consequncias de
cada acontecimento possvel (Rausand & Hoyland, 2004). Esta a definio clssica
do risco.
82

Captulo III Risco
Tipicamente, quando se fala em risco relacionam-se as duas componentes anteriormente

referidas com aspectos como a vida humana, valores materiais ou consequncias
ambientais. Por vezes, conseguimos relacionar com valores monetrios, traduzindo o
risco em valores mais palpveis e fceis de analisar.
Henley & Kumamoto (1981) referem o risco como a probabilidade de perda ou
danos para as pessoas e propriedade. Neste conceito, um dos objectivos de uma
anlise
de
risco
passa
pela
atribuio
de
uma
frequncia
(probabilidade)
consequncias possveis para a avaria de um sistema (ex.: o nmero expectvel de
vitimas por ano devido exploso de um reactor 10-4). Nesta vertente, Farmer
apresentou nos anos 60 uma relao entre a dimenso estimada de uma fuga radioactiva
para a atmosfera motivada por um acidente num reactor nuclear e a probabilidade de
ocorrncia desse acidente especfico, definindo graficamente uma linha limite para a
frequncia de fuga radioactiva que poderia ser utilizada posteriormente como um guia
para novas instalaes ou para a avaliao da segurana das instalaes existentes. A
partir deste tipo de abordagem surgiram diversas aplicaes, dando origem s
designadas curvas de Farmer.
Convm no esquecer outro factor importante no risco, que a dimenso tempo.
Normalmente as probabilidades variam com o tempo de exposio a uma dada situao.
Assim, a definio mais precisa do risco pode ser expressa pelo valor esperado, por
unidade de tempo, das consequncias de determinado processo. Pode-se afirmar que o
risco uma combinao da probabilidade de dano e a sua severidade, enquanto a
segurana se relaciona com a ausncia de risco considerado inaceitvel.
3.2.1 Anlises de Risco

Na anlise de risco de um processo ou sistema pretendem-se fundamentalmente
determinar os riscos a que o mesmo est sujeito. A anlise de risco pode ser qualitativa
ou quantitativa. Normalmente uma anlise quantitativa pressupe inicialmente uma
abordagem qualitativa, que posteriormente quantificada de acordo com as informaes
recolhidas sob o processo ou sistema em causa.
A primeira etapa constituda por um processo de identificao dos potenciais perigos
que podem levar ocorrncia de acidentes. Esta fase deve ser levada a cabo por uma

83
Captulo III Risco
equipa multidisciplinar constituda por pessoas operacionais do terreno, responsveis

pela manuteno, especialistas em anlise de risco e gesto, entre outros.
Aps esta fase passa-se identificao das sequncias de acontecimentos que os
potenciais
perigos
anteriormente
identificados
podem
originar,
assim
como,
os
acontecimentos finais dessas sequncias. Entre as vrias tcnicas disponveis salienta-se

a rvore de Acontecimentos (ETA = Event Tree Analysis) e a rvore de Falhas (FTA =
Fault Tree Analysis), ambas j referidas no Captulo II.

Normalmente, a rvore de Falhas usada para calcular a probabilidade de ocorrncia de
um dado acontecimento e a rvore de Acontecimentos para determinar a probabilidade
das vrias consequncias possveis desse mesmo acontecimento.
Outra ferramenta normalmente utilizada a tcnica HAZOP (Hazard and Operability),
que considera desvios aos atributos dos objectos. Estes atributos incluem quantidades
fsicas como caudais, temperaturas, presses, concentraes, foras, tempos, etc. A
tcnica HAZOP utiliza determinadas palavras-guia para especificar acontecimentos
anormais, tais como no, mais, menos, antes e depois, entre outras.
Posteriormente, as causas relativas aos desvios assinalados so tambm investigadas.
No trabalho apresentado por Kumamoto (2007) pode-se analisar uma lista do
vocabulrio usado para expressar os referidos acontecimentos anormais ou desvios.
A utilizao de mtodos quantitativos surgiu durante a segunda guerra mundial, para
resoluo de problemas estratgicos e tcticos, tendo outros investigadores continuado a
aplicao de mtodos quantitativos noutras reas que no a militar. Os mtodos
quantitativos so especialmente teis em sistemas complexos de grande dimenso, onde
seria difcil de resolver apenas com base na experincia ou intuio. Tambm indicado
para abordagens a problemas novos que possam surgir, ajudando na tomada de deciso.
De acordo com a IEC 60300-3-9 (1995) uma anlise de risco corresponde ao Uso
sistemtico de informao disponvel para identificar perigos e estimar o risco
para indivduos ou populaes, propriedade ou ambiente.
De acordo com a NS 5814 (1991), ser Uma aproximao sistemtica para
descrever e/ou calcular o risco. A anlise de risco envolve a identificao de
84

Captulo III Risco
acontecimentos
indesejados
as
causas
consequncias
desses
acontecimentos.
Relativamente a anlises de risco, podem-se referir os seguintes documentos:
IEC 60300-3-9 Risk analysis of technological systems
EN 1050 Safety of machinery risk assessment
EN 50126 Railway applications The specification and demonstration of
reliability, availability, maintainability and safety (RAMS)
ISO 17776 Petroleum and natural gas industries Offshore production
installations Guidelines and tools for hazard identification and risk assessment
Norsok Z-013 Risk and emergency preparedness analysis
EN 1441 Medical Devices Risk Analysis
As anlises de risco, propriamente ditas, iniciaram-se a partir dos anos 60 na indstria

nuclear, com avaliaes probabilsticas (PRA - Probabilistic Risk Assessment), seguindose estudos similares a partir dos anos 70 na indstria qumica, quantificando o risco (QRA
- Quantitative Risk Assessment) e dando origem Directiva Seveso (I e II).
Embora em termos gerais se mencione o risco relacionado com um determinado modo de
falha, referindo a sua probabilidade de ocorrncia e a gravidade das suas consequncias,
pode-se falar em anlise de risco, para uma determinada actividade, verificando o risco
global atravs de uma listagem de todas as suas potenciais consequncias e as
correspondentes probabilidades associadas (Rausand & Hoyland, 2004). Normalmente,
apenas as consequncias indesejveis so consideradas. Quantitativamente, e com base
no anteriormente descrito, o risco por vezes definido como:
Risco = C1 p1 + C 2 p 2 + ... + C k p k =
C p
i
(3.1)
i =1
onde:
Ci = Consequncia tipo i
pi = Probabilidade de ocorrncia da consequncia tipo i
A expresso anterior requer que todas as consequncias sejam consideradas com uma
medida comum (ex. valor monetrio). Na Figura 3.1 pode ser visualizado um esquema
referente metodologia genrica de uma anlise de risco quantitativa.

85
Captulo III Risco
PLANEAMENTO
E
ORGANIZAO
DEFINIO DO
RISCO
ACEITVEL
DESCRIO
DO OBJECTO
IDENTIFICAO
DO RISCO
POTENCIAL
ANLISE DAS
FREQUNCIAS
ANLISE DAS
CONSEQUNCIAS
MEDIDAS DE
REDUO DO
RISCO
AVALIAO DO RISCO
ACEITVEL
NO
SIM
OUTRAS
MEDIDAS
DESEJVEIS
Figura 3.1 Metodologia de Anlise de Risco quantitativa

[Fonte: Rausand & Hoyland (2004)]
A interpretao do esquema referente metodologia genrica de anlise de risco
quantitativa efectuada nos pargrafos seguintes.
Planeamento e organizao Nesta fase inicial pretende-se:
Identificar a legislao e regulamentos relevantes;
Clarificar polticas internas e critrios de aceitao do risco;
Definir o objectivo da anlise de risco Que tipos de risco devem ser estudados?
(grandes
acidentes
vs.
acidentes
ocupacionais,
perigos
aleatrios,
aces
deliberadas e/ou cargas ambientais) que fases do ciclo de vida devem ser
includas? (operao normal, arranque, fim de vida, revises gerais, etc.);
86

Captulo III Risco
Organizar o trabalho atravs de uma equipa multidisciplinar, onde especialistas

do a sua sabedoria.
Descrio do objecto de anlise - A descrio envolve tudo o que possa influenciar os

resultados da anlise. As questes principais so:
De que que o sistema dependente? (inputs)
Que actividades so realizadas pelo sistema? (funes)
Que servios fornece o sistema? (outputs)
Relaes tcnicas, pessoais e organizacionais;
Relaes polticas, sociais e econmicas significantes;
Associao e dependncia com o exterior;
Apoio externo se ocorrer um acidente;
Indicar relaes especiais que sejam significativas para a segurana.
Grandes instalaes podem eventualmente ser repartidas em pequenos elementos

(objectos
e/ou
funes).
Alguns
aspectos
devem
ser
tidos
em
considerao,
nomeadamente ter a noo que uma estratificao que inclua muitos e pequenos
elementos necessita de muitos recursos, e que uma estratificao insuficiente pode levar
a omisses no intencionais de acontecimentos raros, mas significantes. Uma tcnica
possvel de efectuar para repartir um sistema por exemplo atravs da estratificao
hierrquica.
Identificao dos perigos Nesta fase os perigos potenciais relacionados com a
actividade devem ser identificados (perigos mecnicos, incndio, exploso, materiais
txicos, radiao, etc.). Tambm deve ser identificado em que parte(s) do sistema se
encontram os perigos relevantes (reservatrios de presso, armazns, etc.). Para se
proceder identificao dos perigos existem diversos mtodos e ferramentas, tais como:
Checklists;
PHA Preliminary Hazard Analysis, tambm conhecidas como HAZID Hazard
Identification ou RRR Rapid Risk Ranking;
FMEA Failure Modes and Effects Analysis;
HAZOP Hazard and Operability Analysis;
Brainstorming;
Bases de dados (experincia).
Algumas
questes
devem
ser
consideradas
quando
se
definem
acontecimentos
acidentais, nomeadamente:

87
Captulo III Risco
Que tipo de acontecimento Descreve o tipo de acontecimento (incndio, fuga

de gs, queda de objectos);
Onde que o acontecimento tem lugar Descreve onde o acontecimento ocorre

(na rea de produo A);
Quando que o acontecimento ocorre Descreve as condies sob as quais o

acontecimento ocorre (operao normal, arranque, durante a manuteno);
A lista de acontecimentos acidentais que provm do PHA, brainstorming ou outras

metodologias de anlise deve ser filtrada;
Os acontecimentos acidentais diferentes so considerados para cada um dos

elementos a ser analisado para saber onde esto os acontecimentos relevantes.
Nesta relao pode-se usar uma matriz simples acontecimento-elemento.
Os resultados desta etapa do origem a uma listagem de todos os perigos significativos,

uma listagem e descrio de todos os acontecimentos acidentais potenciais e relevantes
e a identificao do local onde cada acontecimento acidental pode ocorrer. As causas de
cada acontecimento acidental devem ser identificadas e descritas, fundamentalmente
para identificar se as mesmas se prendem com factores tcnicos, factores humanos,
factores ambientais, factores sociais ou factores organizacionais. Os mtodos e
ferramentas usados na determinao das causas podem ser:
FTA Fault Tree Analysis;
BBN Bayesian Belief Networks (influence diagrams);
Diagramas de causa-efeito (Ishikawa);
RCA Root Cause Analysis;
Bases de dados (experience data).
Como resultados, para cada acontecimento acidental potencial emergem:
Todas as combinaes de acontecimentos (falhas tcnicas, erros humanos, cargas

ambientais, etc.) que podem levar ao acontecimento acidental (minimal cut set);
Os minimal cut sets podem ser usados para revelar fraquezas do sistema e criar
uma base para melhorias.
Anlise de Frequncia
Aps as causas
do acontecimento
acidental
serem
identificadas, estima-se a sua frequncia (e como os acontecimentos acidentais podem

ser evitados). Esta frequncia pode ser estimada com base em:
88
Bases de dados de incidentes anteriores;
FTA (Fault Tree Analysis);
Julgamento de especialistas (expert judgement).

Captulo III Risco
Anlise
de
Consequncias
Com
esta
questo
pretende-se
identificar
as
consequncias (imediatas e posteriores), dado o acontecimento acidental. Quando se

analisam
as
consequncias
no
nos
devemos
esquecer
de
toda
cadeia
de
acontecimentos resultante dos acontecimentos acidentais e as consequncias imediatas,

e as que no sendo aparentes, se revelam aps algum tempo. desejvel classificar as
consequncias em diferentes categorias, como por exemplo:
Pessoais (sade e segurana);
Ambientais;
Econmicas;
Operacionais;
Reputao da empresa.
Todas as cadeias de acontecimentos potenciais que se seguem a um acontecimento

acidental devem ser identificadas e descritas. A maior parte dos sistemas tm uma ou
mais funes de segurana (barreiras) que podem parar ou acabar com os efeitos do
acontecimento acidental. A continuidade das cadeias depender do funcionamento, ou
no, destas funes de segurana.
Avaliao do Risco Na avaliao do risco deve-se averiguar com detalhe quais os
riscos que esto presentes. O risco uma funo da frequncia e das consequncias dos
acontecimentos acidentais. Muitas vezes, os acidentes podem ser representados
graficamente de acordo com a frequncia e severidade de um acontecimento. A Figura
3.2 mostra um exemplo dessa representao.
ACID. RODOVIRIOS
ACID. OCUPACIONAIS
ETC.
RISCO
ELEVADO
ACID. AREOS
ACID. INDUST. GRAVES
ACID. FERROVIRIOS
RISCO
BAIXO
ACID. NUCLEARES
CATSTROFES
SEVERIDADE
(LOG)
Figura 3.2 Categorias de acidentes

[Fonte: Rausand & Hoyland (2004)]
89
Captulo III Risco
Quanto maior for a frequncia de ocorrncia ou a severidade das consequncias, ento

maior o risco. Uma ferramenta til para descrever o risco atravs de uma matriz. A
Figura 3.3 ilustra um exemplo de uma matriz de risco.
FREQUNCIA /
CONSEQUNCIA
1
POUCO
2
REMOTO
3
OCASIONAL
4
PROVVEL
5
FREQUENTE
4 CATASTRFICO
3 CRTICO
2 GRAVE
1 MENOR
ACEITVEL, DE ACORDO COM O CRITRIO ESTABELECIDO

ACEITVEL, SOB DETERMINADAS CONDIES
NO ACEITVEL, NECESSRIO IMPLEMENTAR MEDIDAS DE REDUO DO RISCO
Figura 3.3 Exemplo de uma matriz de classificao do risco

De referir que na execuo de uma Anlise de Modos de Falha e seus Efeitos (FMEA)
tambm se deve incluir na construo das matrizes de risco um terceiro factor
denominado detectabilidade. Este factor permite distinguir entre os vrios modos de
falha aqueles que so muito facilmente detectveis dos que so praticamente impossveis
de detectar. Para o efeito, e semelhana dos outros dois factores, tambm construda
uma escala para a detectabilidade.
Aceitao do risco - Apesar de a aceitao do risco ser normalmente uma tarefa
complicada e multifacetada, alguns princpios podem ser utilizados para determinar o que
se pode entender por risco aceitvel, como por exemplo:
90
O princpio ALARP (As Low as Reasonably Practicable);
Aceitao do risco, como definido na Norsok Z-013 (2001);
O princpio MEM (Minimum Endogeneous Mortality);
O princpio GAMAB (Globalment Au Moins Aussi Bon)

Captulo III Risco
A Figura 3.4 descreve um dos princpios mais comuns em matria de aceitao dos
riscos; o princpio ALARP.
O risco no pode ser

justificado, excepto em
circunstncias
extraordinrias
Regio No Aceitvel
Tolervel apenas se a reduo

do risco for impraticvel ou o
seu custo muito
desproporcionado face
melhoria alcanada
Regio ALARP ou de
tolerncia (o risco
assumido apenas em
contrapartida de
benefcio)
Tolervel se o custo da
reduo do risco exceder a
melhoria alcanada
Regio Aceitvel (no

necessrio trabalho
detalhado para
demonstrar ALARP)
Necessrio manter
assegurado que o risco
permanece neste nvel
Risco Negligencivel
Figura 3.4 Princpio de aceitao ALARP

[Fontes: NP EN 50126 (2000), Rausand & Hoyland (2004)]
3.2.2 Gesto do Risco

Quando se fala de gesto de risco parte-se do pressuposto que essa mesma gesto
eficaz quando se conseguem manter os nveis de risco dentro de limites considerados
aceitveis. Na avaliao do risco verifica-se onde o mesmo se situa, podendo falar-se de
risco insignificante, tolervel ou inaceitvel. Quando se refere um risco tolervel h que
efectuar sempre uma comparao entre os benefcios obtidos com a sua aceitao e os
custos envolvidos na sua eventual reduo. Outras comparaes podero ser efectuadas,
dependendo do processo ou sistema em causa.
A gesto do risco engloba a anlise do risco e complementa-a com a reduo ou controlo
desse risco atravs da tomada de decises, implementao e monitorizao de aces.

91
Captulo III Risco
Quanto eliminao do risco poder-se-ia dizer partida que todos os factores de causa
de acidentes (perigos) devem ser eliminados! No entanto, podem no existir os recursos
para o fazer, pelo que se deve dar prioridade s aces correctivas, comeando por as
enderear aos riscos mais elevados em detrimento dos riscos mais baixos.
Quando se efectuam anlises de risco, devero ser produzidos relatrios que reflectem
essa anlise. De acordo com a IEC 60300-3-9 (1995), o relatrio dever incluir:
1. Sumrio e concluses;
2. Objectivos e rea de actuao;
3. Limitaes, hipteses e justificao de hipteses;
4. Descrio dos subsistemas e componentes relevantes do sistema;
5. Metodologia de anlise;
6. Resultados da identificao dos perigos;
7. Modelos usados, incluindo hipteses e validao;
8. Informao e suas fontes;
9. Resultados do risco estimado;
10. Sensibilidade e anlise de incertezas;
11. Discusso dos resultados (incluindo discusso das dificuldades analticas);
12. Referncias.
Por vezes surge algum criticismo sobre este tipo de abordagem, como por exemplo
alguns comentrios que referem que uma anlise de risco consome muito tempo e
recursos, ou que uma anlise de risco usada para abrandar processos de deciso, ou
ainda que pode ser uma ferramenta manipulativa. Mas, em situaes onde falta
informao, as anlises qualitativas, realizadas atravs do julgamento de especialistas
inevitvel. A confiana nos resultados alcanados depende altamente da confiana nesses
especialistas (qualificao e competncia) e na eficcia dos procedimentos de anlise. As
incertezas sero reveladas e documentadas, em vez de escondidas. Quando devidamente
realizada, uma anlise de risco muito transparente.
3.2.3 Tratamento das Incertezas

Numa anlise de risco, o factor probabilidade de ocorrncia de um determinado evento
reflecte um conjunto de incertezas que, atravs de uma abordagem menos cuidada
poder levar a concluses completamente erradas e muito longe da realidade e da
potencial ocorrncia desse mesmo tipo de evento. Do mesmo modo, quando se fala nas
92

Captulo III Risco
consequncias, os cenrios podem ser diversos, havendo tambm a incerteza associada

severidade ou gravidade do evento para cada cenrio, caso ocorra.
As incertezas inerentes a uma anlise de risco podero ser quantificadas atravs da
teoria da probabilidade, permitindo relacionar os diferentes tipos de variabilidade e as
variveis aleatrias entre si, sendo uma ferramenta excelente para tratar incertezas e
quantificar o risco. Outras teorias alternativas tm sido desenvolvidas para tratar este
tipo de problema, como por exemplo a teoria dos conjuntos vagos ou a teoria da
possibilidade, mas no to divulgadas ou experimentadas. Dentro da teoria da
probabilidade duas escolas tm sido desenvolvidas, a escola frequentista e a escola
bayesiana. Na frequentista, a probabilidade quantificada como a frequncia de
ocorrncia de determinado acontecimento, sendo bastante til para caracterizar a
variabilidade de um fenmeno que representado por uma varivel. Na bayesiana
aceitam-se interpretaes subjectivas das probabilidades, podendo as estimativas ser
actualizadas de acordo com a disponibilidade de novas informaes. A abordagem
frequentista permite caracterizar fenmenos passados onde foram recolhidos dados e a
bayesiana permite quantificar situaes futuras, actualizando essas estimativas ao longo
do tempo conforme se vo obtendo mais dados. Esta ltima talvez a mais indicada
para o tratamento das incertezas na anlise e gesto de riscos.
A variabilidade de um fenmeno fsico ou o grau de incerteza de acontecimentos futuros
podem
ser
representados
por
variveis
aleatrias
atravs
de
modelos
fsicos,
matemticos ou de outro tipo. Assim, existem dois tipos de incertezas, umas associadas
s variveis que so o resultado dos modelos utilizados, designadas por incerteza do
modelo (ou epistemolgicas) e as incertezas prprias de um dado fenmeno, designadas
por variabilidade intrnseca natural ou aleatria.
Conforme descrevem Siu et al (1990), para cada rea de aplicao especfica, podem-se
ter diversas fontes potenciais de incerteza. Como uma anlise de risco serve de base
para uma deciso, importante que todas essas diferentes fontes de incerteza estejam
explicitamente reflectidas nos resultados finais. Estes autores tambm descrevem dois
tipos de incertezas.
Incertezas da informao incertezas referentes aos parmetros usados

num modelo particular. O seu impacto determinado por rotina pela
propagao das incertezas atravs do modelo (por exemplo atravs de
simulaes de Monte Carlo);

93
Captulo III Risco
Incertezas do modelo incertezas associadas ao prprio modelo. Mesmo

que se conheam perfeitamente os parmetros do modelo, obtm-se
imperfeies nos resultados do mesmo. Em situaes onde os modelos
usados fazem parte da anlise de risco estas incertezas so conhecidas.
3.2.4 Metodologias genricas de anlise de risco

A partir do que foi descrito nos pargrafos anteriores, e de acordo com Tixier et al
(2002), foram identificadas mais de 60 metodologias de anlise de risco (perodo de
observao de 10 anos). Estas metodologias podero incluir no seu desenvolvimento trs
fases principais (ou parte delas), nomeadamente:
- Fase de identificao, baseada na descrio do local;
- Fase de avaliao, para quantificao do risco (aproximao determinstica e/ou
aproximao probabilstica) que nos transmite as consequncias dos cenrios e
seus impactos;
- Fase de hierarquizao dos resultados, que nos permite resolver os riscos mais
importantes em primeiro lugar.
A primeira fase de identificao do risco fundamental pois estabelece as bases da
anlise de risco. De facto, a informao da identificao do risco ser a entrada para a
avaliao e/ou hierarquizao. Esta primeira fase dever assim ser feita de forma
exaustiva para se alcanarem os melhores resultados. A segunda fase, de avaliao, tal
como mencionado anteriormente, deve ser realizada quer atravs da avaliao dos danos
das consequncias (determinstica), quer pela avaliao da probabilidade de acidente
(probabilstica). A fase de hierarquizao do risco coloca por ordem decrescente os riscos
obtidos na fase anterior, de forma a implementar modificaes ou aces correctivas nos
sistemas de risco mais severo. Estas fases podero no estar todas presentes. No
entanto, em todas as metodologias ser sempre necessrio existir informao de
entrada, informao de sada, e a descrio do mtodo seleccionado.
As metodologias de anlise de risco podem ser reunidas em dois grupos principais,
nomeadamente:
Metodologias Qualitativas;
Metodologias Quantitativas.
Cada grupo pode ser dividido em trs categorias:
94

Captulo III Risco
Determinstico;
Probabilstico;
Combinao de determinstico e probabilstico.
Os mtodos determinsticos tm em considerao os produtos, o equipamento e a

quantificao das consequncias para vrios alvos, como as pessoas, ambiente e
equipamento. Os mtodos probabilsticos so baseados na probabilidade ou frequncia
de situaes perigosas ou na ocorrncia de potenciais acidentes. Estes mtodos focam
principalmente a probabilidade de falha do equipamento ou dos seus componentes.
No estudo referido anteriormente (Tixier et al, 2002), a maior parte dos mtodos so
determinsticos. Tal aspecto deve-se ao facto de a maior parte dos analistas tentarem
quantificar os danos e consequncias de potenciais acidentes a partir da experincia
anterior, antes de perceber o porqu e como eles podem ocorrer. A informao de
entrada pode ser tcnica ou qualitativa e pode ser dada atravs de planos ou diagramas,
de processos e reaces, de substncias, de probabilidades e frequncias, de polticas e
tipos de gesto, dados ambientais, de testes ou conhecimento histrico.
Os dados de sada podem ser tipo recomendaes (qualitativos) ou indicar um ndice
relativo ao nvel de risco (quantitativos). Ainda no referido estudo, propem-se quatro
classes de informao de sada, nomeadamente:
1) Tipo gesto (aces, recomendaes, modificaes e procedimentos de formao
ou operao);
2) Tipo lista (listas de erros, efeito domin, causas e consequncias, modos de falha,
cenrios, etc.);
3) Tipo probabilstico (taxas de avarias, fiabilidade, probabilidade de cenrios ou
danos e frequncia de acidente);
4) Tipo hierarquizao (tipo ndice de risco, severidade e criticidade, incndio,
exploso, ndice organizacional e classificao conforme tipo de risco).
As Tabelas 3.1 e 3.2 mostram de uma forma resumida, respectivamente, os dados de
entrada e dados de sada agrupados de acordo com os diferentes tipos de informao,
conforme descrito no estudo referido anteriormente.

95
Captulo III Risco
Tabela 3.1 Dados de entrada

G
R
G
U
P
O
GR
RU
UP
PO
O
T
T
P
O
TIIIP
PO
O
Locais
Instalaes
Unidades
Planos e Diagramas
Redes de gs ou fluidos
Funcionamento
Barreiras de segurana
Armazenagem
Descrio das operaes
Descrio das tarefas
Reaces e produes fsicas e qumicas
Processo e Reaces
Caractersticas dos processos

Parmetros cinticos e calormetros
Condies de funcionamento normal
Condies de operao
Tipos de produto, propriedades fsicas e qumicas
Produtos
Quantidades
Informao toxicolgica
Tipo de falha
Probabilidade de avaria
Probabilidade e Frequncia
Frequncia de ignio e de avaria

Erro humano
Taxa de avarias
Probabilidade de exposio
Manuteno
Organizao
Poltica e Gesto
Poltica de segurana
SMS
Gesto de transportes
Custo de equipamento
Ambiente local
Ambiente
Informao topogrfica
Densidade populacional
Normas
Textos e conhecimento histrico
Regulamentos e documentos
Conhecimento histrico
96

Captulo III Risco
Tabela 3.2 Dados de sada

G
R
G
U
P
O
GR
RU
UP
PO
O
T
T
P
O
TIIIP
PO
O
Aces
Gesto
Recomendaes
Modificaes
Procedimentos de formao e operao
Lista de erros
Estimativa / lista de riscos
Lista dos efeitos de domin
Lista de causas/consequncias da avaria
Listagem
Lista de actividades criticas

Lista de modos de falha
Lista de fontes de ignio
Lista de locais vulnerveis
Lista dos principais cenrios
Taxa de avarias
Probabilstico
Fiabilidade
Probabilidade de cenrios ou danos
Frequncia de acidentes
Nvel ou ndice de risco
Severidade ou criticidade
Hierarquizao
ndice de incndio ou exploso

ndice de fugas txicas
ndice de risco organizacional
Classificao do tipo de risco
Para cada uma das metodologias apresentadas, so enunciados no referido artigo os

respectivos campos de aplicao. A evoluo das metodologias de anlise de risco aponta
que devam ser aplicados mtodos simples, com um resultado final tipo ndice de risco. A
hierarquizao (3 fase) consiste em organizar a informao de uma forma crescente (ou
decrescente). A maior parte das metodologias incluindo esta fase de hierarquizao so
geralmente quantitativas, e do tipo determinstico. So baseadas no desenvolvimento de
um ndice para o nvel do risco, calculado para cada elemento, unidade ou rea de uma
forma escalonada.
Assim, so identificadas as reas crticas de forma a realizar as aces prioritrias,
diminuindo a probabilidade de ocorrncia (preveno) ou reduzindo as consequncias de
acidente (proteco).
Segundo Fernandez (1996), o desenvolvimento de um mtodo de anlise de risco
probabilstico pode fornecer informao complementar que fornecida por uma anlise
determinstica. Ainda de acordo com este autor, anlises de risco de incndio
determinsticas e probabilsticas no so partida consideradas concorrentes nem
97
Captulo III Risco
aproximaes mutuamente exclusivas. De acordo com Hostikka & Keski-Rahkonen

(2003), os modelos determinsticos tm sido utilizados para estimar, por exemplo, as
consequncias de um incndio, de acordo com uma srie de variveis de entrada. A
incerteza da previso depende de como as incertezas dos valores de entrada so
transferidas para o sistema atravs do modelo.
Assim, surgem as barreiras de segurana que se destinam basicamente a prevenir a
ocorrncia
de
tais
consequncias
de
acontecimentos
indesejveis,
ou,
na
sua
eventualidade, diminuir ou mesmo mitigar os seus efeitos. No entanto, a condio de

risco no se refere apenas presena do perigo. A incerteza inerente passagem do
risco de potencial a actual ou real tambm de ter em conta.
Devido importncia dos sistemas instrumentados de segurana (SIS) e dos sistemas de
paragem de emergncia (ESD) na diminuio do risco, Rouvroye & Blieck (2002)
realizaram um estudo onde compararam vrias tcnicas de anlise de segurana,
classificando-as tambm em qualitativas e quantitativas. A Figura 3.5 mostra uma
perspectiva dos autores sobre as tcnicas mais usadas para esse propsito.
Figura 3.5 Tcnicas mais usadas para anlise da segurana

[Fonte: Rouvroye & Blieck (2002)]
98

Captulo III Risco
3.3 Barreiras de Segurana

Desde o incio dos tempos que as designadas barreiras de segurana tm sido instaladas
com as mais diversas finalidades, fundamentalmente quando determinados tipos de risco
esto presentes, servindo como uma medida de salvaguarda da vida humana,
preservao ambiental ou para permitir a continuidade das actividades. O referido risco
poder estar relacionado com fenmenos naturais ou induzido pela humanizao dos
locais e industrializao dos processos.
Os conceitos de risco e de segurana encontram-se indubitavelmente ligados de uma
forma pragmtica e conceptual. O pragmatismo est subjacente, por exemplo, quando
falamos da falta de segurana, medida pelo nmero de acontecimentos indesejados que
ocorrem, e quando nos referimos ao aumento desse nvel de segurana, tambm
referimos diminuio do nvel de risco. Conceptualmente, mais fcil ainda ligar os
dois termos, bastando comparar as suas definies. Risco , de uma forma simples,
definido como a probabilidade de que algo indesejado possa acontecer. Segurana podese definir como a ausncia desses acontecimentos indesejados (Hollnagel, 2008).
O projecto de sistemas de segurana realizado tendo em conta uma disponibilidade
especfica para manter o risco dentro de limites considerados tolerveis. Se atravs de
uma anlise se verificar que o sistema possui uma disponibilidade abaixo do estipulado,
efectuam-se alteraes ao projecto inicial. Uma vez que as avarias dos sistemas de
segurana podem, em muitos casos, resultar em morte, a abordagem a este tipo de
equipamentos dever ir no sentido de aumentar a sua disponibilidade, e por sua vez
minimizar a ocorrncia de potenciais mortes.
Os assuntos relativos ao projecto e operao de sistemas de segurana envolvem
questes
como
uso
de
redundncias,
diversidade
de
opes,
seleco
dos
componentes, sistemas paralelos restritos em sensores e intervalos de tempo mais

curtos entre testes e manutenes. A avaliao dos sistemas pode ser efectuada atravs
de uma Anlise de rvore de Falhas em conjunto com uma metodologia de optimizao,
que pode incluir algoritmos genticos (GA Genetic Algorithms) ou outras tcnicas
(Andrews & Bartlett, 2005).
O conceito de barreira de segurana tem tido vrias interpretaes ao longo do tempo.
Hollnagel (2004) afirma que enquanto as barreiras usadas para defender um castelo
medieval eram na maior parte de natureza fsica, o princpio moderno de defesa em

99
Captulo III Risco
profundidade combina diferentes tipos de barreiras desde a proteco contra a

libertao de materiais radioactivos at ao relatrio de acontecimentos e s polticas de
segurana. Embora o conceito de defesa em profundidade tenha tido origem na
indstria nuclear, o mesmo empregue noutras reas onde o risco elevado.
Existem diversas normas e regulamentos onde a importncia das barreiras de segurana
demonstrada tendo por base a reduo do risco, tal como a IEC:61508 (1998), a
IEC:61511 (2002), a Directiva Seveso II (1996) ou a Directiva Mquinas (1998), entre
outras. No entanto, a prpria definio de barreira de segurana muitas vezes
controversa de indstria para indstria, de sector para sector, ou de pas para pas,
apresentando-se vrios termos para idntico significado, tais como barreiras, defesas,
proteces, camadas, funes de segurana, etc (Sklet, 2006).
Para se falar em barreira de segurana inevitavelmente teremos que referir o perigo que
est subjacente, a fonte de energia responsvel por esse perigo e uma sequncia de
acontecimentos. Normalmente, o termo barreira e funo so empregues como
sinnimos. No entanto, h que distinguir entre funo de segurana e sistema de
segurana quando nos referimos a barreiras. A primeira representa uma tarefa (e no
um objecto) que corresponde ao impedimento da evoluo do acidente de forma que o
prximo acontecimento da cadeia nunca seja alcanado, enquanto um sistema pode
consistir em um ou vrios elementos, de diversos tipos, de maneira que a funo da
barreira seja alcanada (Svenson, 1991). Assim, a definio de barreira de segurana
parece cobrir todas as fases da sequncia do acidente, incluindo a preveno, controlo e
mitigao do mesmo.
Hollnagel (2008) define de uma forma clara a distino entre as funes de segurana e
os sistemas de segurana. A primeira descreve os modos atravs dos quais
genericamente possvel prevenir ou proteger contra o transporte de massa, energia ou
informao de uma forma descontrolada. A segunda refere-se aos meios pelos quais as
funes das barreiras de segurana so realizadas. Ou seja, trata-se simplesmente de
distinguir entre o que as barreiras fazem (funes) e o que as barreiras so (sistemas).
De acordo com um estudo muito completo sobre este tema (Sklet, 2006), as barreiras
de segurana so meios fsicos e/ou no fsicos planeados para prevenir,
controlar ou mitigar acontecimentos indesejveis ou acidentes. Planeado
significa que pelo menos um dos meios referidos tem como objectivo a reduo do risco.
Prevenir significa reduzir a probabilidade do acontecimento perigoso, controlar tem a ver
100

Captulo III Risco
com a limitao da extenso ou durao desse acontecimento, enquanto mitigar

reduzir os seus efeitos. Acontecimentos indesejveis so todos os que se referem a
avarias tcnicas, erros humanos, acontecimentos externos ou uma combinao destes
que possa conduzir a potenciais perigos, enquanto acidentes se refere a acontecimentos
no desejados ou no planeados que levam a danos humanos, ambientais ou em
equipamento.
Se a funo realizada com sucesso, isto significa que se obtem um efeito significativo
na ocorrncia e/ou nas consequncias. Uma funo deve ser descrita atravs de um
verbo e de um substantivo, como por exemplo parar motor ou fechar vlvula. No
projecto ARAMIS (Accidental Risk Assessment Methodology for Industries in the Context
of the Seveso II Directive) so sugeridos os verbos evitar, prevenir, controlar e

proteger para definir genericamente as funes das barreiras. A Figura 3.6 representa,
de uma forma geral, as funes de uma barreira de segurana.
SISTEMAS
ACONTECIMENTO INDESEJVEL / ACIDENTE
PREVENO
CONTROLO
PROTECO
REDUO DA
PROBABILIDADE
DE OCORRNCIA
LIMITAO DAS
CONSEQUNCIAS
(CONFINAMENTO)
REDUO E/OU
MITIGAO DAS
CONSEQUNCIAS
Figura 3.6 Funes das barreiras de segurana

Sklet (2006) ainda define um sistema tipo barreira como um sistema que foi
projectado e implementado para realizar uma ou mais funes da barreira de
segurana. Se o sistema funciona, a funo cumprida.
De salientar que um sistema tipo barreira pode ter vrias funes e que em alguns casos
vrios sistemas so necessrios para cumprir uma nica funo. Por definio, um
elemento do sistema um componente (ou subsistema) que por si s no suficiente
para cumprir a funo da barreira. Um sistema tipo barreira de segurana poder ter
vrios tipos de elementos (elementos fsicos, actividades executadas por pessoas, ou
uma combinao destes).

101
Captulo III Risco
No fundo, questes como a reduo da probabilidade de ocorrncia, reduo das

consequncias ou preveno do fluxo reduzem-se a definir funes das barreiras de
segurana. No conceito de barreiras de segurana duas perspectivas ou modelos podem
surgir: O modelo de energia e o modelo de processo. No primeiro, o princpio bsico o
de separar os perigos das vtimas, enquanto no segundo modelo se trata de separar o
acidente em diferentes fases, ajudando a entender como o sistema se degrada
gradualmente desde o estado normal at ao momento de acidente.
De referir que quando se refere vtima, se est a identificar o potencial receptor das
consequncias emanadas pela fonte de energia, quando o acontecimento indesejvel
ocorre. De seguida apresentam-se algumas definies sobre a classificao das funes e
classificao dos sistemas, assim como consideraes acerca do desempenho das
barreiras de segurana.
3.3.1 - Classificao das funes das barreiras de segurana

As barreiras de segurana possuem apenas duas funes principais; preveno e
proteco (Hollnagel, 2004). As barreiras de segurana descritas como meio de
preveno so aquelas onde se pretende uma actuao antes do incio de um
acontecimento especfico, tendo por funo assegurar que esse acontecimento no
ocorra ou que pelo menos abrande o seu desenvolvimento. As barreiras de segurana
que actuam depois do incio do acontecimento ter ocorrido, e que supostamente
protegem as pessoas, o ambiente e/ou os equipamentos das consequncias do acidente,
correspondem a meios de proteco. Nesta classificao, a proteco engloba o controlo
e a mitigao, embora tambm muitas vezes se possa dizer que o controlo faz parte da
preveno,
dependendo
esta
classificao
da
definio
que
se
utilizar
para
acontecimento inicial.
Como na prtica impossvel prevenir completamente a ocorrncia de acontecimentos
considerados indesejados, ou seja, eliminar o risco por completo numa perspectiva de
eliminao da probabilidade de ocorrncia de acidentes (ou incidentes indesejveis), a
melhor forma de assegurar a mxima segurana conciliar estas duas aproximaes,
conjugando a preveno com a proteco e usar as barreiras de segurana para o efeito.
Um sistema seguro aquele onde nada de indesejado ocorre, quer seja na preveno de
acontecimentos indesejados, quer na proteco de consequncias indesejadas.
102

Captulo III Risco
Normalmente a actuao de um sistema de proteco pressupe colocar o processo

(produtivo, ou no) numa situao de paragem parcial ou eventualmente paragem total,
o que aceitvel uma vez que o objectivo muitas vezes no promover a continuidade
das actividades a todo o custo, mas sim a segurana de sistemas mais abrangentes,
como a salvaguarda de um conjunto de pessoas ou proteco do ambiente (como em
casos de acidente em centrais nucleares).
Para actuar ao nvel da preveno e da proteco necessrio inicialmente conhecer o(s)
risco(s) que podem estar presentes. A forma para alcanar este objectivo passa por
realizar anlises de risco, tal como referenciado em pargrafos anteriores neste captulo.
Para descrever um acontecimento crtico pode-se assim olhar para as suas causas e para
as suas consequncias, podendo esta abordagem ser graficamente representada atravs
CAUSAS
CONSEQUNCIAS
do designado modelo tipo lao (bow-tie) (Delvosalle et al, 2005), conforme Figura 3.7.
Figura 3.7 Modelo tipo lao

No lado esquerdo do lao (causas) podem-se utilizar metodologias como Anlises de
rvore de Falhas (FTA = Fault Tree Analysis), Diagramas de Blocos de Fiabilidade (RBD =
Reliability Block Diagrams), Anlises de Modos de Falha e Efeitos (FMEA = Failure Modes
and Effect Analysis) ou bases de dados. Quanto ao lado direito do diagrama
(consequncias) podem ser utilizadas outras ferramentas como Anlises de rvore de
Acontecimentos (ETA = Event Tree Analysis), modelos de consequncia ou simulao.

103
Captulo III Risco
Dianous & Fviez (2006) afirmam que para barreiras do tipo prevenir ou controlar se
pode aplicar uma regra que relaciona o nvel de confiana8 da barreira - LC (Confidence
Level) com a frequncia do acontecimento crtico poder ocorrer, onde para um

determinado LC da barreira, a sua probabilidade de ocorrncia reduzida de um factor
10-LC (ver exemplo da Figura 3.8).
Figura 3.8 Barreiras de segurana tipo prevenir ou controlar

Por fim, dado que o acontecimento potencialmente perigoso ocorre, necessrio
proteger
os
alvos
vulnerveis
das
consequncias
desse
mesmo
acontecimento.
Estaremos agora do lado direito do modelo tipo lao da Figura 3.7, onde se analisa a
influncia do desempenho da barreira de segurana nos efeitos de fenmenos perigosos,
quer a barreira tenha sucesso ou falhe.
Outro ponto de vista relacionado com a classificao das barreiras de segurana
distingue entre funes de segurana criticas primrias, secundrias e tercirias,
correspondendo a sistemas tcnicos fsicos, a actividades realizadas para manter as
funes primrias e sistemas de gesto, respectivamente. Similarmente a esta
classificao aparecem outros estudos, onde estas mesmas designaes apresentam
descries com pequenas adaptaes (Sklet, 2006).
LC, ou nvel de confiana, um valor ligado fiabilidade da barreira de segurana, sendo inversamente
proporcional probabilidade de falha quando solicitado. Para o nvel de confiana da barreira assume-se um
valor idntico ao SIL Safety Integrity Level, descrito mais frente no presente captulo.
104

Captulo III Risco
3.3.2 - Classificao dos sistemas de segurana

Normalmente os sistemas de segurana so distinguidos em dois tipos fundamentais:
barreiras fsicas e barreiras no fsicas, ou eventualmente num terceiro tipo resultante da
combinao dos dois tipos anteriores. Outro tipo de classificao apresentado (Sklet,
2006), diferenciando entre barreiras fsicas, tcnicas e administrativas, em que as
primeiras se referem a sistemas concebidos no projecto de construo, as barreiras
tcnicas so sistemas que actuam quando o perigo se torna eminente e por fim as
barreiras administrativas, que caracterizam procedimentos e sistemas inseridos numa
lgica de gesto. Outras abordagens relativas classificao dos sistemas de segurana
podero
ser
encontradas,
como
designaes
relativas
barreiras
de
carcter
organizacional, ou barreiras relacionadas com factores humanos (Svenson, 1991) (Neogy
et al, 1996) (Kecklund et al, 1996).

De acordo com a norma IEC:61511 (2002), as medidas de reduo do risco encontramse definidas para:
Sistemas instrumentados de segurana (SIS);
Sistemas relacionados com a segurana com outra tecnologia, que no SIS;
Servios para reduo do risco externo.
Um sistema instrumentado de segurana refere-se a qualquer combinao entre

sensor(es), unidade(s) de tratamento lgico e elemento(s) final(is). Outros sistemas de
segurana podero utilizar tecnologias que no a elctrica, electrnica ou electrnica
programvel, tal como definido em (IEC:61508, 1998), como por exemplo uma vlvula
de alvio de presso ou um sistema automtico de extino de incndio. Por fim,
classificam-se determinados servios que promovem a reduo do risco oriundo do
exterior, independentemente do tipo de tecnologia utilizado (por exemplo uma parede
corta fogo, normalmente designada por firewall).
No que se refere classificao de sistemas de segurana, tambm comum surgir a
distino entre sistemas activos e sistemas passivos. Enquanto os sistemas passivos se
encontram inseridos no projecto da instalao e so independentes do sistema de
controlo operacional, os sistemas activos dependem de aces humanas ou sistemas de
controlo tcnico para actuar (Kjelln, 2000). Nos sistemas activos de proteco existe
uma transio de um estado para outro como resposta a uma alterao de uma ou mais

105
Captulo III Risco
propriedades (por exemplo alterao da temperatura de um reservatrio) ou devido a um

sinal enviado por outro elemento (por exemplo o accionamento de um interruptor de
alarme manual). Assim, um sistema activo pressupe a existncia de um qualquer
sensor, de um processo de deciso e de uma aco.
Sklet (2006) refere um trabalho onde se tipificam dois tipos de sistemas de segurana:
Sistemas inerentes e sistemas adicionais, correspondendo os primeiros a barreiras
criadas atravs da alterao de um parmetro de projecto (por exemplo aumentando a
espessura da parede de um reservatrio) e os segundos referindo-se introduo de
sistemas ou componentes introduzidos especificamente devido a questes de segurana
(por exemplo um sistema automtico de extino de incndio sprinklers).
Pode-se tambm distinguir entre barreiras permanentes ou on-line e barreiras activadas,
temporrias
ou
off-line
(Hollnagel,
2004),
consoante
as
mesmas
funcionem
permanentemente ou apenas quando ocorrer uma sequncia de aces (deteco,

diagnstico e aco) ou durante um determinado perodo de tempo. Hollnagel (2008)
afirma ser suficiente caracterizar os sistemas das barreiras de segurana em quatro
tipos:
Fsicas ou materiais;
Funcionais;
Simblicas;
Incorpreas.
Fsicas ou materiais Na preveno de um acontecimento ou na mitigao dos efeitos,

impedindo o transporte de massa, energia ou informao de um local para outro. So
exemplos de barreiras fsicas os edifcios, paredes, portes, cortinas corta-fogo, etc. Este
tipo de barreiras de segurana possuem a caracterstica de no ser necessrio haver um
reconhecimento ou interpretao por algum para funcionar.
Funcionais Necessitam de uma ou mais pr-condies para actuar. Algumas barreiras
funcionais necessitam que algum actue para lhe alterar o estado, enquanto outras so
autnomas dependendo de condies externas.
Simblicas Necessitam da interpretao de algum. o caso de sinais visuais ou
sonoros, avisos e alarmes, entre outros.
106

Captulo III Risco
Incorpreas No se encontram fisicamente presentes, dependendo do conhecimento

das pessoas. Na indstria, este sistema de barreiras sinnimo de barreiras
organizacionais, como por exemplo regras, leis ou restries impostas pela organizao,
independentemente de serem fsicas, funcionais ou simblicas.
3.3.3 - Desempenho das barreiras de segurana

Embora para cada caso especfico se possa classificar a barreira de segurana de acordo
com as vrias funes e tipos de sistemas anteriormente referidos, torna-se fundamental
analisar o desempenho das mesmas. Os critrios usados para avaliar o desempenho das
barreiras de segurana dependem de cada aplicao, podendo-se, de uma forma geral,
efectuar uma anlise em trs fases distintas:
Durante e aps testes ou ensaios;
Durante e aps a ocorrncia de acidentes ou situaes indesejveis;
Durante anlises de risco, na avaliao dos vrios cenrios possveis.
A anlise do desempenho, independentemente da situao em que ocorra, serve para

perceber quais as barreiras que existiam e como estas se comportaram, quais as que no
foram usadas e aquelas que no existindo se tornavam necessrias. De acordo com a
Petroleum Safety Authority (2002) o desempenho das barreiras de segurana pode ser
avaliado atravs dos seguintes critrios:
Funcionalidade/Eficincia - Efeito da barreira na sequncia do acontecimento se
esta cumpriu a sua funo;
Disponibilidade/Fiabilidade - Capacidade de funcionar quando solicitado;
Robustez - Capacidade de funcionar durante a sequncia do acidente ou mesmo
sob influncia deste.
Conforme descrito por Neogy et al (1996), o termo fiabilidade e eficcia relatam o
sucesso das barreiras de segurana em matria de proteco. A fiabilidade relaciona-se
com a capacidade de resistir a avarias, enquanto a eficcia de uma barreira demonstra
como essa mesma barreira se comporta na proteco do perigo especfico. De acordo
com a Tabela 3.3, que reflecte um estudo feito por Hollnagel (2004), so apresentados
alguns requisitos para as barreiras de segurana.

107
Captulo III Risco
Tabela 3.3 Requisitos para as barreiras de segurana

Critrio
Requisito especfico
Adequao
Capaz de prevenir todos os acidentes dentro do projecto

Cumprir os requisitos legais (normas, regulamentos)
No deve exceder as capacidades do sistema primrio
Se uma barreira inadequada, devero ser criadas barreiras adicionais
Disponibilidade/Fiabilidade
Quando a barreira activada, todos os sinais devem ser detectveis

As barreiras activas devem identificar avarias seguras, possuir auto-teste ou
ser testadas regularmente
As barreiras passivas devem ter uma rotina de inspeco
Robustez
Capaz de suportar acontecim. extremos (incndio, inundao, )

A barreira no deve ser desactivada com a entrada de outras Barreiras
Duas barreiras no devem ser afectadas pela mesma causa comum
Especificidade
Os efeitos da activao da barreira no devem conduzir a outros acidentes

A barreira no deve destruir aquilo que ela prpria protege
J outros trabalhos (Dianous & Fivez, 2006) mostram que a avaliao de barreiras de
segurana realizada de acordo com trs critrios, que serviro para encontrar uma
determinada reduo do risco, nomeadamente:
Eficcia;
Tempo de resposta;
Nvel de confiana.
Sendo a eficcia de uma barreira de segurana a sua capacidade para cumprir a funo
de segurana durante um determinado tempo, em condies especficas, sem apresentar
modos de degradao. Esta eficcia pode ser representada por uma probabilidade do
desempenho da funo de segurana, que pode variar durante o tempo em que o
sistema de segurana actua. O tempo de resposta corresponde durao de tempo que
medeia entre o momento em que a barreira solicitada at se atingir por completo a
funo de segurana.
O nvel de confiana de uma barreira de segurana est ligado fiabilidade, e desta
forma tambm se pode representar por uma probabilidade, correspondente neste caso
probabilidade de falha quando solicitada (PFOD Probability of Failure On Demand) e
cumprindo a funo requerida, durante o intervalo de tempo estabelecido e para uma
eficcia pr-definida. O nvel de confiana de uma barreira de segurana inversamente
proporcional PFOD. Este conceito idntico noo de Nvel de Integridade de
Segurana (SIL = Safety Integrity Level) definido para os sistemas instrumentados de
segurana (SIS = Safety Instrumented Systems) na IEC:61511 (2002), que num
108

Captulo III Risco
contexto operacional tambm influenciado pelo sistema de gesto da segurana que

estiver presente.
Num estudo (Hollnagel, 2008) efectuado para vrios critrios de avaliao do
desempenho das barreiras de segurana, apresentada uma comparao entre os vrios
tipos de sistemas, tendo em conta a sua qualidade e apresentando algumas vantagens e
desvantagens. Aqui, pode ser visto que as barreiras fsicas so aquelas que apresentam
valores mais elevados na avaliao dos critrios, apresentando no entanto desvantagens
em termos de custos e tempo dispendido para a sua implementao, assim como na
maior parte dos casos necessitarem de intervenes de manuteno com determinada
frequncia.
Para certos tipos de barreiras de segurana, a sua manutibilidade tambm dever ser
ponderada como critrio de avaliao do seu desempenho, uma vez que a facilidade com
que as intervenes de manuteno podem ser realizadas tambm pode levar a maiores
ou menores tempos para repor o seu estado operacional em caso de avaria, e
consequentemente variando a sua disponibilidade. Tambm deve ser tida em conta a
dificuldade que muitas vezes ocorre em diagnosticar as referidas barreiras de segurana.
Os requisitos funcionais de uma barreira de segurana podem estar explcitos em
regulamentos, normas, cdigos de projecto, etc., ou em requisitos baseados em anlises
de risco com o respectivo critrio de aceitao definido. A fiabilidade e disponibilidade de
uma barreira de segurana correspondem aos SIL exigidos pela IEC:61511 (2002), sendo
o seu nvel de confiana determinado como descrito no projecto ARAMIS, j citado
anteriormente. Os requisitos SIL, referentes anlise funcional de sistemas, constantes
na IEC:61508 (1998) e na IEC:61511 (2002) encontram-se descritos na Tabela 3.4.
Tabela 3.4 Nveis de Integridade de Segurana (IEC:61511)
Nvel de
Modo Op. Contnua
Integridade de
Modo Baixa Solicitao
Factor de Reduo do
Frequncia de avarias
Segurana
PFOD mdia
Risco
perigosas para realizar a

funo [h-1]
(SIL)
4
10-5 a <10-4
100000 a 10000
10-9 a <10-8
10-4 a <10-3
10000 a 1000
10-8 a <10-7
10-3 a <10-2
1000 a 100
10-7 a <10-6
10-2 a <10-1
100 a 10
10-6 a <10-5

109
Captulo III Risco
Os dois modos de solicitao indicados na Tabela 3.4 referem-se a:
PFOD mdia ou baixa solicitao Quando a frequncia de solicitao para o

sistema operar no superior a duas vezes a frequncia de teste ou ensaio;
Alta solicitao ou modo contnuo de operao Probabilidade de ocorrer uma

avaria perigosa por hora, sendo utilizada quando a frequncia de solicitao do
sistema para actuar superior a duas vezes a frequncia de teste ou ensaio, ou
quando o mesmo opera em modo contnuo.
A IEC:61508 Parte 4 (1998) refere um intervalo arbitrrio de um ano para distinguir os

dois modos de solicitao. Os mesmos aparentam, primeira vista, ter universos
diferentes quanto s unidades, pois enquanto no modo de baixa solicitao a referncia
a um ano (por definio), no funcionamento contnuo refere-se a avarias perigosas por
hora. No entanto, se for considerado o facto de existirem perto de 10000 horas por ano
(cerca de 8760 horas), os dois modos tm aproximadamente as mesmas mtricas de
segurana.
Antes de se efectuar uma estimativa quantitativa do nvel de confiana devem ser
estudados alguns parmetros qualitativos, tais como (Dianous & Fivez, 2006):
A independncia da barreira de segurana relativamente s causas e sistemas de

regulao para reduzir as avarias tipo causa comum (CCF = Common Cause
Failures);
arquitectura
do sistema
de segurana,
para
verificar a
existncia
de
redundncias, modos de falha de causa comum, se as barreiras tm avarias

seguras, etc;
O conceito de testado relativamente barreira, sustentado em experincias

anteriores;
A existncia de testes peridicos, de acordo com as instrues dos especialistas,

fornecedores ou fabricantes, assim como a existncia de um programa de
manuteno.
Relativamente ao clculo do nvel de confiana das barreiras de segurana, e quanto a

constrangimentos arquitecturais, utilizam-se dois parmetros:
A funo de avaria segura (SFF = Safe Failure Function), que traduz o quociente
entre a frequncia de avaria do componente que conduz a uma posio segura
(que potencialmente no coloca a barreira num estado de falha funcional) e a
frequncia total das avarias;
110

Captulo III Risco
A tolerncia falha, ligada capacidade da barreira se manter funcional em

termos de segurana em caso de avaria de um ou mais sistemas que a compem.
Este aspecto est ligado existncia de redundncias.
No aspecto quantitativo, a estimativa do nvel de confiana processa-se de uma forma

semelhante, mas agora tendo em conta o modo de solicitao, tal como definido na
Tabela 3.4, onde o valor do nvel de confiana da barreira corresponde ao nvel de
Integridade de Segurana (SIL).
Para a determinao do valor global do nvel de confiana de uma barreira de segurana,
tm-se em conta os aspectos qualitativos e os aspectos quantitativos dos diversos
subsistemas que constituem essa barreira. O valor global corresponder ao menor dos
valores encontrados para os subsistemas considerados. De acordo com Dianous e Fivez
(2006), no sector industrial, muito difcil encontrar nveis de confiana tipo LC 4.
Conforme a Tabela 3.4 tambm mostra, a cada nvel de confiana corresponde um factor
de reduo do risco.
Outro conceito relacionado com uma forma simplificada de anlise quantitativa do risco
denomina-se Anlise da Camada de Proteco (LOPA = Layer Of Protection Analysis).
Gowland (2006), no seu trabalho, compara esta metodologia com uma figura de uma
cebola, onde as barreiras de proteco so constitudas por sistemas de segurana que
se encontram:
No prprio projecto;
Nos parmetros de segurana utilizados;
No controlo do prprio processo e na capacidade de desligar o processo de forma

segura;
Em equipamentos mecnicos;
Em barreiras fsicas e organizacionais.
Quando estas barreiras no forem suficientes para evitar a ocorrncia do acidente devem
ser adicionadas mais camadas atravs de sistemas instrumentados de segurana. A
frequncia do acidente perigoso que se estiver a estudar considerada, e o objectivo
estabelecido como entrada na regio aceitvel para essa ocorrncia denomina-se o
objectivo (ou alvo) LOPA. Quando este valor, considerado aceitvel, estipulado por
norma ou por entidades reguladoras, tudo se torna mais fcil uma vez que assim se evita
que cada instalao estabelea os seus prprios critrios. A Figura 3.9 mostra o princpio
de funcionamento das vrias camadas ou barreiras (independentes) e a sua influncia

111
Captulo III Risco
em termos de frequncia das consequncias finais de acordo com a PFOD de cada

barreira e partindo de uma frequncia estimada para o acontecimento inicial.
Figura 3.9 Conceito LOPA

De acordo com Gowland (2006) as dificuldades encontradas na avaliao do desempenho
das barreiras de segurana prendem-se em alguns casos com a anlise do valor de
mitigao das barreiras e o verdadeiro efeito de barreiras processuais, tais como
sistemas de inspeco ou gesto.
Ao se efectuar uma anlise total s barreiras de segurana tero que ser tidos em conta
todos os aspectos, incluindo alguns efeitos adversos que a implementao dessas
barreiras de segurana pode acarretar, tais como os inerentes custos acrescidos, a
necessidade de interveno para manuteno e por vezes a introduo de novos perigos.
Quando se est a tratar o projecto e instalao de barreiras de segurana necessrio
que se conheam priori os riscos potenciais. Estes riscos podem ser avaliados como
ameaas expectveis e conhecidas face aos elementos especficos da instalao ou
organizao e tendo por base experincias anteriores, ou, por outro lado, ameaas cujo
desenvolvimento imprevisvel, tornando mais difcil estipular o tipo de barreira de
proteco. De qualquer forma, sempre necessrio pensar no futuro, para que numa
perspectiva de preveno ou proteco se diminua o risco. O desempenho de uma
112

Captulo III Risco
barreira de segurana depende de como a mesma projectada, utilizada durante a

operao e inspeccionada e mantida durante o seu ciclo de vida (Duijm, 2008).
Reconhece-se um conjunto de factores de gesto, importantes para assegurar o
desempenho de uma barreira de segurana. Por exemplo, as barreiras fsicas dependem
fundamentalmente de factores como a identificao do risco, o projecto, a instalao, a
gesto de sobressalentes, inspeco e manuteno, enquanto as barreiras sustentadas
na aco humana dependem mais dos procedimentos, planeamento, treino, empenho,
coordenao e comunicao. Duijm & Goossens (2006) apresentam no seu estudo uma
forma de quantificao das aces de gesto no desempenho das barreiras de segurana,
baseada na combinao de pesos e pontuaes.
3.4 Risco de Incndio

Conforme se viu anteriormente, o risco estar sempre presente, pelo que tentar-se-
optar pela soluo que apresente um risco menor face aos objectivos a alcanar,
havendo lugar assim aceitao de um determinado nvel de risco. A metodologia para
resolver estes problemas habitualmente genrica mas, no entanto, h que ter em
ateno certos pormenores conforme a natureza e dimenso da populao envolvida nos
riscos analisados.
Quando se fala em risco para uma dada instalao, de uma forma geral, pode-se estar a
transmitir este conceito de uma forma muito globalizada, perdendo-se por vezes a noo
de quais os riscos especficos que esto em jogo e a sua contribuio ou influncia para
uma ideia ou valor final encontrado. Assim, convm realar cada risco particular,
focalizando o trabalho naquele cuja incerteza associada poder revelar resultados mais
negativos para os objectivos definidos.
Para determinada empresa, por exemplo, devido sua localizao geogrfica pode-se
pretender efectuar uma anlise de risco ssmico, enquanto para outra, por motivos da
sua baixa tecnologia e elevada utilizao de operaes manuais se poder analisar o risco
de acidentes de trabalho, ou ainda outro caso onde devido ao elevado valor de emisses
para a atmosfera se queira saber o risco ambiental para uma determinada regio.
No caso especfico do presente trabalho, e devido crescente preocupao de vrios
sectores da indstria a nvel nacional e mundial, pretende-se analisar o risco de

113
Captulo III Risco
incndio em instalaes industriais, uma vez que na maior parte dos casos um
acontecimento desta natureza pode ter consequncias catastrficas, pondo em causa
vidas humanas, equipamentos, a continuidade das actividades desenvolvidas ou
causando danos ambientais.
Tratando-se de instalaes industriais de risco elevado, fortalece-se a importncia desta
anlise, pelo que a abordagem passa primeiramente por verificar as medidas de
preveno estabelecidas e os meios de proteco contra incndios existentes, assim
como a conformidade da instalao com a legislao quanto a estes requisitos.
De acordo com Johansson (2001), os investimentos relacionados com a segurana contra
incndios no costumam ser vistos como uma fonte de receita mas sim como decises
associadas a despesas, no s de investimento, como tambm de manuteno. No
entanto, esses investimentos podero, por exemplo, significar uma reduo no prmio de
seguro, o que por si s j poder ser encarado como uma receita.
Outra questo bastante importante saber como avaliar a reduo do risco de incndio
que o investimento envolve, cuja misso ou tarefa no fcil, uma vez que a ocorrncia
e propagao de um incndio so altamente incertas, no se sabendo quantos incndios
iro ocorrer durante o prazo do investimento, ou qual a extenso dos mesmos, caso
ocorram.
O risco de incndio na indstria uma das principais preocupaes de qualquer gestor ou
responsvel pela gesto do risco numa organizao, tornando-se em certos casos o
factor primordial para garantir a continuidade das actividades, por vezes fulcrais para um
determinado sector econmico ou at mesmo para o prprio pas. A importncia desta
preocupao pode ser expressa pelas avultadas verbas que normalmente so exigidas
pelas seguradoras aos seus clientes para cobertura desse tipo de risco.
Existem diversas ferramentas e mtodos de abordagem a esta questo, tendo-se optado
por desenvolver no presente trabalho uma nova metodologia, que embora no analise o
risco no seu todo, poder ser um contributo quando tal for o objectivo dos estudos
realizados. Pretende-se que esta metodologia transmita o rigor e a coerncia cientfica
exigida, mas que ao mesmo tempo tenha aplicabilidade no contexto industrial.
114

Captulo III Risco
3.4.1 Factores a considerar no risco de incndio

A descoberta do fogo permitiu ao Homem dar um salto no progresso da civilizao, sendo
porventura uma das maiores descobertas da Humanidade. Infelizmente, quando no se
consegue controlar essa fonte de energia, ocorre um incndio, deixando o fogo de ser
encarado como um bem fundamental e passando a transformar-se numa preocupao,
por vezes fatal para a vida humana e catastrfica para a sociedade.
Um incndio o resultado de uma combusto (ou vrias), fazendo necessariamente
parte da(s) mesma(s) trs componentes: os materiais combustveis, o comburente
(oxignio) e a energia de activao. Esta simultaneidade de factores nas devidas
propores e de forma no controlada pode transformar-se numa tragdia.
Assim, a preveno e o combate aos incndios passa pela separao ou controlo destes
factores, ou pela eliminao de algum deles. O objectivo principal da segurana contra
incndios a salvaguarda das vidas humanas. Alm deste objectivo outros podero
surgir, nomeadamente:
Facilitar a interveno dos meios de socorro exteriores;
Proteger os bens materiais, com prioridade para as edificaes vizinhas;
Promover a continuidade das actividades.
De uma forma geral, e de acordo com a teoria clssica, o risco de incndio

potencialmente presente em determinada instalao pode ser apresentado como o
produto de dois factores; a probabilidade de ocorrncia do incndio e a gravidade (ou
consequncias) relacionadas com tal acontecimento.
Pode-se ento diminuir ou limitar o risco atravs da adopo de medidas que permitam
reduzir qualquer um destes factores, elevando o nvel de segurana. Ao reduzirmos a
probabilidade de ocorrncia de incndio estamos a actuar na preveno, enquanto ao
procurarmos reduzir os efeitos da sua gravidade estamos no mbito da proteco.
Enquanto o primeiro se relaciona fundamentalmente com o tipo e quantidade de
combustvel e com as fontes de ignio presentes na instalao, o segundo factor tem a
ver em grande escala com as medidas de proteco ou barreiras de segurana presentes
(ver 3.3), e nomeadamente com a sua operacionalidade e eficincia/eficcia.

115
Captulo III Risco
RISCO DE INCNDIO
PROBABILIDADE DE OCORRNCIA
TIPO DE COMBUSTVEL
GRAVIDADE DAS CONSEQUNCIAS
MEDIDAS DE PROTECO
QUANTIDADE DE COMBUSTVEL
FONTES DE IGNIO
Figura 3.10 Modelo genrico de Risco de Incndio

Em termos de probabilidade de incndio pode-se dizer que se trata de um fenmeno
aleatrio afectado por inmeros factores, sobre o qual se tm produzido algumas
abordagens e teorias. Algumas dessas abordagens tm sido construdas com o objectivo
de prever a ocorrncia de um incndio para diferentes tipos de edifcios.
De acordo com Rutstein & Clarke (1979) estima-se a probabilidade de incndio para
diferentes tipos de indstrias, dividindo o nmero de fogos que ocorrem cada ano pelo
nmero de edifcios em risco (para cada tipo de indstria). Neste caso a probabilidade
no-linear, tendo em conta a rea dos edifcios em risco.
Ramachandran (1980) mostra que a probabilidade de incio de um incndio pode ser
estimada atravs da rea do edifcio e de algumas constantes, conforme a categoria de
risco do edifcio.
O carcter aleatrio e a baixa frequncia (felizmente) deste tipo de eventos levou Lie
(1998) e Burros (1975) a assumirem que se trata de um Processo de Poisson
Homogneo, podendo a taxa mdia de incio de incndios por ano ser baseada em
informao estatstica.
Rahikainen & Keski-Rahkonen (2004) determinaram que as frequncias de ignio
seguem uma variao de acordo com a semana, ms ou dia da semana, assim como com
as horas de cada dia.
116

Captulo III Risco
De acordo com o estudo de Lin (2005), no perodo de 1985 a 2001, registaram-se em

estabelecimentos industriais, em Taiwan, uma mdia de 1578 incndios por ano.
Relacionando esses incndios com a rea onde os mesmos ocorreram, que se situa em
cerca de 117.809 m2, d uma taxa de 1,34x10-2 incndios/m2 por ano, a mais alta
relativamente a outro tipo de edifcios, como residenciais, lojas, edifcios pblicos e
outros, tambm estudados no referido trabalho. Assim conseguir-se- estimar a
probabilidade
de
incndio
para
um
determinado
tipo
de
edifcio
atravs
das
correspondentes taxas de incndio encontradas.

De acordo com Orbeck (1990), em termos de fontes de ignio responsveis por incndio
ou exploses em edifcios comerciais (citando um relatrio da FM-Factory Mutual Corp.),
pode-se encontrar cabea as causas elctricas, a que correspondem cerca de 271,9
milhes de dlares de perdas por ano.
Tillander (2004) efectuou um estudo de anlise de risco de incndio em edifcios
suportada numa base de dados nacional (Pronto) sobre acidentes na Finlndia desde
1996, obtendo assim nova informao sobre riscos de incndio e apresentando mtodos
quantitativos para avaliao. O uso de informao estatstica , neste caso, um bom
meio para tentar caracterizar incndios. Este estudo centra-se na frequncia de ignies,
perdas econmicas e operao do departamento de segurana nestas situaes. A
frequncia de ignio tem origem no levantamento da rea total do piso para cada
categoria diferente de edifcios. Os parmetros e os coeficientes de segurana parciais do
modelo foram estimados para trs grupos diferentes de edifcios e encontra-se preparado
para determinar a frequncia de ignio em edifcios com uma rea total por piso de 100
a 20.000 m2. Nesta abordagem distinguem-se os edifcios que possuem sistemas de
extino automtica dos restantes. Tambm se chegou concluso que o factor mais
importante que afecta o desempenho da fora de combate o tempo que a mesma leva
a viajar at ao local do acidente, pelo que uma deteco e uma resposta mais lenta
reduziro significativamente as hipteses de sucesso. Como consequncias do incndio
contabilizam-se as perdas econmicas, relacionando as mesmas com a rea total do
compartimento.
Quanto s consequncias, e devido diversidade de tipos de indstria, a sua
localizao, a sua implantao e as vrias polticas de gesto, manuteno e segurana,
pode-se afirmar que cada caso um caso, requerendo tambm este aspecto uma anlise
cuidada.

117
Captulo III Risco
Fontana et al (1999) mostram que, segundo um estudo realizado na Suia no perodo

1986-1995, ocorreram neste pas cerca de 335.000 incndios em edifcios. S no canto
de Berna verificaram-se cerca de 1538 incndios no sector industrial, sendo os prejuzos
valorizados em cerca de 66.703 milhes CHF (1 US$=1.48 CHF, data).
De acordo com outro estudo efectuado na Gr-Bretanha (Ramachandran, 1999), estimase que por ano morrem cerca de 800 pessoas e ficam feridas cerca de 15.000,
relacionados com a ocorrncia de incndios. Em mdia, por ano, a perda de material
directo cifra-se em cerca de 1,2 milhes de libras e material indirecto em 120 milhes de
libras. As perdas directas e indirectas devido a incndios representam na Gr-Bretanha
cerca de 0,21% do produto interno bruto do pas.
Segundo Shaluf et al (2003), e de acordo com o relatrio da United Nations
Environmental Program de 2002, refere-se que nos 12 maiores acidentes em refinarias

relacionados com incndios, o resultado cifra-se em 101 mortes, 111 feridos graves e
cerca de 150.000 pessoas evacuadas, no se contabilizando os prejuzos materiais e
econmicos da resultantes.
De acordo com Kim et al (2002), em 40 casos estudados de incndios na indstria
qumica entre 1983 e 1997, os prejuzos respeitantes a danos nas instalaes ascendem
a 1.617 milhes de dlares e com a perda de produo cifra-se em 2.370 milhes de
dlares.
Assim, mostra-se de uma forma bastante clara a importncia deste tema, justificando o
desenvolvimento de um trabalho nesta rea, com o objectivo de tentar construir um
modelo que de qualquer forma sirva para conhecer e gerir o risco, tendo como objectivo
principal a reduo do risco potencial de incndio nas instalaes.
3.4.2 Objectivos das barreiras de segurana contra incndios

Conforme se pode constatar pela leitura dos pontos anteriores, os sistemas de proteco
ou barreiras de segurana existentes numa instalao assumem um papel fundamental
na reduo do risco, uma vez que podem fazer variar a severidade ou gravidade das
consequncias de um incndio, caso este ocorra. No entanto, de nada serve o
investimento neste tipo de sistemas se no houver a preocupao de os manter
disponveis e operacionais. Os meios de proteco contra incndios assumem assim um
118

Captulo III Risco
papel fundamental, principalmente quando se abordam questes como a eficcia ou

eficincia dos mesmos.
Nesta fase convm distinguir os dois conceitos anteriormente referidos. Num contexto de
gesto, eficincia corresponde forma e aos meios utilizados na realizao de uma
actividade, que tanto mais eficiente quanto menores forem os recursos utilizados na
sua concretizao (matrias primas, pessoas, dinheiro e tempo). A mxima eficincia
desta forma atingida quando utilizado o mnimo de recursos. A eficcia mede o grau de
satisfao e o alcance dos objectivos, face aos resultados obtidos. Quanto mais eficaz for
uma tarefa, maior o nvel dos resultados e maior a satisfao. A mxima eficcia
atingida com o alcance total dos objectivos pr-estabelecidos.
Na prtica, a eficcia sensivelmente simples a medir. J a eficincia mais complicada
mas advm sobretudo da instaurao de novos mtodos de produo, da automatizao
de procedimentos e da tecnologia presente. Assim, ganhos de eficincia traduzem-se
geralmente por diminuies de custos.
Esta eficincia dos equipamentos e meios de proteco contra incndio est directamente
relacionada
com
algumas
das
vrias
fases
do
ciclo
de
vida
desses
mesmos
equipamentos, nomeadamente com:

- Projecto;
- Ensaio / Comissionamento;
- Explorao;
- Abate ou desmantelamento (sem grande influncia, no caso especfico).
A eficcia s pode ser medida numa fase especfica, que se pretende seja a de maior
durao em termos temporais, ou seja:
- Explorao
Nesta fase que os equipamentos so colocados verdadeiramente prova, durante os
ensaios e simulacros e fundamentalmente perante situaes de acidente real. neste
estgio do ciclo de vida dos equipamentos que o papel da manuteno tem especial
importncia e reflexo no desempenho e no atingir dos objectivos para os quais foram
concebidos e instalados.
Dieken (2008) afirma que, por ano, em situaes de incndio, os sistemas de supresso
avariam, e que em cerca de um tero das vezes que isso ocorre se deve a uma

119
Captulo III Risco
inspeco, teste e manuteno inadequada. Nesse artigo mencionado um estudo do
Edison Electrical Institute (EEI) onde se refere que num perodo de 20 anos, devido a
erros e omisses relacionados com a manuteno em cerca de 49% dos sistemas de
supresso por gs em turbinas de combusto, resultaram prejuzos para a propriedade
no valor de 15,9 milhes de dlares.
No que respeita segurana contra incndios, diversos sistemas ou barreiras de
segurana podem ser estudadas. Podem ser referidos alguns sistemas estticos, como
paredes ou portas corta-fogo ou o estudo de materiais relativamente ao seu
comportamento de reaco e resistncia ao fogo, ou sistemas dinmicos, como redes de
incndio armadas (RIA), sistemas de desenfumagem, sistemas automticos de deteco
de incndios (SADI), sistemas de extino por espuma ou gases ou sistemas automticos
de extino (mais conhecidos como redes de sprinklers), entre outros. Pode tambm ser
analisado um terceiro tipo de elementos que fazem parte da segurana contra incndios,
mais do foro organizacional, como caminhos de evacuao, iluminao de emergncia,
sinaltica ou planos de emergncia.

No seguimento do captulo anterior, o Captulo III visou definir o que se entende por
Risco. Apresentaram-se algumas definies e fez-se referncia normalizao relativa a
anlises de risco.
Mostrou-se como o risco pode ser traduzido pelo produto da probabilidade de ocorrncia
de um acontecimento indesejvel pela severidade ou gravidade das suas consequncias.
Com base nestes dois factores foi apresentada uma metodologia relativa avaliao do
risco, comparando o risco potencial com o que se pode considerar aceitvel, de acordo
com um critrio de aceitao pr-estabelecido (ALARP, GAMAB, MEM, etc.). De igual
forma foi apresentada uma matriz denominada matriz de risco, habitualmente
recorrente quando se analisam potenciais acidentes.
Foram apresentadas algumas metodologias genricas de anlise de risco e introduzido o
conceito de barreiras de segurana. Classificaram-se as funes das barreiras de
segurana e os sistemas de segurana. Tambm se mostraram algumas metodologias
que permitem efectuar uma avaliao do desempenho das barreiras de segurana.
120

Captulo III Risco
De uma
forma
geral, foram
descritas as
particularidades inerentes
aos meios
normalmente usados para prevenir, controlar ou mitigar acontecimentos indesejveis ou

acidentes, fazendo referncia a conceitos como o Nvel de Integridade de Segurana (SIL
= Safety Integrity Level), Sistemas Instrumentados de Segurana (SIS = Safety
Instrumented Systems), Probabilidade de Falha quando Solicitado (PFOD = Probability of

Failure On Demand) ou Anlise de Camadas de Proteco (LOPA = Layer Of Protection
Analysis).
Partiu-se da noo generalizada de risco para particularizar uma temtica especfica, ou
risco especfico, nomeadamente o Risco de Incndio, uma vez que nos captulos
seguintes ser dado especial relevo anlise de equipamentos considerados barreiras de
segurana, destinados a controlar ou mitigar este tipo de acontecimento. Trata-se de
uma rea de grande preocupao, havendo a necessidade de se efectuarem estudos e
desenvolver novas metodologias de anlise, no que respeita preveno e proteco
deste tipo de eventos.
No presente captulo fez-se precisamente a diferenciao entre preveno e proteco,
enunciando os factores que contribuem para a existncia de risco de incndio, apontando
as medidas de proteco como forma de minimizar a gravidade das consequncias.
Apresentou-se um histrico de acontecimentos relacionados com acidentes resultantes da
ocorrncia de incndios, de forma a mostrar a importncia do tema e algumas
metodologias ou abordagens sobre o assunto, quer quanto probabilidade de ocorrncia,
como quanto s consequncias.
As barreiras de segurana, devido particularidade de normalmente se encontrarem
num estado especfico denominado dormant, podem-se considerar especiais do ponto
de vista da anlise de risco de uma instalao. Assim, pode-se considerar toda a anterior
descrio relativa a esta temtica como uma introduo e uma ponte para o Captulo IV.

121
Captulo III Risco
122

Captulo IV Anlise de Bens no Estado Dormant
CAPTULO IV
ANLISE DE BENS NO ESTADO
DORMANT
4.1 Introduo
De uma forma geral pode-se considerar que o estado de um bem corresponde condio
em que o mesmo se encontra em determinado momento para cumprir a sua funo. De
uma forma sinttica, podem-se indicar basicamente duas situaes relativamente ao
estado dos equipamentos:
Situao de indisponibilidade;
Situao de disponibilidade.
Por vezes os equipamentos tambm podem estar parcialmente disponveis, podendo

apenas cumprir parte das funes com que normalmente se encontram capacitados. Por
exemplo, se for definido que uma electrobomba deve debitar um caudal de 100 m3/h
(10%) e por determinadas razes se registar um caudal de apenas 85 m3/h, poder-se-
dizer que existe uma falha ou eventualmente afirmar que o referido equipamento se
encontra parcialmente avariado, uma vez que se regista efectivamente transferncia do
fludo, mas no de acordo com os valores especificados.
De qualquer forma, a partir das duas situaes bsicas inicialmente apontadas, podemse referir alguns estados complementares, tais como (Pallerosi, 2007d):
Estado de incapacidade permanente Estado de um bem caracterizado por o

mesmo se encontrar num estado crtico;

123
Estado de incapacidade temporria Estado de um bem caracterizado por este se

encontrar em manuteno preventiva, no estado de falha ou de incapacidade por
razes externas;
Estado de capacidade operacional Estado de um bem caracterizado por este se

encontrar no estado de prontido, de reaco ou de operao efectiva.
Inerente aos estados de incapacidade e capacidade anteriores, ainda podem ser referidas
algumas situaes particulares, tais como:
Estado critico Estado relacionado com condies perigosas e/ou inseguras para
as pessoas, avultadas perdas materiais ou danos ambientais graves;
Estado de manuteno preventiva Estado em que o bem permanece durante o

tempo inerente a aces de manuteno de carcter preventivo;
Estado de avaria - Estado que resulta da ocorrncia de uma avaria e que leva a
uma interveno de manuteno tipo correctiva;
Estado de incapacidade devido a razes externas Estado correspondente a um

bem que se encontra disponvel, mas que por falta de recursos externos se
encontra indisponvel temporariamente;
Estado de prontido Estado em que o bem se encontra disponvel mas no em

operao, como o exemplo de um componente que se encontra em standby,
pronto para operar;
Estado de
reaco
Estado
relativo ao
perodo
de
tempo
que alguns
equipamentos necessitam desde que so activados at atingirem a sua condio

plena de operao;
Estado de operao Estado onde o bem se encontra a desempenhar

correctamente as funes requeridas;
A aplicabilidade destas definies, ou eventualmente de outras, depende de cada

equipamento
em
particular.
As
situaes
anteriormente
referidas
podem
ser
esquematizadas e apresentadas conforme Figura 4.1.
124

EQUIPAMENTOS
INDISPONIBILIDADE
DISPONIBILIDADE
INCAPACIDADE
PERMANENTE
INCAPACIDADE
TEMPORRIA
CAPACIDADE OPERACIONAL
ESTADO CRTICO
ESTADO DE
MANUTENO
PREVENTIVA
ESTADO DE
PRONTIDO
ESTADO DE
AVARIA
ESTADO DE
REACO
ESTADO DE INOP.
DEVIDO A RAZES
EXTERNAS
ESTADO DE
OPERAO
Figura 4.1 Possibilidade de estados de um bem

Outro tipo de classificao, no muito distinto do anteriormente referido, apresentado
na NP EN 13306 (2007), onde os diferentes estados de um bem so apresentados de
acordo com a Figura 4.2.
Figura 4.2 Exemplo dos diferentes estados de um bem

Na referida norma, cada um estados definido da seguinte forma:
Estado de indisponibilidade Estado de um bem caracterizado por um estado de

falha ou por uma eventual capacidade para desempenhar uma funo requerida
durante a manuteno preventiva;
Estado de disponibilidade Estado de um bem caracterizado pelo facto que pode

cumprir uma funo requerida, assumindo que o fornecimento de recursos
externos, eventualmente necessrios, est assegurado;

125
Estado de repouso Estado de um bem disponvel quando no est em

funcionamento durante um tempo em que no requerido;
Estado de espera - Estado de um bem disponvel quando no est em

funcionamento durante um tempo em que requerido (diferente do termo
funcionamento em vazio);
Estado de funcionamento Estado de um bem que cumpre a funo requerida;
Estado de incapacidade externa - Estado de incapacidade de um bem disponvel,

por falta de recursos externos necessrios ou que no est disponvel devido a
aces programadas que no sejam de manuteno.
De uma forma geral, pode-se dizer que os bens sujeitos anlise de falhas e a estudos
de fiabilidade, manutibilidade, disponibilidade e segurana podem encontrar-se em vrios
estados de funcionamento ao longo do seu ciclo de vida, de acordo com as suas
caractersticas de projecto, de explorao e de manuteno. Do ponto de vista dos bens
que se encontram com capacidade operacional, podem-se definir basicamente dois tipos
de situaes, nomeadamente:
Bens em operao;
Bens em no-operao.
Relativamente ao primeiro tipo, podem-se aplicar os conhecimentos tericos tradicionais

relacionados com o tipo de anlise que se pretenda efectuar (fiabilidade, manutibilidade,
disponibilidade e segurana), sendo frequentemente encontrados diversos estudos
nessas matrias. Quanto aos bens que se encontram em no-operao, quer por
simplesmente
se
encontrarem
armazenados,
ou
eventualmente
se
encontrarem
instalados em standby ou num estado adormecido (dormant), j a quantidade de

estudos no to vasta.
Podem ser referidos alguns trabalhos, como por exemplo um estudo (Wu & ClementsCroome, 2007) onde se mostra como estabelecer as melhores polticas de burn-in para
produtos no estado dormant, dando como referncia equipamentos que so instalados
em
edifcios na
fase de construo e que no funcionam
at que se d o
comissionamento do edifcio. De qualquer forma, necessrio dar garantia dos

equipamentos durante esse perodo. O desenvolvimento de polticas ptimas de burn-in
para esses produtos importante quando se analisam os custos no perodo de garantia,
sendo tambm apresentados dois exemplos numricos onde se comparam os custos
totais, em termos mdios, conforme a poltica adoptada.
126

Outro estudo (Wu & Li, 2007) refere o perodo de garantia de produtos no estado
dormant, numa vertente de anlise de custos, tendo em conta os custos de
manuteno preventiva e manuteno correctiva durante esse perodo, e considerando
trs tipos de falhas tpicos em produtos no modo adormecido (dormant).
Hokstad & Frovig (1996) apresentam modelos para o mecanismo de avarias que levam a
falhas por degradao e falhas crticas9, e mostram como determinar os estimadores
para
intensidade
das
avarias,
visando
fundamentalmente
as
falhas
ocultas,
caractersticas de bens no estado dormant ou em standby. Nestes modelos tambm

possvel quantificar a reduo na taxa de avarias crticas, reparando atempadamente as
avarias consideradas por degradao.
Em algumas situaes os equipamentos podem ficar inactivos no terreno (sujeitos a
vrios factores ambientais) ou noutro local (possivelmente espera de manuteno).
Durante estes perodos os sistemas tambm podem entrar em contacto com diversos
esforos, que podem ser naturais (ex. humidade, p, temperaturas altas ou baixas, etc.)
ou induzidos, devido a erro humano (ex. mau manuseamento). Um sistema pode estar
situado em vrios ambientes de no-operao durante o seu ciclo de vida. Alguns desses
ambientes devem ser analisados, devido possibilidade de poderem causar avarias aos
sistemas, enquanto outros podem ser de importncia negligencivel.
4.2 Dormant State

Nesta fase convm clarificar o que se entende por bens no estado dormant, ou
adormecido,
realar
as
diferenas
relativamente
outros
equipamentos
que
normalmente se encontram em servio considerado contnuo, ou quase contnuo.

De acordo com um estudo do RAC (Rome Air Development Center) (Seman et al, 1988),
os modos de no-operao podem ir desde o simples armazenamento at ao estado de
prontido e alerta em que se pode encontrar um determinado bem. Reportando-se o
referido estudo a equipamentos militares, pode-se constatar que o estado dormant
corresponde a uma percentagem elevada de tempo, relativamente a todo o ciclo de vida
Neste estudo, aparecem os termos critical, degraded e incipient, referindo-se a falhas que implicam a
perda total da funo principal, degradao em alguma parte do bem (garantindo no entanto o cumprimento da
funo) e a falhas que podero ser ignoradas, respectivamente.

127
dos equipamentos. Como este estado e os seus efeitos nem sempre so considerados
durante as fases de projecto, o documento anteriormente referido foi preparado para
servir como guia nessa fase do ciclo de vida, com o objectivo de mitigar os efeitos
produzidos em equipamentos electrnicos por estes se encontrarem num estado tipo
dormant, e assim melhorar a fiabilidade, manutibilidade e capacidade de teste10 deste
tipo de sistemas militares.
Para evitar possveis confuses quanto ao que realmente se entende por dormant, e
diferenciar esta caracterstica daquela em que um bem que se encontra pura e
simplesmente armazenado, apresenta-se de seguida uma descrio mais pormenorizada
da diferena entre o estado referido como de dormancy, e o de storage (Carchia,
1999) (Pecht & Pecht, 1995).
Dormancy
definido como um estado no qual o equipamento est na sua

configurao operacional normal e ligado, mas no em operao. Para
efeitos de testes, o equipamento no estado dormant poder ser ligado e
desligado ciclicamente. Durante o perodo dormant, as tenses elctricas
presentes em condies de operao so normalmente reduzidas ou
eliminadas;
Storage
definido como o estado no qual o sistema, subsistema ou componente

est totalmente inactivo e permanece numa rea de armazenagem.
Normalmente o produto pode ter que ser desembalado e ligado a uma
fonte de energia para ser testado.
Quanto aos bens que se encontram armazenados so referidos dois estudos. Um desses
estudos (Martinez, 1984) aborda a questo da fiabilidade de equipamentos electrnicos
que podero avariar antes ou no momento em que so colocados em servio aps longo
perodo de armazenagem, mostrando a importncia dos testes efectuados na tentativa
de manter a sua fiabilidade inerente.
O outro estudo (Ito & Nakagawa, 2000) refere-se a msseis e componentes de avio
armazenados durante um longo perodo e que, para garantia da sua fiabilidade, so
sujeitos a testes peridicos. Neste estudo, apresenta-se o compromisso entre os custos
inerentes realizao desses testes com os custos referentes a uma reviso geral,
10
Esta designao provem do termo anglo-saxnico testability, usado normalmente no campo informtico no
processo e desenvolvimento de software (ISO/IEC 12207), e refere-se maior ou menor facilidade, e

consequente rapidez, com que um sistema pode ser testado, com vista a aferir o seu estado funcional.
128

necessria na eventualidade de no se realizarem inspeces com a frequncia indicada,

e assim a fiabilidade chegar a valores inaceitveis.
Os estados dormant e storage, em conjunto com um terceiro modo, designado de
standby, so situaes bastante comuns de encontrar durante a vida de muitos
sistemas. No caso de sistemas no estado dormant, a solicitao d-se com base numa
informao (sonda, pressostato, etc.), enquanto nos sistemas standby, a solicitao
ocorre quando o sistema ou componente primrio avaria, embora nesta situao tambm
seja normalmente necessrio haver uma informao de avaria do componente primrio
(atravs do detector-comutador ou sensor-comutador). A principal diferena entre o
estado dormant e o estado standby reside no facto de na primeira situao (dormant)
no existir um sistema primrio e na segunda (standby) ter de o haver. Na maior parte
dos casos tem-se tambm de considerar que alguns sistemas em standby se
encontram numa situao dormant.
Quanto a componentes em standby podem ser indicados alguns estudos referentes ao
clculo da sua fiabilidade, podendo, no enquadramento do presente trabalho, ser referido
o trabalho realizado por Courtois & Delsarte (2006), onde se apresenta um modelo para
determinar a frequncia ptima para a realizao dos testes e manuteno de
componentes redundantes. Atravs do modelo desenvolvido mostra-se que quanto maior
for a frequncia de inspeco, menor a probabilidade de uma falha oculta ocorrer entre
inspeces sucessivas, tendo-se por objectivo confrontar este aumento da fiabilidade
com a indisponibilidade das redundncias, motivada pelo tempo necessrio realizao
dessas inspeces. Neste estudo tambm se assume que as inspeces so perfeitas.
De igual forma, referido outro estudo (Motta & Colosimo, 2002) onde se determina a
frequncia para a manuteno preventiva de unidades em standby com a apresentao
de uma aplicao prtica sobre rels de uma instalao produtora de energia elctrica no
Brasil. Neste trabalho, os autores mostram como as falhas ocultas de bens em standby
levam a maiores dificuldades na determinao da periodicidade para efectuar a
manuteno preventiva. Normalmente esta periodicidade baseada na experincia e
julgamento dos tcnicos e engenheiros de manuteno, com alguma subjectividade. No
trabalho desenvolvido pelos autores anteriormente citados, relativo a rels de proteco
de um sistema de transmisso e distribuio, refere-se que relativamente s falhas
ocultas, so apontados basicamente dois modos:
Falha na operao, na presena de uma solicitao operacional, tambm

designada por falha operacional;

129
Operao desnecessria, na ausncia de qualquer solicitao, designada por falha

segura (no estudadas nesse trabalho).
Os autores referem tambm que normalmente os estudos de fiabilidade de sistemas de

proteco apenas tm em considerao as falhas em servio, subestimando assim a
fiabilidade do sistema. Desta forma, para se obterem resultados mais reais, as falhas
ocultas devero tambm ser consideradas nestes estudos, uma vez que este tipo de
equipamentos (de proteco) tende a ficar no estado de standby por largos perodos de
tempo.
Assume-se que as anomalias encontradas num sistema aquando das inspeces so
resolvidas, tipificando modelos de reparao perfeita, ficando o sistema num estado
designado na literatura anglo-saxnica como as good as new. Tambm se assume que
os tempos at avaria seguem uma distribuio exponencial, justificada em termos
tericos por um processo de renovao. Este tipo de processo tem lugar quando um
nmero de situaes individuais combinam para formar um processo global, denominado
um processo super-imposto. O processo global tende para um Processo de Poisson
Homogneo,
mesmo
que
as
variveis
individuais
no
sejam
necessariamente
independentes e identicamente distribudas (Motta & Colosimo, 2002).

Zang et al (2006) referem uma metodologia de clculo para a disponibilidade e
fiabilidade de sistemas em standby, tendo em conta que os mesmos possuem taxas de
avaria e de reparao diferentes. Neste trabalho, os autores introduzem o conceito de
dormant failure, referindo que ao introduzir-se redundncias para melhorar a
fiabilidade e disponibilidade de um sistema, trs tipos de situaes podem ocorrer
relativamente s propriedades dessas redundncias (standby), nomeadamente:
Cold standby implica que os componentes inactivos tm uma taxa de avarias

nula e no podem avariar neste estado;
Hot standby implica que um componente inactivo tenha a mesma taxa de

avarias que um componente em operao;
Warm standby um caso intermdio que implica que um componente inactivo

tenha uma taxa de avarias com um valor entre um hot standby e um cold
standby. a este ltimo caso que os autores denominam de dormant failure.

Quando se fala de equipamentos de proteco, designados como barreiras de segurana,
normalmente as suas falhas apenas so reveladas aquando da solicitao (situao real
ou teste). S nesta fase se poder iniciar um processo de reparao ou troca de
130

componentes, se tal for possvel e vivel. Bada et al (2002) mostram que as falhas
ocultas permanecem desconhecidas desde que no se efectuem inspeces ou testes, e
que este tipo de falhas normalmente ocorre em equipamentos armazenados, unidades
em standby ou sistemas que raramente funcionam, como os sistemas de segurana. A
excepo encontra-se nos casos em que se monitorizam alguns sistemas, podendo
actuar-se de imediato, assim que se detecte alguma anomalia.
4.3 As barreiras de segurana e o estado Dormant

Relativamente s barreiras de segurana constata-se que uma grande quantidade de
sistemas crticos de segurana (e no s) passa a maior parte da sua vida num estado
no operativo. Esta noo de no-operao caracterizada pela existncia de
componentes ou sistemas pertencentes a um equipamento funcional, onde ocorre uma
reduo ou a eliminao dos esforos mecnicos e/ou elctricos (quando comparados
com a condio normal de operao).
Harris (1980) compilou uma lista de valores tpicos para o tempo dispendido no estado
de no-operao de vrios tipos de equipamentos. Esta lista, conforme Tabela 4.1,
demonstra que o estado de no-operao pode significar uma percentagem considervel
da vida de alguns sistemas.
Tabela 4.1 - Valores tpicos em percentagem de tempo de calendrio para equipamentos
no estado de no-operao
Aplicaes Domsticas
Televises
75%
Equipamentos elctricos de cozinha
97%
Carros
Uso pessoal
93%
Uso pblico (txis)
38%
Equipamento Profissional
Calculadoras pessoais
98%
Fotocopiadoras de pequena dimenso
>75%
Equipamento de teste electrnico
>90%
Equipamento Industrial
Equipamento de segurana
98%
Energia standby (gerador de emergncia)
>90%
Vlvulas
>75%
Ar condicionado
Equipamento de teste local
50-80%
99%

131
Relativamente a barreiras de segurana no estado dormant importa tambm realar

que podero ocorrer outro tipo de avarias, designadas por avarias no perigosas ou
avarias seguras, que resultam da actuao intempestiva dessas barreiras sem que se
tenha observado a ocorrncia do acontecimento potencialmente perigoso. Devido sua
criticidade ser praticamente nula, nomeadamente no que se refere severidade ou
gravidade das suas consequncias, este tipo de avarias no so analisadas no presente
estudo.
De acordo com os conceitos enunciados no Captulo II, a disponibilidade pode ser vista
de trs formas:
1. Como a probab. do bem funcionar quando solicitado;
2. Como a probab. do bem se encontrar a funcionar num determinado tempo t;
3. Como a fraco do tempo total em que o bem consegue realizar a sua funo.
Quando aplicada aos bens no estado dormant, pretende-se fundamentalmente que os
mesmos funcionem cada vez que forem solicitados, e que posteriormente a esta fase,
que o sistema seja fivel durante um determinado tempo ou misso. Quando se trata de
equipamentos de proteco (segurana), pode-se afirmar que neste caso concreto o
sistema reage a um acontecimento indesejvel, e actua para prevenir uma situao
perigosa. Se esse mesmo sistema estiver numa situao de incapacidade temporria ou
permanente quando for solicitado, podemos ento afirmar que ele se encontra
indisponvel.
A maior parte dos sistemas de segurana encontra-se no estado dormant, operando
apenas se necessrio, ou seja, no se encontra em operao contnua. Devido sua
aplicao e importncia no sector industrial, onde o risco particularmente elevado,
justifica-se um cuidado especial no tratamento deste tipo de sistemas. Ser sobre os
bens que se encontram neste estado que o presente captulo ir incidir, desenvolvendo
alguns conceitos e demonstrando a sua aplicabilidade.
A periodicidade com que os testes so efectuados um factor de extrema importncia a
ser considerado. Quanto menor for o intervalo de tempo entre testes mais cedo se
descobrem as potenciais falhas ocultas (hidden failures), embora por outro lado se
possam tambm induzir algumas (ex. erro humano durante uma aco de manuteno).
Alm deste factor, tambm tm que se considerar maiores custos com a manuteno,
132

devido ao aumento da sua frequncia. O presente trabalho pretende abordar algumas

destas questes na ptica da anlise a barreiras de segurana no estado dormant.
4.4 Metodologias de anlise

Enquanto a literatura mais comum se centra na fiabilidade em servio, convm no
esquecer que, de acordo com os pargrafos anteriores, o estado de no-operao
tambm deve requerer a ateno dos projectistas e analistas de sistemas. Os sistemas
projectados para operar com alta fiabilidade no funcionam necessariamente bem aps
largos perodos de exposio em ambientes de no-operao, e h que ter isso em conta.
Assim, quando se trata de equipamentos nestas circunstncias, os assuntos relacionados
com as suas avarias (ou falhas) necessitam tambm de ser analisados e tidos em
considerao na fase de projecto e explorao do seu ciclo de vida.
Raras vezes existem dados de campo especficos, a partir dos quais se pode determinar a
fiabilidade dos bens no estado dormant. Destaca-se pela positiva o caso da indstria
automvel onde a informao referente a determinadas partes pode ter sido recolhida
em modelos mais antigos de viaturas e posteriormente aproveitada para novos modelos,
desde que os componentes sejam suficientemente idnticos e a operar em condies
similares.
Existem
outras
abordagens
sobre
os
componentes
usados
numa
situao
de
redundncia, onde se associa um factor de adormecimento ou dormancy factor (), que

varia entre os valores zero e um (inclusive) (Carchia, 1999). Este ser ento um factor
multiplicativo taxa de avarias calculada para esse componente, quando numa situao
de operao, e que pode ser determinado em funo das condies ou factores
ambientais em que o mesmo se encontra.
Se este factor assume o valor zero (=0), o componente sobressalente designa-se por
cold spare. Um cold spare no pode avariar antes de entrar em servio. Se o factor
tem o valor unitrio (=1), chama-se ao sobressalente um hot spare, podendo avariar
com uma taxa idntica a um componente similar que se encontre em servio. A um
componente cujo valor do factor de adormecimento se refere a qualquer situao
intermdia entre zero e um designa-se por warm spare. Este ltimo tipo de
componente pode avariar antes de entrar em servio, mas com uma taxa inferior de
um componente em funcionamento (Meshkat et al, 2000).

133
Como visto anteriormente (Tabela 4.1), os referidos sistemas de segurana passam a

maior parte da sua vida (98%) num estado dormant. A fiabilidade deste tipo de bens
crucial, uma vez que quando solicitados, em resultado da sua correcta operao podero
estar em causa o destino da vida de muitas pessoas, a integridade das instalaes, a
continuidade de actividades ou a existncia de danos ambientais graves. Quando a
actuao destes sistemas necessria, por qualquer eventualidade, importante que
funcionem sem avarias!
De acordo com Meshkat et al (2000), a anlise de fiabilidade de sistemas de segurana,
como por exemplo sistemas automticos de extino de incndios (sprinklers) ou outros
sistemas
de
proteco,
requer
que
tenhamos
em
considerao
dois
tipos
de
comportamento em termos de falhas, nomeadamente:
Falha na solicitao, ou quando solicitado;
Falha durante a operao (in service).
Isto significa que o sistema, que normalmente se encontra num estado dormant,
poder se encontrar em falha quando solicitado ou, uma vez iniciado o seu
funcionamento, poder avariar durante a operao (ou misso).
A falha do sistema no arranque, quando tal necessrio, um indicador da sua
indisponibilidade quando solicitado (on demand), enquanto a falha que ocorre aps o
incio do funcionamento corresponder sua probabilidade de falha (complementar da
fiabilidade). Tipicamente, neste tipo de sistemas, os componentes considerados activos
no podero ser reparados durante o perodo em que se encontram a ser solicitados.
A probabilidade de falha quando solicitado (PFOD Probability of Failure On Demand), ou
a indisponibilidade do sistema, depende das caractersticas de
falha dos
seus
componentes de suporte (ou de arranque), enquanto estes se encontram no j referido

modo dormant (adormecido).
Estes componentes de suporte devem ser testados, ensaiados ou ter aces de
manuteno periodicamente, enquanto permanecerem nesse estado de no actividade,
para que se detectem as j referidas falhas ocultas (hidden failures). Uma vez dado o
arranque do sistema, frequente assumir que estes componentes de suporte no iro
provocar a avaria do sistema quando em funcionamento activo. Por outro lado, a
134

probabilidade de avaria durante a operao depende das caractersticas de falha dos

componentes activos durante todo o perodo em que se encontram a ser solicitados.
A fiabilidade global do sistema refere-se probabilidade do sistema continuar disponvel
aps o arranque, e alcanar o sucesso da misso (operao) enquanto for solicitado. A
probabilidade de falha quando solicitado (PFOD = Probability of Failure On Demand)
considerado um assunto fulcral no estudo de bens no estado dormant. No entanto, de
nada serviria obter sucesso nessa fase se depois o equipamento no cumprisse a sua
misso.
Para se conduzir uma anlise de fiabilidade neste tipo de sistemas, ter-se- que analisar
cada uma destas fases. A primeira refere-se ao modo dormant, enquanto a segunda diz
respeito ao sistema quando este se encontra em operao (in service). Isto requer uma
anlise de disponibilidade dos subsistemas de suporte e uma anlise de fiabilidade dos
componentes activos durante a operao, respectivamente. A Figura 4.3 mostra o
enquadramento desta metodologia.
Figura 4.3 Metodologia de Anlise a Sistemas tipo Dormant

Tal como referido anteriormente, quando se falou sobre redundncias, tambm algumas
abordagens nesta rea apontam para que o estudo de bens no estado dormant e de
bens em funcionamento activo seja efectuado da mesma forma, apenas com a
introduo de factores de correco nos valores referentes s taxas de avarias destes
ltimos, ou seja, usar as taxas de avarias dos bens em operao regular, onde existe um
maior conhecimento e menos incerteza, e de acordo com a aplicao de um factor de
depreciao da taxa de avarias, tabelado, determinar a taxa de avarias de um bem
135
semelhante, mas que se encontre numa aplicao onde seja considerado como
dormant (The Rome Laboratory, 1993).
Esta metodologia pode ser discutvel, uma vez que a comparao no assim to linear,
podendo em alguns casos especficos at ser inversa, como o exemplo dos vedantes e
empanques, cuja taxa de avarias com o bem em funcionamento menor do que com o
mesmo em repouso. Outra razo para no concordar plenamente com a abordagem
anterior prende-se com o facto de que muitos dos componentes que se encontram no
estado dormant no intervm ou no tm um comportamento idntico quando em
servio.
Nas barreiras de segurana, a ocorrncia de uma avaria pode ter consequncias
catastrficas, uma vez que o tempo necessrio para qualquer eventual processo de
restaurao ou recolocao no seu estado funcional implica o concretizar da situao
potencialmente perigosa que a barreira de segurana deveria evitar.
4.5 Anlise da indisponibilidade

Os principais contribuintes para a indisponibilidade de um sistema de segurana derivam
genericamente de (Zio, 2007):
Falhas ocultas Quando um bem no estado dormant (ou em standby) avaria,

sem que obtenhamos essa informao. O sistema prossegue o seu estado sem
avisar da ocorrncia da avaria at que um teste seja realizado ou o bem seja
requerido para funcionar;
Manuteno preventiva ou teste Quando um bem retirado (ou no) do sistema

porque tem que ser testado ou sujeito a manuteno preventiva;
Reparao Quando o bem se encontra indisponvel devido a se encontrar em

reparao, aplicado a bens no estado dormant, quando monitorizados.
Destes trs factores, pode-se referir que as falhas ocultas so aquelas que mais
preocupam os responsveis pela gesto dos activos, j que as situaes relativas a
manuteno preventiva, testes, ensaios e reparaes so conhecidas e normalmente
controladas.
Se por coincidncia ocorrer em simultneo com estas actividades uma solicitao do
sistema
136
de
segurana,
equipamento
poder
na
maior
parte
das
vezes
ser

disponibilizado para cumprir a sua funo. Um teste ou ensaio poder ser interrompido
quase instantaneamente pelos tcnicos que se encontram no local. Normalmente para
um bem monitorizado que avarie, procede-se sua substituio, ou so criadas
condies alternativas para que o risco esteja controlado.
Tal como referido no Captulo II, quando se trata de componentes no reparveis, os
mesmos funcionam at que a primeira avaria ocorra. A probabilidade de no instante t o
componente no se encontrar a funcionar igual probabilidade de falha antes desse
tempo t, ou seja, a probabilidade acumulada de falha [F(t)] (Zio, 2007). Assim, a
indisponibilidade instantnea de um componente no reparvel igual sua funo
acumulada de falha:
q (t ) = F (t )
(4.1)
Logo, a sua disponibilidade ser dada por:
a (t ) = 1 q(t ) R(t )
(4.2)
De referir que no caso de bens reparveis monitorizados continuamente se assumir que a

sua reparao se inicia logo aps a ocorrncia da avaria. Nesta situao, necessrio
tambm definir o modelo probabilstico que descreve a durao do processo de
reparao, onde [g(t)] representa a funo densidade de probabilidade de reparao ou
recolocao em servio11.
4.5.1 Falhas ocultas

Como referido anteriormente, os sistemas de segurana encontram-se normalmente
numa situao adormecida (dormant) at ocorrncia do acidente na instalao, altura
em que so solicitados para operar. A nica forma de ter conhecimento da existncia de
qualquer avaria em componentes no monitorizveis ser atravs da realizao de testes
ou ensaios, onde as falhas ocultas sero reveladas. Para um bem nestas condies,
sujeito a testes ou ensaios peridicos, a indisponibilidade instantnea uma funo
peridica do tempo. Neste caso, podemos recorrer indisponibilidade mdia como
11
Ver Captulo II Conceito RAMS 2.4

137
indicador de desempenho. O seu clculo, para um perodo de tempo T dado por (Zio,
2007):
1
downtime
Q(T ) = . q (t ).dt =
T
T
(4.3)
onde downtime corresponde ao tempo mdio que o sistema est indisponvel durante o
tempo
T.
Para
ilustrar
acima
referido,
considere-se
um
caso
simples
de
indisponibilidade de um sistema relacionado com falhas aleatrias (ocultas) que podem

ocorrer em qualquer momento com um valor constante de taxa de avarias (). Se
assumirmos tambm que o tempo referente aos procedimentos de manuteno e teste
instantneo, a disponibilidade (instantnea) no intervalo entre testes () coincide com a
fiabilidade porque o bem no se encontra monitorizado entre dois tempos sucessivos de
manuteno, ou seja, entre:
(k-1). e k. com (k=1, 2, ).
A Figura 4.4 representa a disponibilidade instantnea de um bem sujeito a testes e
manuteno com uma periodicidade , assumindo que o mesmo fica as good as new
aps o correspondente teste ou manuteno. De acordo com este pressuposto todos os
intervalos entre testes so idnticos do ponto de vista estocstico.
a(t)
1
Figura 4.4 Disponibilidade instantnea de um componente sujeito a testes e

manuteno
Para ajudar a compreender o clculo da indisponibilidade mdia veja-se a Figura 4.5, que
mostra o comportamento genrico de um componente, onde X(t) representa o conjunto
de estados possveis (1=operacional e 0=avariado).
138

X(t)
Componente renovado
instantaneamente
quando se realizam os
testes.
TD = Downtime = - t
Figura 4.5 Varivel indicadora do estado de um componente

A indisponibilidade mdia em cada perodo , por definio:
downtime
Q( ) =
TD
(4.4)
sendo o tempo mdio T D dado por:
T D = ( t ). f (t ).dt
(4.5)
Integrando por partes:
T D = F (t ).dt
(4.6)
Logo:
Q( ) =
TD
F (t ).dt
0
(4.7)
Sendo a sua complementar disponibilidade mdia12 dada por:
12
De acordo com a expresso (2.22)

139
A( ) =
TU
R(t ).dt
0
(4.8)
onde T U corresponde ao tempo mdio de uptime no perodo .

As expresses (4.7) e (4.8) so precisamente as definies da indisponibilidade e
disponibilidade mdia, respectivamente, durante um perodo de tempo . Assim, para o
clculo destes indicadores pode-se determinar a sua funo de distribuio acumulada de
falha ou probabilidade de sucesso e depois aplicar as expresses matemticas anteriores.
Se os tempos at avaria do bem reparvel esto exponencialmente distribudos, temse:
F (t ) = 1 e .t
(4.9)
Para o caso especfico em que, para valores de taxas de avarias e tempos, se obtem:
.t 0,10
A funo de distribuio acumulada de falha pode ser calculada aproximadamente por:
F (t ) = 1 e .t .t
(4.10)
E a respectiva indisponibilidade mdia, recorrendo expresso (4.7), determinada por:
Q( ) =
F (t ).dt
.t.dt
0
1
..
2
(4.11)
Com esta concluso, e de forma intuitiva, podemos esperar que um bem reparvel com
taxa de avarias constante falhe a meio do perodo entre testes consecutivos.
De acordo com outro trabalho (Andrews & Moss, 2002), a indisponibilidade mdia [Q()]
de um sistema de segurana, tambm referida nesse estudo como fraco de tempo
140

indisponvel (FDT = Fractional Dead Time), pode ser determinada pela seguinte
expresso:
Q( ) =
.
2
+ . R
Q( ) = . + R
2
(4.12)
(4.13)
onde:
= Taxa de avarias (falhas ocultas) do bem, considerada constante

= Intervalo de tempo entre testes ou ensaios
R = Tempo mdio de reparao do bem
A expresso (4.13) tem significado desde que se garanta que qualquer avaria pode
ocorrer em qualquer altura (tempo), e assim o tempo mdio para a avaria encontra-se a
meio do intervalo de tempo estipulado para a manuteno (teste, ensaio, inspeco).
Parte-se tambm do pressuposto que qualquer avaria detectada aquando dos testes,
ensaios ou inspeces resolvida, encontrando-se todo o sistema operacional no fim da
aco de manuteno.
Nos sistemas de segurana, alm do tempo mdio de reparao (R) ser normalmente
bastante inferior ao intervalo de tempo entre testes ou ensaios (), em situaes reais de
solicitao no deveremos considerar a reparao, tal como justificado anteriormente.
Partindo desta hiptese, a expresso para o clculo aproximado da indisponibilidade
mdia do sistema pode agora apresentar-se da seguinte forma:
Q( ) =
.
2
(4.14)
Conforme se pode verificar, a expresso anterior encontra-se coerente com a expresso

(4.11).
Para validar a equao anterior podemos referir tambm outro trabalho (Kumamoto,
2007), onde se menciona que a contribuio das avarias perigosas no detectadas (DU)
aps um teste ou ensaio pode ser quantificada atravs da probabilidade de falha do
sistema (reparvel) quando solicitado, numa estrutura simples um de um (Q1oo1),

141
definida como uma probabilidade de falha mdia, ou indisponibilidade (Q) num intervalo
de tempo () correspondente ao intervalo entre testes, tal que:
Q1oo1 = DU . + MTTR + DD .MTTR

2
(4.15)
Onde:
DU= Taxa de avarias perigosas no detectadas

DD= Taxa de avarias perigosas detectadas
MTTR = Tempo mdio de reparao (Mean Time To Repair)
= Intervalo de tempo entre ensaios (testes, inspeces)

A equao anterior coincide tambm com outro estudo, apresentado pela International
Electrotechnic Comission (IEC) (IEC:61508, 1998).

Se continuarmos a assumir que DD=MTTR=0, a expresso anterior reduz-se novamente
a:
Q1oo1 =
DU .
2
(4.16)
Estando novamente em sintonia com as expresses (4.11) e (4.14).

De acordo com outro trabalho analisado (US Nuclear Regulatory Comission, 1981), para
sistemas sujeitos a testes peridicos (), e partindo do pressuposto que qualquer falha
detectada durante os testes imediatamente solucionada (100% dos modos de falha so
detectados), a indisponibilidade varia desde o valor zero, no instante imediatamente a
seguir realizao do teste, at ao valor mais elevado (indisponibilidade ) registado
no instante imediatamente inferior realizao do prximo teste. Como a distribuio
exponencial pode ser aproximadamente uma funo linear, a indisponibilidade mdia
[Q(t)] entre testes aproximadamente:
Q(t ) =
.
2
(4.17)
No entanto, para as equaes anteriores (4.11), (4.14), (4.16) e (4.17), e para algumas
combinaes da taxa de avarias e intervalo de tempo entre inspeces, podem-se obter
142

valores de indisponibilidade mdia superior unidade (>1,0). Esta situao deve-se

aproximao assumida em (4.10). Por forma a estabelecer um sistema coerente e
aplicvel a todos os casos prticos, ter-se- que encontrar uma expresso mais concreta,
que permita obter um valor para a indisponibilidade que se situe no intervalo 0<Q(t)<1.
Como no se considera a reparao dos bens nos perodos entre as aces de
manuteno programada (testes ou ensaios), pode-se ento apresentar de uma forma
mais correcta a indisponibilidade mdia considerando o primeiro intervalo (entre t=0 e
t=). Para tal recorre-se e desenvolve-se a expresso (4.9).
Q (t ) =
. 1 e .t .dt
(4.18)
e .
1
Q(t ) = . +

0
1
e . 1
Q(t ) = . +

Q(t ) = 1
1
. 1 e .
.
Q(t ) = 1
(1 e . )
.
)
(4.19)
Outra fonte consultada (Isograph, 1999) mostra uma forma alternativa para determinar
a indisponibilidade mdia associada a bens no estado dormant. Aqui, parte-se da
seguinte expresso:
Q(t ) =
. (1 e . ) + . R .(1 e . )
. + . R .(1 e . )
(4.20)
Voltando a assumir que o tempo mdio de reparao (R) se pode de certa forma ignorar,
uma vez que tem pouca expresso comparativamente ao intervalo de tempo entre testes
ou inspeces () e que para o tipo de equipamentos estudados a questo da reparao
de componentes aquando de uma solicitao no tem muito sentido, a expresso
anterior simplifica-se, resultando:
Q(t ) =
. (1 e . )
.

143
Q(t ) = 1
(1 e . )
.
(4.21)
Assim, partindo dos pressupostos assumidos anteriormente13, chegamos novamente

mesma expresso que em (4.19).
Hauptmanns et al (2008b) tambm utilizam uma expresso similar para determinar a
indisponibilidade mdia de um sistema automtico de extino de incndio. Zio (2007)
apresenta um estudo mais completo sobre este tema, englobando outras situaes alm
das falhas ocultas. Para tal, considera-se um bem que se encontra operacional no incio
da misso, podendo o seu ciclo de vida ser representado de acordo com a Figura 4.6.
Figura 4.6 Comportamento no tempo de um bem sujeito a manuteno, teste ou

ensaio peridicos
Onde:
OA = Perodo de operao compreendido at primeira interveno (teste, ensaio,

manuteno). A probabilidade de avaria do bem num tempo genrico t deve-se ao
facto de:
Ser solicitado em t, mas encontrar-se em falha (com probabilidade Q0);
Ocorrncia de falha aleatria oculta antes de t [F(t)].
Assim, a indisponibilidade instantnea em t (0<t<), vir:
13
De referir que se fosse assumido outro tipo de distribuio diferente da exponencial negativa, com funo de
risco no constante, a abordagem a esta questo levaria apresentao de outras expresses matemticas.
144

q OA (t ) = Q0 + (1 Q0 ).F (t )
(4.22)
E o respectivo tempo mdio inoperacional (downtime):
T D (OA) = q OA (t ).dt
(4.23)
T D (OA) = Q0 . + (1 Q0 ). F (t ).dt
(4.24)
AB = Perodo relativo ao teste, ensaio ou manuteno. O bem no se encontra

operacional, sendo o tempo mdio de inoperacionalidade (downtime) correspondente ao
tempo dispendido em manuteno, teste ou ensaio:
T D ( AB ) = R
(4.25)
BC = Num tempo genrico t1 entre duas manutenes, o bem pode-se encontrar

avariado devido a um erro ocorrido na anterior aco de manuteno (teste ou ensaio)
(0), ou como anteriormente, devido a uma falha quando solicitado (Q0) ou a uma avaria
aleatria antes de t1 [F(t)]. A indisponibilidade instantnea ser dada por:
q BC (t ) = 0 + (1 0 ).[Q0 + (1 Q0 ).F (t )]
(4.26)
Sendo o correspondente tempo mdio de inoperacionalidade (downtime) dado por:
T D ( BC ) = q BC (t ).dt
(4.27)
T D ( BC ) = 0 . + (1 0 ).Q0 . + (1 Q0 ). F (t ).dt
0
(4.28)
CF = O ciclo normal de manuteno repetido durante a vida T do bem. O nmero de

ciclos de manuteno ( AB BC ) calculado atravs da seguinte expresso:
k=
+ R
(4.29)

145
Desta forma podemos determinar o tempo mdio de inoperacionalidade (downtime) at

T atravs de:
T
= Q0 + (1 Q0 ). F (t ).dt +
+ R
0
T D (OT )
. R + 0 . + (1 0 ).Q0 . + (1 Q0 ). F (t ).dt

(4.30)
A indisponibilidade mdia vir:
Q0T =
T D ( 0T )
T
QOT =
Q0 1 Q0
1
. F (t ).dt +
+
T
T
+R
0
(4.31)
. R + 0 . + (1 0 ).Q0 . + (1 Q0 ). F (t ).dt

(4.32)
Excluindo o perodo de tempo at primeira manuteno, por a sua dimenso ser
tipicamente muito inferior a T, ficamos com:
T D ( AF )
T
=
+R
. R + 0 . + (1 0 ).Q0 . + (1 Q0 ). F (t ).dt

(4.33)
Correspondendo uma indisponibilidade mdia:
QOT
1 Q0
R + 0 + (1 0 ).Q0 +
. F (t ).dt
(4.34)
Se considerarmos um bem com avarias aleatrias, seguindo a lei exponencial, com taxa
de avarias constante, a sua probabilidade de falha pode ser determinada atravs da
expresso (4.35):
F (t ) = 1 e .t
(4.35)
A indisponibilidade mdia pode ser determinada atravs da seguinte expresso:
146

QOT
R
1 e .
1 Q0
(
1
).
.
+ 0 + 0 Q0 +

(4.36)
Na prtica, a expresso anterior poder ser simplificada, dado que 0<<1 e Q0<<1:
QOT
R
1
1 e .
+ 0 + Q0 + .
QOT
1 e .
R
+ 0 + Q0 + 1
(4.37)
(4.38)
Na expresso anterior podem-se distinguir os vrios contribuintes na indisponibilidade

dos bens, nomeadamente:
Indisponibilidade durante a manuteno, teste ou ensaio
Indisponibilidade devido a erro aps interveno
Q0
Indisponibilidade devido a falha aquando da solicitao
1 e .
.
Indisponibilidade devido a falhas aleatrias ocultas (entre testes)
De acordo com as razes anteriormente apresentadas, para o presente estudo so

considerados irrelevantes os trs primeiros tipos de indisponibilidade, considerando-se
assim
apenas
as
falhas
aleatrias
ocultas
entre
testes,
determinando-se
indisponibilidade dos bens no estado dormant de acordo com a expresso simplificada

(4.39), que coincide com as expresses (4.19) e (4.21).
1 e .
QOT 1
(4.39)
Ser esta a expresso utilizada para o clculo da indisponibilidade de um bem no estado

dormant, para uma dada taxa de avarias constante especfica deste estado () e com
um determinado intervalo de tempo entre testes, ensaios ou inspeces ().

147
4.5.2 Exemplo de aplicao

Para exemplificar de uma forma simples a aplicao desta teoria recorre-se a um
exemplo envolvendo um detector de incndios (Rausand & Hoyland, 2004). De acordo
com a base de dados OREDA (2002) a taxa de avarias para um tipo especfico de
detector de incndios =0,21x10-6 avarias por hora.
Se esta unidade for testada trimestralmente (aprox. 2190 horas), obtem-se o valor
referente sua indisponibilidade, utilizando a expresso (4.39).
1 e 0, 21x10 .2190
= 0,0002298 2,298 x10 4
Q (t ) = 1
0,21x10 6 .2190
Utilizando a expresso simplificada (4.17), obter-se-ia:
Q (t )
0,21x10 6.2190
= 0,0002299 2,300 x10 4
2
A primeira concluso que se pode tirar de que utilizando a expresso simplificada

(4.17) se obtm sempre valores conservativos, ligeiramente superiores aos valores
correctos calculados atravs da expresso (4.39).
Outra leitura que se pode tirar do clculo efectuado de que, na eventualidade de
ocorrncia de um incndio, a probabilidade mdia do detector no funcionar de
aproximadamente 0,00023, o que significa uma falha em cada 4350 incndios.
Outra forma de ler o resultado obtido afirmar que o referido detector no se encontra
disponvel em cerca de 0,023% do tempo, correspondendo a aproximadamente 2 horas
por ano, se o mesmo for considerado em operao contnua durante esse perodo.
Sistema Paralelo
Se a anlise incidir agora sobre dois detectores de incndio idnticos (igual taxa de
avarias, ensaiados ao mesmo tempo com um perodo entre testes ), e se assumir que
apenas necessrio que um dos dois detectores funcione para que o sistema cumpra a
sua funo, a indisponibilidade do sistema pode ser determinada na sua forma
simplificada pela expresso (4.40), resultante de (4.7).
148

Q( ) = 1
R(t ).dt
0
(4.40)
Como a fiabilidade de um sistema paralelo com uma redundncia dada por:
R(t ) = 2e .t e 2 .t
(4.41)
Logo:
Q( ) = 1
Substituindo
2
1
.(1 e . ) +
.(1 e 2. . )
2. .
.
(4.42)
e .t pela sua srie de Maclaurin, e assumindo que ( . ) pequeno, poder-
se- fazer a seguinte aproximao14:
1
Q( ) .( . ) 2
3
(4.43)
Desta forma, utilizando os mesmo valores do exemplo anterior obtem-se uma

indisponibilidade mdia para o sistema paralelo de:
1
Q( ) .(0,21x10 6 x 2190) 2 7,1x10 8
3
Significando uma probabilidade de falha do sistema quando solicitado (PFOD) muito
baixa, ou uma alta disponibilidade, comparativamente calculada para um sistema
composto por um nico detector.
14
Uma vez que a indisponibilidade de um componente isolado dada pela expresso (4.17), seria de esperar que
a indisponibilidade do sistema paralelo de dois componentes fosse dada por (. / 2) 2 = (. ) 2 / 4 , ao contrrio da

expresso (4.43) que a correcta. Tal diferena deve-se ao facto de a mdia de um produto no ser igual ao
produto das mdias. Neste caso, a no utilizao da expresso (4.43) levaria a um resultado no conservador.

149
Sistema Paralelo Restrito (k/n)

Para um sistema paralelo restrito 2 em 3, e assumindo os pressupostos anteriores, a
indisponibilidade do sistema dada por:
Q( ) (. ) 2
(4.44)
Assim, a indisponibilidade do sistema de detectores de incndio, onde pelo menos dois

dos detectores so necessrios para o sistema ter sucesso, ter o seguinte valor:
Q( ) (0,21x10 6 x 2190) 2 2,1x10 7

Sistema Srie
Por fim, para um sistema srie de dois detectores de incndio independentes, e voltando
a assumir-se os mesmos pressupostos, poder-se- determinar a indisponibilidade do
sistema atravs da expresso (4.45).
Q( )
(1 + 2 ). 1 . 2 .
=
+
2
2
2
(4.45)
O que significa que a indisponibilidade de um sistema srie pode ser determinada atravs
da soma das indisponibilidades dos seus componentes individualmente.
4.6 Probabilidade de ocorrncia de uma situao crtica

Para se determinar a probabilidade de ocorrncia de uma situao crtica ter-se-
inicialmente que definir um acontecimento acidental e a barreira de segurana existente
para fazer face a esse acontecimento. Assume-se que o acontecimento acidental (ex.
fogo) ocorre de forma aleatria de acordo com um Processo Homogneo de Poisson
(HPP), com uma intensidade15 (Rausand & Hoyland, 2004).
15
Para evitar algumas confuses no se refere este parmetro como taxa de avarias. O autor refere o termo
intensidade, que no contexto especfico corresponde ao nmero mdio de acontecimentos por unidade de
tempo, denominando-se tambm em alguma literatura por taxa de solicitao do processo (process demand rate).
150

Desta forma, uma situao crtica ocorre quando se d o acontecimento acidental e a

barreira de segurana se encontra indisponvel. Neste momento assume-se que a
indisponibilidade se encontra associada apenas existncia de falhas ocultas.
De acordo com o descrito no Anexo I, nomeadamente sobre a Distribuio de Poisson
(A1.6), substituindo a taxa mdia de ocorrncia do insucesso () pelo produto da
intensidade () pela indisponibilidade da barreira de segurana (Q(t)), obtem-se a
probabilidade de obter n situaes crticas Nc(t) atravs da expresso (4.46).
[ .Q(t ).t ]n .e .Q(t ).t
Pr[Nc(t ) = n] =
n!
para n = o,1,...
(4.46)
Sendo o nmero mdio de situaes crticas no intervalo [0,t], dado por:
Nc(t ) = .Q(t ).t
(4.47)
Referindo como exemplo o caso do detector de incndio descrito no pargrafo 4.5.2, e

assumindo que em mdia ocorrem 7,64x10-4 incndios por hora para o tipo de edifcio,
dimenso ou situao particular (Lin, 2005), pode-se determinar a probabilidade de
ocorrer 1 (uma) situao crtica em cada perodo de tempo entre testes ou ensaios
(trimestre):
Pr[Nc(t ) = 1] =
[7,64 x10
4
4
x 2,30 x10 4 x 2190
.e 7,64 x10 x 2,30 x10 x 2190 = 3,85 x10 4
1!
Correspondendo assim a uma probabilidade de cerca de 0,04%. Ainda de acordo com a

expresso (4.47) ocorrero por ano uma mdia de 0,0015 situaes crticas, ou seja,
simultaneidade de um acontecimento acidental (incndio) e indisponibilidade da barreira
de segurana.

No presente captulo pretendeu-se mostrar as particularidades inerentes aos bens que se
encontram no estado dormant, comeando especificamente por definir os vrios

151
estados em que os equipamentos se podem encontrar do ponto de vista funcional, assim

como algumas razes que levam a uma determinada condio.
Para os bens que no se encontram em operao, clarificaram-se as diferenas entre o
que se entende por um bem em armazm (storage), um bem em standby e um bem
no estado dormant, tendo sido referidos alguns trabalhos que abordam cada um dos
casos.
As barreiras de segurana podem ser consideradas bens no estado dormant, uma vez
que passam a maior parte do seu ciclo de vida neste estado (embora experimentem
outros em determinados perodos). Para este tipo de equipamentos, pretende-se que os
mesmos funcionem cada vez que forem solicitados, ou seja, que estejam disponveis.
Complementarmente, deseja-se que aps a solicitao haja um perodo, ou misso,
durante o qual o sistema funcione sem falhas (fiabilidade). Qualquer falha (considerada
potencialmente perigosa) que ocorra em cada uma das fases anteriormente referidas
por em causa todo o sistema, inibindo a barreira de segurana de cumprir a funo para
a qual foi projectada e instalada.
Para bens no estado dormant, as potenciais falhas ocultas (hidden failures) s sero
conhecidas aquando de uma solicitao real ou durante testes e ensaios. Assim, a
periodicidade com que esses testes ou ensaios so efectuados mostra-se um factor de
grande importncia no propsito de identificar as falhas ocultas, e consequente
probabilidade
de
falha
quando
solicitado
(PFOD),
ou
simplesmente
sua
indisponibilidade.
Foram apresentadas algumas metodologias de anlise, assim como algum criticismo
relativamente a alguns pressupostos assumidos nessas metodologias.
Mostrou-se a importncia da diferenciao entre os componentes considerados de
suporte (ou arranque) e os componentes activos, uma vez que para este tipo de
barreiras de segurana cada tipo de componente ter a sua interveno em cada fase
distinta.
Apresentaram-se
algumas
expresses
matemticas
que
permitem
determinar
indisponibilidade de uma barreira de segurana, tendo por base as falhas ocultas dos
seus componentes. Finalizou-se o captulo com alguns exemplos de aplicao prtica e
sua interpretao.
152

Captulo V Metodologia Proposta
CAPTULO V
METODOLOGIA PROPOSTA
5.1 Introduo
Hoje em dia as anlises de fiabilidade, manutibilidade, disponibilidade e segurana
tornaram-se uma parte integrante do projecto de sistemas, especialmente quando se
trata de aplicaes crticas. Os sistemas projectados so cada vez mais complexos e
maiores e os seus componentes exibem comportamentos e interaces cada vez mais
difceis de analisar e modelar (Boudali & Dugan, 2005).
Tendo em ateno a importncia da temtica da segurana contra incndios, e o exposto
nos captulos anteriores referentes ao risco, risco de incndio, metodologias de anlise e
singularidade do tipo de equipamentos designados por barreiras de segurana, pretendese criar um modelo que permita determinar a probabilidade de falha (ou sucesso) para os
equipamentos tipo dormant, uma vez que se trata de uma questo no to explorada
em termos cientficos, mas que em instalaes industriais de alto risco assume um papel
fundamental em matria de segurana.
Com
metodologia desenvolvida, adiante designada
(Reliability
Of Dormant
por Metodologia RODS
Systems), pretende-se explorar
este tipo particular de
equipamentos, cujo trabalho passa pelo desenvolvimento de uma metodologia em

termos tericos, mas tendo sempre em vista a sua aplicao prtica em sistemas reais. O
objectivo da Metodologia RODS ser o de encontrar valores para cada barreira de
segurana que conduzam ao conhecimento da probabilidade de sucesso da mesma, e
assim saber qual a probabilidade de se poder evitar um acontecimento indesejado.

153
Como do conhecimento geral, os equipamentos ou sistemas que se encontram no

estado dormant so muitas vezes esquecidos no que se refere a aces de manuteno
preventiva ou realizao de testes peridicos destinados a aferir a sua operacionalidade.
Pretende-se assim modelar o clculo da fiabilidade das barreiras de segurana contra
incndios, tendo como objectivo a sua eventual aplicao futura neste tipo de bens que
normalmente se encontram instalados em praticamente todas as instalaes industriais
consideradas de risco elevado. A Figura 5.1 serve para mostrar como a gesto deste tipo
de
barreira
de
segurana
pode
influenciar
um
dos
elementos
considerar,
nomeadamente no que se refere mitigao ou diminuio da gravidade das

consequncias, e assim directamente no risco de incndio.
Figura 5.1 Influncia da gesto das barreiras de segurana no risco de incndio

Com a aplicao da metodologia pretende-se conhecer a fiabilidade da barreira de
segurana, e consequentemente o grau de proteco das instalaes, que em conjunto
com as complementares medidas de preveno16, contribuam para se alcanar um nvel
de risco na instalao que se possa considerar tolervel ou aceitvel.
16
De acordo com a descrio efectuada no Captulo III, as medidas de preveno visam reduzir a probabilidade
de ocorrncia de incndio
154

5.2 Metodologia RODS

Tal como referido no captulo anterior, assume-se que as duas fases em estudo,
nomeadamente a anlise da disponibilidade quando solicitado e a fiabilidade em servio,
so teoricamente independentes at determinado momento. Para justificar esta
afirmao, clarifica-se de seguida o conceito de independncia para qualquer que seja o
tipo de barreira de segurana em estudo. Como bvio, o equipamento permanece o
mesmo, com os mesmos subsistemas e componentes e existe uma clara relao em
termos funcionais entre as duas fases, uma vez que uma falha do equipamento na
primeira fase inibe qualquer expectativa de sucesso referente segunda.
No entanto, como os dois tipos de anlise incidem sobre aspectos e estados diferentes do
funcionamento do equipamento, com modos de falha em alguns casos distintos e valores
dos parmetros em anlise por vezes bastante diferentes, a lgica subjacente ao
tratamento da fiabilidade global das barreiras de segurana justifica a independncia no
tratamento das fases. No clculo da fiabilidade global assume-se que o insucesso de
qualquer uma das fases provoca a falha da barreira de segurana.
Assim, de acordo com o enquadramento efectuado para esta temtica, e de uma forma
simplificada, a Metodologia RODS pode partida ser descrita como uma anlise que
efectuada tendo em conta as duas fases, embora neste estudo se tenha dado grande
relevo primeira fase, uma vez que reconhecida a elevada importncia e influncia da
fase de arranque das barreiras de segurana quando solicitadas.
Grande
parte
dos
problemas
surge
precisamente
aquando
da
solicitao
dos
equipamentos quando estes se encontram indisponveis, e no durante o perodo ou

misso em que se encontram a funcionar em regime estvel. Normalmente, aps a fase
de arranque, no surgem problemas associados ao funcionamento da barreira de
segurana.
A Metodologia RODS pode ser representada de uma forma esquemtica conforme se
mostra na Figura 5.2.

155
Figura 5.2 Metodologia RODS (Reliability Of Dormant Systems)

Desta forma, o desenvolvimento do trabalho ser dedicado determinao da
probabilidade de transio do sistema do estado dormant para o estado de operao,
focalizando a disponibilidade da barreira quando esta solicitada, correspondendo zona
sombreada da Figura 5.2, adiante designada por primeira fase.
De acordo com o esquema apresentado, a primeira fase da Metodologia RODS engloba as
seguintes tarefas:
156

1.
Definio da barreira de segurana

1.1.
Descrio do comportamento da barreira de segurana, quando solicitada;
1.2.
Identificao dos componentes de suporte (ou arranque);
1.3.
Identificao dos componentes de suporte no monitorizados;
1.4.
Identificao dos modos de falha ou
acontecimentos
relativos
aos
componentes de suporte no monitorizados;

1.5
Definio das periodicidades referentes s actividades de Manuteno,

testes ou ensaios da barreira de segurana.
2.
Construo de uma rvore de Falhas

2.1.
Anlise qualitativa da rvore de Falhas;
2.2.
Anlise quantitativa da rvore de Falhas.
5.2.1 - Descrio detalhada da primeira fase da Metodologia RODS

Os prximos pargrafos visam descrever de uma forma mais detalhada a primeira fase
da metodologia proposta (Metodologia RODS), explicando as vrias etapas, assim como
referenciar as ferramentas fiabilsticas utilizadas em cada uma delas. De forma a se
compreender melhor algumas dessas ferramentas, oportunamente sero apresentadas as
suas particularidades e referncias de suporte.
5.2.1.1 Definio da barreira de segurana

No incio do estudo dever realizar-se uma descrio do equipamento em anlise,
definido como barreira de segurana. Dever ser descrita a sua funo, os seus sistemas,
subsistemas, unidades e componentes, fronteiras do sistema, data de incio de
funcionamento e parmetros de funcionamento, assim como as normas de construo (e
instalao) seguidas e toda a informao que se possa considerar relevante e que
contribua para a completa caracterizao da barreira de segurana. aconselhvel que o
documento descritivo da barreira de segurana seja acompanhado e complementado por
esquemas ou diagramas tipo P&I e desenhos da instalao. A informao constante neste
documento no ir fazer parte dos clculos que serviro para determinar a probabilidade
de falha da barreira de segurana quando solicitada, mas permitir conhecer melhor o
equipamento e as suas caractersticas principais, fazendo parte integrante do processo
relativo ao estudo da fiabilidade da barreira de segurana.

157
5.2.1.2 - Identificao dos componentes de suporte (ou de arranque)

De acordo com a Metodologia RODS proposta, representada esquematicamente na Figura
5.2, e no seguimento da primeira etapa anteriormente referida, necessrio identificar
quais os componentes que tm uma interveno especial na primeira fase, estando
vigilantes enquanto o equipamento se encontra no estado dormant, actuando no
momento em que o mesmo solicitado para entrar em servio e cessando a sua funo
aps essa entrada em funcionamento. Estes componentes designam-se de suporte ou
arranque e, como so alvo de um estudo independente, necessrio que nesta fase no
haja dvidas na identificao dos mesmos.
5.2.1.3 - Identificao dos componentes de suporte monitorizados e no

monitorizados
Entre os componentes designados de suporte, podero existir alguns que se encontram
monitorizados continuamente17. Embora esta situao fosse desejvel para todos os
componentes, razes de ordem fsica (ou funcional) e de ordem econmica fazem com
que tal no seja vivel. Em alguns casos, neste tipo de sistemas, verifica-se at uma
ausncia quase total de componentes sujeitos a monitorizao.
A existncia de componentes de suporte monitorizados bastante importante e dever
ser tida em conta, uma vez que para esses componentes uma avaria ocorrida num dado
instante t teoricamente conhecida de imediato, levando tomada de aces de
natureza correctiva, fora dos perodos normais de inspeco, teste ou ensaio.
Caso as avarias ocorram em componentes de suporte no monitorizados, s no momento
em que se realizam ensaios ou testes peridicos teremos conhecimento da sua
existncia, designando-se por isso como falhas ocultas (hidden failures). A gravidade da
ocorrncia destas falhas aumenta quando as mesmas no so detectadas nos referidos
17
A monitorizao em contnuo pressupe a transmisso e tratamento de sinais em tempo real. Mesmo que o
equipamento principal se encontre numa zona no observada, a informao sobre o estado deste tipo de
componentes passvel de ser conhecida atravs de um sistema de gesto tcnica centralizada (G.T.C.) ou um
quadro repetidor de sinais (Q.R.S.) que se encontre numa zona vigiada.
158

testes ou ensaios peridicos, mas apenas reveladas numa solicitao em situao real de
acidente.
Na metodologia proposta, identificam-se os componentes que se encontram a ser
monitorizados, assumindo-se que a eventual transmisso das falhas distncia se
encontra efectuada nas devidas condies e que existe vigilncia 24/24 horas para actuar
em conformidade. Trata-se de um cenrio que no por vezes real, tendo na prtica
tambm que ser equacionada a j referida fiabilidade humana, entre outros aspectos. No
entanto, na Metodologia RODS parte-se do pressuposto que apenas os componentes no
monitorizados podem possuir as designadas potenciais falhas ocultas, sendo este tipo de
componentes alvo de anlise fiabilistica.
De referir que existem alguns estudos sobre a deteco de falhas, apresentando o
desenvolvimento de algumas metodologias e tcnicas de anlise. Bartlett et al (2009)
afirmam que a funcionalidade de qualquer sistema ou a eficcia das misses
maximizada atravs de uma deteco das falhas o mais rpido que for possvel,
podendo-se
assim
alterar
as
misses,
reconfigurar
os
sistemas
aprovisionar
sobressalentes com maior celeridade. Para tal, mostram duas abordagens desenvolvidas
sobre o diagnstico de falhas com base em rvore de Falhas e diagramas denominados
digraphs, que representam as inter-relaes entre as variveis do processo (ex.
temperatura, caudal ou presso). Nesta rea, outros trabalhos podem ser analisados
(Hurdle et al, 2007) (Iverson & Pattersine-Hine, 1995).
5.2.1.4 Identificao das potenciais falhas dos componentes de suporte

Nesta
fase
encontra-se
inserida
anlise
aos
componentes
de
suporte
no
monitorizados, adiante designados apenas como componentes de suporte. Como se trata

de uma etapa do estudo bastante importante, necessrio apresentar algumas bases
que fundamentam as opes assumidas.
Pressupostos:
1. O sistema composto por componentes no-reparveis, e no possvel
proceder-se sua substituio, uma vez solicitados;
2. Embora possa ser discutvel, aps cada inspeco, teste e ensaio, o sistema
considerado AGAN (as good as new);
3. Os tempos at avaria dos componentes seguem uma distribuio exponencial;

159
4. No clculo da indisponibilidade, considera-se o tempo t como o perodo

dormant;
5. No clculo da indisponibilidade, considera-se o tempo como o perodo entre
testes/ensaios;
6. O tempo relativo s inspeces, testes ou ensaios peridicos considerado
negligencivel no presente estudo;
7. O tempo relativo s aces de manuteno correctiva (quer as referentes aos
componentes monitorizados, quer as detectadas aquando das inspeces, testes
e ensaios) tambm considerado negligencivel.
Depois de identificados os componentes de suporte no monitorizados, h que estudar
bem o seu comportamento e determinar os potenciais acontecimentos relacionados com
modos de falha que podero ocorrer, e que podem pr em causa o arranque do
equipamento quando solicitado.
Desta forma, elaborada uma listagem dos acontecimentos potencialmente perigosos
que levam falha dos componentes seleccionados, apresentando-se tambm a
indisponibilidade relacionada com esses componentes e modos de falha, quando os
mesmos se encontram no estado dormant.
5.2.1.5 Estruturao do modelo

De acordo com a identificao dos potenciais acontecimentos relativos aos componentes
de suporte seleccionados anteriormente, recorre-se a uma tcnica grfica, a rvore de
Falhas, cuja descrio j foi alvo de apresentao no ponto 2.3.10.4. Nesta construo,
colocada como falha principal, ou evento de topo, a falha no arranque do sistema ou
barreira de segurana, analisando-se de seguida todos os acontecimentos subsequentes
que a podem originar. Esta lgica dedutiva repetir-se- at se alcanarem os
denominados acontecimentos bsicos em considerao, tendo em conta os arranjos
funcionais entre os mesmos atravs da utilizao das portas lgicas, tambm referido no
Captulo II.
Na construo da rvore de Falhas deve-se ter bastante ateno s interdependncias,
ou dependncias funcionais, entre os acontecimentos, uma vez que o reconhecimento de
tais situaes condicionar o resultado final.
160

Desta forma sero bem identificadas as situaes denominadas sub-rvores dinmicas

(relacionadas com as interdependncias e sequncias funcionais) e as sub-rvores
estticas (acontecimentos independentes), sendo posteriormente analisados de forma
distinta por Anlises de Markov ou por tcnicas combinatrias normalizadas (que
consideram a probabilidade dos acontecimentos e as portas lgicas indicadas) como os
Diagramas de Deciso Binria (BDD), respectivamente.
Este tema das dependncias funcionais de facto fulcral. De acordo com Zio (2009),
todos os sistemas tecnolgicos modernos so altamente redundantes mas continuam a
avariar devido s avarias dependentes. O mesmo autor afirma que a modelao deste
tipo de avarias continua a ser um assunto crtico na Avaliao Probabilistica de
Segurana (PSA Probabilistic Safety Assessment), uma vez que as avarias dependentes
podem provocar a falha de barreiras de segurana, contribuindo significativamente para
o risco. A quantificao dessa contribuio assim necessria para evitar subestimar
grosseiramente o risco.
Algumas estratgias gerais para evitar avarias dependentes so (Zio, 2009):
Barreiras
Impedimentos
fsicos
para
confinar
ou
restringir
condio
potencialmente perigosa;
Formao Treinar o pessoal para assegurar que os procedimentos so seguidos

em todas as condies de operao;
Controlo de qualidade Assegurar que o produto est conforme com o projecto e

a sua operao e manuteno seguem os procedimentos e normas aprovados;
Redundncias;
Manuteno preventiva;
Monitorizar, testar e inspeccionar;
Diversificar
Diversificar fabricantes, aspectos funcionais e princpios de
operao.
5.2.1.6 Anlise qualitativa da rvore de Falhas

Tal como referido no Captulo II, a anlise qualitativa de uma rvore de Falhas tem como
objectivo determinar os conjuntos de corte mnimos (MCS - minimal cut sets). Com base
nestes conjuntos so determinadas todas as combinaes de acontecimentos que levam
falha principal.

161
Alguns trabalhos analisados (Andrews & Moss, 2002) apresentam tambm uma
abordagem pela positiva, determinado o conjunto de caminhos mnimos (MPS minimal
path sets) que levam ao sucesso de um sistema. Obviamente que qualquer uma das
duas abordagens levar a resultados complementares.
No entanto, de acordo com a complexidade dos sistemas em anlise, verifica-se que em
alguns casos se obtm um grande nmero de conjuntos mnimos (caminhos ou corte),
cujo clculo da probabilidade das combinaes possveis se torna impraticvel na fase
posterior de quantificao da rvore de Falhas.
Quando se utiliza o MCS, e se tem em conta apenas os primeiros termos (termos de
primeira, de segunda e eventualmente de terceira ordem), alcanamos uma aproximao
bastante razovel da probabilidade de falha do sistema, o que no se verifica quando
utilizamos o MPS. Por esta razo, a quantificao normalmente realizada utilizando o
conjunto de cortes mnimo (MCS).
A anlise qualitativa pode ser efectuada manualmente atravs de uma abordagem top-
down ou bottom-up utilizando as operaes booleanas e os mtodos de substituio,

expanso e reduo (Andrews & Moss, 2002). Obviamente que quando se trata de
rvores de Falhas com alguma complexidade e dimenso ter-se- que recorrer a
programas informticos. No caso da rvore de Falhas que no possuem acontecimentos
mutuamente exclusivos pode-se utilizar o j referido algoritmo MOCUS18.
Aps a realizao da anlise qualitativa, fica-se com um conjunto de informaes que
permitem olhar para os acontecimentos bsicos que compem a rvore de Falhas e
verificar qual, ou quais, so responsveis pela ocorrncia do acontecimento de topo, e
em que escala de importncia, tendo em conta a conjuno de acontecimentos.
5.2.1.7 Anlise quantitativa da rvore de Falhas

neste ponto que finalmente se determina o valor referente probabilidade de falha do
sistema quando solicitado (PFOD), correspondendo esse resultado ao objectivo principal
subjacente primeira fase da Metodologia RODS. Para tal, aproveita-se o trabalho
realizado na etapa anterior, utilizando os conjuntos de corte mnimos da anlise
18
Method Of Obtaining Cut Sets Ver Captulo II
162

qualitativa da rvore de Falhas, quando assumidamente os acontecimentos so

independentes.
Para a anlise quantitativa fundamental conhecerem-se determinados valores, tais
como as periodicidades com que as aces de Manuteno (nomeadamente os testes ou
ensaios) so efectuadas e as taxas de avaria referentes aos acontecimentos bsicos. Esta
uma das maiores dificuldades encontradas quando se pretende partir para uma anlise
fiabilstica de equipamentos no estado dormant. Normalmente no se conhecem, e
praticamente no existe informao ou bases de dados com indicaes sobre taxas de
avarias para os bens que se encontram neste estado especfico. No entanto, para se
realizar uma anlise quantitativa, o conhecimento deste parmetro fundamental para o
clculo da indisponibilidade mdia, tal como visto no captulo anterior.
Na Metodologia RODS, e na impossibilidade de se seguir uma base de dados existente
como por exemplo a OREDA19, a taxa de avarias normalmente determinada em funo
da informao de fabricantes dos equipamentos, uma vez que basicamente so estas as
nicas entidades que possuem este tipo de informao, e em alguns casos apenas
baseada na experincia.
Como a durao do tempo de vida em anlise para este tipo de bens relativamente
grande, ou a idade dos mesmos por vezes desconhecida, e assumindo que o sistema se
encontra bem mantido atravs de rotinas estabelecidas, normal considerar-se que os
bens atingiram um comportamento estabilizado ou regime estacionrio (steady-state
behavior). Desta forma, o mtodo de anlise escolhido, usando a expresso (4.39) o

mais indicado, sendo referido em alguma bibliografia como Lambda Tau Analysis
Method, precisamente porque so estes dois parmetros (,) que so utilizados para
determinar a indisponibilidade dos bens em causa.
Quando existem acontecimentos dependentes, tal como referido no Captulo II, ter-se-
que isolar as sub-rvores respectivas, denominadas dinmicas, e fazer uma anlise com
recurso a Cadeias de Markov (transies entre estados), onde essas dependncias j
podem ser representadas. No fim integram-se os resultados obtidos nas diversas subrvores, quer as estticas, quer as dinmicas.
19
Referido em 2.3.6

163
5.2.1.8 Outras informaes relevantes na anlise da rvore de Falhas

Aps a anlise quantitativa da rvore de Falhas possvel obter outras informaes de
relevo, nomeadamente obter dados que permitam conhecer as medidas de importncia
(Importance Measures) referentes a cada acontecimento bsico da rvore de Falhas que
se encontra relacionado com um determinado modo de falha, de modo a introduzir
melhorias da forma mais eficaz e adequada. Estas medidas de importncia so referidas
muitas vezes como uma anlise de sensibilidade (Sensitivity Analysis) (Ou & Dugan,
2000) (Assaf & Dugan, 2004).
As medidas de importncia so utilizadas para detectar pontos fracos do projecto e
modos de falha crticos do ponto de vista funcional do sistema. Permitem identificar o(s)
acontecimento(s) da rvore de Falhas cuja melhoria ter maior reflexo no desempenho
do sistema.
As trs medidas de importncia mais frequentemente utilizadas so:
Birnbaum Determina o aumento mximo no risco quando um componente X
se encontra em falha, quando comparado com a situao em que o mesmo se

encontra a funcionar;
Criticality Dada a ocorrncia do acontecimento de topo, determina a
probabilidade da falha estar relacionada com a avaria de um componente X;
Fussell-Vesely Dada a falha do sistema, determina a probabilidade com que o
componente X tenha contribudo para a mesma ocorrncia.

A escolha para a utilizao de um dos mtodos anteriores importante, tendo em vista o
objectivo a alcanar. Assim:
Se for possvel diminuir a indisponibilidade de cada acontecimento na mesma

quantidade e com o mesmo esforo, dever-se-o utilizar as medidas de
importncia Birnbaum;
Se as melhorias apenas podem ser efectuadas em acontecimentos que possuam

altas indisponibilidades, ou se o objectivo dar prioridade aos esforos da
manuteno, dever-se-o utilizar as medidas de importncia de criticidade ou
criticalidade (Criticality);
Se o objectivo minimizar as contribuies individuais dos acontecimentos

bsicos, dever-se-o utilizar as medidas de importncia Fussel-Vesely;
164

Vejamos alguns aspectos particulares de cada uma das trs metodologias acima
referidas, designadas como principais.
Birnbaum A medida de importncia dada por:
I B ( A) = P{ X | A} P{ X |~ A}
(5.1)
Onde A indica o acontecimento cuja importncia est a ser medida, X indica o

acontecimento de topo e ~A a no ocorrncia do acontecimento. Quando as
indisponibilidades individuais dos acontecimentos no so conhecidas, o clculo
determinado considerando uma indisponibilidade individual de 0,5.
Esta medida de importncia til mas no considera a probabilidade de ocorrncia do
acontecimento, sendo independente do valor da indisponibilidade do mesmo, o que pode
fazer com que se atribuam medidas de importncia elevadas a acontecimentos pouco
provveis de ocorrer e que possam ser dificilmente melhorados. Desta forma, para focar
apenas os acontecimentos crticos e de maior probabilidade de ocorrncia, surge uma
medida de importncia Birnbaum modificada, designada de medida de importncia de
criticidade ou criticalidade (Criticality).
Criticality Esta medida de importncia dada por:
I C ( A) = I B ( A).
P{ A}
P{ A}
= ( P{ X | A} P{ X |~ A}.
P{ X }
P{ X }
(5.2)
A medida de importncia de criticidade ou criticalidade de um acontecimento A

corresponde probabilidade do componente A ser crtico para o sistema e que ocorreu
sempre que o acontecimento de topo ocorre. Desta forma, esta medida considera alm
da probabilidade condicional (como a Birnbaum) tambm a probabilidade de ocorrncia
do acontecimento de topo devido ao acontecimento A.
Esta medida de importncia modifica a medida Birnbaum ajustando para a probabilidade
relativa do acontecimento A de forma a reflectir a probabilidade de ocorrncia do
acontecimento e de que forma possvel melhorar o mesmo. Isto faz com que esta
medida de importncia se concentre nos acontecimentos bsicos realmente importantes
e seja possvel comparar acontecimentos bsicos entre rvores de Falhas. A medida de

165
importncia de criticidade ou criticalidade apropriada quando se pretende a melhoria do

desempenho do sistema.
Fussell-Vesely Esta medida utilizada em situaes onde o acontecimento A
contribui para o acontecimento de topo (significa pelo menos pertencer a um conjunto de
cortes mnimo), embora no seja necessariamente um acontecimento crtico. Esta
medida o quociente entre a probabilidade de ocorrncia de qualquer conjunto de corte
que contenha o acontecimento A e a probabilidade de ocorrncia do acontecimento de
topo.
A medida de importncia Fussell-Vesely construda a partir dos conjuntos de cortes
mnimos (MCS) e utiliza-se fundamentalmente quando o objectivo for minimizar as
contribuies individuais dos acontecimentos bsicos.
Alm das metodologias anteriores existem outras medidas de importncia probabilsticas
que tambm podem ser referidas, tais como a medida Fussell-Vesely da importncia do
conjunto de cortes mnimo (Fussell-Vesely measure of minimal cut set importance), a
medida Barlow-Proschan de importncia do iniciador (Barlow-Proschan measure of
initiator importance), a medida Barlow-Proschan da importncia do conjunto de cortes

mnimo (Barlow-Proschan measure of minimal cut set importance) e a medida
contributria sequencial de importncia activa (Sequential contributory measure of
enabler importance) (Andrews & Moss, 2002).

Rausand e Hoyland (2004) referem complementarmente outras medidas de importncia,
como a medida potencial de melhoria (The improvement potential measure), importncia
ou valia do risco alcanado (risk achievement worth) e importncia ou valia da reduo
do risco (risk reduction worth). Estes autores referem que a importncia de um
componente depende de dois factores, nomeadamente a localizao do componente no
sistema e a sua fiabilidade individual (tendo por vezes que se considerar a incerteza
associada a essa fiabilidade).

Neste captulo apresentada uma metodologia para anlise de bens no estado
dormant, designada Metodologia RODS (Reliability Of Dormant Systems). O objectivo
da metodologia apresentada determinar a fiabilidade associada a uma determinada
166

barreira de segurana. O valor calculado servir como indicador do maior ou menor

sucesso quando ocorre um evento desta natureza, cujo resultado condicionar a
gravidade ou severidade das consequncias. Desta forma apresentado um esquema
com as diferentes fases da metodologia RODS.
A primeira fase da metodologia RODS incide sobre uma etapa fundamental e principal do
funcionamento global destes tipo de barreiras, ou seja, a fase de arranque, e mais
concretamente na probabilidade de sucesso na transio do estado dormant para o
estado de operao activa. Desta forma, so apresentadas com algum detalhe as etapas
que constituem a primeira fase, sendo esta a principal questo alvo de estudo no
presente trabalho.
dada particular importncia aos designados componentes de suporte ou arranque que
no se encontram monitorizados. So apresentados alguns pressupostos ou bases de
partida para a aplicao da metodologia, bem como a indicao das principais
dificuldades que sobressaem da aplicao da mesma.
abordado com algum detalhe a construo da rvore de Falhas, e especificadas as
ferramentas utilizadas na anlise qualitativa e quantitativa. So referidas outras
caractersticas
da
metodologia
RODS,
como
possvel
interpretao
de
outras
informaes resultantes da anlise quantitativa, designadas medidas de importncia

(Importance Measures) ou anlise de sensibilidade (Sensitivity Analysis). Neste aspecto
so detalhadas as medidas de importncia Birnbaum, Criticality e Fussell-Vesely.
Neste captulo apresenta-se uma metodologia para anlise de barreiras de segurana,
at ao momento no existente na bibliografia consultada, criando desta forma uma nova
abordagem ao problema. Um melhor conhecimento do comportamento deste tipo de
bens revela-se de extrema importncia, proporcionando aos responsveis pela sua
manuteno e explorao a melhor escolha na tomada de decises.
Desta forma, o exposto no presente captulo surge como a base terica ou de partida
para o prximo captulo, que pretende ser um complemento do actual, e onde se inclui
uma aplicao prtica da Metodologia RODS a uma barreira de segurana especfica,
enquadrada na temtica da segurana contra incndios.

167
168

Captulo VI Aplicao da Metodologia
CAPTULO VI
APLICAO DA METODOLOGIA
6.1 Introduo
De forma a verificar a primeira fase da metodologia proposta no Captulo V (Metodologia
RODS), foi seleccionado para o presente estudo um equipamento que assume um papel
fundamental na diminuio do risco de incndio, sendo responsvel por colocar nos
meios de combate de primeira interveno (bocas de incndio tipo carretel ou bocas de
incndio angulares de escada) ou nos sistemas automticos (sprinklers) aquele que
considerado o mais frequente e melhor agente extintor, devido sua abundncia, custo e
caractersticas fsicas para o combate ao fogo: a gua.
Na maioria dos casos o efeito pretendido o de arrefecimento, que se torna mais
importante quanto maior for a superfcie exposta da gua, ou seja, quanto mais
pulverizada estiver, melhor ser o arrefecimento alcanado. Quando se pretender
maiores alcances no combate ao incndio, a gua dever ser aplicada sob a forma de
jacto. Para se poder alcanar qualquer um dos efeitos anteriormente referidos
necessrio que o fludo possua uma determinada presso.
O equipamento escolhido encontra-se instalado na maior parte das instalaes
industriais, hospitais, edifcios escolares, desportivos e administrativos, assim como em
alguns edifcios de habitao. Trata-se de Sistemas de Bombagem de gua Contra
Incndios, mais vulgarmente conhecidos como Centrais de Bombagem, cuja finalidade
precisamente colocar um determinado caudal presso desejada nos dispositivos de
combate ao incndio.

169
Os prximos pargrafos so dedicados apresentao detalhada deste tipo de sistema,

cujo contedo considerado fundamental para a completa compreenso da aplicao
prtica subsequente.
6.2 Sistemas de Bombagem

primeira vista, quando falamos de sistemas de bombagem, somos logo levados a
pensar em processos industriais (produo). No entanto, nem todas as bombas se
referem a esta finalidade. O presente trabalho refere-se a um tipo de sistema de
bombagem especfico, pouco referenciado em estudos de fiabilidade, mas de vital
importncia em qualquer instalao industrial em matria de gesto do risco. Tal como
referido anteriormente, trata-se de sistemas de bombagem de gua contra incndios,
inseridos nos sistemas de proteco.
Os sistemas de bombagem de gua contra incndios so sistemas fulcrais nos mais
modernos
meios
de
proteco
existentes
em
qualquer
instalao
industrial,
nomeadamente nas redes de extino automticas (normalmente designadas por redes

de sprinklers), nas redes de incndio armadas (tambm designadas por redes de
carretis) ou qualquer outro tipo de meio de extino que utilize a gua sob presso
como agente extintor.
6.2.1 Perspectiva histrica

Para melhor enquadrar o assunto e facilitar a compreenso a quem possa estar de
alguma forma afastado da temtica e da sua importncia, apresentam-se nos prximos
pargrafos algumas consideraes sobre o tema e sobre o tipo de equipamento em
estudo.
Comecemos pelo princpio! De facto, o fogo sempre desempenhou um papel importante
para a Humanidade com o seu poder criador, transformador e destruidor, servindo para
cozinhar os alimentos, aquecer os habitats, afugentar os animais ou servir para
transformar os materiais, tornando-se um elemento comum da vida familiar e econmica
nas mais diversas actividades comerciais e industriais. Foi porventura uma das maiores
descobertas da Humanidade! No entanto, devido a vrias razes, o fogo pode tornar-se
incontrolvel para o homem, passando a designar-se como um incndio.
170

Tal como referido anteriormente, no combate a incndios o agente extintor mais utilizado
universalmente a gua, devido no s aos seus efeitos de arrefecimento e inibio da
reaco de combusto, como tambm devido ao seu baixo custo e fcil acessibilidade.
Teoricamente para extinguir um incndio num quilo de madeira (libertao de cerca de
20 kJ) so necessrios aproximadamente 80 gramas de gua, o que significa que a
massa de gua para extinguir um incndio consideravelmente inferior massa do
combustvel, isto no contabilizando a gua desperdiada. Mesmo assim, quando se trata
de um incndio importante, a quantidade de gua necessria para o controlar ou
extinguir atinge valores elevados, sendo necessrio um grande caudal num curto espao
de tempo, dependendo do poder calorfico dos combustveis.
A histria revela factos relacionados com os efeitos destruidores de alguns incndios
importantes (Viegas, 2006), tais como:
O grande incndio de Roma (64 AC), onde foram perdidas milhares de vidas e
destrudos vrios distritos da cidade;
O grande incndio de Londres (2 de Setembro de 1666), onde milhares de casas

e outros edifcios patrimoniais foram destrudos, deixando mais de 200.000
pessoas sem abrigo;
O terramoto de Lisboa (1 de Novembro de 1755), onde aps o sismo e tsunami

registados se seguiu um enorme incndio que durou cerca de 5 dias, sendo
apontados cerca de 30.000 mortos como resultado global da catstrofe;
O grande incndio de Chicago (8 de Outubro de 1871), onde um conjunto de

erros associados deficiente avaliao inicial do incndio resultaram na demora
inicial do combate, levando devastao de uma rea de cerca de 860 hectares
e ao registo de cerca de 300 vitimas. Todo o centro de Chicago foi destrudo com
todas
as
suas
actividades
culturais,
cvicas,
comerciais
industriais.
inexistncia de gua a partir de uma certa altura foi o golpe fatal para o aumento
da destruio, mas uma forte chuvada na tarde do segundo dia de catstrofe
conseguiu extinguir finalmente o incndio;
O incndio do Chiado em Lisboa (25 de Agosto de 1988), embora de menor

dimenso que os relatos anteriores, teve tambm grande impacto na opinio
pblica devido vulnerabilidade desta zona histrica. A estrutura dos edifcios
(madeira) e a propagao facilitada entre edifcios fez com que a situao se
complicasse. Mais uma vez a gua foi o agente extintor por excelncia e os
sistemas de bombagem o instrumento utilizado para o transporte da mesma at
ao incndio.

171
Muitos outros incndios ocorreram e ocorrem diariamente, com repercusses ao nvel da

continuidade das actividades ou destruio de edifcios e equipamentos, assim como a
ocorrncia de mortes e feridos ou danos ambientais. De todos eles se retiram lies que
promovem a melhoria das aces de combate, quer a nvel dos equipamentos, quer dos
mtodos utilizados.
Embora o termo Bombeiro possa hoje em dia ser conotado com um conjunto de aces e
bravura, a sua origem etimolgica refere o Bombeiro como o homem da bomba.
Tambm em Portugal a designao de Bombeiro comeou a utilizar-se em 1738 para o
homem encarregue da bomba (Viegas, 2006). Presume-se que as primeiras bombas
tenham sido utilizadas pelos Egpcios cerca de 2000 anos AC, com a finalidade de irrigar
os campos. Mais tarde, na Alexandria, foi inventada a primeira bomba para extino de
fogo. Antes do surgimento das bombas centrfugas (inventadas durante a revoluo
industrial) usavam-se bombas de gua recprocas ou rotativas, operadas manualmente,
atravs do vento ou a vapor.
Hoje em dia comum projectar e instalar (por imperativo legislativo ou iniciativa prpria)
sistemas de bombagem de gua contra incndio em determinados edifcios e instalaes
fabris com vista sua proteco contra eventos desta natureza. De facto, os sistemas de
bombagem so sistemas fulcrais na maior parte dos sistemas de proteco existentes,
contribuindo para um combate mais rpido e eficaz.
As bombas de incndio so utilizadas para elevar, transferir ou aumentar a presso ou o
caudal de gua aplicada no combate ao incndio. Por este motivo, as instalaes
industriais utilizam com muita frequncia sistemas de bombagem. As bombas utilizadas
so normalmente do tipo centrfugo, podendo individualmente debitar caudais at cerca
de 30.000 l/min.
De acordo com o tipo de instalao a proteger, podero ser utilizadas bombas
normalizadas ou bombas projectadas e fabricadas com caractersticas especficas para o
fim a que se destinam. De referir que o estudo de fluidos em movimento (fluid dynamics)
encontra-se associado a esta temtica mas, como se afasta dos objectivos traados, no
ser alvo de estudo no presente trabalho. Sobre esta matria podero ser encontrados
inmeros estudos e obras de referncia.
172

As primeiras referncias a nvel mundial, sob a forma de cdigos ou recomendaes

sobre sistemas de bombagem de gua contra incndios, aparecem na NFPA (National
Fire Protection Association), e reportam a 1896. Relativamente s bombas, nem todos os

modelos comerciais existentes no mercado so indicados ou permitidos para ser usados
nos sistemas de proteco contra incndios devido aos requisitos necessrios, havendo
entidades como a UL (Underwriters Laboratories), a FM (Factory Mutual) ou a NFPA,
entre outras, que aprovam e listam determinados modelos especficos para esse fim.
Hoje em dia, aquando de qualquer investigao sobre incidentes relacionados com
incndio, o desempenho do sistema de bombagem de gua contra incndios
normalmente um dos primeiros assuntos a ser analisado.
Nolan (1998) afirma que em 12 dos 100 maiores acidentes industriais relacionados com
incndio, o principal factor que contribuiu para dano em larga escala est relacionado
com a falha do sistema de combate a incndio. Torna-se pois imperativo que estes
sistemas sejam projectados, instalados e mantidos de forma a ter uma elevada
fiabilidade.
A instalao de sistemas de bombagem contra incndios pode parecer uma tarefa
simples. No entanto, erros bsicos ou presses econmicas podem levar a um grande
impacto (negativo) durante um incidente dessa natureza. Relativamente s causas de
falha de sistemas de bombagem de gua contra incndios, o estudo de Nolan (1998)
refere os seguintes dados:
Tabela 6.1 Causas de falha em sistemas de bombagem
Causas de Falha
Percentagem
Especificao
44,1%
Alteraes aps comissionamento
20,6%
Operao e manuteno
14,7%
Projecto e implementao
14,7%
Instalao e comissionamento
5,9%
6.2.2 A necessidade de sistemas de bombagem

Existem algumas situaes que determinam a utilizao cada vez maior de sistemas de
bombagem de gua contra incndios a nvel mundial, nomeadamente (Valentine &
Isman, 2006):

173
Aumento do nmero de sistemas de extino de incndio automticos;
Exigncias recentes ao nvel das caractersticas de caudal e presso das

instalaes de extino de incndio base de gua;
Requisitos dos edifcios em altura.
necessrio referir que o sistema de bombagem para cumprir a sua funo precisa que a
montante exista uma reserva de gua com um determinado volume mnimo face s
exigncias da instalao.
6.2.3 Caractersticas das bombas usadas em sistemas de bombagem de gua

contra incndios
As bombas usadas nos sistemas de proteco contra incndios so projectadas,
construdas e instaladas de acordo com determinadas caractersticas. Em termos de
presso, convm distinguir trs tipos, nomeadamente:
Presso de aspirao;
Presso de descarga;
Presso nominal.
A presso de aspirao refere-se presso manomtrica medida imediatamente antes da

gua entrar na flange de aspirao da bomba. Este valor depende do abastecimento e da
sua capacidade para levar a gua at ao ponto indicado anteriormente, supostamente
com valor positivo, caso contrrio, a tubagem de aspirao pode colapsar ou a bomba
sofrer danos. Caso este requisito no seja alcanado, devero ser introduzidas alteraes
na instalao, como por exemplo, baixar a bomba relativamente ao reservatrio de gua
ou aumentar o dimetro da tubagem, diminuindo assim a perda de carga.
A presso de descarga, tal como a de aspirao, tambm manomtrica e mede o valor
da presso quando a gua sai da bomba, atravs de um manmetro colocado na flange
de descarga. A presso de descarga funo da presso de aspirao mais a energia
adicionada gua pela bomba. Ter que haver uma preocupao para que a tubagem e
acessrios a jusante da bomba estejam dimensionados para trabalhar com a presso
produzida. O valor da presso de descarga varia de acordo com o caudal debitado pela
bomba, sendo mximo a caudal zero e mnimo quando a bomba operar ao caudal
mximo.
174

Por fim, a presso nominal diz respeito energia que realmente fornecida pela bomba
gua, sendo independente da presso de aspirao. A nica forma de saber a presso
nominal efectuar a diferena entre a presso de descarga e a presso de aspirao.
Outra caracterstica importante a velocidade de rotao da bomba que influncia os
valores de presso e de caudal. Qualquer bomba fabricada para uma dada presso
nominal e um caudal nominal ( velocidade nominal), o que permite discutir e comparar
bombas diferentes e ver qual a que mais se ajusta s necessidades especficas de
determinada instalao. Algumas consideraes relacionadas com estes parmetros
podero ser encontradas em documentos de referncia nesta matria, tais como a NFPA
20 (2003) ou a Cepreven (2006). A primeira trata-se de uma Norma para a instalao de
bombas estacionrias contra incndios, tendo sido esta verso tornada Norma Nacional
Americana em Julho de 2003. Desde a formao do Comit Tcnico em Bombas Contra
Incndio da NFPA em 1899 que esta norma tem sofrido actualizaes no sentido de se
adequar e abranger novos desenvolvimentos nesta rea.
A Cepreven, apesar de ser de origem espanhola tem grande procura e aceitao no
nosso pas, talvez motivado pelo custo excessivo pago por uma certificao passada por
um reconhecido organismo norte-americano para atestar a conformidade com a NFPA 20.
Hoje em dia estas barreiras de segurana podem ainda ser construdas tendo em conta
outras especificaes, como a CEA 400120 (2009) ou a EN1284521 (2009). No
contabilizando as centrais de bombagem no normalizadas instaladas actualmente em
Portugal (a maioria, com cerca de 67%), a maior parte dos restantes sistemas de
bombagem de gua contra incndios (aproximadamente 95%) segue a referncia
(Cepreven). Neste documento (Cepreven, 2006) so descritas recomendaes para o
fabrico e instalao de sistemas de bombagem.
6.2.4 Tipos de bombas

Tal como referido anteriormente, as primeiras bombas utilizadas no combate a incndio
eram do tipo deslocamento positivo (bombas de pisto ou bombas de carretos rotativos).
20
Norma Europeia elaborada pelo Comit Europen des Assurances, tendo como base a poltica de preveno no
mbito segurador e principalmente na rea dos sprinklers.

21
Norma Europeia para sistemas fixos de combate a incndios, sistemas de asperso automticos Projecto,
instalao e manuteno.

175
Actualmente apenas alguns sistemas utilizam este tipo de bombas, tais como sistemas
de espuma. A maior parte das bombas de gua contra incndio so do tipo centrfugo,
utilizando desta forma a fora centrfuga para aumentar a energia da gua. Existem
tambm as bombas bipartidas (Figura 6.1), onde a voluta que rodeia o impulsor se
encontra dividida em duas partes
Figura 6.1 Bomba bipartida

Pode-se tambm referir as bombas in-line e as bombas de eixo vertical. Estas ltimas
podem aspirar a gua que se encontra num nvel inferior ao da bomba. Normalmente, as
bombas auxiliares (tambm designadas por bombas jockey), destinadas a manter a
presso na rede, no necessitam de homologao e podero ser do tipo multicelular,
correspondendo esta designao a bombas com mais do que um impulsor dentro da
voluta.
6.2.4.1 Bombas centrfugas

A classificao mais comum de bombas centrfugas usadas em sistemas de proteco
contra incndios, diz respeito forma como o veio est orientado. Assim, teremos:
Bombas centrfugas horizontais;
Bombas centrfugas verticais.
A Figura 6.2 mostra um dos tipos mais comuns em sistemas de bombagem de gua
contra incndios no nosso pas (bombas centrfugas horizontais). Em futuros pargrafos
ser feita tambm referncia aos meios de accionamento das bombas usadas no
combate a incndio.
176

Figura 6.2 Bomba centrfuga horizontal
6.2.4.2 Ensaios
A fim de verificar o bom funcionamento dos sistemas de bombagem necessrio
efectuar ensaios periodicamente. As referncias normativas anteriormente enunciadas
prevem algumas alternativas para realizar fisicamente esses testes, tais como utilizar:
Um colector de ensaio para vrias mangueiras. A gua gasta durante o ensaio

ser desperdiada, indo para o sistema de drenagem pluvial;
Colector com dispositivo de medio (caudalmetro), retornando a gua ao

reservatrio de origem;
Medio em circuito fechado, onde a gua passa por um caudalmetro e regressa

directamente aspirao da bomba. um mtodo pouco desejvel, uma vez que
no introduz um mtodo de teste ao sistema de abastecimento.
Norma
NFPA
25
(2002)
preconiza
recomendaes
para
inspeco,
ensaio
manuteno. Nestes testes, as bombas so ensaiadas a diversos caudais (lidos no

caudalmetro), desde o caudal zero at ao caudal mximo (140% ou 150% do caudal
nominal, conforme se refira Cepreven ou NFPA, respectivamente).
Em simultneo com cada valor de cada caudal debitado dever-se- efectuar a leitura do
manmetro a fim de registar a presso de descarga nesse ponto. As vrias leituras dos
pares caudal/presso efectuadas permitem traar a curva da bomba ou mesmo aferir se
a curva fornecida com cada bomba est a ser cumprida. A Figura 6.3 apresenta as curvas
caractersticas das bombas de acordo com a NFPA 20 e Cepreven, respectivamente.

177
Figura 6.3 Curvas caractersticas segundo NFPA 20 e Cepreven

Como estes sistemas de proteco contra incndios no so usados com frequncia, a
nica forma de verificar potenciais problemas atravs de testes de rotina e de
inspeces. Um exemplo referente aos problemas que podero ocorrer numa central de
bombagem a perda de uma das fases na alimentao do motor devido por exemplo
queda de um raio, pico de tenso ou algo semelhante que danifique um dos condutores.
Nesta circunstncia a bomba rodava muito lentamente, at avaria do motor ou do
controlador. Os equipamentos mais modernos j informam desta situao ou da inverso
de fase, mas muitos equipamentos que se encontram instalados no possuem monitores
de fase, podendo ser danificados por um qualquer pico de tenso.
A NFPA 25 Inspeco, Testes e Manuteno de Sistemas Hidrulicos de Proteco
Contra Incndio (2002), embora sem provar cientificamente como se determinam os

valores apresentados, especifica:
A frequncia dos testes;
Como devem ser feitos os testes;
O que deve ser registado;
Que formulrios devem ser usados para registar os resultados.
Por exemplo, as bombas de incndio devem ser testadas semanalmente, cerca de 10 ou

30 minutos conforme sejam respectivamente accionadas por motores elctricos ou
motores diesel. Nestes testes tambm se avalia a perda de fase ou inverso da mesma.
Anualmente cada bomba deve ser testada nas condies de caudal mnimo, caudal
nominal e caudal mximo. Todas as situaes consideradas anormais devem ser
anotadas e corrigidas.
178

6.2.4.3 Meios de accionamento

As bombas usadas no combate a incndio podem ter basicamente trs meios de
accionamento (Valentine & Isman, 2006), nomeadamente:
Motores elctricos;
Motores diesel;
Turbinas a vapor.
Embora aqui referenciadas, as turbinas a vapor no so actualmente usadas para o

accionamento das bombas de incndio. Assim, apenas os dois primeiros tipos de motor
so normalmente utilizados. De referir que at 1974 tambm estavam disponveis
motores a gasolina, mas, devido alta volatilidade deste combustvel, deixaram de ser
aplicados.
Os motores elctricos apresentam algumas vantagens, tais como a limpeza, a iseno de
rudo, o custo, a necessidade de pouca manuteno e a sua dimenso. No entanto,
apresentam a desvantagem de necessitarem de energia elctrica para funcionar. O motor
diesel, embora no tenha o condicionalismo apontado para os motores elctricos, requer
ensaios mais frequentes e maiores cuidados de manuteno. De acordo com Valentine e
Isman (2006) se o proprietrio do edifcio decidir ter um motor a diesel, tambm ter
que se comprometer em mant-lo. Um motor que no tenha manuteno no operar, o

que faz dele um motor no fivel.
Uma grande parte das centrais de bombagem de gua contra incndios instalada em
Portugal possui, para alm da electrobomba auxiliar (jockey), duas bombas principais,
sendo ambas accionadas por motor elctrico. Segundo informao recolhida atravs de
um dos maiores fabricantes mundiais deste tipo de equipamento, entre 2005 e 2007
(inclusive), este tipo de arquitectura em Portugal representou cerca de 73,1%, sendo
seguido com 15,4% por um modelo de centrais de bombagem com duas bombas
principais, sendo uma accionada por motor elctrico e outra por um gerador diesel. As
prximas figuras mostram esquemas referentes a centrais de bombagem de gua contra
incndios constitudas por duas bombas principais, sendo no primeiro caso (verso A Figura 6.4) composto por uma electrobomba e uma motobomba diesel e o segundo
(verso B - Figura 6.5) por duas electrobombas.

179
Figura 6.4 Central de Bombagem Contra Incndios (verso A)
Figura 6.5 Central de Bombagem Contra Incndios (verso B)
180

Relativamente aos controladores e equipamentos das bombas accionadas por motor

elctrico ou motor diesel, a bibliografia anteriormente referenciada (NFPA 20, 2003)
(NFPA 25, 2002) apresenta diversa informao relacionada com os requisitos para
instalao, inspeco, teste e manuteno das bombas e respectivos accionamentos.
6.2.4.4 Funcionamento das bombas

A instalao de uma bomba de incndio comea na fase inicial do projecto, fazendo-se
uma avaliao hidrulica do sistema de abastecimento de gua proposto e ento
considerando factores como o caudal, durao e presso exigidas pelo sistema de
proteco contra incndio, determina-se a necessidade da instalao de uma bomba.
Como referido em pargrafos anteriores, utilizam-se com maior frequncia bombas
accionadas por motores elctricos, embora as motobombas diesel confiram uma fonte
completamente independente de alimentao, operando com velocidades nominais entre
as 1460 e as 3300 rpm. De acordo com a NFPA 20 (2003) s existem dois tipos de
abastecimento de energia que podem ser considerados fiveis, desde que utilizados
individualmente,
nomeadamente
aquele
que
resulta
do
fornecimento
de
uma
concessionria pblica ou o resultante de um gerador. Ainda de acordo com este

documento, os geradores de reserva ou de emergncia no podem ser usados como a
nica fonte de energia elctrica para bombas de incndio, mas podem ser usados em
combinao com outras formas de fornecimento.
De qualquer uma das formas, a fonte de energia e os cabos condutores elctricos devem
estar protegidos contra fogo ou danos mecnicos. A fonte de alimentao e a bomba
devem ser ligados directamente para assegurar que o fornecimento de energia no ser
interrompido, mesmo no caso de corte geral da instalao.
Para se falar sobre o funcionamento das bombas deve-se referir no s estes
equipamentos, mas sim todo o sistema, uma vez que todos os subsistemas se encontram
interligados. Quando a central de bombagem se encontra estabilizada, nomeadamente
quando se encontra num estado adormecido (dormant), com a presso constante a
jusante do sistema, num valor pr-estabelecido e com todos os seus componentes aptos
a cumprir as funes para os quais foram projectados, fabricados e instalados, estamos
perante uma situao de partida para explicar como expectvel o seu funcionamento.

181
Nesta situao, quando por qualquer razo a presso a jusante da central de bombagem
baixa at um valor pr-regulado, o pressostato de arranque da electrobomba auxiliar
(jockey)
transmite
essa
informao
um
quadro
elctrico
onde,
atravs
de
encravamentos elctricos se d ordem de arranque electrobomba auxiliar.

Se o caudal fornecido por esta bomba no for o suficiente para contrariar o caudal que
est a ser consumido, a presso continuar a baixar e, chegando a outro patamar de
presso, um outro pressostato de arranque (electrobomba principal) dar essa
informao, procedendo-se de forma anloga ao arranque da electrobomba principal.
Caso o pressostato de arranque falhe, existe em redundncia um outro pressostato de
segurana que cumprir as funes antes referidas. Quando a presso continua a baixar
(por exemplo por avaria da electrobomba principal), ao se atingir um outro patamar de
presso (inferior), a descrio anterior referente electrobomba principal repete-se,
fazendo ento accionar uma segunda electrobomba de reserva ou uma motobomba
diesel. A Figura 6.6 mostra uma central de bombagem de gua contra incndio,
compacta, com todos os seus componentes.
Figura 6.6 Central de Bombagem de gua Contra Incndios
182

Nos sistemas de bombagem de gua contra incndio, se as bombas no funcionam

quando necessrio, isso pode representar uma avaria catastrfica da barreira de
segurana, ou de vrias barreiras de segurana.
Em resultado deste tipo de evento, a legislao (NFPA 20 Instalao de Bombas
Estacionrias para Proteco contra Incndio Captulo 10 e 12) (2003) preconiza uma
monitorizao das bombas contra incndio. Alguns dos sinais devem ser transmitidos
para um local distante, permanentemente ocupado (na eventualidade da bomba no
estar num local permanentemente vigiado). Alm disso, esta mesma norma exige que o
painel junto da central possua pontos de contacto para ligar a circuitos de superviso e
monitorizao remota. Esta monitorizao remota, no caso de bombas elctricas, dever
ter sinais separados mostrando as seguintes condies:
Motor em funcionamento;
Perda de fase;
Inverso de fase;
Ligao do motor a uma outra fonte de energia, quando esta exista.
Para as motobombas diesel, os sinais devero ser:
Motor em funcionamento;
Controlador em posio que no em automtico;
Defeito no motor ou painel (ex. presso de leo muito baixa no sistema de

lubrificao, alta temperatura da gua na camisa do motor, falha no arranque
automtico, desligar por excesso de velocidade, falha nas baterias ou falta de
bateria, baixa presso de ar ou hidrulica, alta presso, problemas de injeco de
combustvel, baixo nvel de combustvel e perda de sada no carregador das
baterias).
O uso do sistema de alarme para monitorizar todas estas condies pode tornar-se uma
opo segura, cruzando as informaes recebidas e verificando a integridade do sinal.
Assim, de uma forma clara e rpida, pode-se dar algumas garantias que a bomba
funcionar quando necessrio, ou que se possa responder mais rapidamente a uma
avaria, que poderia ser catastrfica. No entanto, ser necessrio que este sistema de
alarme, quando exista, tambm tenha uma fiabilidade alta. Alm disso, haver a
necessidade da existncia de meios humanos para superviso dos sinais, tomada de
decises e execuo de testes peridicos ao sistema.

183
Muitos edifcios de escritrios, escolas, fbricas, lares ou reservatrios de combustvel

so protegidos por sistemas automticos ou manuais de extino de incndio, ligados a
bombas, que podem ficar inactivos durante vrios anos at entrarem em operao.
A questo que se normalmente se coloca : Ser que estes sistemas funcionaro em
caso de incndio?. Muitas vezes a resposta obtida no, pois o sistema de bombagem
no chega a funcionar ou pra logo aps o arranque, ou por vezes antes do incndio
estar controlado.
Segundo Bill Harvey, da Harvey & Associates (Lewis, 2006), foi o que aconteceu numa
fbrica de carpetes, na Gergia Carolina do Sul, em 1995. Duas bombas accionadas
com motores diesel no funcionaram, tendo o incndio destruindo toda a fbrica e tendose alcanado prejuzos da ordem dos 200 milhes de dlares mas, felizmente, sem
vtimas mortais. A investigao realizada a posteriori mostrou que as razes para tal
falha se deveriam basicamente falta de procedimentos de manuteno e inspeco
adequados para os equipamentos de proteco.
Apesar das normas, cdigos e regras para o projecto, instalao, explorao, testes e
manuteno de equipamentos de proteco contra incndios, estes no so normalmente
seguidos, dando em muitos casos uma falsa sensao de segurana.
Existem algumas consideraes que convm ser tidas em conta na instalao de uma
central de bombagem de guas contra incndios, nomeadamente:
Encontrar-se instalada num local de fcil acesso e independente de outras

instalaes;
O local da instalao ser ele prprio resistente ao fogo durante um perodo de

tempo no inferior a 60 minutos;
Possuir sistema de drenagem;
Terem sido previstos e calculados sistemas de ventilao e renovao de ar,

especialmente quando se trata de motores diesel;
A temperatura ambiente deve situar-se entre o 5C e os 40C.
Em termos construtivos, dever-se- ter em considerao que os elementos mecnicos da

central de bombagem que se encontram em contacto com a gua devam ser de material
apropriado, de modo a prevenir a oxidao ou corroso das partes mveis. O impulsor
deve ser construdo em bronze ou em ao inoxidvel.
184

6.3 Caso de estudo prtico

Apesar de se tratar de uma barreira de segurana amplamente generalizada e aplicada
em todo o mundo, os estudos realizados na ptica da fiabilidade no se encontram
efectuados e divulgados nas mesmas propores. Tal facto deve-se fundamentalmente
ao estado especfico em que estas barreiras normalmente se encontram (dormant), no
proporcionando dados de vida em quantidade suficiente para o registo e tratamento, e
por estas barreiras no se considerarem equipamentos fundamentais para um qualquer
processo produtivo.
Na maior parte das instalaes industriais de risco elevado estas barreiras so
obrigatoriamente vistas com o maior cuidado e ateno pelo Departamento de Segurana
ou
Departamento
de
Manuteno.
No
entanto,
esses
cuidados
apontam
fundamentalmente para uma garantia da operacionalidade dos sistemas, recorrendo para

tal a uma maior frequncia das inspeces, testes e ensaios, mas sem serem efectuados
os estudos subsequentes relacionados com a determinao da maior ou menor
probabilidade de sucesso, em funo dessa frequncia.
6.3.1 Definio da barreira de segurana, funo e constituio

De acordo com a Metodologia RODS, e complementando a descrio efectuada nos
pargrafos anteriores, considere-se uma central de bombagem de gua contra incndios.
Este equipamento ser estudado de uma forma generalizada, tendo em vista um
equipamento especfico, mas sem ser baseado em nenhuma instalao real e concreta.
A barreira de segurana em estudo encontra-se inserida num sistema global de proteco
ou combate a incndios, tendo como funo colocar a presso e caudal necessrios em
duas redes distintas, nomeadamente numa Rede de Extino Automtica (sprinklers) e
numa Rede de Incndio Armada (RIA).
A barreira de segurana em estudo construda de acordo com a Norma Cepreven
(2006), e composta por uma electrobomba auxiliar (jockey), uma electrobomba principal
e uma motobomba diesel, alm de todos os equipamentos e dispositivos inerentes a um
equipamento desta natureza.

185
De acordo com a norma seguida, as duas bombas principais (elctrica e motor diesel)
so de arranque automtico, por meio de pressostatos, mas de paragem exclusivamente
manual.
A electrobomba auxiliar (jockey), de caudal inferior, tem como funo principal manter a
presso na instalao devido a possveis fugas de gua no sistema, evitando o arranque
da bomba principal devido a pequenas perdas de gua no relacionadas com um
incndio. O seu arranque e paragem do-se de forma automtica. Ainda de acordo com a
norma de construo da central de bombagem, existem dois quadros elctricos de
comando e controlo, sendo um desses quadros para a bomba principal e para a bomba
auxiliar e o outro quadro exclusivamente para a motobomba diesel.
Hidraulicamente, cada bomba principal deve fornecer de forma independente os caudais
e presses exigidos para a instalao. Relativamente s bombas principais, a presso
nominal (altura manomtrica total) dever corresponder ao caudal nominal. A presso ao
caudal zero no deve ser superior a 130% da referida presso nominal e a bomba dever
ser capaz de debitar um mnimo de 140% do caudal nominal a uma presso no inferior
a 70% da presso nominal. A Tabela 6.2 apresenta as caractersticas nominais dos
equipamentos analisados.
Tabela 6.2 Caractersticas nominais das bombas
Caudal
Altura manomtrica
[m3/h]
[mca]
Electrobomba Auxiliar
90
Electrobomba Principal
120
80
Motobomba Diesel
120
80
Tipo
Alm das bombas e respectivos meios de accionamento, existe um conjunto de

equipamentos que se passam a descrever:
Quadro elctrico de comando e controlo para a electrobomba principal e

electrobomba auxiliar construdo de acordo com a EN IEC 60439, incluindo
sinalizao e comando a 24 V e contactos livres de tenso para transmisso
distncia,
interruptor
tetrapolar
de
corte
geral,
sinalizadores
de
fases,
seccionadores e corta circuitos fusveis, arrancadores estrela-tringulo (P>4 kW),

contactor e magneto-trmico para a bomba auxiliar, transformador de tenso,
sinalizao luminosa e acstica, botoneiras de impulso de paragem, possibilidade
de teste de lmpadas e comutadores de funcionamento (automtico, manual e
desligado). Alm destes equipamentos, existem tambm aparelhos de medio e
186

controlo como voltmetro (com comutador), ampermetro para a bomba principal,

contador de arranques para a bomba auxiliar, carregador de baterias e baterias
de apoio destinadas a assegurar a informao na eventual falha de energia;
Quadro elctrico de comando e controlo da motobomba diesel, de acordo com as

mesmas exigncias que o ponto anterior. Neste caso, existe tambm um
autmato destinado ao comando e informao dos diversos estgios de
funcionamento da motobomba, carregador automtico de baterias e aparelhagem
de medida, como voltmetro e ampermetros de carga para cada bateria;
Instrumentao e controlo, incluindo manmetro em banho de glicerina, dois

pressostatos de arranque por bomba principal, um pressostato de informao de
presso na aspirao e um pressostato de arranque e paragem automtica para a
bomba auxiliar. Tambm se inclui uma ligao para um boiador de nvel mnimo
do(s) reservatrio(s), uma vlvula de segurana para cada bomba principal, um
depsito de membrana de ar pr-comprimido e um medidor de caudal com orifcio
calibrado;
Conjunto de componentes hidrulicos, tais como tubagem e acessrios e vlvulas

de reteno e de seccionamento. Estes componentes devero ter determinadas
especificaes e cumprir certos requisitos, tendo especialmente em considerao
as presses mximas de servio;
Conjunto de componentes elctricos, incluindo cabos e respectivas ligaes.
As Figuras 6.7 e 6.8 mostram esquemas simplificados da central de bombagem,

referentes ao subsistema de aspirao e subsistema de compresso, respectivamente. Os
esquemas apresentados representam e identificam as fronteiras de anlise.

187
VC1
BA = Bomba Auxiliar (jockey)
VC2
BE = Bomba Elctrica Principal

MD = Motobomba Diesel
CA
CA = Colector de Aspirao
AE = Acoplamento Elstico
VC1 = Vlvula de Corte - Reservatrio 1
VC3
VC4
VC2 = Vlvula de Corte - Reservatrio 2
VC5
CR
VC3 = Vlvula de Corte BA
CR
VC4 = Vlvula de Corte BE
BA
RC
AE
BE
MD
VC5 = Vlvula de Corte MD

RC = Reservatrio de Combustvel
CR = Cone de Reduo Excntrico
AE
AE
QE1 = Quadro Elctrico BA + BE

QE2 = Quadro Elctrico - MD
QE1
QE2
Figura 6.7 Esquema simplificado do subsistema de aspirao
Figura 6.8 Esquema simplificado do subsistema de compresso
188

6.3.2 Identificao dos potenciais acontecimentos de falha dos componentes

de suporte
Aps a descrio da barreira de segurana e suas caractersticas principais h que
identificar os componentes que se pretende que se encontrem disponveis sempre que a
barreira de segurana solicitada, os j designados componentes de suporte (arranque).
Nesta fase chamada a ateno para uma leitura mais detalhada das normas de
construo e das especificaes tcnicas dos equipamentos, para se obter um
conhecimento mais profundo das caractersticas e do modus operandi deste tipo de
sistemas, complementando a informao descrita nos pargrafos anteriores.
Os potenciais modos de falha que se apresentam de seguida referem-se aos
componentes de suporte monitorizados, pelo que no sero alvo da anlise de
fiabilidade, assumindo-se que os mesmos so transmitidos imediatamente aps a sua
ocorrncia, identificados e rapidamente corrigidos.
Funcionamento deficiente do motor elctrico devido a perda de fase(s);
Funcionamento deficiente do motor elctrico devido a inverso de fases;
Bomba elctrica principal em No-automtico;
Motobomba diesel em No-automtico;
Bomba elctrica principal desligada;
Motobomba diesel desligada;
Falta de gua nos reservatrios de abastecimento;
Baixa presso do leo do motor da motobomba diesel.
Considera-se que qualquer um dos modos de falha anteriormente referidos tem um

tratamento correctivo imediato, no pondo em causa o arranque da Central de
Bombagem de gua Contra Incndios em situaes normais. De igual modo, todas as
falhas potenciais referentes electrobomba auxiliar no so consideradas, uma vez que
este equipamento no destinado ao combate efectivo de um incndio, tendo outras
funes,
tal
como
descrito
anteriormente.
Desta
forma,
identificaram-se
os
Acontecimentos Bsicos (AB) referentes aos componentes de suporte no monitorizados,

tendo em considerao o princpio de funcionamento da barreira de segurana. Esses
Acontecimentos Bsicos encontram-se descritos na Tabela 6.3.

189
Tabela 6.3 Identificao dos Acontecimentos Bsicos

AB#
Descrio do Acontecimento Bsico
AB1
Falha de Energia da Rede Elctrica Nacional - 12h/ano
AB2
Falha do Inversor do QGBT
AB3
Falha Interna do Gerador de Emergncia
AB4
Falha no Abastecimento de Combustvel ao Gerador de Emergncia
AB5
Terminais dos Equip. Electromecnicos no Q.E. da Electrobomba Principal Soltos/Partidos
AB6
Falha nos Equip. Electromecnicos do Q.E da Electrobomba Principal
AB7
Cablagem entre o Q.E. da Electrobomba e o Motor Elctrico interrompida
AB8
Terminais no Motor Elctrico da Electrobomba Principal Soltos/Partidos
AB9
Falha no Acoplamento entre o Motor Elctrico e a Bomba da Electrobomba Principal
AB10
Falha no Pressostato de Arranque da Electrobomba Principal
AB11
Falha no Pressostato de Segurana da Electrobomba Principal
AB12
Falha no Estator/Rotor da Electrobomba Principal
AB13
Rolamentos da Electrobomba Principal Gripados/Agarrados
AB14
Vlvula de Seccionamento Sada do Colector de Compresso Fechada - Erro Humano
AB15
Impulsor da Electrobomba Principal Preso
AB16
Terminais dos Equip. Electromecnicos no Q.E. da Motobomba Diesel Soltos/Partidos
AB17
Falha nos Equip. Electromecnicos do Q.E da Motobomba Diesel
AB18
Falha no Acoplamento entre o Motor Diesel e a Bomba da Motobomba Diesel
AB19
Falha no Pressostato de Arranque da Motobomba Diesel
AB20
Falha no Pressostato de Segurana da Motobomba Diesel
AB21
Impulsor da Motobomba Diesel Preso
AB22
Motor Diesel da Motobomba Diesel Gripado/Agarrado
AB23
Falha da Bateria "A" da Motobomba Diesel
AB24
Falha da Bateria "B" da Motobomba Diesel
AB25
Falha das Escovas do Motor de Arranque da Motobomba Diesel
AB26
Falta de Combustvel no Depsito da Motobomba Diesel
AB27
Combustvel Congelado no Depsito ou nas Tubagens de Ida e Retorno
AB28
Combustvel Deteriorado no Depsito da Motobomba Diesel
AB29
Tubagens de Ida/Retorno do Dep. de Combustvel Interrompidas ou Desligadas
Relativamente s periodicidades com que os ensaios e testes so efectuados, a prtica

normal para esta barreira de segurana assenta fundamentalmente em trs situaes
distintas. De acordo com as indicaes de fabricantes e alguma experincia na
manuteno deste tipo de equipamentos, estipularam-se os seguintes tempos:
190
Ensaio ou teste do Gerador de Emergncia Anual
Ensaio ou teste da Electrobomba Principal - Trimestral
Ensaio ou teste da Motobomba Diesel Semestral

Ser com base nestas periodicidades que os acontecimentos bsicos referentes a cada
um
dos
equipamentos
sero
alvo
de
ensaios
ou
testes
de
funcionamento
operacionalidade.
6.3.3 Construo da rvore de Falhas

Tendo por base os modos de falha bsicos identificados no ponto anterior, e dando
seguimento Metodologia RODS, elaborada uma rvore de Falhas, onde se estabelece
como acontecimento de topo a Falha no Arranque da Central de Bombagem de
gua Contra Incndios. Nesta rvore de Falhas os acontecimentos bsicos so
combinados e agrupados de acordo com a sua dependncia ou interdependncia do
ponto de vista funcional, utilizando portas lgicas estticas ou dinmicas, assim como a
simbologia padronizada relativa aos acontecimentos. Para a realizao desta etapa, e a
partir deste ponto, recorreu-se utilizao de um software destinado a anlises de
fiabilidade (Relex 2009, 2009), seleccionado entre os vrios programas informticos
existentes, tendo por base as suas caractersticas e capacidades, quer para efectuar a
anlise qualitativa, quer a anlise quantitativa de rvore de Falhas, e de acordo com as
necessidades tericas enunciadas nos captulos anteriores.
No momento em que este estudo se encontra a ser realizado, o software utilizado o
nico produto comercial para anlise de fiabilidade que suporta portas lgicas dinmicas
(Functional Dependency, Sequence-Enforcing e Spare Gate) no mdulo de anlise de
rvore de Falhas, possibilitando tambm o clculo de indisponibilidade e a anlise de
medidas de importncia. Este software possui a capacidade de transformar as entidades
dinmicas em modelos de Markov equivalentes atravs de um motor de clculo interno,
produzindo clculos exactos. De referir que no foi possvel utilizar o software Galileo
(2004) referido no Captulo II (gentilmente cedido por investigadores da Universidade da
Virginia - USA) por este no permitir o clculo da indisponibilidade do sistema, nem de
outras informaes importantes, apesar da ferramenta em causa tambm contemplar a
utilizao de portas lgicas dinmicas. de salientar que de todos os programas
informticos analisados, s os dois anteriormente referidos possuem esta capacidade.
O resultado final (construo grfica) relativo construo da rvore de Falhas da
barreira de segurana em estudo, utilizada para a primeira fase da Metodologia RODS,
pode ser analisado com detalhe no Anexo V.

191
Da realizao da rvore de Falhas, e tendo por base os acontecimentos bsicos e as

portas lgicas usadas na sua construo, resultam diversos Acontecimentos Intermdios
(AI), tal como apresentados na Tabela 6.4.
Tabela 6.4 Acontecimentos Intermdios da rvore de Falhas
AI#
Descrio do Acontecimento Intermdio
AI1
Falha dos Equipamentos de Bombagem
AI2
Falha no Arranque da Electrobomba Principal
AI3
Falha no Arranque da Motobomba Diesel
AI4
Falha de Energia no Quadro Elctrico da Electrobomba Principal
AI5
Falha na Transmisso de Potncia do Quadro Elctrico para o Motor Elctrico
AI6
Falha dos Sensores de Presso da Electrobomba Principal
AI7
Falha no Motor Elctrico da Electrobomba Principal
AI8
Falha de Energia da Rede de Emergncia
AI9
Falha do Gerador de Emergncia
AI10
Falha na Transmisso de Potncia do Quadro Elctrico para o Motor Diesel
AI11
Falha dos Sensores de Presso da Motobomba Diesel
AI12
Falha do Motor Diesel
AI13
Falha do Motor de Arranque da Motobomba Diesel
AI14
Falha das Baterias de Arranque da Motobomba Diesel
AI15
Falha na Alimentao de Combustvel Motobomba Diesel
Na construo da rvore de Falhas procurou-se encontrar dependncias e sequncias

funcionais entre os seus acontecimentos, o que obrigaria a utilizar portas lgicas
dinmicas. No entanto, por questes de simplificao do modelo, tambm houve a
preocupao de tentar transformar, sempre que possvel, essas situaes em rvores
estticas.
De facto, aps vrias tentativas em estruturar a rvore de Falhas de forma a que esta
traduzisse o mais fielmente possvel o modelo real em termos funcionais, havia apenas
duas situaes em que potencialmente se poderiam utilizar portas lgicas dinmicas.
Estas situaes diziam respeito aos sensores de presso, quer da electrobomba principal,
quer da motobomba diesel, uma vez que se poderia considerar o pressostato de
segurana como um spare do pressostato de arranque, com um dormancy factor
igual a 1 (hot spare).
Essas situaes, correspondentes a sub-rvores de Falhas dinmicas, poderiam ser
representadas como se indica nas Figuras 6.9 e 6.10.
192

Falha dos Sensores de

Presso da
AI7
Falha no Pressostato
de Arranque da
de Segurana da
AB14
AB15
Figura 6.9 Sub-rvore de Falhas Dinmica #1
Falha dos Sensores de

Presso da Motobomba
Diesel
AI10
de Arranque da
Motobomba Diesel
de Segurana da
Motobomba Diesel
AB20
AB21
Figura 6.10 Sub-rvore de Falhas Dinmica #2

Embora tal pudesse ser justificado e fundamentado, constatou-se que as situaes em
causa poderiam ser representadas atravs de sub-rvores de Falhas estticas utilizando
a porta lgica AND. No fundo, os pressostatos encontram-se sujeitos a iguais esforos e
em cada um dos casos referidos s com a falha dos dois elementos sensores de presso

193
ocorrer a falha do acontecimento intermdio de nvel superior, no se registando

dependncia ou sequncia funcional. Considerar o pressostato de segurana um
sobressalente do pressostato de arranque no ser ento o mais correcto, j que ambas
as unidades se encontram funcionalmente instaladas em paralelo e muitas vezes no se
distingue muito bem qual o pressostato de arranque e qual o de segurana.
Assim, para este equipamento especfico no se verificou a necessidade de utilizao de
portas lgicas dinmicas, considerando-se todos os acontecimentos como independentes.
Depois de estabelecida a estrutura da rvore de Falhas, poder-se- ento avanar para
as anlises qualitativa e quantitativa, seguindo a metodologia proposta para este tipo de
barreiras de segurana.
6.3.4 Anlise qualitativa da rvore de Falhas

A anlise qualitativa da rvore de Falhas baseia-se na determinao dos conjuntos de
corte mnimos (MCS). Quando esta anlise realizada obtem-se uma listagem com as
combinaes possveis de acontecimentos que levam ao acontecimento intermdio ou
acontecimento de topo, conforme o nvel de anlise que se pretenda, tendo em conta as
portas lgicas utilizadas na construo da rvore de Falhas.
Por exemplo, para o Acontecimento Intermdio n13 (AI13)22, os conjuntos de corte
mnimos so:
{AB25}
{AB23, AB24}
O que significa que para este exemplo em particular a falha do motor de arranque da
motobomba diesel ocorre quando se verificar falha nas escovas do motor de arranque ou
quando falharem as baterias A e B.
Relativamente ao acontecimento de topo (AT), cuja determinao dos conjuntos de corte
mnimos o objectivo principal da anlise qualitativa, uma vez que reflecte todas as
combinaes possveis que levam falha no arranque da central de bombagem de gua
contra incndios, apresentada uma listagem completa desses conjuntos de corte
mnimos no Anexo VI.
22
Ver Anexo V
194

Da leitura desta listagem podem-se retirar algumas concluses significativas. De facto,

analisando a importncia de cada conjunto de corte, relacionada directamente com a
ordem do mesmo, verifica-se a existncia de apenas 1 (um) conjunto de corte de
primeira ordem, 80 (oitenta) conjuntos de segunda ordem, 56 (cinquenta e seis)
conjuntos de terceira ordem e apenas 8 (oito) conjuntos de quarta ordem.
Assim, dever-se- dar fundamental importncia ao acontecimento relacionado com o
conjunto de corte de primeira ordem, que no presente estudo se refere com uma avaria
de causa comum (CCF) relacionada com erro humano, e que corresponde situao de
inadvertidamente se deixar a vlvula de seccionamento sada do colector de
compresso fechada.
Deste facto resulta a falha no arranque da central de bombagem de gua contra
incndios, uma vez que o abaixamento da presso na rede de extino no detectado
pelos pressostatos de arranque e segurana, quer da electrobomba principal, quer da
motobomba diesel. Infelizmente esta uma situao que ocorre com alguma frequncia,
inviabilizando a primeira fase funcional da barreira de segurana. Normalmente esta
situao ocorre aps uma interveno de manuteno, teste ou ensaio, ou por acto
deliberado ou intencional.
Numa anlise meramente qualitativa, seguem-se em importncia outros conjuntos de
corte (segunda ordem), ou combinaes de acontecimentos, que devero ser analisados
com o objectivo de encontrar solues para a sua eliminao. Estas solues passam por
incluir redundncias, dispositivos de alerta ou outras situaes que sejam fisica e
economicamente viveis.
Nesta anlise qualitativa no so calculadas as probabilidades de ocorrncia de cada um
desses conjuntos de corte, ignorando qualquer informao numrica relativa aos
acontecimentos bsicos. O clculo das probabilidades realizado aquando da anlise
quantitativa, que apresentada nos prximos pargrafos.
6.3.5 Anlise quantitativa da rvore de Falhas

Por forma a ser efectuada a anlise quantitativa da rvore de Falhas, e dessa forma ser
determinada a indisponibilidade associada a cada acontecimento (e fundamentalmente a

195
que se refere ao acontecimento de topo), necessrio conhecer alguns parmetros

relacionados com cada acontecimento bsico identificado aquando a elaborao da
rvore de Falhas, nomeadamente taxas de avarias e intervalos de tempo entre testes ou
ensaios.
Assim, todos as falhas mencionadas para os acontecimentos bsicos relacionados com a
electrobomba principal sero no limite detectadas de trs em trs meses, as falhas
relacionadas com a motobomba diesel de seis em seis meses e as referentes ao gerador
de emergncia anualmente.
A Figura 6.11 mostra uma imagem do programa informtico utilizado (Relex 2009,
2009), j referido em 6.3.3, com o menu de entrada tpico para introduo de dados
referentes a cada acontecimento bsico.
Figura 6.11 Menu de entrada de dados

De referir que o tipo de entrada (Input Type) seleccionado, Average Unavailability
conduz a um clculo exacto da indisponibilidade. Este modelo mais indicado quando os
equipamentos seguem manutenes preventivas regulares, e particularmente quando se
196

realizam testes ou ensaios periodicamente, como o caso prtico em estudo. Neste tipo
de entrada o tempo relativo execuo das aces (testes ou ensaios) so considerados
negligenciveis, tal como assumido nos pressupostos da Metodologia RODS.
A indisponibilidade associada a cada acontecimento varia entre 0 e , dependendo do
tempo a que a avaria ocorre. Neste modelo, os clculos produzidos reflectem resultados
exactos da indisponibilidade mdia do acontecimento durante o intervalo de teste ou
ensaio, utilizando para tal a expresso (4.39). Desta forma o programa informtico
utilizado possibilita a aplicao da teoria explicitada nos captulos anteriores, indo ao seu
encontro quanto aos fundamentos enunciados.
A Tabela 6.5 indica os valores introduzidos no programa informtico para cada um dos
acontecimentos bsicos identificados aquando da estruturao do modelo referente
barreira de segurana. importante referir que as taxas de avaria apresentadas resultam
da informao prestada por um fabricante de bombas e no de dados fidedignos de
campo relativos a alguma situao em particular. Apesar de nesse aspecto no se
tratarem de valores bem fundamentados, houve a inteno de colocar dados o mais
prximos possvel da realidade e dessa forma permitir exemplificar a metodologia
proposta.
Tabela 6.5 Parmetros de entrada para o clculo da indisponibilidade
AB1
[av/106 horas]
(*)
AB2
23,148
AB#
[horas]
AB16
[av/106 horas]
12,860
[horas]
4320
8760
AB17
28,935
4320
AB#
AB3
16,534
8760
AB18
23,148
4320
AB4
23,148
8760
AB19
38,580
4320
AB5
12,860
2160
AB20
23,148
4320
AB6
28,935
2160
AB21
12,860
4320
AB7
7,716
2160
AB22
9,645
4320
AB8
9,645
2160
AB23
57,870
4320
AB9
19,290
2160
AB24
57,870
4320
AB10
57,870
2160
AB25
28,935
4320
AB11
38,580
2160
AB26
38,580
4320
AB12
7,716
2160
AB27
2,315
4320
9,645
4320
23,148
4320
AB13
9,645
2160
AB28
AB14
115,741
2160
AB29
AB15
12,860
2160
(*) Considerada uma indisponibilidade mdia de 12 horas por ano

197
Aps a introduo dos dados anteriores pode agora ser determinada a indisponibilidade
mdia
associada
aos
acontecimentos intermdios
e ao acontecimento de topo,
alcanando-se assim o objectivo traado para a primeira fase da Metodologia RODS.

Desta forma, verificou-se uma indisponibilidade mdia para o acontecimento de topo, ou
seja, a indisponibilidade mdia associada falha no arranque da central de bombagem
de gua contra incndios, de 0,1497. Este o valor que traduz a probabilidade de no
ocorrer uma transio positiva em termos funcionais da primeira fase para a segunda
fase de operao da Central de Bombagem, tal como descrito na Metodologia RODS.
Para uma compreenso mais completa dos factores de influncia que levam ao resultado
alcanado,
analisaram-se
tambm
as
indisponibilidades
mdias
associadas
aos
acontecimentos intermdios, tal como apresentado na Tabela 6.6.

Tabela 6.6 Indisponibilidade mdia associada aos acontecimentos intermdios
AI#
Indisponibilidade mdia
AI1
0,039007
AI2
0,112867
AI3
0,345602
AI4
0,000325
AI5
0,080959
AI6
0,002431
AI7
0,018546
AI8
0,237304
AI9
0,157364
AI10
0,129842
AI11
0,003816
AI12
0,223909
AI13
0,072450
AI14
0,013272
AI15
0,145737
De igual forma, apresentam-se na Tabela 6.7 as indisponibilidades mdias associadas a

cada acontecimento bsico, que no fundo resultam da aplicao da expresso (4.39),
tendo em conta os parmetros individuais (,). Os resultados apresentados reflectem a
propenso para a ocorrncia de avarias ocultas, sendo tambm influenciados pelo
perodo entre testes ou ensaios, que quanto mais alargado for, maior ser o valor da
indisponibilidade mdia.
198

Tabela 6.7 Indisponibilidade mdia associada aos acontecimentos bsicos

AB#
AB#
AB1
0,001370
AB16
0,027270
AB2
0,094869
AB17
0,059975
AB3
0,069046
AB18
0,048374
AB4
0,094869
AB19
0,078890
AB5
0,013761
AB20
0,048374
AB6
0,030609
AB21
0,027270
AB7
0,008287
AB22
0,020547
AB8
0,010345
AB23
0,115202
AB9
0,020547
AB24
0,115202
AB10
0,059975
AB25
0,059975
AB11
0,040533
AB26
0,078890
AB12
0,008287
AB27
0,004984
AB13
0,010345
AB28
0,020547
AB14
0,115203
AB29
0,048374
AB15
0,013761
Da
interpretao
dos
resultados
alcanados
ressaltam
algumas
constataes,
nomeadamente o valor da indisponibilidade mdia referente ao acontecimento de topo

(aprox. 15%), as indisponibilidades mdias relativas aos acontecimentos intermdios AI3
(Falha no Arranque da Motobomba Diesel), AI8 (Falha de Energia da Rede de
Emergncia) e AI12 (Falha do Motor Diesel).
Tambm a informao referente indisponibilidade mdia relativa aos acontecimentos
bsicos
tem
algumas
situaes
que
se
destacam
pelos
valores
alcanados,
nomeadamente o acontecimento bsico AB14 (Vlvula de Seccionamento Sada do

Colector de Compresso Fechada - Erro Humano), AB23 (Falha da Bateria "A" da
Motobomba Diesel) e AB24 (Falha da Bateria "B" da Motobomba Diesel).
De qualquer forma, no se pode olhar apenas para o valor relativo das indisponibilidades
mdias, uma vez que esta importncia deriva em larga escala da estrutura da rvore de
Falhas e do tipo das portas lgicas utilizadas.
6.3.6 Outros dados importantes

Tal como referido no captulo anterior, relativo descrio da Metodologia RODS,
existem outros dados importantes que se podem retirar do estudo efectuado, e que
complementam a anlise quantitativa. Trata-se de saber as medidas de importncia
199
(Importance Measures), ao se proceder a uma anlise de sensibilidade. S desta forma

ficaremos a saber, por exemplo, o contributo individual de cada acontecimento bsico
para o valor da indisponibilidade mdia alcanada para o acontecimento de topo.
No seguimento da anlise efectuada ao caso em estudo, e tendo por base as indicaes e
aplicabilidades referentes a cada uma das medidas de importncia apresentadas no
captulo anterior, pretende-se saber qual a probabilidade com que cada um dos
acontecimentos bsicos contribuiu para a ocorrncia do acontecimento de topo. Assim,
analisou-se a medida de importncia Fussell-Vesely, justificada em virtude dos objectivos
pretendidos, conforme descrito no Captulo V. De acordo com esta medida de
importncia, a Tabela 6.8 mostra de uma forma hierarquizada o contributo de cada
acontecimento bsico para a ocorrncia do acontecimento de topo.
Tabela 6.8 Medida de importncia Fussell-Vesely
AB#
Fussell-Vesely
AB#
Fussell-Vesely
AB14
0,701295
AB21
0,019709
AB6
0,077009
AB22
0,014850
AB26
0,057017
AB28
0,014850
AB9
0,051694
AB24
0,009592
AB25
0,043346
AB23
0,009592
AB17
0,043346
AB10
0,006116
AB29
0,034962
AB11
0,006116
AB18
0,034962
AB27
0,003602
AB5
0,034622
AB19
0,002758
AB15
0,034622
AB20
0,002758
AB8
0,026026
AB1
0,000892
AB13
0,026026
AB4
0,000327
AB7
0,020850
AB2
0,000327
AB12
0,020850
AB3
0,000238
AB16
0,019709
Desta forma pode-se concluir que o grande contribuinte para o valor da indisponibilidade
associada falha no arranque da central de bombagem de gua contra incndio o
potencial erro humano referente situao da vlvula de seccionamento sada do
colector de compresso se encontrar fechada (AB14). Embora com uma grande diferena
percentual, seguem-se outros acontecimentos bsicos, como o AB6 (Falha nos
Equipamentos Electromecnicos do Q.E. da electrobomba Principal), AB26 (Falta de
Combustvel no Depsito da Motobomba Diesel) e AB9 (Falha no Acoplamento entre o
Motor Elctrico e a Bomba da Electrobomba Principal).
200

Este
tipo
de
anlise
tambm
confirma
algo
que
foi
referido
anteriormente,
nomeadamente quando se afirma que no se devem olhar para as indisponibilidades

individuais quando se pretende saber a influncia dos correspondentes acontecimentos
bsicos no valor determinado para a indisponibilidade mdia do acontecimento de topo.
Os acontecimentos AB6, AB26 e AB9 referidos anteriormente como maiores contribuintes
a seguir ao AB14, apresentavam indisponibilidades mdias individuais relativamente
baixas (3,1%, 7,9% e 2,1%, respectivamente). Da mesma forma, constata-se que
alguns acontecimentos bsicos que apresentavam indisponibilidades mdias mais
elevadas no tm de certa forma um papel to preponderante quando se analisam as
medidas de importncia.
6.3.7 Critrio de aceitao do risco

Mas ser que para a barreira de segurana em causa um valor de indisponibilidade mdia
de 0,1497 um valor aceitvel? De facto, este um tipo de questo que se coloca e que
no de fcil resposta. Tudo depende do risco que se pretenda assumir, do tipo de
actividade industrial em causa e do critrio aplicvel. Desta forma, justifica-se o
enquadramento que se efectuou nos captulos iniciais deste trabalho, nomeadamente
quando se descreveu com detalhe a Metodologia RAMS23 e quando se referiram critrios
de aceitao do risco24. Poder-se- desta forma aplicar um dos critrios de aceitao
enunciados, e com base nos valores alcanados decidir quanto sua aceitao. De referir
que o critrio ALARP um dos mais utilizados quando se aborda este tipo de questes.
Como esta uma matria que deve ser debatida no seio de cada organizao,
estipulando-se quais as regies, limites ou fronteiras de no aceitao do risco, no ser
desenvolvida
no
presente
estudo
qualquer
aplicao
quantitativa.
De
facto,
tolerabilidade do risco subjacente indisponibilidade de uma barreira de segurana um

assunto a ser amplamente discutido e assente em bases slidas e bem definidas. Mesmo
em situaes de risco aceitvel dever-se-o estipular as medidas que permitam manter o
risco a esse nvel, evitando que o mesmo sofra grandes alteraes ao longo do tempo.
Quando no aceitvel, a reduo do risco dever ser equacionada tendo em ateno as
anlises qualitativas e quantitativas efectuadas. O importante a reter nestes pargrafos
23
Ver Captulo II
24
Ver Captulo III 3.2.1

201
mostrar a necessidade de se estabelecer um critrio de aceitao do risco aps a

realizao de uma anlise quantitativa.
6.3.8 Simulao para cenrios alternativos

Seguindo as ideias apontadas nos pargrafos anteriores, e no pressuposto de que o valor
encontrado para a indisponibilidade da barreira de segurana conduz a um risco no
aceitvel, procedeu-se simulao de alguns cenrios alternativos. Tais cenrios passam
fundamentalmente por se observar dois tipos de alteraes face ao cenrio inicial
(designado por Cenrio 1), nomeadamente:
Alterao das periodicidades para a realizao dos testes e ensaios a alguns

sistemas da barreira de segurana;
Melhoria de alguns parmetros individuais.
Desta forma, criaram-se mais cinco cenrios, reflexo de algumas alteraes, tal como
indicado na Tabela 6.9.
Tabela 6.9 Cenrios alternativos
Cenrio#
Cenrio 2
Cenrio 3
Cenrio 4
Cenrio 5
Cenrio 6
Condies
Manuteno Ensaios Gerador de Emergncia
Periodicidade Anual
Manuteno Ensaios Electrobomba Principal
Periodicidade - Mensal
Manuteno Ensaios Motobomba Diesel
Periodicidade - Semestral
Periodicidade Anual
Periodicidade - Trimestral
Periodicidade Semestral
Periodicidade Trimestral
Periodicidade - Semestral
Periodicidade Anual
Periodicidade Mensal
Vlvula sada do colector de compresso
Indicao de posio
Assim, para o Cenrio 2, a alterao das condies face ao Cenrio 1 passa por
efectuar
testes
ou
ensaios
Electrobomba
Principal
mensalmente
em
vez
de
trimestralmente.
202

No Cenrio 3, a alterao das condies face ao Cenrio 1 passa por efectuar testes
ou ensaios Motobomba Diesel trimestralmente em vez de semestralmente.
Para o Cenrio 4 apenas se alterou a periodicidade dos testes ou ensaios do Gerador de
Emergncia para semestral em substituio da periodicidade anual.
Para o Cenrio 5 foram as periodicidades dos testes ou ensaios da Electrobomba
Principal e Motobomba Diesel, que passaram a ser efectuados mensalmente e
trimestralmente, respectivamente.
O Cenrio 6 traduz uma alterao fsica de um dos componentes da barreira de
segurana, nomeadamente aquele cuja medida de importncia do seu acontecimento
bsico de falha se destacou dos restantes acontecimentos, ou seja, a vlvula sada do
colector de compresso. Desta forma, criaram-se condies para que haja uma indicao
clara de que a vlvula de seccionamento se encontra na posio de aberta no fim de cada
interveno ou teste efectuado. A soluo encontrada passou por incluir esta verificao
na Ordem de Trabalho (OT) de todas as intervenes, obrigando ainda a um
procedimento de dupla verificao (reconhecido atravs de dois intervenientes distintos).
Muitos
outros
cenrios
poderiam
ser
exemplificadas
algumas
situaes
para
retratados,
ficando
demonstrao
da
neste
sua
estudo
apenas
potencialidade
exequibilidade. A Figura 6.12 mostra os vrios Cenrios equacionados anteriormente,

mas de uma forma grfica, para melhor visualizao do que se pretende simular neste
estudo.
Figura 6.12 Cenrios alternativos

203
De referir que as taxas de avaria individuais associadas aos acontecimentos bsicos

poderiam eventualmente alterar-se face ao cenrio inicial (Cenrio 1), uma vez que as
periodicidades para testes ou ensaios tambm se alteraram. No entanto, mantiveram-se
os dados iniciais, por um lado por falta de dados credveis relativos aos novos cenrios, e
por outro lado por os valores considerados serem de certa forma conservadores
relativamente aos eventuais novos dados, uma vez que teoricamente as taxas de avaria
seriam agora mais baixas em virtude de os perodos entre testes ou ensaios serem
tambm mais apertados.
Introduzindo no modelo os novos cenrios, reflexo das alteraes anteriormente
descritas, obtiveram-se os resultados apresentados na Tabela 6.10, correspondentes s
indisponibilidades mdias referentes ao acontecimento de topo.
Tabela 6.10 Indisponibilidades para Cenrios alternativos
Cenrio#
Cenrio 1
0,1497
Cenrio 2
0,0534
Cenrio 3
0,1340
Cenrio 4
0,1496
Cenrio 5
0,0475
Cenrio 6
0,0684
Aps uma breve anlise aos resultados obtidos pode-se constatar que se obtm um
ganho muito baixo em termos de disponibilidade quando se reduz a periodicidade dos
testes ou ensaios da Motobomba Diesel de Semestral para Trimestral ou quando se
reduz a periodicidade dos testes ou ensaios ao Gerador de Emergncia de Anual para
Semestral.
Em contrapartida, a indisponibilidade da barreira de segurana reduzida drasticamente
quando se passam os testes ou ensaios da Electrobomba Principal de Trimestral para
Mensal isoladamente ou em simultneo com a alterao da periodicidade dos testes ou
ensaios da Motobomba Diesel de Semestral para Trimestral. Valores muito idnticos
ao Cenrio 5 so alcanados quando se promove a alterao verificao da vlvula de
seccionamento sada do colector de compresso (Cenrio 6). A Figura 6.13 ilustra
graficamente os vrios cenrios e as respectivas melhorias alcanadas.
204

Indisponibilidade vs Cenrios
Indisponibilidade
0,1600
0,1400
0,1200
0,1000
0,0800
0,0600
0,0400
0,0200
0,0000
C enrio 1 C enrio 2 C enrio 3 C enrio 4 C enrio 5 C enrio 6
Figura 6.13 Indisponibilidade vs Cenrios

Desta forma, com as simples simulaes efectuadas, ficamos com informao de uma
forma quantificada quanto ao impacto que determinadas alteraes podem ter na
indisponibilidade da barreira de segurana em estudo. Assim, se os valores encontrados
da indisponibilidade para os Cenrios 2, 5 ou 6 forem tolerveis do ponto de vista do
critrio de aceitao estabelecido, caber aos responsveis pela gesto do risco e/ou
manuteno decidir sobre qual a melhor opo a introduzir, apreciando aspectos como a
viabilidade tcnica e econmica.

No presente captulo pretendeu-se dar seguimento descrio terica apresentada no
Captulo V, procedendo-se aplicao da Metodologia RODS a uma barreira de
segurana
normalmente
presente
em
qualquer
instalao
de
risco
elevado.
equipamento estudado foi uma Central de Bombagem de gua Contra Incndio.

Efectuou-se uma apresentao detalhada deste tipo de sistemas, comeando com uma
perspectiva histrica, a justificao da sua necessidade e referindo alguns tipos de
bombas e suas caractersticas principais.
Mostrou-se como so realizados os testes ou ensaios a este tipo de equipamentos, a sua
importncia
no
contexto
da
fiabilidade,
assim
como
normas
seguir
no
seu
procedimento. Explicou-se o princpio de funcionamento de uma Central de Bombagem

205
de gua Contra Incndios. Referiu-se tambm que cerca de 35% das causas de falha
neste tipo de equipamento se devem a alteraes aps comissionamento, s condies
de explorao e aos procedimentos de manuteno aplicados durante o seu ciclo de vida.
Aps a explicao detalhada de todos as caractersticas fsicas e funcionais do
equipamento passou-se ao estudo de um caso prtico. Seguindo a Metodologia RODS,
comeou-se por definir a barreira de segurana, sua constituio e respectivas funes.
De seguida identificaram-se os componentes de suporte (ou arranque), distinguindo-se
os monitorizados dos no monitorizados. Quanto aos primeiros foi dada uma explicao
sobre a razo da sua excluso do estudo da primeira fase da Metodologia. No que
respeita aos componentes de suporte no monitorizados, foram identificados os
acontecimentos bsicos que podem estar na origem das falhas, assim como definidas as
periodicidades associadas a cada tipo de componentes.
Passou-se de seguida construo da rvore de Falhas, tendo em ateno a definio do
acontecimento de topo, dos acontecimentos intermdios e de todos os acontecimentos
bsicos e a forma como este se relacionam, utilizando para o efeito portas lgicas
estticas. Foi justificada a no utilizao de portas lgicas dinmicas no presente modelo.
Seguiu-se depois uma anlise qualitativa da rvore de Falhas, com a determinao dos
conjuntos de corte mnimos e sua interpretao baseada na ordem dos mesmos.
Considerando como parmetros de entrada as taxas de avaria associadas a cada
acontecimento bsico e as periodicidades de inspeco, teste ou ensaio de cada subsistema funcional da Central de Bombagem procedeu-se anlise quantitativa da rvore
de Falhas. Desta forma foi possvel determinar a indisponibilidade mdia associada ao
acontecimento de topo (0,1497), assim como as indisponibilidades mdias relativas a
cada acontecimento intermdio e a cada acontecimento bsico. Quanto a este aspecto,
foi posteriormente realizada uma anlise e interpretao dos resultados alcanados.
Para se perceber a influncia de cada acontecimento bsico no valor da indisponibilidade
referente ao acontecimento de topo realizou-se uma anlise das medidas de importncia,
usando a medida Fussell-Vesely. Desta forma foi possvel verificar que um nico
acontecimento contribui em cerca de 70% para a ocorrncia da falha no arranque da
Central de Bombagem. Relativamente Metodologia RAMS e tendo em conta os vrios
critrios de aceitao do risco possvel estipular se o valor alcanado como
indisponibilidade tolervel ou no.
206

Assumindo no aceitvel o resultado da anlise quantitativa, foram apresentados alguns

cenrios alternativos ao inicial, nomeadamente alterando algumas das periodicidades
referentes realizao dos testes ou ensaios, ou procedendo a algumas modificaes
fsicas ou funcionais dos componentes de suporte no monitorizados da barreira de
segurana.
Desta forma, o captulo termina com a simulao dos cenrios alternativos e com o
consequente clculo da indisponibilidade mdia associada ao acontecimento de topo.
Assim, chega-se concluso que realizando alguns testes ou ensaios com periodicidades
mais apertadas que as do cenrio inicial, se consegue um aumento da disponibilidade de
85% para cerca de 95,3%. Da mesma forma, recorrendo a uma simples modificao
processual aquando da realizao dos testes ou ensaios se consegue alcanar uma
disponibilidade de cerca de 93,2%. Da interpretao das simulaes realizadas tambm
possvel verificar que em determinados casos no se ganha quase nada ao implementar
certas alteraes.
Considera-se importante e interessante a aplicao prtica estudada neste captulo, pois
permite demonstrar a primeira fase da Metodologia RODS, assim como fazer referncia a
matrias descritas em captulos anteriores como a Metodologia RAMS ou critrios de
aceitao do risco.

207
208

Captulo VII Concluses e Trabalhos Futuros
CAPTULO VII
CONCLUSES E TRABALHOS FUTUROS
7.1 Concluses da Tese
O trabalho realizado pretende dar resposta ao objectivo proposto no Captulo I, tendo
sido desenvolvida toda a temtica relativa a barreiras de segurana com base no
enquadramento RAMS.
Para o efeito, foi proposta uma metodologia de anlise a barreiras de segurana, tendo
por base as particularidades e especificidades deste tipo de equipamentos, muitas vezes
fulcrais para a salvaguarda da vida humana ou para a continuidade das actividades
econmicas.
Mostrou-se a importncia das anlises de risco realizadas em instalaes industriais, e de
como uma gesto cuidada das barreiras de segurana, atravs do conhecimento dos
potenciais modos de falha e suas probabilidades de ocorrncia, pode ser determinante.
Saber a probabilidade de falha deste tipo de equipamentos sempre que so solicitados
pode dar uma ideia concreta aos responsveis pelas instalaes do risco potencial,
permitindo decidir sobre a sua aceitao.
Nessa vertente, foi abordado em particular o risco de incndio, apresentando uma
barreira de segurana considerada crucial para a diminuio ou mitigao das
consequncias deste tipo de fenmeno, nomeadamente uma Central de Bombagem de
gua Contra Incndios. Para essa barreira de segurana foi proposta uma metodologia
de anlise para a determinao da fiabilidade (Metodologia RODS), tendo por base a
separao em duas fases funcionais, uma primeira referente disponibilidade de

209
determinados componentes, designados componentes de suporte (ou arranque), e uma

segunda fase relacionada com a fiabilidade dos componentes activos, permitindo aferir a
probabilidade de continuidade do funcionamento durante uma determinada misso.
A grande preocupao prende-se com a primeira fase e com as chamadas falhas
ocultas,
apenas
teoricamente
detectveis
aquando
das
intervenes
peridicas
realizadas no sentido de efectuar testes ou ensaios de funcionamento.

Mostrada a importncia da primeira fase da metodologia, o estudo prosseguiu no sentido
de testar a mesma atravs de uma aplicao prtica. Dessa forma, estruturou-se uma
rvore de Falhas contendo os acontecimentos bsicos relacionados com modos de falha
dos componentes identificados como componentes de suporte no monitorizados, cuja
ocorrncia
pode
contribuir
em
maior
ou
menor
escala
para
ocorrncia
do
acontecimento de topo.
Nesta fase, o conhecimento profundo do equipamento e das suas caractersticas
funcionais mostra-se fundamental para se alcanarem resultados mais confiveis. Tratase de um tipo de equipamento que se encontra grande parte do seu ciclo de vida num
estado dormant, o que impossibilita a obteno de uma quantidade significativa de
dados de vida e o consequente tratamento atravs de metodologias tradicionais tendo
em vista a obteno de resultados fiabilsticos. Na fase de arranque determina-se a
probabilidade de sucesso na transio do estado dormant para o estado de operao
activa (correspondente segunda fase da Metodologia RODS).
No presente trabalho foram introduzidas abordagens novas de construo de rvores de
Falhas, com recurso a portas lgicas dinmicas. Pese embora o detalhe dado a estas
novas ferramentas ao longo do texto, estabeleceu-se para a aplicao prtica
demonstrada uma estrutura apenas baseada em portas lgicas estticas, simplificando a
abordagem realizada. No entanto, ficam dadas as indicaes sobre a sua aplicabilidade
para outros trabalhos onde no seja possvel restringir a rvore de Falhas apenas a
portas lgicas estticas.
Devido
dificuldade
pressupostos
em
obter
estipularam-se
dados
valores
concretos,
relativos
assumiram-se
taxas
de
determinados
avaria
para
cada
acontecimento bsico identificado. Muitos destes valores resultam mais da experincia

dos fabricantes (e respectivas assistncias tcnicas) do que propriamente de uma recolha
fidedigna de dados reais de um equipamento especfico. Por outro lado, assente numa
210

base mais concreta e real, foram assumidas periodicidades individuais para a realizao
dos testes ou ensaios. Desta forma, foi possvel seguir a metodologia estabelecida e
efectuar uma anlise qualitativa, seguida de uma anlise quantitativa.
Na anlise qualitativa foram determinados os conjuntos de corte mnimos (MCS), ou
combinaes de acontecimentos que levam ocorrncia do acontecimento de topo. Foi
verificada a existncia de um conjunto de primeira ordem, correspondendo a um erro
humano que ocorre com alguma frequncia. Esta uma situao decorrente dos
procedimentos de inspeco, teste ou ensaio e acontece quando inadvertidamente o
tcnico no procede reabertura da referida vlvula no fim da sua interveno. Foram
tambm identificadas outras situaes correspondentes a conjuntos de corte de segunda
ordem, merecendo a devida ateno por parte dos analistas.
Na sequncia da anlise quantitativa, e tendo em conta os dados de entrada do modelo
(,),
determinou-se
acontecimento
de
probabilidade
topo,
assim
como
referente
as
indisponibilidade
indisponibilidades
associada
individuais
ao
para
os
acontecimentos bsicos e acontecimentos intermdios. Para o cenrio inicialmente

equacionado (Cenrio 1), a indisponibilidade estimada referente falha no arranque da
central de bombagem de gua contra incndio de 0,1497.
A influncia ou contributo de cada acontecimento bsico para o valor alcanado foi
determinada atravs da realizao de uma anlise de sensibilidade, determinando-se
assim as medidas de importncia (Importance Measures), nomeadamente a medida
Fussell-Vesely. Desta forma, foi possvel confirmar que a indisponibilidade da vlvula de

seccionamento referida em pargrafos anteriores tem um peso de cerca de 70% da falha
no arranque da central de bombagem.
Enquadrado na Metodologia RAMS e nos critrios de aceitao do risco, possvel decidir
se o valor de indisponibilidade 0,1497 tolervel ou no. Assumindo que o risco
subjacente a esta indisponibilidade no tolervel, procedeu-se simulao de vrios
cenrios alternativos, fazendo variar as periodicidades com que os testes ou ensaios so
realizados ou alterando algumas lgicas no procedimento operacional das intervenes.
Desta
simulao
com
cenrios
alternativos
resultam
distintas
indisponibilidades
associadas ao acontecimento de topo. Chega-se concluso que realizando alguns testes

ou ensaios com periodicidades diferentes das inicialmente assumidas se consegue um
aumento da disponibilidade de 85% para cerca de 95,3%. Da mesma forma, a alterao

211
introduzida ao nvel operacional permite alcanar uma disponibilidade de cerca de 93,2%.

Da interpretao das simulaes realizadas tambm possvel verificar que em
determinados casos no compensatrio estar-se a encurtar prazos para a realizao
dos testes ou ensaios.
Como concluso final, importante ressalvar a importncia que assume este tipo de
anlises, uma vez que so efectuadas sobre equipamentos que ainda se encontram
pouco explorados na ptica da fiabilidade, desconhecendo-se o seu comportamento
quando so solicitados em situaes reais de catstrofe.
7.2 Trabalhos futuros

Em termos de estudos de fiabilidade, pode-se afirmar que at ao momento pouco existia
sobre este tipo de barreiras de segurana. Com este trabalho espera-se ter dado um
contributo
importante
para
se
perceberem
alguns
aspectos
particulares
destes
equipamentos e assim mostrar algumas abordagens e metodologias passveis de

aplicao, no sentido de melhor se entender o risco potencial de uma instalao.
No seguimento do trabalho realizado, e como perspectivas de trabalhos futuros ficam por
estudar algumas situaes cujo desenvolvimento neste momento obrigaria o presente
documento a tomar propores volumosas e porventura estender-se no tempo
indefinidamente.
No entanto, podem-se apontar alguns trabalhos futuros, nomeadamente consciencializar
para esta problemtica todos os que so responsveis pela manuteno, pelo risco ou
pela
gesto
dos
activos,
fomentando
implementao
de
procedimentos
de
monitorizao deste tipo de barreiras, com o intuito de se adquirirem dados reais de

taxas de avarias para determinadas situaes de explorao e manuteno. Desta forma,
poder-se-ia ultrapassar a dificuldade relatada e sentida durante a realizao deste
estudo.
Outro aspecto de grande relevo onde se poderia avanar mais um pouco e considerar
como um factor extrnseco barreira de segurana, o estudo da fiabilidade humana e a
relao Homem-mquina. De facto, algo que pode ser determinante quando se calcula
a disponibilidade ou fiabilidade de um equipamento desta natureza.
212

Pese embora tenha uma influncia menor, para que a Metodologia RODS fosse
completamente cumprida, seria necessrio avanar-se com a segunda fase, verificando a
fiabilidade dos componentes activos, e desta forma determinar-se a probabilidade de
sucesso do sistema durante uma determinada misso. O clculo da fiabilidade da barreira
de segurana seria alcanado usando a probabilidade condicional, ou seja, calculando a
probabilidade de sucesso para uma misso (segunda fase), dado o equipamento estar
disponvel quando solicitado (primeira fase).

213
214

Referncias
REFERNCIAS
ADAMYAN, A. & HE, D. (2002), Analysis of sequential failures for assessment of reliability and
safety of manufacturing systems, Reliability Engineering & System Safety, Vol. 76, pp. 227-236
AMARI, S., DILL, G. & HOWALD, E. (2003), A New Approach to Solve Dynamic Fault Trees,
IEEE Reliability and Maintainability Symposium, pp. 374-379
ANDREWS, J.D. & MOSS, T.R. (2002), Reliability and Risk Assessment Second Edition,
Professional Engineering Publishing Limited, ISBN 1.86058.290.7, London, UK
ANDREWS, J.D. & BARTLETT, L.M. (2005), A branching search approach to safety system
design optimisation, Reliability Engineering & System Safety, Vol. 87, pp. 23-30
ANGADI, S.V., JACKSON, R.L., SHOE, S., FLOWERS, G.T, SUHLING, J.C., CHANG, Y., HAM,
J. & BAE, J. (2009), Reliability and life study of hydraulic solenoid valve Part 2: Experimental
study, Engineering Failure Analysis, Vol. 16, pp. 944-963
ARNAULD, A. & NICOLE, P. (1996), Logic or the Art of Thinking, Cambridge University Press,
ISBN 0-521-48249-6, London
ASSAF, T. & DUGAN, J.B. (2004), Diagnostic Expert Systems from Dynamic Fault Trees,
Proceedings of the Annual Reliability and Maintainability Symposium, pp. 444-450
ASSIS, R. (2004), Apoio Deciso em Gesto da Manuteno Fiabilidade e Manutenibilidade,
Lidel Edies Tcnicas, ISBN 972-757-298-7, Lisboa
ASSIS, R. (2010), Apoio Deciso em Manuteno na Gesto de Activos Fsicos, Lidel Edies
Tcnicas, ISBN 978-972-757-605-0, Lisboa
BADA, F.G., BERRADE, M.D. & CAMPOS, C.A. (2002), Optimal inspection and preventive
maintenance of units with revealed and unrevealed failures, Reliability Engineering & System
Safety, Vol. 78, pp. 157-163
BAPTISTA, L.L. & DIAS, J.M. (2007), A Manuteno Industrial numa Perspectiva RAM, 9
Congresso Nacional de Manuteno, 22-23 de Novembro de 2007, Exponor, Porto.
BARROS, A., GRALL, A. & VASSEUR, D. (2009), Estimation of common cause failure
parameters with periodic tests, Nuclear Engineering and Design, Vol. 239, pp. 761-768
BARTLETT, L.M., HURDLE, E.E. & KELLY, E.M. (2009), Integrated system fault diagnostics
utilising digraph and fault tree-based approaches, Reliability Engineering & System Safety, Vol. 94,
pp. 1104-1115
BOUDALI, H. & DUGAN, J.B. (2005), A discrete-time Bayesian network reliability modeling and
analysis framework, Reliability Engineering & System Safety, Vol. 87, pp. 337-349

215
Referncias
BURDEKIN, F.M. (2007), General principles of the use of safety factors in design and
assessment, Engineering Failure Analysis, Vol. 14, pp. 420-433
BURROS, R.H. (1975), Probability of failure of building from fire, (Proc Am Soc Civ Eng), Journal
of the Structural Division , Vol. 101, pp. 1947-1960
CARCHIA, M. (1999), Non-Operating Reliability, Carnegie Melon University
[www.ece.cmu.edu/~koopman/des_s99/non_operating/]. Acedido em 12 de Fevereiro de 2009
CARINHAS, H. (2007), Apontamentos de Fiabilidade, Instituto Superior de Engenharia de Lisboa
CASTILLO, E., CONEJO, A., MINGUEZ, R. & CASTILLO, C. (2003), An alternative approach for
addressing the failure probability-safety factor method with sensitivity analysis, Reliability
Engineering & System Safety, Vol. 82, pp. 207-216
CEA 4001 (2009), Sprinkler Systems: Planning and Installation, Comit Europen des Assurances
CEPIN, M. & MAVKO, B. (2002), A dynamic fault tree, Reliability Engineering & System Safety,
Vol. 75, pp. 83-91
CEPREVEN, RT2 ABA H2O (2006), Regla Tcnica Abastecimientos de Agua Contra Incndios,
Asociacin de Investigacin para La Seguridad de Vidas y Bienes Centro Nacional de Prevencin
de Danos y Prdidas, ISBN 84-85597-91-5, Madrid
CHARRUAU, S., GUERIN, F., DOMINGUEZ, J. & BERTHON, J. (2006), Reliability Estimation of
Aeronautic Component by Accelerated Tests, Microelectronics Reliability, Vol. 46, pp. 1451-1457
CHEW, S., DUNNETT, S. & ANDREWS, J.D. (2010), Aircraft mission reliability modelling with
maintenance free operating periods, 38th ESReDA Seminar, Pcs, Hungary
CHING, J. (2009), Equivalence between reliability and factor of safety, Probabilistic Engineering
Mechanics, Vol. 24, pp. 159-171
COLOMBO, S. & DEMICHELA, M. (2008), The systematic integration of human factors into
safety analysis: An integrating engineering approach, Reliability Engineering & System Safety, Vol.
93, pp. 1911-1921
COULIBALY, A., HOUSSIN, R. & MUTEL, B. (2008), Maintainability and safety indicators at
design stage for mechanical products, Computers in Industry, Vol. 59, pp. 438-449
COURTOIS, P. & DELSARTE, P. (2006), On the optimal scheduling of periodic tests and
maintenance for reliable redundant components, Reliability Engineering & System Safety, Vol. 91,
pp. 66-72
DELVOSALLE, C., FIVEZ, C., PIPART, A., FABREGA, J.C., PLANAS, E., CHRISTOU, M. &
MUSHTAQ, F. (2005), Identification of reference accident scenarios in SEVESO establishments,
Reliability Engineering System Safety, Vol. 90, pp. 238-246
216

Referncias
DIANOUS, V. & FIVEZ, C. (2006), ARAMIS project: A more explicit demonstration of risk
control through the use of bow-tie diagrams and the evaluation of safety barrier performance,
Journal of Hazardous Material, Vol. 130, pp. 220-233
DIEKEN, D. (2008), Inspection, Testing and Maintenance of Fire Protection Systems at Electric
Generating Plants, Hartford Steam Boiler Inspection and Insurance Co.
[www.hsb.com/thelocomotive/Story/FullStory/ST-FS-FIRESUP.html]. Acedido em 14 de Agosto de
2008
DIRECTIVA MQUINAS (1998), On the approximation of the laws of the Member States related
to machinery as amended by Directive 98/79/EC (Machinery Directive), EC, COUNCIL DIRECTIVE
98/37/EC
DIRECTIVA SEVESO, (1996), On the control of major-accident hazards involving dangerous
substances (Seveso II Directive), EC, COUNCIL DIRECTIVE 96/82/EC
DORP, J. & MAZZUCHI, T. (2005), A general Bayes weibull inference model for accelerated life
testing, Reliability Engineering & System Safety, Vol. 90, pp. 140-147
DUIJM, N. & GOOSSENS, L. (2006), Quantifying the influence of safety management on the
reliability of safety barriers, Journal of Hazardous Material, Vol. 130, pp. 284-292
DUIJM, N. (2008), Safety-barriers diagrams as a safety management tool, Reliability Engineering
and System Safety, Vol. 94, pp. 332-341
DUTUIT, Y. & RAUZY, A. (1996), A linear time Algorithm to find Modules of Fault Trees, IEEE
Trasactions on Reliability, Vol. 45, pp. 422-425
EN 12845:2004+A2:2009 (Ed) (2009), Fixed firefighting systems. Automatic sprinklers
systems. Design, installation and maintenance, IPQ
ETI, M.C., OGAJI, S.O.T. & PROBERT, S.D. (2007), Integrating reliability, availability,
maintainability and supportability with risk analysis for improved operation of the Afam thermal
power-station, Applied Energy, Vol. 84, pp. 202-221
FARD, N. & LI, C. (2009), Optimal simple step stress accelerated life test design for reliability
prediction, Journal of Statistical Planning and Inference, Vol. 139, pp. 1799-1808
FERNANDEZ, P. (1996), Probabilistic fire analysis capabilities, applications and weak points,
Nuclear Engineering and Design, Vol. 167, pp. 77-83
FERREIRA, L.A. (1998), Uma Introduo Manuteno, Publindstria, ISBN 972-95794-4-X,
Porto
FONTANA, M., FAVRE, J.P. & FETZ, C. (1999), A survey of 40.000 building fires in Switzerland,
Fire Safety Journal, Vol. 32, pp. 137-158

217
Referncias
FREITAG, S., BEER, M., GRAF, W. & KALISKE, M. (2009), Lifetime prediction using accelerated
test data and neural networks, Computers and Structures, Vol. 87, pp. 1187-1194
GALILEO v3.0 (2004), Dynamic Fault Tree Analysis Tool, Exelix, University of Virginia, USA
GARCA-GARCA, P., LPEZ-LPEZ, A. & FERNNDEZ, A.G. (2008), Study of the shelf life of
ripe olives using an accelerated test approach, Journal of Food Engineering, Vol. 84, pp. 569-575
GOWLAND, R. (2006), The accidental risk assessment methodology for industries (ARAMIS) /
layer of protection analysis (LOPA) methodology: A step forward towards convergent practices in
risk assessment?, Journal of Hazardous Materials, Vol. 130, pp. 307-310
GULATI, R. & DUGAN, J.B. (1997), A modular approach for analyzing static and dynamic fault
trees, Reliability and Maintainability Symposium, pp. 57-63
GUO, H. & YANG, X. (2008), Automatic creation of Markov models for reliability assessment of
safety instrumented systems, Reliability Engineering & System Safety, Vol. 93, pp. 807-815
HARRIS, A.P. (1980), Reliability in the dormant condition. Microelectronics and Reliability. Vol.
20, pp. 33-44
HAUPTMANNS, U. (2008), The impact of reliability data on probabilistic safety calculations,
Journal of Loss Prevention in the Process Industries, Vol. 21, pp. 38-49
HAUPTMANNS, U. (2009), Different sets of reliability data and success criteria in a probabilistic
safety assessment for a plant producing nitroglycol, Journal of Hazardous Materials, Vol. 162, pp.
1322-1329
HAUPTMANNS, U., MARX, M. & GRUNBECK, S. (2008), Availability analysis for a fixed wet
sprinkler system, Fire Safety Journal, Vol. 43, pp. 468-476
HENLEY, E. & KUMAMOTO, H. (1981), Reliability Engineering and Risk Assessment, PrenticeHall, Inc., ISBN 0-13-772251-6, New Jersey, USA
HERDER, P.M., LUIJK, J.A. & BRUIJNOOGE, J. (2008), Industrial application of RAM modelling
- Development and implementation of a RAM simulation model for the Lexan plant at GE industrial,
Plastics, Reliability Engineering & System Safety, Vol. 93, pp. 501-508
HOKSTAD, P. & FROVIG, A. (1996), The modelling of degraded and critical failures for
components with dormant failures, Reliability Engineering & System Safety, Vol. 51, pp. 189-199
HOLLNAGEL, E. (1998), The State of Human Reliability Analysis, Cognitive Reliability and Error
Analysis Method (CREAM), Elsevier, ISBN 978-0-08-042848-2, Amsterdam
HOLLNAGEL, E. (2004), Barrier and acident prevention, Ashgate Publishing Limited, ISBN 07546-4301-8, Hampshire, UK
HOLLNAGEL, E. (2008), Risk + barriers = safety?, Safety Science, Vol. 46, pp. 221-229
218

Referncias
HOSTIKKA, S. & KESKI-RAHKONEN, O. (2003), Probabilistic simulation of fire scenarios,

Nuclear Engineering and Design, Vol. 224, pp. 301-311
HUGHES, G. & KORNOWA-WEICHEL, M. (2004), Whose fault is it anyway? A practical
illustration of human factors in process safety, Journal of Hazardous Materials, Vol. 115, pp. 127132
HURDLE, E.E., BARTLETT, L.M. & ANDREWS, J.D. (2007), System fault diagnostics using fault
tree analysis, Journal of Risk and Reliability, Part O (Proceedings of the IMechE), Vol. 221(1), pp.
43-55
IEC 60300-3-9 (1995), Dependability management Part 3: Application guide Section 9: Risk
analysis of technological systems, International Electrotechnical Comission, Geneva, Switzerland
IEC:61508 Part 1-7 (1998), Functional Safety of electrical / electronic / programmable
electronic safety-related systems, International Electrotechnical Commission, Geneva, Switzerland
IEC:61511 Part 1-7 (2002), Functional Safety Safety instrumented systems for the process
industry sector, International Electrotechnical Commission, Geneva, Switzerland
ISOGRAPH (1999), Reliability Workbench Version 7.0 User Manual (Item)
ITO, K. & NAKAGAWA, T. (2000), Optimal Inspection Policies for a Storage System with
Degradation at Periodic Tests, Mathematical and Computer Modelling, Vol. 31, pp. 191-195
IVERSON, D. & PATTERSINE-HINE, F. (1995), Advances in digraph model processing applied
to automated monitoring and diagnosis, Reliability Engineering & System Safety, Vol. 49(3), pp.
325-334
JACKSON, Y., TABBAGH, P., GIBSON, P. & SEGLIE, E. (2005), The New Department of
Defense (DoD) Guide for Achieving and Assessing RAM, RAMS 2005
JOHANSSON, H. (2001), Decision Making in Fire Risk Management, Report 1022, Lund
University, Department of Fire Safety Engineering, Lund, Sweden
KANG, D.I., HWANG, M.J. & HAN, S.H. (2009), Estimation of the common cause failure
probabilities of the components under mixed testing schemes, Annals of Nuclear Energy, Vol. 36,
pp. 493-497
KECECIOGLU, D. (2002), Reliability Engineering Handbook - Vol 1, Department of Aerospace and
Mechanical Engineering The University of Arizona, DEStech Publications, ISBN 1-932078-00-2,
Pennsylvania
KECKLUND, L., EDLAND, A., WEDIN, P. &SVENSON, O. (1996), Safety barrier function
analysis in a process industry: A nuclear power application, International Journal of Industrial
Ergonomics, Vol. 17, pp. 275-284

219
Referncias
KEREN, N., WEST, H.H., ROGERS, W.J., GUPTA, J.P. & MANNAN, M.S. (2003), Use of failure
rate databases and process safety performance measurements to improve process safety, Journal
of Hazardous Materials, Vol. 104, pp. 75-93
KHATIBI, G., WROCZEWSKI, W., WEISS, B. & LICHT, T. (2008), A fast mechanical test
technique for life time estimation of micro-joints, Microelectronics Reliability, Vol. 48, pp. 18221830
KIM, T., KIM, J., KIM, Y. & KIM, K. (2002), Current risk management status of the Korean
petrochemical industry, Journal of Loss Prevention in the Process Industries, Vol. 15, pp. 311-318
KJELLN, U. (2000), Prevention of accidents through experience feedback, Taylor & Francis,
London
KNEGTERING, B. & BROMBACHER, A.C. (2000), A method to prevent excessive numbers of
Markov states in Markov models for quantitative safety and reliability, ISA Transactions, Vol. 39,
pp. 363-369
KOSAKI, A. (2008), Evaluation method of corrosion lifetime of conventional stainless steel
canister under oceanic air environment, Nuclear Engineering and Design, Vol. 238, pp. 1233-1240
KUMAMOTO, H. (2007), Satisfying Safety Goals by Probabilistic Risk Assessment, Springer Series
in Reliability Engineering, ISBN 978-1-84628-681-0, Springer-Verlag London Limited
KUMAR, C.S., ARUL, A.J., SINGH, O.P. & RAO, K.S. (2005), Reliability analysis of shutdown
system, Annals of Nuclear Energy, Vol. 32, pp. 63-87
LEWIS, S.M. (2006), NFPA Journal Latinoamericano, Junho 2006, pp. 14-17
LIE, T.T. (1998), Optimal fire resistance of structures, (Proc Am Soc Civ Eng) Journal of the
Structural Division, Vol. 98, pp. 215-232
LIN, Y. (2005), Estimations of the probability of fire occurrences in buildings, Fire Safety Journal,
Vol. 40, pp. 728-735
LONG, W., SATO, Y. & HORIGOME, M. (2000), Quantification of sequential failure logic for fault
tree analysis, Reliability Engineering & System Safety, Vol. 67, pp. 269-274
LUNDTEIGEN, M.A. & RAUSAND, M. (2007), Common cause failures in safety instrumented
systems on oil and gas installations: Implementing defense measures through function testing,
Journal of Loss Prevention in the Process Industries, Vol. 20, pp. 218-229
MANIAN, R., COPPIT, D.W., SULLIVAN, K.J. & DUGAN, J.B. (1999), Bridging the gap
between Fault Tree Analysis Modeling Tools and the Systems being Modeled, Proceedings of the
1999 Reliability and Maintainability Symposium, pp. 105-111
MARSEGUERRA, M., ZIO, E. & MARTORELL, S. (2006), Basics of genetic algorithms
optimization for RAMS applications, Reliability Engineering & System Safety, Vol. 91, pp. 977-991
220

Referncias
MARTINEZ, E. (1984), Storage Reliability with Periodic Test, Proceedings of Annual Reliability and
Maintainability Symposium, pp. 181-185
MARTORELL, S., VILLANUEVA, J.F., CARLOS, S., NEBOT, Y., SNCHEZ, A., PITARCH, J.L. &
SERRADELL, V. (2005), RAMS+C informed decision-making with application to multi-objective
optimization of technical specifications and maintenance using genetic algorithms, Reliability
MARTORELL, S., SANCHEZ, A. & CARLOS, S. (2007), A tolerance interval based approach to
address uncertainty for RAMS+C optimization, Reliability Engineering & System Safety, Vol. 92, pp.
408-422
MESHKAT, L., DUGAN, J. & ANDREWS, J.D. (2000), Analysis of safety systems with ondemand
and
dynamic
failure
modes,
iodic
Test,
Proceedings
of
Annual
Reliability
and
Maintainability Symposium, pp. 14-21

MIL-HDBK-217F (1991), Reliability Prediction of Electronic Equipment, United States of America,
DoD -Department of Defense
MIL-STD 882-C (1993), System Safety Program Requirements, Military Standard, United States
of America, DoD - Department of Defense
MONCHY, F. (1996), La Fonction Maintenance Formation la gestion de la maintenance
industrielle, Masson, ISBN 2-225-85518-8, Paris
MONCHY, F. (2003), Maintenance Mthodes et organisations 2e dition, Srie Gestion
Industrielle, LUsine Nouvlle, Dunod, ISBN 2-10-007816-X, Paris
MOTTA, S. & COLOSIMO, E. (2002), Determination of preventive maintenance periodicities of
standby devices, Reliability Engineering & System Safety, Vol. 76, pp. 149-154
MOUBRAY, J. (1997), Reliability-Centered Maintenance (RCM) Second Edition, Industrial Press,
Inc., ISBN 0-8311-3146-2, Oxford, Great Britain
NAKADA, M. & MIYANO, Y. (2009), Accelerated testing for long-term fatigue strength of various
FRP laminates for marine use, Composites Science and Technology, Vol. 69, pp. 805-813
NEOGY, P. et al (1996), Hazard and barrier analysis guidance document Rev. 0, US
Department of Energy (DoE), EH-33 Office of Operating Experience Analysis and Feedback
[http://mentalmodels.mitre.org/cog_eng/reference_documents/hazard%20and%20barrier%20anal
ysis%20guide.pdf]. Acedido em 11 de Junho de 2009
NFPA 20 (2003), Standard for the Installation of Stationary Pumps for Fire Protection, National
Fire Protection Association, USA
NFPA 25 (2002), Inspection, Testing and Maintenance of Water-Based Fire Protection Systems,
National Fire Protection Association, USA

221
Referncias
NOLAN, D. (1998), Fire Fighting Pumping System at Industrial Facilities, Noyes Publications,
ISBN 0-8155-1428-X, New Jersey, U.S.A.
NP EN 13306 (2007), Terminologia da Manuteno, IPQ, Almada
NP EN 50126 (2000), Aplicaes Ferrovirias Especificao e demonstrao de Fiabilidade,
Disponibilidade, Manutibilidade e Segurana (RAMS), IPQ, Almada
NS 5814 (1991), Hazard Analysis, Guidance to NS (Norwegian Standard) 5814, SINTEF
NS Z-013 (2001), Risk and emergency preparedness analysis - Norsok Standard, Rev. 2,
Norwegian Technology Centre, Oslo, Norway
NSWC-09 (2009), Handbook of Reliability Prediction Procedures for Mechanical Equipment,
Logistics Technology Support, Naval Surface Warfare Center Carderock Division
OCONNOR, P.D.T. (1999), Practical Reliability Engineering 3rd Edition Revised, John Wiley &
Sons, Ltd., ISBN 0-471-95767-4, Chichester, England
ORBECK, T. (1990), Fire Hazards Present Codes and Standards, Dow Corning Corp., IEEE
Electric Insulation Magazine, Vol. 6, pp. 8-11
OREDA (2002), Offshore Reliability Data 4th Edition, Prepared by SINTEF Industrial
Management, Published by the OREDA Participants
OU, Y. & DUGAN, J.B. (2000), Sensitivity Analysis of Modular Dynamic Fault Trees, Proceedings
of IEEE International Computer Performance and Dependability Symposium, pp. 35-43
OZSOY, S., CELIK, M. & KADIOGLU, F.S. (2008), An accelerated life test approach for
aerospace structural components, Engineering Failure Analysis, Vol. 15, pp. 946-957
PALLEROSI, C. (2006), Confiabilidade, a Quarta Dimenso da Qualidade Conceitos Bsicos e
Mtodos de Clculo (Volume 1), Reliasoft Brasil
PALLEROSI, C. (2007), Confiabilidade, A Quarta Dimenso da Qualidade - Confiabilidade Humana
Volume 10, ReliaSoft Brasil
PALLEROSI, C. (2007b), Confiabilidade, a Quarta Dimenso da Qualidade Confiabilidade de
Sistemas (Volume 4), Reliasoft Brasil
PALLEROSI, C. (2007c), Confiabilidade, a Quarta Dimenso da Qualidade Ensaios Acelerados
(Volume 3), Reliasoft Brasil
PALLEROSI, C. (2007d), Confiabilidade, a Quarta Dimenso da Qualidade Mantenabilidade e
Disponibilidade (Volume 5), Reliasoft Brasil
PECHT, J. & PECHT, M. (1995), Long term non-operating reliability of electronic products, CRC
Press, ISBN 0-8493-9621-2, Boca Raton, USA
222

Referncias
PEI, P., CHANG, Q. & TANG, T. (2008), A quick evaluating method for automotive fuel cell
lifetime, International Journal of Hydrogen Energy, Vol. 33, pp. 3829-3836
PEREIRA, F.J.D. (1996), Modelos de Fiabilidade em Equipamentos Mecnicos, Tese de
Doutoramento, Faculdade de Engenharia da Universidade do Porto, Porto
PETROLEUM SAFETY AUTHORITY (2002), Guidelines to regulations relating to management in
the petroleum activities (The Management Regulations), Stavanger, Norway
PLACEK, V., KOHOUT, T., HNT, V. & BARTONICEK, B. (2009), Assessment of the EPDM seal
lifetime in nuclear power plants, Polymer Testing, Vol. 28, pp. 209-214
RAHIKAINEN, J. & KESKI-RAHKONEN, O. (2004), Statistical determination of ignition
frequency of structural fires in different premises in Finland, Fire Technology, Vol. 40, pp. 335-353
RAJPAL, P.S., SHISODIA, K.S. & SEKHON, G.S. (2006), An artificial neural network for
modelling reliability, availability and maintainability of a repairable system, Reliability Engineering
& System Safety, Vol. 91, pp. 809-819
RAMACHANDRAN, G. (1980), Statistical methods in risk evaluation, Fire Safety Journal, Vol. 2,
pp. 125-145
RAMACHANDRAN, G. (1999), Fire safety management and risk assessment, MCB University
Press, Vol. 17, Number 9/10, pp. 363-376
RAMIREZ-MARQUEZ, J.E. & COIT, D.W. (2007), Optimization of system reliability in the
presence of common cause failures, Reliability Engineering & System Safety, Vol. 92, pp. 14211434
RAUSAND, M. & HOYLAND, A. (2004), System Reliability Theory; Models, Statistical Methods
and Applications (Second Edition), Wiley, ISBN 0-471-47133-X, New York
REASON, J. (1990), Human Error, Cambridge University Press, ISBN 0-521-31419-4, Cambridge,
United Kingdom
RELEX 2009 v11.0 (2009), Relex Software Corporation, PTC InSight Product, USA
ROUVROYE, J.L. & BLIECK, E.G. (2002), Comparing safety analysis techniques, Reliability
RUTSTEIN, R. & CLARKE, M.B.J. (1979), The probability of fire in different sectors of industry,
Fire Surveyor, Vol. 20, pp. 3
SCHNEEWEISS, W. (1999), The Fault Tree Method (in the Fields of Reliability and Safety
Technology), LiLoLe-Verlag GmbH (publ. Co. Ltd.), ISBN 3-934447-01-5, Hagen, Germany
SCHNEEWEISS, W. (2004), Petri Net Picture Book, LiLoLe-Verlag GmbH (publ. Co. Ltd.), ISBN 3934447-08-2, Hagen, Germany

223
Referncias
SEMAN, ETZL & PURNELL (1988), Reliability, Maintainability, Testability, Design for Dormancy
RADC-TR-88-110 Final Technical Report, Lockheed Electronics Company, Inc,
Rome Air
Development Center, New York

SHALEV, D.M. & TIRAN, J. (2007), Condition-based fault tree analysis (CBFTA): A new method
for improved fault tree analysis (FTA), reliability and safety calculations, Reliability Engineering &
System Safety, Vol. 92, pp. 1231-1241
SHALUF, I., AHMADUN, F. & SAID, A. (2003), Fire incident at a refinery in West Malaysia: the
causes and lessons learned, Journal of Loss Prevention in the Process Industries, Vol. 16, pp. 297303
SHARMA, R.K. & KUMAR, S. (2008), Performance modelling in critical engineering systems
using RAM analysis, Reliability Engineering & System Safety, Vol. 93, pp. 891-897
SINNAMOM, R.M. & ANDREWS, J.D. (1997), New approaches to evaluating fault trees,
Reliability Engineering & System Safety, Vol. 58, pp. 89-96
SIU, N., KARYDAS, D. & TEMPLE, J. (1990), Bayesian assessment of modelling uncertainties:
application to fire risk assessment, Massachusetts Institute of Technology, Factory Mutual Research
Corp., International Symposium on Uncertainty Modeling and Analysis, pp. 579-584
SKLET, S. (2006), Safety barriers: Definition, classification, and performance, Journal of Loss
Prevention in the Process Industries, Vol. 19, pp. 494-506
SOBRAL, J. (2003), Anlise RAMS de Sistemas de Combate a Incndio em Edifcios Pblicos, Tese
de Mestrado, FEUP, Porto
SORENSEN, J.N. (2002), Safety culture: a survey of the state-of-the-art, Reliability Engineering
& System Safety, Vol. 76, pp. 189-204
SUN, H. & ANDREWS, J.D. (2004), Identification of independent modules in fault trees which
contain dependent basic events, Reliability Engineering & System Safety, Vol. 86, pp. 285-296
SVENSON, O. (1991), The accident evolution and barrier function (AEB) model applied to incident
analysis in the processing industries, Risk Analysis, Vol. 11, pp. 499-507
TELCORDIA SR-332 (Bellcore TR-332) (2006), Reliability Prediction Procedure for Electronic
Equipment, US Commercial Telecommunication Standard
THE ROME LABORATORY (1993), Reliability Engineers Toolkit An Application Oriented Guide
for the Practicing Reliability Engineer, Systems Reliability Division Rome Laboratory, Air Force
Material Command (AFMC), New York
TILLANDER, K. (2004), Utilisation of statistics to assess fire risks in buildings, Espoo, VTT
Publications 537.224 p. + app. 37 p.
224

Referncias
TIXIER, J., DUSSERRE, G., SALVI, O. & GASTON, D. (2002), Review of 62 risk analysis
methodologies of industrial plants, Journal of Loss Prevention in the Process Industries, Vol. 15, pp.
291-303
TORRES-ECHEVERRA, MARTORELL, S. & THOMSON, H.A. (2009), Design optimization of a
safety-instrumented system based on RAMS+C addressing IEC 61508 requirements and diverse
redundancy, Reliability Engineering & System Safety, Vol. 94, pp. 162-179
U.S. NUCLEAR REGULATORY COMMISSION (1981), Fault Tree Handbook, NUREG-0492,
Washington
VALENTINE, V. & ISMAN, K. (2006), Bombas para Sistemas com Sprinklers (Artigo publicado
no Manual de Engenharia Segurana Contra Incndios), ISBN 972-99554-1-7, Bombas Grundfos
Portugal
VAURIO, J.K. (2001), Fault tree analysis of phased mission systems with repairable and nonrepairable components, Reliability Engineering & System Safety, Vol. 74, pp. 169-180
VAURIO, J.K. (2002), Extensions of the uncertainty quantification of common cause failure rates,
VAURIO, J.K. (2003), Common cause failure probabilities in standby safety system fault tree
analysis with testing scheme and time dependencies, Reliability Engineering & System Safety,
Vol. 79, pp. 43-57
VAURIO, J.K. (2005), Uncertainties and quantification of common cause failure rates and
probabilities for system analyses, Reliability Engineering & System Safety, Vol. 90, pp. 186-195
VAURIO, J.K. (2007), Consistent mapping of common cause failure rates and alpha factors,
VIEGAS, D. (2006), Perspectiva Histrica da Luta do Homem Contra o Fogo (Artigo publicado no
Manual de Engenharia Segurana Contra Incndios), ISBN 972-99554-1-7, Bombas Grundfos
Portugal
VOLKANOVSKI, A., CEPIN, M. & MAVKO, B. (2009), Application of the fault tree analysis for
assessment of the power system reliability, Reliability Engineering & System Safety, Vol. 94, pp.
1116-1127
WANG, S., JI, Y., DONG, W. & YANG, S. (2007), Design and RAMS Analysis of a Fault-Tolerant
Computer Control System, Tsinghua Science and Technology, ISSN 1007-0214 21/49, Vol. 12,
Number S1, pp. 116-121
WU, S. & CLEMENTS-CROOME, D. (2007), Burn-in policies for products having dormant states,
WU, S. & LI, H. (2007), Warranty cost analysis for products with a dormant state, European
Journal of Operational Research, Vol. 182, pp. 1285-1293

225
Referncias
YEO, I., SUH, Y. & MUN, S. (2008), Development of a remaining fatigue life model for asphalt
black base through accelerated pavement testing, Construction and Building Materials, Vol. 22, pp.
1881-1886
ZANG, T., XIE, M. & HORIGOME, M. (2006), Availability and reliability of k-out-of-(M+N):G
warm standby systems, Reliability Engineering & System Safety, Vol. 91, pp. 381-387
ZIO, E. (2007), An Introduction to the Basics of Reliability and Risk Analysis, Series in Quality,
Reliability and Engineering Statistics Vol. 13, World Scientific Publishing Co. Pte. Ltd., ISBN-13
978-981-270-639-3, Singapore
ZIO, E. (2009), Computational Methods for Reliability and Risk Analysis, Series in Quality,
Reliability and Engineering Statistics Vol. 14, World Scientific Publishing Co. Pte. Ltd., ISBN-13
978-981-283-901-5, Singapore
226

Anexo I Distribuies Estatsticas
ANEXO I
DISTRIBUIES ESTATSTICAS
A1 Distribuies Estatsticas
A1.1 Distribuio de Weibull

A distribuio de Weibull uma das mais utilizadas devido sua versatilidade,
adaptando-se maioria dos casos prticos referentes a componentes, com razovel
preciso. Permite caracterizar as avarias durante os trs perodos caractersticos da vida
de um bem tpico (incio da vida operacional, vida til e desgaste), onde a taxa de
avarias decrescente na primeira, constante na segunda e crescente na ltima. Esta
distribuio pode apresentar-se em trs formas: tri-paramtrica, bi-paramtrica e monoparamtrica.
A influncia de cada um dos seus parmetros na fiabilidade do bem pode ser estudada
mais em pormenor, quando tal se justifique. Outros tipos de distribuies, como a
Exponencial, a Normal e a Lognormal acabam por ser casos particulares da distribuio
de Weibull.
Distribuio de Weibull tri-paramtrica
Na sua forma tri-paramtrica, a funo densidade de probabilidade de falha expressa
por:

227
t
f (t ) = .

.e
(A1.1)
onde:
t=
Varivel referida grandeza, mensurvel, que mede a extenso da

utilizao do bem
(tempo, nmero de ciclos, operaes, distncia
percorrida, etc)
Parmetro de posio ou vida inicial (pode ser negativo, nulo ou positivo);
Parmetro de forma, que define a variao da fiabilidade ao longo da vida

do bem;
Parmetro
de
escala
ou
vida
caracterstica,
referida
R=e-1
ou
R=0,367879 (=1/0)
A Figura A1.1 mostra a funo densidade de probabilidade de falha para a Distribuio de
Weibull (tri-paramtrica), de acordo com vrios valores do Parmetro de Forma ().
f(t)
=1
<1
1< <3
3,4
Tempo (t)
Figura A1.1 Funo densidade de probabilidade para a Distribuio de Weibull triparamtrica

Tendo em conta a expresso (2.5), a equao que permite o clculo da fiabilidade para a
Distribuio de Weibull tri-paramtrica dada por:
R(t ) = e
228
(A1.2)

Distribuio de Weibull bi-paramtrica

A forma bi-paramtrica resulta do exemplo anterior quando o parmetro de posio ()
nulo. Normalmente corresponde a bens novos, sem vida inicial25.
Assim, a funo densidade de probabilidade de falha caracterizada pela seguinte
expresso:
f (t ) =
t
.

.e
(A1.3)
E a consequente equao da fiabilidade dada por:
R(t ) = e
(A1.4)
Distribuio de Weibull mono-paramtrica (exponencial)

A distribuio de Weibull torna-se mono-paramtrica se, alm de ter um parmetro de
posio nulo, tambm o seu parmetro de forma () assume o valor unitrio (1), o que
significa possuir uma taxa de avarias constante (0=), e da podermos afirmar que se
trata de uma distribuio semelhante convencional distribuio exponencial. A funo
densidade de probabilidade de falha dada por:
f (t ) =
.e
= .e .t
(A1.5)
E a funo de fiabilidade vir definida por:
R (t ) = e
25
.t
=e
(A1.6)
A noo de ausncia de vida inicial corresponde situao em que no h um perodo inicial bem definido
antes do qual no se podem verificar falhas.

229
A1.2 Distribuio Normal

Um bem cujos dados referentes aos tempos de ocorrncia de avaria se ajustem a uma
distribuio normal significa que existe um valor mdio () para o tempo de avaria, em
relao ao qual a distribuio simtrica. Significa tambm que existem poucas avarias
no incio e no fim dos tempos de vida do bem.
O segundo parmetro da distribuio o desvio padro (). Quanto menor for, maiores
so os perodos inicial final de vida desse bem com poucas avarias. Na distribuio
Normal, o valor mdio (mdia) coincide com a mediana e com a moda. A distribuio
Normal caracterstica de bens que apresentam um valor mdio para a avaria bem
definido e onde as avarias se distribuem de forma simtrica em torno desse valor, como
o caso das baterias de automveis, escovas de motores elctricos, pneus, lmpadas,
etc). Este tipo de distribuio ajusta-se maior parte dos casos de componentes cujo
modo de falha principal est relacionado com a degradao caracterstica de alguns
componentes com a idade. Uma varivel aleatria seja o tempo de avaria t -
normalmente distribuda quando a sua funo densidade de probabilidade de falha
obedece seguinte expresso:
1 (t )

.
1
f (t ) =
.e 2
. 2.
(A1.7)
onde:
= Valor mdio dos tempos at avaria;

= Desvio padro dos tempos at avaria.
A funo densidade de probabilidade referente Distribuio Normal pode ser
representada graficamente, conforme Figura A1.2, onde se pode verificar a influncia da
mdia () - Figura A1.2(a) e a influncia do desvio-padro () Figura A1.2(b).
230

Figura A1.2 Funo densidade de probabilidade para a distribuio Normal

Normalmente, para comodidade do clculo da probabilidade acumulada de falha F(t),
transforma-se a varivel t adimensional e representa-se a distribuio Normal de forma
padronizada (standardizada) pela varivel z, que tem mdia igual a zero (=0) e desvio
padro igual a um (=1). Os valores de z podem ento ser analisados em tabelas da
distribuio Normal (ver Anexo II), determinando-se a probabilidade acumulada de
falha. O clculo da fiabilidade pode ser obtido por:
1 (t )

.
1
R(t ) =
.e 2
t . 2.
.dt
(A1.8)
De salientar que esta expresso no possui uma soluo directa, podendo ser calculada
atravs de tabelas obtidas por clculo numrico, ou por comodidade com recurso a
programas informticos especficos.
A1.3 Distribuio Lognormal

Uma varivel aleatria (t) Lognormalmente distribuda se o seu logaritmo natural ou
nepperiano (t=ln t) normalmente distribudo. Trata-se de uma distribuio assimtrica,
tendendo para uma simetria para baixos valores de desvio padro. As principais
aplicaes prticas correspondentes a esta distribuio so as avarias de rolamentos,
motores elctricos, geradores elctricos, isoladores elctricos, etc. De uma forma geral,
este tipo de distribuio ajusta-se maior parte dos casos de bens cujo modo de falha

231
principal est relacionado com a fadiga. A funo densidade de probabilidade de falha

para a distribuio Lognormal dada por:
f (t ' ) =
1
.e
'. 2.
1 (t ' ' )
.
2 '
(A1.9)
onde:
= Valor mdio do logaritmo natural dos tempos at avaria;

= Desvio padro do logaritmo natural dos tempos at avaria.
A funo densidade de probabilidade referente Distribuio Lognormal pode ser
representada graficamente, conforme Figura A1.3, onde se pode verificar a influncia da
mdia () - Figura A1.3(a) e a influncia do desvio-padro () Figura A1.3(b).
Figura A1.3 Funo densidade de probabilidade para a distribuio Lognormal

A equao da fiabilidade vir dada, por conseguinte, por:
1
.e
'.
2
.
t'
R (t ) =
1 (t ' ' )
.
2 '
.dt
(A1.10)
semelhana da distribuio normal, esta expresso tambm no possui uma soluo

directa, pelo que poder ser calculada atravs de tabelas obtidas por clculo numrico ou
utilizando programas informticos especficos.
232

A1.4 Distribuio Binomial

Tambm podem ser referidas algumas distribuies discretas, referindo-se a situaes
onde so apenas possveis duas sadas, como sobreviver ou falhar, sucesso ou insucesso,
como o caso da distribuio Binomial. A funo de densidade de probabilidade discreta
para a distribuio Binomial bi-paramtrica e pode ser representada pela seguinte
expresso:
n
f (r ) = . p r .q ( nr )
r
(A1.11)
ou
f (r ) =
n!
. p r .q ( n r )
r!.(n r )!
(A1.12)
onde:
n = nmero de ensaios
r = nmero de insucessos
p = probabilidade de insucesso
q = probabilidade de sucesso
Pode-se calcular a mdia da distribuio Binomial atravs da seguinte expresso:
= n. p
(A1.13)
E o seu desvio padro por:
= n. p.q
(A1.14)
Por analogia com a expresso A1.13 confirma-se a expresso usada para o clculo do
nmero mdio de avarias Nf(t) referente a uma amostra N0, representada por:
N f (t) = N 0 .F(t)
(A1.15)

233
A funo de distribuio Binomial acumulada, ou seja, a probabilidade de se obter r ou

menos insucessos em n tentativas dada por:
n r ( nr )
F (r ) = . p .q
r =0 r
r
(A1.16)
A1.5 - Distribuio de Poisson

A distribuio de Poisson tambm uma distribuio discreta. Tal como a distribuio
Binomial, refere-se a situaes com apenas uma de duas sadas possveis e onde o
acontecimento elementar tem uma probabilidade constante ou taxa de ocorrncia
constante.
A distribuio de Poisson pode tambm ser considerada uma extenso da distribuio
Binomial, quando a amostra pode ser considerada infinita (n=), sendo uma boa
aproximao da distribuio Binomial quando p (probabilidade de insucesso)
relativamente pequena e n (dimenso da amostra) relativamente grande (Carinhas,
2007). A funo densidade de probabilidade de falha para a distribuio de Poisson
mono-paramtrica () e pode ser determinada a partir da seguinte expresso:
f (r ) =
r
r!
.e( )
(A1.17)
onde:
= taxa mdia de ocorrncia do insucesso (=n.p)

A funo de probabilidade acumulada de falha para a funo (discreta) de Poisson dada
por:
F (r ) =
N f (t ) r .e
r!
N f (t )
(A1.18)
Uma das aplicaes da distribuio de Poisson poder ser na rea da gesto de stocks,
permitindo na presena da ocorrncia aleatria de avarias determinar a probabilidade dos
bens em stock darem para satisfazer as respectivas necessidades de substituio num
234

determinado intervalo de tempo. Assim, procede-se ao clculo da quantidade de reservas

que dever existir para se obter uma dada probabilidade de cobertura de stock ou nvel
de qualidade do servio prestado pelo armazm.
A1.6 - Teste de Laplace

O comportamento das avarias pode ser analisado atravs do Teste de Laplace,
verificando se a taxa de avarias constante, ou se, pelo contrrio, os tempos at
avaria (TTF) apresentam alguma tendncia.
Na realidade, os tempos at avaria registados ao longo do tempo podem estar a
aumentar, fruto da melhoria da manuteno ou diminuio da severidade das condies
de operao, ou pelo contrrio podem estar a diminuir face a processos de degradao,
deficiente qualidade da manuteno ou aumento da severidade das condies de
explorao, podendo em ambos os casos haver dependncia entre as avarias registadas.
O Teste de Laplace serve para verificar o pressuposto de que se trata de um Processo de
Poisson Homogneo (HPP), com tempos at avaria estatisticamente independentes e
identicamente distribudos. Aps a ordenao cronologica dos TTF, este processo passa
por seleccionar a estatstica de teste (ET) para verificar a veracidade da hiptese nula H0
(os TTF so independentes entre si ou a taxa de avarias constante), tendo como
hiptese alternativa H1 (os TTF no so independentes entre si ou a taxa de avarias no
constante). A estatstica de teste uma varivel aleatria aproximadamente normal e
pode assumir duas formas, conforme seja limitada pelo tempo ou pelo nmero de
avarias, sendo respectivamente calculada atravs das seguintes expresses (Leito,
1999):
Ti
i =1
0,5
ET = 12.N .
N .T0
(teste limitado por tempo)
N 1
Ti
i =1
ET = 12.( N 1).
0,5 (teste limitado por avaria)
( N 1).T0
(A1.19)
(A1.20)

235
Onde:
Ti = Tempo de avaria de ordem i
N = Nmero de avarias / ocorrncias acumulado
T0 = Tempo final (ou total)
Se a taxa de avarias for aproximadamente constante, designa-se por Processo de
Poisson Homogneo (HPP), caso contrrio, um Processo de Poisson No Homogneo

(NHPP). A regra de deciso especificada em relao a um determinado nvel de
significncia (). Este valor definido por ns e corresponde probabilidade de
erradamente se rejeitar a hiptese nula (H0) quando ela verdadeira, designando-se
este erro por Erro Tipo I, ou probabilidade de erradamente no rejeitar (aceitar) a
hiptese nula (H0) quando H1 (hiptese alternativa) verdadeira, designando-se este
erro por Erro Tipo II.
Normalmente =1%, 5% ou 10%. Este valor de referncia (tambm designado por vezes
de valor crtico) lido na Tabela de Distribuio Normal (ver Anexo II) e comparado
com o valor da estatstica de teste calculado atravs da expresso A1.19 ou A1.20. Na
prtica, se estamos a analisar determinados equipamentos e recolhemos os tempos at
avaria nesses equipamentos, utilizamos estes dados e o tempo total de funcionamento
do conjunto analisado para obter o valor da ET. Se por exemplo ET=0,2272 e se a regra
de deciso for =5% (bilateral), estamos perante a situao retratada pela Figura A1.4.
/2=2,5%
/2=2,5%
Teste inconclusivo
Rejeitar Ho
Rejeitar Ho
Figura A1.4 Exemplo grfico do Teste de Laplace
236

Como -1,96<ET<1,96 o teste formalmente inconclusivo. Podemos dizer que no h

evidncia estatstica que permita concluir pela no veracidade da hiptese nula. Neste
caso aceita-se H0 ou tenta-se recolher mais informao (dados).
De qualquer forma podemos recorrer ao Valor de Prova (VP) para verificar a
probabilidade de, nas condies da hiptese nula, se obter uma amostra com as
caractersticas daquela que foi de facto obtida. Se VP>, aceita-se H0, caso contrrio
rejeita-se a hiptese nula. Neste caso verificar-se-ia se:
VP=Prob (ET0,2272)
VP=2x0,41
VP=0,82
VP>
Logo, aceita-se H0 uma vez que existe 82% de probabilidade de se obter esta amostra no
universo de equipamentos (quanto maior o Valor de Prova, mais certeza h de que H0
verdade.
Se a hiptese nula for rejeitada e se confirmar que o valor encontrado para ET inferior
ao valor de referncia retirado da Tabela Normal correspondente ao nvel de significncia
assumido, a taxa de avarias decrescente, logo com uma fiabilidade crescente. Nestes
casos, o crescimento da fiabilidade pode ser analisado atravs do modelo de Duane26 ou
modelo de Crow27. Caso o valor de ET seja superior estaremos perante um processo de
deteriorao (taxa de avarias crescente).
26
O modelo de Duane aplicado principalmente no desenvolvimento de novos produtos, uma vez que nesta fase
se pode melhorar progressivamente a sua fiabilidade. Verifica-se que o valor acumulado dos tempos mdios
entre as falhas em funo da durao acumulada do ensaio e da quantidade acumulada de falhas satisfazia uma
distribuio tipo exponencial, sendo representada por uma linha praticamente recta com uma inclinao que
representa o crescimento da fiabilidade. Trata-se de um modelo determinstico.
27
O modelo de Crow (ou Crow-AMSAA), desenvolvido pelo Dr. Larry Crow, o mais frequente e apropriado
quando existem vrias etapas no desenvolvimento do produto, com as melhorias introduzidas em cada etapa.
Admitiu-se que o modelo de Duane podia ser representado estatisticamente atravs de uma distribuio tipo
Weibull biparamtrica. Assim, um modelo probabilstico elaborado a partir do mtodo AMSAA (Army
Material Systems Analysis Activity) e do mtodo NHPP (Non Homogeneous Poisson Process). Baseia-se na
linearidade da variao da intensidade de falhas instantneas dada por
(t ) = . .t ( 1)

237
REFERNCIAS (Anexo I)

LEITO, A., (1999), Notas da Disciplina de Mtodos Quantitativos de Gesto, Faculdade de
Engenharia da Universidade do Porto
PALLEROSI, C. (2006), Confiabilidade, a Quarta Dimenso da Qualidade Conceitos Bsicos e
Mtodos de Clculo (Volume 1), Reliasoft Brasil
238

Anexo II Tabela da Distribuio Normal
ANEXO II
TABELA DA DISTRIBUIO NORMAL

239
240

TABELA DA DISTRIBUIO NORMAL PADRO
(z) = P(Z<z)
1/2
0,0
0,01
0,02
0,03
0,04
0,05
0,06
0,07
0,08
0,09
0,0
0,5000
0,5040
0,5080
0,5120
0,5160
0,5199
0,5239
0,5279
0,5319
0,5359
0,1
0,5398
0,5438
0,5478
0,5517
0,5557
0,5596
0,5636
0,5675
0,5714
0,5753
0,2
0,5793
0,5832
0,5871
0,5910
0,5948
0,5987
0,6026
0,6064
0,6103
0,6141
0,3
0,6179
0,6217
0,6255
0,6293
0,6331
0,6368
0,6406
0,6443
0,6480
0,6517
0,4
0,6554
0,6591
0,6628
0,6664
0,6700
0,6736
0,6772
0,6808
0,6844
0,6879
0,5
0,6915
0,6950
0,6985
0,7019
0,7054
0,7088
0,7123
0,7157
0,7190
0,7224
0,6
0,7257
0,7291
0,7324
0,7357
0,7389
0,7422
0,7454
0,7486
0,7517
0,7549
0,7
0,7580
0,7611
0,7642
0,7673
0,7704
0,7734
0,7764
0,7794
0,7823
0,7852
0,8
0,7881
0,7910
0,7939
0,7967
0,7995
0,8023
0,8051
0,8078
0,8106
0,8133
0,9
0,8159
0,8186
0,8212
0,8238
0,8264
0,8289
0,8315
0,8340
0,8365
0,8389
1,0
0,8413
0,8438
0,8461
0,8485
0,8508
0,8531
0,8554
0,8577
0,8599
0,8621
1,1
0,8643
0,8665
0,8686
0,8708
0,8729
0,8749
0,8770
0,8790
0,8810
0,8830
1,2
0,8849
0,8869
0,8888
0,8907
0,8925
0,8944
0,8962
0,8980
0,8997
0,9015
1,3
0,9032
0,9049
0,9066
0,9082
0,9099
0,9115
0,9131
0,9147
0,9162
0,9177
1,4
0,9192
0,9207
0,9222
0,9236
0,9251
0,9265
0,9279
0,9292
0,9306
0,9319
1,5
0,9332
0,9345
0,9357
0,9370
0,9382
0,9394
0,9406
0,9418
0,9429
0,9441
1,6
0,9452
0,9463
0,9474
0,9484
0,9495
0,9505
0,9515
0,9525
0,9535
0,9545
1,7
0,9554
0,9564
0,9573
0,9582
0,9591
0,9599
0,9608
0,9616
0,9625
0,9633
1,8
0,9641
0,9649
0,9656
0,9664
0,9671
0,9678
0,9686
0,9693
0,9699
0,9706
1,9
0,9713
0,9719
0,9726
0,9732
0,9738
0,9744
0,9750
0,9756
0,9761
0,9767
2,0
0,9772
0,9778
0,9783
0,9788
0,9793
0,9798
0,9803
0,9808
0,9812
0,9817
2,1
0,9821
0,9826
0,9830
0,9834
0,9838
0,9842
0,9846
0,9850
0,9854
0,9857
2,2
0,9861
0,9864
0,9868
0,9871
0,9875
0,9878
0,9881
0,9884
0,9887
0,9890
2,3
0,9893
0,9896
0,9898
0,9901
0,9904
0,9906
0,9909
0,9911
0,9913
0,9916
2,4
0,9918
0,9920
0,9922
0,9925
0,9927
0,9929
0,9931
0,9932
0,9934
0,9936
2,5
0,9938
0,9940
0,9941
0,9943
0,9945
0,9946
0,9948
0,9949
0,9951
0,9952
2,6
0,9953
0,9955
0,9956
0,9957
0,9959
0,9960
0,9961
0,9962
0,9963
0,9964
2,7
0,9965
0,9966
0,9967
0,9968
0,9969
0,9970
0,9971
0,9972
0,9973
0,9974
2,8
0,9974
0,9975
0,9976
0,9977
0,9977
0,9978
0,9979
0,9979
0,9980
0,9981
2,9
0,9981
0,9982
0,9982
0,9983
0,9984
0,9984
0,9985
0,9985
0,9986
0,9986
3,0
0,9987
0,9987
0,9987
0,9988
0,9988
0,9989
0,9989
0,9989
0,9990
0,9990
3,1
0,9990
0,9991
0,9991
0,9991
0,9992
0,9992
0,9992
0,9992
0,9993
0,9993
3,2
0,9993
0,9993
0,9994
0,9994
0,9994
0,9994
0,9994
0,9995
0,9995
0,9995
3,3
0,9995
0,9995
0,9995
0,9996
0,9996
0,9996
0,9996
0,9996
0,9996
0,9997
3,4
0,9997
0,9997
0,9997
0,9997
0,9997
0,9997
0,9997
0,9997
0,9997
0,9998
3,5
0,9998
0,9998
0,9998
0,9998
0,9998
0,9998
0,9998
0,9998
0,9998
0,9998
3,6
0,9998
0,9998
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
3,7
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
3,8
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999
0,9999 0,9999
3,9
1,0000
1,0000
1,0000
1,0000
1,0000
1,0000
1,0000
1,0000
1,0000 1,0000

241
2/2
z
0,0
0,01
0,02
0,03
0,04
0,05
0,06
0,07
0,08
0,09
0,0
0,5000
0,4960
0,4920
0,4880
0,4840
0,4801
0,4761
0,4721
0,4681
0,4641
-0,1
0,4602
0,4562
0,4522
0,4483
0,4443
0,4404
0,4364
0,4325
0,4286
0,4247
-0,2
0,4207
0,4168
0,4129
0,4090
0,4052
0,4013
0,3974
0,3936
0,3897
0,3859
-0,3
0,3821
0,3783
0,3745
0,3707
0,3669
0,3632
0,3594
0,3557
0,3520
0,3483
-0,4
0,3446
0,3409
0,3372
0,3336
0,3300
0,3264
0,3228
0,3192
0,3156
0,3121
-0,5
0,3085
0,3050
0,3015
0,2981
0,2946
0,2912
0,2877
0,2843
0,2810
0,2776
-0,6
0,2743
0,2709
0,2676
0,2643
0,2611
0,2578
0,2546
0,2514
0,2483
0,2451
-0,7
0,2420
0,2389
0,2358
0,2327
0,2296
0,2266
0,2236
0,2206
0,2177
0,2148
-0,8
0,2119
0,2090
0,2061
0,2033
0,2005
0,1977
0,1949
0,1922
0,1894
0,1867
-0,9
0,1841
0,1814
0,1788
0,1762
0,1736
0,1711
0,1685
0,1660
0,1635
0,1611
-1,0
0,1587
0,1562
0,1539
0,1515
0,1492
0,1469
0,1446
0,1423
0,1401
0,1379
-1,1
0,1357
0,1335
0,1314
0,1292
0,1271
0,1251
0,1230
0,1210
0,1190
0,1170
-1,2
0,1151
0,1131
0,1112
0,1093
0,1075
0,1056
0,1038
0,1020
0,1003
0,0985
-1,3
0,0968
0,0951
0,0934
0,0918
0,0901
0,0885
0,0869
0,0853
0,0838
0,0823
-1,4
0,0808
0,0793
0,0778
0,0764
0,0749
0,0735
0,0721
0,0708
0,0694
0,0681
-1,5
0,0668
0,0655
0,0643
0,0630
0,0618
0,0606
0,0594
0,0582
0,0571
0,0559
-1,6
0,0548
0,0537
0,0526
0,0516
0,0505
0,0495
0,0485
0,0475
0,0465
0,0455
-1,7
0,0446
0,0436
0,0427
0,0418
0,0409
0,0401
0,0392
0,0384
0,0375
0,0367
-1,8
0,0359
0,0351
0,0344
0,0336
0,0329
0,0322
0,0314
0,0307
0,0301
0,0294
-1,9
0,0287
0,0281
0,0274
0,0268
0,0262
0,0256
0,0250
0,0244
0,0239
0,0233
-2,0
0,0228
0,0222
0,0217
0,0212
0,0207
0,0202
0,0197
0,0192
0,0188
0,0183
-2,1
0,0179
0,0174
0,0170
0,0166
0,0162
0,0158
0,0154
0,0150
0,0146
0,0143
-2,2
0,0139
0,0136
0,0132
0,0129
0,0125
0,0122
0,0119
0,0116
0,0113
0,0110
-2,3
0,0107
0,0104
0,0102
0,0099
0,0096
0,0094
0,0091
0,0089
0,0087
0,0084
-2,4
0,0082
0,0080
0,0078
0,0075
0,0073
0,0071
0,0069
0,0068
0,0066
0,0064
-2,5
0,0062
0,0060
0,0059
0,0057
0,0055
0,0054
0,0052
0,0051
0,0049
0,0048
-2,6
0,0047
0,0045
0,0044
0,0043
0,0041
0,0040
0,0039
0,0038
0,0037
0,0036
-2,7
0,0035
0,0034
0,0033
0,0032
0,0031
0,0030
0,0029
0,0028
0,0027
0,0026
-2,8
0,0026
0,0025
0,0024
0,0023
0,0023
0,0022
0,0021
0,0021
0,0020
0,0019
-2,9
0,0019
0,0018
0,0018
0,0017
0,0016
0,0016
0,0015
0,0015
0,0014
0,0014
-3,0
0,0013
0,0013
0,0013
0,0012
0,0012
0,0011
0,0011
0,0011
0,0010
0,0010
-3,1
0,0010
0,0009
0,0009
0,0009
0,0008
0,0008
0,0008
0,0008
0,0007
0,0007
-3,2
0,0007
0,0007
0,0006
0,0006
0,0006
0,0006
0,0006
0,0005
0,0005
0,0005
-3,3
0,0005
0,0005
0,0005
0,0004
0,0004
0,0004
0,0004
0,0004
0,0004
0,0003
-3,4
0,0003
0,0003
0,0003
0,0003
0,0003
0,0003
0,0003
0,0003
0,0003
0,0002
-3,5
0,0002
0,0002
0,0002
0,0002
0,0002
0,0002
0,0002
0,0002
0,0002
0,0002
-3,6
0,0002
0,0002
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
-3,7
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
-3,8
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
0,0001
-3,9
0,0000
0,0000
0,0000
0,0000
0,0000
0,0000
0,0000
0,0000
0,0000
0,0000
242

Anexo III Teoria das Probabilidades
ANEXO III
TEORIA DAS PROBABILIDADES
A3 Teoria das Probabilidades
A3.1 Introduo
A teoria da probabilidade a tcnica matemtica bsica utilizada nas anlises
quantitativas de rvore de Falhas. bsica uma vez que possibilita um tratamento
analtico dos acontecimentos que so a essncia de cada rvore. So de salientar alguns
tpicos como os resultados de testes aleatrios, frequncias relativas, a lgebra das
probabilidades, clculo combinatrio e alguma teoria de conjuntos.
Desta forma, so descritos no presente Anexo algumas matrias relacionadas com a
teoria da probabilidade e a lgebra booleana, tendo por base a publicao Fault Tree
Handbook da U.S. Nuclear Regulatory Commission (1981) (NUREG-0492).
A3.2 Testes aleatrios e seus resultados

Define-se teste aleatrio como qualquer observao, ou conjunto de observaes, onde
os resultados possveis so no-determinsticos (se determinstico, ento o resultado de
uma observao seria sempre o mesmo). Desta forma o resultado ser sempre um de
vrios resultados possveis (ex. lanamento de um dado ou uma moeda).

243
O conjunto de todos os resultados possveis matematicamente conhecido como o

espao de resultados {E1, E2, ..., En}. Por exemplo, se tomarmos como teste o arranque
de um motor diesel e o objectivo for determinar se o mesmo falha (F) ou tem sucesso
(S), o espao de resultados ser {S, F}.
A3.3 A frequncia relativa

Ao repetir um teste N vezes observa-se a ocorrncia do acontecimento E1 em N1 casos.
Pode-se dizer que a frequncia relativa de ocorrncia do acontecimento E1 dada por:
N1
N
(A3.1)
Quando N se torna um valor elevado (N), designa-se a este limite a probabilidade

associada ao acontecimento E1, ou P(E1). Assim:
P(E 1 ) =
lim N 1
N N
(A3.2)
Esta probabilidade possui algumas propriedades, como:

0<P(E1)<1
Se P(E1)=1, ento o acontecimento E1 certo
Se P(E1)=0, ento o acontecimento E1 impossvel
A3.4 Operaes com probabilidades

Na realizao de um teste ou ensaio consideremos a possibilidade de apenas dois
resultados, nomeadamente o acontecimento A e o acontecimento B. Suponhamos
tambm que A e B so mutuamente exclusivos (A e B no podem ocorrer em
simultneo). Desta forma, a expresso que traduz a ocorrncia de A ou B dada por:
P(A ou B) = P(A) + P(B)
244
(A3.3)

Esta relao denominada como a regra da adio das probabilidades, podendo ser
aplicada a acontecimentos mutuamente exclusivos. Para acontecimentos que no so
mutuamente exclusivos dever ser usada uma expresso mais geral para a determinao
da probabilidade P(A ou B), tal como mostra a expresso (A3.4).
P(A ou B) = P(A) + P(B) P(A e B)
(A3.4)
Se A e B so mutuamente exclusivos, P(A e B)=0. Note-se que a expresso (A3.3) dnos sempre um limite superior da verdadeira probabilidade quando os acontecimentos
no so mutuamente exclusivos. A expresso (A3.4) pode ser estendida a um nmero
n de acontecimentos, como indicado na expresso (A3.5).
n 1
P(E 1 ou E 2 ou ... ou E n ) = P(E i ) P(E i e E j ) +

i =1
n 2 n 1
P(E
i =1 j= i +1k = j+1
i =1 j=i +1
(A3.5)
e E j e E k )... + (1) .P(E 1 e E 2 e ... e E n )

n
Se ignorarmos a possibilidade dois ou mais acontecimentos Ei ocorrerem em simultneo,

a expresso anterior reduz-se denominada equao da aproximao aos eventos
raros, que possui um grau de erro abaixo de 10% relativamente designada verdadeira
probabilidade (conservativo), como apresentado em (A3.6):
P(E 1 ou E 2 ou ... ou E n ) = P(E i )
(A3.6)
i =1
Se forem considerados dois acontecimentos (A e B) mutuamente independentes, ou seja,

a ocorrncia (ou no ocorrncia) de um acontecimento no tem influncia na ocorrncia
(ou no ocorrncia) do outro acontecimento e vice-versa. Desta forma, pode-se escrever
a denominada regra da multiplicao de probabilidades.
P(A e B) = P(A).P(B)
(A3.7)
Quando estendida a mais acontecimentos, resulta na expresso (A3.8).
P(E 1 e E 2 e ... e E n ) = P(E i )
(A3.8)
i =1

245
Quando
frequentemente
aparecem
acontecimentos
que
no
so
mutuamente
independentes (so mutuamente interdependentes) normal introduzir-se a noo de

probabilidade condicional representada por P(B|A) (probabilidade de B dada a ocorrncia
de A). Assim, vir:
P(A e B) = P(A).P(B | A) = P(B).P(A | B)
(A3.9)
Para n acontecimentos teremos:
P(E 1 e E 2 e ... e E n ) = P(E 1 ).P(E 2 | E1 ).P(E 3 | E 1 e E 2 ).

... P(E n | E 1 e E 2 e ... e E n 1 )
(A3.10)
Outro aspecto a ser estudado tem a ver com o clculo da probabilidade de ocorrncia de
pelo menos um acontecimento entre um conjunto de acontecimentos mutuamente
independentes. Para esta anlise deve-se ter em ateno que:
P(E 1 ) + P( E1 ) = 1
(A3.11)
Desta forma, pode-se dizer que:
P(E 1 ou E 2 ou ... ou E n ) = 1 {[1 P(E1 )][. 1 P(E 2 )].....[1 P(E n )]}
(A3.12)
Na eventualidade de P(E1)=P(E2)=...=P(En)=p, a expresso anterior pode ser reduzida a:
P(E 1 ou E 2 ou ... ou E n ) = 1 (1 p) n
(A3.13)
A3.5 Anlise combinatria

A anlise combinatria permite avaliar as probabilidades de vrias combinaes de
acontecimentos, como por exemplo as avarias de sistemas redundantes. Nesta temtica
existem dois conceitos que necessitam de uma clarificao prvia sobre as suas
diferenas. Trata-se dos conceitos combinao e permutao.
246

Se for considerado um universo de quatro entidades {A,B,C,D} e aleatoriamente

considerarmos trs dessas entidades (A, B e D), estes elementos podem ser rearranjados
ou permutados em seis formas diferentes: ABC, ADB, BAD, BDA, DAB e DBA. Quando se
fala em permutaes temos que nos preocupar com a ordem, enquanto quando se fala
em combinaes esse aspecto no considerado. Tudo depende da natureza do
problema especifico em estudo.
Por exemplo quando se trata da falha de um sistema redundante, pode interessar saber
o nmero de avarias admissvel, sem que seja importante a ordem com que as mesmas
ocorrem (combinaes). Noutros casos, porm, a ordem com que as avarias ocorrem
pode ter influncia no resultado (permutaes).
Considere-se o problema de escolher aleatoriamente uma amostra de dimenso r de
uma populao de dimenso n. Este processo pode ser efectuado de duas formas: com
substituio e sem substituio. Na primeira situao, temos n hipteses para a
primeira escolha, n para a segunda e assim sucessivamente at se completar o nmero
r. Desta forma existem nr amostras possveis de dimenso r, podendo seleccionarse itens em duplicado. Na segunda situao (sem substituio) temos n hipteses para
a primeira escolha, n-1 para a segunda at n-r+1 para a escolha de ordem r. Assim,
o nmero total de amostras diferentes de dimenso r ser:
(n) .(n - 1). (n - 2)...(n - r + 1) = (n) r
(A3.14)
Este valor tambm pode ser definido atravs de nmeros factoriais, como apresentado
na expresso (A3.15).
(n) r =
n!
(n - r)!
(A3.15)
Esta expresso d-nos um nmero de permutaes de r em n. Se pretendermos

combinaes no se deve contar o nmero de vezes r! no qual o nmero r pode ser
rearranjado. Assim, o nmero de combinaes de r em n dado por:
n!
n
=
(n - r)!.r! r
(A3.16)

247
Para o exemplo anterior (populao A, B, C, D) temos quatro combinaes possveis:

ABC, ABD, ACD e BCD, resultantes do seguinte clculo:
n4!
4!
=
=4
(n - r)!.r! 1!.3!
E cada uma destas combinaes pode ter seis permutaes, resultado de:
n!
4!
= = 24
(n - r)! 1!
Vejamos um exemplo na rea da anlise da fiabilidade. Considere-se um sistema com n
componentes idnticos onde a avaria do mesmo ocorre se avariarem m dos n
componentes. Um sistema ter assim um nmero de combinaes de m em n. Se a
probabilidade de falha de qualquer componente for p, a probabilidade de uma qualquer
combinao conduzir falha do sistema ser:
p m .(1 p) n m
(A3.17)
A probabilidade da falha do sistema devido avaria de m componentes dada pela

expresso (A2.18).
n m
nm
.p .(1 p)
m
(A3.18)
Considerando que o sistema tambm falha se avariarem m+1, m+2, ... at n

componentes, o nmero de situaes de falha do sistema para a avaria de k
componentes (k=m+1, m+2, ..., n) corresponde ao nmero de combinaes de k em
n. Para obter a probabilidade de falha total do sistema adicionamos as probabilidades
de falha de m, m+1, ... componentes, resultando na expresso da distribuio
binomial.
n k
n k
.p .(1 p)
k =m k
248
(A3.19)

A3.6 Teoria dos conjuntos

A teoria dos conjuntos uma abordagem mais geral que permite organizar os
acontecimentos resultantes de um ensaio para determinar as probabilidades apropriadas.
Consideremos, por exemplo, o lanamento de um dado e os seguintes acontecimentos
particulares:
A = nmero 2
B = nmero par
C = valor menor que 4
D = qualquer nmero
E = um nmero divisvel por 7
Cada um destes acontecimentos pode ser considerado como um conjunto retirado do
universo {1,2,3,4,5,6}. Assim teremos:
A = {2}
B = {2,4,6}
C = {1,2,3}
D = {1,2,3,4,5,6} ( = conjunto universal)
E = (conjunto vazio)
Desta forma verificamos que o elemento 1 pertence apenas aos conjuntos C e D.
Tambm se verifica que os conjuntos A, B e C so subconjuntos de D e que A um
subconjunto de B e de C. Os diagramas de Venn so um meio grfico que permite
visualizar de uma forma simples a teoria de conjuntos. O conjunto universal
normalmente
apresentado
por
uma
forma
geomtrica
rectangular
quaisquer
subconjuntos (acontecimentos) so colocados no seu interior. A Figura A3.1 representa o

diagrama de Venn do exemplo anterior (lanamento de um dado).
C
A
Figura A3.1 Representao de conjuntos no diagrama de Venn

249
Nestes diagramas tambm possvel representar algumas operaes como a unio de

conjuntos, a interseco de conjuntos ou a complementaridade de conjuntos. A Figura
A3.2 mostra a operao referente unio de conjuntos.
Figura A3.2 Representao da unio de conjuntos
Neste caso ficaria:
B U C = {1,2,3,4,6}
A Figura A3.3 mostra a operao referente interseco de conjuntos.
Figura A3.3 Representao da interseco de conjuntos
Neste caso ficaria:
B I C = {2} = A
A operao de complementaridade encontra-se graficamente representada atravs da

Figura A3.4.
Figura A3.4 Representao da complementaridade de conjuntos
250

Para o exemplo referido, o conjunto complementar de
B U C = (B U C)' = (B U C) = {5}
Para demonstrar de uma forma simples a teoria de conjuntos toma-se como exemplo um
sistema composto por trs componentes (X,Y,Z). Como existem trs componentes, cada
um com dois modos de operao (sucesso e falha), teremos 23=8 combinaes que
representam todos os modos de falha ou sucesso do sistema. O conjunto universal
dado por:
= ABC, ABC, A BC,ABC, ABC, A BC, ABC, ABC
Se assumirmos que o sistema falha quando avariam dois ou mais componentes, os

acontecimentos correspondentes falha do sistema so:
S1 = A BC
S 2 = ABC
S 3 = ABC
S 4 = ABC
Ento podemos dizer que a falha do sistema dada pelo subconjunto:
S = S1 U S 2 U S 3 U S 4 = A BC, ABC, ABC, ABC
A Tabela A3.1 mostra como a lgebra de acontecimentos representada, de acordo com

o campo de aplicao.
Tabela A3.1 Simbologia
Operao
Probabilidade
Matemtica
Lgica
Engenharia
Unio de A com B
A ou B
AB
AB
A+B
Interseco de A com B
AeB
AB
AB
A.B ou AB
Complementar de A
No A
A ou
-A
A ou
A lgebra Booleana, aplicada principalmente em rvores de Falhas, extremamente

importante em situaes que envolvam uma dicotomia, como por exemplo, vlvula
aberta ou fechada, interruptores abertos ou fechados e ocorrncia de acontecimento ou

251
no ocorrncia. Um rvore de Falhas no mais que uma representao grfica das

relaes Booleanas entre acontecimentos tipo avaria que podem provocar a ocorrncia
do acontecimento de topo. A Tabela A3.2 mostra as regras da lgebra de Boole,
podendo-se recorrer aos diagramas de Venn para validar cada uma das regras
apresentadas.
Tabela A3.2 Regras da lgebra de Boole
Simbologia matemtica
Simbologia de Engenharia
Designao
XY=YX
X.Y=Y.X
Comutativa
XY=YX
X+Y=Y+X
Comutativa
X (Y Z) = (X Y) Z
X.(Y.Z)=(X.Y).Z
Associativa
X (Y Z) = (X Y) Z
X+(Y+Z)=(X+Y)+Z
Associativa
X (Y Z) = (X Y) (X Z)
X.(Y+Z)=X.Y+X.Z
Distributiva
X (Y Z) = (X Y) (X Z)
X+Y.Z=(X+Y).(X+Z)
Distributiva
XX=X
X.X=X
Idempotncia
XX=X
X+X=X
Idempotncia
X (X Y) = X
X.(X+Y)=X
Absoro
X (X Y) = X
X+X.Y=X
Absoro
X X =
X.X=0
Complementaridade
X X =
X+X=
Complementaridade
(X)=X
(X)=X
Complementaridade
(X Y) = X Y
(X.Y)=X+Y
Teorema de de Morgan
(X Y) = X Y
(X+Y)=X.Y
Teorema de de Morgan
X=
.X=
Operaes com e
X=X
+X=X
Operaes com e
X=X
.X=X
Operaes com e
X=
+X=
Operaes com e
Operaes com e
Operaes com e
X (X Y) = X Y
X+X.Y=X+Y
X (X Y) = X Y = (X Y)
X.(X+Y)=X.Y=(X+Y)
252

REFERNCIAS (Anexo III)
U.S. NUCLEAR REGULATORY COMMISSION (1981), Fault Tree Handbook, NUREG-0492,

Washington

253
254

Anexo IV Fiabilidade de Sistemas
ANEXO IV
FIABILIDADE DE SISTEMAS
A4 Fiabilidade de Sistemas
A4.1 - Sistemas Srie

Num sistema srie, os componentes esto relacionados de tal forma que a avaria de um
qualquer componente provoca a falha do sistema. Dito de outra forma, pode-se referir
que o sucesso do sistema depende do sucesso de todos os seus componentes. Um
sistema srie pode ser representado graficamente conforme ilustrado na Figura A4.1.
Figura A4.1 Sistema com arranjo lgico tipo Srie

Para um sistema exclusivamente com componentes num arranjo lgico tipo srie, a sua
fiabilidade dada por:
RS (t ) =
R (t ) =R (t ).R (t )...R (t )
i
(A4.1)
i =1
E a complementar probabilidade acumulada de falha:

255
FS (t ) = 1 RS (t ) = 1 Ri (t )
(A4.2)
i =1
Assumindo saber-se a distribuio referente a cada componente, e a expresso relativa

fiabilidade para
cada
distribuio descrita
em
pargrafos anteriores, possvel
determinar a fiabilidade do sistema atravs da expresso A4.1.
A4.2 - Sistemas Paralelo

Num sistema paralelo, s ocorre a falha do sistema quando todos os seus componentes
avariarem. Tambm dito de outra forma, pode-se afirmar que um sistema com
componentes exclusivamente em paralelo ter sucesso enquanto pelo menos um dos
seus componentes o tiver. Um sistema paralelo poder ser representado conforme Figura
A4.2.
Figura A4.2 Sistema com arranjo lgico tipo Paralelo Activo

Para um sistema paralelo activo, a fiabilidade do sistema dada por:
RS (t ) = 1
F (t ) = 1 [F (t ).F (t )...F (t )]
i
(A4.3)
i =1
Sendo a sua probabilidade acumulada de falha calculada atravs da seguinte expresso:
256

FS (t ) = Fi (t ) = [F1 (t ).F2 (t )...Fn (t ) ]
(A4.4)
i =1
Neste tipo de sistema, designado como paralelo activo, pressupe-se que todos os
componentes que se encontram no arranjo lgico se encontram a funcionar, embora
apenas um deles seja necessrio para o cumprimento da funo do sistema.
No entanto, existe um tipo particular de sistemas paralelos que se refere a situaes em
que dos n componentes que se encontram em paralelo necessitamos que pelo menos
k componentes (k<n) funcionem para que o sistema funcione. A Figura A4.3 traduz a
representao grfica deste tipo de sistemas, designados por sistemas paralelo restrito
ou sistemas paralelo k em n.
n-1
Figura A4.3 Sistema com arranjo lgico tipo Paralelo Restrito (k/n)
Para
arranjos
tipo
paralelo
restrito
(k/n),
com
componentes
estatisticamente
independentes, a fiabilidade do sistema pode ser determinada atravs do binmio de

Newton ou pela seguinte expresso:
n i +1
n!
i 1
RS (t ) = 1
.Ri (t ) . (1 Ri (t ))
i =1 (i 1)!.(n i + 1)!
i =1
(A4.5)
No caso dos componentes serem todos iguais (situao comum no uso de redundncias),
esta expresso simplifica-se, sendo mais prtico o clculo da fiabilidade do sistema
paralelo restrito atravs do Binmio de Newton, incluindo apenas os elementos que

257
satisfaam a restrio imposta (k/n) relativamente a todos os estados possveis. A

equao 2.38 refere-se a todas as possibilidades de estados para um exemplo de trs
componentes idnticos instalados em paralelo.
( R + F ) 3 = R1 .R 2 .R3 + ( R1 .R 2 .F3 + R1 .F2 .R3 + F1 .R 2 .R3 ) +

( R1 .F2 .F3 + F1 .R 2 .F3 + F1 .F2 .R3 ) + F1 .F2 .F3 = 1
(A4.6)
ou
( R + F ) 3 = R 3 + 3R 2 F + 3RF 2 + F 3 = 1
(A4.7)
Assim, para o exemplo acima referido, a fiabilidade de um sistema paralelo restrito onde
seja necessrio no mnimo que dois dos trs componentes se encontrem operacionais (2
em 3) pode ser determinada com recurso seguinte expresso:
Rs (t ) = R 3 + 3R 2 F = 1 3RF 2 + F 3
(A4.8)
A4.3 - Sistemas em paralelo standby

Devido a algumas consideraes tcnicas e econmicas, podem ser projectados e
construdos
sistemas
onde
as
redundncias
no
se
encontram
activas28.
Estes
componentes so designados redundncias passivas ou elementos de socorro e s

entraro em funcionamento quando o respectivo componente primrio avariar e haja a
informao de um dispositivo denominado detector-comutador (ou sensor-comutador).
Neste tipo de sistemas, relativamente aos detectores-comutadores, e apesar de os
mesmos normalmente possurem altas fiabilidades, tambm devero ser considerados os
modos de falha e suas probabilidades. Para estes dispositivos, as duas funes bsicas
(deteco e comutao) so tratadas como se tratasse de um sistema srie entre as
mesmas, uma vez que necessrio que o equipamento detecte a falha do componente
activo e que comute para o componente de socorro que se encontra em standby.
28
Significa componentes em funcionamento permanente, independentemente de ser(em) considerado(s)
componente(s) primrio(s) ou redundncia ao(s) primrio(s)
258

Este tipo de redundncia muito utilizado em sistemas de segurana e proteco, ou

sistemas tolerantes falha (FTS - fault tolerant systems). A Figura A4.4 representa um
sistema paralelo standby com n componentes.
Figura A4.4 Sistema paralelo tipo standby

O clculo da fiabilidade de um sistema paralelo tipo standby, no uma tarefa simples.
Por exemplo, para um sistema composto unicamente por dois componentes, e tendo em
considerao as diversas probabilidades de falha, a fiabilidade pode ser determinada com
recurso seguinte expresso (Carinhas, 2007):
RS (t ) = e 1 .t +
1 .e .1 .e .t
. 1 e ( +
1 + DCd + 2v 2c
DCa
2c
DCd
+ 2 v 2 c ).t
](A4.9)
onde:
1 = Taxa de avarias do componente 1

2v = Taxa de avarias do componente 2 em vazio
2c = Taxa de avarias do componente 2 em carga
DCa = Taxa de avarias do detector-comutador na actuao
DCd = Taxa de avarias do detector-comutador quando em deteco
Na eventualidade de existirem k componentes idnticos num sistema tipo standby,
onde o detector-comutador e o componente redundante (quando em vazio) possam
possuir taxas de avarias consideradas desprezveis, a fiabilidade deste sistema pode ser
calculada atravs da expresso A4.10, que no mais do que a equao referente
distribuio de probabilidade acumulada de Poisson.

259
RS (t ) = e
.t
( .t ) k
.
k!
k =0
K
(A4.10)
Considerando:
1=2 e DCaDCd2v0
Nas condies enunciadas anteriormente, e que permitiram utilizar a expresso A4.10 no
clculo da fiabilidade de dois componentes, pode-se generalizar a equao para um
sistema standby composto por n componentes idnticos, atravs da expresso da
probabilidade acumulada de Poisson, onde se podem aceitar um mximo de n-1
avarias.
(.t ) k .e .t
k!
k =0
n 1
RS (t ) =
(A4.11)
A4.4 - Sistemas mistos

Os sistemas mistos, tambm designados de compostos ou combinados, correspondem a
sistemas
constitudos
por
componentes
que
se
encontram
em
srie
outros
componentes associados em paralelo. A Figura A4.5 mostra um exemplo de sistema

misto.
Figura A4.5 Sistema com arranjo lgico misto

Neste caso, a determinao do valor da fiabilidade do sistema ter por base os
subsistemas tipo srie e tipo paralelo, calculados individualmente, tal como indicado em
A4.1 e A4.2.
260

Para o exemplo da figura anterior poder-se-ia proceder da seguinte forma:

a) Clculo da fiabilidade do subsistema srie com os componentes 1, 2 e 3;
b) Clculo da fiabilidade do subsistema srie com os componentes 4;
c) Clculo da fiabilidade do subsistema srie com os componentes 5;
d) Clculo da fiabilidade do subsistema srie com os componentes 6;
e) Clculo da fiabilidade do subsistema paralelo dos subsistemas calculados em b),
c) e d);
f)
Clculo da fiabilidade do sistema srie composto pelos subsistemas calculados em

a) e em e).
Existem situaes especficas de sistemas mistos, como as representadas nas Figuras

A4.6 e A4.7, respectivamente designados por sistemas srie de paralelos e sistemas
paralelo de sries.
Figura A4.6 Sistema srie de paralelos
Figura A4.7 Sistema paralelo de sries

261
Num sistema srie de paralelos, com uma srie de n paralelos, cada um com m
componentes idnticos em paralelo, a fiabilidade do sistema pode ser calculada atravs
da seguinte expresso:
RS (t ) = 1 [1 R (t )]
m n
(A4.12)
Num sistema paralelo de sries, com um paralelo de m sries, cada uma com n
componentes idnticos em srie, a fiabilidade do sistema pode ser calculada atravs da
seguinte expresso:
RS (t ) = 1 1 R (t ) n
(A4.13)
A4.5 - Sistemas complexos ou sistemas cruzados

Considera-se um sistema complexo quando no possvel repartir o sistema em sries,
paralelos, srie de paralelos ou paralelo de sries, paralelos restritos ou paralelos
standby. A Figura A4.8 mostra um exemplo de um sistema complexo, por vezes
tambm denominado sistema cruzado.
Figura A4.8 Sistema Complexo

Para o clculo da fiabilidade deste tipo de sistemas fica apenas a referncia a alguns
mtodos que permitem a sua determinao, tais como:
262
Mtodo da Decomposio;
Mtodo dos Acontecimentos Espaciais;
Mtodo dos Caminho Crticos.

REFERNCIAS (Anexo IV)

263
264

Anexo V rvore de Falhas da Barreira de Segurana
ANEXO V
RVORE DE FALHAS DA BARREIRA DE
SEGURANA

265
266


267
268


269
270


271
272


273
274


275
276


277
278

Anexo VI Conjuntos de Corte Mnimos (MCS)
ANEXO VI
CONJUNTOS DE CORTE MNIMOS (MCS)

279
280


281
282


283
284


285

Tese RAMS

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tese RAMS

Transféré par

Droits d'auteur :

Formats disponibles

UTILIZAO DA METODOLOGIA RAMS

NA ANLISE DE BARREIRAS DE SEGURANA

Jos Augusto da Silva Sobral

Orientador: Prof. Doutor Luis Antnio de Andrade Ferreira

A parte que ignoramos muito maior que tudo quanto sabemos

minha esposa Ana Luisa e aos meus filhos David

La mthodologie qui a t developp au cours de ce travail a t applique dans le cas

1.1 Enquadramento .................................................................................. 1

2.1 Introduo ......................................................................................... 7

2.3.4 Avarias devido a causa comum ......................................................26

probabilidade acumulada de falha ..........................................................35

3.1 Introduo ....................................................................................... 81

4.1 Introduo ..................................................................................... 123

5.1 Introduo...................................................................................... 153

6.1 Introduo...................................................................................... 169

6.3.1 Definio da barreira de segurana, funo e constituio ............... 185

7.1 Concluses da Tese ......................................................................... 209

Funo probabilidade acumulada de falha

Funo de risco ou funo taxa de avarias

Funo densidade de probabilidade de falha

Parmetro de forma da distribuio Gama

Parmetro de escala da distribuio Gama

Parmetro de posio ou vida inicial da distribuio de Weibull

Parmetro de forma da distribuio de Weibull

Parmetro de escala ou vida caracterstica da distribuio de Weibull

Mdia / Taxa de reparao

Varivel padronizada da distribuio Normal para =0 e =1

Mdia da distribuio Lognormal

Desvio padro da distribuio Lognormal

Nmero de ensaios na distribuio Binomial

Nmero de insucessos na distribuio Binomial

Probabilidade de insucesso na distribuio Binomial

Probabilidade de sucesso na distribuio Binomial

Nmero mdio de avarias

Dimenso inicial da amostra

Hiptese nula do Teste de Laplace

Hiptese alternativa do Teste de Laplace

Nvel de significncia (Teste de Laplace) / Factor de adormecimento

Funo densidade de probabilidade de reposio em servio

Parmetro de forma da funo densidade de probabilidade de reposio

Intervalo de tempo entre inspeces, testes ou ensaios

Tempo mdio de reparao

Taxa de avarias para avarias perigosas no detectadas

Taxa de avarias para avarias perigosas detectadas

Taxa de avarias do componente 2 em vazio

Taxa de avarias do componente 2 em carga

Taxa de avarias do detector-comutador na actuao

Taxa de avarias do detector-comutador quando em deteco

Taxa de solicitao do processo ou intensidade do acontecimento acidental

Association Franaise de Normalisation

As Low As Reasonably Practicable

Accelerated Life Test

Army Material Systems Analysis Activity

Accidental Risk Assessment Methodology for Industries in the Context

Accident Sequence Evaluation Program

Bayesian Belief Network

Binary Decision Diagram

Condition-Based Fault Tree Analysis

Common Cause Failures

Comit Europen des Assurances

Centro Nacional de Prevencin de Daos y Prdidas

Cognitive Reliability and Error Analysis

Dynamic Fault Tree

Dynamic Fault Tree Analysis