Análise de Fiabilidade de um Sistema de Alimentação de
Contents
1. DC150 Em 1 DU GERADUR 1 ad 11 Eme Lp A 4 Icc 38kA nad e AUTOMATISMO NS630NA DIX Ce eo A ELE E 227 VA va n 0 Le 3 EN A A OE A A i iv HEEL a y EU GESTAO CENTRAL quim BOOM 5 2 __ na Er 2 em en 4 6 C ENCRAVAMENTO POR CADEADO I NORMAL CZ RICO s NORMAL Ineaa 20F EMERGENCIA xi am i 41 7i x ah ah e ee ea D4 mtn 8 4x1600A si x Xe E 8 E x B E M e Xe tail X Xx X Xx x S STCMI MX 40F 3 4x63A FOTOELECTRICA STRE3SE Ls E i SD SDE Lo E 5 OF MX SD SDE a 2 8 8 aa ah les f D3 E 38 Si H si SE M BB 5 00 85 88 8 88 55 00 88 58 58 gu au 5 RB k aB Y ARSA axesa 5 5 0 038 0 034 8 8 5 a 2 X i x x LS a 4 a i t 3 3 amp 400 54 400 58 E X x g 8 8 th H Mn ie E HAT ii g e e Cp sms lt Bosa 1200 34 8 8 ki 67 6 6 4 ES 88 5 E a o z E T T la lo E la Ide 2 B v e amp s IE Is 9 8815 Es 88 x S I 8 E 8 8 8 a T T 5 E 5 En z amp iD2. Extracto da FMEA do Subsistema Quadro das 5 xiii Tabela 4 14 Extracto da FMEA dos Subsistemas Quadro das Salas de Servidores Abreviaturas e S mbolos ALARP IEC IEEE FMEA FMECA FTA MT NASA PT QGBT QTC RPN UPS As Low As Reasonably Practicable International Electrotechnical Commission Institute of Electrical and Electronics Engineers Failure Mode and Effects Analysis Failure Mode Effects and Criticality Analysis Fault Tree Analysis M dia Tens o National Aeronautics and Space Administration Posto de Transforma o Quadro Geral de Baixa Tens o Quadro de Transfer ncia de Cargas Risk Priority Number Uninterruptable Power Supply XV Cap tulo 1 Introdu o A presente disserta o tem por tema An lise de Fiabilidade de um Sistema de Alimenta o de Emerg ncia para um Centro de Inform tica Trata se de uma tem tica bastante actual em virtude da crescente e justificada preocupa o que todos os sectores e organismos t m com a fiabilidade e disponibilidade dos sistemas inform ticos Neste contexto a fiabilidade e disponibilidade assumem um papel extremamente importante A fiabilidade est associada continuidade de servi o isto a capacidade de um sistema ou equipamento cumprir a fun o requerida em condi es de utiliza o e durante um determinado per odo de tempo J a
3. Definir o mbito Arvore de Falhas Identificar o Definir o Definir a Construir a Avaliara Interpretar os objectivo da evento de topo resolu o rvore de rvore de Falhas resultados rvore de Falhas rvore de Falhas Falhas Definir as regras base da rvore de Falha Figura 3 2 Diagrama do processo de desenvolvimento da rvore de Falhas Abordagem Proposta 23 1 Identificar o objectivo da rvore de Falhas O objectivo da rvore de Falhas consiste em fazer a formula o do problema do sistema que vai ser estudado 2 Definir o evento de topo O evento de topo corresponde raiz da rvore de Falhas Este evento define o modo de avaria do sistema que vai ser analisado isto o acontecimento indesej vel Caso existam v rios modos de avaria do sistema em estudo conveniente definir um evento de topo para cada um 3 Definir o mbito da rvore de Falhas Nesta etapa deve indicar se quais as falhas e componentes que v o ser inclu dos na an lise e quais v o ser desprezados Devem tamb m ser definidas as condi es fronteira que incluem os estados iniciais dos componentes e o levantamento das entradas do sistema 4 Definir a resolu o da rvore de Falhas A resolu o da rvore de Falhas corresponde ao n vel de detalhe com que se v o desenvolver as causas das falhas do evento de topo O n vel de detalhe depende do conhecimento do a
4. Figura 4 3 Hierarquia do Subsistema Quadro de Transfer ncia de Cargas As tabelas 4 8 e 4 9 apresentam um extracto da FMEA do Quadro Transfer ncia de Cargas Na primeira tabela encontra se o modo de avaria do encravamento mec nico e na segunda os modos de avaria dos componentes constituintes do contactor de rede Como se pode observar o modo de avaria do encravamento mec nico apresenta um n vel de Severidade muito elevado Este valor reflecte o facto de uma avaria deste componente resultar na impossibilidade de alimentar as Salas de Servidores atrav s do Posto de Transforma o e do Grupo Gerador Contudo como j ocorreu noutros componentes um baixo n vel do ndice de Ocorr ncia permite situar este modo de avaria na regi o de risco toler vel cor amarela Tabela 15 Extracto da FMEA do Quadro de Transfer ncia de Cargas R m Modo s de Causa 5 Efeito s Coment rios N Componente Fun o Avaria Solu es Actua o das liga o Contactos do Falha dos incu P Encravamento simult nea dos gerador ficam n o ha energia as encravamento componen E 1 contactores de Ds ligados em proveniente da colados mec nicos rede e gerador paralelo rede e do gerador An lise FMEA 35 Tabela 16 Extracto da FMEA do Contactor de Rede do Quadro de Transfer ncia de Cargas Componente Contactos Fus vel Modo s de Pangan Avaria
5. N o abre na ocorr ncia de um defeito Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Potencial corte da alimenta o do transformador de isolamento e Quadro de Transfer ncia de Cargas Componente Encravamento mec nico Interruptor QTC Bobina Contactos Fusivel Rede Bobina Contactos Fusivel Gerador Fun o Impedir a liga o simult nea dos contactores de rede e emerg ncia Impedir o aparecimento intempestivo de tens o a partir do grupo gerador Produzir campo magn tico que atrai o n cleo do contactor Fecho abertura do circuito Dispositivo de corte e protec o contra sobreintensidades Produzir campo magn tico que atrai o n cleo do contactor Fecho abertura do circuito Dispositivo de corte e protec o contra Modo s de Avaria Contactos do encravamento colados Abre indevidamente Curto circuito Mecanicamente em aberto Mecanicamente fechado Falha em aberto Curto circuito Mecanicamente em aberto Mecanicamente fechado Falha em aberto Causa s Falha dos componentes mec nicos Causas humanas Contactor da Rede Aquecimento excessivo Corte de fios na bobina Sobrecargas Falha nos terminais devido a vibra o do circuito Aquecimento excessivo Desgaste prematuro Press o fraca Contactos colados
6. Figura 4 6 Hierarquia do Subsistema Quadro das UPS An lise FMEA 39 Tabela 20 Extracto da FMEA do Subsistema Quadro das UPS Coment rios e Solu es Modo s de Componente Fun o R Causa s Efeito s SO P N e Falha no sensor de O Quadro da Abre corrente Sala de e Falha interna do ServidoresA 4 indevidamente disjuntor n o recebe e a zi ti ae nd protec o e Causas humanas ensao Contactos colados e Falha no sensor de Servidores A 9 em situa o N o abre na Potencial falha de defeito corr ncia de de tens o no e Problema no Quadro da Sala um defeito mecanismo de de Servidores A abertura Os disjuntores de protecc o das salas de servidores n o podem ser considerados elementos cr ticos do sistema como se pode ver pelo exemplo da Tabela 4 13 Apesar de apresentarem n veis de Severidade muito elevados que classificam os modos de avaria como cr ticos a improbabilidade da sua Ocorr ncia coloca os na regi o de risco toler vel cor amarela da Matriz de Risco 4 3 8 Subsistemas Quadro das Salas de Servidores Os componentes dos Quadros das Salas de Servidores A Be C considerados na FMEA foram somente os disjuntores dos servidores Apesar de cada sala constituir um subsistema diferente na Tabela 4 14 os disjuntores das salas de servidores A e B s o apresentados como
7. O interruptor do Quadro O Quadro de Transferencia de Cargas E detectada aus ncia de detectada aus ncia de de Transfer ncia de n o recebe tens o do Posto de tens o na rede mas o tens o do gerador mas o Cargas foi aberto Transforma o nem do Grupo Gerador contactor do gerador n o liga contactor de rede n o liga Causas humanas 9 Posto de Transforma o Actua o dos disjuntores de O Quadro Geral de e o Grupo Gerador n o protec o do alternador e Baixa Tens o n o O contactor do o Gerador 0 fornecem tens o dos transformadores fornece tens o gerador n o liga n o fornece tens o rede n o liga O Posto de Transforma o Contactor do Gerador Grupo Gerador Contactor de Rede O Quadro Geral de Descarga ck rupo Gerador Sobrecarga Curto Circuito Baixa Tens o n o 9 Grupo Ge x 8 atmosf rica n o fornece tens o fornece tens o e Posto de Transforma o Grupo Gerador Figura 5 4 rvore de Falhas do Quadro de Transfer ncia de Cargas 3 detectada aus ncia de tens o na rede mas o contactor do gerador n o liga As causas directas da origem desta falha s o o contactor do gerador n o liga e o Quadro Geral de Baixa Tens o n o fornece tens o Estes eventos ser o desenvolvidos nos diagramas Contactor do Gerador e Posto de Transforma o respectivamente 4 detectada aus ncia de tens o do gerador mas o contactor de rede n o liga Quando o Grupo Gerador n o for
8. Produzir campo magn tico que atrai o n cleo do contactor Curto circuito Mecanicamente em aberto Fecho abertura do circuito Mecanicamente fechado Dispositivo de corte e protec o contra sobreintensidades Causa s e Aquecimento excessivo e Corte de fios na bobina e Sobrecargas e Falha nos terminais devido a vibra o do circuito e Aquecimento excessivo e Desgaste prematuro e Press o fraca e Contactos colados Sobreaquecimento Queima intempestiva do elemento fus vel Coment rios e Solu es R 5 Efeito s N o h comuta o entre a redee o grupo gerador Actua o do fusivel de protec o da rede O contacto nao consegue fechar O contacto nao consegue abrir A bobina do contactor de rede n o N Os modos de avaria dos componentes do contactor de rede inserem se na regi o de risco toler vel da Matriz de Risco cor amarela Apesar do n vel de Severidade ser significativo como j ocorreu anteriormente uma frequ ncia de ocorr ncia remota torna o impacto destas avarias no sistema global aceit vel O elevado valor do ndice de Severidade justificado pelo facto de uma avaria do contactor de rede ter implica es na comuta o entre a rede e o grupo gerador O mesmo acontece com o contactor do gerador cuja FMEA muito semelhante do contactor de rede As tabelas com os modos de avaria dos restantes componentes do Quadro de Transfer nci
9. o do risco A an lise FMEA n o considera avarias simult neas de componentes apenas os modos de avaria individuais de cada elemento Por isso verificou se que alguns dos componentes considerados cr ticos nesta an lise n o s o t o cr ticos para o sistema como seria esperado visto existirem componentes em redund ncia ou falhas que dependem de outros eventos Estas situa es s foram detectadas atrav s da an lise por rvore de Falhas Concluiu se que o uso conjunto destas ferramentas resultou numa mais valia porque uma ferramenta beneficia se com a utiliza o da outra Embora a realiza o deste trabalho tenha sido feita unicamente de forma qualitativa e com base no conhecimento do funcionamento do sistema por n o estar dispon vel o hist rico de avarias de alguns dos seus componentes julga se que mesmo assim se obtiveram resultados bastante aceit veis A partir destas an lises p de se assim determinar qual era o elemento mais cr tico do sistema o Ar Condicionado Atendendo import ncia que os subsistemas Grupo Gerador e UPS t m apesar de n o possu rem um n vel de criticalidade t o elevado como o elemento supracitado devem ser tamb m considerado elementos muito cr ticos do sistema Detectados os elementos mais cr ticos do sistema e com base no conhecimento que foi sendo adquirido ao longo da elabora o deste trabalho foi proposto um conjunto de medidas de redu o do risco que se considera adequado te
10. Colocar em paralelo os transformadores 1e2 Aparelho de corte e protec o que actua em situa o de defeito Aparelho de corte e protec o que actua em situa o de defeito Aparelho de corte e protec o que actua em situa o de defeito Quadro Geral de Baixa Tens o QGBT Ao fechar Avaria interna mec nica do disjuntor N o poss vel colocar os transformadores em paralelo Por defeito o interbarras est aberto mas em caso de avaria do transformador 1 o transformador 2 n o pode fornecer tens o ao sistema Ao abrir Avaria interna mec nica do disjuntor Duplica o das correntes e curto circuito e consequente aumento das perdas Caso ambos os transformadores estiverem operacionais N o opera o Abre indevidamente Avaria interna do disjuntor Causas humanas Abertura intempestiva do disjuntor Falha no sensor de corrente Falha interna do disjuntor Causas humanas O interbarras fechado mas n o h condu o da corrente A tens o do transformador 1 cortada Em caso de avaria do transformador 1 0 transformador 2 ndo fornece tens o ao sistema N o abre na ocorr ncia de um defeito Abre indevidamente Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Falha no sensor de corrente Falha interna do disjuntor Causas humanas Potencial corte d
11. Comentarios e Solu es N o abre na ocorr ncia de um defeito Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Potencial inoperacionalidade da estrutura de rede 76 e Quadro da Sala de Servidores C Componente Disjuntor Servidores C Fun o Aparelho de corte e protec o que actua em situa o de defeito Modo s de Avaria Abre indevidamente Causa s Falha no sensor de corrente Falha interna do disjuntor Causas humanas Efeito s Estrutura da rede inoperacional S O RPN Coment rios N o abre na ocorr ncia de um defeito Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Potencial inoperacionalidade da estrutura de rede
12. Fun o Modo s de Avaria Temperatura n o regulada Humidade excessiva Modo s de Avaria Causa s Falha de ventila o Falha do condensador Filtro obstru do Falha de alimenta o de gua para o humidificador Falha do sensor de caudal de ar Falha do sensor de temperatura e humidade Temperatura da gua fria elevada Baixa press o do compressor Alta press o do compressor N o alimentado Causa s Efeito s Potencial Coment rios e Solu es da estrutura das redes Efeito s 1 Sobreaquecimento inoperacionalidade 2 das salas de da estrutura das 2 servidores redes Potencial inoperacionalidade 3 Actua o de protec es Coment rios e Solu es UPS 1 Fornecer alimenta o s cargas no caso de falha da rede de alimenta o Em caso de falha Tempo de Sobrecarga de rede a UPS pode Bateria em descarga n o conseguir autonomia 3 reduzido Bateria no fim de garantir a vida autonomia do sistema UPS fora do circuito em caso Tempo de de falha de rede a Deslastragem de autonomia Sobrecarga UPS pode n o 3 cargas nulo conseguir garantir a autonomia do sistema Distorc o da Falha do Pade resultar em 2 ge danifica o de tens o de rectificador 3 sa da Falha do inversor componentes do sistema Bateria em descarga Bateria no fim
13. 5 igealgg25g528 g 5 E E 2 9 2 FEM us t X o X o amp lo aS s EN PT atlotlozlo tla ar njen Pla mia Ola E aa a n a Ola Ola Diaz o 0 26 08 BIG oe dilo Sjo 9 Ag Sjt 51 a amp 5 m Alt lt lt Kl lt lt 5 88 SIE gt E E gt EDIE2 gt lt S EIS 5 2518 Ss e s E OJE JE OE ES g ES S Ss 97127 gt 2 gt SIE gt gt gt gt gt 5915 x 2 gt gt ele gele ele els gt gt EE gt si fi 3 0 fis Su i x i x SS EE a n n lje 4 5 amp 5 2 2 5 4 Ez M 25 ES ES y JES y Z gt gt 2 2 2 4 Je Ble E SASS R S SIS EST zs 5 5 5 ASXSIEZXIASIASIAS 215 4x3 x 3 3 13 xia Sila zi Xt Tx 44 3 35 3 3133 33 39 3 0 d su ul Baldo jT Plt Fla ale x Zale noc gt gt gt x EXILE rara Se ra qria a E ajaa 1 2 3 4 5 6 7 9 10 11 1 13 14 17 18 19 20 PI ee es 24 es 26 27 28 29 30 31 30x3 5mm 57 ENCRAVAMENTO ELECTRICO 01 02 COMPACT cMi6H 4x1600A COM ST CMi ACP PLATINA DE COMANDO AUXILIAR po cs 57 ENCRAVAMENTO ELECTRICO E MECANICO 03 COMPACT CMIGH 4x1600A COM ST CMI UA AUTOMATISMO DE COMANDO CON INVERSOR DE REDE AUTOMATICO Electrodo SE E DESEA D4 COMPACT NS63ON 4x6308 COM STRE3SE de Terra DCiS0 CO
14. Actua o das protec es do grupo gerador Dispositivo de corte e protec o contra sobreintensidades e Quadro de Emerg ncia Componente Disjuntor UPS1 Disjuntor UPS2 Disjuntor UPS3 Disjuntor Ar condicionado Modo s de Fun o e 7 Avaria Aparelho de corte e Abre Fuga de corrente Falha em aberto indevidamente Mau contacto Baixa de isolamento Falha nas conex es Sobreaquecimento Queima intempestiva do elemento fus vel sobreintensidade Causa s Falha no sensor de corrente Falha interna do disjuntor Causas humanas Falha no grupo gerador Falha no grupo gerador Efeito s UPS 1 n o alimentada protec o que actua em situa o de defeito N o abre na ocorr ncia de um defeito Aparelho de corte e protec o Abre indevidamente Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Falha no sensor de corrente Falha interna do disjuntor Causas humanas Potencial falha de alimenta o da UPS 1 UPS 2 n o alimentada que actua em _ situa o N o abre na de ocorr ncia de defeito um defeito Aparelho de corte e protec o Abre indevidamente Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Falha no sensor de corrente Falha interna do disjuntor Causas
15. um subsistema nico de modo a realcar a diferenca dos indices de Severidade A frequ ncia de Ocorr ncia a mesma para todos os modos de avaria considerados Dado que o disjuntor um componente fi vel a Ocorr ncia est classificada como improv vel Tabela 21 Extracto da FMEA dos Subsistemas Quadro das Salas de Servidores Modo s de Cauca ics Efeito S Comentarios Avaria e Solu es Componente Fun o e Falha no sensor de corrente e Falha interna do disjuntor e Causas humanas e Contactos colados e Falha no sensor de Potencial corrente inoperacionalidade e Problema no da estrutura de mecanismo de rede abertura e Falha no sensor de n Estrutura da rede inoperacional Abre Aparelho de indevidamente corte e Disjuntor protec o Servidores que actua em situa o de N o abre na defeito ocorr ncia de um defeito corrente e Falha interna do disjuntor e Causas humanas e Contactos colados e Falha no sensor de Potencial corrente inoperacionalidade e Problema no da estrutura de mecanismo de rede abertura Estrutura da rede inoperacional Abre Aparelho de indevidamente corte e Disjuntor protec o Servidores B que actua em situa o de N o abre na defeito ocorr ncia de um defeito 40 An lise FMEA Como se pode observar os modos de avaria do disjuntor de protec o do conjunto de servidores A s o classificados com um ndice de Severidade catastr fico
16. 2 6 Constitui o do Grupo Gerador 8 Figura 2 7 Interior do Quadro de Transfer ncia de Cargas 9 Figura 2 8 Quadro de Transfer ncia de Cargas e Transformador de Isolamento 10 Figura 2 9 Quadro de 8 10 Figura 2 10 Exemplo de uma 5 ERSS 11 Figura 2 11 Quadro das 5 12 Figura 2 12 Exemplo de Quadro da Sala de 13 Figura 3 1 Fluxograma da an lise da FME C A 21 Figura 3 2 Diagrama do processo de desenvolvimento da rvore de Falhas 22 Figura 4 1 Hierarquia do Subsistema Posto de Transforma o 31 Figura 4 2 Hierarquia do Subsistema Grupo 33 Figura 4 3 Hierarquia do Subsistema Quadro de Transfer ncia de Cargas 34 Figura 4 4 Hierarquia do Subsistema Quadro de Emerg ncia 35 Figura 4 5 Hierarquia do Subsistema 5 0 37 Figura 4 6 Hierarquia do Subsistema Quadro das 5 38 Figura 5 1 rvore de Falhas das Salas de S
17. Falha no sensor de corrente O Quadro da Sala de Aparelho Abre Falha interna do Servidores C n o 4 1 Disjuntor decortee indevidamente T disjuntor recebe tens o Quadro da protec o Causas humanas Sala de que actua Servidores em Contactos colados 5 N o abre Falha no sensor de Potencial falha de situa o ue 5 de defeito ocorr ncia de corrente tens o no Quadro da 4 1 um defeito Problema no Sala de Servidores C mecanismo de abertura e Quadro da Sala de Servidores A Componente Disjuntor Servidores A Fun o Aparelho de corte e protec o que actua em situa o de defeito Modo s de Avaria Abre indevidamente Causa s Falha no sensor de corrente Falha interna do disjuntor Causas humanas Efeito s Estrutura da rede inoperacional S O RPN Coment rios e Solu es N o abre na ocorr ncia de um defeito Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura e Quadro da Sala de Servidores B Componente Disjuntor Servidores B Func o Aparelho de corte e protec o que actua em situa o de defeito Modo s de Avaria Abre indevidamente Causa s Falha no sensor de corrente Falha interna do disjuntor Causas humanas Potencial inoperacionalidade da estrutura de rede Efeito s Estrutura da rede inoperacional 5 O RPN
18. Manual 6 Desenvolvida em conjunto pela Chrysler Ford e General Motors a SAE J1739 introduz o t pico da FMEA e d uma orienta o geral de como aplic la Nesta norma a FMEA descrita como um grupo de actividades sistem ticas destinadas a reconhecer e avaliar o potencial falha de um produto ou processo e seus efeitos identificar as ac es que possam eliminar ou reduzir a hip tese da potencial falha ocorrer e documenta o do processo e 60812 Analysis techniques for system reliability Procedure for failure mode and effects analysis FMEA 6 O IEC 60812 publicado pelo IEC International Electro technical Commission descreve n o s a FMEA An lise dos Modos de Avaria e Efeitos mas tamb m a FMECA An lise dos Modos de Avaria Efeitos e Criticalidade e d orienta es de como os objectivos da an lise podem ser alcan ados utilizando as como ferramentas de an lise de risco Inclui ainda os passos necess rios ao desenvolvimento da an lise a identifica o dos termos apropriados pressupostos e medidas de criticalidade um exemplo de formul rio de documenta o da FMEA FMECA e uma matriz de criticalidade para avaliar os efeitos das avarias No desenvolvimento da FMEA do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica esta norma foi usada como refer ncia 3 1 3 Metodologia da FMEA A FMEA deve ser iniciada com a hierarquiza o do sistema ou seja a sua divis o em sistema
19. N mero de Prioridade do Risco Apesar de este n mero corresponder ao limite superior da gama de valores de risco toler vel pode afirmar se partida que o Transformador 1 n o um componente cr tico do sistema Isto porque apesar do ndice de Severidade S de qualquer uma das avarias ser significativo o ndice de Ocorr ncia O indica que sua a frequ ncia remota isto espera se que ocorram uma vez em cada cinco anos Os modos de avaria do Transformador 2 que podem ser consultados no anexo E s o muito semelhantes aos do Transformador 1 A nica diferen a reside no RPN que ligeiramente inferior para o Transformador 2 O motivo desta diferen a que uma vez que o Transformador 2 n o a alimenta o principal das Salas de Servidores apesar do ndice de Ocorr ncia das avarias ser o mesmo o ndice de Severidade ligeiramente inferior Tabela 12 Extracto da FMEA do Transformador Modo s de Coment rios Componente Fun o part Causa s Efeito s e Solu es Potencial Sobretensao Descarga perda da tens o atmosf rica tens o do superior a Un Sobreintensidades transformador 1 Potencial Subtens o e Problema de perda da Actua o de protec es Transformador Fornecer tens o isolamento tens o do 1 tens o inferior Un e Curto circuito transformador 1 e Problema de isolamento Curto circuito transformador Interrup o da n o fornece alimenta o da t
20. N 1 ou seja para cada equipamento h outro de reserva e pronto para uso imediato No decorrer do estudo do Sistema de Alimenta o de Emerg ncia do Centro Inform tico foi detectado o problema do acesso das salas de servidores resultante de um eventual corte de energia Como esse acesso feito atrav s da leitura de um cart o de banda magn tica este implicaria n o s que o cart o n o seria lido mas tamb m que a base de dados com a lista de utilizadores com permiss es de acesso n o seria consultada Nesta situa o a nica maneira de aceder ao interior das salas de servidores seria por abertura manual da porta atrav s de uma chave mestra Portanto o referido acesso ficaria condicionado n o podendo ser feito com a rapidez expect vel Apesar de n o pertencer ao mbito da an lise FMEA e da an lise por rvore de Falhas deixa se a recomenda o final de repensar este acesso das salas de servidores em especial o modo de alimenta o do sistema de cart es 54 Solu es Propostas Cap tulo 7 Conclus es No culminar desta disserta o retiram se conclus es que se julgam importantes Em primeiro lugar que a escolha das duas metodologias utilizadas para o desenvolvimento deste trabalho foi adequada Na realidade s com a conjuga o da an lise FMEA e da an lise por rvore de Falhas que se p de examinar com maior precis o quais s o os modos de avaria que necessitam de ac es priorit rias de mitiga
21. Sobreaquecimento Queima intempestiva do elemento fus vel sobreintensidade Contactor do Gerado Aquecimento excessivo Corte de fios na bobina Sobrecargas Falha nos terminais devido a vibra o do circuito Aquecimento excessivo Desgaste prematuro Press o fraca Contactos colados Sobreaquecimento Queima intempestiva do Efeito s Aredeeo gerador ficam ligados em paralelo N o h protec o contra eventuais tens es intempestivas do grupo gerador N o h comuta o rede grupo gerador O contacto n o consegue fechar O contacto n o consegue abrir A bobina do contactor de rede n o ligada r N o h comuta o rede grupo gerador O contacto n o consegue fechar O contacto n o consegue abrir A bobina do contactor de rede n o 71 S O RPN Comentarios e Solu es Actua o das protec es n o h energia da rede nem do gerador as salas de servidores s o alimentados pelas UPS Actua o do fus vel de protec o da rede Actua o do fus vel de protec o do gerador elemento fus vel sobreintensidade sobreintensidades ligada 72 Resist ncia Fusivel Resist ncia Tornar mais rapido o arranque Em aberto Resist ncia de aquecimento Mau contacto Falta de alimenta o Curto circuito Falha nas conex es Falha no grupo gerador
22. al m da severidade e da ocorr ncia a analise de risco pode tamb m recorrer a um terceiro crit rio o indice de detec o D que corresponde probabilidade do modo de avaria ser ou n o detectado A determina o quantitativa do risco pode ser obtida atrav s do N mero de Prioridade do Risco RPN Este n mero corresponde ao produto dos ndices descritos anteriormente e calculado para cada um dos potenciais modos de avaria RPN SxO Os valores de RPN permitem definir a prioridade dos modos de avaria e hierarquiza los por ordem de necessidade de tomada de ac es correctivas Deste modo valores de RPN muito elevados correspondem a um n vel de risco intoler vel e implicam de uma maneira geral a elabora o imperativa de um plano de resposta ao risco com v rias propostas de ac es correctivas que levem sua diminui o Pelo contr rio a valores de RPN muito pequenos correspondem habitualmente modos de avarias cujos efeitos s o negligenci veis ou que n o p em em risco o funcionamento normal do sistema Uma forma alternativa de representar o risco atrav s de uma matriz de risco como a da tabela 3 3 Esta matriz d o risco associado a um potencial modo de avaria como fun o do n vel de severidade e da frequ ncia de ocorr ncia da avaria Tabela 3 Exemplo de uma matriz de risco 8 N vel de Severidade Frequ ncia de ocorr ncia do efeito da avaria 1 2 3 4 Insignificante Marginal Cr tica C
23. como finalidade comutar entre a alimentac o normal da rede e a alimentac o via gerador de emerg ncia Ao ser detectada um falha na alimentac o da rede o aut mato do Grupo Gerador retira a do circuito e substitui o gerador de emerg ncia como fonte de alimentac o No interior do Quadro de Transfer ncia de Cargas existem dois contactores o contactor de rede e o contactor do gerador O contactor de rede respons vel pela comutac o para a alimentac o normal enquanto o contactor do gerador acciona a alimentac o de emerg ncia por meio do Grupo Gerador Sistema de Alimenta o de Emerg ncia 9 Quando dada a ordem de arranque do grupo uma resist ncia de aquecimento do Quadro de Transfer ncia de Cargas ajusta a temperatura do motor para que o Grupo Gerador entre em funcionamento mais rapidamente poss vel Um encravamento mec nico entre os dois contactores impede que estes sejam fechados em simult neo e que assim as duas redes fiquem em paralelo no momento da permuta A aus ncia de encravamento pode resultar num curto circuito entre a rede e o gerador e consequentemente na actua o das respectivas protec es No interior do quadro existe ainda um interruptor geral Este aparelho de corte actua como medida de protec o na eventualidade de surgir uma tens o intempestiva oriunda do gerador A Figura 2 7 apresenta o interior do Quadro de Transfer ncia de Cargas onde se podem ver os dois contactores e o interruptor refe
24. das tr s UPS e do ar condicionado O esquema el ctrico do Quadro de Emerg ncia apresentado no anexo C 2 2 5 UPS A fun o das UPS Uninterruptable Power Supply assegurar a disponibilidade dos tr s conjuntos de servidores durante o per odo de arranque do gerador ou no pior cen rio em caso de aus ncia de tens o proveniente da rede e do gerador A Figura 2 10 mostra um exemplo de uma UPS utilizada no Centro de inform tica Uma UPS constitu da por um rectificador um inversor e um sistema de armazenamento de energia a baterias Durante o funcionamento normal da UPS a tens o alternada convertida em tens o cont nua atrav s do rectificador e usada para carregar um sistema de baterias Ap s este processo o inversor converte a tens o cont nua em tens o alternada regulada o n vel de carregamento da bateria que vai definir o tempo de autonomia da UPS Numa situa o de emerg ncia quando n o existe tens o da rede as UPS fornecem toda a energia para as cargas priorit rias Uma vez que as UPS est o numa configura o on line o tempo de transfer ncia das cargas nulo As UPS est o dispostas numa configura o com redund ncia 2 1 Para que a alimenta o das cargas seja garantida pelo menos duas UPS t m obrigatoriamente de estar operacionais Caso uma destas avarie um interruptor de by pass localizado no Quadro das UPS coloca a terceira UPS normalmente em standby no circuito e retira a UPS com defe
25. de vida Cargas nao podem Sem tens o curto circuito ser alimentadas 3 N o tem tens o de entrada Rectificador em aberto pela UPS 74 Em caso de falha Tempo de Sobrecarga de rede a UPS pode Bateria em descarga n o conseguir autonomia 32 Bateria no fim de garantir a reduzido vida autonomia do sistema UPS fora do circuito em caso Tempo de de falha de rede a pa Deslastragem de Fornecer autonomia Sobrecarga UPS pode n o 3 2 carods alimentac o nulo conseguir garantir 9 s cargas no a autonomia do UPS 2 caso de sistema fata Distor o da Falha do 2 alimenta o tensao de rectiricagor com a do 23 6 sa da Falha do inversor pi sistema Bateria em descarga Bateria no fim de vida ae Cargas nao podem Curto circuito Sem tens o M en ser alimentadas 33 N o tem tens o de ela UPS entrada Rectificador em aberto Em caso de falha Tempo de Sobrecarga de rede a UPS pode Bateria em descarga n o conseguir autonomia 32 Bateria no fim de garantir a reduzido vida autonomia do sistema UPS fora do circuito em caso Tempo de de falha de rede a Deslastracem d Fornecer autonomia Sobrecarga UPS pode n o 3 2 ior c alimenta o nulo conseguir garantir 9 s cargas no a autonomia do UPS 3 caso de sistema falha da Distor o da Falha do Pode resultar S rede de 3 Bu danifica o de 5 tens o de
26. de vida nterrup o da alimenta o da M dia Tens o MT Problema de isolamento aa Descarga Curto Circuito 8 Problema de Curto Circuito isolamento Sobrecarga Curto Circuito atmosf rica Figura 5 9 rvore de Falhas do Painel de Controlo An lise por rvore de Falhas 49 O diagrama da Figura 5 10 apresenta as combina es de falhas que resultam no evento o Quadro Geral de Baixa Tens o n o fornece tens o As causas directas na sua origem correspondem actua o dos disjuntores de protec o evento que est desenvolvido no diagrama da Figura 5 11 e a aus ncia de tens o proveniente dos transformadores A falha com a descri o os transformadores n o fornecem tens o pode derivar dos eventos nenhum dos transformadores fornece tens o ou o transformador 1 n o fornece tens o e o interbarras n o conduz corrente de notar que ambos derivam da combina o de eventos para que o primeiro ocorra obrigat rio que os dois transformadores n o forne am tens o e o segundo exige que n o s que o transformador 1 n o forne a tens o mas tamb m que haja uma falha do disjuntor Interbarras As potenciais causas do evento o transformador 1 n o fornece tens o s o mostradas no diagrama da Figura 5 12 O Quadro Geral de Baixa Tens o n o fornece tens o Quadro de Emerg ncia e QTC Actua o d
27. ocorre uma avaria no transformador 1 importante referir que n o existe selectividade entre os disjuntores de protec o dos transformadores e o Interbarras Figura 2 3 Quadro Geral de Baixa Tens o Sistema de Alimenta o de Emerg ncia 7 Na Figura 2 4 pode se ver o disjuntor de protec o do transformador 1 e o disjuntor interbarras respectivamente a Figura 2 4 Disjuntor de protec o do transformador a e Interbarras b 2 2 2 Grupo Gerador O Grupo Gerador apresentado na Figura 2 5 corresponde ao conjunto do motor de combust o a Diesel e do alternador que produz a energia el ctrica A protec o do alternador contra sobrecargas e curto circuitos assegurada por um disjuntor de sa da O motor respons vel pelo arranque do Grupo Gerador No interior do gerador existe um sistema de refrigera o que tem como fun o manter a temperatura do motor monitorizada a partir de um term stato dentro dos limites predefinidos O Grupo Gerador disp e de um Painel de Controlo corresponde ao sistema de supervis o e controlo do Quadro de Comando do Grupo A s o monitorizados v rios par metros fundamentais do gerador nomeadamente a tens o no alternador a frequ ncia de sa da do grupo a press o do leo do motor e a tens o da bateria entre outras Se for detectada alguma condi o cr tica durante o funcionamento do grupo por exemplo temperatura elevada do motor ou baixa press o do leo do
28. rectificador 33 alimenta o componentes do sa da Falha do inversor sistema Bateria em descarga Bateria no fim de vida z dia Cargas n o podem Curto circuito Sem tens o M a ser alimentadas 33 N o tem tens o de ela UPS entrada P Rectificador em aberto e Quadro das UPS Modo s de Comentarios e Componente Fun o ELE Causa s Efeito s S O RPN Galias Falha no sensor de corrente O Quadro da Sala de Falha interna do Servidores A n o disjuntor recebe tens o Causas humanas Aparelho Abre Disjuntor de corte e indevidamente Quadro da protecc o Sala de que actua Servidores em Contactos colados A situac o N o abre na Falha no sensor de Potencial falha de de defeito ocorr ncia de corrente tens o no Quadro da um defeito Problema no Sala de Servidores A mecanismo de abertura 75 Falha no sensor de corrente O Quadro da Sala de Aparelho Abre a be Falha interna do Servidores B n o 5 1 Disjuntor decortee indevidamente i E disjuntor recebe tens o Quadro da protec o Causas humanas Sala de que actua 4 Contactos colados Servidores em 2 i E N o abre na Falha no sensor de Potencial falha de B situa o de defeito ocorr ncia de corrente tens o no Quadro da 5 1 um defeito Problema no Sala de Servidores B mecanismo de abertura
29. sempre se procede a esta avalia o uma vez que podem n o estar dispon veis informa es relativas as probabilidades de ocorr ncia dos eventos 8 Interpretar os resultados A an lise de uma rvore de Falhas termina com a interpreta o dos resultados obtidos pela avalia o qualitativa e ou quantitativa e a decis o das ac es a tomar para melhorar o desempenho do sistema e eliminar o s evento s indesej vel eis 3 2 3 Simbologia utilizada nas rvores de Falhas Nesta sec o ser feita uma breve descri o dos s mbolos mais utilizados na constru o da rvore de Falhas 3 2 3 1 Eventos b sicos Os eventos b sicos de uma rvore de Falhas correspondem aos acontecimentos que n o foram mais desenvolvidos por uma raz o ou por outra Existem quatro tipos de eventos b sicos Tabela 5 Eventos b sicos de uma rvore de Falhas 11 S mbolo Nome Descri o EVENTO B SICO O n vel mais baixo do evento para o qual a informa o da probabilidade de ocorr ncia ou fiabilidade est dispon vel EVENTO CONDICIONAL Evento que uma condi o de ocorr ncia de um outro evento quando ambos t m de ocorrer para a sa da ocorrer EVENTO N O 52 DESENVOLVIDO Um evento prim rio que representa uma parte do sistema ainda n o desenvolvida EVENTO Evento que ou j EXTERNO ocorreu ou vai com certeza ocorrer Abordagem Proposta 25 3 2 3 2 Portas l gicas Os doi
30. tabelas bastante extenso para cada subsistema ser o apresentados somente os modos de avaria com maior ndice de severidade ou com um maior n mero de prioridade do risco RPN As tabelas da FMEA do Sistema de Alimentac o do Centro Inform tico podem ser consultadas na ntegra no anexo E 4 3 1 Subsistema Posto de Transformac o O subsistema do Posto de Transforma o decomp e se em tr s n veis hier rquicos como se pode observar na figura 4 1 No topo encontra se o Posto de Transforma o no n vel interm dio est o os dois transformadores e o Quadro Geral de Baixa Tens o No interior deste quadro encontram se os componentes que foram considerados relevantes neste subsistema os disjuntores de protec o dos transformadores o disjuntor interbarras que permite a comuta o dos transformadores e o disjuntor associado ao Quadro de Transfer ncia de Cargas An lise FMEA 31 Posto de Transforma o Transformador Transformador 1 2 Disjuntor Disjuntor Disjuntor do Interbarras T1 T2 QTC Figura 4 1 Hierarquia do Subsistema Posto de Transforma o Quadro Geral de Baixa Tens o QGBT A Tabela 4 5 exp e o extracto da FMEA do Posto de Transforma o relativo aos modos de avaria do Transformador 1 Como se pode observar os tr s modos de avaria apresentados para este componente Sobretens o Subtens o e Sem Tens o encontram se na regi o de risco toler vel cor amarela e t m o mesmo
31. Cap tulo 6 abordam se as solu es propostas para diminuir o risco dos pontos mais cr ticos do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica No s timo e ltimo cap tulo s o apresentadas as conclus es a que se chegou ap s a realiza o deste trabalho Cap tulo 2 Sistema de Alimenta o de Emerg ncia Num Sistema de Alimenta o em especial sistemas com cargas cr ticas que exigem uma elevada disponibilidade a continuidade do fornecimento de energia el ctrica deve ser sempre assegurada Os subsistemas e ou componentes que o constituem s o por isso divididos em dois grupos cargas priorit rias e cargas n o priorit rias Esta divis o determinada de acordo com a import ncia inerente e pelo impacto cr tico que a sua indisponibilidade provoca no sistema global Deste modo o fornecimento de energia dos grupos assegurado por barramentos diferentes e as cargas priorit rias quando h uma falha de tens o da rede s o alimentadas a partir de um Sistema de Alimenta o de Emerg ncia A defini o de Sistema de Alimenta o de Emerg ncia pode ser dada da seguinte forma Uma fonte de energia el ctrica de reserva e independente que ap s a falha ou interrup o da fonte normal fornece automaticamente energia el ctrica fi vel dentro de um de tempo espec fico para dispositivos e equipamentos cr ticos cujas falhas de opera o satisfat ria poderiam comprometer a sa de e seguran a de pesso
32. Circuito Figura 5 11 rvore de Falhas do Quadro Geral de Baixa Tens o O Transformador 1 n o fornece tens o Transformador 1 tem subtens o Transformador 1 n o tem tens o nterrup o da alimenta o da M dia Tens o MT Problema de nr Problema de Curto Circuito Curto Circuito Figura 5 12 rvore de Falhas do Transformador 1 Cap tulo 6 Solu es Propostas Neste cap tulo ser apresentado o plano de ac es recomendado para minorar os riscos dos componentes considerados mais cr ticos do sistema A partir da FMEA e da an lise por rvore de Falhas concluiu se que o Ar Condicionado um ponto muito cr tico do Centro de Inform tica mas atendo import ncia do Grupo Gerador e das UPS estes podem tamb m ser considerados elementos bastante cr ticos A FMEA das UPS permitiu concluir que seria aconselh vel tomar algumas medidas de redu o do risco inerente a este subsistema No entanto a partir da an lise da rvore de Falhas observou se que uma falha de tens o do subsistema das UPS est dependente da ocorr ncia do evento combinado da falha de pelo menos duas UPS Assim provavelmente a ocorr ncia dos modos de avaria n o ser t o elevada como a determinada na FMEA que analisa as avarias de cada UPS individualmente Mesmo assim prop e se medidas que contribuir o para melhorar o seu desempenho tendo em conta a import ncia destes componentes no Sistema de Alimenta o
33. Faculdade de Engenharia da Universidade do Porto An lise de Fiabilidade de um Sistema de Alimenta o de Emerg ncia para um Centro de Inform tica Maria Luisa Soares de Azevedo Vaz Matos VERSAO PROVISORIA Dissertacao realizada no ambito do Mestrado Integrado em Engenharia Electrot cnica e de Computadores Major Automa o Orientador Prof Dr Paulo Jos Lopes Machado Portugal Co orientador Prof Dr Ant nio Jos de Pina Martins Junho de 2009 O Maria Lu sa Soares de Azevedo Vaz Matos 2009 Resumo Esta disserta o pretende analisar a fiabilidade do Sistema de Alimenta o de Emerg ncia de um Centro de Inform tica A partir do conhecimento do funcionamento deste sistema e dos elementos que o constituem fez se uma an lise de fiabilidade qualitativa recorrendo a uma An lise dos Modos e Efeitos de Avaria FMEA Este um m todo indutivo que permite avaliar a partir de um determinado modo de avaria as respectivas causas e efeitos Com estes dados poss vel fazer uma an lise da criticalidade dos modos de avaria e caracterizar o seu impacto no funcionamento do sistema Como complemento do m todo supracitado fez se tamb m uma an lise por rvore de Falhas Ao contr rio da An lise dos Modos e Efeitos de Avaria este um processo dedutivo que partindo de um evento indesejado investiga as sucessivas combina es de falhas dos componentes at atingir as suas causas b sicas Com os resultados obtidos
34. NCENTRADOR DE DADOS n INTERRUPTOR INTERPACT 1N630 4x630 C ENCRAVAMENTD POR CADEADO C BLOCO CONTACTO 207 61 Anexo B Esquema el ctrico do Quadro de Transfer ncia de Cargas ENTRADA REDE ENTRADA GERADOR Salah 4x400A 3 14 d pf 66 GS KR A INS 1x104 EM 4x400A RESIST NCIA DE 2 Q T C R GUA DE BORNES X1 PRESENGA DE REDI ORDEM DE PARA CONTACTOR KN REDE ESTAI DO CONTACTOR KN REDE ORDEM DE PARA CONTACTOR KR GERADOR ESTADO CONTACTOR KR GERADOR R GUA DE BORNES X2 022 2 2 RESIST NCIA DE AQUECIMENTO 62 Anexo C Esquema el ctrico do Quadro de Emerg ncia do QGBTZT2 NORMAL HIXV R3x95450 do QGBTZT2 EMERGENCIA HiXV R3x95450 ALIMENT UPSI 5025 ALIMENT UPS2 5025 AUMENT U2S3 RVK 5625 a AO acct NORMAL HIXVR5G10 9 QCC2 NORMAL HIXVR5610 4 9 NORMAL HIXVR5G10 UTAS Sala UPS EMERGENCIA HIXV R 5010 w UTA3 Sala Redes EMERGENCIA HIXV R 5610 UTAZ Sala FCCN EMERGENCIA AOSVV R 5 10 u BY PASS UPS RVK 5G50 a Bv Pass QUADRO UPS EMERGENCIA 1 RESERVA ILUMINACAO CX ESCADA A05VV U3G1 5 i ILUMINACAO CIRCULACAO AOSVV USGI S 9i ILUMINACA
35. No que diz respeito Severidade o modo de avaria associado temperatura classificado como sendo pouco significativo Deste modo o risco que lhe est associado ainda se insere na regi o indesej vel cor laranja da Matriz de Risco J o modo de avaria de humidade excessiva que tem um ndice de Severidade considerado significativo pertence regi o intoler vel cor vermelha da Matriz de Risco Os resultados obtidos na an lise da criticalidade do subsistema do Ar Condicionado permitem assim constatar uma forte necessidade de implementa o medidas de seguran a adicionais An lise FMEA 37 Tabela 18 FMEA do Ar Condicionado Coment rios e Solu es Modo s de Componente Fun o R Causa s Efeito s 5 e Falha de ventila o Temperatura Falha do n o condensador regulada e Filtro obstruido e Falha de alimenta o de gua para o Controlo da humidificador temperatura e Falha do sensor de e humidade caudal de ar das salas de e Falha do sensor de servidores temperatura e humidade e Temperatura da gua fria elevada Baixa press o do inoperacionalidade Actua o de compressor da estrutura das protec es e Alta press o do redes compressor N o alimentado Potencial inoperacionalidade da estrutura das redes Sobreaquecimento das salas de servidores Ar Condicionado Potencial Humidade excessiva 4 3 6 Subsistema UPS O subsiste
36. O CIRCULACAO A05VV USGI S ILUMINACAO CIRCULACAO AOSVV USG1 5 el RESERVA l COMANDO DA ILUMINACAO o ILUMINACAO SALA Z ZESSOAL AOSVV USGI S 2 ILUMINACAO SALA 2 OZERADORES AOSVV U3G1 5 ILUMINA O SALA Z COMZUTAD ADSVV USGI S ILUMINACAO EQUIZAM AUXILIAR AOSVV U3G1 5 ye ILUMINACAO ARMAZEM AOSVV U3G1 5 RESERVA s ILUMINACAO EMERGENCIA AO05VV U301 5 e ILUMINACAO EMERGENCIA AOSVV U3G1 5 ILUMINACAO EMERGENCIA AOSVV U3G1 5 52 RESERVA 1 RE di E lala E E E EI mn ELLET amp Hd I 4 psi 2 Se 3 E 3k125A 1 a i 31125 T E sa I 3x324 2 i 3x50A i Ji sp T 1 __ 1 A E 2 is 5 BP ld P S E i E E HE AE E E 5 5254 El a 300m Los umeros iu 8 vol vor Y 09090 02 di 63 64 65 Anexo D ctrico do Quadro Geral das Esquema el UPS Q UPS CENTRO DE CALCULO PAINEL DE SAIDAS 66 Anexo E Tabelas da FMEA e Posto de Transforma o Componente Transformador 1 Transformador 2 Fornecer tens o Fornecer tens o Modo s de Avaria Sobretens o tens o superior a Un Causa s Descarga
37. Por outro lado aos modos de avaria do disjuntor de protec o do conjunto de servidores B s foi atribu da um n vel de Severidade cr tico Esta diferen a deve se ao facto de ser exigida ao conjunto de servidores A uma disponibilidade superior do conjunto de servidores B Apesar dos elevados valores de Severidade estes componentes pertencem a regi o de risco toler vel cor amarela da Matriz de Risco Uma vez que o N mero de Prioridade de Risco baixo n o se justifica a aplica o de ac es de redu o de risco 4 4 Conclus es No decorrer do presente cap tulo foi se analisando a criticalidade associada aos modos de avaria de alguns componentes Detectou se que os maiores n meros de prioridade do risco estavam associados aos subsistemas Grupo Gerador Ar Condicionado e UPS Dado que estes valores s o bastante elevados s o recomend veis ac es de preven o do risco Cap tulo 5 An lise por rvore de Falhas As rvores de Falhas s o modelos gr ficos que permitem mostrar o encadeamento de diferentes eventos relacionados com uma determinada falha Partindo de um modo de avaria denominado evento de topo procuram se as causas directas da ocorr ncia do evento O objectivo fundamental a identifica o de todas as poss veis causas dessa avaria principal Uma an lise quantitativa das rvores de Falhas possibilita a estimativa da probabilidade com que determinada falha pode ocorrer Embora o objectivo inicial
38. Salas de Servidores As causas da primeira situ o ser o desenvolvidas num diagrama posterior conforme indicado pelo s mbolo de transfer ncia no canto inferior esquerdo da Figura 5 1 O disparo dos disjuntores pode ser justificado pela ocorr ncia de uma sobrecarga descarga atmosf rica ou curto circuito 2 Actuaram os disjuntores de protec o dos Servidores A B e C O disparo dos disjuntores de protec o dos servidores tem tr s causas poss veis sobrecargas descargas atmosf ricas ou curto circuitos Como se pode ver na mesma figura um curto circuito nos servidores pode ter origem na rede ou ser provocado pelo excesso de humidade derivado de uma anomalia do ar condicionado An lise por rvore de Falhas 43 As falhas com origem no sistema de Ar Condicionado est o expostas no diagrama da Figura 5 2 Como se pode observar o evento temperatura do Ar Condicionado n o regulada pode ter diversas causas directas entre as quais o filtro obstru do press o desregulada do compressor falha dos sensores de temperatura e humidade e do caudal de ar entre outras Este elevado n mero de eventos b sicos vem assim refor ar a conclus o retirada pela FMEA de que o Ar Condicionado um componente cr tico do sistema A temperatura do Ar Condicionado n o regulada alas de Servidores Falha do sensor de caudal de ar Filtro Falha de Falha do obstruido ventila o co
39. a de Cargas podem ser consultadas no anexo E sobreintensidade ligada 4 3 4 Subsistema Quadro de Emerg ncia No subsistema do Quadro de Emerg ncia os componentes em an lise s o os disjuntores de protec o das tr s UPS e do sistema de Ar Condicionado como se pode constatar a partir da Figura 4 4 Uma vez que os disjuntores das UPS s o equivalentes entre si no extracto da FMEA do Quadro de Emerg ncia apresentada na Tabela 4 10 s s o apresentados os disjuntores de protec o da UPS 1 e do sistema de Ar Condicionado A FMEA completa do Quadro de Emerg ncia est presente no anexo E Quadro de Emerg ncia r Disjuntor Disjuntores UPS 1 UPS 2 Ar condicionado Disjuntor UPS 3 Disjuntor J Figura 4 4 Hierarquia do Subsistema Quadro de Emerg ncia 36 An lise FMEA Tabela 17 Extracto da FMEA do Quadro de Emerg ncia Coment rios e Solu es Modo s de Componente Fun o Avaria R Causa s Efeito s SOP N e Falha no sensor de corrente Abre 2 UPS 1 n o As UPS t m Aparelho de indevidamente Falha interna do alimentada 4 1 redundinda Zem corte e disjuntor gas Disjuntor protec o Causas humanas 2 CUPS p a falha UPS1 que actua e Contactos colados pes ERE critica se a UPS 2 em situac o e Falha no sensor de de defeit N o abre na t Potencial falha ou a UPS 3 tamb m e defeito ocorr ncia
40. a potencialmente degradar o desempenho das fun es do sistema mas sem lhe causar danos apreci veis nem representar amea a de vida ou les o Insignificante Um modo de avaria que poderia potencialmente degradar as fun es do sistema mas que n o lhe causa danos nem constitui uma amea a de vida ou les o A ocorr ncia avalia a frequ ncia ou probabilidade de um modo avaria ocorrer Tal como ocorre com a severidade a classifica o da frequ ncia de ocorr ncia feita com recurso a uma escala na qual o patamar inferior corresponde um n vel de ocorr ncia improv vel e o patamar superior corresponde a ocorr ncias muito frequentes A tabela 3 2 fornece um exemplo de classifica o do n vel de ocorr ncia Abordagem Proposta 19 Tabela 2 Exemplo de classifica o do ndice de ocorr ncia 8 Ocorr ncia do Modo de Avaria Classifica o O Frequ ncia Probabilidade Remota 1 0 010 por mil 1x10 5 Avaria improv vel ve culos items Baixa 2 0 1 por mil veiculos items 1x10 4 Avarias pouco frequentes 3 0 5 por mil ve culos items 5x10 4 Moderada 4 por mil ve culos items 1x10 3 asu 5 2 por mil veiculos items 2x10 3 6 5 por mil veiculos items 5x10 3 Elevada 7 10 por mil veiculos items 1x10 2 Avarias frequentes 8 20 por mil veiculos items 2x10 2 Muito elevada 9 50 por mil veiculos items 5x10 2 E ES 10 gt 100 em mil ve culos items gt 1x10 1 Para
41. a tens o do transformador 1 A tens o do transformador 2 cortada N o abre na ocorr ncia de um defeito Abre indevidamente Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Falha no sensor de corrente Falha interna do disjuntor Causas humanas Potencial corte da tens o do transformador 2 A tens o dos dois transformadores cortada N o abre na ocorr ncia de um defeito Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Potencial corte da tens o dos transformadores Ao ser detectada falha de tens o dos transformadores h comuta o para o gerador no quadro de transfer ncia de cargas e Grupo Gerador Motor Arranque do gerador N o arranca Falta de combust vel Obstru o do radiador Bot o de paragem de emerg ncia premido Interruptor de controlo ligado Obstru o do filtro de ar O Grupo Gerador n o arranca Arranca mas p ra intempestivamente Motor sobrecarregado Sobrevelocidade Temperatura do motor demasiado elevada Press o do leo demasiado baixa Sobretens o ou subtens o N vel do l quido de refrigera o demasiado baixo Combustivel inadequado Potencial paragem do gerador 69 Redund ncia do gerador Sobreaquecimento Motor sobrecarregado Temperatura do l quido de refrig
42. ala de Servidores C 4 Cr tico Afecta a Sala de Servidores B 5 Catastr fico Afecta a Sala de Servidores A Tabela 9 Classifica o da Ocorr ncia O Ocorr ncia 0 Classifica o Frequ ncia Descri o 1 Improv vel Superior a 10 anos 2 Remota De 5 em 5 anos 3 Ocasional Todos os anos 4 Prov vel De 6 em 6 meses 5 Frequente Todos os meses A partir dos ndices de severidade e ocorr ncia poss vel avaliar a criticalidade do risco de cada modo de avaria atrav s de uma matriz de risco Como se pode ver na tabela 4 3 a Matriz de Risco proposta categoriza o risco em quatro regi es distintas Estas quatro regi es podem ser definidas como regi o negligenci vel a verde duas regi es ALARP As Low As Reasonably Practicable risco t o baixo quanto razoavelmente pratic vel a amarelo em casos de pouca gravidade e a laranja para situa es graves e regi o de risco intoler vel a vermelho Quando o risco negligenci vel o processo de redu o de risco n o necess rio uma vez que este considerado aceit vel Nos casos em que o risco est num patamar acima do negligenci vel a regi o ALARP mas em que ainda poss vel a conviv ncia com o mesmo devido aos benef cios associados ou inviabilidade de reduzi lo pode se consider lo como risco toler vel ou indesej vel A distin o entre risco toler vel e risco indesej vel baseia se no facto de que o prim
43. am no sistema valores num ricos dos ndices de severidade ocorr ncia e detec o e algumas considera es e ou coment rios relevantes O aspecto gr fico do formul rio da FME C A n o esta completamente padronizado sofrendo algumas varia es dependendo da aplica o Apesar disso as colunas devem ser sempre preenchidas de forma clara e concisa para que a informa o a presente n o suscite qualquer tipo de d vida Abordagem Proposta 21 A severidade e ou a probalidade de ocorr ncia necessita ac o Documentar as ac es recomenda es coment rios e notas a Existem mais Existem mais modos N o componentes ou N o avaria para analisar subsistemas para an lise Sim Sim Conclus o da FMEA N V Berens a data de revis o apropriada Figura 3 1 Fluxograma da an lise da FME C A 8 22 Abordagem Proposta 3 2 rvores de Falhas FTA Fault Tree Analysis 3 2 1 Introdu o O conceito fundamental das FTA Fault Tree Analysis rvores de Falhas consiste em estudar detalhadamente o modo como as falhas de um sistema podem ser alcan adas atrav s da combina o l gicas de eventos prim rios Assim a an lise consiste na constru o de um diagrama l gico a rvore de falhas atrav s de um processo dedutivo que parte de um evento indesejado predefinido denominado evento de topo e procura as poss veis causas desse evento O processo vai sendo consecutivamente dese
44. as pedidas Da toas EEA 40 Cap tulo 5 4 vin swans erue soon oen sees 41 An lise por rvore de Fallas viis rei rr NEN Ea Y PENES YENNERRE SUE EE NEN ERR 41 Capitulo ass 51 Solu es Propostas ii A A Ne zv en Danda 51 Capitulo Tao 55 CO ld a vs 55 Referencias 4 0440 4 faca see caca a danced ee dddeeddedeucetced uceeees s 57 c 59 Esquema el ctrico do Quadro Geral de Baixa 59 ANEXO ER 61 Esquema el ctrico do Quadro de Transfer ncia de Cargas cessere 61 ANEXO C va ERR 63 Esquema el ctrico do Quadro de Emerg ncia 63 ANEXO Di m 65 Esquema el ctrico do Quadro Geral das UPS 65 Anexo eas o 67 Lista de figuras Figura 2 1 Representa o esquem tica do Sistema de Alimenta o de Emerg ncia 4 Figura 2 2 Transformadores 1 e 2 do Posto de Transforma o 6 Figura 2 3 Quadro Geral de Baixa Tens o 6 Figura 2 4 Disjuntor de protec o do transformador a e Interbarras b 7 Figura 2 5 Grupo GeradOl wi de gene us en ERES SENE ca coitada 7 Figura
45. as ou resultar em danos na propriedade 1 Neste cap tulo apresenta se a constitui o e funcionamento de um Sistema de Alimenta o de Emerg ncia no mbito do Centro de Inform tica em estudo Na primeira parte dada uma vis o geral do Sistema de Alimenta o sendo a segunda apresenta o e breve descri o dos subsistemas que o constituem 2 1 Funcionamento geral Neste Centro Inform tico as cargas priorit rias s o tr s conjuntos de servidores dispostos em tr s salas distintas Sala de Servidores A B e C com requisitos de disponibilidade respectivamente crescentes A Figura 2 1 apresenta um diagrama simplificado do Sistema de Alimenta o de Emerg ncia do Centro Inform tico 4 Sistema de Alimenta o de Emerg ncia Transformador 2 800 kVA Transformador 1 800 kVA PT2 QGBT Quadro de Comando do Grupo Grupo Gerador Interbarras 220 kVA Disjuntor T1 Disjuntor QTC Transformador de isolamento Quadro de Emerg ncia Quadro das UPS Quadro da Sala de Servidores C Sala de Servidores C Figura 2 1 Representa o esquem tica do Sistema de Alimenta o de Emerg ncia Quadro da Sala de Servidores B Quadro da Sala de Servidores A Sala de Servidores A Sala de Servidores B Em funcionamento normal quando existe tens o na rede de M dia Tens o MT a alimenta o das tr s salas proveniente do Pos
46. atastr fica 5 Frequente Indesej vel Intoler vel Intoler vel Intoler vel 4 Prov vel Toler vel Indesej vel Intoler vel Intoler vel 3 Ocasional Toler vel Indesej vel Indesej vel Intoler vel 2 Remota Negligenciavel Toler vel Indesej vel indesej vel 1 Improv vel Negligenci vel Negligenci vel Toler vel Toler vel 20 Abordagem Proposta A FMEA deve ter como apoio um formul rio com a forma de uma tabela como a que est representada Figura 3 1 Este formul rio deve ser preenchido de maneira sistem tica e respeitando a ordem as v rias etapas de desenvolvimento de modo a agrupar a toda a informa o que vai sendo reunida As fases de desenvolvimento da FME C A de acordo com a norma IEC 60812 est o resumidas e no fluxograma da Tabela 3 4 Tabela 4 Exemplo de formul rio da FMEA 8 Item Preparada por Per odo de oerac o Revis o Data Ref do Descri o do item e Modo de Avaria C digo Poss veis Efeito Efeito M todo de Medidas para Classe de Frequ ncia ou Coment rios item sua fun o do Modo causas da local global detec o mitiga o da Severidade probabilidade de Avaria Avaria Avaria de ocorr ncia Este formul rio deve identificar o subsistema componente que esta em an lise e incluir informa es como o seu nome a fun o que desempenha os modos de avarias as poss veis causas e efeitos que provoc
47. atmosf rica Sobreintensidades Efeito s Potencial perda da tens o do transformador 1 RPN 67 Coment rios e Solu es Actua o de protec es Subtens o tens o inferior a Un Problema de isolamento Curto circuito Potencial perda da tens o do transformador 1 Sem tens o Problema de isolamento Curto circuito Interrup o da alimenta o da M dia Tens o MT O transformador n o fornece tens o Aquecimento Sobretens o tens o superior a Un Sobrecargas Descarga atmosf rica Sobreintensidades Potencial perda da tens o do transformador 1 Potencial perda da tens o do transformador 2 Actua o de protec es Actua o de protec es Subtens o tens o inferior a Un Problema de isolamento Curto circuito Potencial perda da tensao do transformador 2 Sem tensao Problema de isolamento Curto circuito Interrup o da alimenta o da M dia Tens o MT O transformador n o fornece tens o Aquecimento Sobrecargas Potencial perda da tens o do transformador 2 O transformador 2 s utilizado na alimenta o das salas de servidores quando h avaria no transformador 1 A comuta o entre transformadores feita atrav s do Interbarras 68 Interbarras Disjuntor T1 Disjuntor T2 Disjuntor do Quadro de Transfer ncia de Cargas
48. ault Tree Analysis FTA 58 59 Anexo Esquema el ctrico do Quadro Geral de Baixa Tens o VAYISIY 02T1 092xEY AXIHXZ L co 52490 Uv 271 3 119 1200 34 VAYJISI3 4x1600A COMPACT CMIGO0H STCMI MX 40F SD STE D3 150 UI 5 A VASASAS 015 30 3162315 1200 5 4 N WOO0TXE amp S6 SBIXES AXTH XE 4 PP 2t E s to 81390 Uv DVIVININITY WOO 4BNESALS 8 5619 063 001XE P 0S G6XEB AXTH Ou PER t Y 0999 9291 3 119 SOPA Jeasepcexmsmus 8 878 NANDO al S6 S8IXEI AXIHX2 N VDOBXE Po a 5 wmeaxwesis 8 0S2 00TXE amp 05125 WOD JINESELS LT 069 0 6 Lp Hl YOOrxE 09190 OF OVOVLNAWIT 0S S6 ES AXTH TWO OV OVOVLINAWIN9 02 0STXES AXTIH X2 1190 OF Dv2v1N3WTTIV 800 54 2129 50 2 ap SUDA Opony fl na py 3 v g LE E uv E 3 m Fito de Aco 30x3 5mm a z a e A 2 9 S a R SB Qu 5 oc x X N a E E F o a aa 2 w EE EG ag 2 IO 4 E 3356 6 Y SSES oo 150 DC150 p MG Anel de Terra Electr de ferra 60 DO TRANSFORMADOR 1 SUPERVISOR OU AUTOMATO INFORMA O PARA ARRANQUE DO GRUPO BUS RS485 232 QGBT PTe DO TRANSFORMADOR 2
49. base na escala de 1 um a 5 cinco apresentada na Tabela 4 1 Na escala proposta o n mero 5 n vel de severidade catastr fico o caso mais grave e corresponde a uma avaria que afecte a Sala de Servidores C a carga mais cr tica do sistema e que exige uma disponibilidade muito elevada A Ocorr ncia O representa a frequ ncia ou probabilidade de aparecimento de cada modo de avaria e tem como base o hist rico de utiliza o do sistema ou o estudo de casos semelhantes Quando as taxas de avaria s o conhecidas o ndice de ocorr ncia dos modos de avaria usualmente representado pela probabilidade da sua ocorr ncia Uma vez que n o existiam dados suficientes acerca dos componentes do sistema para proceder a este tipo de avalia o optou se por classificar o ndice de acordo com a frequ ncia hipot tica das avarias A escala de classifica o proposta para qualificar o ndice de ocorr ncia como no caso da Severidade de 1 um a 5 cinco O n vel de ocorr ncia mais baixo corresponde a uma avaria com frequ ncia improv vel enquanto o mais elevado representa um evento frequente como se pode observar na Tabela 4 2 An lise FMEA 29 Tabela 8 Classifica o da Severidade S Severidade S lassifica o N vel de severidade Descri o 1 Insignificante Sem influ ncia no funcionamento global do sistema 2 Pouco significativa Afecta alguns subsistemas n o cr ticos 3 Significativa Afecta a S
50. da tens o VU do alternador p diodos regulador no induzido Defeito Regulador Indutor furto Circuito Sobrecarga induzido avariado cortado Figura 5 7 rvore de Falhas do Grupo Gerador Defeito nos Defeito no Curto Circuito Problema i de refer ncia de tens o ao regulador A falha do arranque do gerador pode resultar da incapacidade do motor o realizar ou de uma anomalia no Painel de Controlo As causas na origem destas duas situa es est o presentes nos diagramas das Figuras 5 8 e 5 9 respectivamente O evento o motor n o arranca o Grupo Gerador seguintes causas o motor n o consegue arrancar o motor sobreaquece e o motor p ra intempestivamente Os eventos b sicos na sua origem podem ser consultados na Figura 5 8 de real ar que a falha o motor p ra intempestivamente pode ser originada tamb m por uma falha no sistema de refrigera o do motor representada pelo evento temperatura do pode ser motivado pelas tr s motor est fora dos limites 48 An lise por rvore de Falhas Como se pode ver na Figura 5 9 a falha correspondente anomalia no Painel de Controlo pode derivar de informa es inadequadas do acerca do estado da rede pelo transformador de isolamento ou de uma falha da sua alimenta o por aus ncia de tens o da bateria As informa es do transformador de isolamento
51. de Emerg ncia 1 Monitorizar online o sistema de baterias das UPS e implementar um sistema de deslastragem das cargas Este sistema deve fazer uma divis o dos equipamentos existentes nas salas de servidores em cargas priorit rias e cargas n o priorit rias de modo a aumentar o tempo de funcionamento das UPS 2 Uma vez que existe uma quarta UPS dispon vel actualmente sem ser utilizada deve ser avaliada a possibilidade de aumentar a redund ncia das UPS para 3 1 ou colocar a quarta UPS como alimenta o de emerg ncia da sala de servidores A 3 Instalar o software disponibilizado pelo fabricante das UPS que permite monitorizar continuamente o seu estado e fazer shutdown controlado 4 Implementar um sistema que fa a a notifica o peri dica do estado das UPS via SMS Na FMEA do subsistema Grupo Gerador os modos de avaria do motor e da bateria obtiveram uma classifica o elevada do N mero de Prioridade do Risco 9 e correspondente a 52 Solu es Propostas um n vel de criticalidade indesej vel Assim altamente recomend vel a execu o de ac es de redu o do risco Como se observar na rvore de Falhas a falha do arranque do gerador pode derivar de uma avaria do motor ou de uma anomalia do painel de controlo De facto uma avaria do motor que impe a o arranque do grupo pode ser muito cr tica porque as UPS s conseguem garantir a disponibilidade das Salas de Servidores por um per odo m ximo de trinta mi
52. de ae 5 de alimenta o 3 1 estiver avariada um defeito robtemano da UPS 1 mecanismo de abertura e Falha no sensor de corrente Oar PR e Falha interna do condicionado 411 Aparelho de indevidamente disjuntor aa a Disjuntor corte e e Causas humanas Potencial protec o Contaci bd sobreaquecimento que actua pasto E das salas de condicionado e Falha no sensor de Potencial falha em situa o N o abre na servidores de defeito ocorr ncia de um defeito corrente e Problema no mecanismo de abertura de alimentacao 3 1 do ar condicionado A an lise de criticalidade dos modos de avaria destes dois disjuntores permite concluir que o Quadro de Emerg ncia n o possui componentes cr ticos do sistema Apesar do ndice de Severidade classificar o modo de avaria de abertura indevida como uma avaria cr tica a elevada fiabilidade dos disjuntores leva a um factor de Ocorr ncia improv vel Deste modo todos os componentes do Quadro de Emerg ncia pertencem regi o de risco toler vel da Matriz de Risco 4 3 5 Subsistema Ar Condicionado A FMEA do subsistema Ar Condicionado pode ser vista na Tabela 4 11 Dos dois modos de avaria considerados temperatura n o regulada e humidade excessiva ambos apresentam o valor m ximo de ndice de Ocorr ncia Isto indica nos que estas avarias t m uma frequ ncia de ocorr ncia mensal
53. disponibilidade relaciona se com a capacidade de o sistema estar pronto a ser utilizado Um Centro de Inform tica uma estrutura composta por diversos equipamentos que oferece recursos de processamento e armazenamento de dados em larga escala No conjunto dos componentes de um Centro de Inform tica os servidores s o os elementos mais cr ticos j que exigem n o s uma elevada fiabilidade mas tamb m uma elevada disponibilidade O processamento de dados pode ser afectado quando os servidores sofrem perturba es derivadas de falhas do sistema de alimenta o Assim para que o Sistema de Alimenta o de Emerg ncia seja totalmente capaz de suportar estas cargas cr ticas do Centro de Inform tica e de assegurar a continuidade de servi o deve providenciar se a garantia de que este fi vel e capaz de actuar rapidamente A situa o abordada neste trabalho tem a ver com a import ncia de garantir a disponibilidade das tr s Salas de Servidores A Be C do Centro de Informatica em estudo no mbito do sistema de alimenta o O objectivo deste estudo centrava se em encontrar os pontos mais problem ticos do Sistema de Alimenta o de Emerg ncia de modo a que se pudesse elaborar um plano de ac es tendente a minimizar avarias com potenciais consequ ncias cr ticas no funcionamento do Centro de Inform tica Numa primeira fase tomou se conhecimento dos componentes existentes e procedeu se ao estudo do funcionamento global do Siste
54. e tens o usualmente utilizado pelo consumidor final Os principais elementos que o constituem s o os transformadores os rg os de corte e protec o e o Quadro Geral de Baixa Tens o QGBT Como foi referido anteriormente o Posto de Transforma o do Sistema de Alimenta o de Emerg ncia do Centro Inform tico disp e de dois transformadores apresentados na Figura 2 2 O transformador 1 localizado no lado esquerdo o respons vel por fornecer tens o ao Centro enquanto o transformador 2 do lado direito alimenta outros edif cios 6 Sistema de Alimenta o de Emerg ncia Figura 2 2 Transformadores 1 e 2 do Posto de Transforma o Os rg os de corte e protec o est o inseridos dentro do Quadro Geral de Baixa Tens o ilustrado no Figura 2 3 Dentro da aparelhagem de protec o merecem especial destaque os disjuntores de protec o dos transformadores 1 e 2 e o disjuntor do Quadro de Transfer ncia de Cargas referidos na Figura 2 1 como disjuntor T1 disjuntor T2 e disjuntor QTC respectivamente No anexo A poss vel a consulta dos esquemas el ctricos do Quadro Geral de Baixa Tens o tamb m no interior do Quadro Geral de Baixa Tens o que se situa Interbarras Este disjuntor que funciona como um rg o de seccionamento encontra se aberto por defeito Ao ser fechado coloca os dois transformadores em paralelo permitindo assim a alimenta o do Centro de Inform tica pelo transformador 2 Isto quando
55. eiro aceit vel mas com potencial de melhoria enquanto no segundo o risco j inaceit vel mas as medidas adicionais ainda n o obrigat rias somente recomendadas Se um modo de avaria adquire uma classifica o de severidade e ocorr ncia que o coloque no patamar superior da Matriz de Risco correspondente zona de risco intoler vel obrigat rio tomar medidas de seguran a adicionais sob pena de por em causa a disponibilidade do sistema O produto entre os ndices de severidade e ocorr ncia permite obter como j foi referido o N mero de Prioridade do Risco RPN De acordo com esta classifica o o risco dos v rios modos de avaria deve ser hierarquizado A Tabela 4 4 apresenta a classifica o utilizada para a prioritiza o do risco 30 An lise FMEA Tabela 10 Matriz de Risco Matriz de risco Frequ ncia de Severidade ocorr ncia 1 Insignificante 2 Pouco significativa 3 Significativa 1 Improv vel Tabela 11 Classificac o do N mero de Prioridade do Risco N mero de Prioridade do Risco RPN Risco aceit vel Risco aceit vel mas que pode ser sujeito a melhorias Risco inaceit vel conveniente tomar medidas de seguranca adicionais Risco absolutamente inaceit vel obrigat rio tomar medidas de seguranca adicionais 4 3 Apresentac o de resultados Nesta secc o s o apresentadas as tabelas da FMEA desenvolvida para os v rios subsistemas Dado que o conte do das
56. ens o M dia Tens o MT Sem tens o 32 An lise FMEA A tabela 4 2 apresenta os modos de avaria mais cr ticos de dois componentes do Quadro Geral de Baixa Tens o o disjuntor de protec o do transformador 1 Disjuntor T1 e o Interbarras No caso do Disjuntor T1 o pior caso corresponde sua abertura intempestiva e consequente corte desnecess rio da tens o proveniente do Transformador 1 J para o Interbarras as avarias mais cr ticas est o directamente associadas a um cen rio de avaria do Transformador 1 e a incapacidade de comuta o das cargas por ele alimentadas para o Transformador 2 Pode observar se que assim como no caso do Transformador 1 todos os modos de avaria destes componentes est o na regi o de risco toler vel cor amarela Contudo os valores de RPN correspondem ao n vel inferior da gama de valores da regi o toler vel Apesar de o n vel de Severidade ser o mesmo os disjuntores s o componentes muito fi veis o que baixa a expectativa de uma potencial avaria de um per odo de cinco anos para um per odo de dez anos Componente Tabela 13 Extracto da FMEA do Quadro Geral de Baixa Tens o Fun o Modo s de Avaria Causa s Coment rios e Solu es R Efeito s 5 Por defeito interbarras est aberto N T l mas em caso Avaria interna pa rd de avaria do Ao fechar mec nica do POCNE 3 transformador disi transformadores isju
57. equ ncia de ocorr ncia do modo de avaria em estudo para determina o da criticalidade A severidade avalia o impacto dos efeitos do modo de avaria no sistema que est a ser analisado e pode ter em conta in meros factores tais como o impacto no desempenho funcional do sistema ou na seguran a das pessoas e equipamentos Para facilitar a avalia o atribu da uma classifica o severidade denominada ndice de severidade S A escala deste ndice tem uma amplitude vari vel dependendo do n vel de detalhe estabelecido No entanto a classifica o 1 corresponde sempre ao n vel de severidade mais insignificante e a classifica o de fim de escala a um grau de severidade que pode ter consequ ncias catastr ficas A Tabela 3 1 ilustra uma hipot tica escala do ndice de severidade Tabela 1 Exemplo de classifica o do ndice de severidade S 8 Classe N vel de Severidade Consequ ncias para as pessoas ou ambiente Catastr fica Um modo de avaria que poderia eventualmente resultar no falha das principais fun es do sistema e consequentemente provocar s rios danos ao sistema e ao seu ambiente e ou ferimentos em pessoas Cr tica Um modo de avaria que poderia eventualmente resultar na falha das principais fun es do sistema e portanto causar um prejuizo consider vel para o sistema e o seu ambiente mas que n o constitui uma amea a grave para a vida ou les o ll Marginal Um modo de avaria que poderi
58. era o demasiado elevada Press o do leo demasiado elevada Obstru o do radiador Potencial paragem do gerador Alternador Produzir energia el ctrica Sem tens o Defeito dos d odos Curto circuito no induzido Defeito do regulador Problema na liga o de refer ncia de tens o ao regulador N o produzida energia el ctrica Falha s bita de tens o Actua o da protec o interna Curto circuito Sobrecarga Regulador avariado Defeito no induzido Indutor cortado Potencial falha na produ o de energia el ctrica Sobretens o Defeito do regulador Potencial falha na produ o de energia el ctrica Actua o das protec es 70 Temperatura do l quido de Defeito do o sobr fri 2 term stato paragem do obreaquecimento do motor Manter a romge acao motor elevada temperatura Defeito do Sistema de do motor term stato refrigera o dentro de Temperatura do limites l quido de Fuga do l quido Potencial aceit veis refrigera o muito de efrigera o paragem do baixa N vel do l quido motor de refrigera o baixo Falha do sistema de carga da bateria Alimenta o Bateria no fim Painel de Apesar de haver controlo Bateria do painel de Subtens o sem de vida Controlo n o di rio da tens o da bat
59. ercept vel para o leitor 28 An lise FMEA 1 Descri o dos objectivos e abrang ncia da an lise isto a identifica o dos processo a serem analisados 2 Divis o e hierarquiza o do Sistema de Alimenta o de Emerg ncia em subsistemas 3 Listagem dos potenciais modos de avaria dos subsistemas considerados 4 Discuss o das causas dos modos de avaria 5 Estudo das consequ ncias dos modos de avaria 6 An lise do risco associado a cada avaria 7 Recomenda o de medidas que permitam mitigar o risco da avaria e ou diminuir a sua ocorr ncia tendo em conta os modos de avaria mais cr ticos 4 2 An lise de Risco A An lise de Risco deve ser iniciada ap s a equipa possuir o conhecimento dos modos de avarias dos seus efeitos e das suas causas Nesta etapa devem ser definidos os ndices de severidade S ocorr ncia A Severidade S o ndice que reflecte a gravidade do efeito da avaria sobre o sistema global Ali s a severidade sempre aplicada ao efeito do modo de avaria e existe uma rela o directa entre os dois por exemplo se o efeito cr tico a severidade alta Por outro lado se o efeito n o cr tico a severidade baixa Deste modo quanto maior for o grau na escala do ndice de severidade mais grave o impacto do efeito da avaria Na avalia o da severidade dos modos de avaria do Sistema de Alimenta o de Emerg ncia do Centro Inform tico a classifica o foi feita com
60. eria controlo tens o Bateria e alimentado recomenda se liga o aut mato sulfatada gest o t cnica centralizada Liga es incorrectas ou danificadas Falha no sensor Abre de corrente Corte da indevidamente Erro de alimenta o Protes r opera o do alternador ad de Causas humanas o de sobrecargas e 2 22 4 Falha no sensor Potencial circuitos N o abre quando decorrente corte da ocorre um defeito Prablema H alimenta o do alternador mecanismo de abertura Quadro de Controlo Monitoriza o O rupo Painel de e controlo do A N o grupo 2 N o controla A gerador n o Falha da bateria controlo grupo alimentado gerador arranca Sobretens o Descarga Evitar a tens o superior a atmosf rica perturbac o Un Sobreintensidades do painel de controlo A pea Subten o tens o Problems de Oana de Transformador distor o inferior Un Curto circuito r c be de Isolamento harm nica inf 2 introduzida Problema de intermacao pelo envio de isolamento adequada da telecomandos Curto circuito rede pela EDP Sem tens o Interrup o da atrav s da alimenta o da m dia tens o M dia Tens o MT Aquecimento Sobrecargas Falha no sensor Corte da Abre de corrente alimenta o indevidamente Falha interna do do Aparelho de disjuntor transformador Disjuntor TI corte e protec o que actua em situa o de defeito Causas humanas de isolamento
61. ervidores A e 42 Figura 5 2 rvore de Falhas do Ar Condicionado 43 xi Figura 5 3 rvore de Falhas das UPS SAA eye E iub 44 Figura 5 4 rvore de Falhas do Quadro de Transfer ncia de Cargas 45 Figura 5 5 rvore de Falhas do Contactor do 46 Figura 5 6 rvore de Falhas do Contactor da 46 Figura 5 7 rvore de Falhas do Grupo 2 47 Figura 5 8 rvore de Falhas do Motor 48 Figura 5 9 rvore de Falhas do Painel de Controlo 48 Figura 5 10 rvore de Falhas do Posto de 49 Figura 5 11 rvore de Falhas do Quadro Geral de Baixa Tens o 50 Figura 5 12 rvore de Falhas do Transformador 1 cese 50 Lista de tabelas Tabela 3 1 Tabela 3 2 Tabela 3 3 Tabela 3 4 Tabela 3 5 Tabela 3 6 Tabela 3 7 Tabela 4 1 Tabela 4 2 Tabela 4 3 Tabela 4 4 Tabela 4 5 Tabela 4 6 Tabela 4 7 Tabela 4 8 Tabela 4 9 Cargas Tabela 4 10 Tabela 4 11 Tabela 4 12 Tabela 4 13 Exemplo de classifica o do ndice de s
62. esentarem maior ndice de risco dever o ser objecto de planos de ac o espec ficos Neste cap tulo apresenta se a FMEA do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica Na primeira parte s o descritas sinteticamente as etapas do planeamento da FMEA e s o expostos os crit rios utilizados na an lise de risco A segunda parte feita a apresenta o de algumas tabelas com resultados obtidos e com base nestes s o retiradas algumas conclus es preliminares acerca dos elementos mais cr ticos do Sistema de Alimenta o de Emerg ncia 4 1 Planeamento da FMEA Em sistemas complexos como o sistema em estudo a FMEA tipicamente executada por uma equipa multidisciplinar de modo a garantir que a an lise o mais exaustiva poss vel Com esse intuito foi constitu da uma equipa respons vel pela FMEA do Sistema de Alimenta o do Centro Inform tico Esta equipa era formada por seis elementos alguns das reas envolvidas no processo nomeadamente um coordenador do Centro de Inform tica e um respons vel pelos Servi os T cnicos e de Manuten o para melhor apoiar o desenvolvimento deste estudo com a contribui o da sua experi ncia e conhecimento do sistema A equipa reunia se semanalmente e em cada reuni o era discutido um subsistema O planeamento da FMEA abrangeu os seguintes passos 1 A An lise dos Modos e Efeitos de Avarias passar a ser referida atrav s da sigla em ingl s FMEA dado ser mais p
63. evento de topo a rvore come a a dividir se em falhas originadas pelo sistema de alimenta o e falhas originadas pelo sistema de ar condicionado 42 An lise por rvore de Falhas Estrutura das redes Bel inoperacionais Os Servidores A Be C n o t m tens o de entrada Actuac o do Sistema T rmico de Protecc o A temperatura do Ar Condicionado n o regulada Os Quadro das Salas de Servidores A Be C nao fornecem tens o Actua o os disjuntores de protec o dos Servidores A Be C si es escarga Sobrecarga Curto Circuito Des rgi atmosf rica gt Ar Condicionado Actua o dos disjuntores de protec o dos Quadros das Salas Servidores A B e C O Quadro das UPS n o fornece tens o As UPS n o fornecem tens o 1 Descarga atmosf rica Sobrecarga Curto Circuito Curto Circuito Excesso de humidade na rede do Ar Condicionado Figura 5 1 rvore de Falhas das Salas de Servidores A B e C UPS A falha do sistema de alimenta o directamente ligada ao evento de topo corresponde aus ncia de tens o nos Servidores A B e C Este evento pode ter duas origens 1 Os Quadros das Salas de Servidores A B e C n o fornecem tens o Este evento pode derivar da aus ncia de tens o das UPS e por consequ ncia no Quadro das UPS ou da actua o dos disjuntores de protec o dos Quadros das
64. everidade S Exemplo de classifica o do indice de ocorr ncia Exemplo de uma matriz de Exemplo de formul rio da FMEA Eventos b sicos de uma rvore de Portas l gicas de uma rvore de Falhas S mbolo de transfer ncia de uma rvore de Falhas Classifica o da Severidade 5 Classifica o da Ocorr ncia Matriz de RISCO iiie ve names sema HE pen ERREUR ERR ERE EUER EAE EU A IE ERR Did Classifica o do N mero de Prioridade do Extracto da FMEA do Transformador cesses nene Extracto da FMEA do Quadro Geral de Baixa Tens o Extracto da FMEA do Grupo Gerador Extracto da FMEA do Quadro de Transfer ncia de Extracto da FMEA do Contactor de Rede do Quadro de Transfer ncia de Extracto da FMEA do Quadro de Emerg ncia FMEA do Ar Condicionado FMEA do Subsistema 5
65. foi poss vel identificar os elementos mais cr ticos do sistema e propor medidas de redu o de risco iii Abstract This dissertation aims the reliability analysis of a Data Center Emergency Power System From the knowledge of the system s functioning and the elements which constitute it a qualitative reliability analysis was made recurring to a Failure Mode and Effects Analysis FMEA This is an inductive method which allows the evaluation starting from a determined failure mode of its causes and effects With this information it s possible to perform a criticality analysis of the failure modes and characterize its impact on the system s functioning In addition to the above method a Fault Tree Analysis was also developed Unlike the Failure Mode and Effects Analysis this is a deductive process which starts with an unwanted event and investigates the successive combinations of failures of a component until arriving at its basic causes With the obtained results it was possible to identify the most critical elements of the system and propose measures to reduce the risk Agradecimentos Aproveito para agradecer aos meus pais irm e amigo por todo o apoio compreens o e carinho que me deram ao longo da vida Agrade o tamb m a todas as pessoas que colaboraram neste trabalho muito especialmente ao meu orientador o Prof Dr Paulo Jos Lopes Machado Portugal e co orientador Prof Dr Ant nio Jos de Pina Martins vi
66. fosse uma avalia o quantitativa da rvore de Falhas a falta de dados relativos s taxas de avaria dos componentes tornou esta abordagem invi vel Deste modo fez se uma somente avalia o qualitativa A rvore de Falhas do Sistema de Alimenta o de Emerg ncia do Centro Inform tico apresentada neste cap tulo um complemento da FMEA que foi desenvolvida A an lise da rvore de Falhas tamb m permite eliminar uma das principais desvantagens da FMEA que corresponde impossibilidade de avaliar uma avaria que tenha origem em eventos combinados De modo a facilitar a consulta dos eventos da rvore de Falhas do Centro de Inform tica esta foi repartida em rvores mais pequenas A Figura 5 1 representa o diagrama principal da rvore de Falhas Neste pode ser visto o evento de topo ou seja o evento indesejado que ocupa o topo da rvore de Falhas e o ponto de partida para sua elabora o No caso do Centro de Inform tica o evento de topo corresponde inoperacionalidade da estrutura das redes A B e C Na verdade devia existir uma rvore para cada uma das salas de servidores sendo o evento de topo a inoperacionalidade da rede que lhe est associada No entanto como s o todas iguais isso n o necess rio Como se pode observar este evento pode ser originado por falhas em dois sistemas principais o sistema de alimenta o e o sistema t rmico de protec o das salas de servidores Assim a partir da ramifica o do
67. ha da rede de e Falha do rectificador e Falha do inversor e Bateria em descarga Bateria no fim de vida Sem tens o e Curto circuito N o tem tens o de entrada e Rectificador em aberto Distor o da tens o de alimenta o sa da Pode resultar em danifica o de componentes do sistema Cargas n o podem ser alimentadas pela UPS Os modos de avaria Sem tens o e Distor o da tens o de sa da que devido a uma frequ ncia de Ocorr ncia ocasional j pertencem regi o da Matriz de Risco na qual o risco considerado indesej vel cor laranja refor am a necessidade de implementa o de ac es de redu o do risco 4 3 7 Subsistema Quadro das UPS O Quadro das UPS fornece tens o aos quadros das salas de servidores Por este motivo os elementos deste subsistema considerados na FMEA s o os disjuntores de protec o das Salas de Servidores A B e C A hierarquia deste subsistema apresentada na Figura 4 6 Tendo em conta que as caracter sticas dos disjuntores das salas de servidores s o iguais na Tabela 4 13 apresentado um extracto da FMEA do subsistema Quadro das UPS na qual apenas surge o disjuntor de protec o da sala de servidores A Os modos de avaria dos outros dois disjuntores podem ser consultadas nas tabelas do anexo E Quadros das UPS Disjuntor Disjuntor Disjuntor Quadro Sala de Quadro Sala de Quadro Sala de Servidores A Servidores B Servidores
68. humanas Potencial falha de alimenta o da UPS 2 UPS 3 n o alimentada que actua em _ situa o N o abre na de ocorr ncia de defeito um defeito Abre Aparelho de corte e indevidamente Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Falha no sensor de corrente Falha interna do disjuntor Causas humanas Potencial falha de alimenta o da UPS 3 O ar condicionado n o alimentado protec o que actua em _ situa o N o abre na de ocorr ncia de defeito um defeito Contactos colados Falha no sensor de corrente Problema no mecanismo de abertura Potencial falha de alimenta o do ar condicionado Actua o das protec es Coment rios e REN Solu es As UPS t m redund ncia 2 em 3 pelo que a falha da UPS 1 s ser cr tica se a UPS 2 ou a UPS 3 tamb m estiver avariada As UPS t m redund ncia 2 em 3 pelo que a falha da UPS 2 s ser cr tica se a UPS 1 ou a UPS 3 tamb m estiver avariada As UPS t m redund ncia 2 em 3 pelo que a falha da UPS 3 s ser cr tica se a UPS 1 ou a UPS 2 tamb m estiver avariada Potencial sobreaquecimento das salas de servidores e Ar Condicionado 73 Componente Ar condicionado Func o Controlo da temperatura e humidade das salas de servidores e UPS Componente
69. i Indice RESUMO 40 iii BDSUACE Agradecimentos escisi n i iblvr e dis ee dis vii eM EE ix Lista de e dna Saca saca ada da xi Lista de Cabelas iii EDAM DUREE Abi MUN ENS xiii Abreviaturas 0 S mbolos ai iia Capitulo 1 7 roe ooo 1 hi 1 Capit lo 2 5 sala Ss cn ana 3 Sistema de Alimenta o de 2 1000 3 2 1 Funciornamernto getal o ederet a ve cedes a quy e der aa 3 2 2 Consituicao do Sistema ete Coe er cepa eek eph a eee e ra ovat wage A ex aes 5 Capitulo LIES 15 Abordagem Proposta e ele esae eaae isse Te aere adea s 15 3 1 FMEA Failure Mode and Effects Analysis eese 15 3 2 rvores de Falhas FTA Fault Tree 22 Capitulo 4 e sais SEIS io 27 Analise 27 4 1 Planeamento da FOr 27 4 2 Analiseide RISCO RD 28 4 3 Apresenta o de 30 4 47 CONCIUSOES sees een cetero sac etia deae s
70. ia da tens o proveniente do Quadro de Emerg ncia Como poss vel ver pelos tr s s mbolos de transfer ncia as causas deste evento ser o exploradas num diagrama parte 44 An lise por rvore de Falhas As UPS n o fornecem tens o Salas de Servidores Actua o dos disjuntores Pelo menos duas das tr s de protec o das UPS UPS n o fornecem tens o Descarga A UPS1 n o A UPS2 n o A UPS3 n o Sobrecarga Curto Circuito pet A 3 atmosf rica fornece tens o fornece tens o fornece tens o O Or o O tempo de O Quadro de O tempo de O Quadro de O tempo de O Quadro de autonomia da Emerg ncia n o autonomia da Emerg ncia n o autonomia da Emerg ncia n o UPS1 reduzido fornece tens o UPS2 reduzido fornece tens o UPS3 reduzido fomece tens o Quadro de Emerg ncia e QTC fh de aS ja e QTC Quadro de Emerg ncia e QTC Bateria em Bateria fim de vida descarregada Sobrecarga Bateria em Bateria Sobrecarga Bateria em Bateria Sobrecarga da UPS fim de vida descarregada da UPS fim de vida descarregada da UPS Figura 5 3 rvore de Falhas das UPS Como se pode observar na Figura 5 4 o evento que est na origem da aus ncia de tens o no Quadro de Emerg ncia o Quad
71. ina do contactor da rede O Sobreaquecimento Sobreaquecimento Figura 5 6 Arvore de Falhas do Contactor da Rede Sobreintensidade An lise por rvore de Falhas 47 As falhas que est o na origem do j referido evento o Grupo Gerador n o fornece tens o podem ser analisadas na Figura 5 7 Como se pode verificar a rvore possui duas ramifica es uma associada ao falha do arranque do Grupo Gerador e a outra quebra da sua produ o de energia el ctrica No que diz respeito quebra da produ o de energia el ctrica esta pode resultar de uma falha do alternador ou da actua o do seu disjuntor de protec o devido a uma sobrecarga ou curto circuito As causas directas da falha do alternador s o o alternador n o tem tens o e a tens o do alternador falha subitamente Os seus eventos b sicos podem ser consulta na parte inferior da supramencionada O Grupo Gerador n o fornece tens o Quadro de Emerg ncia e QTC O Grupo Gerador O Grupo Gerador n o n o arranca produz energia el ctrica O motor nio aranca Existe uma anomalia no O alternador n o Actua o do disjuntor o Grupo Gerador Painel de Controlo produz energia de protec o do el ctrica alternador Motor Painel de Controlo A O alternador n o tem tens o Curto Circuito Sobrecarga H uma falha O s bita
72. inidos de forma qualitativa Sistema de Alimenta o de Emerg ncia 13 e Sala de Servidores o ponto cr tico do sistema e pode suportar uma indisponibilidade m xima de alguns minutos ano inferior a 10 minutos e A Sala de Servidores B um ponto muito cr tico do sistema e pode ter uma indisponibilidade m xima de algumas horas ano inferior a 2 horas e A Sala de Servidores C com uma indisponibilidade maxima de alguns minutos dia inferior a 10 minutos constitui o ponto menos cr tico do sistema Assim o disparo intempestivo de um disjuntor na Sala de Servidores A ter um n vel de criticalidade consideravelmente superior ao disparo de um disjuntor da Sala de Servidores C Figura 2 12 Exemplo de Quadro da Sala de Servidores 14 Sistema de Alimenta o de Emerg ncia Cap tulo 3 Abordagem Proposta Como j se referiu objectivo desta disserta o consiste em analisar os modos de avaria do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica que foi proposto para assim determinar as suas causas e consequ ncia de modo que possam ser tomadas medidas no sentido de as erradicar e aumentar a da disponibilidade do sistema A primeira decis o a tomar foi a escolha das ferramentas adequadas para desenvolver este estudo Ap s alguma pesquisa obteve se os elementos necess rios para considerar que a An lise dos Modos e Efeitos de Avarias FMEA era um m todo amplamente usado por diversos sectores Ta
73. istema de Bateria Controlo saida refrigera o Painel de Transformador ma controlo de isolamento Figura 4 2 Hierarquia do Subsistema Grupo Gerador Na Tabela 4 7 est o expostos os modos de avaria dos componentes mais cr ticos do subsistema do Grupo Gerador De facto analisando os N meros de Prioridade do Risco dos modos de avaria do Motor e da Bateria de alimenta o do Painel de Controlo poss vel concluir que estes se encontram na regi o de risco indesej vel cor laranja Os ndices de Severidade e Ocorr ncia indicam que n o s estas avarias s o significativas como podem ter uma frequ ncia anual Tabela 14 Extracto da FMEA do Grupo Gerador R Componente Fun o Modo s de Avaria Causa s Efeito s S OP comen ans e Solu es N e Falta de combustivel Obstru o do radiador Bot o de paragem N o arranca de emerg ncia premido e Interruptor de controlo ligado Obstru o do filtro dear e Motor sobrecarregado Sobrevelocidade e Temperatura do motor demasiado elevada Press o do leo Potencial demasiado baixa paragem Sobretens o ou do gerador subtens o Nivel do l quido de refrigera o demasiado baixo e Combustivel inadequado e Falha do sistema de carga da bateria e Bateria no fim de Painel de Subtens o Sem vida Controlo tens o Bateria sulfatada n o Liga es alimentado incorrectas ou danificadas Redund ncia d
74. ito Desta maneira uma configura o das UPS redundante resulta num aumento da disponibilidade Figura 2 10 Exemplo de uma UPS 12 Sistema de Alimenta o de Emerg ncia 2 2 6 Quadro das UPS O Quadro das UPS que pode ser visto na Figura 2 11 alimentado a partir das UPS e fornece a tens o de entrada dos Quadros das Salas de Servidores A B e C Os componentes de maior relev ncia deste quadro s o deste modo os disjuntores de protec o destes tr s quadros O esquema el ctrico do Quadro das UPS pode ser consultado no Anexo D Figura 2 11 Quadro das UPS 2 2 7 Quadro das Salas de Servidores Os Quadros da Salas de Servidores fornecem a tens o de entrada das Salas de Servidores e cont m os disjuntores diferenciais de protec o dos v rios servidores A Figura 2 12 apresenta um exemplo de um Quadro da Sala de Servidores Como se pode observar no lado direito da figura cada quadro disp e de um amper metro por cada circuito de alimenta o de modo optimizar e facilitar a distribui o das cargas Tamb m possui sinaliza o geral da corrente por fase vis vel no lado esquerdo da figura fundamental ter em considera o que apesar do objectivo do Sistema de Alimenta o de Emerg ncia ser a garantia a alimenta o das tr s salas estas t m requisitos de disponibilidade diferentes Como o Centro de Inform tica n o ter especificou com exactid o os valores a tomar como refer ncia este foram def
75. j mencionadas ind strias autom vel e aeroespacial reas como a electr nica a medicina engenharia civil gest o engenharia de qualidade e avalia o do impacto ambiental entre outras 3 1 2 Normas associadas FMEA Como j foi mencionado ao longo do tempo v rias ind strias foram estabelecendo as suas pr prias normas FMEA em conformidade com os requisitos pr prios da sua rea Em seguida ser feita uma breve apresenta o das normas mais utilizadas na actualidade e MIL STD 1629A Procedures for Performing a Failure Mode Effects and Criticality Analysis 6 O MIL STD 1629A estabelece os requisitos e procedimentos necess rios realiza o de uma FME C A que permitem avaliar e documentar de modo sistem tico e por ordem de itens correspondentes a cada modo de avaria de um componente o potencial impacto de cada falha funcional ou de hardware no sucesso de uma miss o na seguran a de pessoas e sistemas no desempenho do sistema na sua durabilidade e requisitos de manuten o Cada potencial modo de avaria classificado de acordo com a severidade dos seus efeitos a fim de que sejam tomadas medidas de correc o adequadas para controlar ou eliminar o risco dos itens de risco mais elevado Abordagem Proposta 17 e SAE J1739 Potential Failure Mode and Effects Analysis in Design Design FMEA and Potential Failure Mode and Effects Analysis in Manufacturing and assembly Processes Process FMEA Reference
76. ma UPS cuja hierarquia ilustrada na Figura 4 5 constitu do pelas tr s UPS do Sistema de Alimenta o de Emerg ncia Dado que as caracter sticas das UPS s o id nticas e por consequ ncia tamb m os seus modos de avaria na Tabela 4 12 da FMEA deste subsistema s s o apresentados os modos de avaria da UPS1 Como se pode comprovar na Tabela 4 12 todos os modos de avaria da UPS1 apresentam um ndice de Severidade significativo Como os modos de avaria relativos ao tempo de autonomia da UPS apresentam um valor baixo de Ocorr ncia ainda pertencem regi o de risco toler vel cor amarela da Matriz de Risco Todavia tendo em conta que o N mero de Prioridade de Risco relativamente elevado n o deve ser completamente descartada a hip tese de introduzir ac es de redu o do risco UPS 1 UPS 2 UPS 3 Figura 4 5 Hierarquia do Subsistema UPS 38 Tabela 19 FMEA do Subsistema UPS Modo s de Avaria Causa s Componente Fun o e Sobrecarga Tempo de Bateria em autonomia descarga reduzido Bateria no fim de vida Tempo Sobrecarga da autonomia UPS Fornecer nulo alimentacao as cargas no Efeito s Em caso de falha de rede a UPS pode nao conseguir garantir a autonomia do sistema UPS fora do circuito em caso de falha de rede a UPS pode nao conseguir garantir a autonomia do sistema Analise FMEA Comentarios e Solu es Deslastragem de cargas caso de fal
77. ma de Alimenta o de Emerg ncia Nesta etapa pretendeu se adquirir os conhecimentos necess rios para se poder investigar os modos de avaria dos componentes do sistema assim como as suas causas e efeitos Posteriormente com os dados entretanto obtidos foi analisada a criticalidade do risco associado a cada modo de avaria Finalmente numa terceira e ltima fase propuseram se solu es que permitissem 2 Introdu o a diminui o ou elimina o da ocorr ncia das avarias bem como o aumento da disponibilidade do sistema e melhoraria do seu desempenho Atendendo aos pressupostos da an lise optou se por uma abordagem de resolu o do problema recorrendo ao uso combinado de duas metodologias qualitativas de an lise de fiabilidade e disponibilidade a An lise dos Modos e Efeitos de Avaria FMEA e a an lise por rvores de Falhas A An lise dos Modos e Efeitos de Avaria foi utilizada por ser um m todo que permite reconhecer e avaliar os modos de avaria de um sistema as suas causas e consequ ncias Com base no estudo dos par metros da criticalidade ou seja a severidade e a ocorr ncia que v o sendo associados a cada avaria e analisando os N meros de Prioridade do Risco obtidos pelo produto destes dois ndices poss vel detectar quais os componentes do sistema que exigem um plano de ac es de mitiga o do risco Como a An lise dos Modos e Efeitos de Avaria considera as avarias dos componentes de forma individual n o
78. mb m porque n o existiam muitos dados quantitativos das taxas de avaria dos componentes a ser analisados exigidas noutros m todos de an lise Apesar das v rias vantagens da FMEA esta ferramenta possui algumas limita es a mais not ria a incapacidade de analisar modos de avaria combinados Assim para se obterem resultados mais efectivos optou se por complementar a FMEA com uma an lise por rvores de Falhas Neste cap tulo ser feita uma breve descri o dos seus fundamentos te ricos 3 1 FMEA Failure Mode and Effects Analysis 3 1 1 Introdu o A An lise dos Modos e Efeitos de Avarias mais conhecida como FMEA um m todo de an lise de risco qualitativo que permite avaliar os poss veis modos de avaria de um sistema as causas que lhes deram origem e os efeitos por elas gerados Assim este processo sistem tico visa a redu o ou elimina o do risco associado a cada potencial modo de avaria atrav s da identifica o do impacto no funcionamento do sistema e da proposta de solu es que permitam melhorar o seu desempenho O m todo FMECA An lise dos Modos de Avaria Efeitos e Criticalidade uma extens o da FMEA em que a criticalidade das avarias analisada mais detalhadamente 16 Abordagem Proposta O aparecimento da FMEA como ferramenta de an lise formal data do final dos anos 40 com a introdu o do standard MIL P 1629A e actualmente designado MIL STD 1629A Desenvolvido pelo Departamento de Defe
79. motor este painel desliga automaticamente o gerador Figura 2 5 Grupo Gerador 8 Sistema de Alimenta o de Emerg ncia O Painel de Controlo um aut mato que consoante a informa o que recebe do estado da rede d ordem de arranque ou paragem do grupo Esta ordem pode ser efectuada de modo manual ou autom tico A alimenta o do Painel de Controlo feita a partir de uma bateria indispens vel que esta bateria tenha sempre a tens o adequada Caso contr rio n o poss vel activar a sequ ncia de arranque do gerador pois o painel n o alimentado Uma representa o da constitui o interna do Grupo Gerador e alguns dos seus componentes pode ser vista na Figura 2 6 ltem Descri o lem 1 Etiqueta do Grupo Gerador 8 Motor de Arranque localizado no lado oposto 11 Caixa de Barnes amp Se 7 Bateria Porta bateria 12 Estrutura Base e Reservat rio da 3 Filtro de Ar 8 Alternador de Carga da Bateria Combust vel 4 Turbocompressor caso exista 9 Radiador 13 de Vibra o 5 Regulador do Motor localizado no lado oposto 10 Altemador 14 Painel de Controle 15 Disjuntor de Saida Figura 2 6 Constituic o do Grupo Gerador 2 2 2 3 Quadro de Transfer ncia de Cargas QTC De uma forma geral todas as instalac es que utilizem um grupo gerador como fonte alternativa de energia necessitam obrigatoriamente de um Quadro de Transfer ncia de Cargas Este tem
80. nalista e da informa o dispon vel sobre o sistema 5 Definir as regras base da rvore de Falhas Para que a rvore de Falhas seja coerente a nomenclatura e o modo como os eventos e as portas l gicas s o identificados deve estar bem definida Por este motivo antes de se iniciar a constru o da rvore devem ser estabelecidas as regras base 6 Construir a rvore de Falhas A atrav s de diagramas sequenciais que envolvem os eventos ou falhas de modo sistem tico mostrando o relacionamento entre os mesmos e o acontecimento indesej vel em an lise O processo tem in cio com a identifica o dos eventos que directamente relacionados ao evento de topo e assim vai se avan ando sucessivamente at atingir os eventos ou falhas b sicas A rela o entre eventos feita atrav s de portas l gicas 7 Avaliar a rvore de Falhas Ap s a constru o da rvore de Falhas a etapa seguinte sua avalia o que pode ter duas abordagens qualitativa e quantitativa 24 Abordagem Proposta A avalia o qualitativa tem como finalidade representar a ocorr ncia da avaria atrav s de uma forma l gica equivalente mostrando atrav s do diagrama as combina es de eventos b sicos erros operacionais ou outros defeitos que podem dar origem ao evento de topo A avalia o quantitativa tem como objectivo analisar a probabilidade de ocorr ncia do evento de topo em fun o das probabilidades de ocorr ncia dos eventos b sicos Nem
81. ndensador Falha do sensor de temperatura e humidade Falha de alimenta o de gua para o humidificador Temperatura Baixa alta da gua fria press o do elevada compressor Figura 5 2 rvore de Falhas do Ar Condicionado O diagrama da Figura 5 3 corresponde sec o da rvore de Falhas relativa s UPS Neste pode ver se que os eventos directamente ligados ao facto das UPS n o fornecerem tens o s o actua o dos seus disjuntores de protec o por sobrecarga curto circuito ou descarga atmosf rica ou o falha no fornecimento de tens o de pelo menos duas das tr s UPS A redund ncia das UPS est expl cita atrav s do uso de uma gate votadora identificada com o n mero dois que corresponde ao n mero m nimo de UPS que devem falhar para que o evento acima referido ocorra A redund ncia das UPS um exemplo de eventos combinados que n o podem ser avaliados na FMEA Nesta an lise cada UPS considerada individualmente ao passo que na rvore de Falhas pode considera se a hip tese de falha simult nea de uma ou mais UPS Consequentemente previs vel que o ndice de ocorr ncia das avarias com origem em falhas das UPS diminua Na sequ ncia do diagrama surgem ainda o motivo do n o fornecimento de tens o da UPS1 2 e 3 analisadas individualmente As causas que est o directamente na origem deste evento s o o tempo reduzido da autonomia da UPS devido sua sobrecarga ou a uma falha da bateria e aus nc
82. ndo em conta as caracter sticas do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica Espera se que a implementa o de algumas destas medidas origine uma diminui o da ocorr ncia de alguns dos modos de avaria considerados mais cr ticos melhorando assim o desempenho e disponibilidade do sistema 56 57 Refer ncias 1 IEEE Recommended Practice for Emergency and Standby Power Systems for Industrial and Commercial Applications 2 Grupo gerador Manual t cnico de opera o e manuten o Dezembro 2002 3 Clifton A Ericson 2005 Hazard analysis techniques for system safety Edi o de John Wiley and Sons 4 Quality Associates International http www quality one com services fmea php Acesso em Maio de 2009 5 SGS http www sgs com qs 9000 2 serviceld 13425 amp lobld 24178 Acesso em Maio de 2009 6 Society of Automotive Engineers http www sae org technical standards J1739 200901 Acesso em Maio de 2009 7 FMEA Info Center http www fmeainfocentre com standards htm Acesso em Maio de 2009 8 IEC 60812 1985 Analysis techniques for system reliability Procedure for failure mode and effects analysis FMEA 9 Clifton A Ericson Fault Tree Analysis A History 1999 Dispon vel em http www fault tree net papers ericson fta history pdf 10 NASA Fault Tree Handbook with Aerospace Applications NASA Office of Safety and Mission Assurance Washington DC 2002 11 IEC 61025 2006 F
83. nece tens o e o contactor de rede n o liga situa es que ser o exploradas mais adiante ocorre este evento Mais uma vez trata se de uma combina o e a obrigatoriedade da ocorr ncia destas duas causas para que ocorra o evento est representada atrav s do uso de uma gate AND As Figuras 5 5 e 5 6 apresentam os diagramas das rvores de Falhas dos contactores do gerador e da rede respectivamente Como se pode constatar as falhas s o muito semelhantes A origem destas pode ser devida aos contactos do contactor estarem colados ou ao curto circuito da bobina Por sua vez este evento pode decorrer de sobreaquecimento sobrecargas corte nos fios da bobina ou actu o do fus vel de protec o 46 An lise por rvore de Falhas O contactor do gerador n o liga IN Quadro de Emerg ncia e QTC Os contactos do contactor A bobina do contactor do do gerador est o colados gerador est em curto circuito ES sree O O Actua o do fus vel de proteccao do gerador Corte nos fios da bobina do contactor do gerador Sobreaquecimento Figura 5 5 Arvore de Falhas do Contactor do Gerador Sobreintensidade O contactor da rede nao liga Quadro de Emerg ncia Os contactos do contactor est em curto circuito da rede est o colados A bobina do contactor da rede Actua o do fusivel de protec o da rede Corte nos fios da bob
84. ntor em paralelo d Colocar em 2 paralelo os Interbarras fornecer tens o transformadores 1e2 ao sistema Em caso de e Avaria interna avariado do disjuntor O interbarras transformador e Causas fechado mas Ca N o operac o humanas n o h 3 4 4 transformador Abertura condu o da s corrente 2 n o fornece 2 tens o ao sistema Aparelho de re voies sensor de s 2 corrente A tens o do Disjuntor proteccao que Abre Ti em indovidamonte Falha interna transformador 1 3 de do disjuntor cortada defeito e Causas humanas Os restantes modos de avaria destes componentes assim como os modos de avaria dos disjuntores de protec o do transformador 2 e quadro de transfer ncia de cargas podem ser consultados nas tabelas do anexo E 4 3 2 Subsistema Grupo Gerador Os componentes considerados no subsistema do Grupo Gerador foram o alternador o motor o disjuntor de sa da de protec o do alternador o sistema de refrigera o do motor a bateria e o quadro de controlo ou comando do grupo O Quadro de Controlo foi ainda decomposto em tr s elementos de n vel inferior o painel de controlo e monitoriza o do An lise FMEA 33 grupo o transformador de isolamento e o seu disjuntor de protec o A hierarquia destes componentes pode ser vista na Figura 4 2 Grupo Gerador Altermador Motor Quadro de Disjuntor de S
85. nutos Contudo como se pode constatar uma avaria da bateria resulta na falha de alimenta o do Painel de Controlo Caso esta situa o ocorra o grupo n o s n o arranca porque n o enviado sinal ao motor como as informa es importantes por ele monitorizadas ficam indispon veis Assim a mitiga o do risco associado avaria da bateria de alimenta o do painel deve ser considerada priorit ria Portanto as recomenda es para melhorar o desempenho do Grupo Gerador s o as seguintes 1 Implementar um sistema de monitoriza o remota do grupo que permita o controlo do estado das principais vari veis do gerador nomeadamente a tens o da bateria que alimenta o painel de controlo e o n vel de combust vel do gerador pela gest o t cnica centralizada Envio de um alarme por exemplo via SMS ou email em caso de detec o de qualquer anomalia 2 Uma vez que existe um outro gerador de emerg ncia que pode ser disponibilizado apesar de estar adstrito a outros edif cios deve considera se a hip tese da redund ncia dos geradores acrescentando um inversor de rede que fa a a comuta o entre os dois 3 Adicionar um sistema de detec o de presen a no Posto de Transforma o e Grupo Gerador de modo a prevenir potenciais actos de vandalismo Envio de um SMS a um seguran a quando detectada uma intrus o indesejada Os dois modos de avaria do sistema de ar condicionado obtiveram os mais elevados N mero de Prioridade de Ri
86. nvolvido at se atingiram os eventos independentes b sicos ou eventos sobre os quais n o se possui mais informa o que constituem o limite de resolu o da an lise As rvores de Falhas tamb m permitem identificar combina es de falhas que levam ao evento de topo ao contr rio da FMEA Esta t cnica foi desenvolvida in cio dos anos 60 por H A Watson nos laborat rios Bell a pedido da For a A rea dos Estados Unidos para avaliar a fiabilidade do sistema de controlo do m ssil Minuteman Em 1963 foi reconhecida e aperfei oada pela Boeing como uma importante ferramenta de an lise de seguran a passando a ser usada frequentemente por esta companhia Em Junho de 1965 a Boeing e a Universidade de Washington organizaram um simp sio de an lise de seguran a e de sistemas de seguran a em Seattle onde as primeiras publica es t cnicas sobre rvores de Falhas foram apresentadas A partir dos anos 70 com o desenvolvimento de novos algoritmos de avalia o o uso das rvores de Falhas foi abrangendo cada vez mais reas de aplica o nomeadamente sistemas de alimenta o rob tica e avia o 9 3 2 1 Metodologia das rvores de Falhas A an lise de rvore de Falhas uma boa pr tica quando se pretende estudar os factores que podem causar um evento indesej vel normalmente uma avaria do sistema Este m todo pode ser desenvolvido atrav s das seguintes etapas que est o representadas esquematicamente na Figura 3 2 10
87. o Grupo Gerador Arranque do Grupo Gerador Arranca mas p ra intempestivamente Alimentac o do Painel de Controlo 34 An lise FMEA Deste modo ao contr rio do subsistema do Posto de Transforma o cujas avarias tinham um n vel de risco aceit vel no subsistema do Grupo Gerador j aconselhada a implementa o de medidas de seguran a adicionais Os modos de avaria dos restantes componentes do subsistema Grupo Gerador n o s o aqui apresentados por terem n veis de RPN consideravelmente inferiores aos modos de avaria do motor e da bateria mas podem ser consultados nas tabelas do anexo E 4 3 3 Subsistema Quadro de Transfer ncia de Cargas A hierarquia do subsistema do Quadro de Transfer ncia de Cargas est ilustrada na Figura 4 3 Os componentes considerados neste subsistema foram os dois contactores rede e gerador o encravamento mec nico a resist ncia de aquecimento e o interruptor Os contactores e a resist ncia de aquecimento incluem um n vel de detalhe adicional Os contactores foram subdivididos em contactos bobina e fus vel de protec o enquanto o subn vel da resist ncia de aquecimento inclui a resist ncia e o fus vel de protec o Transfer ncia de Cargas QTC Quadro de Rosetan Contactor Contactor esmienas Interruptor Encravamento Rede Gerador Aquecimento Contactos Bobina Fus vel Bobina Contactos Fus vel Resist ncia Fus vel
88. os disjuntores de protec o Os transformadores n o fornecem tens o Disjuntores do QGBT 1 O Transformador 1 n o Nenhum dos transformadores fornece tens o fornece tens o e o Interbarras n o conduz corrente O Transformador 1 O Transformador 2 O Transformador 1 O Interbarras n o n o fornece tens o n o fornece tens o n o fornece tens o conduz corrente Transformador 1 Transformador 1 Transformador 2 Transformador 2 n o tem tens o tem subtens o 0 Interbarras O Interbarras n o opera n o fecha Interrup o da alimenta o da M dia Tens o MT Problema de isolamento Problema de isolamento Abertura intempestiva Avaria interna do disjuntor Curto Circuito Curto Circuito Avaria interna do disjuntor Figura 5 10 rvore de Falhas do Posto de Transforma o 50 An lise por rvore de Falhas Actua o dos disjuntores de protec o J Neo de Transforma o Actua o dos disjuntores de Actua o do disjuntor do Quadro protec o dos transformadores de Transfer ncia de Cargas Descarga Sobrecarga Curto Circuito 25 atmosf rica Actua o do disjuntor de Actua o do disjuntor de protec o do Transformador 1 protec o do Transformador 2 O O atmosf rica Transformador 1 atmosf rica Transformador 2 Sobrecarga Curto
89. ovamente em posi o de emerg ncia Durante o per odo de inicializa o do gerador tr s UPS Uninterruptable Power Supply garantem a alimenta o das cargas cr ticas Num caso extremo correspondente a um corte de energia simult neo do Posto de Transforma o e do Grupo Gerador a alimenta o do Centro Inform tico transferida para o Quadro de Emerg ncia As salas de servidores passam a receber tens o atrav s das UPS dispostas numa configura o em redund ncia 2 1 Isto para que forne am tens o pelo menos duas delas t m de estar operacionais A comuta o entre as UPS autom tica ao sair uma UPS do circuito uma outra desde que operacional substitui a imediatamente O tempo de autonomia das UPS um aspecto que n o deve ser descurado No caso do Centro de Inform tica as UPS garantem no m ximo uma autonomia do sistema de 30 minutos Caso n o seja poss vel efectuar a repara o da anomalia do Grupo Gerador e ou do Posto de Transforma o durante esse per odo de tempo as Salas de Servidores deixam de receber tens o e o sistema fica indispon vel 2 2 Consitui o do Sistema Nesta sec o feita a apresenta o dos principais elementos do Sistema de Alimenta o de Emerg ncia e a descri o sum ria das suas fun es 2 2 1 Posto de Transforma o O Posto de Transforma o uma instala o el ctrica que tem como fun o reduzir de M dia Tens o para Baixa Tens o BT o n vel d
90. permite analisar avarias que tenham origem na combina o de eventos Por isso como complemento desta metodologia optou se por fazer tamb m uma An lise por rvore de Falhas permitindo assim suprir esta lacuna O relat rio desta disserta o est dividido em 7 cap tulos No primeiro cap tulo apresenta se uma introdu o do assunto tratado com a apresenta o do tema objectivos e refer ncia das metodologias utilizadas no seu desenvolvimento O segundo cap tulo apresenta a descri o do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica abordando o seu funcionamento geral e sua constitui o atrav s da descri o dos principais elementos que o constituem e as suas fun es No Cap tulo 3 exp e se a abordagem proposta para o desenvolvimento deste trabalho S o ainda apresentadas as duas metodologias usadas a An lise dos Modos e Efeitos de Avaria FMEA e a an lise por rvores de Falhas e feita uma fundamenta o te rica sobre os dois m todos No Cap tulo 4 apresentada a An lise dos Modos e Efeitos de Avaria FMEA do Sistema de Alimenta o de Emerg ncia do Centro de Inform tica Aqui s o descritas as etapas de planeamento e os crit rios usados para a an lise de risco S o ainda expostos alguns dos resultados obtidos e retiradas as conclus es inerentes No Cap tulo 5 feita a apresenta o dos resultados obtidos pela an lise por rvore de Falhas com as respectivas conclus es No
91. por sua vez podem ser influenciadas pela aus ncia de tens o ou subtens o do transformador e ainda pelo disparo do seu disjuntor de protec o O motor n o arranca o Grupo Gerador I 3 Grupo Gerador O motor n o O motor consegue sobreaquece arrancar O motor p ra intempestivamente Interruptor Bot o de paragem Press o do Temperatura Temperatura do Press o do de controlo de emerg ncia CA leo muito do motor Sobrevelocidade motor esta fora leo muito radiador ligado remido elevada muito elevada dos limites baixa Temperatura do liquido de refrigera o muito elevada Temperatura do liquido de refrigera o muito baixa Defeito do term stato Fuga de l quido de refrigera o Defeito do term stato Figura 5 8 rvore de Falhas do Motor Existe uma anomalia no Painel de Controlo J Nee Gerador O Painel de O transformador de isolamento Controlo n o n o d informa o adequada alimentado do estado da rede A bateria n o tem tens o Actua o do disjuntor de protec o do transformador Transformador de isolamento tem subtens o Transformador de isolamento n o tem tens o Bateria sulfatada Falha no sistema de carga da bateria Bateria no fim
92. ridos Figura 2 7 Interior do Quadro de Transfer ncia de Cargas Seguidamente na Figura 2 8 pode ver se na parte superior o Quadro de Transfer ncia de Cargas e na parte inferior um Transformador de Isolamento Este transformador foi instalado para evitar que o aut mato do Quadro de Comando do Grupo receba informa es erradas do estado da rede provocadas pela distor o harm nica que pode ser introduzida pelo envio de telecomandos da rede de M dia Tens o 10 Sistema de Alimenta o de Emerg ncia Figura 2 8 Quadro de Transfer ncia de Cargas e Transformador de Isolamento Apesar de por defeito a liga o ao gerador de emerg ncia ser autom tica existe a possibilidade ligar o gerador manualmente O esquema el ctrico do Quadro de Transfer ncia de Cargas est representado no anexo B 2 2 4 Quadro de Emerg ncia O Quadro de Emerg ncia que se pode ver na Figura 2 9 alimentado a partir do Quadro de Transfer ncia de Cargas Este quadro fornece a tens o das tr s UPS que garantem a autonomia das cargas priorit rias durante o arranque do gerador e alimenta os sistemas de ar condicionado das tr s salas de servidores O ar condicionado por sua vez tem a fun o de controlar a temperatura e humidade destas salas Figura 2 9 Quadro de Emerg ncia Sistema de Alimenta o de Emerg ncia 11 Os componentes de maior import ncia no Quadro de Emerg ncia s o deste modo os disjuntores de protec o
93. ro de Transfer ncia de Cargas n o fornece tens o Este por sua vez pode derivar de quatro situa es distintintas 1 O interruptor do Quadro de Transfer ncia de Cargas foi aberto devido a causas humanas 2 O Quadro de Transfer ncia de Cargas n o recebe tens o do Posto de Transforma o nem do Grupo Gerador Este evento s ocorre quando os disjuntores de protec o do alternador e transformadores actuam ou o Posto de Transforma o e o Grupo Gerador n o fornecem tens o ao Quadro de Transfer ncia de Cargas Neste ltimo caso a falha tem origem numa combina o de eventos Tal como no caso das UPS a FMEA n o considera esta situa o j que o Grupo Gerador e o Posto de Transforma o s o vistos como subsistemas independentes A aus ncia de tens o do Posto de Transforma o resulta do facto desta n o ser fornecida pelo Quadro Geral de Baixa Tens o As causas na origem deste evento ser o desenvolvidas posteriormente no diagrama referente ao Posto de Transforma o O mesmo se aplica ao evento o Grupo Gerador n o fornece tens o que ser desenvolvido no diagrama Grupo Gerador An lise por rvore de Falhas 45 O Quadro de Emerg ncia n o fornece tens o O Quadro de Transfer ncia de Cargas n o fornece tens o M
94. s de avaria Para cada potencial modo de avaria devem listar se os efeitos a que a sua ocorr ncia pode dar origem e as causas que podem ter estado na origem do seu aparecimento Os efeitos traduzem o modo como a avaria se manifesta e as consequ ncias que produz no sistema 18 Abordagem Proposta global ou no pr prio subsistema componente dependendo se a an lise global ou local respectivamente As causas correspondem s raz es pelas quais a fun o do subsistema componente n o cumprida Dado que um potencial modo de avaria pode ser originado por causas diferentes e tipicamente independentes entre si estas devem ser todas devidamente identificadas e descritas A ltima etapa da FMEA consiste na proposta de m todos de detec o e preven o das avarias tendo em conta a forma e os meios atrav s dos quais s o detectadas as suas ocorr ncias Estes m todos devem garantir que a ocorr ncia dos modos de avaria que ponham em causa a seguran a de pessoas ou equipamentos eliminada ou pelo menos mitigada Como j foi referido a FMECA Failure Mode Effects and Criticality Analysis uma extens o da metodologia FMEA pelo que o seu processo de desenvolvimento exige alguns detalhes adicionais A grande diferen a entre as duas an lises reside no grau de profundidade com que a criticalidade estudada Assim s etapas descritas junta se uma outra a an lise de risco Esta an lise engloba a avalia o da severidade e da fr
95. s mais simples Este podem ser subsistemas e ou componentes dependendo dos n vel de detalhe pretendido para a an lise e devem ser representados atrav s de diagramas simples mas que realcem as fun es essenciais do sistema 8 A informa o dispon vel e a experi ncia de utiliza o do sistema s o alguns dos crit rios a ter em considera o na defini o dos limites e do n vel de detalhe da an lise Um subsistema que se saiba ser fi vel ou cujo hist rico de utiliza o n o revele problemas maiores poder n o justificar uma an lise muito detalhada Do mesmo modo devem ser analisados mais minuciosamente os subsistemas mais recentes ou subsistemas que j tenham dado origem a problemas e ainda subsistemas cuja fiabilidade ainda n o completamente conhecida Depois de um subsistema ser escolhido a etapa seguinte a sua an lise funcional Nesta fase deve ser feita uma lista das suas fun es e do comportamento esperado em v rias etapas de funcionamento como por exemplo durante a opera o ou em manuten o Tendo conhecimento das fun es desempenhadas procede se ao levantamento dos potenciais modos de avaria O modo de avaria caracteriza o processo ou mecanismo de avaria que ocorre no subsistema componente ao descrever o afastamento em rela o sua fun o O grau de especifica o definido na hierarquiza o e an lise funcional do sistema fundamental para se conseguir identificar de forma transparente os modo
96. s tipos b sicos de portas l gicas s o as portas AND e as portas OR As portas AND devem ser utilizadas quando o evento de sa da s ocorre quando todos os eventos de entrada ocorrem As portas OR associam se a eventos de sa da que ocorrem se um ou mais eventos de entrada ocorrem Tabela 6 Portas l gicas de uma rvore de Falhas 11 Symbols Name Description O evento de sa da s ocorre se um ou mais dos eventos de entrada ocorrerm Porta votadora O evento de sa da ocorre se de m entradas pelo menos n ocorrem Porta OU EXCLUSIVO O evento de sa da s ocorre se exactamente um dos eventos de entrada ocorre Porta E O evento de sa da s ocorre se todos os eventos de entrada ocorrerm Porta E PRIORIDADE O evento de sa da s ocorre se todos os eventos de entrada ocorrerm dentro de uma sequ ncia ordenada espec fica Porta inibidora evento de sa da s ocorre quando ambos os eventos de entrada ocorrem um deles condicional ele eee 26 Abordagem Proposta Existem tamb m alguns casos particulares por exemplo a porta OR Exclusivo onde o evento de sa da ocorre somente se exactamente um dos eventos de entrada ocorrer ou a por AND Prioridade cujo evento de sa da ocorre somente se todos os eventos de entrada ocorrem de acordo com uma sequ ncia espec fica 3 2 3 3 Transfer ncia Um s mbolo de transfer ncia utilizado para indicar que a an lise do evento em que
97. sa dos Estados Unidos com o nome Procedures for Performing a Failure Mode Effects and Criticality Analysis Neste m todo os efeitos das avarias nos sistemas e equipamentos eram identificados e classificados de acordo com o impacto que tinham no sucesso de uma miss o e na seguran a de pessoas equipamentos 3 O grande avan o da preven o de falhas teve in cio na d cada de 60 quando a FMEA come ou a ser utilizada no mbito da pesquisa e desenvolvimento aeroespacial nomeadamente no projecto Apollo No entanto o apogeu surgiu j no final dos anos 70 com introdu o desta t cnica na ind stria autom vel pela Ford Motor Company com os objectivos de obter de melhores resultados ao n vel da produ o concep o e estabelecer crit rios regulamentares e de seguran a 4 Nos anos 80 a ind stria autom vel americana come ou a incorporar a FMEA no desenvolvimento dos seus novos produtos Com o intuito de criar um padr o dos seus sistemas de qualidade uma equipa formada por elementos da Chrysler Corporation Ford Motor Company e General Motors desenvolveu a norma QS 9000 5 cujo princ pio base era a obrigatoriedade de utiliza o da FMEA no processo de planeamento da qualidade Em 1994 este standard expandiu se a todos os fabricantes da ind stria com o aparecimento da SAE J 1739 6 desenvolvido pela Society of Automotive Engineers Actualmente existe uma vasta gama de aplica o da FMEA que incluiu al m das
98. sco da an lise FMEA Um deles a falha de regula o da temperatura possui um n vel de risco indesej vel e o outro humidade excessiva tem um n vel de risco intoler vel De acordo com os crit rios estabelecidos para a an lise da criticalidade um modo de avaria considerado intoler vel na FMEA o suficiente para serem obrigat rias medidas de mitiga o do risco adicionais Por outro lado observando os resultados da an lise por rvore de Falhas constata se que existe um n mero bastante significativo de causas directas na origem da falha de regula o da temperatura Esta constata o refor a os resultados da FMEA O plano de ac es que se julga adequado para mitigar os riscos associados ao sistema de ar condicionado 1 O ar condicionado alimentado pelo Quadro de Emerg ncia dever tamb m ser ligado as UPS dado ser uma carga cr tica 2 Acrescentar sensores de humidade pelo menos um por equipamento e ainda sensores de n vel para preven o de potenciais excessos de humidade ou fugas de gua nas salas de servidores Solu es Propostas 53 3 Instalar um sistema de insufla o para melhor aproveitamento dos caudais de ar atrav s de grelhas adicionais no pavimento falso Tamb m recomend vel a instala o de um sistema de exaust o ou de ventiladores que permitam a extrac o do ar quente 4 Estudar a aplicabilidade de redund ncia do ar condicionado correspondente a estruturas de refrigera o do tipo
99. st o vai ser continuada noutra parte da rvore Estes s mbolos t m como principal objectivo indicar a continuidade da an lise e de uma maneira geral s o utilizados quando se atinge o final de uma p gina Caso a rvore de Falhas ocupe m ltiplas p ginas deve ser indicado no s mbolo o n mero da p gina para onde o diagrama foi transferido Transfer In de modo a facilitar o acompanhamento da sua evolu o Do mesmo modo no destino deve ser inclu da a informa o da p gina inicial Transfer Out Tabela 7 S mbolo de transfer ncia de uma rvore de Falhas 11 S mbolo Descri o Transfer ncia Porta que indica que esta parte do sistema desenvolvida noutra Transfer OUT parte ou p gina do diagrama Transfer IN lt gt Cap tulo 4 An lise FMEA A ferramenta An lise dos Modos e Efeitos de Avarias FMEA Failure Mode and Effects Analysis tem como objectivo a identifica o dos modos de avaria as suas causas e as suas consequ ncias A sua aplica o permite obter uma vis o geral do sistema e o estabelecer um plano de ac es de preven o e ou mitiga o do risco Esta an lise permite reconhecer o potencial da avaria de um subsistema ou componente e avaliar sua repercuss o no sistema Este processo encarado de maneira global e sistem tica As avarias s o hierarquizadas atrav s determina o do N mero de Prioridade do Risco RPN que atribu do a cada uma e as que apr
100. to de Transforma o PT mais concretamente do Transformador 1 Existe tamb m um segundo transformador Transformador 2 que tem por fun o a alimenta o de outros edif cios Normalmente os dois transformadores n o est o em paralelo para que as correntes de curto circuito n o sejam duplicadas S quando existe uma avaria do Transformador 1 que os dois transformadores s o ent o ligados em paralelo de modo a garantir a continuidade da alimenta o das Sistema de Alimenta o de Emerg ncia 5 cargas A comuta o dos transformadores feita de forma manual atrav s de um disjuntor interbarras Em caso de avaria dos dois transformadores ou se existir aus ncia de tens o da rede o Sistema de Alimenta o de Emerg ncia activa automaticamente a sequ ncia de liga o a um Grupo Gerador de Emerg ncia na rede el ctrica interna por meio do inversor de rede do Quadro de Transfer ncia de Cargas QTC No Quadro de Transfer ncia de Cargas feita uma monitoriza o cont nua do estado das tens es da rede e do Grupo Gerador Quando detecta aus ncia de tens o da rede envia um sinal para o Quadro de Comando do Grupo de forma que o gerador inicie a sua sequ ncia de arranque Quando a tens o da rede voltar a ser detectada o Quadro de Transfer ncia de Cargas devolve as cargas para a rede el ctrica externa O gerador colocado fora do circuito e ap s um ciclo de arrefecimento automaticamente desligado e colocado n
Download Pdf Manuals
Related Search