Apresentação avaliação de riscos quantitativa das operações do bop pela aplicação de bn

Programa de Atualização Profissional
Avaliação Quantitativa de Riscos das
Operações do BOP através de Redes
Bayesianas
resumo da metodologia
por Gláucio Bastos, M.B.A, Ch.E.

resumo
 objetivo: apresentação de metodologia para
aplicação de redes Bayesianas (BN) na avaliação da
probabilidade da ocorrência de falhas durante as
operações de fechamento do BOP submarino, que
podem ser aplicadas genericamente às operações
offshore da indústria de óleo & gás

necessidade
 acidentes na indústria de óleo & gás offshore levam a
consequências devastadoras, como ocorreu em 2010,
quando falhas no fechamento do BOP, que podem ter
ocorrido antes do blowout ou durante as operações,
impediram o isolamento dos poços, causando explosões a
bordo da sonda Deepwater Horizon
 em geral os acidentes na indústria offshore não resultam
apenas de uma única falha, mas da confluência de uma
série de erros induzidos por diversos fatores humanos, de
hardware, de software, mecânicos e hidráulicos
 falhas humanas comprovadamente têm origem em fatores
psicológicos, físicos, sociológicos e organizacionais

necessidade
 enquanto as de hardware ocorrem em equipamentos
eletrônicos como controladores lógicos programáveis (PLC),
módulos de saída discreta (DO) distribuída, comutadores
ethernet e em outros equipamentos eletrônicos usados para
controle dos sistemas operacionais
 fontes de falhas em software são programas desenvolvidos,
como a lógica de controle executada em PLCs ou a interface
homem-máquina (HMI) executada nos computadores
 sistemas mecânicos e hidráulicos são os principais alvos a
serem controlados pelos sistemas de hardware e software

metodologia
 baseia-se em técnicas de análise de risco quantitativas
(QRA) que vêm sendo usadas na redução de riscos de falhas
durante as operações offshore, incluindo cadeias
Markovianas aplicadas através de BN, que permitem o
desenvolvimento de modelos versáteis para o desempenho
tanto de análise preventiva (para frente) como de
diagnóstico (reversa)
 inicialmente modelos, como algoritmos de confiabilidade do
tipo fluxograma ou árvore de falhas, são convertidos
diretamente em BN para avaliação de riscos, no caso aqui
abordado, a probabilidade de falha da função de
fechamento do BOP submarino

metodologia
 um fluxograma representa um algoritmo ou processo e
mostra os passos dos diversos eventos ou operações
(representados na BN por sua parte qualitativa que são os
nós pais e filhos interligados), cuja conexão através de arcos
define sua ordem e causalidade (correspondendo à tabela de
probabilidades condicionais – CPT, que constitui a parte
quantitativa da BN e é definida a partir de dados históricos,
do julgamento de especialistas ou da combinação de ambos)
 as 05 classes de fatores de risco analisadas – humanos, de
hardware, de software, mecânicos e hidráulicos – são
conjugadas em uma BN para avaliação dos seus efeitos na
probabilidade da ocorrência de falha durante a operação do
BOP

metodologia
 pela função preditiva da BN, visando definir a confiabilidade
ou a probabilidade de falha do sistema baseada em dados
estatísticos, a distribuição de probabilidades de uma
variável é calculada pela marginalização da distribuição de
probabilidade de falha conjunta (produto das CPTs de todas
as variáveis) em relação àquela variável
 pela função diagnóstico da BN, para definição da influência
de uma certa variável do sistema na ocorrência de uma
falha, dada a observação (Evidência) de uma variável (ou
conjunto de variáveis) indicativa de ocorrência de uma ou
mais falhas no sistema, é computada a distribuição de
probabilidade posterior de outra variável, cujo
comportamento se deseja analisar

metodologia
 a última etapa da metodologia é a análise do modelo pela
realização das funções preditiva e de diagnóstico da BN,
incluindo a análise de sensibilidade das variáveis do sistema,
para determinação das classes dos fatores de risco mais
influentes para a falha no fechamento do BOP e a validação
do modelo a partir de 03 axiomas para comprovação da
exatidão e racionalidade da BN proposta

metodologia
 a ferramenta empregada na análise de sensibilidade dos
fatores de risco é a força da influência - IS, baseada no
conceito da entropia, que mede a relevância da informação
armazenada nos dados ou seja, seu potencial para redução
da incerteza no sistema (medida pela sua entropia)
existente antes da disponibilização daquela informação
 a influência é avaliada entre 02 nós interligados da cadeia,
pelo valor da IS medida no arco que liga os 02 nós, que
representa a força da informação nos 02 sentidos entre
esses nós

descrição do problema
 o sistema do BOP submarino consiste de um sistema de
controle e de uma coluna, conforme figura seguinte
 o sistema de controle inclui controles elétricos e de fluido
 os componentes de superfície do sistema de controle
elétrico localizados na sonda formam a unidade de controle
central (CCU), que fornece capacidade funcional plena para
as operações do BOP
 PLCs de redundância modular tripla são utilizados para
transmissão de sinais de comando a partir da CCU para os
02 módulos eletrônicos submarinos (SEM), localizados nos
casulos azul e amarelo, completamente independentes
entre si

 os 02 SEMs controlam com completa redundância todas as
operações de válvulas e todas as comunicações com a CCU
 quando um casulo ou o SEM correspondente falham, o
outro é usado para operar o BOP sem interferência do
inativo
 sistemas de controle de fluido consistindo de sistemas de
alta e baixa pressão hidráulica são usados para operar o
sistema hidráulico da coluna do BOP, constituídos por
bombas, acumuladores, tubulações, mangueiras e etc
 durante a perfuração a barreira primária é a lama de
perfuração, enquanto a secundária é a coluna do BOP, já
que é projetada para fechar o orifício do poço ou a coluna
de perfuração

 são usados 02 tipos de protetores: anular e trava
 durante a perfuração o BOP pode estar equipado com 01 ou
02 protetores anulares e com 04 ou mais travas, incluindo
01 lâmina cega e algumas travas de tubo
 o BOP é frequentemente testado, segundo práticas
operacionais viáveis
 durante o teste ou na ocorrência de um kick ou blowout, o
operador deve fechar prontamente o orifício do poço
através do BOP anular ou trava, através de operações
similares para um ou outro tipo
 o estudo de caso aqui considerado é a realização da
operação “fechar o BOP trava submarino”, cujo fluxograma
é o seguinte

 durante a operação normal, os casulos azul e amarelo estão
energizados, embora apenas 01 casulo seja acionado
hidraulicamente
 quando o operador observa um kick ou blowout da tela na
HMI, ele pode enviar o comando “fechar o BOP trava
submarino”
 quando os PLCs recebem o sinal, o sistema checa qual o
casulo que se encontra acionado hidraulicamente
 no presente caso o casulo azul é selecionado inicialmente,
por isso o casulo amarelo encontra-se inativo e os módulos
DO no SEM azul energiza a válvula de acionamento direto
(DDV) solenóide azul, enquanto a baixa pressão hidráulica no
casulo azul aciona a válvula montada sob placa (SPM) azul

 10 seg. depois o sistema checa se a válvula SPM está ativada,
através de um conector de pressão
 em caso positivo, o sistema checa se o BOP trava está
completamente fechado por alta pressão hidráulica depois
de 20 seg.
 se o BOP trava estiver fechado, o operador envia o comando
“bloquear BOP trava submarino” e então a DDV azul é
desenergizada e a válvula SPM azul é desativada
 após 10 seg. a desativação da SPM azul é checada
 se alguma checagem falhar, a lógica de controle informa ao
operador para selecionar o casulo amarelo hidraulicamente
 o comando “fechar o BOP trava submarino” é executado
novamente no casulo amarelo
 quando todas as checagens forem bem sucedidas, a
operação está completa

 o fluxograma do comando “fechar o BOP trava submarino” é
traduzido diretamente para uma BN, como mostrado na
figura seguinte
 o fluxograma representa o processamento das operações
enquanto a BN representa o relacionamento entre eventos
através de suas probabilidades de ocorrência
 no fluxograma, os eventos de cada coluna – esquerda e
direita – representam conectores de 02 casulos de controle
paralelos ou redundantes, onde um copia o outro e por isso
não podem ser traduzidos diretamente na BN

 a falha de um evento em cada coluna ocasiona a falha do
casulo de controle, não havendo previsão para acionamento
direto do outro casulo nesse caso, por isso na BN é enviada a
informação para o nó “falha casulo amarelo | azul“ e,
posteriormente, representando o acionamento do outro
casulo pelo operador, o nó “conector casulo” recebe a
respectiva informação
 como visto anteriormente, os nós nesta BN são afetados por
05 classes de fatores, consistindo cada uma de alguns fatores
de risco ou falhas independentes, que afetam a performance
da operação, como mostrado na figura seguinte

resultado
 de acordo com a figura da BN no slide 18, onde estão
representadas as probabilidades a priori e posteriores no 3º
mês de funcionamento das instalações, a probabilidade da
operação de fechamento do BOP trava submarino ser bem
sucedida está em torno de 81%, considerando o fator de
cobertura imperfeita da redundância de hardware e software
de 95% e a probabilidade de erro intrínseco do resultado
sendo propagado a partir das incertezas dos dados oriundos
de julgamentos de especialistas e projeções do histórico

resultado
 quanto à análise de sensibilidade dos fatores de risco,
verifica-se pela média da IS de cada classe, que sua
sequência decrescente em termos de grau e significância
para a ocorrência de falhas na operação é a seguinte:
hidráulicos ≈ mecânicos >> humanos > software > hardware
 esses resultados confirmam estudos de que as falhas nas
operações do BOP submarino são causadas principalmente
por fatores hidráulicos e mecânicos
 a contribuição dos fatores humanos é baixa porque a coluna
do BOP submarino não é operada frequentemente, já que só
é usada durante testes e na ocorrência de kicks e blowouts,
além de que não é de difícil operação para operadores
experientes

resultado
 entretanto quando um importante incidente ocorre
envolvendo grande número de pessoas, eventos e
equipamentos, então os fatores humanos passam a ser
relevantes
 fatores de software e hardware tem um participação menor
na ocorrência de falhas, graças à lógica de controle
redundante triplo dos subsistemas PLC e DO

resultado
 a figura acima mostra o resultado da variação da
probabilidade a priori dos fatores, confirmando a maior
sensibilidade do sistema a falhas provenientes das 02
primeiras classes de fatores, enquanto se mostra
ligeiramente sensível a variações do fator humano e
insensível a variações dos fatores software e hardware

resultado
 a figura ao lado mostra a repetição
da análise através da BN ao longo do
tempo de operação de até 06 meses,
comprovando que o aumento no tem-
po de operação leva a um decréscimo
na probabilidade da operação ser bem
sucedida
 a probabilidade no início é de 96,1% e não de 100% porque
fatores humanos e de software podem causar erros em
qualquer momento, equipamentos hidráulicos, mecânicos e
hardware partem em perfeitas condições
 manutenções não foram consideradas, embora na prática a
manutenção de hardware, software e equipamentos diminui
a probabilidade de falhas

resultado
 a figura ao lado mostra a influência
do tempo na IS nos meses 01, 03 e 05
de operação
 com o passar do tempo, os efeitos
dos fatores hidráulicos, mecânicos e
hardware aumentam pois são usados
todo o tempo
 ao contrário, os efeitos dos fatores humanos e software
diminuem pois suas probabilidades a priori apresentam
distribuição uniforme
 concluindo, fatores hidráulicos e mecânicos deveriam
receber maior atenção para melhoria da performance do
BOP, incluindo técnicas de redundância para aumento da
confiabilidade

resultado
 fatores humanos de risco deveriam receber
mais atenção no caso da análise das
operações offshore como um todo, p.ex. na
perfuração, onde está comprovado que os
fatores humanos são os que mais contribuem
para falhas operacionais

validação do modelo
 consiste em se demonstrar que o modelo é uma
representação razoável do sistema real
 o modelo deve satisfazer os 03 axiomas:
 um leve aumento/redução na probabilidade a priori de
cada nó pai deve levar a relativo aumento/redução nas
probabilidades posteriores dos nós filhos;
 deve ser consistente a magnitude da influência das
variações na probabilidade de um nó pai sobre a
probabilidade do nó filho; e
 o total das magnitudes da influência da combinação das
variações na probabilidade de ‘x’ atributos deve ser
sempre maior do que aquele total de um conjunto de ‘x -
y’ (com y ∈ x) atributos

validação do modelo
 o exercício de aumentar as probabilidades de cada nó pai de
uma das classes de fatores e verificar o resultado das
influências, satisfaz os 03 axiomas, validando parcialmente o
modelo pois, p.ex.:
 quando a probabilidade de risco em “Company_Polices” é de
100%, a probabilidade de sucesso cai de 81% para 78%
 quando também a probabilidade de risco em
“Company_Standards” é de 100%, a probabilidade de
sucesso cai para 73%
 finalmente, quando o último nó pai de
“Organizational_Factor” além dos 02 anteriores, ou seja
“Procedures”, também apresenta 100% de probabilidade de
risco, a probabilidade de sucesso cai para 69%

Apresentação avaliação de riscos quantitativa das operações do bop pela aplicação de bn

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (10)

Similar to Apresentação avaliação de riscos quantitativa das operações do bop pela aplicação de bn

Similar to Apresentação avaliação de riscos quantitativa das operações do bop pela aplicação de bn (11)

More from Gláucio Bastos

More from Gláucio Bastos (16)

Apresentação avaliação de riscos quantitativa das operações do bop pela aplicação de bn