MODELO DE INDISPONIBILIDADE DE COMPONENTES CONSIDERANDO A DEGRADAÇÃO DEVIDA AO HISTÓRICO TOTAL DE DEMANDAS E ENVELHECIMENTO

Prévia do material em texto

MODELO DE INDISPONIBILIDADE DE COMPONENTES CONSIDERANDO A 
DEGRADAÇÃO DEVIDA AO HISTÓRICO TOTAL DE DEMANDAS E 
ENVELHECIMENTO - UMA APLICAÇÃO A GERADORES DIESEL DE 
EMERGÊNCIA DE USINAS NUCLEARES 
 
João Márcio Lima do Nascimento 
 
Tese de Doutorado apresentada ao Programa 
de Pós-graduação em Engenharia Nuclear, 
COPPE, da Universidade Federal do Rio de 
Janeiro, como parte dos requisitos 
necessários à obtenção do título de Doutor 
em Engenharia Nuclear. 
 
Orientador: José de Jesús Rivero Oliva 
 
 
 
 
 
Rio de Janeiro 
Março de 2021 
 
 
MODELO DE INDISPONIBILIDADE DE COMPONENTES CONSIDERANDO A 
DEGRADAÇÃO DEVIDA AO HISTÓRICO TOTAL DE DEMANDAS E 
ENVELHECIMENTO - UMA APLICAÇÃO A GERADORES DIESEL DE 
EMERGÊNCIA DE USINAS NUCLEARES 
 
João Márcio Lima do Nascimento 
 
TESE SUBMETIDA AO CORPO DOCENTE DO INSTITUTO ALBERTO LUIZ 
COIMBRA DE PÓS-GRADUAÇÃO E PESQUISA DE ENGENHARIA DA 
UNIVERSIDADE FEDERAL DO RIO DE JANEIRO COMO PARTE DOS 
REQUISITOS NECESSÁRIOS PARA A OBTENÇÃO DO GRAU DE DOUTOR EM 
CIÊNCIAS EM ENGENHARIA NUCLEAR. 
 
 
Orientador: José de Jesús Rivero Oliva 
 
 
Aprovada por: Prof. José de Jesús Rivero Oliva 
Profa. Andressa dos Santos Nicolau 
Prof. Carlos André Vaz Júnior 
Dr. Pedro Luiz da Cruz Saldanha 
Dr. Márcio Zamboti Fortes 
 
 
 
RIO DE JANEIRO, RJ – BRASIL 
MARÇO DE 2021
iii 
 
 
 
 
 
 
 
Nascimento, João Márcio Lima do 
 Modelo de indisponibilidade de componentes considerando a 
degradação devida ao histórico total de demandas e envelhecimento 
- uma aplicação a geradores diesel de emergência de usinas 
nucleares/Nascimento, João Márcio Lima do Nascimento. - Rio de 
Janeiro: UFRJ/COPPE, 2021. 
 XIV, 74 p.: il.; 29, 7cm. 
 Orientador: José de Jesús Rivero Oliva 
 Tese (doutorado) - UFRJ/COPPE/Programa de Engenharia 
 Nuclear, 2021. 
 Referências Bibliográficas: p. 70 - 73. 
 1. Station Blackout. 2. Modelos de indisponibilidade. 3. Testes 
periódicos. 4. Manutenção fora de serviço. 5. RIDM 2. I. Oliva, José 
Jesús Rivero. II. Universidade Federal do Rio de Janeiro, COPPE, 
Programa de Engenharia Nuclear. III. Título. 
 
 
 
 
 
iv 
 
Dedicatória 
 
 
 
 
 
 
 
 
 
 
 
 
 
 Aos meus amados pais: Haydelene e João Baptista 
 
v 
 
Agradecimentos 
 
Agradeço a Deus pela trajetória abençoada que me foi oferecida. Agradeço aos 
familiares e amigos que ajudaram a consolidar os valores familiares transmitidos por 
meus pais. Agradeço a todos companheiros de trajetória acadêmica e profissional. 
Agradeço à COPPE/UFRJ, minha casa por cerca de uma década. Agradeço a todos os 
membros do PEN pelo apoio sem o qual nada teria sido possível. 
Agradeço à CNEN, minha casa por cerca de duas décadas, por mais esta 
oportunidade. Agradeço aos colegas de CNEN de várias gerações pelo aprendizado e pelo 
convívio. Agradeço em especial aos colegas que me ajudaram a seguir o rumo deste 
trabalho. 
 
 
 
 
 
 
vi 
 
Resumo da Tese apresentada à COPPE/UFRJ como parte dos requisitos necessários para 
a obtenção do grau de Doutor em Ciências (D. Sc.) 
 
MODELO DE INDISPONIBILIDADE DE COMPONENTES CONSIDERANDO A 
DEGRADAÇÃO DEVIDA AO HISTÓRICO TOTAL DE DEMANDAS E 
ENVELHECIMENTO - UMA APLICAÇÃO A GERADORES DIESEL DE 
EMERGÊNCIA DE USINAS NUCLEARES 
 
João Márcio Lima do Nascimento 
Março/2021 
 
Orientador: José de Jesús Rivero Oliva 
Programa: Engenharia Nuclear 
 
Este trabalho apresenta um modelo de indisponibilidade que considera a 
degradação provocada por todo histórico de demandas de componentes em prontidão, não 
apenas a degradação provocada pelos testes periódicos programados, mas também as 
demandas reais e demandas adicionais relacionadas a manutenções corretivas quando é 
detectada falha latente do componente no teste periódico. O modelo é aplicado para 
avaliar o efeito dos testes adicionais em Geradores Diesel de Emergência de uma usina 
nuclear. Estes testes adicionais não são considerados pelos modelos disponíveis na 
literatura. Os resultados mostram que a testagem excessiva dos Geradores Diesel de 
Emergência durante seu ciclo de vida leva a um aumento significativo de sua 
indisponibilidade, com reflexos na frequência de dano ao núcleo ao final do período de 
revisão geral do componente. Este incremento pode justificar a antecipação da revisão 
geral do componente em um ou dois ciclos de trabalho. 
 
 
vii 
 
Abstract of Thesis presented to COPPE/UFRJ as a partial fulllment of the requirements 
for the degree of Doctor of Science (D. Sc.) 
 
COMPONENT UNAVAILABILITY MODEL CONSIDERING THE 
COMPREHENSIVE DEMANDS RECORD DEGRADATION AND AGING - AN 
APPLICATION TO AN NUCLEAR POWER PLANTS EMERGENCY DIESEL 
GENERATORS 
 
João Márcio Lima do Nascimento 
March/2021 
 
Advisor: José de Jesús Rivero Oliva 
Departament: Nuclear Engineering 
 
This work presents an unavailability model which considers standby component 
degradation due to repeated startups, including not only planned surveillance tests, but 
also additional startups due to real demands and, in cases when the component latent fault 
is detected by the planned test, extra tests related to corrective maintenance. The model 
is applied to evaluate the effect of additional tests on Emergency Diesel Generators from 
a Nuclear Power Plant’s On Site Power System. These additional tests are not considered 
in traditional reliability models. The results show that excessive Diesel Generator testing 
during its working life may lead to a significant increase of component unavailability with 
reflections on the core damage frequency at the end of its overhaul maintenance period. 
This increment could justify anticipation of the component overhaul maintenance in one 
or two working cycles. 
 
viii 
 
Sumário 
Capítulo 1 1 
Introdução 1 
1.1 Motivação 1 
1.2 Problema 4 
1.3 Objetivo 4 
1.4 Organização do Documento 5 
Capítulo 2 7 
Revisão Bibliográfica 7 
2.1 Evolução da Base Normativa do Evento Station Blackout 7 
2.2 Evolução da Base Normativa do Evento LOCA 13 
2.3 Política de Testes Periódicos e Manutenção 16 
2.4 Destaques da Revisão Bibliográfica 22 
Capítulo 3 24 
Marco Teórico 24 
3.1 Indisponibilidade de Componentes Considerando as Contribuições dos 
 Testes e Reparos 24 
3.2 Modelagem da Indisponibilidade de Componentes 25 
3.2.1 Modelo de indisponibilidade sem desgaste por testes 
e sem envelhecimento 29 
3.2.2 Modelo de indisponibilidade com envelhecimento 
e sem desgaste por testes 29 
3.2.3 Modelo de indisponibilidade com desgaste por testes e 
sem envelhecimento 30 
3.2.4 Modelo de indisponibilidade com desgaste por testes e com 
 envelhecimento 31 
ix 
 
3.2.5 Avaliação dos modelos de indisponibilidade lineares 
tradicionais 32 
Capítulo 4 34 
Propostas de modelos de indisponibilidade 34 
4.1 Quantificação linear da Indisponibilidade 34 
4.1.1 Modelo de Indisponibilidade linear com desgaste por partidas 
em manutenção e sem Envelhecimento 36 
4.1.2 Modelo de Indisponibilidade linear com desgaste por partidas em 
 manutenção e com Envelhecimento 37 
4.2 Histórico de partidas dos Geradores diesel de Emergência 38 
Capítulo 5 44 
Modelo de Indisponibilidade Não Linear Paramétrico 44 
Capítulo 6 49 
Caso de estudo 49 
6.1 Motivação 49 
6.2 Descrição do Sistema 50 
6.3 Tarefas de Simulação 52 
Capítulo 7 54 
Discussão de Resultados 54 
Capítulo 8 67 
Conclusões e TrabalhosFuturos 67 
Referências Bibliográficas 70 
Apêndice I 74 
Disponibilidade de Dados 74 
 
x 
 
Lista de Figuras 
Figura 2.1 – Diagrama simplificado de um sistema de injeção de segurança de alta 
pressão 
Figura 4.1 – Histórico de partidas de um Gerador Diesel 
Figure 6.1 – Sistema On Site Power 
Figura 7.1 – Indisponibilidade média do GDE para um período de dez ciclos de 
trabalho considerando Nadd = 0 
Figura 7.2 – Comportamento da FDN durante dez ciclos de trabalho considerando 
Nadd = 0 
 
 
xi 
 
Lista de Tabelas 
Tabela 2.1 – SBOMC em função da Confiabilidade dos Geradores Diesel de Emergência 
Tabela 2.2 – Contribuições de risco causadas por testes e suas causas raiz 
Tabela 4.1 – Histórico de partidas de um Gerador Diesel 
Tabela 4.2 – Parâmetros de Confiabilidade 
Tabela 4.3 – Indisponibilidades médias por período 
Tabela 7.1 – Indisponibilidade média do GDE considerando Nadd = 0 
Tabela 7.2 – Indisponibilidade média do GDE considerando Nadd = 1 
Tabela 7.3 – Indisponibilidade média do GDE considerando Nadd = 2 
Tabela 7.4 – FDN (ano-1) considerando Nadd = 0 
Tabela 7.5 – FDN (ano-1) considerando Nadd = 1 
Tabela 7.6 – FDN (ano-1) considerando Nadd = 2 
Tabela 7.7 – Importância Fussell-Vesely do evento EDGFS para Nadd = 0 
Tabela 7.8 – FDN (ano-1) considerando Nadd = 0 para uma configuração 2 of 4 EDG 
com um subsistema indisponível 
 
xii 
 
Lista de Símbolos 
erf função de erro [-] 
m número de testes executados anteriormente no ciclo de trabalho [-] 
𝑛 número total de períodos de teste [-] 
n0 número inicial de demandas [-] 
nd número total de demandas do equipamento [-] 
p1 fator de degradação por demanda [-] 
p2 fator de degradação por tempo em prontidão [-] 
�̅� indisponibilidade média [-] 
𝑅0 FDN avaliada quando o componente está disponível [ano
-1] 
𝑅1 FDN avaliada quando o componente está indisponível [ano
-1] 
𝑅𝐶 Risco causado pelo teste [ano
-1] 
𝑅𝐷 Risco detectado pelo teste [ano
-1] 
𝑅𝑑𝑜𝑤𝑛 Risco devido à indisponibilidade do equipamento durante a 
execução do teste [ano-1] 
𝑅𝑠𝑡𝑎𝑡𝑒 Risco devido a configuração do teste ou erro ao recuperar o componente [ano
-1] 
𝑅𝑇 Impacto Total ao Risco do teste é definido [ano
-1] 
𝑅𝑡𝑟𝑖𝑝 Risco de desligamento do reator causado pelo teste [ano
-1] 
𝑅𝑤𝑒𝑎𝑟 Risco devido ao desgaste de equipamento provocado [ano
-1] 
𝑡 tempo decorrido desde o último teste [horas] 
𝑇 Intervalo entre testes periódicos [horas] 
T0 tempo de trabalho de ciclos de trabalhos anteriores 
Tc Duração do ciclo de trabalho [horas] 
𝑇𝑟 duração média do reparo [horas] 
𝑇𝑡 duração média do teste [horas] 
 
 
xiii 
 
 
Letras gregas 
α fator de envelhecimento [hora-1 ano-1] 
β1 parâmetro de impacto na probabilidade de falha por demanda associado ao 
número de demandas [-]; 
β2 parâmetro de impacto na taxa de falha associado ao número de demandas [-] 
β3 parâmetro de impacto na taxa de falha associado ao tempo de envelhecimento [-] 
δ número de demandas adicionais; 
𝜆0 taxa de falha residual [hora
-1]; 
𝜆 taxa de falha [hora-1] 
𝜌 probabilidade de falha em demanda [-] 
𝜌0 probabilidade de falha em demanda residual [-] 
 
xiv 
 
Subscrito 
0 Residual 
add Adicionais 
eff Efetivo 
pmt Pós-manutenção 
MAX Máxima 
 
1 
 
Capítulo 1 
Introdução 
1.1 Motivação 
 
Ao longo das últimas décadas, as bases normativas da indústria nuclear foram 
objeto de um constante aperfeiçoamento motivado pela experiência operacional 
acumulada pelas usinas e, especialmente, das lições aprendidas a partir dos acidentes de 
Three Mile Island (USNRC, 1979), Chernobil (IAEA, 1992) e Fukushima (IAEA, 2015). 
Com relação aos Geradores Diesel de Emergência (GDEs), destaca-se a evolução da base 
normativa relacionada aos eventos de Station Blackout e acidentes com perda de 
refrigerante (Loss of Coolant Accident - LOCA), dois eventos iniciadores com importante 
demanda sobre os Geradores Diesel de Emergência. 
 
Em 1975, a United States Nuclear Regulatory Commission (USNRC) publicou o 
Reactor Safety Study, WASH 1400 (USNRC, 1975), que foi a primeira avaliação 
integrada do risco derivado da operação de usinas nucleares mediante uma metodologia 
atualmente conhecida como Análise Probabilística de Segurança (APS). Este estudo 
apontou o Station Blackout como um dos eventos que pode apresentar uma contribuição 
importante ao risco e, por este motivo, a USNRC declarou o Station Blackout como 
questão de segurança não resolvida (Unsolved Safety Issue – USI). 
 
No caso dos Geradores Diesel de Emergência, um programa apropriado de testes 
periódicos e manutenção é especialmente importante, pois além de verificar o 
atendimento da usina às Especificações Técnicas e a permanência dentro de sua Base de 
Projeto (USNRC, 1995a), os Geradores Diesel de Emergência são necessários para 
mitigar as consequências dos acidentes além da Base de Projeto. 
 
Em 2016, a Agência Internacional de Energia (International Agency of Atomic 
Energy - IAEA) publicou a Revisão 1 do Specific Safety Requirements No. SSR-2/1 – 
2 
 
Safety of Nuclear Power Plants: Design (IAEA, 2016). É importante destacar que a 
Revisão 1 do SSR-2/1 é um documento que não tem a natureza de um relatório sobre o 
acidente de Fukushima. O objetivo desta Revisão é incorporar aos requisitos de segurança 
para o projeto de usinas nucleares as lições aprendidas no acidente de Fukushima. 
 
A dinâmica do acidente, na qual um terremoto seguido de uma maremoto que 
afetou o sítio da usina indisponibilizando diversos sistemas de segurança e 
comprometendo especialmente a alimentação de energia elétrica devido a um evento de 
Station Blackout prolongado, levou a uma mudança conceitual muito importante nos 
requisitos de segurança dos projetos de usinas nucleares: O conceito de Acidente Base 
Além da Base de Projeto, condição extremamente improvável na qual o acidente demanda 
recursos além dos disponíveis para levar a usina a uma condição segura, é substituído 
pelo conceito de Operação em Base de Projeto Estendida. Nesta condição operacional 
pós-acidente, mesmo ocorrendo perda da integridade do núcleo, é necessário garantir que 
sejam disponibilizados recursos para mitigar as consequências do acidente. Assim, com 
relação ao fornecimento de energia elétrica para a usina, é determinado que fontes 
Alternativas de Corrente Alternada (ACA) estejam disponíveis durante Operação em 
Base de Projeto Estendida. 
 
Várias iniciativas foram tomadas para dar resposta ao Station Blackout como 
desafio à segurança. Uma das principais vias identificadas foi a preservação da 
confiabilidade do sistema de fornecimento de energia elétrica interna (On Site Power) em 
níveis elevados mediante uma política adequada de testes periódicos e manutenção. Esta 
política deve possibilitar que a confiabilidade dos Geradores Diesel de Emergência 
permaneça acima dos valores definidos como metas pelo US Nuclear Regulatory 
Commission Regulation (NUREG) 1032 (USNRC, 1988a) e no USNRC Regulatory Guide 
1.155 (USNRC, 1988b). 
 
Por meio de dos testes periódicos, podem ser identificadas falhas latentes dos 
Geradores Diesel de Emergência que permanecem em prontidão. A principal contribuição 
positiva de um teste periódico é, portanto, a identificação e correção de falhas assim como 
a interrupção do progresso daquelas que estavam em desenvolvimento. Infelizmente, 
existem também contribuições adversas, tais como, desgaste adicional do componente, 
risco de desligamento da usina (trip) devido a transientes gerados pelo teste, e a 
3 
 
possibilidade de erro de realinhamento do componente após a execução do teste. Os 
efeitos de algumas destas contribuições adversas não são suficientemente considerados 
nos modelos de indisponibilidade conhecidos. 
 
Por outra parte, a base normativa do evento Acidente com Perda de Refrigerante 
(Lossof Coolant Accident - LOCA) também evoluiu ao longo das últimas décadas devido 
ao acúmulo da experiência operacional. Em 2010, a USNRC publicou uma atualização 
normativa, 10 Code of Federal Regulations 50 (10CFR50.46) (USNRC, 2010), com uma 
nova classificação dos eventos LOCA em duas regiões. Uma primeira região, para 
rupturas do primário de tamanho inferior a um valor denominado Tamanho de Ruptura 
de Transição (Transition Break Size- TBS) e uma segunda região, para rupturas acima do 
TBS, com alta taxa de perda de refrigerante que demanda mais recursos para manter a 
remoção de calor residual e preservar a integridade do núcleo. 
 
Os eventos da segunda região são considerados extremamente improváveis em 
comparação com os eventos da primeira região. De acordo com esta nova regulamentação 
do evento LOCA, os requisitos regulatórios para o Sistema de Refrigeração de 
Emergência do Reator (Emergency Core Cooling System- ECCS), para rupturas de 
tubulação menores que o TBS, permanecem os mesmos previstos no 10CFR50.46 
(USNRC, 2010). No entanto, devido ao fato de a ocorrência de eventos na segunda região, 
acima do TBS, ter uma probabilidade consideravelmente menor que os da primeira, os 
requisitos regulatórios adotados para eventos de ruptura de tubulação acima do TBS 
podem ser menos conservativos. 
 
Assim, a nova regulamentação do LOCA determina que eventos de ruptura de 
tubulação maiores que o TBS passam a ser considerados acidentes além da Base de 
Projeto ou em Base de Projeto Estendida. Estes eventos permanecem sob controle 
regulatório e a nova regra do LOCA determina que seja assegurada a capacidade de 
mitigar todo espectro de LOCA. No entanto, para eventos LOCA acima do TBS, não é 
necessário postular o evento de LOCA concomitante com um evento de perda de 
alimentação de energia elétrica externa (Loss of Offsite Power- LOOP). 
 
(CHO, et al., 2000) e (LIM, et al., 2007) abordaram esta mudança de base 
normativa para avaliar o impacto de uma flexibilização no tempo de partida requerido aos 
4 
 
Geradores Diesel de Emergência, que é critério de aceitação na realização dos testes 
periódicos. Este tempo, anteriormente determinado pelas exigências extremas de um 
grande LOCA, acima do TBS, concomitante com LOOP, poderia ser aumentado para 
atender com maior confiabilidade acidentes mais frequentes previstos nas bases de 
projeto. 
 
Neste contexto, o presente trabalho é motivado pela necessidade de avaliar os 
impactos na política de testes periódicos e manutenção dos Geradores Diesel de 
Emergência derivados da evolução dos requisitos regulatórios e bases normativas. Estes 
impactos ainda não foram estudados de forma integrada suficientemente. Isto se refere 
especificamente ao aumento da frequência de testes em condições de desgaste 
conjuntamente com critérios de aceitação rígidos que levam a uma maior quantidade de 
testes mal sucedidos que geram, por sua vez, uma maior indisponibilidade por 
manutenção corretiva e ao desgaste devido ao aumento do número de testes pós-
manutenção. 
 
1.2 Problema 
 
As mudanças nas bases normativas dos eventos SBO e LOCA apresentam 
consequências possivelmente conflitantes entre si, possibilitando ora um maior rigor, ora 
um relaxamento de requisitos regulatórios relacionados às políticas de testes periódicos e 
de manutenção dos Geradores Diesel de Emergência. 
 
Por este motivo, é necessário avaliar o impacto ao risco derivado destas mudanças. 
Contudo, não há uma ferramenta que permita uma avaliação integrada do efeito que as 
diversas modificações das bases normativas têm sobre a política de testes periódicos e 
manutenção dos Geradores Diesel de Emergência, especialmente com relação à 
periodicidade dos testes e aos seus critérios de aceitação. 
 
 
5 
 
1.3 Objetivo 
 
O objetivo deste trabalho é desenvolver um modelo de indisponibilidade que 
considere envelhecimento e o desgaste provocado por todas partidas dos Geradores 
Diesel de Emergência do sistema On Site Power de uma usina nuclear durante o ciclo de 
vida dos Geradores Diesel de Emergência. Ou seja, o modelo contempla partidas devidas 
a testes periódicos, partidas relacionadas à manutenção fora de serviço (Maintenance Out 
of Service - MOOS) e, finalmente, às demandas reais dos Geradores Diesel de Emergência 
devido às eventuais perdas de alimentação externa da usina (Loss of Off Site Power - 
LOOP). Através deste modelo é possível quantificar a variação dos valores de 
indisponibilidade dos Geradores Diesel de Emergência decorrente de diferentes políticas 
de manutenção e testes periódicos que impliquem em um maior ou menor número de 
partidas dos Geradores Diesel de Emergência ao longo de seu ciclo de vida. 
 
O impacto no risco total da usina decorrente da variação da indisponibilidade dos 
Geradores Diesel de Emergência, devida a políticas de manutenção mais ou menos 
rigorosas, é avaliado através da utilização de um modelo de APS de uma usina nuclear. 
 
 
1.4 Organização do Documento 
 
O Capítulo 2 apresenta a Revisão Bibliográfica dividida nos seguintes tópicos: 
• Evolução da Base Normativa do Station Blackout; 
• Evolução da Base Normativa do LOCA; 
• Política de Testes Periódicos e Manutenção Corretiva. 
 
No Capítulo 3, Marco Teórico, são apresentados modelos matemáticos estudados 
na pesquisa bibliográfica e, a partir destes modelos, no Capítulo 4, são propostos modelos 
lineares de indisponibilidade que permitem quantificar as contribuições à 
indisponibilidade do desgaste provocado pelos testes, periódicos e pós-manutenção, e 
pelo envelhecimento. No Capítulo 5, é apresentado um modelo não linear de 
6 
 
indisponibilidade que permite a quantificação da indisponibilidade decorrente de 
diferentes políticas de manutenção e das demandas reais dos Gerador Diesel. No Capítulo 
6 é apresentado o caso de estudo, uma série de simulações sobre o impacto na Frequência 
de Dano ao Núcleo (FDN) das variações da indisponibilidade verificadas no modelo 
proposto no Capítulo 5. No Capítulo 7 é apresentada a discussão dos resultados das 
simulações. Por fim, no Capítulo 8 são apresentadas as conclusões e as sugestões deste 
trabalho. 
7 
 
Capítulo 2 
Revisão Bibliográfica 
 
2.1 Evolução da Base Normativa do Evento 
Station Blackout 
 
Station Blackout de uma usina nuclear é um evento definido (USNRC, 1975) 
(USNRC, 1988a) (USNRC, 1988b) como a perda de alimentação externa (LOOP) 
concomitante com desligamento da turbina e falha do sistema de suprimento interno de 
energia elétrica de emergência (On Site Power), mas sem a perda de alimentação de 
corrente alternada através de baterias e inversores. 
 
O WASH 1400 (USNRC, 1975) estabeleceu uma metodologia de Análise 
Probabilística de Segurança de usinas nucleares baseada em uma divisão de tarefas que, 
uma vez combinadas, produzem como resultado final uma avaliação global do risco 
associado a uma usina nuclear. Deste modo, a determinação final do risco é dividida em 
três tarefas principais: 
• Tarefa I – Identificação dos potenciais acidentes e quantificação de suas 
frequências de ocorrência e da liberação de radiação ao ambiente associada; 
• Tarefa II – Após a obtenção dos resultados da Tarefa I, é calculado como a 
radiação se distribui no ambiente e suas consequências para o público e 
propriedades; 
• Tarefa III – Por fim, é feita uma ponderação entre as consequências obtidas na 
Tarefa II e suas frequências, obtidas na Tarefa I, e assim obtém-se uma estimativa 
do risco total decorrente de acidentes nucleares. 
 
Este trabalho se limita ao estudo da quantificação da frequência de dano ao Núcleo, 
APS nível I, realizado durante a execução da Tarefa I. A análise dos valores das 
8 
 
frequências de ocorrência obtidos possibilita uma avaliação da adequação dos requisitos 
de confiabilidade dos componentes e sistemas envolvidos nas sequências acidentais com 
maior contribuição aorisco. Assim, este trabalho mantém o foco na metodologia proposta 
no WASH 1400 (USNRC, 1975) para a realização da Tarefa I (Identificação dos 
potenciais acidentes e quantificação de sua frequência de ocorrência de acidentes com 
liberação de radiação ao ambiente associada) devido ao fato de que política de testes 
periódicos e manutenção está mais relacionada à redução das probabilidades das 
sequências acidentais do que às consequências dos acidentes. 
 
A metodologia utilizada para a definição das probabilidades das sequências acidentais 
utilizada pelo WASH 1400 (USNRC, 1975) é a da modelagem através de árvores de 
eventos e de árvores de falhas apresentada no Addedum I, "An Over-view of Event Tree 
and Fault Tree Methodology and the Handling of Common Mode Failure", do WASH 
1400 (USNRC, 1975). 
 
Um dos resultados relevantes do WASH 1400 (USNRC, 1975) foi a conclusão de que 
as falhas dependentes são contribuintes importantes ao risco das usinas nucleares. O 
evento Station Blackout pode acarretar falhas dependentes nos equipamentos de 
segurança ativos, especialmente os que não são alimentados por energia elétrica através 
de baterias e inversores. 
 
Em 1979 a USNRC declarou o evento Station Blackout como questão de segurança 
não resolvida (Unsolved Safety Issue 44 - USI.44) e, por este motivo, verificou a 
necessidade de aprofundar o entendimento desta questão de modo a estabelecer critérios 
regulatórios adequados. 
 
Para abordar a USI.44, foi implementado um plano de ação (Task Plan Action 44 - 
TPA.44) que levou, em 1988, à publicação do NUREG 1032 – Evaluation of Station 
Blackout Accidents at Nuclear Power Plants (USNRC, 1988a), que apresentou as 
conclusões técnicas decorrentes do TAP.44. Estas conclusões estabeleceram as bases para 
o Regulatory Guide 1.155 - Station Blackout (USNRC, 1988b). Em 2003, o NUREG 1776 
– Regulatory Effectiveness of the Station Blackout Rule (USNRC, 2000) publicou uma 
avaliação da efetividade da implementação da regra do evento de Station Blackout 
estabelecida pelo Regulatory Guide 1.155 (USNRC, 1988b). 
9 
 
 
O NUREG 1032 (USNRC, 1988a) apresenta de forma consolidada os estudos feitos 
após a publicação do WASH 1400 (USNRC, 1975) abordando, basicamente, os seguintes 
tópicos: 
• Frequência e duração da LOOP; 
• Confiabilidade das fontes de corrente alternada de emergência (internas e 
externas); 
• Frequência e duração do Station Blackout; 
• Capacidade de mitigar o Station Blackout (Station Blackout Mitigation Capability 
- SBOMC); 
• Análise das sequências acidentais; 
• Avaliação das características dominantes do Station Blackout. 
 
Os tópicos acima foram estudados com base na experiência de diversas usinas, 
levando em consideração aspectos externos às usinas, que podem influenciar a frequência 
e a duração do evento de LOOP, e aspectos inerentes ao projeto da usina, tais como as 
possíveis configurações dos sistemas de On Site Power e políticas de testes periódicos e 
manutenção. 
 
O Regulatory Guide 1.155 (USNRC, 1988b) estabelece metas de confiabilidade para 
os Geradores Diesel de Emergência e valores aceitáveis da SBOMC como função das 
características meteorológicas, de projeto do sistema externo de fornecimento de energia 
(Offsite Power) ao qual a usina está ligada, da configuração dos Geradores Diesel de 
Emergência adotada no sistema e demais características do projeto do sistema On Site 
Power da usina. 
 
A Tabela 2.1 (USNRC, 1988b) mostra as metas estabelecidas para diferentes 
condições possíveis baseadas em uma classificação em três grupos dos sistemas Offsite 
Power (P1, P2 e P3) e três tipos de configuração dos Geradores Diesel de Emergência no 
sistema On Site Power (A, B e C). A classificação dos sistemas Offsite Power leva em 
consideração características tais como, número de circuitos alternativos, independência 
destes circuitos, aspectos meteorológicos e outras variáveis que podem contribuir para a 
interrupção do fornecimento de energia externa da usina. Nesta classificação, P1 
10 
 
corresponde ao cenário mais favorável e P3 ao pior cenário. De modo semelhante, a 
classificação dos sistemas de On Site Power leva em consideração fatores que podem 
contribuir para a interrupção do fornecimento interno de energia. Nesta classificação, A 
representa a configuração mais robusta e C a menos robusta. 
 
Tabela 2.1: SBOMC em função da Confiabilidade dos Geradores Diesel de Emergência 
 
Característica 
de Projeto do 
Offsite Power 
SBOMC aceitável (horas) 
Configuração 
do grupo GDE 
A B C 
Confiabilidade 0,975 0,95 0,975 0,95 0,975 0,95 
[P1] 2 2 4 4 4 4 
[P2] 4 4 4 4 4 8 
[P3] 4 8 4 8 8 16 
 
Posteriormente, o NUREG 1776 (USNRC, 2000) avalia a eficácia da 
implementação da base regulatória introduzida pelo NUREG 1032 (USNRC, 1988a) e 
pelo Regulatory Guide 1.155 (USNRC, 1988b). O NUREG 1776 (USNRC, 2000) conclui 
que a regra do Station Blackout foi implementada de modo efetivo pelas usinas 
licenciadas pela USNRC, que houve um aumento da SBOMC acima dos valores prescritos 
na tabela 2.1, redução do risco, aumento da tolerância à LOOP e que os custos de 
implementação foram considerados razoáveis. 
 
No entanto, o NUREG 1776 (USNRC, 2000), introduz recomendações de revisão da 
regra do Station Blackout definida no Regulatory Guide 1.155 (USNRC, 1988b). 
Especialmente no seguinte ponto: 
• Esclarecimento de que a busca contínua de níveis elevados de confiabilidade dos 
Geradores Diesel de Emergência pode levar a um aumento da indisponibilidade 
11 
 
dos Geradores Diesel de Emergência devido ao elevado número de testes e ao 
desgaste provocado por uma rotina pesada de testes periódicos. Por este motivo, 
os licenciados são orientados a não testar excessivamente os Geradores Diesel de 
Emergência para demonstrar as metas de confiabilidade prescritas no Regulatory 
Guide 1.155 e, deste modo, evitar aumentos desnecessários da indisponibilidade 
dos Geradores Diesel de Emergência; 
 
Esta recomendação cria as bases para uma maior utilização da análise do risco total 
da execução de testes periódicos proposta pelo NUREG 5775 (USNRC, 1992) e por 
(KIM, et al., 1994). Deste modo, a busca por altos níveis de confiabilidade dos Geradores 
Diesel de Emergência passa a ser ponderada com o incremento do risco introduzido pela 
execução dos testes periódicos, em manutenção fora de serviço e pós-manutenção, que 
podem provocar um aumento da indisponibilidade dos Geradores Diesel de Emergência. 
 
O NUREG 6890 (USNRC, 2005), Reevaluation of Station Blackout Risk at Nuclear 
Power Plants - Analysis of Station Blackout Risk, apresenta uma avaliação da experiência 
operacional relativa ao evento Station Blackout no período entre 1986 e 2004, período 
não contemplado pelos NUREG 1032, Regulatory Guide 1.155 e NUREG 1776. O foco 
deste trabalho é nas características do LOOP e chega-se à conclusão de que a frequência 
de LOOP foi reduzida ao longo dos anos, no entanto, sua duração aumentou, dado que 
indica a necessidade de avaliar a necessidade de aumento da SBOMC das usinas 
licenciadas. 
 
A evolução da base regulatória levou à publicação de trabalhos científicos avaliando 
os impactos do aumento da SBOMC. Neste contexto, (VOLKANOVSKI & PROSEK, 
2013) aplicam a metodologia de árvores de eventos e árvores de falhas e avalia os 
impactos no risco do aumento da SBOMC. A análise é feita basicamente através de 
modelos termo-hidráulicos (RELAP5) (USNRC, 1995b) e conclui que a maior redução 
da FDN é observada nas simulações com aumento do número de Geradores Diesel de 
Emergência e aumento da capacidade de fornecimento de energia elétrica em corrente 
alternada através de baterias e inversores. 
 
Ainda tratando da adequação da SBOMC, (AL SHEHHI, et al., 2013) desenvolve 
modelos para quantificar a relação segurança/custo de engenharia da extensão da SBOMC 
12 
 
a partir da avaliação de diferentes estratégiasde manipulação de variáveis de projeto 
como: 
• aumento da capacidade de fornecimento da água de alimentação de emergência; 
• utilização de geradores diesel de emergência diversos; 
• modificação do intervalo dos testes periódicos. 
 
Os resultados apresentados concluem que existem, basicamente, duas estratégias para 
redução do risco de dano ao núcleo devido ao Station Blackout: 
• redução da frequência de Station Blackout através do uso de Geradores Diesel de 
Emergência diversos com refrigeração a água e a ar, por exemplo, com o objetivo 
de reduzir a frequência de perda do sistema On Site Power; 
• aumento da SBOMC através do aumento da capacidade do banco de baterias, de 
fontes ACA e da utilização de um sistema alternativo de alimentação de água de 
emergência em condições de Station Blackout, caminhões tanque, por exemplo. 
 
Com relação ao custo, o aumento do fornecimento da água de alimentação de 
emergência disponível é economicamente preferível à adição de Geradores Diesel de 
Emergência diversos. No entanto, com relação à redução da FDN, a instalação de 
Geradores Diesel de Emergência diversos é mais simples e efetiva que a instalação de um 
sistema alternativo de alimentação de água de emergência, apesar de seu custo ser maior. 
 
Por fim, este estudo chega à conclusão de que existe uma frequência ótima teórica, 
do ponto de vista da relação risco/custo, para a realização de testes periódicos dos 
Geradores Diesel de Emergência em função da adição de Geradores Diesel de 
Emergência diversos e do aumento do fornecimento da água de alimentação de 
emergência. 
 
Abordando a questão de fontes alternativas alimentação de energia elétrica, (LEE, et 
al., 2014) avaliam a utilização de fontes ACA não qualificadas como classe de segurança 
como uma estratégia de mitigação do Station Blackout do reator APR1400. Nesta 
abordagem, em caso de Station Blackout, equipamentos essenciais à segurança poderiam 
ser alimentados por fontes de corrente alternada não qualificadas de modo a garantir o 
cumprimento da função de segurança. Além disso, este trabalho aborda a questão do 
13 
 
estabelecimento de procedimentos operacionais a serem adotados em caso de ocorrência 
do evento Station Blackout. 
 
A base regulatória estabelecida após o WASH 1400 (USNRC, 1975) prevê a adoção 
de procedimentos para restabelecer o Offsite e On Site Power para enfrentar o evento 
Station Blackout. Assim, (LEE, et al., 2014) inovam ao propor procedimentos para a 
situação de Station Blackout em condições de Base de Projeto Estendida, na qual não foi 
possível recuperar Offsite e On Site Power, e a SBOMC se esgota. Neste caso, é necessário 
que sejam definidos previamente procedimentos operacionais para que, utilizando 
características de projeto da usina e fontes alternativas de energia portáteis e de água para 
resfriamento, seja possível manter a capacidade de refrigeração do núcleo. 
 
2.2 Evolução da Base Normativa do Evento 
LOCA 
 
Acidentes com Perda de Refrigerante (Loss of Coolant Accident- LOCA) são 
acidentes postulados que resultam na perda de refrigerante do reator, em uma taxa maior 
que a capacidade de reposição, provocada por rupturas nas barreiras de pressão do 
primário, incluindo a ruptura completa da maior tubulação do sistema de refrigeração do 
reator (USNRC, 1997) (USNRC, 2010). 
 
Do ponto de vista da Base de Projeto, o evento de LOCA concomitante com LOOP 
é um dos maiores desafios à segurança das usinas nucleares. Deste modo, a mudança da 
base normativa relativa ao evento LOCA pode ter impacto na política de testes periódicos 
e de manutenção dos Geradores Diesel de Emergência, especialmente com relação à 
periodicidade da realização e aos critérios de aceitação dos testes, especificamente o 
tempo de partida dos Geradores Diesel de Emergência. 
 
Da mesma forma como ocorreu com relação ao evento Station Blackout, a 
experiência operacional acumulada ao longo de últimas décadas levou a mudanças na 
base normativa do evento LOCA (USNRC, 2010). 
14 
 
 
O NUREG 6890 (USNRC, 2005) estabeleceu a regra final do LOCA que 
modificou os Requisitos Técnicos (Technical Requirements) relativos ao LOCA. Estes 
novos requisitos introduzem o conceito de Tamanho de Ruptura de Transição (Transition 
Break Size - TBS). Eventos LOCA com rupturas maiores que o TBS são considerados 
extremamente improváveis e, por este motivo, estes eventos passam a ser considerados 
acidentes além da Base de Projeto, ou em Base de Projeto Estendida. Devido a esta 
mudança de classificação, não é necessário assumir o evento de LOCA com ruptura maior 
que o TBS concomitante com um evento de LOOP. Isto pode levar a uma possibilidade 
de aumento do tempo de partida máximo dos Geradores Diesel de Emergência, critério 
de aceitação de testes periódicos. Além disso, as mudanças na base normativa do evento 
LOCA (USNRC, 2010) estabelecem que, após análise de segurança específica, é possível 
permitir que as usinas operem durante pequenos intervalos, até 14 dias, por exemplo, com 
equipamentos necessários à mitigação de eventos de LOCA acima do TBS indisponíveis. 
 
Avaliando os impactos da mudança da base normativa do LOCA, (LIM, et al., 2007) 
apresentam uma análise termo-hidráulica combinada com um modelo de APS do impacto 
no risco do reator OPR-1000 no caso de o tempo máximo de partida dos Geradores Diesel 
de Emergência ser estendido a partir do relaxamento dos requisitos técnicos permitidos 
após a publicação de (USNRC, 2010). A metodologia aplicada por (LIM, et al., 2007) 
utiliza a análise termo-hidráulica para determinar as seguintes correlações: 
• O tempo máximo de partida dos Geradores Diesel de Emergência, sem dano ao 
revestimento do combustível devido à falta de refrigeração do núcleo do reator, 
em caso de LOCA com dupla guilhotina; 
• O tamanho máximo de ruptura do LOCA, sem dano ao revestimento do 
combustível, de acordo com o tempo de partida do Gerador Diesel de Emergência. 
 
Em seguida, é apresentado um estudo da probabilidade condicional de ocorrer um 
LOOP dada a ocorrência de um LOCA. É quantificado o efeito do tempo de partida na 
probabilidade de falha do Gerador Diesel de Emergência. São identificadas duas 
contribuições ao risco relacionadas ao tempo de partida do Gerador Diesel de 
Emergência: 
• Acréscimo da FDN devido ao LOCA não mitigado; 
15 
 
• Decréscimo da FDN, nos eventos que permitem um tempo de partida dos 
Geradores Diesel de Emergência maior, devido a uma maior disponibilidade 
destes. 
 
(LIM, et al., 2007) desenvolve uma análise de sensibilidade do tempo de partida dos 
Geradores Diesel de Emergência para determinar qual contribuição ao risco é dominante 
e conclui que, para quantificar a mudança do risco da usina relacionada ao tempo de 
partida do Gerador Diesel de Emergência, as seguintes informações são necessárias: 
• O maior tamanho de ruptura do LOCA mitigável de acordo com o tempo de partida 
do Gerador Diesel de Emergência; 
• A distribuição de frequência do tamanho de ruptura do LOCA; 
• A distribuição de frequência do evento LOCA concomitante com LOOP; 
• O modelo de Análise Probabilística de Segurança para se obter a FDN; 
• A probabilidade de falha do Gerador Diesel de Emergência em função do tempo 
de partida. 
 
(KANG, et al., 2013) propõe um procedimento probabilístico e determinístico 
combinado para avaliação de risco e margens de segurança e apresenta sua aplicação para 
a avaliação do desempenho do ECCS na redefinição do LOCA do reator APR-1400. A 
avaliação aponta para a possibilidade de mudanças de projeto da usina, dentre elas, a 
possibilidade de estender o tempo de partida dos Geradores Diesel de Emergência. O 
modelo proposto avalia o efeito do aumento do tempo de partida dos Geradores Diesel de 
Emergência na FDN. Os resultados levam à conclusão de que é possível aumentar o 
tempo de partida dos Geradores Diesel de Emergência de 20s para60s sem redução 
considerável das margens de segurança. 
 
Diante do exposto, conclui-se que a evolução da base regulatória do LOCA aponta 
para a possibilidade de um aumento do tempo de partida dos Geradores Diesel de 
Emergência verificada por pesquisas baseadas em modelos da APS e termo-hidráulicos. 
É importante destacar que o tempo de partida dos Geradores Diesel é um dos critérios de 
aceitação dos testes periódicos a que os Geradores Diesel são submetidos. A 
flexibilização deste critério de aceitação poderia levar a uma redução do número de testes 
realizados sem sucesso ao longo da vida útil deste componente. Isto implicaria em uma 
16 
 
redução dos valores de indisponibilidade do equipamento devido a redução do número 
total de testes, redução de necessidade de execução de manutenções corretivas e redução 
da degradação do componente devida à execução de testes pós-manutenção. 
 
2.3 Política de Testes Periódicos e 
Manutenção 
 
(KIM, et al., 1994) quantificam as diversas parcelas do risco associado a um teste 
periódico e avalia a efetividade do teste em função destas parcelas. Os riscos associados 
ao teste são classificados como riscos detectados pelo teste e riscos causados pelos testes. 
A parcela do risco detectado pelo teste (RD), Eq. (2.1), corresponde às falhas latentes 
reveladas pela execução dos testes. A parcela do risco causado (RC) pela execução do 
teste periódico, Eq. (2.2), corresponde à soma das parcelas 𝑅𝑡𝑟𝑖𝑝(risco de desligamento 
do reator (trip) devido a um transiente causado pelo teste), 𝑅𝑤𝑒𝑎𝑟(risco de desgaste devido 
aos testes repetitivos); 𝑅𝑠𝑡𝑎𝑡𝑒(risco de alinhamento pós-teste incorreto) e 𝑅𝑑𝑜𝑤𝑛(risco de 
indisponibilidade devido à execução do teste). Estas contribuições ao risco são detalhadas 
na Tabela 2.2 (KIM, et al., 1994). 
 
𝑅𝐷 = 
1
2
 𝜆𝑇 (𝑅1 − 𝑅0) (2.1) 
 
𝑅𝐶 = 𝑅𝑡𝑟𝑖𝑝 + 𝑅𝑤𝑒𝑎𝑟 + 𝑅𝑠𝑡𝑎𝑡𝑒 + 𝑅𝑑𝑜𝑤𝑛 (2.2) 
 
𝑂𝑛𝑑𝑒, 
𝑅1 = 𝐹𝐷𝑁 𝑎𝑣𝑎𝑙𝑖𝑎𝑑𝑎 𝑞𝑢𝑎𝑛𝑑𝑜 𝑜 𝑐𝑜𝑚𝑝𝑜𝑛𝑒𝑛𝑡𝑒 𝑒𝑠𝑡á 𝑖𝑛𝑑𝑖𝑠𝑝𝑜𝑛í𝑣𝑒𝑙; 
𝑅0 = 𝐹𝐷𝑁 𝑎𝑣𝑎𝑙𝑖𝑎𝑑𝑎 𝑞𝑢𝑎𝑛𝑑𝑜 𝑜 𝑐𝑜𝑚𝑝𝑜𝑛𝑒𝑛𝑡𝑒 𝑒𝑠𝑡á 𝑑𝑖𝑠𝑝𝑜𝑛í𝑣𝑒𝑙; 
𝜆 = 𝑡𝑎𝑥𝑎 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎; 
𝑇 = 𝐼𝑛𝑡𝑒𝑟𝑣𝑎𝑙𝑜 𝑒𝑛𝑡𝑟𝑒 𝑡𝑒𝑠𝑡𝑒𝑠 𝑝𝑒𝑟𝑖ó𝑑𝑖𝑐𝑜𝑠. 
 
O teste é considerado efetivo se 𝑅𝐷 >𝑅𝐶 . Note-se que a expressão 𝑅𝐷− 𝑅𝐶 é 
conhecida na literatura como importância do risco ou importância Birnbaum, que indica 
a sensibilidade da FDN ao estado, falho ou não, do componente testado. 
17 
 
 
Tabela 2.2: Contribuições de risco causadas por testes e suas causas raiz 
Identificador 𝐶𝑜𝑛𝑡𝑟𝑖𝑏𝑢𝑖çã𝑜 𝑎𝑜 𝑟𝑖𝑠𝑐𝑜 Causa do risco 
𝑅𝑡𝑟𝑖𝑝 Risco de desligamento do reator 
causado por teste 
Erro humano, 
falha de equipamento, 
procedimento inadequado 
𝑅𝑤𝑒𝑎𝑟 Risco devido ao desgaste de 
equipamento provocado 
por teste 
Característica inerente ao 
teste, procedimento 
inadequado, erro humano 
𝑅𝑠𝑡𝑎𝑡𝑒 Risco devido a configuração 
do teste ou erro ao recuperar o 
componente 
Erro humano, 
procedimento inadequado 
𝑅𝑑𝑜𝑤𝑛 Risco devido à indisponibilidade 
do equipamento durante a 
execução do teste 
indisponibilidade do 
equipamento durante o teste 
 
Ao contrário da importância Birnbaum (𝑅𝐷− 𝑅𝐶) , o Impacto Total ao Risco (𝑅𝑇) 
do teste é definido como a soma das parcelas de risco detectado (𝑅𝐷) e risco causado (𝑅𝐶), 
Eq. (2.3). Isto se justifica pois, apesar de parcela 𝑅𝐷 representar um risco benéfico, pois 
pode identificar componentes indisponíveis, ainda assim é uma parcela de risco e, ao se 
definir 𝑅𝑇 como a soma das parcelas de risco, é possível otimizar 𝑅𝑇 para se buscar um 
intervalo ótimo de teste. 
 
𝑅𝑇 = 𝑅𝐷 + 𝑅𝐶 (2.3) 
 
Avaliando as diversas parcelas de contribuição ao risco, (KIM, et al., 1994) 
apresentam uma análise da contribuição do risco causado especificamente para a parcela 
de transientes provocados por trip (𝑅𝑡𝑟𝑖𝑝) consequente da execução do teste e, como as 
parcelas 𝑅𝐷 e 𝑅𝑡𝑟𝑖𝑝 são função do intervalo de tempo entre testes periódicos, 𝑇, é possível 
se derivar um intervalo entre testes periódicos ótimo teórico, minimizando a função 
𝑅𝑇(𝑇). 
18 
 
 
Além disso, é apresentada uma análise da contribuição do risco de desgaste devido 
à execução de testes repetitivos 𝑅𝑤𝑒𝑎𝑟 que demonstra que uma elevada frequência de 
testes pode ser uma causa do aumento da contribuição da parcela de risco causada pela 
execução dos testes periódicos 𝑅𝐶. 
 
Levando em consideração os efeitos adversos dos testes periódicos, (LAPA, et al., 
2006) propõem uma metodologia para a implementação de uma política de manutenção 
preventiva baseada em custo versus confiabilidade. Esta metodologia permite intervalos 
entre testes flexíveis. Além disso, é proposto um modelo de otimização da relação 
custo/confiabilidade utilizando técnicas de algoritmos genéticos. São apresentados dois 
modelos probabilísticos para a manutenção preventiva. O primeiro a nível de 
componente, o segundo a nível de sistema. Por fim, é proposta a modelagem através de 
algoritmo genético (YANG, et al., 1999), e apresentado um caso de estudo de um sistema 
de injeção de segurança de alta pressão, cujo diagrama simplificado é apresentado na 
figura 2.1. Este sistema, composto de dez componentes principais, três bombas e sete 
válvulas, foi estudado anteriormente por (HARUNUZZAN & ALDEMIR, 1996). Os 
resultados levam à conclusão de que é possível definir estratégias de manutenção que 
alcancem alta confiabilidade e baixo custo utilizando o modelo de intervalos entre testes 
flexíveis. 
 
Figura 2.1 – Diagrama simplificado de um sistema de injeção de segurança de alta 
pressão 
19 
 
 
Buscando otimizar risco e custo, (KANCEV & CEPIN, 2011a) abordam o 
impacto da política de manutenção preventiva de componentes ativos na relação risco 
versus confiabilidade utilizando um modelo que leva em consideração o envelhecimento 
destes componentes. O modelo proposto incorpora os efeitos adversos dos testes 
periódicos, abordados por (KIM, et al., 1994), e os efeitos do envelhecimento dos 
componentes. São apresentados modelos de indisponibilidade de componentes e 
sistemas. Os modelos são aplicados a um estudo de caso de um modelo sistema de injeção 
de segurança de alta pressão composto de três bombas e sete válvulas, o mesmo abordado 
por (HARUNUZZAN & ALDEMIR, 1996). Os resultados levam à conclusão de que o 
intervalo entre testes ótimo obtido é consideravelmente diferente dos intervalos prescritos 
pelas especificações técnicas do caso estudado. Além disso, a introdução dos efeitos do 
envelhecimento no modelo proposto não modifica substancialmente os resultados desde 
que se mantenha o intervalo entre testes periódicos em valores próximos ao intervalo 
ótimo teórico. No entanto, os efeitos do envelhecimento tornam-se consideráveis a 
medida que o valor do intervalo entre testes é elevado. Finalmente, observou-se que a 
incerteza dos parâmetros relacionados ao envelhecimento dos componentes tem um 
impacto importante na análise quantitativa apresentada. 
 
Dois modelos, um linear e outro baseado na distribuição de Weibull, da 
indisponibilidade a nível de componente são desenvolvidos por (KANCEV & CEPIN, 
2011b). A partir destes modelos de indisponibilidade a nível de componente é feito o 
desenvolvimento matemático para a obtenção da indisponibilidade a nível de sistema, 
utilizando testes sequenciais e escalonados. A proposta é criar uma ferramenta que 
permita otimizar a política de testes e manutenção de modo a manter a disponibilidade e 
a reduzir custos. Novamente o modelo sugerido é aplicado às bombas do sistema de 
injeção de segurança de alta pressão composto abordado por (HARUNUZZAN & 
ALDEMIR, 1996). As conclusões apontam para uma possível redução da 
indisponibilidade e do custo de manutenção utilizando um intervalo ótimo entre testes. 
No entanto,devido à incerteza dos dados de simulação, não se pode afirmar que os 
resultados são precisos. 
 
A questão da incerteza de parâmetros associados ao envelhecimento de 
componentes é abordada por (KANCEV, et al., 2012), que propõem uma análise de 
20 
 
incertezas aplicada ao estudo de caso apresentado por (KANCEV & CEPIN, 2011a) 
aplicando diversas distribuições de probabilidade aos parâmetros associados ao 
envelhecimento, especialmente à taxa de falha dos equipamentos. Simulações levam à 
conclusão de que a propagação das incertezas aumenta a medida que se estende o 
intervalo entre testes. Consequentemente a incerteza na indisponibilidade do sistema é 
maior para o intervalo entre testes prescrito pelas especificações técnicas que para o 
intervalo ótimo do modelo analítico de indisponibilidade proposto. Tanto (KANCEV, et 
al., 2012) quanto (KANCEV & CEPIN, 2011a) e (KANCEV & CEPIN, 2011b) concluem 
que as metodologias propostas apresentam resultados válidos no entanto a incerteza dos 
parâmetros é uma questão que precisa ser aprofundada. 
 
Buscando uma estratégia de testes periódicos e monitoramento que permita aumentar 
a disponibilidade de componentes, (SHIN, et al., 2015) propõem a utilização de um 
modelo de indisponibilidade dependente do tempo com envelhecimento de equipamentos 
em prontidão para situações de emergência. Este modelo leva em consideração, de forma 
integrada, informações como o número de testes periódicos executados e o tempo de vida 
do equipamento. Além disso, são apresentados dois métodos de aperfeiçoamento da 
disponibilidade: 
• Método de inspeção baseado no monitoramento Online (Online Monitoring Based 
Inspection Method - OMIM); 
• Método de encurtamento do intervalo entre testes periódicos (Shortening 
Surveillance Test Interval Method - SSTIM). 
 
No método OMIM, alguns elementos do componente sensíveis à passagem de tempo 
são monitorados através de sensores, em intervalos diferentes do teste periódico, sem que 
seja necessária uma operação real do componente. Para os demais elementos, aqueles em 
que o monitoramento on line não é viável ou aqueles avaliados como menos suscetíveis 
à passagem do tempo, os testes são executados em intervalos de tempo variáveis. É 
apresentado um caso de estudo para uma válvula motorizada. No contexto deste método, 
entende-se como elementos mais suscetíveis à passagem do tempo como aqueles cujo 
mecanismo de progressão de falha em prontidão não pode ser verificado por inspeção 
visual e, deste modo, informações como temperatura, pressão, etc., podem indicar a 
necessidade de mudança no intervalo de teste. 
 
21 
 
O modelo de indisponibilidade dependente do tempo com envelhecimento de 
equipamentos em prontidão utilizado incorpora os efeitos do envelhecimento nos 
parâmetros de confiabilidade e, além disso, leva em consideração o número de testes 
periódicos executados desde a instalação do equipamento. Deste modo, o modelo 
proposto pode ser útil para quantificar as parcelas do risco associado a um teste periódico 
identificadas por (KIM, et al., 1994), Eq. (2.2), especialmente 𝑅𝑤𝑒𝑎𝑟(risco de desgaste) e 
𝑅𝑑𝑜𝑤𝑛(risco de indisponibilidade devido ao teste). 
 
(ABDOUL-NOUR, et al., 2002) propõem uma metodologia de aperfeiçoamento do 
programa de manutenção preventiva de Geradores Diesel de Emergência com o objetivo 
de manter os níveis de confiabilidade disponibilidade elevados a longo prazo. Além disso, 
propõe o uso desta metodologia para a atualização de parâmetros do modelo de APS com 
base no histórico real do componente. 
 
(MARTÓN, et al., 2015) propõem um modelo de Análise Probabilística de Segurança 
(Ageing Probabilistic Safety Assessment - APSA) para suporte de tomadas de decisão 
orientadas pelo risco (Risk Informed Decision Making - RIDM) que incorpora as 
contribuições ao risco geradas não apenas pelo envelhecimento mas também pela 
efetividade da manutenção e eficiência dos testes periódicos. O modelo é utilizado para 
o acompanhamento da contribuição de um componente à FDN ao longo do ciclo de vida 
do componente e propõe o uso de medidas compensatórias para reduzir o impacto do 
envelhecimento ao final do ciclo de vida do componente. 
 
(MARTÓN, et al., 2016) desenvolvem um modelo de indisponibilidade no qual o 
sistema é dividido em múltiplos itens e, além do envelhecimento, a efetividade da 
manutenção é considerada. O modelo é aplicado ao sistema de injeção de segurança de 
alta pressão composto de três bombas e sete válvulas estudado anteriormente por 
(HARUNUZZAN & ALDEMIR, 1996). As conclusões apontam para uma série de 
abordagens possíveis a partir da modelagem da efetividade da manutenção. 
 
(MARTORELL, et al., 2017) desenvolvem o modelo proposto por (KIM, et al., 1994) 
para incorporar o desgaste provocado pelos testes periódicos e verificar os efeitos da 
efetividade das políticas da manutenção na confiabilidade, na disponibilidade e na 
22 
 
manutenibilidade (reliability, availability and maintanability - RAM). O caso de estudo 
apresentado se restringe à aplicação do modelo no nível de componente. 
 
2.4 Destaques da Revisão Bibliográfica 
 
A confiabilidade dos Geradores Diesel de Emergência é uma questão fundamental 
para o risco total de uma usina nuclear. Diversas posições regulatórias estão relacionadas 
à definição do nível de confiabilidade dos Geradores Diesel de Emergência. Por este 
motivo, a evolução das bases normativas deve ser considerada de modo integrado, pois 
as diferentes posições regulatórias estabelecidas ou atualizadas ao longo dos últimos anos 
podem determinar abordagens diferentes na atualização das políticas de testes periódicos 
e manutenção dos Geradores Diesel de Emergência. Por exemplo, a evolução da base 
normativa do Station Blackout aponta para um aumento na exigência dos níveis de 
confiabilidade dos Geradores Diesel de Emergência o que pode ser implementado através 
de um maior rigor nos critérios de aceitação dos testes periódicos e nas políticas de 
execução de testes, especialmente os testes pós-manutenção. Por outro lado, a evolução 
da base normativa do LOCA aponta para a possibilidade de relaxar os requisitos 
regulatórios relativos ao tempo de partida dos Geradores Diesel de Emergência. Uma 
avaliação integrada destas mudanças das bases regulatórias pode apontar para novas 
abordagens das políticas de testes periódicos dos Geradores Diesel. 
 
Do ponto de vista do fornecimento de energia elétrica, não há uma avaliação 
integrada do aumento da SBOMC, seja através do aumento da capacidade das baterias, 
seja através da utilização de fontes alternativas de corrente alternada. Não há instrumentos 
capazes de quantificar de forma integrada as contribuições ao risco destas abordagens de 
aumento de SBOMC. 
 
Ao longo dos últimos vinte anos, há uma série de trabalhos científicos que buscam 
de modelos mais detalhados e abrangentes de quantificação da indisponibilidade de 
equipamentos em prontidão. Uma abordagem bem estabelecida nestes trabalhos é o 
aperfeiçoamento de modelos de indisponibilidade estabelecidos (KIM, et al., 1994) para 
incorporar os efeitos do envelhecimento e do desgaste de modo a otimizar as políticas de 
23 
 
testes periódicos e manutenção com objetivo de obter os níveis desejados de 
confiabilidade, disponibilidade, manutenibilidade e custo. Em geral estes modelos são 
testados a nível de sistema calculando-se a indisponibilidade dos componentes através 
dos modelos propostos e avaliando a confiabilidade do sistema. As incertezas associadas 
aos resultados têm sido apontadas como uma dificuldade para a validação dos modelos 
propostos. No entanto, os modelos têm sido ferramentas úteis para identificar tendências 
de comportamento do risco. 
 
A proposta deste trabalho é desenvolver um modelo de indisponibilidade dos 
Geradores Diesel de Emergência, que incorpore as contribuições do envelhecimento e dodesgaste por partidas sucessivas devidas não apenas aos testes periódicos planejados mas 
também aos testes pós-manutenção. Em uma primeira etapa, será apresentado um modelo 
linear que incorpore os efeitos do desgaste provocados tanto por testes periódicos quanto 
por testes em manutenção fora de serviço considerando ou não o envelhecimento do 
componente. Posteriormente, este modelo será generalizado para um modelo não linear 
que torne possível se avaliar o impacto das políticas de manutenção à indisponibilidade. 
 
A partir do modelo não linear, serão determinados novos valores de 
indisponibilidade média dos Geradores Diesel de Emergência. Estes valores de 
indisponibilidade serão utilizados como dados de entrada em um modelo de APS de uma 
usina nuclear para avaliar a contribuição deste aumento de indisponibilidade média ao 
risco total da usina. 
 
24 
 
Capítulo 3 
Marco Teórico 
 
O objetivo deste capítulo é apresentar as propostas de modelo de indisponibilidade 
disponíveis na literatura de forma sistemática e uniformizando a notação. Cabe destacar 
que o desenvolvimento matemático dos modelos parte da expressão geral de 
indisponibilidade (VAURIO, 1980) mas abordam apenas as parcelas de indisponibilidade 
referentes à falha em demanda de componentes em prontidão. As parcelas de 
indisponibilidade da execução de testes periódicos e da execução de reparos do 
componente não são objeto de estudo deste capítulo. 
 
3.1 Indisponibilidade de Componentes 
Considerando as Contribuições dos Testes e 
Reparos 
 
A Eq. (3.1), (VAURIO, 1980), apresenta um modelo para a quantificação da 
indisponibilidade de componentes submetidos a uma rotina de testes e manutenção. 
 
�̅� = 𝜌 + 
1
2
𝜆0 𝑇 + 
𝑇𝑡
𝑇
+ ( 𝜌 + 𝜆0 𝑇 )
𝑇𝑟
𝑇
 (3.1) 
 
𝑜𝑛𝑑𝑒: 
�̅� − 𝑖𝑛𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 𝑚é𝑑𝑖𝑎; 
𝑇𝑟 − 𝑑𝑢𝑟𝑎çã𝑜 𝑚é𝑑𝑖𝑎 𝑑𝑜 𝑟𝑒𝑝𝑎𝑟𝑜; 
𝜆0 − 𝑡𝑎𝑥𝑎 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎 𝑟𝑒𝑠𝑖𝑑𝑢𝑎𝑙 𝑚é𝑑𝑖𝑎; 
𝑇𝑡 − 𝑑𝑢𝑟𝑎çã𝑜 𝑚é𝑑𝑖𝑎 𝑑𝑜 𝑡𝑒𝑠𝑡𝑒; 
𝜌 − 𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎 𝑒𝑚 𝑑𝑒𝑚𝑎𝑛𝑑𝑎; 
𝑇 − 𝑖𝑛𝑡𝑒𝑟𝑣𝑎𝑙𝑜 𝑒𝑛𝑡𝑟𝑒 𝑡𝑒𝑠𝑡𝑒𝑠 𝑝𝑒𝑟𝑖ó𝑑𝑖𝑐𝑜𝑠; 
25 
 
 
O modelo de indisponibilidade apresentado na Eq. (3.1), pode ser dividido em três 
parcelas de contribuição à indisponibilidade média de um componente testado 
periodicamente. As falhas de equipamentos em prontidão são representadas por 𝜌 +
 
1
2
𝜆0 𝑇. A indisponibilidade devida ao intervalo de tempo necessário à execução dos testes 
periódicos é representada pela parcela 
𝑇𝑡
𝑇
. Por fim, a parcela ( 𝜌 + 𝜆0 𝑇 )
𝑇𝑟
𝑇
 corresponde 
à indisponibilidade devida ao tempo de reparo do componente após verificada uma falha 
durante um teste. 
 
No restante deste capítulo, serão apresentados modelos de indisponibilidade para 
componentes em prontidão, ou seja, o valor de indisponibilidade correspondente apenas 
à parcela 𝜌 + 
1
2
𝜆0 𝑇 da Eq. (3.1). Para simplificar o texto, serão adotadas as expressões 
indisponibilidade e modelos de indisponibilidade para se referir apenas à 
indisponibilidade decorrente das falhas em demanda dos equipamentos em prontidão. No 
entanto, nas aplicações do modelo, serão incorporadas as parcelas de indisponibilidade 
devido à execução de testes e aos reparos em caso de falha. As demais parcelas de 
indisponibilidade serão consideradas no modelo de APS nível I que será utilizado no caso 
de estudo mas não são consideradas no desenvolvimento do modelo de indisponibilidade 
pois este se restringe à falha do Gerador Diesel na partida. 
 
3.2 Modelagem da Indisponibilidade de 
Componentes 
 
Avaliando a quantificação da indisponibilidade de componentes em prontidão, 
(USNRC, 1992) estabelece modelos de indisponibilidade que levam em consideração as 
contribuições das degradações do componente decorrentes do desgaste devido às 
demandas do componente durante sua vida útil e do tempo em prontidão. De forma geral, 
a indisponibilidade de um componente devido ao tempo de espera é dada pela Eq. (3.2). 
 
𝑞(𝑡) = 1 − 𝑒∫ 𝜆(𝑡
′𝑡
0
) 𝑑𝑡′ (3.2) 
26 
 
 
Considerando-se o termo exponencial da Eq. (3.2), ∫ 𝜆(𝑡′
𝑡
0
) 𝑑𝑡′, menor que 0,1, o 
que geralmente é verificado para valores típicos de taxa de falha, pode-se expandir a 
expressão em uma série de Taylor e considerar apenas os dois primeiros termos, o que 
leva à Eq. (3.3). 
 
𝑞(𝑡) ≈ ∫ 𝜆(𝑡′
𝑡
0
) 𝑑𝑡′ (3.3) 
 
Para avaliar o risco causado pela execução de testes, (USNRC, 1992) propõe um 
modelo onde seja possível separar as contribuições do desgaste causado pelas demandas 
e do tempo de prontidão. A Eq. (3.4) apresenta a indisponibilidade de um componente 
𝑞(𝑛, 𝑡), testado periodicamente, como função do número de demandas (𝑛) e do tempo 
decorrido desde o último teste (𝑡), admitindo-se testes periódicos com intervalos entre 
testes 𝑇. 
 
𝑞(𝑛, 𝑡) = 𝜌(𝑛) + ∫ 𝜆(𝑛, 𝑡′
𝑡
0
) 𝑑𝑡′ 𝑝𝑎𝑟𝑎 0 < 𝑡 < 𝑇 (3.4) 
 
𝑜𝑛𝑑𝑒: 
𝑛 − 𝑛ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑡𝑒𝑠𝑡𝑒𝑠 𝑒𝑥𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑛𝑜 𝑒𝑞𝑢𝑖𝑝𝑎𝑚𝑒𝑛𝑡𝑜; 
𝑡 − 𝑡𝑒𝑚𝑝𝑜 𝑑𝑒𝑐𝑜𝑟𝑟𝑖𝑑𝑜 𝑑𝑒𝑠𝑑𝑒 𝑜 ú𝑙𝑡𝑖𝑚𝑜 𝑡𝑒𝑠𝑡𝑒; 
𝜌 (𝑛) − 𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎𝑠 𝑐𝑎𝑢𝑠𝑎𝑑𝑎𝑠 𝑝𝑜𝑟 𝑑𝑒𝑚𝑎𝑛𝑑𝑎; 
𝜆(𝑛, 𝑡) − 𝑡𝑎𝑥𝑎 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎; 
 
Note-se que na Eq. (3.4) a indisponibilidade é apresentada como uma função do 
tempo (𝑡), do número de períodos de testes (𝑛) e dos parâmetros probabilidade de falha 
em demanda 𝜌 (𝑛), e taxa de falha 𝜆(𝑛, 𝑡). Deste modo, o modelo de indisponibilidade 
está diretamente vinculado à forma como as funções probabilidade de falha em demanda, 
𝜌 (𝑛), e taxa de falha, 𝜆(𝑛, 𝑡), são modeladas. 
 
Assim, (USNRC, 1992) propõe os seguintes modelos gerais para a falha em 
demanda, 𝜌 (𝑛), e taxa de falha, 𝜆(𝑛, 𝑡): 
 
𝜌 (𝑛) = 𝜌0 + 𝜌0(𝑛 𝑝1)
𝛽1 (3.5) 
27 
 
 
𝑜𝑛𝑑𝑒: 
 
𝜌0 − 𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎 𝑝𝑜𝑟 𝑑𝑒𝑚𝑎𝑛𝑑𝑎 𝑟𝑒𝑠𝑖𝑑𝑢𝑎𝑙; 
𝑝1 − 𝑓𝑎𝑡𝑜𝑟 𝑑𝑒 𝑑𝑒𝑔𝑟𝑎𝑑𝑎çã𝑜 𝑝𝑜𝑟 𝑑𝑒𝑚𝑎𝑛𝑑𝑎; 
𝛽1 − 𝑝𝑎𝑟â𝑚𝑒𝑡𝑟𝑜 𝑑𝑒 𝑖𝑚𝑝𝑎𝑐𝑡𝑜 𝑛𝑎 𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒 𝑑𝑒 
𝑓𝑎𝑙ℎ𝑎 𝑝𝑜𝑟 𝑑𝑒𝑚𝑎𝑛𝑑𝑎 𝑎𝑠𝑠𝑜𝑐𝑖𝑎𝑑𝑜 𝑎𝑜 𝑛ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑒𝑚𝑎𝑛𝑑𝑎𝑠; 
 
e 
 
𝜆(𝑛, 𝑡) = 𝜆0 + 𝜆0(𝑛 𝑝2)
𝛽2 + 𝛼𝑢𝛽3 𝑝𝑎𝑟𝑎 𝑡 ∈ [0, 𝑇], 𝑢 = 𝑛𝑇 + 𝑡 (3.6) 
 
𝑜𝑛𝑑𝑒: 
 
𝜆0 − 𝑡𝑎𝑥𝑎 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎 𝑟𝑒𝑠𝑖𝑑𝑢𝑎𝑙; 
𝑝2 − 𝑓𝑎𝑡𝑜𝑟 𝑑𝑒 𝑑𝑒𝑔𝑟𝑎𝑑𝑎çã𝑜 𝑝𝑜𝑟 𝑡𝑒𝑚𝑝𝑜 𝑒𝑚 𝑝𝑟𝑜𝑛𝑡𝑖𝑑ã𝑜; 
𝛽2 − 𝑝𝑎𝑟â𝑚𝑒𝑡𝑟𝑜 𝑑𝑒 𝑖𝑚𝑝𝑎𝑐𝑡𝑜 𝑛𝑎 𝑡𝑎𝑥𝑎 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎
 𝑎𝑠𝑠𝑜𝑐𝑖𝑎𝑑𝑜 𝑎𝑜 𝑛ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑒𝑚𝑎𝑛𝑑𝑎𝑠; 
𝛼 − 𝑓𝑎𝑡𝑜𝑟 𝑑𝑒 𝑒𝑛𝑣𝑒𝑙ℎ𝑒𝑐𝑖𝑚𝑒𝑛𝑡𝑜; 
𝛽3 − 𝑝𝑎𝑟â𝑚𝑒𝑡𝑟𝑜 𝑑𝑒 𝑖𝑚𝑝𝑎𝑐𝑡𝑜 𝑛𝑎 𝑡𝑎𝑥𝑎 𝑑𝑒 𝑓𝑎𝑙ℎ𝑎 
𝑎𝑠𝑠𝑜𝑐𝑖𝑎𝑑𝑜 𝑎𝑜 𝑡𝑒𝑚𝑝𝑜 𝑑𝑒 𝑒𝑛𝑣𝑒𝑙ℎ𝑒𝑐𝑖𝑚𝑒𝑛𝑡𝑜; 
 
Assim, na Eq. (3.5), 𝜌0 representa a probabilidade de falha em demanda residual, 
que pode ser interpretada como a probabilidade de falha por demanda de um componente 
novo. Além disso, o termo 𝜌0(𝑛 𝑝1)
𝛽1corresponde a uma representação não linear da 
contribuição do número de demandas à probabilidade de falha em demanda do 
componente e, consequentemente, à indisponibilidade. 
 
De modo semelhante, na Eq. (3.6), o primeiro termo, 𝜆0, representa a taxa de falha 
residual, ou seja, a taxa de falha do componente novo. Os demais termos são 
representações não lineares das contribuições à taxa de falha. O segundo termo, 
𝜆0(𝑛 𝑝2)
𝛽2 equivale à contribuição à taxa de falha devida ao desgaste provocado pelo 
28 
 
número de demandas acumuladas ao longo da vida do componente. Por fim, o termo 𝛼𝑢𝛽3 
representa a contribuição à taxa de falha do envelhecimento do componente. 
 
As Eqs. (3.5) e (3.6) envolvem parâmetros cuja estimativa pode ser difícil. Para 
simplificar a aplicação do modelo, o próprio NUREG 5775 (USNRC, 1992) sugere a 
adoção de um modelo linear utilizando os parâmetros 𝛽1, 𝛽2, e𝛽3 em valor unitário. 
Assim, de modo a simplificar a modelagem da indisponibilidade, as Eqs. (3.5) e (3.6) são 
linearizadas e reescritas da seguinte forma: 
 
𝜌 (𝑛) = 𝜌0 + 𝜌0 𝑛 𝑝1 
= 𝜌0( 1 + 𝑛𝑝1); (3.7) 
 
e 
 
𝜆(𝑛, 𝑡) = 𝜆0 + 𝜆0𝑛𝑝2 + 𝛼𝑢 
 = 𝜆0(1 + 𝑛𝑝2) + 𝛼𝑢; (3.8) 
 
 
Por fim, a expressão (3.4) pode ser escrita da seguinte forma: 
 
𝑞(𝑛, 𝑡) = 𝜌0( 1 + 𝑛𝑝1) + ∫ [𝜆0(1 + 𝑛𝑝2) + 𝛼𝑢
′]
𝑡
0
𝑑𝑡′, 
𝑝𝑎𝑟𝑎 𝑡 ∈ [0, 𝑇], 𝑢′ = 𝑛𝑇 + 𝑡′. (3.9) 
 
Com base nas Eqs. (3.7), (3.8) e (3.9) podem ser analisados os seguintes cenários: 
 
1. Modelo de indisponibilidade sem desgaste por testes e sem 
envelhecimento; 
2. Modelo de indisponibilidade com envelhecimento e sem desgaste por 
testes; 
3. Modelo de indisponibilidade com desgaste por testes e sem 
envelhecimento; 
4. Modelo de indisponibilidade com desgaste por testes e com 
envelhecimento. 
29 
 
3.2.1 Modelo de indisponibilidade sem 
desgaste por testes e sem envelhecimento 
 
No caso de um modelo que desconsidere o desgaste por testes e o envelhecimento 
(𝑝1 = 𝑝2 = 𝛼 = 0), as Eqs. (3.7), (3.8) e (3.9) podem ser escritas da seguinte forma: 
 
 
𝜌 (𝑛) = 𝜌0; (3.10) 
𝜆(𝑛, 𝑡) = 𝜆0; (3.11) 
𝑞(𝑛, 𝑡) = 𝜌0 + 𝜆0𝑡; 𝑝𝑎𝑟𝑎 𝑡 ∈ [0, 𝑇] ∀ 𝑛; (3.12) 
 
A indisponibilidade média em qualquer período de teste 𝑛 , �̅�(𝑛) , pode ser 
calculada através da expressão: 
 
 �̅�(𝑛) =
1
𝑇
∫ 𝑞(𝑛, 𝑡′) 𝑑𝑡′
𝑇
0
= 𝜌0 + 
1
2
𝜆0𝑇; (3.13) 
 
Por fim, a indisponibilidade ao final de qualquer período de teste 𝑛, 𝑞(𝑛, 𝑇), é 
expressa por: 
 
𝑞(𝑛, 𝑇) = 𝜌0 + 𝜆0𝑇. (3.14) 
 
3.2.2 Modelo de indisponibilidade com 
envelhecimento e sem desgaste por testes 
 
Caso a análise desconsidere o desgaste por testes e leve em consideração os efeitos 
do envelhecimento, (𝑝1 = 𝑝2 = 0 𝑒 𝛼 ≠ 0), as Eqs. (3.7), (3.8) e (3.9) podem ser escritas 
da seguinte forma: 
 
𝜌 (𝑛) = 𝜌0; (3.15) 
30 
 
 
𝜆(𝑛, 𝑡) = 𝜆0+∝ 𝑢 = 
 = 𝜆0+∝ (𝑛𝑇 + 𝑡); (3.16) 
 
𝑜𝑛𝑑𝑒, 𝑢 = 𝑛𝑇 + 𝑡, é 𝑜 𝑡𝑒𝑚𝑝𝑜 𝑑𝑒 𝑣𝑖𝑑𝑎 𝑑𝑜 𝑐𝑜𝑚𝑝𝑜𝑛𝑒𝑛𝑡𝑒. 
 
𝑞(𝑛, 𝑡) = 𝜌0 + ∫ [𝜆0
𝑡
0
+ 𝛼(𝑛𝑇 + 𝑡′)]𝑑𝑡′ = 
= 𝜌0 + (𝜆0 + 𝛼𝑛𝑇)𝑡 + 
𝛼
2
𝑡2, 𝑡 ∈ [0, 𝑇]; (3.17) 
 
A indisponibilidade média, �̅�(𝑛), pode ser calculada através da expressão: 
 
�̅�(𝑛) =
1
𝑇
∫ 𝑞(𝑛, 𝑡′)𝑑𝑡′
𝑇
0
= 
=
1
𝑇
∫ [𝜌0 + (𝜆0
𝑇
0
+ 𝛼𝑛𝑇)𝑡′ + 
𝛼
2
𝑡′
2
]𝑑𝑡′ 
 = 𝜌0 + (𝜆0 + 𝛼𝑛𝑇)
𝑇
2
 + 
𝛼
6
𝑇2; (3.18) 
 
Por fim, a indisponibilidade ao final do período de teste, 𝑞(𝑛, 𝑇), é expressa por: 
 
𝑞(𝑛, 𝑇) = 𝜌0 + 𝜆0𝑇 + (𝑛 + 
1
2
 )𝛼𝑇2 (3.19) 
 
3.2.3 Modelo de indisponibilidade com 
desgaste por testes e sem envelhecimento 
 
Caso a análise desconsidere o desgaste por testes e leve em consideração os efeitos 
do envelhecimento, (𝑝1 ≠ 0, 𝑝2 ≠ 0 𝑒 𝛼 = 0), as Eqs. (3.7), (3.8) e (3.9) podem ser 
escritas da seguinte forma: 
 
𝜌 (𝑛) = 𝜌0 + 𝜌0𝑛𝑝1 = 
31 
 
= 𝜌0(1 + 𝑛𝑝1); (3.20) 
 
𝜆(𝑛, 𝑡) = 𝜆0 + 𝜆0𝑛𝑝2 = 
 = 𝜆0(1 + 𝑛𝑝2) (3.21) 
 
𝑞(𝑛, 𝑡) = 𝜌0(1 + 𝑛𝑝1) + ∫ 𝜆0(1 + 𝑛𝑝2)
𝑡
0
𝑑𝑡′ = 
= 𝜌0(1 + 𝑛𝑝1) + 𝜆0(1 + 𝑛𝑝2)𝑡, 𝑡 ∈ [0, 𝑇]; (3.22) 
 
A indisponibilidade média, �̅�(𝑛), pode ser calculada através da expressão: 
 
�̅�(𝑛) =
1
𝑇
∫ 𝑞(𝑛, 𝑡′)𝑑𝑡′
𝑇
0
 
=
1
𝑇
∫ [𝜌0(1 + 𝑛𝑝1) + 𝜆0(
𝑇
0
1 + 𝑛𝑝2)𝑡
′]𝑑𝑡′ 
= 𝜌0(1 + 𝑛𝑝1) +
𝜆0𝑇
2
(1 + 𝑛𝑝2); (3.23) 
 
Por fim, a indisponibilidade ao final do período de teste, 𝑞(𝑛, 𝑇), é expressa por: 
 
𝑞(𝑛, 𝑇) = 𝜌0(1 + 𝑛𝑝1) + 𝜆0(1 + 𝑛𝑝2)𝑇; (3.24) 
 
3.2.4 Modelo de indisponibilidade com 
desgaste por testes e com envelhecimento 
 
Caso a análise desconsidere o desgaste por testes e leve em consideração os efeitos 
do envelhecimento, (𝑝1 ≠ 0, 𝑝2 ≠ 0 𝑒 𝛼 ≠ 0), as Eqs. (3.7), (3.8) e (3.9) podem ser 
escritas da seguinte forma: 
 
𝜌 (𝑛) = 𝜌0(1 + 𝑛𝑝1); (3.25) 
 
𝜆(𝑛, 𝑡) = 𝜆0(1 + 𝑛𝑝2) + 𝛼(𝑛𝑇 + 𝑡); (3.26) 
32 
 
 
𝑜𝑛𝑑𝑒, 𝑢 = 𝑛𝑇 + 𝑡, é 𝑜 𝑡𝑒𝑚𝑝𝑜 𝑑𝑒 𝑣𝑖𝑑𝑎 𝑑𝑜 𝑐𝑜𝑚𝑝𝑜𝑛𝑒𝑛𝑡𝑒. 
 
𝑞(𝑛, 𝑡) = 𝜌0(1 + 𝑛𝑝1) + ∫ [𝜆0
𝑡
0
(1 + 𝑛𝑝2) + 𝛼(𝑛𝑇 + 𝑡
′)]𝑑𝑡′ = 
= 𝜌0(1 + 𝑛𝑝1) + 𝜆0(1 + 𝑛𝑝2)𝑡 + 
𝛼𝑡
2
(2𝑛𝑇 + 𝑡), 𝑡 ∈ [0, 𝑇]; (3.27) 
 
A indisponibilidade média, �̅�(𝑛), pode ser calculada através da expressão: 
 
�̅�(𝑛) =
1
𝑇
∫ 𝑞(𝑛, 𝑡′)𝑑𝑡′ =
𝑇
0
 
= 𝜌0(1 + 𝑛𝑝1) +
𝜆0𝑇
2
(1 + 𝑛𝑝2) + 
𝛼𝑇2
2
(𝑛 + 
1
3
) (3.28) 
 
Por fim, a indisponibilidade ao final do período de teste, 𝑞(𝑛, 𝑇), é expressa por: 
 
𝑞(𝑛, 𝑇) = 𝜌0(1 + 𝑛𝑝1) + 𝜆0(1 + 𝑛𝑝2)𝑇 + (2𝑛 + 1)
𝛼𝑇2
2
. (3.29) 
 
3.2.5 Avaliação dos modelos de 
indisponibilidade lineares tradicionais 
 
Neste capítulo foram apresentados modelos de indisponibilidade lineares 
tradicionais. Estes modelos tem em comum a forma como as Eqs. (3.2), (3.5) e (3.6) são 
linearizadas e diferem pela consideração, ou não, dos efeitos do desgaste e do 
envelhecimento do componente. Nestes modelos, apenas as demandas referentes aos 
testes periódicos são levadas em consideração para efeito de avaliação do desgaste 
provocado pelas demandas ao longo da vida útil do componente. Deste modo, os modelos 
apresentados neste capítulo não permitem avaliar os efeitos à indisponibilidade do 
desgaste provocada por uma política de manutenção que imponha um número elevado de 
demandas do componente. 
 
33 
 
Com relação aos Geradores Diesel de Emergência, a questão do desgaste 
excessivo é especialmente importante devido ao fato de se tratar de um equipamento 
suscetível ao desgaste de partes mecânicas durante a partidas e pelo fato da partida 
envolver uma grande quantidade de energia em intervalos de tempo de poucos segundos. 
O NUREG 1776 (USNRC, 2000), que avaliou a efetividade da implementação das normas 
prescritas nos NUREG 1032 (USNRC, 1988a) e Regulatory Guide 1.155 (USNRC, 
1988b), orienta aos operadores de usinas nucleares que, apesar de ser necessário manter 
a confiabilidade dos Geradores Diesel de Emergência acima de valores prescritos, deve-
se evitar uma redução da indisponibilidade dos Geradores Diesel de Emergência devida 
a um números excessivo de testes. 
 
Os modelos apresentados anteriormente neste capítulo não consideram o desgaste 
devido partidas relacionadas à manutenção fora de serviço. Deste modo, os valores de 
indisponibilidade derivados destes modelos não contemplam o número total de partidas 
e, deste modo, subestimam o valor real da indisponibilidade dos Geradores Diesel de 
Emergência e não permitem uma avaliação da política de manutenção fora de serviço dos 
Geradores Diesel de Emergência. No Capítulo 4, serão apresentadas propostas de 
modelos de indisponibilidade que considerem todo histórico de partidas dos Geradores 
Diesel de Emergência e que permitam avaliar os impactos das políticas de manutenção à 
indisponibilidade dos Geradores Diesel de Emergência. 
34 
 
Capítulo 4 
Propostas de modelos de indisponibilidade 
4.1 Quantificação linear da 
Indisponibilidade 
 
Os Geradores Diesel de Emergência de uma usina nuclear são submetidos a 
políticas de manutenção com objetivo de garantir alta confiabilidade. Uma característica 
importante dos testes periódicos dos Geradores Diesel de Emergênciaé o rigor do tempo 
de partida como critério de aceitação. Devido às características mecânicas dos Geradores 
Diesel de Emergência a partida e operação em potência nominal do gerador em intervalos 
de tempo da ordem de 10 segundos pode provocar desgastes consideráveis. Por este 
motivo, é importante utilizar um modelo de indisponibilidade que leve em consideração 
o desgaste, além do envelhecimento, que já foi objeto de outros modelos. 
 
O cálculo da indisponibilidade dos Geradores Diesel de Emergência a partir dos 
modelos tradicionais, propostos por (VAURIO, 1980) e (KIM, et al., 1994), necessita ser 
aperfeiçoado através da utilização de um modelo de indisponibilidade que contemple 
desgaste e envelhecimento. No entanto, é preciso diferenciar o número de períodos de 
teste, 𝑛 , do número total de demandas, 𝑛𝑑 , do equipamento, pois é possível que o 
equipamento seja demandado mais de uma vez a cada período de testes devido às partidas 
dos testes pós manutenção. Os modelos propostos no Capítulo 3 consideram uma 
demanda a cada período de teste desprezando, deste modo, o desgaste devido aos testes 
pós manutenção que pode ser significativo. A Eq. (4.1) apresenta a formulação geral do 
modelo proposto e decorre de uma generalização da Eq. (3.4). 
 
𝑞(𝑛, 𝑛𝑑 , 𝑡) = 𝜌(𝑛𝑑) + ∫ 𝜆(𝑛, 𝑛𝑑 , 𝑡
′)𝑑𝑡′ 𝑝𝑎𝑟𝑎 𝑡 ∈ [0, 𝑇]
𝑡
0
 (4.1) 
 
𝜌(𝑛𝑑) = 𝜌0(1 + 𝑛𝑑𝑝1) (4.2) 
35 
 
 
𝜆(𝑛, 𝑛𝑑 , 𝑡) = 𝜆0(1 + 𝑛𝑑𝑝2) + 𝛼(𝑛𝑇 + 𝑡) (4.3) 
 
𝑜𝑛𝑑𝑒, 
𝑛 = número de períodos de teste; 
𝑛𝑑 = número total de demandas do equipamento; 
𝑡 = tempo decorrido desde o último teste; 
𝜌(𝑛𝑑) = probabilidade de falhas causadas pelo total das demandas; 
𝜌0 = probabilidade de falha por demanda residual; 
𝑝1 = fator de desgaste por demanda; 
𝜆(𝑛, 𝑛𝑑 , 𝑡) = taxa de falha; 
𝜆0 = taxa de falha residual; 
𝑝2 = fator de desgaste por tempo em prontidão; 
𝑇 = intervalo entre testes; 
𝛼 = fator de envelhecimento. 
 
Assim, a Eq. (4.1) apresenta a indisponibilidade como uma função de duas 
variáveis: 
 
1. 𝑛 - número de intervalos de teste decorridos desde o início da vida do 
equipamento; 
2. 𝑛𝑑 - número total de demandas do equipamento (incluindo testes pós 
manutenção). 
 
Através desta modelagem, é possível avaliar os efeitos na indisponibilidade dos 
Geradores Diesel de Emergência considerando seu histórico total de demandas. Nesta 
abordagem, são consideradas as partidas decorrentes de testes periódicos, manutenção 
fora de serviço e demandas reais. 
 
36 
 
4.1.1 Modelo de Indisponibilidade linear 
com desgaste por partidas em manutenção e 
sem Envelhecimento 
 
Em uma primeira abordagem, serão desprezados os efeitos do envelhecimento 
(𝛼 = 0). Assim, as Eqs. (4.2) e (4.3) podem ser escritas da seguinte forma: 
 
𝜌(𝑛𝑑) = 𝜌0(1 + 𝑛𝑑𝑝1) (4.4) 
 
𝜆(𝑛𝑑 , 𝑡) = 𝜆0(1 + 𝑛𝑑𝑝2) (4.5) 
 
𝑞( 𝑛𝑑 , 𝑡) = 𝜌0(1 + 𝑛𝑑𝑝1) + ∫ 𝜆0(1 + 𝑛𝑑𝑝2)𝑑𝑡
′ 
𝑡
0
 
= 𝜌0(1 + 𝑛𝑑𝑝1) + 𝜆0(1 + 𝑛𝑑𝑝2)𝑡 𝑡 ∈ [0, 𝑇] (4.6) 
 
 
Assim, a Eq. (4.7) apresenta a indisponibilidade média. 
 
�̅�(𝑛𝑑) =
1
𝑇
 ∫ 𝜌0(1 + 𝑛𝑑𝑝1) + 𝜆0(1 + 𝑛𝑑𝑝2)𝑡
′𝑑𝑡′
𝑇
0
 
= 𝜌0(1 + 𝑛𝑑𝑝1)𝑇 +
 𝜆0
2
(1 + 𝑛𝑑𝑝2)𝑇
2; (4.7) 
 
Por fim, a indisponibilidade ao fim do período de teste é apresentada na expressão: 
 
𝑞(𝑛𝑑, 𝑇) = 𝜌0(1 + 𝑛𝑑𝑝1) +
 𝜆0
2
(1 + 𝑛𝑑𝑝2)𝑇
2 (4.8) 
 
37 
 
4.1.2 Modelo de Indisponibilidade linear 
com desgaste por partidas em manutenção e 
com Envelhecimento 
 
Considerando os efeitos os efeitos do envelhecimento (𝛼 ≠ 0), as Eqs. (4.2) e 
(4.3) podem ser escritas da seguinte forma: 
 
𝜌(𝑛𝑑) = 𝜌0(1 + 𝑛𝑑𝑝1) (4.9) 
 
𝜆(𝑛, 𝑛𝑑 , 𝑡) = 𝜆0(1 + 𝑛𝑑𝑝2) + 𝛼(𝑛𝑇 + 𝑡) (4.10) 
 
𝑞(𝑛, 𝑛𝑑 , 𝑡) = 𝜌0(1 + 𝑛𝑑𝑝1) + ∫ [𝜆0(1 + 𝑛𝑑𝑝2) + 𝛼(𝑛𝑇 + 𝑡
′)]𝑑𝑡′ 
𝑡
0
 
= 𝜌0(1 + 𝑛𝑑𝑝1) + 𝜆0(1 + 𝑛𝑑𝑝2)𝑡 + 
𝛼 𝑡
2
(2𝑛𝑇 + 𝑡) 𝑡 ∈ [0, 𝑇] (4.11) 
 
 
A indisponibilidade média, �̅�(𝑛, 𝑛𝑑), pode ser calculada através da expressão 
 
�̅�(𝑛, 𝑛𝑑) = 
1
𝑇
 ∫ 𝑞(𝑛, 𝑛𝑑 , 𝑡
′)𝑑𝑡′
𝑇
0
 
= 𝜌0(1 + 𝑛𝑑𝑝1) + 𝜆0(1 + 𝑛𝑑𝑝2)
𝑇
2
 + 
𝛼 𝑇2
2
(𝑛 + 
1
3
) (4.12) 
 
A indisponibilidade ao final do período de teste, 𝑞(𝑛, 𝑛𝑑,𝑇), é expressa por: 
 
𝑞(𝑛, 𝑛𝑑,𝑇) = 𝜌0(1 + 𝑛𝑑𝑝1) + 𝜆0𝑇(1 + 𝑛𝑑𝑝2) + (2𝑛 + 1)
𝛼 𝑇2
2
 (4.13) 
 
Definidas novas propostas de modelo de indisponibilidade que considerada o 
histórico total de demandas do componente, pode-se avaliar a relevância do incremento 
da indisponibilidade decorrente desta nova abordagem. 
38 
 
4.2 Histórico de partidas dos Geradores 
diesel de Emergência 
 
A tabela 4.1 apresenta um exemplo de um histórico de partidas obtida de dados 
da experiência operacional de um Gerador Diesel de Emergência. No início de sua 
operação, 𝑛 = 1, o número total de demandas não é nulo, 𝑛𝑑 = 11. Isto ocorre devido à 
execução de testes de comissionamento antes do Gerador Diesel ser considerado 
disponível para operação. Ou seja, neste caso o Gerador Diesel foi demandado a partir 11 
vezes durante os testes de comissionamento. Ao final do primeiro período de testes, 𝑛 =
 1, é executado o primeiro teste periódico e este teste é bem sucedido. Por este motivo, o 
número de partidas adicionais neste período (δ) é nulo. 
 
O Gerador Diesel segue disponível para operação sendo testado periodicamente. 
Ao final do décimo quarto período de testes, 𝑛 = 14, o teste é realizado sem sucesso pela 
primeira vez, sendo necessárias três partidas adicionais para que o teste seja considerado 
realizado com sucesso e o Gerador Diesel seja considerado disponível para operação. Ao 
longo da vida útil do Gerador Diesel, estipulada neste exemplo de 120 períodos, ocorrem 
várias execuções de testes sem sucesso. O número de partidas adicionais (δ) varia a cada 
teste sem sucesso. Ao final de 120 períodos de teste há uma diferença considerável entre 
o número de períodos de teste, 𝑛 = 120, e o número total de demandas do Gerador 
Diesel, 𝑛𝑑 = 232. 
 
A diferença de quase cem por cento entre os valores de 𝑛 e 𝑛𝑑 indica que os 
modelos tradicionais de indisponibilidade, Eqs. (3.23) e (3.28), que não diferem o número 
de períodos ( 𝑛 ) do número total de partidas ( 𝑛𝑑 ), desconsideram uma parcela da 
indisponibilidade devida à execução de partidas adicionais do Gerador Diesel durante seu 
ciclo de vida. As Eqs. (4.7) e (4.8) propõem modelos de indisponibilidade que levam em 
consideração as partidas adicionais. 
 
39 
 
 
Tabela 4.1 – Histórico de partidas de um Gerador Diesel 
n δ nd n δ nd n δ nd 
1 0 11 41 0 89 81 0 158 
2 0 12 42 0 90 82 0 159 
3 0 13 43 0 91 83 1 161 
4 0 14 44 0 92 84 1 163 
5 0 15 45 2 95 85 0 164 
6 0 16 46 0 96 86 0 165 
7 0 17 47 1 98 87 1 167 
8 0 18 48 0 99 88 0 168 
9 0 19 49 0 100 89 0 169 
10 0 20 50 1 102 90 0 170 
11 0 21 51 0 103 91 0 171 
12 0 22 52 0 104 92 4 176 
13 0 23 53 3 108 93 1 178 
14 4 28 54 0 109 94 1 180 
15 0 29 55 0 110 95 0 181 
16 0 30 56 0 111 96 0 182 
17 0 31 57 0 112 97 0 183 
18 0 32 58 1 114 98 3 187 
19 1 34 59 1 116 99 2 190 
20 1 36 60 0 117 100 2 193 
21 1 38 61 1 119 101 1 195 
22 1 40 62 3 123 102 3 199 
23 5 46 63 1 125 103 1 201 
24 1 48 64 0 126 104 0 202 
25 0 49 65 1 128 105 1 204 
26 1 51 66 0 129 106 0 205 
27 4 56 67 0 130 107 0 206 
28 0 57 68 0 131 108 0 207 
29 1 59 69 4 136 109 3 211 
30 0 60 70 5 142 110 1 213 
31 3 64 71 2 145 111 1 215 
32 10 75 72 0 146 112 0 216 
33 2 78 73 0 147 113 2 219 
34 0 79 74 1 149 114 1 221 
35 0 80 75 0 150 115 1 223 
36 1 82 76 0 151 116 0 224 
37 0 83 77 0 152 117 0 225 
38 0 84 78 2 155 118 0 226 
39 0 85 79 0 156 119 3 230 
40 2 88