Intervalo de Busca de Falha (FFI)

O que É o Intervalo de Busca de Falha (FFI)?

O intervalo de busca de falha é uma frequência de inspeção programada projetada para uma classe específica de ativo: equipamentos que executam uma função oculta. Funções ocultas são aquelas que não serão demandadas e, portanto, cuja falha não será percebida em condições normais de operação. A única maneira de detectar se tal equipamento está em estado de falha é testá-lo deliberadamente.

Exemplos incluem um sistema de dilúvio de supressão de incêndio, uma válvula de desligamento de emergência, um gerador diesel de espera e uma válvula de alívio de alta pressão. Esses ativos ficam dormentes por longos períodos. Se um falhar enquanto dormente, ninguém sabe até que um incêndio, excursão de processo ou falta de energia ocorra de fato, momento em que a falha tem consequências catastróficas.

O FFI responde a uma pergunta precisa: com que frequência devemos testar este dispositivo para manter a probabilidade de ele estar atualmente em falha abaixo de um limite aceitável?

O conceito origina-se da metodologia RCM, formalizada em documentos como a SAE JA1011 e popularizada pelo livro RCM II de John Moubray. Hoje é prática padrão no setor de petróleo e gás, geração de energia, processamento químico, aviação e em qualquer indústria que dependa fortemente de camadas protetoras.

Por que Falhas Ocultas Exigem sua Própria Categoria de Tarefa de Manutenção

A maioria das tarefas de manutenção trata falhas evidentes: degradação que produz ruído, calor, vibração ou perda de desempenho que operadores ou sensores perceberão. Para essas falhas, a frequência da tarefa é definida pela taxa de deterioração do ativo, conforme governada pela curva P-F.

Falhas ocultas seguem uma lógica completamente diferente. Uma falha funcional de um dispositivo protetor deixa o sistema com aparência inteiramente normal. Nenhum alarme soa. Nenhuma métrica de desempenho muda. Nenhum operador percebe qualquer anormalidade.

O perigo não é a falha oculta em si. É a combinação da falha oculta com um segundo evento separado: a demanda sobre a função protetora. Isso é chamado de falha múltipla. Uma vedação de bomba pode falhar com o sistema de dilúvio de incêndio simultaneamente fora de serviço. Nenhum evento por si só causa uma catástrofe. Juntos, podem causar.

Como o modo de falha é diferente, a lógica de manutenção também é diferente. A tarefa não é prevenir a falha: equipamentos de proteção frequentemente falham aleatoriamente, sem padrão relacionado à idade que uma tarefa baseada em tempo pudesse interceptar. A tarefa é encontrar a falha antes que a demanda ocorra, testando o dispositivo em uma frequência que mantenha a probabilidade de uma falha não detectada aceitavelmente baixa.

A Fórmula do FFI

A fórmula padrão de RCM para derivar um FFI é:

Onde:

• MTBF é o tempo médio entre falhas do dispositivo protetor. É o intervalo médio entre falhas funcionais ocultas: com que frequência, em média, esse dispositivo falha silenciosamente?
• P(indisponibilidade) é a probabilidade máxima aceitável de que o dispositivo esteja atualmente em estado de falha em qualquer momento. É expressa como um decimal (por exemplo, 0,05 para 5%).

Exemplo Prático

Uma instalação possui um sistema de detecção de gás. Com base em dados do fabricante e registros do setor, o sistema tem um tempo médio entre falhas ocultas de 8.000 horas. O estudo de segurança do local exige uma indisponibilidade máxima de 5% (0,05) para essa função protetora.

Se o MTBF ou a indisponibilidade aceitável mudar, por exemplo se a avaliação de risco reduzir a meta de 5% para 2%, o FFI deve ser recalculado.

Origem da Fórmula

A derivação assume que falhas ocultas ocorrem a uma taxa de falha constante e aleatória (distribuição exponencial). Sob essa premissa, a probabilidade de que o dispositivo tenha falhado em qualquer momento entre dois testes sucessivos aumenta linearmente de zero imediatamente após o último teste até um máximo imediatamente antes do próximo. A probabilidade média ao longo do intervalo completo é metade da probabilidade no final do intervalo, razão pela qual o fator 2 aparece no denominador ou, equivalentemente, no numerador na forma padrão.

Essa é uma aproximação adequada para o planejamento inicial. Cálculos mais precisos usando distribuições reais de falha (Weibull, por exemplo) podem ser aplicados quando houver dados de falha suficientes disponíveis.

FFI vs Intervalo de Manutenção Preventiva: Diferenças Principais

Compreender essa distinção é importante ao construir uma biblioteca de intervalos de manutenção. Tarefas de FFI não devem ser tratadas como MP comuns baseadas em tempo: sua lógica, documentação e racional de programação são fundamentalmente diferentes.

Como o FFI se Encaixa no RCM

Em uma análise formal de RCM, cada função de cada ativo é avaliada por meio de uma árvore lógica estruturada. Cada função é primeiro classificada como evidente ou oculta. Para funções evidentes, as opções de tarefa de manutenção incluem respostas baseadas em condição, baseadas em tempo ou redesenho. Para funções ocultas, a primeira pergunta é sempre: é possível identificar uma tarefa de busca de falha que reduza o risco de falha múltipla a um nível aceitável?

O componente de FMEA do estudo de RCM identifica cada modo de falha oculto e seus efeitos. O cálculo do FFI então fornece a frequência de teste necessária para gerenciar esse risco. Se nenhuma tarefa prática de busca de falha puder reduzir o risco suficientemente, o processo de RCM escala para redesenho: adicionar redundância, alterar a arquitetura do sistema ou modificar o contexto operacional para eliminar o modo de falha oculto.

As tarefas de FFI são documentadas no plano de manutenção com uma descrição específica da tarefa (o que exatamente constitui um teste funcional), a frequência necessária, os critérios de aceitação (qual resultado confirma que o dispositivo está funcional) e a ação de restauração caso o dispositivo seja encontrado em falha.

Aplicando o FFI na Prática

Classes Comuns de Ativos que Requerem Tarefas de FFI

Qualquer sistema cujo único propósito seja responder a uma condição de demanda anormal é candidato ao gerenciamento por FFI. Os exemplos mais comuns são:

• Sistemas de detecção de fogo e gás. Detectores de fumaça, detectores de calor, detectores de gás combustível e detectores de chama ficam dormentes até que um incêndio ou liberação de gás ocorra. A taxa de falha oculta e as consequências da indisponibilidade durante um incêndio orientam o cálculo do FFI.
• Sistemas de supressão de incêndio. Sistemas de sprinklers, sistemas de dilúvio e sistemas de supressão gasosa devem ser periodicamente acionados ou inspecionados para confirmar que operarão corretamente sob demanda.
• Sistemas de desligamento de emergência (ESD/ESDV). Essas válvulas e sistemas lógicos são projetados para fechar em uma excursão de processo. Podem ficar dormentes por meses ou anos. As taxas de disparo espúrio devem ser equilibradas com o risco de falha no fechamento quando demandado, o que determina tanto o FFI quanto a probabilidade de falha aceitável.
• Ativos de espera. Bombas de espera, geradores de espera e sistemas de HVAC de espera requerem testes de funcionamento regulares para verificar que partirão e operarão conforme especificação quando o sistema primário falhar. O FFI governa a frequência com que esses testes devem ocorrer.
• Válvulas de alívio de pressão. Válvulas de alívio que protegem vasos contra sobrepressão são uma função oculta clássica. São testadas por elevação para confirmar que a pressão de abertura não derivou e que a válvula abrirá livremente quando necessário.
• Relés de proteção e disjuntores. Em sistemas elétricos, relés de proteção detectam condições de falha e comandam disjuntores a abrir. Se o relé ou o disjuntor falhou silenciosamente, uma falha não será interrompida. O teste de FFI envolve injetar um sinal de teste para verificar a atuação do relé e a operação do disjuntor.

Definindo a Meta de Indisponibilidade Aceitável

A probabilidade de indisponibilidade P(indisponibilidade) usada na fórmula do FFI não é arbitrária. Deve ser determinada por uma avaliação de risco que considere:

• A severidade da consequência da falha múltipla (segurança, meio ambiente, operação)
• Normas regulatórias e setoriais que especificam níveis mínimos de integridade (por exemplo, Níveis de Integridade de Segurança da IEC 61511 para sistemas de segurança de processo)
• A frequência com que a falha primária, ou a demanda sobre a função protetora, é esperada
• Se outras camadas protetoras estão em vigor para reduzir o risco líquido

Para funções críticas de segurança, as metas de indisponibilidade ficam tipicamente na faixa de 1% a 10%, dependendo da severidade da consequência e do SIL (Nível de Integridade de Segurança) atribuído à função. Para funções protetoras menos críticas, uma indisponibilidade maior pode ser aceitável. A estrutura de probabilidade condicional de falha usada em programas de manutenção baseada em risco fornece uma base estruturada para essas decisões.

O que Acontece Quando um Dispositivo É Encontrado em Falha

Um teste funcional que revela um estado de falha não é uma falha de manutenção: é o sistema funcionando exatamente como projetado. O propósito do FFI é encontrar falhas ocultas antes que uma demanda ocorra. Quando uma falha é encontrada:

1. O dispositivo é restaurado imediatamente ao estado funcional (reparo ou substituição).
2. A falha é registrada com a data do último teste bem-sucedido. Isso fornece um limite superior para o tempo em que o dispositivo estava indisponível.
3. O evento de falha é adicionado ao histórico do dispositivo. À medida que esse registro se acumula, o MTBF real pode ser estimado e comparado ao valor usado no cálculo do FFI.
4. Se falhas estão sendo encontradas a uma taxa que sugere que o MTBF real é significativamente menor do que o assumido, o FFI deve ser encurtado para manter a indisponibilidade alvo.

Esse ciclo de testar, encontrar, registrar, analisar e ajustar é o que torna o gerenciamento do FFI um programa vivo, e não um cronograma estático. É também o que separa um programa de manutenção baseada em risco maduro de um em que os intervalos são definidos uma vez e nunca revisados.

Integrando o FFI ao Cronograma de Manutenção

As tarefas de FFI são programadas no mesmo sistema de gestão de manutenção que todas as demais ordens de serviço. No entanto, algumas considerações práticas são específicas das tarefas de busca de falha:

A tarefa deve ser um teste funcional genuíno. Uma inspeção visual de uma cabeça de sprinkler não é um teste funcional do sistema de sprinklers. O teste deve efetivamente verificar que a função protetora operará corretamente sob suas condições necessárias. Testes parciais ou medidas alternativas que não confirmem a funcionalidade plena não satisfazem o requisito do FFI.

Acesso e segurança durante o teste. Muitos testes funcionais envolvem desativar ou contornar temporariamente a função protetora para testá-la. Isso cria uma janela de indisponibilidade. A boa prática de manutenção minimiza essa janela, documenta-a e garante que outras camadas protetoras estejam em vigor durante o período de teste.

Registro de dados. Auditorias regulatórias e estudos de segurança exigem evidência de que as tarefas de FFI foram executadas na frequência exigida e que os resultados foram registrados. As ordens de serviço devem capturar o procedimento de teste seguido, o resultado (aprovado ou reprovado) e qualquer ação corretiva tomada.

FFI e Monitoramento de Condição Moderno

Para alguns dispositivos protetores, técnicas contínuas ou periódicas de manutenção baseada em condição podem complementar ou substituir os testes funcionais tradicionais. Recursos de autodiagnóstico em sistemas instrumentados de segurança modernos, por exemplo, detectam alguns modos de falha continuamente, o que efetivamente reduz a taxa de falha detectável e pode permitir um FFI mais longo sem aumentar a indisponibilidade.

O teste de curso parcial online de válvulas de desligamento de emergência permite que uma parte do curso da válvula seja testada durante a operação normal sem fechar completamente o processo. Isso testa alguns modos de falha (travamento mecânico, falha de atuador) sem a perturbação operacional de um teste de curso completo, e pode suportar frequências de teste mais altas que de outra forma seriam operacionalmente impraticáveis.

Tecnologias de manutenção preditiva, incluindo análise de vibração, análise de assinatura de corrente elétrica e imagem térmica, podem detectar degradação em ativos de espera que não seria identificada por um teste funcional binário de aprovado/reprovado. Integrar esses sinais junto às tarefas de FFI programadas oferece uma visão mais completa da saúde do sistema protetor.

O princípio fundamental é que qualquer técnica de monitoramento usada para reduzir ou substituir uma tarefa de FFI deve ser comprovadamente eficaz na detecção dos modos de falha específicos que o FFI foi projetado para encontrar. A lógica é a mesma; apenas a tecnologia muda.

Erros Comuns no Gerenciamento do FFI

Usar um cronograma fixo sem cálculo. Muitos programas de manutenção atribuem intervalos de teste a equipamentos protetores com base em recomendações do fabricante, mínimos regulatórios ou hábito, em vez de calcular a partir do MTBF e das metas de indisponibilidade. Isso pode resultar em intervalos muito mais longos do que o perfil de risco justifica.

Tratar o FFI como um máximo em vez de uma meta. O FFI define o intervalo máximo permitido consistente com a indisponibilidade alvo. Testar com mais frequência é sempre permitido e pode ser adequado quando o acesso operacional o tornar conveniente. Testar com menos frequência viola o objetivo de segurança ou de risco.

Não registrar os resultados dos testes de forma consistente. O valor do programa de busca de falha depende inteiramente da qualidade dos registros de falha. Se dispositivos com falha forem restaurados sem documentação, a estimativa de MTBF nunca é corrigida e o FFI permanece baseado em premissas em vez de evidências.

Confundir a tarefa de FFI com a tarefa de restauração. A tarefa de FFI é o teste. Se o teste revelar uma falha, uma ordem de serviço de manutenção corretiva separada deve ser aberta para restaurar o dispositivo. Misturar essas duas atividades na mesma ordem de serviço dificulta o rastreamento preciso das ocorrências de falha.

Ignorar falhas por causa comum. Quando vários dispositivos protetores idênticos estão instalados em paralelo (laços de segurança redundantes, por exemplo), uma única causa pode falhar todos simultaneamente. Cálculos de FFI que assumem modos de falha independentes subestimarão a indisponibilidade real do sistema. Escalonar os testes de dispositivos redundantes ajuda a detectar falhas por causa comum que testes sincronizados deixariam passar.

Perguntas Frequentes

O mais importante

O intervalo de busca de falha é a base quantitativa para testar ativos de espera e protetores na frequência correta. Ele substitui suposições por um cálculo defensável, fundamentado em risco, que equilibra o custo da inspeção com a probabilidade de a falha oculta passar despercebida e contribuir para um evento perigoso ou de impacto na produção.

Em setores regulados como petróleo e gás, energia nuclear e aviação, os cálculos de FFI não são opcionais: são requisitos de auditoria vinculados a estudos de segurança formais. Para equipes de manutenção em ambientes menos regulados, aplicar a metodologia de FFI a testes de funções ocultas melhora a qualidade do programa e fornece a documentação necessária para justificar intervalos de inspeção para engenheiros, gestores e reguladores.