Design e Interação: Desastres envolvendo sistemas de controle e o que podemos aprender com eles

January 30, 2017

No último post da série, veremos casos reais de acidentes causados por HMI ruins, ilustrando a importância da visibilidade e usabilidade das interfaces, principalmente quando envolve a vida de muitas pessoas, como em meios de transportes, fábricas e usinas. É comum associar alguns acidentes à falha humana. No entanto, em muitos casos, a interface não permite que se perceba a gravidade da situação ou o que é mais preocupante ainda: induz o operador ao erro.

O primeiro caso, é bastante simples e ilustra bem como é importante que o operador tenha visão de todo o funcionamento da máquina e dos processos. A simples presença de um sensor com uma luz no painel que indicasse a abertura ou fechamento de portas teria impedido o naufrágio do Herald of Free Enterprise, em 1987. Fora do campo de visão do comandante, a porta por onde era feito o carregamento de veículos a serem transportados era de responsabilidade de um funcionário, que se ausentou para descansar, permitindo que a balsa deixasse o porto de Zeebrugge, na Bélgica com o casco destampado, causando 193 mortes.

Herald of Free Enterprise após o resgate

A forma como a representação de um valor é feita também pode influenciar na interpretação da informação, como no voo 605 da Indian Airlines, que deixou 92 mortos e 54 feridos.

A queda ocorrida em Bangalore, 1990, aconteceu devido à falha dos pilotos em perceberem a baixa velocidade em que o avião se encontrava. Dentre as melhorias feitas após o acidente, estão o prolongamento da linha indicadora da velocidade, bem como o acréscimo de alarme de velocidade para situações parecidas.

 

Imagem obtida em lessonslearned.faa.gov

A queda do voo 148 da Air Inter, em 1992, também possui como causa um display no painel de controle do avião. Dessa vez, diferentemente da balsa, os dados dos sensores estavam todos lá, porém ocultos. Dois valores importantíssimos para a configuração do piloto automático (ângulo de trajetória de voo e a velocidade vertical) eram expressos nos mesmos campo do painel e assim, eram alternados para serem vistos.

A velocidade vertical, que é medida em pés por minuto, omitia suas últimas duas casas decimais (-33 representava -3.300). Uma vez que este formato exibia a mesma quantidade de dígitos necessárias para comunicar o ângulo de trajetória de voo, os valores poderiam facilmente ser confundidos em casos semelhantes a esse. Somado a ausência de um indicador de unidade de medida, uma pequena falha no painel ou a própria desatenção do piloto levaram a 87 mortos e 9 feridos.

 

Especialistas sugerem que o piloto, na intenção de ajustar o ângulo de trajetória de voo, colocou o avião em uma descida brusca. Imagem obtida em lessonslearned.faa.gov

 

Columbia na plataforma de decolagem

 

Talvez um dos mais clássicos exemplos da importância da boa comunicação ocorreu na NASA. Em 2003, durante a decolagem do ônibus espacial Columbia, percebeu-se que a nave deixou para trás um pedaço de espuma, responsável por seu isolamento térmico. Durante os dias que se sucederam, uma série de engenheiros trabalharam e geraram relatórios que indicavam as possíveis consequências desse problema na viagem de retorno do ônibus. Após concluírem que não havia perigo, permitiram o retorno da nave 12 dias depois, o que culminou em uma explosão na reentrada na atmosfera terrestre, matando os 7 tripulantes da missão.

 

As conclusões geradas naquela semana de cálculos e testes foram compiladas em uma apresentação de PowerPoint, que traz lições bastante pertinentes sobre os cuidados que devemos ter com interfaces, pois assim como uma HMI mal projetada, ela falhou em expor a situação para que a melhor decisão fosse tomada. O principal motivo para isso foi a hierarquia inadequada dos dados apresentados. O relatório dos engenheiros da Boeing tem 6 níveis de tópicos, desnecessários e mal distribuídos.

 

Assim, questões relevantes, como a diferença de escala entre os testes e a situação real, bem como outros pontos que destacavam os perigos do evento não receberam a devida importância, pois os dados otimistas acabaram bem mais evidenciados. Termos como "significante e significantemente" foram utilizados em diversos momentos para itens de graus de importância diferentes, o que com certeza influenciou a tomada da decisão de autorizar a volta da missão.

 

Página 6 da apresentação de slides do relatório

Proximidade, alinhamento e repetição de padrões de elementos colocam os dados no mesmo patamar, enquanto suas diferenças determinam um nível diferente nessa hierarquia. Quanto mais contrastante, do maior para o menor, do negrito para a fonte regular, a distância do início do parágrafo, mais se difere a importância das informações.

Análise completa em edwardtufte.com

 

Em uma tela de SCADA ou qualquer outro sistema de controle, quando características como tamanho e posição que definem hierarquia não condizem com o nível de prioridade de uma informação, algo crucial pode passar em branco. Por isso alarmes costumam possuir luzes e sons chamativos, para garantir a atenção devida.

 

A hierarquia também serve para melhor localização da informação, que deverá estar próximas e/ou subordinadas a outras de mesmo contexto. Não foi o que aconteceu na refinaria Texas B.P, na Cidade do Texas, Estados Unidos, em 2005. O SCADA utilizado na época, somado a falhas humanas, contribuíram para a explosão, que totalizou 15 mortos e 180 feridos. 

 

Em uma unidade de isomerização, o medidor de nível apresentou um mal funcionamento, disparando assim um alarme indicando essa falha. Entretanto, o alarme era desconhecido dos operadores, que o entenderam como uma confirmação de nível baixo, sem que fosse feita uma verificação por outros indicadores, como os de entrada e saída de líquidos. Essa negligência se deve muito ao fato de que essas informações eram exibidas em telas diferentes, dificultando muito a visualização de que esses valores de entrada e saída não estavam coerentes. A falha no medidor de nível poderia ser detectada de outras formas.

Bastaria verificar pessoalmente o nível através da janela de vidro do reservatório, que estava suja, e por um medidor de pressão, ausente no display.

 

 

 

 Imagem retirada do documento final sobre o incidente

O acidente também poderia ter sido evitado se engenheiros e demais envolvidos aprendessem com as lições deixadas por eventos anteriores. Décadas antes, mais precisamente em 1994, outra refinaria explodiu por motivos semelhantes. Dessa vez o ocorrido foi em uma refinaria Texaco em Milford Haven, condado de Pembroke, Wales, País de Gales. 

 

Um relatório informa que tudo começou com um pequeno incêndio causado por uma queda de luz, o que não causou a explosão, mas desregulou algumas unidades da refinaria. Em certo momento, uma válvula que deveria se fechar automaticamente falha ao realizar a ação, mas é indicada no painel como fechada. Diversos outros dados do display poderiam rapidamente contradizer essa informação, porém, mais uma vez, estavam dispersos por diferentes telas e em meio a um monte de outros dados irrelevantes. Os operadores, concentrados na tela que apontava níveis incoerentes de fluídos, não foram capazes de perceber isso, desencadeando uma série de outros problemas que culminaram na explosão.

 

 Sala de controle da Texaco

Imagem obtida no relatório de investigação

 

 

Na usina nuclear Three Mile Island, Dauphin County, Pennsylvania, EUA, um erro básico na programação também causou um engano sobre a real situação de uma válvula, dessa vez, a luz que indicava o fechamento e abertura da válvula não se baseava em sensores que detectassem essa posição, mas sim no comando dado pelo operador. Ou seja, mesmo que ela, por alguma falha, não obedecesse a ordem, a luz indicaria que a ação aconteceu.

 

Foi exatamente o que se sucedeu no processo de refrigeração do reator. O sistema de segurança automaticamente acrescentava água quando os termômetros demonstravam uma temperatura acima do esperado, mas a verificação desses termômetros não estava na lista de prioridades, por isso confiaram apenas no sensor de pressão. Este por sua vez, dava a impressão de que a unidade estava cheia de água na interpretação dos operadores, devido a pressão causada pelo vapor. Isso, somado a crença de que a válvula estava fechada, levou os operadores a fecharem o sistema automático de acréscimo de água, superaquecendo o reator, o que o levou a explodir. 

Movimentação após a explosão de Three Mile Island

A explosão foi considerada o maior acidente em usina nuclear até Chernobyl, poucos anos depois. As consequências desses eventos reforçam o quão necessário é o constante investimento em segurança, e isso se dá também, quando se adapta a máquina às capacidades do ser humano. Embora, tenhamos evoluído consideravelmente na qualidade dos sistemas de controle devido aos avanços tecnológicos em hardwares aliados a engenharia de software, percebe-se ainda presentes na indústria HMI's ultrapassadas, softwares não customizados para a real necessidade da planta e estagnados nos anos 90, quando conceitos de ergonomia não eram aplicados, trazendo riscos à população.
As proporções colossais que as indústrias vem adquirindo só aumentam a demanda por segurança, por isso é imprescindível que aprendamos com erros passados para garantir que esses desastres não se repitam no futuro.
 

 

Se quiser se aprofundar no assunto, baixe o nosso eBook gratuito: Design de Interface Aplicado aos Sistemas SCADA.

 

 

 

 

 

 

 

 

Please reload

Em Destaque

Estudo de Caso SCADA COG COS

March 13, 2018

1/4
Please reload

Publicações Recentes

March 13, 2018