Br-IndustrialExpert Um framework para análise da ... · UFRN / Biblioteca Central Zila Mamede...

UNIVERSIDADE DO RIO GRANDE DO NORTEFEDERAL

UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE

CENTRO DE TECNOLOGIA

PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA ELÉTRICA E

DE COMPUTAÇÃO

Br-IndustrialExpertUm framework para análise da dependabilidade de

infraestruturas críticas

Daniel Enos Cavalcanti Rodrigues de Macedo

Orientador: Prof. Dr. Luiz Affonso Henderson Guedes de Oliveira (DCA/UFRN)

Dissertação de Mestrado apresentada aoPrograma de Pós-Graduação em EngenhariaElétrica e de Computação da UFRN (área deconcentração: Engenharia de Computação)como parte dos requisitos para obtenção dotítulo de Mestre em Ciências.

Número de ordem PPgEEC: M430Natal, RN, Julho de 2014

UFRN / Biblioteca Central Zila Mamede

Catalogação da Publicação na Fonte

Macedo, Daniel Enos Cavalcanti Rodrigues de.

Br-IndustrialExpert: um framework para análise da dependabilidade

de infraestruturas críticas / Daniel Enos Cavalcanti Rodrigues de Macedo.

– Natal, RN, 2014.

57 f. : il.

Orientador: Prof. Dr. Luiz Affonso Henderson Guedes de Oliveira.

Dissertação (Mestrado) – Universidade Federal do Rio Grande do

Norte. Centro de Tecnologia. Programa de Pós-Graduação Engenharia

Elétrica e da Computação.

1. Infraestruturas críticas - Dissertação. 2. Árvores de Falhas -

Dissertação. 3. Dependabilidade - Dissertação. 4. Framework -

Dissertação. 5. Ambientes industriais - Dissertação. I. Oliveira, Luiz

Affonso Henderson Guedes de. II. Universidade Federal do Rio Grande

do Norte. III. Título.

RN/UF/BCZM CDU 004.75

Aos meus pais, Ejosivan e Terezinha,pelo exemplo de luta, dedicação e

honestidade.

Agradecimentos

Fazer um mestrado é o experimentar de novos desafios, o amadurecimento do pensar,uma explosão de sentimentos. Ao longo do caminho, encontra-se a chuva, o sol, as florese o espinho. Para um viajante que cruza o caminho, o final pode parecer uma vitória soli-tária, mas engana-se. A conclusão não teria ocorrido sem a ajuda de pessoas especiais quecontribuíram e me ajudaram ao longo de toda essa caminhada. Agradeço primeiramentea Deus, pelo amor e carinho com que tem cuidado de mim todos os dias da minha vidae me orientado nos momentos mais difíceis. A minha família que tem me encorajado eapoiado a alcançar meus sonhos.

A Raquel França de Oliveira, minha amiga e companheira que me deu forças e apoiomesmo nos momentos de maior ausência.

Aos meus orientadores de pesquisas científicas Prof. Luiz Affonso e Prof. Ivanovitchque marcaram minha vida acadêmica, como exemplos de profissionais dedicados a suasprofissões e comprometidos com a verdadeira missão de lecionar.

Aos companheiros de trabalho do Laboratório de Informática Industrial e da AutoS-mart Sistemas de Automação Inteligentes que são exemplos de engenheiros e profissio-nais.

Aos meus amigos do Programa de Pós Graduação de Engenharia Elétrica e de Com-putação que compartilharam comigo muitos dos mesmos sonhos, desafios e conquistas.

Resumo

A demanda para o desenvolvimento de novas ferramentas que facilitem o projeto,monitoramento, manutenção e comissionamento de infraestruturas críticas é permanente.A complexidade do ambiente industrial, por exemplo, exige que estas ferramentas apre-sentem funcionalidades bastante flexíveis, informando dados valiosos para os projetistasainda na fase de pré-projeto. Adicionado a estes fatores, sabe-se que os processos in-dustriais apresentam requisitos de dependabilidade rígidos, uma vez que falhas podemprovocar perdas econômicas, danos ambientais e riscos de vida aos operários. A utili-zação de uma ferramenta que habilite a avaliação de falhas nas infraestruturas críticaspoderia mitigar esses problemas. Nesse sentido, o referido trabalho apresenta o desenvol-vimento de uma framework para análise da dependabilidade de infraestruturas críticas. Aproposta permite a modelagem das infraestruturas críticas, mapeando seus componentesem uma Árvore de Falha. Em seguida, o modelo matemático gerado é utilizado para aná-lise da dependabilidade da infraestrutura, baseando-se nas falhas de equipamentos e suasinterligações. Finalmente, cenários típicos de ambientes industriais são utilizados para avalidação da proposta.

Palavras-chave: Infraestruturas críticas, Árvores de Falhas, Dependabilidade, Fra-mework, Ambientes industriais.

Abstract

There is a growing need to develop new tools to help end users in tasks related tothe design, monitoring, maintenance and commissioning of critical infrastructures. Thecomplexity of the industrial environment, for example, requires that these tools have fle-xible features in order to provide valuable data for the designers at the design phases.Furthermore, it is known that industrial processes have stringent requirements for depen-dability, since failures can cause economic losses, environmental damages and danger topeople. The lack of tools that enable the evaluation of faults in critical infrastructurescould mitigate these problems. Accordingly, the said work presents developing a fra-mework for analyzing of dependability for critical infrastructures. The proposal allowsthe modeling of critical infrastructure, mapping its components to a Fault Tree. Then themathematical model generated is used for dependability analysis of infrastructure, relyingon the equipment and its interconnections failures. Finally, typical scenarios of industrialenvironments are used to validate the proposal.

Keywords: Critical infrastructures, Fault Tree, Dependability, Framework, Industrialenvironments.

Sumário

Sumário i

Lista de Figuras iii

Lista de Tabelas v

Lista de Publicações vii

Lista de Acrônimos e Abreviaturas ix

1 Introdução 11.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.2 Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.3 Organização da dissertação . . . . . . . . . . . . . . . . . . . . . . . . . 4

2 Dependabilidade: Estado da Arte 72.1 Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1.1 Falha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1.2 Defeito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1.3 Erros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.1.4 Dependabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.2 Medidas fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.2.1 Modelos para taxas de defeitos . . . . . . . . . . . . . . . . . . . 11

2.2.2 Medidas de Análise Quantitativa . . . . . . . . . . . . . . . . . . 13

3 Árvore de Falhas 233.1 Composição da Árvore de Falhas . . . . . . . . . . . . . . . . . . . . . . 23

3.1.1 Análise de Árvores de Falhas . . . . . . . . . . . . . . . . . . . . 25

4 Framework para Análise da Dependabilidade 294.1 Br-MathExpert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

i

4.2 Br-FaultTreeExpert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.3 Br-IndustrialExpert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.3.1 Editor de infraestruturas genéricas . . . . . . . . . . . . . . . . . 334.3.2 Gerador de Árvore de Falhas . . . . . . . . . . . . . . . . . . . . 34

4.4 Conjunto de Cortes Minimais . . . . . . . . . . . . . . . . . . . . . . . . 37

5 Estudo de casos 435.1 Estudo de Caso 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.2 Estudo de Caso 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.3 Estudo de Caso 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

6 Conclusão e Trabalhos Futuros 53

Referências bibliográficas 54

Lista de Figuras

2.1 Relação entre falhas, erros e defeitos. . . . . . . . . . . . . . . . . . . . 9

2.2 Relação entre a densidade de defeitos f (t) e a taxa de defeitos z(t). . . . . 12

2.3 Estados do sistema na visão da confiabilidade. . . . . . . . . . . . . . . . 14

2.4 Estados do sistema na visão da disponibilidade. . . . . . . . . . . . . . . 18

2.5 Comportamento do sistema para diversos instantes de tempo. . . . . . . . 19

3.1 Diagrama de uma Árvore de Falhas e os seus principais componentes:eventos básicos (A,B,C,D,E), portas lógicas (or1, or2, and1, and2) e eventotopo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.2 Portas lógicas mais comuns. . . . . . . . . . . . . . . . . . . . . . . . . 24

3.3 Execução do MOCUS na Árvore de Falha da Figura 3.1. . . . . . . . . . 26

3.4 Árvore de Falhas com evento repetido. . . . . . . . . . . . . . . . . . . . 27

3.5 Análise de um nó repetido. . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.1 Visão geral da arquitetura para avaliação da dependabiliade de infraestru-turas industriais críticas . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4.2 Hierarquia estrutural utilizada na arquitetura proposta. . . . . . . . . . . 30

4.3 Modelo hieráquico com Cadeia de Markov e Árvore de Falha. . . . . . . 31

4.4 Interface gráfica do Br-FaultTreeExpert . . . . . . . . . . . . . . . . . . 32

4.5 Interface de configuração para estruturas genéricas no Br-IndustrialExpert. 34

4.6 Condição de falha para uma rede de dispositivos i considerado: (i) fa-lhas de hardware; (ii) falhas de link; (iii) ausência de camnhos entre oservidor/centralizador e o dispositivo; (iv) estrutura de dados adotada. . . 35

4.7 Condição de falha da rede (i) e sua estrutura de dados respectiva(ii). . . . 36

4.8 Exemplo de um sistema/processo. . . . . . . . . . . . . . . . . . . . . . 37

4.9 Árvore de Falha baseada no exemplo da Fig. 4.8 considerando falhas dehardware permanente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.10 Árvore de Falhas baseada no exemplo da Fig. 4.8 considerando falhas emlinks permanentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

iii

4.11 Topologia utilizada para exemplificar a geração do conjunto de cortes mí-nimos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.12 Simplificação utilizada na geração do conjunto de cortes mínimos. . . . . 42

5.1 Sistema de controle de nível de água. . . . . . . . . . . . . . . . . . . . . 435.2 Modelagem do processo de controle de nível de água no Br-IndustrialExpert. 445.3 Processo de controle de nível de água modelado em uma Árvore de Falha. 455.4 Análise de confiabilidade para o sistema de tanques. . . . . . . . . . . . . 465.5 Br-Industrial Process Expert’s Editor de Rede. . . . . . . . . . . . . . . 475.6 Analise de sensibilidade considerando a confiabilidade do sistema. . . . . 485.7 Esquema de rede de escoamento de óleo. . . . . . . . . . . . . . . . . . . 495.8 Confiabilidade do processo de escoamento de óleo. . . . . . . . . . . . . 505.9 Disponbilidade do processo de escoamento de óleo. . . . . . . . . . . . . 505.10 Análise da métrica Birnbaum do processo de escoamento de óleo. . . . . 51

Lista de Tabelas

2.1 Medidas de confiabilidade para taxas de defeitos típicas. . . . . . . . . . 17

5.1 Taxas de falha e reparo dos eventos. . . . . . . . . . . . . . . . . . . . . 455.2 Taxas de falha e reparo dos eventos. . . . . . . . . . . . . . . . . . . . . 465.3 Analise de sensibilidade considerando a disponibilidade do sistema. . . . 485.4 Taxas de falha e reparo dos eventos. . . . . . . . . . . . . . . . . . . . . 50

v

Lista de Publicações

Ivanovitch Silva, Rafael Leandro, Daniel Macedo, Luiz Affonso Guedes, A dependa-bility evaluation tool for the Internet of Things, Computers & Electrical Engi-neering, Volume 39, Issue 7, October 2013, Pages 2005-2018, ISSN 0045-7906,http://dx.doi.org/10.1016/j.compeleceng.2013.04.021.

Macedo, D.; Silva, I.; Guedes, L.A.; Portugal, P.; Vasques, F., "A framework for de-pendability evaluation of industrial processes,"Emerging Technologies & FactoryAutomation (ETFA), 2013 IEEE 18th Conference on , vol., no., pp.1,4, 10-13 Sept.2013, doi: 10.1109/ETFA.2013.6648117.

Silva, I ; Macedo, Daniel ; Guedes, L. A. A dependability evaluation for Internet of Thingsincorporating redundancy aspects. In: ICNSC, 2014, Maiami.

Macedo, Daniel ; Silva, I. ; Guedes, L. A. . Uma Ferramenta para Análise de Dependa-bilidade de Processos Industriais. In: Simpósio Brasileiro de Automação Inteligente(SBAI), 2013, Fortaleza. Simpósio Brasileiro de Automação Inteligente (SBAI),2013.

SANTOS, A. ; Macedo, Daniel ; Silva, I. ; Guedes, L. A. ; Dória Neto, A. D . Ferra-menta para Gerenciamento de Redes Industriais WIRELESSHART. In: SimpósioBrasileiro de Automação Inteligente (SBAI), 2013, Fortaleza. Simpósio Brasileirode Automação Inteligente (SBAI), 2013.

Silva, I ; Macedo, Daniel ; Guedes, L. A. . Uma Metodologia para Modelagem e Ava-liação da Dependabilidade de Redes Industriais Sem Fio. In: Abrisco, 2013, Riode Janeiro. Associação Brasileira de Análise de Risco, Segurança de Processos eConfiabilidade. Rio de Janeiro: Abrisco, 2013.

Silva, P. A. F. ; Silva, I ; Macedo, Daniel ; Robson, A. ; Guedes, L. A. . Ferramenta paraAnálise de Confiabilidade e Risco de Processos Industriais via Redes Bayesianas. In:Abrisco, 2013, Rio de Janeiro. Associação Brasileira de Análise de Risco, Segurançade Processos e Confiabilidade. Rio de Janeiro: Abrisco, 2013.

vii

Nobre, L. Silva, P. A. F. ; Silva, I ; Macedo, Daniel ; Robson, A. ; Guedes, L. A. Análisede confiabilidade de processos industriais via Redes Bayesianas. In: CBA, 2014,Belo Horizonte. (aprovado)

Silva, I ; Macedo, Daniel ; Guedes, L. A. Uma análise de falhas em modo comum eredundância para processos industriais. In: CBA, 2014, Belo Horizonte. (aprovado)

Lista de Acrônimos e Abreviaturas

CCF Falhas em modo comum

FT Árvores de Falhas

FTA Análise de Árvores de Falhas

ME Br-MarkovExpert

MTBF Tempo médio entre defeitos

MTTF Tempo médio de funcionamento até a ocorrência de um defeito

MTTR Tempo médio até o sistema reparar um defeito

ix

Capítulo 1

Introdução

O ambiente industrial é conhecido por ser bastante conservador em relação à adoçãode novas tecnologias. Fazendo uma comparação com a área de redes de computadores,vemos que uma infraestrutura de Tecnologia da Informação e Comunicação (TIC) temum tempo de vida médio de 2 a 3 anos, enquanto que a mesma estrutura na área indus-trial apresenta um tempo de vida médio de aproximadamente 10 anos [Silva 2013]. Essarealidade ocorre principalmente devido à confiabilidade e à segurança já válidas em tec-nologias legadas. Em um ambiente industrial, falhas nos equipamentos podem resultarem perdas econômicas e, principalmente, provocar danos irreparáveis ao meio ambientee operadores. Nesse sentido, é de suma importância o desenvolvimento de ferramen-tas para análise da dependabilidade1 das infraestruturas críticas dos ambientes industri-ais [Krishnamurthy et al. 2005, Cinque et al. 2007, Xing et al. 2012].

Infraestruturas críticas podem ser desde processos químicos, serviços de Tecnologiada Informação (TI), redes de comunicação a fatores humanos. Do ponto de vista damodelagem de sistemas, as infraestruturas críticas podem ser mapeadas em uma estruturade rede, constituindo assim um grafo. A teoria dos grafos é um ramo da matemática queestuda as relações entre os objetos de um determinado conjunto. Um grafo é formadopor um conjunto não vazio de objetos, denominados vértices e por um conjunto de paresnão ordenados de vértices, chamado arestas. Em uma refinaria por exemplo, podemosmapear os dutos de fluxo de óleo como as arestas e os vasos de armazenamento de óleo ede separação como os vértices.

A estimativa da dependabilidade das infraestruturas críticas durante as fases iniciais deplanejamento e projeto pode antecipar importantes decisões, tais como o comportamentodas falhas do sistema em caso de falhas, disponibilidade e criticidade dos equipamentos,

1A definição de dependabilidade será formalmente apresentada nas próximas seções. Nesse momento,assumimos que a dependabilidade é a capacidade de entregar serviços que podem ser justificadamenteconfiáveis.

2 CAPÍTULO 1. INTRODUÇÃO

dentre outras métricas. Essa análise pode ser obtida quantitativamente através de modelosmatemáticos, tais como Árvore de Falhas 2, Cadeias de Markov, Redes Petri e RedesBayesianas.

A análise da dependabilidade de sistemas baseados em grafos é um problema clás-sico na literatura [AboElFotoh & Colbourn 1989]. A teoria já desenvolvida pode serutilizada na estimação da dependabilidade das infraestruturas críticas em ambientes in-dustriais. O problema pode ser classificado em três abordagens: k-terminal, 2-terminal

ou todos-terminal. Vamos assumir um grafo com N dispositivos e um conjunto de K

dispositivos (K ⊂ N e |K| < |N|). K é um conjunto composto por um dispositivo cen-tralizador e K-1 dispositivos de campo. Definindo um dispositivo centralizador s ∈ K, oproblema k-terminal é expressado como a probabilidade de que exista pelo menos um ca-minho/ligação de s para cada dispositivo de campo incluso em K. O problema 2-terminal

é o caso onde K = 2, ao passo que o problema de todos-terminal é o caso em que |K| =|N|.

Uma tentativa para criar uma metodologia para avaliar a dependabilidade de estrutu-ras baseadas em grafos foi realizada em [Cinque et al. 2007]. Os autores mapearam umaRede de Sensores Sem Fio (RSSF) em uma estrutura de grafo. Os sensores assumem opapel dos vértices enquanto que os enlaces de comunicação entre os diversos sensores as-sumem o papel de arestas do grafo. Um modelo baseado no formalismo de Redes de PetriEstocásticas e Generalizadas foi desenvolvido para análise das falhas transientes. Paraintroduzir o conceito de arquitetura de modelos, os mesmos autores estenderam o traba-lho anterior [Cinque et al. 2007] criando uma proposta dinâmica capaz de especializar oestudo descrito em Di Martino et al. (2012). Todavia, ambos os trabalhos não permitem aconfiguração de condições de falhas mais complexas envolvendo eventos independentes.Adicionalmente, métricas clássicas de dependabilidade não são suportadas, por exemplo,confiabilidade, disponibilidade e criticidade de dispositivos.

Recentemente, uma importante contribuição para avaliação da dependabilidade emgrafos foi proposta em Xing et al. (2012). A ideia principal é avaliar a influência defalhas em modo comum. Os autores propõem um esquema baseado em Diagramas deDecisão Binária (DDB) para avaliação de grafos com uma quantidade de componentessuperior a 20 dispositivos. Todavia, o modelo não suporta condições genéricas de falha,tampouco uma análise de importância dos dispositivos. Tal trabalho foi desenvolvidovisando especificamente o estudo de Redes de Sensores Sem Fio Industriais (RSSFI),no entanto, seus algoritmos podem ser generalizados para outras infraestruturas comoprocessos químicos e refinarias.

2Adotaremos nessa dissertação a abreviação desse termo em língua inglesa, Fault Tree (FT)

1.1. OBJETIVOS 3

A partir da discussão acima se torna claro que os trabalhos já desenvolvidos na lite-ratura têm fornecido apenas uma solução parcial para o problema visado, uma vez quea maioria deles é focado em situações muito específicas. Adicionalmente, esses tra-balhos são muito restritivos no que diz respeito à definição das condições de falha nainfraestrutura, métricas de confiabilidade, topologia e aspectos de reconfiguração. A fer-ramenta proposta neste trabalho utiliza-se de uma metodologia que não é uma aborda-gem nova, visto que o problema da dependabilidade em grafos já foi avaliado na litera-tura [AboElFotoh & Colbourn 1989], no entanto, a metodologia adotada visa eliminara maioria das limitações dos trabalhos anteriores. Além disso, os trabalhos analisadosgeram seus próprios modelos de dependabilidade, o que dificulta a generalização dos re-sultados.

1.1 Objetivos

Considerando a importância inerente das infraestruturas críticas em ambientes indus-triais e também a necessidade de novas instalações (redes de comunicação cabeadas e semfio, processos químicos, monitoramento de dutos, etc), a presente dissertação tem comoobjetivo principal o desenvolvimento de um framework para criação de infraestruturasindustriais críticas mais resilientes e compatíveis com os requisitos orçamentários. O fra-

mework proposto pode ser considerado uma ferramenta de projeto, cujo foco principal é adependabilidade das aplicações. O framework permite a escolha da topologia (forma comque os equipamentos se conectam) a ser adotada, indicar os dispositivos mais críticos erealizar análise de sensibilidade. A proposta é baseada no formalismo matemático de Ár-vores de Falhas, considerando-se falhas permanentes, e falhas em modo comum (eventosindependentes).

1.2 Contribuições

A principal contribuição da dissertação é propor um framework para avaliar a depen-dabilidade de infraestruturas críticas em ambientes industriais. A proposta é baseada naAnálise de Árvores de Falhas, uma técnica largamente utilizada para obtenção da proba-bilidade de ocorrência de um estado ou evento não desejado [Ericson 2005]. Neste caso,o evento não desejado está relacionado com o defeito de um dispositivo específico ou umgrupo de dispositivos. Um dispositivo é considerado falho se ele sofreu um defeito per-manente ou se não existe pelo menos acesso ao elemento central da aplicação (servidor,


tanque de estocagem, etc). Adicionalmente, como contribuições secundárias, a adaptaçãode um algoritmo originalmente aplicado à teoria de grafos para a geração dos cortes míni-mos de uma Árvore de Falha, que viabiliza computacionalmente o emprego dessa técnicainfraestruturas e dimensões tipicamente encontradas em instalações industriais reais.

A proposta inclui vários aspectos, sendo flexível e adaptável para diferentes tipos decenários. Quando comparada com outras soluções encontradas na literatura, as principaisvantagens do framework proposto nesta dissertação são:

• Suporte para infraestruturas industriais genéricas;• Condições de falhas que podem ser configuradas de uma maneira flexível, desde

um simples dispositivo até um grupo de dispositivos;• Processos de defeitos e reparos podem ser caracterizados usando diferentes tipos de

distribuições estatísticas;• Análise de defeitos em modo comum;• Falhas em hardware (equipamentos) e enlaces de comunicação (interação entre os

equipamentos);• Possibilidade de obtenção de diferentes tipos de métricas para um mesmo modelo

(confiabilidade, disponibilidade, tempo médio entre falhas, medidas de criticali-dade);• Desenvolvimento de uma linguagem de programação para modelagem e cálculo da

dependabilidade de infraestruturas industriais;• Protocolo de comunicação baseado em plug-ins para a análise da dependabilidade

baseada em Árvores de Falhas;• Implementação de um software incorporando todas as contribuições anteriores.

Para complementar a proposta, foram desenvolvidas ferramentas de software genéri-cas para a análise de Árvore de Falhas e Cadeias de Markov de tempo discreto permitindoque outras aplicações gerem seus modelos e possam analisa-los. O desenvolvimento daferramenta para análise de Cadeia de Markov foi feito para analisar redundâncias em dis-positivos em trabalho futuros.

1.3 Organização da dissertação

O restante desse trabalho está definido da seguinte forma: A Seção 2 apresenta afundamentação teórica sobre dependabilidade; O formalismo matemático de Árvores deFalhas é descrito na Seção 3; O framework proposto e suas principais contribuições são

1.3. ORGANIZAÇÃO DA DISSERTAÇÃO 5

descritas na Seção 4; estudos de casos e os seus respectivos resultados são discutido naSeção 5; Por fim, a Seção 6 conclui o trabalho e indica direções para trabalhos futuros.

Capítulo 2

Dependabilidade: Estado da Arte

Dependabilidade é um tema intrinsecamente relacionado à indústria. Falhas nas in-fraestruturas críticas podem provocar a parada parcial ou até mesmo total de uma plantaindustrial, resultando em perdas econômicas e riscos iminentes aos operários. Esse ca-pítulo tem como objetivo principal descrever os principais conceitos relacionados comanálise da dependabilidade de infraestruturas críticas industriais. Técnicas de redundân-cia e análises quantitativas também serão abordadas.

2.1 Principais conceitos

2.1.1 Falha

O primeiro conceito sobre dependabilidade a ser descrito é a própria falha (fault). Adefinição de falha é simples e clara, é um tipo de evento que pode conduzir a um erro. Umafalha está ativa quando ela causa um erro, caso contrário ela está dormente. Na indústria,alguns exemplos de falhas são: deterioração física dos componentes de hardware, errosoperacionais, decisões equivocadas ainda na fase de projeto e envelhecimento de software.

Classificação

Avizienis et al. (2004) classificou as falhas para três principais grupos: falhas de pro-jeto, falhas físicas e falhas de operação. As falhas de projeto incluem todas as falhas queocorrem durante a fase de desenvolvimento dos sistemas, enquanto que as falhas físicassão aquelas que afetam o hardware dos equipamentos. Por fim, as falhas de operação sãotodas as falhas que ocorrem durante a utilização dos sistemas.

Para melhor compreensão dessa classificação, iremos descrever alguns exemplos. Fa-lhas naturais são tipicamente falhas físicas causadas por fenômenos naturais com ou sema participação de agentes externos (humanos). Outro exemplo de falha é aquela provocada

8 CAPÍTULO 2. DEPENDABILIDADE: ESTADO DA ARTE

pela ação do homem, a qual pode incluir a falha por omissão (ausência de ações quando naverdade ações deveriam ter sido tomadas) ou falha por comissionamento (quando açõeserradas conduzem a falhas). Outros exemplos são descritos abaixo:

• Falhas maliciosas: introduzidas com o objetivo de alterar o funcionamento do sis-tema.• Falhas não maliciosas: introduzidas sem o objetivo malicioso.• Falhas deliberadas: ocorrem devido a más decisões.• Falhas não deliberadas: ocorrem devido a erros.• Falhas de configuração: a configuração errada dos parâmetros conduzem para fa-

lhas.

2.1.2 Defeito

O próximo conceito a ser descrito sobre análise da dependabilidade é o defeito (fai-

lure). A manifestação de eventos que ocorre quando o sistema desvia do serviço corretoé chamado defeito. Em outras palavras, defeitos ocorrem quando erros são propagadosdentro do sistema.

Um ponto de grande importância é a identificação das possíveis causas dos defeitos.Isso pode ser realizado mais facilmente baseado na caracterização/classificação dos di-versos tipos de defeitos. Avizienis et al. (2004) caracteriza os defeitos em quatro pontosde vistas: domínio, detectabilidade, consistência e consequências.

No primeiro ponto de vista, o domínio dos defeitos são classificados em três classesprincipais:

• Defeitos de conteúdo: a natureza da informação (numérica ou não numérica) trans-mitida desvia da especificação correta.• Defeitos temporais: a duração do serviço desvia da implementação correta (muito

rápido ou muito lento).• Defeitos de conteúdo e temporais: nenhum serviço é entregue ou caso o serviço

seja entregue ele desvia da sua implementação correta.

Outro ponto de vista importante descrito por Avizienis et al. (2004) é a detectabili-dade dos defeitos. Esse conceito refere-se à capacidade do defeito ser sinalizado para osusuários. Nesse contexto, dois principais problemas precisam ser observados. O primeirorefere-se aos falsos alarmes, o qual se caracteriza pela sinalização dos defeitos quando naprática eles não ocorreram. O segundo é ainda mais crítico e refere-se a não sinalização

2.1. PRINCIPAIS CONCEITOS 9

dos defeitos quando eles realmente ocorrem. Ambos problemas conduzem o sistema paraum estado de degradação, onde apenas algumas funcionalidades são operacionais.

A consistência dos defeitos é um ponto de vista que apresenta um significado muitopróximo com a detectabilidade dos defeitos. Esse conceito está relacionado com a capa-cidade de observação dos usuários em relação aos defeitos. Quando um serviço incorretoé percebido por todos os usuários do sistema, o defeito é chamado consistente. Por outrolado, quando apenas alguns usuários percebem que um defeito ocorreu, este é chamadode inconsistente.

Finalmente, o último ponto de vista proposto por Avizienis et al. (2004) é a con-sequência dos defeitos. Esse conceito caracteriza a severidade que um defeito pode causar.Quando as consequências são comparadas com os benefícios fornecidos pelo funciona-mento correto do sistema, os defeitos são chamados de benignos, caso contrário eles sãochamados de catastróficos.

Na metodologia proposta nesta dissertação, assumem-se os defeitos de conteúdo etemporais. Adicionalmente, todos os defeitos são sinalizados e observados para/pelosusuários. Em relação à severidade dos defeitos, dependendo do cenário a ser avaliado,ambos os defeitos benignos e catastróficos são suportados pela proposta apresentada aqui.

2.1.3 Erros

Erro é um conceito básico em análise da dependabilidade, o qual caracteriza um estadoincorreto de parte do sistema. Erros podem causar defeitos, enquanto que as causas doserros são as falhas. Os defeitos surgem quando os erros são propagados no sistema. Noteque a parte do sistema que contém erros pode nunca ser usada, dessa forma o defeitopoderá nunca ocorrer. A relação completa entre falhas, erros e defeitos é descrita naFigura 2.1.

Falha......... AtivaçãoErro

PropagaçãoDefeito

CausaFalha .....

Figura 2.1: Relação entre falhas, erros e defeitos.

Para melhor compreender o conceito sobre erro e suas relações com a falha e defeito,permita-nos descrever o seguinte cenário. Suponha que um determinado dispositivo (semfio) transmite um pacote para um controlador. No instante da transmissão, uma pertuba-ção no ambiente ocorreu (falha), modificando alguns bits do pacote. Devido à mudançados bits (erro), o pacote não foi aceito/recebido no controlador. Consequentemente, o


algoritmo de controle não foi capaz, por exemplo, de enviar o sinal correto para o desblo-queio de uma válvula (defeito).

Em relação à classificação, os erros são caracterizados conforme sua detectabilidade.Um erro é detectável quando sua evidência é indicada através de um comportamentopeculiar do sistema ou através de mensagens/alarmes. Por outro lado, quando o erroé presente, porém, não detectáveis, sua denominação é erro latente. No contexto destadissertação, todos os erros são considerados detectáveis.

2.1.4 Dependabilidade

Dependabilidade é um conceito muito interessante que é discutido amplamente na li-teratura [Avizienis & Laprie 1986, Laprie 1995, Avizienis et al. 2004, Petre et al. 2011].Existem diversas definições para o termo dependabilidade. Na definição original [Avizienis& Laprie 1986], dependabilidade é a capacidade de entregar serviços que podem ser jus-tificadamente confiáveis. Na definição de Petre et al. (2011), o termo dependabilidadeé usado para descrever que um sistema pode ser confiável sob determinadas condiçõesoperacionais por um período de tempo específico. A definição de dependabilidade as-sumida nesta dissertação, considerando que todo sistema pode falhar, é a habilidade deum sistema evitar falhas nos serviços mais críticos [Avizienis et al. 2004]. Dependabili-dade pode ser também caracterizada por um conceito integrado combinando os seguintesatributos:

• Confiabilidade: exprime a ideia de continuidade do serviço correto. Em outraspalavras, a probabilidade de um defeito não ocorrer em um determinado período detempo.• Integridade: o serviço não pode ser modificado sem autorização.• Manutenabilidade: capacidade de ser reparado ou sofrer manutenção.• Disponibilidade: habilidade em fornecer o serviço correto quando solicitado. Em

outras palavras, a probabilidade do sistema estar operacional quando solicitado.• Segurança: ausência de consequências catastróficas para os usuários do sistema.

Na prática, esses atributos devem ser quantificados para que se possa avaliar o quãoconfiável é um determinado sistema. A importância de cada um desses atributos é sub-jetiva e depende do contexto da aplicação que está sendo avaliada. Por exemplo, para ocontexto de extração de petróleo é essencial a alta disponibilidade (o processo industrialdeve estar operacional durante a maior quantidade de tempo possível com o intuito deextrair a máxima quantidade de óleo) e confiabilidade (defeitos devem ser evitados nosserviços críticos). Todos esses atributos serão descritos formalmente na Subseção 2.2.

2.2. MEDIDAS FUNDAMENTAIS 11

2.2 Medidas fundamentais

Sem perda de generalidade, a dependabilidade dos sistemas pode ser avaliadas baseando-se em duas medidas fundamentais [J. Muppala 2000]: confiabilidade e a disponibilidade.A confiabilidade é uma medida cuja relevância está direcionada para os sistemas comalta sensibilidade em caso de defeitos, ou seja, sistemas cujo os serviços não podem serinterrompidos (sistemas orientados à missão, por exemplo). Exemplos desses sistemas in-cluem controladores de aviões, missões espaciais, sistemas intrusivos (marcapasso, cora-ção artificial), sistemas balísticos e proteção de reatores nucleares. Por outro lado, quandosistemas apresentam tolerância a pequenas interrupções, a medida de disponibilidade émais indicada para avaliar a dependabilidade. Processos industriais e de telecomunica-ções incluem-se nesses sistemas [Portugal 2004]. A seguir, as medidas confiabilidade edisponibilidade serão descritas formalmente.

2.2.1 Modelos para taxas de defeitos

Devido à sua relação intrínseca com as medidas confiabilidade e disponibilidade, osmodelos para taxas de defeitos serão os primeiros a serem descritos aqui. Vamos assumirum sistema composto por N dispositivos, os quais se encontram operacionais no instantet = 0. Falhas ocorrem à medida que os dispositivos são utilizados ao longo do tempo.O número de dispositivos operacionais em um instante de tempo t é definido pela fun-ção n(t). Baseando-se neste cenário, vamos definir o primeiro conceito: a densidade de

defeitos f (t).

A densidade de defeitos expressa a taxa global da ocorrência de defeitos. Como des-crito na equação 2.1, f (t) é definida em um intervalo de tempo ∆t e representa a relaçãoentre o número de defeitos ocorridos naquele intervalo de tempo (considerando o númerototal de dispositivos do sistema) dividido pelo intervalo de tempo transcorrido.

f (t) =n(t)−n(t +∆t)

N∆t(2.1)

De maneira análoga, se estamos interessados em calcular a percentagem de defeitosocorridos até o instante t, então estaremos calculando a função de distribuição acumulativados defeitos F(t). Sendo assim, de acordo com sua definição, F(t) é dada por:

F(t) =∫ u

0f (u)du (2.2)


A relação simétrica de F(t), a qual representa a porcentagem de dispositivos operaci-onais no instante t, pode também ser facilmente encontrada, cujo valor é dado por:

1−F(t) =n(t)N

(2.3)

Outra definição bastante importante é a taxa de defeitos z(t) (também conhecida comohazard rate). z(t) corresponde à taxa instantânea em que os defeitos ocorrem. Como des-crito na equação 2.4, z(t) corresponde ao número de defeitos ocorridos em um intervalo ∆t

(considerando a quantidade de dispositivos operacionais no inicio do intervalo) divididopelo tamanho do intervalo de tempo.

z(t) =n(t)−n(t +∆t)

n(t)∆t(2.4)

f(t)

z(t)

Tempo

Tempo

T1 T2

Defeitos aleatórios (vida útil)

DesgatePeríodo inicial

Figura 2.2: Relação entre a densidade de defeitos f (t) e a taxa de defeitos z(t).

As funções f (t) e z(t) podem ser utilizadas para caracterizar a ocorrência de defeitosnos componentes do sistema. Durante o período inicial (após a fabricação ou início dosistema) defeitos nos componentes podem ser observados principalmente devido a errosde fabricação ou utilização incorreta. Nesse período é esperado que as funções f (t) e z(t)

decresçam com o tempo. Após a fase inicial, o sistema passa por um período (vida útil)onde poucos defeitos ocorrem. Assim, z(t) apresenta um comportamento quase constante


enquanto que f (t) diminui lentamente semelhante a uma função exponencial [Shooman2002]. Nesse período os defeitos estão relacionados com as condições ambientes emque o sistema está inserido. Finalmente, quando a utilização do sistema ultrapassar avida útil, observa-se um aumento natural da taxa de defeitos z(t). Esse comportamentoprovoca uma aumento imediato, porém curto, na densidade de defeitos f (t). Um resumoda relação entre f (t) e z(t) é descrito na Figura 2.2. Devido ao comportamento descritopor z(t), esta função também é conhecido como “curva da banheira”.

A taxa de defeitos z(t) descrita na Figura 2.2 apresenta uma aproximação razoávelpara o comportamento dos defeitos. Entretanto, esse comportamento não pode ser ge-neralizado. Por exemplo, para os componentes eletrônicos, z(t) apresenta um comporta-mento constante, enquanto que para os componentes mecânicos z(t) é estritamente cres-cente [Shooman 2002]. Na prática, devido à dificuldade em encontrar os valores reaiscorrespondentes às ocorrências dos defeitos, z(t) é mapeado em modelos analíticos. Taismodelos seguem distribuições de probabilidades que são escolhidas e configuradas deacordo com o comportamento observado dos sistemas. As distribuições Exponencial (z(t)constante) e Weibull (z(t) apresenta comportamento similar ao da Figura 2.2) são bastanteutilizadas nesses modelos. Adicionalmente, a configuração das distribuições estatísticasutilizadas nos modelos insere um item a mais de dificuldade na modelagem, pois os parâ-metros a serem utilizados devem ser os mais fieis possível ao modelo real. Entretanto, naprática seria necessário observar comportamentos dos defeitos em sistemas semelhantespara a obtenção de parâmetros mais fidedignos. Uma alternativa é obter os parâmetrosem bases de dados já compiladas por várias organizações, como por exemplo o Military

Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F) (1991) ouOREDA (1983).

2.2.2 Medidas de Análise Quantitativa

Diversos aspectos podem ser medidos a partir da análise probabilística do funcio-namento de um sistema, e essas medidas são de grande importância para a análise deuma Árvore de Falhas. Medidas de confiabilidade e de importância de componentes sãomuito usadas nesse tipo de aplicação. As medidas de confiabilidade trazem uma análiseprobabilística das falhas e sucessos de um componente ou unidade, enquanto as medi-das de importância são usadas para identificar pontos vulneráveis de um sistema, combase em resultados numéricos obtidos a partir de seus componentes. As mais comumenteutilizadas são: função de confiabilidade e disponibilidade, medidas de confiabilidade; ecriticidade, Birnbaum e Fussell-Vesely, medidas de importância. Serão apresentados a


seguir alguns aspectos de cada uma delas e em que situações elas são empregadas.

Confiabilidade

Conceitualmente, confiabilidade é definida como a probabilidade de um defeito dosistema não ter ocorrido no intervalo [0, t[. Este conceito foi descrito inicialmente naequação 2.3. Nesta seção iremos definir formalmente o conceito confiabilidade de formasimilar ao descrito em Shooman (1990). A ideia é descrever confiabilidade em função dataxa de defeitos z(t).

Sem perda de generalidade vamos assumir que o sistema apresenta dois estados (con-forme descrito na Figura 2.3): operacional e o defeituoso. A transição do estado ope-racional para o defeituoso é vinculada à função z(t). Vamos assumir também a variávelaleatória T como sendo o tempo até o sistema entrar para o estado defeituoso. F(t) ef (t) são respectivamente a função de distribuição acumulativa (equação 2.5) e a funçãode densidade de probabilidade (equação 2.6) de T , ou seja:

z(t)

Operacional Defeituoso

Figura 2.3: Estados do sistema na visão da confiabilidade.

F(t) = P(T ≤ t) (2.5)

f (t) =ddt

F(t) (2.6)

De acordo com a teoria de processos estocásticos [Papoulis & Pillai 2002], a probabi-lidade de um evento (defeito) ocorrer no intervalo [t, t +∆t] é dado por:

P(t < T ≤ t +∆t) = F(t +∆t)−F(t) (2.7)

Estendendo essa definição para a probabilidade condicional, podemos calcular a probabi-lidade de ocorrer um defeito no intervalo t +∆t, sabendo-se que o sistema estava opera-cional no instante t, pela seguinte relação:


P(t < T ≤ t +∆t | t < T ) =P(t < T ≤ t +∆t)

P(T > t)=

F(t +∆t)−F(t)1−F(t)

(2.8)

Dividindo ambos os lados da equação 2.8 por ∆t e calculando o limite ∆t → 0, pode-seobter a seguinte conclusão: a probabilidade de ocorrer um defeito no intervalo t +∆t,sabendo que o sistema estava operacional no instante t, é similar à relação da densidadede probabilidade do defeito pela confiabilidade do sistema (equação 2.9).

lim∆t→0

P(t < T ≤ t +∆t | t < T )∆t

= lim∆t→0

F(t +∆t)−F(t)∆t

· 11−F(t)

=ddt

F(t) · 11−F(t)

=f (t)

1−F(t)(2.9)

Através de algumas manipulações matemáticas (considerando-se as equações 2.1, 2.3 e2.4) é possível relacionar a função z(t) com a equação 2.9. O procedimento é descrito naequação 2.10.

z(t) = lim∆t→0

n(t)−n(t +∆t)n(t)∆t

= lim∆t→0

n(t)−n(t +∆t)∆t

· 1n(t)

= N · f (t) · 1n(t)

=f (t)

1−F(t)(2.10)

Assim, temos condições de definir formalmente o conceito confiabilidade. Baseadona definição do início desta seção, a confiabilidade R(t) de um sistema pode ser descritacomo o complemento da função de probabilidade acumulativa dos defeitos.

R(t) = P(T > t) = 1−F(t) (2.11)

Realizando algumas manipulações algébricas nas equações 2.6 e 2.10 podemos encontrara definição formal de confiabilidade. O procedimento é descrito a seguir.


f (t) =ddt

F(t) =ddt(1−R(t)) =−R′(t) (2.12)

z(t) =f (t)

1−F(t)=−R′(t)

R(t)=− d

dtlnR(t) (2.13)

Finalmente, encontramos R(t) calculando a integral em ambos os lados da equação 2.13e elevando a constante matemática neperiana (e) ao resultado. A equação 2.14 comprovaa intrínseca relação entre a taxa de defeitos e a confiabilidade do sistema.

∫ t

0z(u)du = − lnR(t)

R(t) = exp(−∫ t

0z(u)du

)(2.14)

Medidas de valores médios

Uma outra forma de avaliar a confiabilidade do sistema é através dos valores mé-dios/esperados (E(t)) das distribuições de defeitos. Em geral, o tempo médio de funciona-mento até a ocorrência de um defeito (MTTF) é a medida mais utilizada [Shooman 1990].Baseado na teoria de probabilidade [Papoulis & Pillai 2002] e na equação 2.12 podemosdefinir o MTTF através da seguinte relação:

MT T F = E(t) =∫

∞

0t f (t)dt

= −∫

∞

0t

ddt

R(t)dt

= −∫

∞

0t dR(t)

= −tR(t)∣∣∣∞0+

∫∞

0R(t)dt

=∫

∞

0R(t)dt (2.15)

Exemplos de confiabilidade para algumas taxas de defeitos

Nessa seção as funções z(t), f (t), F(t), R(t) e MTTF serão descritas para as taxasde defeitos mais típicas (constante, crescente e Weibull). A Tabela 2.1 sumariza essasfunções, entretanto alguns detalhes precisam ser descritos. Na taxa de defeitos constante


o parâmetro do modelo é λ, que nesse caso representa o número de defeitos por unidadede tempo. Em relação à taxa de defeitos com comportamento linearmente crescente, oparâmetro do modelo é K, o qual representa a amplitude das curvas. Percebe-se que estesdois modelos anteriores são casos particulares do modelo Weibull (m = 0 correspondeao modelo com taxas constante enquanto que m = 1 ao modelo com taxas linearmentecrescente). O parâmetro m é conhecido como fator de aspecto devido influenciar nocomportamento da curva. Adicionalmente, para o cálculo do MTTF no modelo Weibull énecessário a utilização da função gamma (Γ(x) =

∫∞

0e−ttx−1dt).

Tabela 2.1: Medidas de confiabilidade para taxas de defeitos típicas.

Funções Taxa de defeitos

Constante Crescente Weibull

z(t) λ Kt Ktm

f (t) λe−λt Kte−Kt2/2 Ktme−Ktm+1/(m+1)

F(t) 1− e−λt 1− eKt2/2 1− e−Ktm+1/(m+1)

R(t) e−λt eKt2/2 e−Ktm+1/(m+1)

MTTF 1λ

√π

2KΓ[(m+2)/(m+1)][K/(m+1)]1/(m+1)

Distribuição Exponencial Rayleigh Weibull

Disponibilidade

Conceitualmente, disponibilidade é definida como a probabilidade do sistema estaroperacional no instante de tempo t. Similar à definição da confiabilidade, vamos assu-mir que o sistema apresenta dois estados (conforme descrito na Figura 2.4): operacionale o defeituoso. A transição do estado operacional para o defeituoso é vinculada à taxade defeitos z(t). Nesse novo modelo, após a ocorrência de um defeito o sistema poderáser reparado (manutenção). A transição do estado defeituoso para o operacional é vincu-lado à taxa de reparação µ(t)1. Se µ(t) é zero (sistema não reparável), então o conceitodisponibilidade iguala-se à definição de confiabilidade.

De forma geral, a disponibilidade de um sistema pode ser classificada em três ti-pos: instantânea, média e assintótica. A disponibilidade instantânea A(t) é aplicada paraqualquer instante de tempo t e sempre é igual ou superior à confiabilidade R(t) do sis-tema [Grottke et al. 2008]. A(t) depende do modelo e distribuições utilizadas para z(t)

e µ(t). Assumindo-se o modelo de confiabilidade da Figura 2.4 e considerando-se z(t)

1As funções z(t) e µ(t) apresentam formalismos matemáticos semelhantes.


z(t)

Operacional Defeituoso

μ(t)

Figura 2.4: Estados do sistema na visão da disponibilidade.

e µ(t) constantes, cujos valores são respectivamente λ e µ, pode-se provar [Rausand &Hsyland 2004] que A(t) é dada por:

A(t) =µ

µ+λ+

λ

µ+λe−(λ+µ)t (2.16)

Por outro lado, a disponibilidade média Am(t) avalia a porcentagem de tempo peloqual o sistema ficou operacional no intervalo (0, t]. Formalmente, Am(t) é definida pelaseguinte relação:

Am(t) =1t

∫ t

0A(τ)dτ (2.17)

Outra questão importante é a avaliação da operacionalidade do sistema considerandoum instante de tempo t muito grande. Na prática consideramos t→ ∞. Nesse caso, esta-remos calculando a disponibilidade assintótica do sistema A∞. Para melhor compreenderessa definição vamos supor o comportamento do sistema como descrito na Figura 2.5.O sistema opera corretamente por vários períodos de tempo e, em caso de defeitos, re-paros são realizados. O MTTF e o tempo médio entre defeitos (MTBF) são definidos,respectivamente, como o tempo médio até o sistema reparar um defeito e o tempo médioentre defeitos. Assumindo-se que n períodos ocorreram, podemos encontrar A∞ atravésda equação 2.18.

A∞ = limt→∞

=

1n ∑

iOpi

1n(∑

iOpi +∑

iDe fi)

=MT T F

MT T F +MT T R(2.18)


Estado do sistema

Operacional

Defeituoso

Op1

Def1

Op2 Op3

MTTF MTBF

MTTR

Def2 Def3

Figura 2.5: Comportamento do sistema para diversos instantes de tempo.

Percebe-se que A∞ depende apenas do MTTF e do tempo médio até o sistema reparar umdefeito (MTTR) do sistema. Assim, não existe dependência em relação a natureza dasdistribuições das taxas de defeitos e reparos.

Birnbaum

A medida Birnbaum IB(i|t) é uma métrica que descreve a importância da confiabili-dade de um componente [Birnbaum & Saunders 1969]. Esta medida é definida como aderivada parcial da confiabilidade do sistema em relação à confiabilidade do componentei, cujo valor é dado por:

IB(i|t) = ∂R(t)∂Ri(t)

para i = 1,2, . . . ,n (2.19)

Se IB(i|t) é grande, uma pequena variação na confiabilidade do componente i irá re-sultar em um mudança considerável na confiabilidade do sistema. O componente i éconsiderado crítico para o sistema se quando o componente i falhar, o sistema tambémfalha. Sendo assim, a medida Birnbaum é também interpretada como a probabilidade docomponente i ser crítico para o sistema no instante t [Rausand & Hsyland 2004].

Criticalidade

A medida de criticalidade ICR(i|t) é uma métrica adequada para priorizar ações demanutenção [Rausand & Hsyland 2004]. Esta medida é definida como a probabilidadede o componente i ser crítico no instante t e ele ter falhado nesse instante, sabendo que osistema falhou no instante t. Sua definição é descrita pela seguinte equação:

ICR(i|t) = IB(i|t)(1−Ri(t))1−R(t)

(2.20)


Em outras palavras, a criticalidade é a probabilidade do componente i ter causado umafalha no sistema sabendo-se que o sistema está em falha no instante t.

Fussel-Vesely

A medida Fussel–Vesely IFV (i|t) é uma métrica que descreve como um componentepode contribuir para o defeito de um sistema dado que o componente não é critico [Rausand& Hsyland 2004]. Esta medida é definida como a probabilidade de que pelo menos umconjunto de cortes mínimos, que contenha o componente i, tenha falhado no instante t,sabendo-se que o sistema falhou nesse mesmo instante. Sua definição é descrita por:

IFV (i|t)≈

m

∑j=1

(1−R j(t))

1−R(t), (2.21)

onde R j(t) é a função de confiabilidade do conjunto de cortes mínimos j que contém ocomponente i, enquanto que m é a quantidade de cortes mínimos que contém o compo-nente i.

RAW

RAW(Risk Achievement Worth) também é chamado fator de aumento de risco. Elemede o aumento da probabilidade de falha do sistema assumindo o pior caso de falha docomponente. É um indicador da importância de manter o nível atual de confiabilidadepara o componente. Sua equação é dada na Equação 2.22.

RAW (i|t) = Rs|i(t)/Rs(t) (2.22)

Na Equação 2.22, o termo Rs|i representa a probabilidade do sistema falhar dado queo evento i falhou e o termo Rs representa a probabilidade do sistema falhar.

RRW

O RRW (Risk Reduction Worth) é chamado também fator de diminuição de risco. Elerepresenta o máximo decaimento do risco expresso pelo aumento da confiabilidade deum componente. Portanto, esta métrica pode ser usada para selecionar componentes quesão os melhores candidatos a provocarem um aumento da confiabilidade do sistema. Suaequação é dada na Equação 2.23.


RRW (i|t) = Rs(t)/Rs|i(t) (2.23)

Na Equação 2.23, o termo Rs|i representa a probabilidade do sistema falhar dado queo evento i não falhou.

Capítulo 3

Árvore de Falhas

A evolução tecnológica tem permitido o desenvolvimento de sistemas/processos in-dustriais cada vez mais robustos. As novas tecnologias permitem a criação de novas apli-cações que antes não eram possíveis com as soluções legadas [Silva et al. 2013]. Em ge-ral, a complexidade das aplicações é abstraída dos operadores, facilitando sua utilização eadoção no mercado. Por outro lado, a complexidade inerente das novas aplicações devemtambém garantir os requisitos de dependabilidade. Assim, existe a necessidade de criarsistemas que avaliem sistemas, como é o caso da avaliação da dependabilidade. Nestecapítulo, iremos introduzir um dos principais formalismos matemáticos para a avaliaçãoda dependabilidade de sistemas/processos, nomeadamente Árvores de Falhas. Através daanálise de Árvore de Falhas é possível avaliar qualitativamente ou quantitativamente adependabilidade de sistemas/processos. Esse formalismo matemático é utilizado em di-versas áreas da engenharia, como as indústrias aeroespaciais, química, nuclear, petróleo egás [Majdara & Wakabayashi 2009].

3.1 Composição da Árvore de Falhas

Árvore de Falhas é um formalismo matemático que representa em formato de dia-grama lógico a relação entre os componentes de um determinado sistema/processo e osseus respectivos modos de falhas que levam aos defeitos [Ferdous et al. 2007].

Para construir o diagrama de uma Árvore de Falhas é necessário inicialmente identifi-car o defeito que se deseja analisar. De acordo com a literatura [Limnios 2007], o defeitoem uma Árvore de Falhas é mapeado em um evento especial chamado evento topo. Apartir do evento topo é possível expandir a árvore, combinado as causas (eventos básicosrepresentados pelas falhas dos componentes) que levam ao defeito estudado. Essas com-binações são implementadas através de portas lógicas. Um exemplo do diagrama de umaÁrvore de Falhas é descrito na Figura 3.1.

24 CAPÍTULO 3. ÁRVORE DE FALHAS

Topo

A B C

D E

and1

or1

or2

and2

Figura 3.1: Diagrama de uma Árvore de Falhas e os seus principais componentes: eventosbásicos (A,B,C,D,E), portas lógicas (or1, or2, and1, and2) e evento topo.

As portas lógicas representam a combinação de dois ou mais eventos. Essas portasse assemelham às portas lógicas booleanas, no entanto suas expressões lógicas podemreceber valores no intervalo [0,1]. As principais portas utilizadas são OR, AND e NOT .Outra porta lógica também muito utilizada é a K-OUT -N. Nessa porta, a falha acontecese pelo menos k de n entradas ocorrerem, para k ≤ n. Os símbolos de cada porta sãoapresentados na Figura 3.2.

A B

C

(a)

A B

C

(b)

A

C

(c)

C

BA

(d)

Figura 3.2: Portas lógicas mais comuns.

Cada evento de uma árvore possui uma probabilidade de ocorrência associada, quepode variar em valores no intervalo [0,1]. Normalmente, devido à utilização de com-ponentes predominantemente eletroeletrônicos, a probabilidade de falha dos eventos sãomapeadas por uma função de distribuição exponencial em função ao tempo. Essa distri-buição tem a propriedade de não possuir memória, o que significa que o tempo restantenão depende da quantidade de tempo que já passou.

3.1. COMPOSIÇÃO DA ÁRVORE DE FALHAS 25

3.1.1 Análise de Árvores de Falhas

O diagrama de uma Árvore de Falhas não é suficiente para a compreensão de comoum conjunto de eventos pode acarretar erro em um sistema. Para isso existem métodosque provêm a análise de Árvores de Falhas, trazendo assim uma série de informações queserão aplicadas em tomadas de decisão para prevenção e correção de erros. Existem doistipos de análise: a qualitativa e a quantitativa. A seguir são apresentadas as característicase o significado de cada métrica.

Análise Qualitativa

A análise qualitativa busca remover redundâncias da Árvore de Falhas, dessa forma,preocupa-se com a equação analítica que representa a Árvore de Falha. Assim, utilizaálgebra booleana para convertê-las em expressões lógicas, manipulando as relações doseventos através das portas lógicas para eliminar eventos repetidos ou redundantes. Asexpressões que representam a saída T de cada porta lógica, a partir da relação das entradasA e B são mostradas a seguir:

• Porta OR: T = A+B

• Porta AND: T = A.B

• Porta NOT: T = A

Dito isso, pode-se definir, para Árvores de Falhas coerentes 1, o conjunto de cortesminimais, do inglês minimal cut set. Um cut set é um conjunto de eventos básicos queinfluenciam diretamente o evento topo. Se o cut set ocorre o evento topo também ocorre.Adicionalmente, minimal cut set é um cut set que não pode ser reduzido.

Algoritmo MOCUS

Remover redundâncias e encontrar o corte mínimo de uma Árvore de Falhas podetornar-se uma uma tarefa custosa se realizada manualmente. O desafio se torna aindamaior para árvores de falhas de grandes dimensões (maior que 10 portas lógicas). Assim,diversos algoritmos foram propostos na literatura para encontrar os cortes mínimos deuma Árvore de Falhas de forma automática. Um dos principais algoritmos é o MOCUS(Method for Obtaining Cut Sets) [Limnios 2007]. Nesse algoritmo uma matriz é cons-truída, percorrendo a Árvore de Falha a partir do evento topo até os eventos da árvore. Ospassos do algoritmo MOCUS são descritos no Algoritmo 1.

1árvore sem portas lógicas inversoras


Algoritmo 1: MocusIniciar a matriz de entrada;Expandir as portas lógicas adequadamente conforme o tipo ;

Se a porta lógica é uma AND, cada entrada será inserida em coluna namatriz; se a porta lógica é um OR, cada entrada será inserida como uma linhada matriz;Repita o passo 2 até que a matriz seja composta apenas de eventos básicos;Remova redundâncias entre as linhas e as colunas;

A matriz resultante é convertida em uma Árvore de Falhas formada apenas por umcorte mínimo. Os eventos de uma linha são combinados em uma porta AND, e todas aslinhas são combinadas em uma única porta OR, que levará ao evento topo. A principalaplicação dessa análise é a de simplificar a Árvore de Falhas, de modo a facilitar sua acompreensão.

Um exemplo do algoritmo pode ser visualizo na Figura 3.3. O resultado final doalgoritmo fornece o cut set com a seguinte expressão C ∗D+C ∗E +A∗B.

Topo or2and2

and1

and2

A B A B

Or1C

A B

C E

C D

Topo

A B C

D E

and1

or1

or2

and2

Figura 3.3: Execução do MOCUS na Árvore de Falha da Figura 3.1.

Análise Quantitativa

A análise quantitativa considera os valores de probabilidade dos eventos, utilizando-os para o cálculo de diversas medidas. Um exemplo de uso dessa análise é o cálculoda probabilidade de ocorrência de falha no evento topo, que é feita a partir das relaçõesdos eventos através das portas lógicas. Cada porta possui uma equação associada, comomostra as equações 3.1, 3.2, 3.3 e 3.4:

• Porta OR:

F(t) = 1−n

∏i=1

(1−Fi(t)) (3.1)

3.1. COMPOSIÇÃO DA ÁRVORE DE FALHAS 27

• Porta AND:

F(t) =n

∏i=1

(Fi(t)) (3.2)

• Porta K-OUT-N:

F(t) =n

∑i=1

(ni

)F(t)i(1−F(t))n−i (3.3)

• Porta NOT:F(t) = 1−Fi(t) (3.4)

Fazer uso dessa análise traz o benefício de oferecer resultados numéricos, que auxi-liam na avaliação do sistema e antecipação na correção de erros.

Nós repetidos

As equações 3.1, 3.2, 3.3 e 3.4 podem ser utilizadas diretamente apenas quando aárvore não possui eventos repetidos. Nós repetidos são eventos que ocorrem na Árvorede Falha por duas ou mais vezes, apresentando um comportamento de dependência. AFigura 3.4 apresenta um exemplo de de uma Árvore de Falha com evento repetido (M3).

Falha

P1 M1 M3 P2 M2 M3

Figura 3.4: Árvore de Falhas comevento repetido.

Falha

P1 M1 P2 M2

Falha

P1 P2

(a) M3 falhou (b) M3 não falhou

Figura 3.5: Análise de um nó repetido.

Quando eventos repetidos estão presentes na Árvore de Falhas, é necessário separar aanálise do modelo em duas situações diferentes, uma considerando que o evento repetidoem questão falhou e outra assumindo que ele não falhou. Para cada caso, uma nova Árvorede Falhas é construída, como mostra a Figura 3.5. Como ambas as árvores não possuemeventos repetidos, então as mesmas podem ser analisadas com as equações 3.1, 3.2, 3.3 e3.4 [Sahner, Trivedi & Puliafito 1996].


Assim, a probabilidade final do sistema será a soma das probabilidades calculadas nasduas situações, ponderadas pela probabilidade de ocorrência de cada uma, conforme aEquação 3.5:

F(t) = P(N)∗N1 +(1−P(N))∗N2 (3.5)

Onde P(N) é a probabilidade de ocorrência do evento repetido e N1 e N2 são as pro-babilidades dos eventos topos em cada situação.

Capítulo 4

Framework para Análise daDependabilidade

Confome descrito em capítulos anteriores, diversos modelos matemáticos podem serutilizados para analisar a dependabilidade de sistemas/processos. Nessa dissertação, es-tamos interessados em utilizar tais modelos para a análise da dependabilidade de infraes-truturas industriais críticas.

A ideia principal é criar uma framework que centralize, de forma transparente e gené-rica, os diversos modelos matemáticos descritos anteriormente. Baseado nessa estruturade software, a aplicação para análise da dependabilidade pode ser construída de forma fle-xível, permitindo inclusive a incorporação de novos formalismos matemáticos de formatransparente ao usuário.

Na infraestrutura mostrada na Figura 4.1, uma aplicação sempre funciona como umcliente, cujo servidor é o Br-MarkovExpert (ME). Adicionalmente, o ME também fun-ciona como cliente, solicitando serviços aos plug-ins. De forma análoga, os plug-ins

podem atuar como clientes (solicitando serviços de outros plug-ins via ME) ou servidores(esperando requisições do ME).

4.1 Br-MathExpert

O Br-MathExpert é um gerenciador de plugins matemáticos. Sua responsabilidadeé interfacear uma aplicação (por exemplo, o Br-IndustrialExpert) com esses modelos.Para isso, o Br-MathExpert fornece serviços em SOAP, JAVA-RMI e SOCKET. Atravésdesses serviços as aplicações se conectam ao Br-MathExpert e lhe enviam o código dedescrição do modelo matemático que se deseja analisar, conforme ilustrado na Fig. 4.2. Apartir desse momento o Br-MathExpert é responsável pela comunicação com os plug-insmatemáticos e retornar a análise final para a aplicação.

30 CAPÍTULO 4. FRAMEWORK PARA ANÁLISE DA DEPENDABILIDADE

Plugin B

Plugin A

Plugin C

Br-MathExpert

Aplicação

Aplicação

Br-IndustrialExpert

Figura 4.1: Visão geral da arquitetura para avaliação da dependabiliade de infraestruturasindustriais críticas

Br-IndustrialExpert

FaultTreeExpert

MathProcessExpert

Figura 4.2: Hierarquia estrutural utilizada na arquitetura proposta.

4.2. BR-FAULTTREEEXPERT 31

A grande vantagem para o desenvolvedor das aplicações que utilize essa arquitetura éter acesso aos modelos de forma transparente, sem preocupação com a forma em que elesforam desenvolvidos ou programados. Para os desenvolvedores dos plug-ins, o serviçoé disponibilizado sem exposição do código fonte do programa e com a possibilidade detambém usar de forma transparente outros plug-ins. Além disso, essa arquitetura viabilizaum desacoplamento do sistema em unidades menores de processamento, permitindo aexploração do espaço de projeto com técnicas de paralelismo.

A interação entre os plug-ins ocorre a partir de modelos hierárquicos. O uso de mode-los hierárquicos matemáticos não é novo na literatura [Sahner, Puliafito & Trivedi 1996].Nesses modelos, um formalismo pode incorporar ou usar dados estatísticos gerados poroutro modelo. Por exemplo, uma técnica comum para se analisar a dependabilidade sobreredundâncias é o uso de Cadeias de Markov, conforme descrito em [Macedo, Silva &Guedes 2013]. Portanto, ao invés dos eventos carregarem uma distribuição estatística queos represente (por exemplo, exponencial ou binomial), eles terão uma Cadeia de Markove sua distribuição será a análise desse modelo. Na Fig. 4.3 é apresentado de maneirailustrativa o modelo hierárquico desse exemplo.

Figura 4.3: Modelo hieráquico com Cadeia de Markov e Árvore de Falha.

Em relação aos plug-ins, já foram realizados implementações para os seguintes forma-lismos matemáticos: Cadeias de Markov de Tempo Discreto, Árvores de Falhas, Árvoresde Falhas Dinâmicas e Redes Bayesianas. O plug-in Br-FaultTreeExpert, criado para oformalismo de Árvores de Falhas, foi a base para aplicação desenvolvida nessa dissertaçãoe será explicado em mais detalhes na próxima seção.

4.2 Br-FaultTreeExpert

Criado para atender o modelo de Árvore de Falhas, o Br-FaultTreeExpert faz as aná-lises descritas na Seção 2.2.2. Assim como a maioria dos softwares dessa categoria, oBr-FaultTreeExpert tem a capacidade de armazenar árvores em um arquivo para posteri-ormente carregá-la novamente.


Como se pode deduzir pela Fig. 4.4, pode-se descrever uma Árvore de Falhas atravésda interface principal, escolhendo-se os nós e suas conexões, ou através do código dedescrição, o mesmo usado no modo plug-in do Br-MathExpert (Algoritmo 2).

Em relação à análise de dependabilidade, pode-se escolher o processamento tantoatravés do cut set quanto sem ele. Essa configuração permite ao usuário identificar oganho de desempenho com o uso de algoritmos de otimização. Outro ponto interessanteem relação ao cut set é que o usuário pode visualizar a forma da árvore simplificada poresse algoritmo.

Ainda em relação a Fig. 4.4, pode-se verificar dois nós diferentes. O primeiro é cha-mado de box event. Esse nó tem as mesmas funções e propriedades de um evento, coma particularidade de atuar forma hierárquica. Portanto, ao invés de apontar uma funçãoestatística diretamente, o box event aponta para outro modelo.

Figura 4.4: Interface gráfica do Br-FaultTreeExpert

Como mencionado na Seção 4.1, para ser plugi-in do Br-MathExpert, é necessáriouma linguagem de descrição capaz de descrever o modelo matemático. É através dessalinguagem que a aplicação descreve o que precisa ser analisado. No Algoritmo 2, émostrado um exemplo de código capaz de descrever a Árvore de Falha da Fig. 3.1.

4.3 Br-IndustrialExpert

Nomeado de BR-IndustrialExpert, o principal objetivo da ferramenta proposta nestetrabalho é fornecer informações valiosas para o projetista de sistemas/processos, permi-

4.3. BR-INDUSTRIALEXPERT 33

Algoritmo 2: Código de descrição da Árvore de Falha Fig. 3.1.event A repairFaultRate 1.0 2.0;// Cria o evento A com taxa de falha 2.0 e taxa de reparo 1.0

1 event B repairFaultRate 1.0 2.0;2 event C repairFaultRate 1.0 2.0;3 event D repairFaultRate 1.0 2.0;4 event E repairFaultRate 1.0 2.0;5 and porta_and A B;// Cria uma porta lógica chamada de porta_and que liga os eventos

A e B6 or porta_or D E;7 and porta_and_1 C porta_or;8 or porta_or_1 porta_and porta_and_1;9 terminal porta_or_1 reliability 1.0 0.0 10.0;// Define o topo da Árvore de Falha conectado a porta_or_1 e pede

para analisar a confiabilidade do tempo 0 ao tempo 10 compasso 1

tindo o desenvolvimento de aplicações industriais tolerantes a falhas e a manutenção dosistema/processo de forma mais eficiente. Nas próximas subseções será mostrado comoo usuário da ferramenta descreve uma infraestrutura genérica e os algoritmos de mapea-mento para uma Árvore de Falhas otimizada.

4.3.1 Editor de infraestruturas genéricas

O editor de infraestruturas genéricas define as abstrações da infraestrutura, uma dascaracterísticas mais importantes da ferramenta de análise da dependabilidade. Primeira-mente, o sistema/processo é organizado como um grafo G(V,E) com n vértices (V ) e k

arestas (E). Os vértices representam dispositivos e as arestas do grafo representam asligações (links) entre os dispositivos. A interface gráfica do usuário (GUI) é mostrada naFigura 5.5, cuja tela principal é onde o usuário edita a topologia do sistema/processo.

Nós consideramos falhas tanto em dispositivos quanto nas ligações entre eles. Ambospodem ser reparados após uma falha, se necessário. Depois de uma operação de reparo,o dispositivo ou ligação é considerado como novo. Nós assumimos que os processos dereparação de falhas são todos independentes e caracterizados por meio de uma função dedistribuição cumulativa. Na interface gráfica o usuário deve informar as taxas de falha ede reparo do componentes do sistema.


Figura 4.5: Interface de configuração para estruturas genéricas no Br-IndustrialExpert.

4.3.2 Gerador de Árvore de Falhas

Esta seção descreve os passos a serem seguidos para construir uma Árvore de Falhabaseada em um sistema/processo mapeado como um grafo. O primeiro passo é determi-nar as condições que podem levar a um defeito no sistema/processo. São consideradostrês possibilidades para uma falha de dispositivo: (i) o hardware falha; (ii) um conjunto delinks falham; (iii) não há nenhum caminho entre o dispositivo e o servidor/centralizador(problema de conectividade). Como descrito na Seção 1, as condições (i) e (ii) não podemser acessadas simultaneamente porque falhas permanentes de link ocorrem mais frequen-temente que as de hardware. Por outro lado, a condição (iii) tem uma influência diretanas condições (i) e (ii). Então, isso deve ser avaliado pelos dois casos, um para condição(i) e outro para condição (ii).

Todos as condições de falhas do dispositivo são descritas na Figura 4.6. Para fa-lhas de hardware permanente, um dispositivo i é representado pelo evento devi. Para asfalhas de link permanente, um link j é representado pelo evento link j. O evento cpi (pro-blema de conectividade) representa condição de falhas (iii). Esse evento é apenas ativadoquando todos caminhos entre o dispositivo i e o serveridor/centralizador tem falhado. Fi-nalmente, um caminho k é considerado falho se pelo menos um dispositivo (hardware)ou um link ao longo do caminho tem falhado. Este comportamento é representado peloevento devi_Pathm. Para armazenar todas as condições de falha de dispositivo foi neces-

4.3. BR-INDUSTRIALEXPERT 35

sária a adoção de uma estrutura de dados com base em vetores dinâmicos (Fig. 4.6-iv).De acordo como o tamaho da rede, a estrutura cresce dinamicamente.

and

devi_Path1 ... devi_Pathn

cpi

or

devi ... devj

devi_Pathm

(iii)(i)linkk ... linkp

devi_Pathm

(ii)

or

dev

dev1Path1

Path

Pathn

1 2 3 4 5

1 8 5

(iv)

cp1

devk...

cpk

Figura 4.6: Condição de falha para uma rede de dispositivos i considerado: (i) falhas dehardware; (ii) falhas de link; (iii) ausência de camnhos entre o servidor/centralizador e odispositivo; (iv) estrutura de dados adotada.

Note que algum esforço é necessário para encontrar todas as cominações que levama o evento cpi. Para isso, é necessário que a pesquisa de todos os caminhos entre o ser-vidor/centralizador e o dispositivo destino i (evento devi). Os caminhos são encontradosrealizando uma busca em profundidade (BP) na matriz de adjacência A do grafo G. Todosos passos para gerar o evento cpi são descritos no Algoritmo 3.

Algoritmo 3: Algoritmo para gerar o evento cp de um dispositivo destino.Algoritmo: gerar_cp(graph, dev)Output: O evento cp para o dispositivo destino(dev).

// Encontrar todos caminhos entre o dispositivo destino e oservidor/centralizador do grafo

1 all_paths← DFS(graph,dev);2 for i← 1; i < all_paths.size(); i ++ do3 dev.path [i ]← all_paths [i ];

4 cp← dev;5 return cp

O segundo passo para a geração da Árvore de falhas é definir quais combinações dedispositivos podem levar o sistema/processo a um defeito. Esta configuração é represen-tada pelo evento n f c (condição de falha do sistemas/processo) na Fig. 4.7. A ferramentaproposta nesta dissertação suporta qualquer combinação que possa ser expressada atravésde operadores booleanos (and, or). Uma combinação de dispositivos que levam a falhado sistema/processo é definido como n f c_and j, onde j é a identificação da combinação.Este evento é representado pela porta lógica and da condição de falha dos dispositivos.Um dispositivo pode pertencer a mais de uma condição de falha. A condição de falha do


sistema/processo é representada pela porta lógica or de todas as cominações que levam afalha do sistema/processo.

or

nfc

cpi

... and

...

nfc_and1 nfc_andn

cpk

and

...

nfc

cp1cp3

cpi cpk...

nfc_andn

nfc_and1

(i)

(ii)

Figura 4.7: Condição de falha da rede (i) e sua estrutura de dados respectiva(ii).

A geração do evento n f c é descrita no Algoritmo 4, onde a estrutura de dados é aná-loga à representada na Fig. 4.7-ii. Deve-se enfatizar que a condição de falha do sis-tema/processo é um parâmetro de entrada da ferramenta. Assim, o principal objetivo doAlgoritmo 4 é ligar este parâmetro de entrada (n f c_input) ao dado gerado pelo métodogenerate_cp (Algoritmo 3). n f c_input e n f c compartilham a mesma estrutura, a dife-rença é que a forma armazena apenas rótulos.

Algoritmo 4: Algoritmo para gerar o evento n f c.Algoritmo: generate_nfc(graph, nfc_input)Output: O evento topo da Árvore de Falha (event n f c).

// Encontrar todos dispositivos que envolve a condição de falhado sistema/processo e seu evento espectivo cp

1 for i← 1; i < nfc_input.number_devices(); i ++ do2 device← nfc_input.get_device(i);3 cp [i ]← generate_cp(graph,device);

// Realocar cada label i no nfc_input pelo seu respectivo evento cpi4 for j← 1; j < nfc_input.number_combinations(); j ++ do5 for k← 1; nfc_input.combination [j].size(); k ++ do6 target← nfc_input.combination [j].at(k);7 position← indexOf(cp,target);8 nfc.combination [j].at(k)← cp [position ];

9 return nfc

Para esclarecer a geração da Árvore de Falhas, considere o exemplo a seguir para o sis-tema/processo descrito na Fig. 4.8. Nesse cenário, assume-se que a condição de falha do

4.4. CONJUNTO DE CORTES MINIMAIS 37

sistema/processo (caso n f c ) é definido como o seguinte: device1 + device2 + device3. Emoutras palavras, o sistema/processo falha se pelo menos um dispositivo falhar. A Árvorede Falha para falhas permanentes de hardware e falhas permanentes no link são descritasnas Figs. 4.9 e 4.10, respectivamente. Note que, em ambos os casos, device 3 tem doiscaminhos para o servidor/centralizador (eventos Dev3_Path1 and Dev3_Path2), enquantoque os dispositivos device2 e device3 tem apenas um caminho (eventos Dev1_Path1 eDev2_Path1, respectivamente). Se em um dado momento a operação boleana tem apenasum entrada, a outra entrada é adicionada com uma constante apropriada. Para a portalógica and, a constante 1 (tudo verdade) é adicionada. Por sua vez, para a porta or, aconstante 0 (tudo f also) é adicionada.

Device 1

Device 3

Device 2

Server/Sink

Link 1

Link 2

Link 4

Link 3

Figura 4.8: Exemplo de um sistema/processo.

and

or

Dev3 Dev1 Server

or

Dev3 Dev2 Server

Dev3_Path1 Dev3_Path2

and

or

Server

Dev2_Path1

1 (all true)

Dev2

and

or

Server

Dev1_Path1

1 (all true)

Dev1

or

cp 1 cp 3

cp 2

nfc

Figura 4.9: Árvore de Falha baseada noexemplo da Fig. 4.8 considerando falhasde hardware permanente.

and

or

Link3 Link1

or

Link4 Link2

Dev3_Path1 Dev3_Path2

and

or

0 (all false)

Dev2_Path1

1 (all true)

Link2

and

or

0 (all false)

Dev1_Path1

1 (all true)

Link1

or

cp 1 cp 3

cp 2

nfc

Figura 4.10: Árvore de Falhas baseadano exemplo da Fig. 4.8 considerando fa-lhas em links permanentes.

4.4 Conjunto de Cortes Minimais

Após construir a estrutura de dados contendo todos os caminhos entre os dispositivosque compõem a condição de defeito do sistema/processo, naturalmente, o passo seguinteseria a construção da Árvore de Falha. Todavia, dependendo da topologia, redes com


até 20 dispositivos podem facilmente gerar mais de 500.000 caminhos diferentes. Seconsiderarmos que um caminho é formado por vários dispositivos e que cada disposi-tivo será mapeado como um evento na árvore de falha, então podemos concluir que aavaliação quantitativa de tal estrutura torna-se inviável computacionalmente com o cres-cimento da rede. Esta limitação ocorre pois a quantidade de eventos e portas lógicas daÁrvore de Falha cresce fortemente com o aumento do número de caminhos presentes nosistema/processo.

A solução para este problema encontra-se na utilização de um algoritmo que simplifi-que a massa de dados gerada no fluxo de saída do Algoritmo 4. A ideia básica é encontraro conjunto de cortes minimais individualmente para cada dispositivo. O conjunto de cor-tes minimais é uma expressão lógica que indica o conjunto mínimo de dispositivos cujasfalhas levam a um defeito no sistema/processo. Este procedimento é descrito no Algo-ritmo 5.

Algoritmo 5: Procedimento utilizado para viabilizar a geração da árvore de falha.Algoritmo: simplificação (k dispositivos)Parâmetros: k dispositivos pertencentes a condição de defeito do sistema/processo.Saída : conjunto de cortes mínimos individualmente para todos os k

dispositivos.

1 para i← 0; i < k dispositivos; i ++ faça2 caminhos← nulo;3 caminho_atual← nulo;

// Encontra todos os caminhos entre o dispositivo i e o servidor4 DFS(caminhos,i,caminho_atual);

// Informa para o dispositivo i o seu respectivo conjunto decortes mínimos

5 dispositivos [i ]← corte_mínimo(caminhos);

6 retorne dispositivos[];

O algoritmo utilizado para implementar a função corte_mínimo é similar ao propostopor Shier & Whited (1985). A principal diferença é que na proposta original os autoresconsideraram um grafo onde apenas arestas podem falhar enquanto que na metodologiaproposta nesta dissertação ambos vértices (dispositivos) e arestas (enlaces de comunica-ção) são passiveis de falhas.

Uma técnica de inversão para geração do conjunto de cortes em um grafo a partir doconjunto de caminhos mínimos foi proposto por Locks (1978). Para o contexto das infra-estruturas industriais críticas, um conjunto de caminhos minimais representa combinaçõesde dispositivos tal que, se todos dispositivos de pelo menos uma combinação estão fun-


cionando corretamente, então a rede funcionará corretamente. Locks (1978) provou quea aplicação das leis de DeMorgan à expressão do conjunto de caminhos minimais resultana expressão de cortes minimais em um grafo. Um algoritmo eficiente para a geraçãode cortes minimais por inversão foi desenvolvido em [Shier & Whited 1985] baseado noprocedimento proposto em [Locks 1978]. Ressalta-se que esse algoritmo foi propostooriginalmente no âmbito de grafos, sendo inédita a aplicação no contexto de árvores defalhas.

Para uma melhor compreensão do procedimento implementado na função corte_mínimo,considere a topologia descrita na Figura 4.11. Neste exemplo, assume-se que a condiçãode defeito do sistema/processo seja composta pelo dispositivo de campo Fd2 e que apenasos enlaces de comunicação possam falhar. Li indica que o enlace de comunicação entredois dispositivos está operacional, enquanto que Li representa uma falha no enlace de co-municação. Baseado em Shier & Whited (1985), o conjunto de caminhos mínimos paraeste cenário é definido na equação 4.1.

Gtw

Fd0

Fd2

Fd1

L1

L2

L3

L5

L4

Figura 4.11: Topologia utilizada para exemplificar a geração do conjunto de cortes míni-mos.

L1L4 +L2L5 +L2L3L4 +L1L3L5 (4.1)

Em outras palavras, a rede estará operacional se os enlaces de comunicação L1 e L4 ou L2

e L5 ou L2 e L3 e L4 ou L1 e L3 e L5 estiverem operacionais. Como descrito por Locks(1978), aplicando as leis de DeMorgan na equação 4.1 encontra-se uma expressão ló-gica (não simplificada) para o conjunto de cortes mínimos (equação 4.2). Aplicando asleis da distributividade ((A+B)C = AC+BC) e absorção (A+AB = A) na equação 4.2encontramos a expressão do conjunto de cortes mínimos na sua forma final (equação 4.3).


(L1 +L4)(L2 +L5)(L2 +L3 +L4)(L1 +L3 +L5) (4.2)

L1L2 +L1L3L5 +L2L3L4 +L4L5 (4.3)

A equação 4.3 caracteriza a condição de falha do dispositivo de campo Fd2. Em outraspalavras, o referido dispositivo é considerado estar em um estado de falha (sem caminhospara o servidor) se os enlaces de comunicação L1 e L2 ou L1 e L3 e L5 ou L2 e L3 e L4 ouL4 e L5 não estiverem operacionais.

Por outro lado, se no exemplo da Figura 4.11 considerarmos apenas falhas de hard-

ware, então o conjunto de caminhos mínimos será diferente daquele descrito na equa-ção 4.1. No caso, o conjunto de caminhos mínimos é descrito pela equação 4.4. De formasimilar, se aplicarmos as leis de DeMorgan e usarmos as leis da distributividade e absor-ção na equação 4.4 o novo conjunto de cortes mínimos será encontrado (equação 4.5).Em outras palavras, assumindo apenas falhas de hardware, o dispositivo de campo Fd2

irá falhar (sem caminhos para o gateway) se o gateway ou o próprio dispositivo Fd2 ouFd0 e Fd1 falharem.

Fd2Fd0Gtw+Fd2Fd1Gtw+Fd2Fd0Fd1Gtw+Fd2Fd1Fd0Gtw (4.4)

Gtw+Fd2 +Fd0 Fd1 (4.5)

Detalhes de implementação da função corte_mínimo são descritos no Algoritmo 6.Independentemente de considerar falhas nos enlaces de comunicação ou nos hardwares

dos dispositivos, todos caminhos entre os dispositivos que compõem a condição de de-feito do sistema/processo e do servidor precisam ser encontrados. Note que em ambas asequações 4.1 e 4.4 quatro caminhos foram utilizados para a geração do conjunto de cor-tes mínimos do dispositivo Fd2. Intuitivamente, após a aplicação das leis de DeMorgan(equação 4.2), as expressões são multiplicadas (lógica boolean) termo a termo. Por exem-plo, na equação 4.2 a primeira expressão (L1+L4) é multiplicada pela segunda expressão(L2 + L5) e o resultado é então multiplicado pela terceira expressão (L2 + L3 + L4). Oprocesso é repetido até que todos os caminhos tenham sido processados (linha 2 do Algo-ritmo 6).

Aplicando-se as leis da distributividade e absorção, Shier & Whited (1985) definiramtrês regras com o objetivo de simplificar o processo de multiplicação utilizado na equa-


Algoritmo 6: Procedimento utilizado na geração dos cortes mínimos.Algoritmo: corte_mínimo (caminhos)Parâmetros: todos caminhos entre um dispositivo e o servidor.Saída : conjunto de cortes mínimos para um dispositivo.

1 solução← caminhos.próximo_caminho();2 para i← 1; i < caminhos.tamanho() - 1; i ++ faça3 matriz← gerar_matriz(solução,caminhos.próximo_caminho());4 para m← 0; m < matriz.linhas(); m ++ faça5 para j← 0; j < matriz.colunas(); j ++ faça6 se é_regra_1(matriz,m,j) então7 regra_1.adiciona(matriz [m,j ]);8 remove_linha_e_coluna(m,j);9 senão se é_regra_2(matriz,m,j) então

10 regra_2.adiciona(matriz [m,j ]);11 remove_linha_ou_coluna(m,j);12 senão13 regra_3.adiciona(matriz [m,j ]);

14 simplifica(regra_3,regra_2);15 solução← merge(regra_1,regra_2,regra_3);

16 retorne solução;

ção 4.2 1. A ideia inicial é combinar duas expressões (caminhos) termo a termo e geraruma matriz cujo os elementos representam a multiplicação dos respectivos termos (linha 3do Algoritmo 6). Um exemplo é descrito na Figura 4.12, assumindo-se duas expressõesfictícias ( expressão 1 = (L1 +L3L5 +L5L6 +L3L4) e expressão 2 = (L1 +L3 +L4)).

A regra 1 define que na multiplicação de dois termos iguais a linha e a coluna damatriz de multiplicação do respectivo resultado devem ser eliminadas (linha 6 do Algo-ritmo 6). A regra 1 baseia-se na lei da absorção. Percebe-se que na Figura 4.12 (Regra 1)a expressão L1 +L1L3 +L1L4 +L1L3L5 +L1L5L6 +L1L3L4 = L1.

Similarmente à regra 1, a regra 2 baseia-se na lei da absorção para eliminar operaçõesdesnecessárias na matriz de multiplicação (linha 9 do Algoritmo 6). A saber, se a multipli-cação termo1×termo2 = termo1, então a linha da matriz de multiplicação referente ao re-sultado deverá ser eliminada. Esta propriedade pode ser observada na Figura 4.12 (Regra2). Note que a seguinte relação pode ser simplificada: L3L5 +L1L3L5 +L3L4L5 = L3L5.

Analisando o algoritmo original [Shier & Whited 1985] percebeu-se que se a multipli-cação termo1× termo2 = termo2 ocorrer, então a coluna do respectivo resultado poderá

1O mesmo procedimento pode ser utilizado para as falhas de hardware.


43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Matriz de Multiplicação

43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Regra 1

43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Regra 2

43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Regra 3

Figura 4.12: Simplificação utilizada na geração do conjunto de cortes mínimos.

ser eliminada da matriz de multiplicação. Essa variação não foi considerada no algoritmooriginal e contribui ainda mais para a simplificação das operações.

Finalmente, os resultados que não foram eliminados pela duas regras anteriores aindaprecisam ser analisados antes de entrarem na solução final. Simplificações podem serrealizadas comparando estes resultados com os resultados da regra 2 (linha 14 do Algo-ritmo 6). Nota-se que não existe a necessidade de comparar com os resultados da regra 1haja vista que todas as linhas e colunas da matriz são eliminadas. Adicionalmente, ape-nas faz sentido as simplificações dos resultados de uma mesma coluna. Por exemplo, naFigura 4.12 (Regra 3), o termo L4L5L6 não pode ser simplificado pelos termos L3L5 ouL3L4 devido estarem em colunas diferentes na matriz de multiplicação. Por outro lado asimplificação já é possível para termo L3L5L6. Perceba que a seguinte relação é válida:L3L5L6 +L3L5 = L3L5.

A solução final da multiplicação entre duas expressões (caminhos) é formada pelosresultados das regras 1, 2 e 3. Após processar todos os caminhos entre o dispositivo alvoe o gateway o conjunto de cortes mínimos para o respectivo dispositivo é então encontrado(linha 16 do Algoritmo 6).

Capítulo 5

Estudo de casos

Nessa seção iremos descrever alguns estudos de caso da ferramenta desenvolvida.Serão apresentados dois estudos de caso. O primeiro estudo de caso apresenta a análise deum processo industrial baseado no fluxo de água através de tanques e válvulas. O segundoé aplicado a uma topologia de redes sem fio. Por último é apresentado um estudo de casodescrevendo um processo industrial de bombeio de fluidos em instalações terrestres deprodução de petróleo. Nesse último estudo, iremos fazer uma análise mais profunda dasmétricas disponíveis.

5.1 Estudo de Caso 1

Nesta seção será apresentado um estudo de caso para uma planta de controle do nívelde água de um tanque, ilustrado na Figura 5.1. O sistema apresentado consiste de umtanque que possui dois sensores embutidos, S1 e S2, enviam informações, acerca do nívelde água no tanque, para os controladores os quais estão ligados. A partir dos valoresde nível obtidos, o controlador atua de forma a manter o nível de líquido dentro dosparâmetros estabelecidos (maior que S1 e menor que S2).

Figura 5.1: Sistema de controle de nível de água.

44 CAPÍTULO 5. ESTUDO DE CASOS

O sistema ainda possui mais três sensores de monitoramento, representados por V F1,V F2 e V F3. Tais sensores estão localizados próximo às válvulas V 1, V 2 e V 3, e temcomo objetivo detectar a vazão da água através das válvulas. A válvula V 1 é aberta oufechada de acordo com os níveis de água detectada através do sensor S1. O mesmo sensoré responsável por indicar se o nível está abaixo do limite requerido. O controlador C1abre a válvula V 1 permitindo a entrada de água para compensar a saída de água por V 2, efecha para cessar o fluxo de água para dentro do tanque.

A válvula V 2 é uma válvula manual de saída e é ativada pelo operador. Em operaçãonormal esta válvula é mantida aberta, permitindo a saída de água do tanque. Além disso,assume-se que possui a mesma capacidade de vazão que a válvula V 1. A válvula V 3mantém-se fechada, salvo no caso que o nível do tanque atinja valores críticos. Estaválvula é aberta pelo controlador C2, como medida de segurança, quando o sensor S2detecta aumento do nível de água a um nível de risco.

O sistema falha quando há o transbordamento do tanque. Dessa forma, a condiçãode falha do sistema é se os fluxos de saída, P4 e P6, falham. Em outras palavras, osistema falha quando por algum motivo os dois fluxos de saída falharem. Um fluxo desaída é considerado falho se pelo menos um equipamento ao longo do fluxo vier a falhar.A modelagem desse sistema pode ser feita mais facilmente observando o fluxo de água,conforme a Figura 5.2 [Macedo, Silva, Guedes, Portugal & Francisco 2013].

P1 V1 TanqueP2

P5 V3 P6

P3 V2 P4

Figura 5.2: Modelagem do processo de controle de nível de água no Br-IndustrialExpert.

Adicionalmente, a contaminação do tanque (CT) por algum resíduo externo provocauma falha em modo comum em ambos fluxos de saída. Essa contaminação provoca aobstrução das válvulas V 2 e V 3 simultaneamente. A Tabela 5.1 descreve sucintamentetodas as configurações assumidas para o sistema em questão.

A Árvore de Falhas resultante do processo e modelada pelo Br-IndustrialExpert émostrada na Figura. 5.3. Foi realizado uma análise de sensibilidade (confiabilidade edisponibilidade) a partir da variação do número de redundâncias nas válvulas. Iremos

5.1. ESTUDO DE CASO 1 45

Tabela 5.1: Taxas de falha e reparo dos eventos.Evento λ(falhas/h) µ(reparos/h)Tanque e−4 4e−3

V 1 e−5 4e−1

V 2 e−5 4e−1

V 3 e−5 4e−1

P1 e−6 0.2P2 e−6 0.2P3 e−6 0.2P4 e−6 0.2P5 e−6 0.2P6 e−6 0.2CT e−8 2e−3

analisar o comportamento (confiabilidade e dependabilidade) do sistema acrescentando1 redundância em cada uma das válvulas. Será adotado o modelo de redundância ativa1, sendo analisado o sistema com chaveamento perfeito e imperfeito 2. O modelo deredundância utilizado foi descrito em [Macedo et al. 2014].

Figura 5.3: Processo de controle de nível de água modelado em uma Árvore de Falha.

Na Figura 5.4 é apresentado o gráfico resultante da análise de confiabilidade dos ce-nários propostos. O MTTF do sistema sem redundância foi de aproximadamente 7.228h.Analisando o sistema com redundância nas válvulas o sistema aumentou seu MTTF em

1Nesse modelo, o dispositivo redundante funciona de forma paralela ao dispositivo principal. Em casode falha, a troca entre eles é mínima.

2Na prática, o chaveamento entre o dispositivo principal e redundante não é perfeito, ele pode falhar.Mais detalhes podem ser encontrados em Macedo et al. (2014)


21,5% com chaveamento perfeito e 19,3% considerando um chaveamento imperfeito.Com isso podemos concluir que o uso de redundância aumentaria a confiabilidade do sis-tema, mesmo considerando uma falha no chaveamento entre os equipamento primário eredundante.

Figura 5.4: Análise de confiabilidade para o sistema de tanques.

Na Tabela 5.2 é exibido a análise da disponibilidade em regime permanente do sis-tema para cada cenário. Nota-se também o aumento da disponibilidade do sistema com ouso de redundâncias. Essas análises poderiam ser usadas na decisão do uso de redundân-cias nas válvulas do projeto. É importante ressaltar que a similaridade dos resultados dadisponibilidade foi motivada principalmente pela alta confiabilidade das válvulas assumi-das (MTTF = 11,2 anos).

Tabela 5.2: Taxas de falha e reparo dos eventos.Cenário Disponibilidade

Sem redundância 0.975501 redun. com chaveamento perfeito 0.97580

1 redun. com chaveamento imperfeito 0.97557



Nesse estudo de caso, vamos apresentar alguns resultados obtidos na avaliação de umarede industrial descrito na Figura 5.5. As redes industriais, também chamadas de redes dechão-de-fábrica, foram especificamente desenvolvidas para automação industrial, sendoportanto, bastante diferentes das redes de computadores tradicionais em relação a dados,padrões de tráfegos, confiabilidade das aplicações, exigências temporais, entre outros fa-tores [Sauter 2005]. Uma vantagem imediata das tecnologias de comunicação sem fio éa eliminação do cabeamento. Outros benefícios podem ser melhor observados quandovistos no contexto específico das aplicações.

Neste cenário, assume-se que a condição de falha do sistema é definida como o se-guinte: Device1 + Device2 + Device3. Em outras palavras, o sistema falha se pelo menosum dispositivo falhar. Assume-se também que a aplicação requer uma confiabilidademaior do que 50% durante as primeiras 275 horas de operação e que o processo de repa-ração e falha ocorre a uma taxa constante (isto é, a distribuição exponencial). As taxas defalha e reparo são as mesmas para todos os dispositivos, 1e–3 e 0,1 respectivamente.

Figura 5.5: Br-Industrial Process Expert’s Editor de Rede.


Foi realizada uma análise de sensibilidade (confiabilidade e disponibilidade), uma vezque estamos interessados em medir as tendências relativas ao invés de valores absolutos.Nesse caso, estamos avaliando o aumento da confiabilidade do sistema, considerando me-lhorias no Device3. Foram definidos quatro cenários (apenas para o Device3): (I) λ = 1e–3, (II) λ 1,5 vezes mais confiável, (III) λ duas vezes mais confiável, (IV) um dispositivo deredundância. Os resultados são descritos na Figura 5.6 e Tabela5.3.

Figura 5.6: Analise de sensibilidade considerando a confiabilidade do sistema.

Tabela 5.3: Analise de sensibilidade considerando a disponibilidade do sistema.Cenário Interrupções(h/a) Disp. Relativa

λ = 1e–3 266.12 -λ 1.5x mais Conf. 237.94 10.58 %λ 2x mais Conf. 223.86 15.87 %1 redundância 182.02 31.60 %

Os resultados da confiabilidade (Figura 5.6) mostraram que apenas o cenário onde aredundância foi adotada atende aos requisitos da aplicação. Esta análise de sensibilidadepode ser estendida para qualquer processo industrial (concebido como uma rede/gráfico).Além disso, nós também realizamos uma avaliação da disponibilidade (Tabela 5.3) considerando-se como métrica a interrupção do sistema (medido em horas por ano). Nota-se que, sefor configurada uma redundância no Device3, a interrupção do sistema teria diminuído


31,60% (valor em relação a referência usada no cenário I). Os resultados da disponibili-dade mostraram que adotar uma redundância no Device3 é pelo menos duas vezes melhordo que utilizar um dispositivo duas vezes mais confiável (cenário III).


Nos campos de produção de petróleo do Oeste Potiguar, a malha de escoamento depetróleo é essencialmente formada por milhares de poços interligados por redes de cen-tenas de quilômetros de dutos e dezenas de estações coletoras. Nestas estações, o óleo éarmazenado em estações coletoras e destas é bombeado através da rede de dutos até asestações de tratamento. Adicionalmente, parte da água produzida nas estações é separadado óleo e tratada para posterior reinjeção na formação rochosa de forma a aumentar a pres-são no reservatório melhorando a recuperação de petróleo [Borges 2013]. Na Figura 5.7é apresentado de maneira esquemática o processo de escoamento de óleo.

ECC2

ET

ECS1 B

ECS2B ECS3 B

B

ECC1 B

ECC3

B

Poços1

Poços2

Poços3

B - bombasECS - estação coletora satéliteECC - estação coletora centralET - estação de tratamento

Figura 5.7: Esquema de rede de escoamento de óleo.

Com base na Figura 5.7, iremos fazer uma análise da dependabilidade desse processo.Supondo que o processo em questão falha se algum dos poços falharem. Se os poçosfalharem, não haverá mais extração de óleo e portanto o sistema é comprometido. Por suavez, o centralizador do sistema/processo é a estação de tratamento, visto que o escoamentode óleo se converge para ela. Para nível didático, foram supostos alguns valores de taxasde falha e reparo. Esses valores são apresentados na tabela 5.4.

As curvas da confiabilidade e de disponibilidade são exibidas nas Figuras 5.8 e 5.9.Na análise da disponibilidade, verifica-se o comportamento assintótico dessa métrica, que


Tabela 5.4: Taxas de falha e reparo dos eventos.Equipamento λ(falhas/h) µ(reparos/h)

Estações coletoras satélite e−4 0.55Estações coletoras central e−4 0.55

Estação de tratamento e−5 0.55Poços 2.7e−4 0.55

em aproximadamente 20 horas se estabiliza. Com isso podemos concluir que o processoirá ficar aproximadamente 34 horas por ano em manutenção.

Figura 5.8: Confiabilidade do processode escoamento de óleo.

Figura 5.9: Disponbilidade do processode escoamento de óleo.

Analisando o fator criticidade dos dispositivos no sistema (quanto maior o valor, maiscrítico o componente), os poços tem fator de criticidade 0.221, as estações coletoras cen-tral e de satélite tem fator 0.0819 e a estação de tratamento central 0.008. Esses resultadossão coerentes, pois os poços possuem uma taxa de falha maior.

O gráfico de Birnbaum é apresentado na Figura 5.10. Essa métrica apresenta a pro-babilidade dos equipamentos (estações coletoras, bombas e estação de tratamento) seremcríticos para o sistema no instante t. É notório que a curva das bombas são superiores asda estações coletoras, que por sua vez é superior as das estações de tratamento.


Figura 5.10: Análise da métrica Birnbaum do processo de escoamento de óleo.

Capítulo 6

Conclusão e Trabalhos Futuros

O desenvolvimento de ferramentas genéricas para a análise de dependabilidade de uminfraestrutura críticas é uma demanda iminente. As ferramentas desenvolvidas neste tra-balho apoiam a análise quantitativa destas métricas, proporcionando valiosas informaçõespara o projetista que lhe permite desenvolver sistemas robustos e tolerantes a falhas. Aproposta assume uma aplicação de infraestrutura críticas concebido como um grafo, ondeambos os dispositivos e suas interligações podem falhar. O método de avaliação pode serutilizado durante a fase inicial do projeto de qualquer aplicação de processo industrial.

O Br-IndustrialExpert é responsável por fazer a modelagem da infraestrutura crítica emapear em uma Árvore de Falha. As contribuições da respectiva dissertação são listadasa seguir:

• Simplificação do algoritmo para geração de todos os caminhos entre um dispositivoe a central.• Mapeamento do problema k-terminal ao formalismo das Árvores de Falhas.• Melhoria no algoritmo de geração do conjunto de cortes mínimos.• Aplicação do algoritmo que encontra o conjunto de cortes mínimos, originalmente

aplicados em grafos, ao domínio das Árvores de Falhas.• Análise da dependabilidade de infraestrutura críticas considerando falhas de hard-

ware e em sua interligação, além de falhas em modo comum.

Outra contribuição é o desenvolvimento de ferramentas matemáticas para a análise demodelos matemáticos. Foi desenvolvido de Br-FaultTreeExpert para análise de Árvore deFalhas e o gerenciador de plug-ins Br-MathExpert.

Como trabalhos futuros pretende-se incrementar a metodologia com modelos de fa-lhas mais complexos baseado em estruturas hierárquicas. Essas estruturas serão formadaspor cadeias de Markov. Diversos modelos de redundância também podem ser inseridosna estrutura hierárquica. Adicionalmente, modelos de redundância utilizando Árvores deFalhas Dinâmicas serão estudos e sua adoção também será considerada na metodologia.

54 CAPÍTULO 6. CONCLUSÃO E TRABALHOS FUTUROS

Referências bibliográficas

AboElFotoh, H.M. & C.J. Colbourn (1989), ‘Computing 2-terminal reliability for radio-broadcast networks’, Reliability, IEEE Transactions on 38(5), 538 –555.

Avizienis, A. & J.-C. Laprie (1986), ‘Dependable computing: From concepts to designdiversity’, Proceedings of the IEEE 74(5), 629 – 638.

Avizienis, Algirdas, Jean-Claude Laprie, Brian Randell & Carl Landwehr (2004), ‘Basicconcepts and taxonomy of dependable and secure computing’, IEEE Trans. Depen-

dable Secur. Comput. 1(1), 11–33.

Birnbaum, Z. W. & S. C. Saunders (1969), ‘A new family of life distributions’, Journal of

Applied Probability 6, 319–327.

Borges, R. (2013), Sistema inteligente para apoio à decisão na operação de uma malha deescoamento de petróleo, Mestrado, Universidade Federal do Rio Grande do Norte.

Cinque, Marcello, Domenico Cotroneo, Catello Di Martinio & Stefano Russo (2007),Modeling and assessing the dependability ofwireless sensor networks, em ‘Procee-dings of the 26th IEEE International Symposium on Reliable Distributed Systems’,SRDS ’07, IEEE Computer Society, Washington, DC, USA, pp. 33–44.

Di Martino, Catello, Marcello Cinque & Domenico Cotroneo (2012), ‘Automated genera-tion of performance and dependability models for the assessment of wireless sensornetworks’, IEEE Trans. Comput. 61(6), 870–884.

Ericson, Clifton A. (2005), Hazard Analysis Techniques for System Safety, 1a edição,Wiley-Interscience, Hoboken, NJ. ISBN: 978-0-471-72019-5.

Grottke, Michael, Hairong Sun, Ricardo M. Fricks & Kishor S. Trivedi (2008), Ten falla-cies of availability and reliability analysis, em ‘Proceedings of the 5th internationalconference on Service availability’, ISAS’08, Springer-Verlag, Berlin, Heidelberg,pp. 187–206.URL:http://dl.acm.org/citation.cfm?id=1788594.1788615

55

http://dl.acm.org/citation.cfm?id=1788594.1788615

56 REFERÊNCIAS BIBLIOGRÁFICAS

J. Muppala, R. Fricks, K. Trivedi (2000), Computational Probability, Kluwer AcademicPublishers, capítulo Techniques for System Dependability Evaluation, pp. 445–480.

Krishnamurthy, Lakshman, Robert Adler, Phil Buonadonna, Jasmeet Chhabra, Mick Fla-nigan, Nandakishore Kushalnagar, Lama Nachman & Mark Yarvis (2005), Designand deployment of industrial sensor networks: Experiences from a semiconductorplant and the North Sea, em ‘SenSys ’05: Proceedings of the 3rd International Con-ference on Embedded Networked Sensor Systems’, ACM, New York, pp. 64–75.

Laprie, J.-C. (1995), Dependability of computer systems: concepts, limits, improvements,em ‘Software Reliability Engineering, 1995. Proceedings., Sixth International Sym-posium on’, pp. 2–11.

Limnios, Nikolaos (2007), Fault Trees, 2nda edição, iSTE.

Locks, Mitchell O. (1978), ‘Inverting and minimalizing path sets and cut sets’, Reliability,

IEEE Transactions on R-27(2), 107 –109.

Macedo, D., I. Silva & A. Guedes (2013), ‘Uma ferramenta para análise de dependabili-dade de processos industriais’, Simpósio Brasileiro de Automação Inteligente .

Macedo, D., I. Silva & A. Guedes (2014), ‘A dependability evaluation for internet ofthings incorporating redundancy aspects’, ICNSC .

Macedo, D., I. Silva, A. Guedes, P. Portugal & V. Francisco (2013), ‘A framework fordependability evaluation of industrial processes’, Annual Conference of IEEE In-

dustrial Electronics Society .

Military Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F)

(1991), Relatório técnico, United States Department of Defense.

OREDA (1983), Det norske veritas, Relatório técnico.

Papoulis, Athanasios & S. Unnikrishna Pillai (2002), Probability, Random Variable and

Stochastic Process, McGraw-Hill.

Petre, L., K. Sere & E. Troubitsyna (2011), Dependability and Computer Engineering:

Concepts for Software-Intensive Systems, Igi Global.URL:http://books.google.com.br/books?id=lCgfe1FPfo0C

http://books.google.com.br/books?id=lCgfe1FPfo0C

REFERÊNCIAS BIBLIOGRÁFICAS 57

Portugal, Paulo Josï¿12 Lopes Machado (2004), Avaliação da Confiança no Funciona-

mento de Redes de Campo - Contribuição no Domï¿12nio dos Sistemas Industriais

de Controlo, Tese de doutorado, Faculdade de Engenharia da Universidade do Porto.

Rausand, Marvin & Arnljot Hsyland (2004), System Reliability Theory: Models, Statisti-

cal Methods, and Applications, 2a edição, Wiley. ISBN: 978-0-471-47133-2.

Sahner, Robin A., K.S. Trivedi & A. Puliafito (1996), Performance and Reliability Analy-

sis of Computer Systems: An Example-Based Approach Using the Sharpe Software

Package, Kluwer Acad. Publ.

Sahner, Robin, Antonio Puliafito & Kishor S Trivedi (1996), Performance and reliabi-

lity analysis of computer systems: an example-based approach using the SHARPE

software package, Kluwer, Boston, MA.

Sauter, Thilo (2005), Linking factory floor and the internet, em R.Zurawski, ed., ‘TheIndustrial Information Technology Handbook’, CRC Press, capítulo 24.

Shier, D. R. & D. E. Whited (1985), ‘Algorithms for generating minimal cutsets by inver-sion’, Reliability, IEEE Transactions on R-34(4), 314 –319.

Shooman, M. (1990), Probabilistic Reliability an Engineering Approach, Krieger Pu-blishing Company.

Shooman, Martin L. (2002), Reliability of Computer Systems and Networks - Fault Tole-

rance, anaysis, and Design, Wiley-Interscience.

Silva, I. (2013), Uma metodologia para modelagem e avaliação da dependabilidade deredes industriais sem fio, Doutorado, Universidade Federal do Rio Grande do Norte.

Silva, I., D. Lopes, A. Guedes, A. Duarte, L. Aquino & K. Saito (2013), ‘Tecnologiasemergentes para redes industriais sem fio: Wirelesshart vs isa100.11a’, Rio Automa-

ção .

Xing, Liudong, Hong Liu & A. Shrestha (2012), ‘Infrastructure communication reliabi-lity of wireless sensor networks considering common-cause failures’, International

Journal of Performability Engineering 8(2), 141–150.

Br-IndustrialExpert Um framework para análise da ... · UFRN / Biblioteca Central Zila Mamede...

Documents

Transcript of Br-IndustrialExpert Um framework para análise da ... · UFRN / Biblioteca Central Zila Mamede...