Uma Metodologia para Modelagem e Avaliação da ... · Uma Metodologia para Modelagem e Avaliação...

UNIVERSIDADE DO RIO GRANDE DO NORTEFEDERAL

UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE

CENTRO DE TECNOLOGIA

PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA ELÉTRICA E

COMPUTAÇÃO

Uma Metodologia para Modelagem e Avaliaçãoda Dependabilidade de Redes Industriais Sem

Fio

Ivanovitch Medeiros Dantas da Silva

Orientador: Prof. Dr. Luiz Affonso Henderson Guedes de Oliveira (DCA/UFRN)

Co-orientador: Prof. Dr. Paulo Portugal (FEUP/UP)

Tese de Doutorado apresentada ao Pro-grama de Pós-Graduação em EngenhariaElétrica e Computação da UFRN (área deconcentração: Engenharia de Computação)como parte dos requisitos para obtenção dotítulo de Doutor em Ciências.

Natal, RN, janeiro de 2013

Uma Metodologia para Modelagem e Avaliaçãoda Dependabilidade de Redes Industriais Sem

Fio

Ivanovitch Medeiros Dantas da Silva

Tese de Doutorado aprovada em 21 de janeiro de 2013 pela banca examinadora compostapelos seguintes membros:

Prof. Dr. Luiz Affonso H. Guedes de Oliveira (orientador) . . . . . . . DCA/UFRN

Prof. Dr. Paulo Portugal (co-orientador) . . . . . . . . . . . . . . . . . . . . . . . . . . FEUP/UP

Prof. Dr. Francisco Vasques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . FEUP/UP

Prof. Dr. Paulo Romero Martins Maciel . . . . . . . . . . . . . . . . . . . . . . . . . CIn/UFPE

Prof. Dr. Adrião Duarte Dória Neto . . . . . . . . . . . . . . . . . . . . . . . . . . . DCA/UFRN

Prof. Dr. Daniel Aloise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DCA/UFRN

Aos meus pais, Adjane e Ivanaldo,pelo exemplo de luta, dedicação e

honestidade.

Agradecimentos

Fazer um doutorado é o experimentar de novos desafios, o amadurecimento do pensar,uma explosão de sentimentos. Ao longo do caminho, encontra-se a chuva, o sol, as florese o espinho. Para um viajante que cruza o caminho, o final pode parecer uma vitóriasolitária, mas engana-se. A conclusão não teria ocorrido sem a ajuda de pessoas especiaisque contribuíram e me ajudaram ao longo de toda essa caminhada.

Gostaria de agradecer a Evellyne, por ter incentivado desde muitos anos a buscar meusobjetivos, meus sonhos. Sou grato profundamente pela sua ajuda especial e energiaspositivas distribuídas a mim.

No começo da minha jornada acadêmica, ainda na graduação, tive a ajuda de pessoasmuito queridas, meus tios Aderildo e Iris, sem a qual tornaria essa jornada digna de Ho-mero.

Agradeço a minha irmã, Ivanise, pelas discussões filosóficas, psíquicas e físico-religiosas,que instigaram o amadurecimento do meu pensar.

Agradeço especialmente ao Professor Francisco Vasques pelos seus valiosos comentários,sugestões e pelo apoio durante todo o estagio doutoral na FEUP.

Ao meu co-orientador, Professor Paulo Portugal, agradeço pela ajuda e paciência emtransmitir conhecimentos muito valiosos que foram fundamentais para o desenvolvimentodesta tese. Sua co-orientação serviu como motivação para aprender cada vez mais.

Ao meu orientador e amigo, Professor Luiz Affonso, gostaria de externar minha gratidãopor toda sua orientação e ajuda ao longo de todos esses anos. Discussões, comentários econselhos que serviram para o desenvolvimento de toda a tese, e principalmente, contri-buem a buscar uma carreira baseada na ética e honestidade.

Aos meus amigos(as) de luta, Silvio Sampaio, Carlos Viegas (Portuga), Lúcio Sanchez,Daniel Costa, Stanislav Stoykov e Julija Vasiljevska, Aderson Pifer, agradeço pela ajudae diversos momentos de descontração compartilhados.

A toda equipe do Projeto Wireless, agradeço pela oportunidade mútua de aprendizado emotivação para o desenvolvimento de novas tecnologias.

Aos meus primeiros orientandos, Rafael Leandro e Daniel Enos, sou grato pela oportuni-dade de trabalhar e aprender com profissionais sonhadores e de talento.

Agradeço a CAPES, a Petrobras e FCT pelo apoio financeiro.

À Sofia, sou grato de uma forma muito especial por ter me ajudado a pensar e refletirde uma maneira menos racional e encontrar a solução dos problemas de uma forma maisleve e objetiva. Sua ajuda foi fundamental para a conclusão desta tese.

Agradeço a minha família, pela motivação e guia de um caminho calçado pela honestidadee justiça.

Resumo

Garantir os requisitos de dependabilidade é fundamental para as aplicações indus-triais, onde falhas podem conduzir a defeitos cujas consequências impactam em prejuízoseconômicos e principalmente danos ambientais e riscos aos operadores. Assim, diante darelevância do tema, esta tese propõem uma metodologia para análise da dependabilidadede redes industriais sem fio (WirelessHART, ISA100.11a, WIA-PA) ainda na fase de pro-jeto. Entretanto, a proposta pode ser facilmente estendida para as fases de manutençãoe expansão da rede. A proposta utiliza a teoria de grafos e o formalismo de Árvores deFalhas para criar automaticamente um modelo analítico a partir de uma dada topologiade rede industrial sem fio, onde a dependabilidade possa ser avaliada. As métricas deavaliação suportadas compreendem confiabilidade, disponibilidade e MTTF (tempo mé-dio para falha) da rede, como também medidas de importância dos dispositivos, aspectosde redundância e defeitos em modo comum. Ressalta-se que a proposta independe dequalquer ferramenta para analisar quantitativamente as métricas visadas. Contudo, parapropósito de validação da proposta utilizou-se uma ferramenta amplamente aceita na aca-demia para esse fim (SHARPE). Adicionalmente, um algoritmo para geração dos cortesmínimos originalmente aplicado na teoria de grafos foi adaptado para o formalismo dasÁrvores de Falhas com o objetivo de garantir escalabilidade da metodologia às redes in-dustriais sem fio (< 100 dispositivos). Finalmente, a metodologia proposta foi validada apartir de cenários típicos encontrados em ambientes industriais, como topologias estrela,linha, cluster e mesh. Foram também avaliados cenários com defeitos em modo comume um conjunto de políticas a serem seguidas na criação de uma rede industrial sem fio.Para garantir aspectos de escalabilidade, uma análise de desempenho foi conduzida, ondepode-se observar a aplicabilidade da metodologia para as redes tipicamente encontradasem ambientes industriais.

Palavras-chave: Redes Industriais Sem Fio, WirelessHART, ISA100.11a, WIA-PA,Árvores de Falhas, Análise de Dependabilidade, Confiabilidade, Disponibilidade.

Abstract

Ensuring the dependability requirements is essential for the industrial applicationssince faults may cause failures whose consequences result in economic losses, environ-mental damage or hurting people. Therefore, faced from the relevance of topic, this thesisproposes a methodology for the dependability evaluation of industrial wireless networks(WirelessHART, ISA100.11a, WIA-PA) on early design phase. However, the proposalcan be easily adapted to maintenance and expansion stages of network. The proposal usesgraph theory and fault tree formalism to create automatically an analytical model froma given wireless industrial network topology, where the dependability can be evaluated.The evaluation metrics supported are the reliability, availability, MTTF (mean time to fai-lure), importance measures of devices, redundancy aspects and common cause failures. Itmust be emphasized that the proposal is independent of any tool to evaluate quantitativelythe target metrics. However, due to validation issues it was used a tool widely acceptedon academy for this purpose (SHARPE). In addition, an algorithm to generate the mi-nimal cut sets, originally applied on graph theory, was adapted to fault tree formalismto guarantee the scalability of methodology in wireless industrial network environments(< 100 devices). Finally, the proposed methodology was validate from typical scenariosfound in industrial environments, as star, line, cluster and mesh topologies. It was alsoevaluated scenarios with common cause failures and best practices to guide the designof an industrial wireless network. For guarantee scalability requirements, it was analy-zed the performance of methodology in different scenarios where the results shown theapplicability of proposal for networks typically found in industrial environments.

Keywords: Wireless Industrial Networks, WirelessHART, ISA100.11a, WIA-PA, FaultTree, Dependability Evaluation, Reliability and Availability.

Sumário

Sumário i

Lista de Figuras v

Lista de Tabelas ix

Lista de Publicações xi

Lista de Acrônimos e Abreviaturas xiii

1 Introdução 11.1 Redes Industriais Sem Fio . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.1.1 Primeiras tecnologias . . . . . . . . . . . . . . . . . . . . . . . . 2

1.1.2 Ethernet industrial . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.3 A evolução natural - eliminação do cabeamento . . . . . . . . . . 6

1.2 Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.3 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.4 Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5 Organização da Tese . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2 Tecnologias de Redes Industriais Sem Fio 152.1 WirelessHART . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.1.1 Camada física . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.1.2 Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.1.3 Camadas de rede e transporte . . . . . . . . . . . . . . . . . . . 23

2.1.4 Camada de aplicação . . . . . . . . . . . . . . . . . . . . . . . . 24

2.1.5 Melhores práticas . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.2 ISA100.11a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.2.1 Camada física . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.2.2 Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.2.3 Camadas de rede e transporte . . . . . . . . . . . . . . . . . . . 32

i


2.3 IEC-PAS 62601/WIA-PA . . . . . . . . . . . . . . . . . . . . . . . . . . 34

2.3.1 Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.3.2 Camada de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 39


2.4 Comparação entre os padrões . . . . . . . . . . . . . . . . . . . . . . . . 40

3 Dependabilidade: Estado da Arte 453.1 Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

3.1.1 Falha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

3.1.2 Defeito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

3.1.3 Erros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.1.4 Dependabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.2 Redundância . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

3.2.1 Redundância de Hardware . . . . . . . . . . . . . . . . . . . . . 52

3.2.2 Redundância de Software e Informação . . . . . . . . . . . . . . 57

3.2.3 Redundância Temporal . . . . . . . . . . . . . . . . . . . . . . . 57

3.3 Medidas fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

3.3.1 Modelos para taxas de defeitos . . . . . . . . . . . . . . . . . . . 59

3.3.2 Confiabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

3.3.3 Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

3.4 Árvores de Falhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

3.4.1 Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . . 67

3.4.2 Análise quantitativa . . . . . . . . . . . . . . . . . . . . . . . . . 68

3.4.3 Medidas de importância . . . . . . . . . . . . . . . . . . . . . . 70

3.4.4 Defeitos dependentes . . . . . . . . . . . . . . . . . . . . . . . . 72

3.5 Trabalhos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

4 Metodologia de Avaliação 794.1 Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

4.2 Entrada de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4.2.1 Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4.2.2 Configurações de falhas . . . . . . . . . . . . . . . . . . . . . . 81

4.2.3 Condição de defeito da rede . . . . . . . . . . . . . . . . . . . . 86

4.2.4 Métricas de avaliação . . . . . . . . . . . . . . . . . . . . . . . . 87

4.3 Problema k-terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

4.4 Conjunto de Cortes Minimais . . . . . . . . . . . . . . . . . . . . . . . . 894.5 Geração da Àrvore de Falha . . . . . . . . . . . . . . . . . . . . . . . . 94

4.5.1 Falhas de hardware . . . . . . . . . . . . . . . . . . . . . . . . . 954.5.2 Falhas nos enlaces de comunicação . . . . . . . . . . . . . . . . 964.5.3 Mapeamento dos cortes mínimos . . . . . . . . . . . . . . . . . . 974.5.4 Mapeamento das condições de defeito da rede . . . . . . . . . . . 994.5.5 Geração do código fonte (SHARPE) . . . . . . . . . . . . . . . . 994.5.6 Exemplo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

4.6 Avaliação da Árvore de Falha . . . . . . . . . . . . . . . . . . . . . . . . 1024.7 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

5 Validação da Metodologia 1055.1 Cenário I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

5.1.1 Topologia estrela . . . . . . . . . . . . . . . . . . . . . . . . . . 1055.1.2 Topologia linha . . . . . . . . . . . . . . . . . . . . . . . . . . . 1085.1.3 Topologia cluster . . . . . . . . . . . . . . . . . . . . . . . . . . 113

5.2 Cenário II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1185.2.1 Influência na confiabilidade da rede . . . . . . . . . . . . . . . . 1195.2.2 Influência nas medidas de importância dos dispositivos . . . . . . 1205.2.3 Influência na disponibilidade da rede . . . . . . . . . . . . . . . 122

5.3 Cenário III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1235.3.1 Regra dos cinco . . . . . . . . . . . . . . . . . . . . . . . . . . . 1245.3.2 Regra dos três . . . . . . . . . . . . . . . . . . . . . . . . . . . 1265.3.3 Regra dos 25% . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

5.4 Avaliação de Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . 1315.5 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

6 Conclusão e Trabalhos Futuros 137

Referências bibliográficas 140

Lista de Figuras

1.1 Evolução das redes de chão-de-fábrica [Sauter 2010]. . . . . . . . . . . . 3

1.2 Pirâmide da automação - modelo hierárquico representando os diversosníveis da automação industrial. . . . . . . . . . . . . . . . . . . . . . . . 4

2.1 Tecnologias sem fio utilizadas em ambientes industriais. . . . . . . . . . 16

2.2 Dispositivos WirelessHART. . . . . . . . . . . . . . . . . . . . . . . . . 17

2.3 Camadas da arquitetura presente na especificação WirelessHART. . . . . 19

2.4 Mecanismos utilizados no controle de acesso ao meio da especificaçãoWirelessHART: TDMA, saltos de frequência, slots de tempo e superframe. 20

2.5 Uma típica rede ISA100.11a. . . . . . . . . . . . . . . . . . . . . . . . . 27

2.6 Camadas da arquitetura presente no padrão ISA100.11a. . . . . . . . . . 28

2.7 Diferentes perfis de saltos de frequência suportados pelo padrão ISA100.11a. 31

2.8 Uma típica rede WIA-PA. . . . . . . . . . . . . . . . . . . . . . . . . . . 35

2.9 Pilha de protocolos do padrão WIA-PA. . . . . . . . . . . . . . . . . . . 36

2.10 Superframe definido no padrão WIA-PA. . . . . . . . . . . . . . . . . . . 37

3.1 Relação entre falhas, erros e defeitos. . . . . . . . . . . . . . . . . . . . 48

3.2 Meios para obter tolerância a falhas. . . . . . . . . . . . . . . . . . . . . 50

3.3 Redundância modular tripla (TMR). . . . . . . . . . . . . . . . . . . . . 53

3.4 Redundância modular tripla com mecanismo de votação triplicado. . . . . 53

3.5 Técnica de redundância de hardware ativa baseada em duplicação comcomparação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

3.6 Técnica de redundância de hardware ativa baseada em módulos reservas. 55

3.7 Técnica de redundância de hardware híbrida modular múltipla com reservas. 57

3.8 Princípio básico sobre redundância temporal. . . . . . . . . . . . . . . . 58

3.9 Relação entre a densidade de defeitos f (t) e a taxa de defeitos z(t). . . . . 60

3.10 Estados do sistema na visão da confiabilidade. . . . . . . . . . . . . . . . 61

3.11 Estados do sistema na visão da disponibilidade. . . . . . . . . . . . . . . 65

3.12 Comportamento do sistema para diversos instantes de tempo. . . . . . . . 66

v

3.13 Função de distribuição acumulativa para as saídas das portas and, or ek-out-of-n. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

4.1 Visão geral da metodologia para avaliação da confiabilidade e disponibi-lidade das redes industriais sem fio. . . . . . . . . . . . . . . . . . . . . 80

4.2 Exemplo de uma rede industrial sem fio representada por um grafo e suarespectiva matriz de adjacência. . . . . . . . . . . . . . . . . . . . . . . 81

4.3 Procedimento usado na criação de distribuições estatísticas genéricas naferramenta SHARPE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

4.4 Definição da distribuição exponencial na ferramenta SHARPE. . . . . . . 84

4.5 Definição da distribuição hipoexponencial na ferramenta SHARPE. . . . . 84

4.6 Distribuição erlang configurada na ferramenta SHARPE para o caso parti-cular n = 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4.7 Distribuição hiperexponencial configurada na ferramenta SHARPE para ocaso particular n = 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4.8 Saída do Algoritmo 1 assumindo como referência o dispositivo Fd0 daFigura 4.2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

4.9 Topologia utilizada para exemplificar a geração do conjunto de cortes mí-nimos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

4.10 Simplificação utilizada na geração do conjunto de cortes mínimos. . . . . 94

4.11 Falhas de hardware sem defeitos em modo comum (CCF). . . . . . . . . 96

4.12 Falhas de hardware com defeitos em modo comum (CCF). . . . . . . . . 96

4.13 Mapeamento das falhas nos enlaces de comunicação. . . . . . . . . . . . 97

4.14 Mapeamento na árvore de falha do conjunto de cortes mínimos para umdispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

4.15 Condição de defeito dos dispositivos sem a técnica dos cortes mínimos. . 98

4.16 Mapeamento na árvore de falha da condição de defeito da rede. . . . . . . 99

4.17 Mapeamento de uma árvore de falha na ferramenta SHARPE. . . . . . . . 100

4.18 Árvore de falha para a rede da Figura 4.9 assumindo a seguinte condiçãode defeito: Fd0 + Fd1 ·Fd2. . . . . . . . . . . . . . . . . . . . . . . . . 101

4.19 Código fonte da ferramenta SHARPE para a árvore de falha da Figura 4.18. 102

4.20 Procedimentos utilizados para a avaliação quantitativa da árvore de falha. 103

5.1 Topologia estrela formada por quatro dispositivos de campo. . . . . . . . 106

5.2 Avaliação da confiabilidade de uma rede industrial sem fio considerandotopologia estrela. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

5.3 Influência das condições de defeito e nível de redundância para o MTTFda rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

5.4 Topologia linha tipicamente utilizada em ambientes industriais. . . . . . . 1095.5 Medida de importância dos dispositivos considerando a métrica Birnbaum

e topologia em linha. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1105.6 Medida de importância dos dispositivos considerando a métrica criticali-

dade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1125.7 Cenários utilizados para a avaliação da topologia cluster. (a) Três clus-

ters; (b) Três clusters + dois roteadores adicionais. . . . . . . . . . . . . 1135.8 Influência das ações de reparação na indisponibilidade da rede conside-

rando falhas de hardware e topologia em cluster. . . . . . . . . . . . . . 1155.9 Influência das ações de reparação na indisponibilidade da rede conside-

rando falhas nos enlaces de comunicação e topologia cluster. . . . . . . . 1165.10 Topologia adotada para avaliação dos defeitos em modo comum. . . . . . 1195.11 Análise da confiabilidade da rede considerando defeitos em modo comum. 1205.12 Influência dos defeitos em modo comum nas medidas de importância dos

dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1215.13 Análise da influência dos defeitos em modo comum para a disponibili-

dade da rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1225.14 Topologia mesh adotada para a avaliação das melhores práticas sugeridas

pela HCF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1245.15 Avaliação da regra dos cinco. . . . . . . . . . . . . . . . . . . . . . . . . 1265.16 Avaliação da regra dos três. . . . . . . . . . . . . . . . . . . . . . . . . . 1285.17 Influência da regra dos três na indisponibilidade da rede: análise de sen-

sibilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1295.18 Avaliação da regra dos 25%. . . . . . . . . . . . . . . . . . . . . . . . . 131

Lista de Tabelas

1.1 Exemplos de possíveis vantagens em se adotar soluções de comunicaçãosem fio para aplicações industriais quando comparadas com soluções tra-dicionais (cabeadas). . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1 Alcances típicos de um rádio WirelessHART. . . . . . . . . . . . . . . . 192.2 Principais características presentes na camada de enlace da especificação

WirelessHART. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.3 Principais características presentes na camada de enlace do padrão ISA100.11a. 322.4 Técnicas utilizadas no controle de acesso ao meio do padrão WIA-PA. . . 382.5 Comparações entre os principais padrões de comunicação sem fio indus-

triais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

3.1 Conceitos básicos sobre tolerância a falhas. . . . . . . . . . . . . . . . . 513.2 Medidas de confiabilidade para taxas de defeitos típicas. . . . . . . . . . 65

5.1 Impacto no uso de redundância na topologia linha. . . . . . . . . . . . . 1125.2 Parâmetros utilizados para a avaliação da topologia cluster. . . . . . . . . 1145.3 Procedimentos utilizados para aumentar a disponibilidade de rede. . . . . 1175.4 Configurações dos defeitos em modo comum. . . . . . . . . . . . . . . . 1195.5 Configurações utilizadas na avaliação da regra dos cinco. . . . . . . . . . 1255.6 Configurações usadas para avaliar a regra dos três. . . . . . . . . . . . . 1275.7 Configurações utilizadas para avaliar a regra dos 25%. . . . . . . . . . . 1305.8 Análise de desempenho da metodologia com ou sem a utilização do algo-

ritmo para geração dos cortes mínimos. . . . . . . . . . . . . . . . . . . 132

ix

Lista de Publicações

Ivanovitch Silva, Daniel Lopes, Adrião Duarte, Luiz Affonso, Leonardo Aquino &Kaku Saito (2013), Tecnologias Emergentes para Redes Industriais Sem Fio: Wi-relessHART vs ISA100.11a, em ‘Rio Automação 2013’ (Submetido).

Ivanovitch Silva, Rafael Leandro, Daniel Enos & Luiz Affonso Guedes (2013), A De-pendability Evaluation Tool for the Internet of Things, Computers and Electrical

Engineering (Elsevier) (Submission being processed).

Ivanovitch Silva, Paulo Portugal, & Luiz Affonso Guedes (2013), Emerging Technologiesfor Industrial Wireless Sensor Networks, em ‘Encyclopedia of Embedded Compu-ting Systems’, IGI Global (to be publish).

Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2012), Re-liability and Availability Evaluation of Wireless Sensor Networks for Industrial Ap-plications, Sensors (Basel) 12, 806–838.

Ivanovitch Silva, Luiz Affonso Guedes, Paulo Portugal & Francisco Vasques (2012), De-pendability evaluation of wirelesshart best practices, em ‘17th IEEE Conference onEmerging Technologies and Factory Automation (ETFA 2012)’, pp. 1–9.

Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2011), Pre-liminary results on the assessment of wirelesshart networks in transient fault scena-rios, em ‘16th IEEE International Conference on Emerging Technologies and Fac-tory Automation’.

xi

Lista de Acrônimos e Abreviaturas

6LoWPAN IPV6 Sobre Redes Pessoais Sem Fio de Baixa Potência

AP Access Point

CCA Avaliação da presença da portadora

CCF Falhas em modo comum

CDF Função de distribuição acumulativa

CENELEC Comitê Europeu de Normalização Eletrotécnica

CENELEC Comitê Europeu de Normalização Eletrotécnica

CFP Período Livre de Contenção

CIWA Consórcio Wireless Industrial Chines

CP Período com Contenção

CSMA-CA Acesso Múltiplo com Verificação de Portadora e Anulação/Prevenção de Co-lisão

CSP Porta lógica para redundância no “modelo frio”

CTS Autorização de Envio

DCF Função de Coordenação Distribuída

FCC Comissão de Comunicação Federal Americana

FDEP Porta lógica com dependência funcional

FIP Protocolo de Instrumentação de Fábrica

FIP Protocolo de Instrumentação de Fábrica

FT Árvores de Falhas

xiii

FTA Análise de Árvores de Falhas

HCF HART Comunication Foundation

HSP Porta lógica para redundância no “modelo quente”

IEC Comissão Eletrotécnica Internacional

IEC Comissão Eletrotécnica Internacional

ISA Sociedade Internacional de Automação

ISO Organização Internacional para Padronização

ISP Projeto de Sistemas Interoperáveis

ISP Projeto de Sistemas Interoperáveis

MAC Controle de Acesso ao Meio

MAC Controle de Acesso ao Meio

MAP Protocolo de Automação para Manufatura

MAP Protocolo de Automação para Manufatura

MIMO Múltiplas Entradas e Múltiplas Saídas

MTBF Tempo médio entre defeitos

MTTF: Tempo médio de funcionamento até a ocorrência de um defeito

MTTR Tempo médio até o sistema reparar um defeito

NMR Redundância modular múltipla

OSI Interconexão de Sistemas Abertos

PAS Padrão Publicamente Disponível

PROFIBUS Barramento de Campo para Processos

PROFIBUS Barramento de Campo para Processos

QoS Qualidade de Serviço

RTS Requisição de Envio

SEQ Porta lógica com sequência forçada

SPD Soma de produtos disjuntos

TDMA Acesso Múltiplo por Divisão de Tempo

TMR Redundância modular tripla

UWB Banda Ultra Larga

WIA-PA Redes Sem Fio para Automação Industrial e Processos de Automação

WLAN Redes Locais Sem Fio

WorldFIP Protocolo para Instrumentação de Fábrica universal

WorldFIP Protocolo para Instrumentação de Fábrica universal

WPAN Redes Pessoais Sem Fio

WSP Porta lógica para redundância no “modelo aquecido”

Capítulo 1

Introdução

As redes industriais, também chamadas de redes de chão-de-fábrica, foram especifi-camente desenvolvidas para automação industrial, sendo portanto, bastante diferentes dasredes de computadores tradicionais em relação a dados, padrões de tráfegos, confiabili-dade das aplicações, exigências temporais, entre outros fatores [Sauter 2005]. Historica-mente, as redes industriais foram desenvolvidas a partir de redes de barramento, porém,atualmente existem diversas pesquisas relacionadas com a inserção do Ethernet e redessem fio para ambientes industriais.

O objetivo desse capítulo é descrever os principais desafios das tecnologias de co-municação sem fio quando inseridas em ambientes industriais. Inicialmente será descritauma breve revisão sobre a evolução das redes industriais, desde suas origens até a adoçãodas tecnologias sem fio. Outros temas, como por exemplo, requisitos de confiabilidade edeterminismo, também serão abordados. Ao final do capítulo serão descritos as motiva-ções, objetivos e contribuições da tese, além da organização do respectivo documento.

1.1 Redes Industriais Sem Fio

As redes de chão-de-fábrica são redes que operam no nível das plantas industriais,fornecendo a comunicação entre os dispositivos mais básicos (sensores, atuadores) e osdispositivos de alto nível (controladores lógico programáveis e computadores de super-visão). Quando comparada com as redes de computadores tradicionais, as redes de chão-de-fábrica apresentam diferenças principalmente associadas aos dados transmitidos, pa-drão de tráfego, confiabilidade das aplicações e exigências rígidas de tempo real [Gungor& Lambert 2006].

Em um ambiente tipicamente industrial, as informações a serem monitoradas estãorelacionadas com o estado dos equipamentos (ligado, desligado, ocioso, bloqueado),alarmes e variáveis de processos. Em geral, essas informações são transmitidas por pa-

2 CAPÍTULO 1. INTRODUÇÃO

cotes de dados cujo tamanho é inferior a 100 bytes, enquanto que as taxas de transmissãosão limitadas a algumas centenas de kilobits por segundo [Zurawski 2005]. Por outrolado, em uma rede local de propósito geral, os pacotes de dados são superiores a 100bytes e as taxas de transmissão podem chegar a 10 Gbps [Lin et al. 2009]. Em relaçãoaos intervalos de transmissão, em uma aplicação industrial é comum os dispositivos se-rem configurados com intervalos de 1-4s (aplicações de controle de processos) a algunsminutos (aplicações de monitoramento). Em geral, os intervalos de transmissão têm taxaconstante com exceção dos alarmes, que dependem de variáveis estocásticas. Finalmente,a confiabilidade fim-a-fim é um dos principais itens a ser considerado pelas aplicaçõesindustriais. De modo geral, a comunicação entre os dispositivos de chão-de-fábrica eas aplicações de gerenciamento deve atender requisitos rígidos de confiabilidade e de-terminismo [Sauter et al. 2011]. Em uma rede de computador tradicional, requisitos deconfiabilidade e tempo real são mais relaxados quando comparado com as exigências dasaplicações industriais [Vitturi et al. 2013]. Outra característica antagônica está relacio-nada com o período no qual as instalações dessas redes são válidas. Em uma rede dechão-de-fábrica é esperado que sua estrutura seja utilizada por um período de pelo menosaté 10 anos, enquanto que em uma rede tradicional esse período é de aproximadamente 3anos [Sauter 2010].

A diferença entre as redes de chão-de-fábrica e as redes tradicionais são motivadasprincipalmente pela limitação das tecnologias utilizadas e dos requisitos das aplicações.Entretanto, o avanço tecnológico tem criado uma estrutura adequada para estender asredes originalmente projetadas para serem instaladas em escritórios (Ethernet e soluçõessem fio) em ambientes industriais. Para compreender melhor esse contexto é necessárioobservar toda a evolução das redes de chão-de-fábrica, desde as tecnologias mais primiti-vas até a utilização das redes sem fio. A Figura 1.1 é um exemplo de tal abordagem, ondeas diferentes tecnologias de comunicação para redes de chão-de-fábrica são organizadascronologicamente de acordo com essa evolução.

1.1.1 Primeiras tecnologias

Embora a origem das redes de chão-de-fábrica datam de 30 anos atrás, os conceitospor trás dessas redes são muito mais antigos e remontam às redes Telex e às primeirastecnologias usadas nas redes de telecomunicações (V.21 e X.21) [Sauter 2005]. A evolu-ção dos microprocessadores permitiram que esses sistemas migrassem de uma arquiteturaanalógica para uma arquitetura digital, tornando-se possível o desenvolvimento de tecno-logias com maiores taxas de transmissão. As redes de chão-de-fábrica foram criadas com

1.1. REDES INDUSTRIAIS SEM FIO 3

Red

esde

Chao-d

e-F

abri

caR

edes

Tra

dic

ionais

MIL 1553

Telex

V.21

X.21

Primeiras tecnologias

Arpanet

Ethernet

OSI/ISO

Modbus

HART

CAN

P-NET

Interbus

Profibus

FIP

MAP MMS

Internet

Sercos

ASiFF

WorldFip

DeviceNet

ControlNet

WLANBluetooth

Wimax

Ethernet/IP

Modbus RTPS

Profinet IRT

EtherCat

EPL

EPA

Sercos III

802.15.4 802.15.5

ZigBee

UWB

WirelessHART

ISA100.11a

IEC 62601

Era do barramento Ethernet Industrial Tecnologias sem fio

1970 1980 1990 2000 2010

Figura 1.1: Evolução das redes de chão-de-fábrica [Sauter 2010].

a finalidade de disponibilizar as informações presentes no mais baixo nível das plantasindustriais para toda a companhia. Essa demanda resultou em um modelo hierárquicorepresentado pela pirâmide da automação, como descrito na Figura 1.2. Nesse modelo,as camadas inferiores são interligadas pelas redes de chão-de-fábrica, enquanto que ascamadas superiores estão sob influência das redes corporativas. A comunicação entre asredes de chão-de-fábrica e as redes corporativas são geralmente realizadas nas camadasintermediárias através de dispositivos específicos para essa finalidade.

Durante as décadas de 80 e 90, diversas soluções proprietárias para redes de chão-de-fábrica foram desenvolvidas. Essas soluções eram dedicadas a aplicações específicase redes de diferentes fabricantes eram incompatíveis. A maioria dessas soluções pro-prietárias desaparecem devido à inviabilidade econômica de manter um protocolo muitoespecializado para um nicho específico de aplicações [Thomesse 2005]. Motivado portal contexto, surgiu a necessidade de uma padronização internacional das redes de chão-de-fábrica. Se analisarmos a evolução dessas redes do ponto de vista da padronização,é possível perceber a influência direta do modelo OSI/ISO (Interconexão de SistemasAbertos/Organização Internacional para Padronização). Esse modelo serviu de base paraque protocolos fossem desenvolvidos com a finalidade de comunicar redes de diferentesfabricantes. Um dos primeiros protocolos desenvolvidos foram o MAP e Mini-MAP.Entretanto, a complexidade de implementação inviabilizou a sua utilização em larga es-cala [Schutz 1988].


SensoresAtuadores

CLPControladores

Sistemas Supervisorios

MES

ERP

I

II

III

IV

V

Redes de Chao-de-Fabrica

Redes Corporativas

Figura 1.2: Pirâmide da automação - modelo hierárquico representando os diversos níveisda automação industrial.

No geral, a tentativa de criar um protocolo universal para as redes de chão-de-fábricafracassou. Essa busca tecnológica durou aproximadamente 16 anos (1986-2002) [Felser& Sauter 2002]. As tentativas para padronizar uma solução universal tornaram-se maisuma questão política, onde cada país desejava garantir sua solução como a universal, doque uma discussão técnica. Inicialmente, França (FIP) e Alemanha (PROFIBUS) dispu-taram a escolha da solução universal para as redes de chão-de-fábrica. Obviamente, cadapaís defendia sua própria solução. Entretanto, o FIP e o PROFIBUS propuseram padrõesque se complementavam. O primeiro utilizava uma solução centralizada, enquanto queo segundo propôs uma solução distribuída. Algumas tentativas foram feitas com o obje-tivo de incrementar o PROFIBUS com as funcionalidades propostas pelo FIP e vice-versa(ISP, WorldFIP). Em 1995, diversas empresas, na sua grande maioria empresas america-nas, decidiram não esperar por uma solução universal oriunda da combinação entre o FIPe PROFIBUS, criando a definição de um novo protocolo, o Foundation Fieldbus. Naquelemomento, os países europeus que detinham tecnologias nacionais para redes de chão-de-fábrica estavam receosos que suas soluções não pudessem se tornar padrões universais.Do ponto de vista econômico não era viável desenvolver um novo protocolo “do zero” quenão fosse compatível com as respectivas soluções nacionais. Dessa forma, o Comitê Eu-ropeu de Normalização Eletrotécnica (CENELEC) compilou todos os padrões nacionaiseuropeus para um único documento, onde cada padrão é visualizado com uma parte iso-lada ou um sistema independente. Em paralelo, a Comissão Eletrotécnica Internacional(IEC) através da Foundation Fieldbus criou sua própria especificação. A coexistência dopadrão europeu com a especificação do IEC criou um cenário conhecido como a “guerra


das redes de chão-de-fábrica”. No final, o objetivo de criar um protocolo universal paraas redes de chão-de-fábrica foi abandonado com o surgimento dos padrões IEC 61158e IEC 61784, os quais acomodavam todos protocolos de redes de chão-de-fábrica exis-tentes [Felser 2002]. É importante lembrar que nessa época todos os referidos protocolosusavam cabos como meio de transmissão.

1.1.2 Ethernet industrial

Baseado na pirâmide da automação, descrita na Figura 1.2, verifica-se que os dispo-sitivos de chão-de-fábrica (sensores e atuadores) e as aplicações de alto nível são interli-gados por diferentes redes. Se um mesmo tipo de rede fosse utilizado para essa finalidadea pirâmide da automação seria muito mais simples, eliminando a necessidade de equi-pamentos adicionais (pontes) para converter diferentes protocolos. Uma escolha naturalpara simplificar a comunicação dos equipamentos seria utilizar a própria rede corporativada companhia. O motivo dessa solução é decorrente do fato que as redes corporativas jáestão conectadas com as aplicações de alto nível, dessa forma o acesso as informaçõesde chão-de-fábrica poderia ser realizado de uma maneira mais flexível. Adicionalmente,as redes corporativas, que por sua vez são baseadas no protocolo Ethernet, já alcança-ram um nível de maturidade considerável em relação à confiabilidade dos equipamentosdesenvolvidos. Em aplicações industriais a confiabilidade é uma exigência fundamental,haja visto que falhas nos equipamentos podem provocar danos ao meio ambiente e exporoperadores a situações de risco [Rahimi et al. 2011]. Também é conhecido que as taxasde transmissão dos protocolos baseados no Ethernet são bastante superiores às das redesde chão-de-fábrica descritas anteriormente.

O padrão Ethernet, desde sua criação, tem atraído potencial interesse de pesquisadorescom o objetivo de adaptar o referido protocolo para ambientes industriais [Potter 1999,Montague 2001, Vitturi 2001, Felser & Sauter 2004, Urli & Murgia 2011]. No início,ainda na década de 80, as empresas tinham uma certa resistência em adotar o Ether-

net em suas aplicações industriais devido ao protocolo não apresentar características detempo real. A saber, se duas estações estão esperando uma terceira estação liberar o meiode transmissão, é impossível estimar de forma determinística qual estação irá transmitir.Uma contribuição para mudar esse cenário ocorreu em 1997, quando o Ethernet Full Du-

plex foi criado [IEEE-802.3x 1997]. A padronização do Ethernet Full Duplex permitiua criação de um novo equipamento, o Switch Ethernet. Esse equipamento eliminou ascolisões na rede e trouxe benefícios para inserção do Ethernet em ambientes industriais.Mesmo assim, o determinismo ainda não podia ser encontrado e pacotes poderiam ser per-


didos (sobrecarga na rede provoca o estouro da fila de transmissão). Diversas alteraçõesno padrão Ethernet foram propostas com o objetivo de prover requisitos de tempo real.Algumas soluções garantem o determinismo na presença de dispositivos puros, ou seja,que não sofreram modificações do protocolo. Outras, garantem o determinismo se apenasdispositivos modificados são utilizados. Entretanto, essas soluções assumem que erros natransmissão dos dados não ocorrem. Caso haja erros, apenas garantias probabilísticas detempo real podem ser fornecidas [Decotignie 2005].

A realidade atual da Ethernet industrial está voltada aos protocolos especificadosno IEC 61158. Basicamente, houve apenas adaptações dos protocolos criados durantea “guerra das redes de chão-de-fábrica” na tentativa de garantir determinismo. Muitosdesses protocolos não modificaram o padrão Ethernet, dessa forma, fornecendo pratica-mente nenhuma garantia de determinismo. Nesse grupo, podemos destacar o Ethernet/IP,MODBUS RTPS, PROFINET CBA e o PROFINET IO CC-A. Por outro lado, alguns pro-tocolos buscaram soluções baseadas na modificação do padrão Ethernet. Basicamente,essas soluções adicionam um novo controle de acesso ao meio (MAC) ao padrão. Nessegrupo, encontram-se os seguintes protocolos: EPL, EPA, VNET-IP, PROFINET IRT, TC-net, P-NET on IP, EtherCAT, SERCOS III. Entretanto, algumas limitações precisam serdescritas, por exemplo, os protocolos EPL, EPA, VNET-IP não garantem determinismona presença de erros e tampouco coexistir com dispositivos Ethernet puros. Os protocolosP-Net on IP e TCnet apesar de utilizarem um mecanismo robusto contra erros, são limi-tados para cenários com dispositivos “não-puros”. Os protocolos EtherCAT e SERCOSIII são mais robustos que os anteriores em relação a garantias de determinismo, porém,se forem conectados a dispositivos Ethernet puros o determinismo não é mais garantido.Diferentemente dos demais protocolos, o PROFINET IRT mantém as garantias de deter-minismo na presença de dispositivos Ethernet puros, porém, depende da existência de umswitch especial [Decotignie 2009].

1.1.3 A evolução natural - eliminação do cabeamento

O surgimento das tecnologias de redes industriais sem fio foi uma evolução naturaldas primeiras tecnologias de comunicação industrial desenvolvidas, que usavam caboscomo meio de transmissão. A proposta de eliminar o cabeamento e utilizar um novoparadigma na transmissão dos dados em ambientes industriais não é recente, por exemplo,Lessard & Gerla (1988) desenvolveram um dos primeiros trabalhos nessa área na tentativade comunicar dispositivos industriais por infravermelho. Entretanto, apenas nos últimosanos a demanda por tecnologias sem fio na industrial tem se intensificado.


O uso de tecnologias de comunicação sem fio em ambientes industriais sempre foivisto com grande ceticismo por parte das companhias. Esse cenário foi criado principal-mente pela baixa confiabilidade do canal de comunicação, haja visto que os equipamentossão instalados em áreas sujeitas à influência de agentes externos (ruídos, interferências,clima adverso, obstáculos naturais), que podem provocar erros em taxas superiores aosdas tecnologias cabeadas [Bai & Atiquzzaman 2003]. Outros erros no canal de comu-nicação são decorrentes da atenuação do sinal (motivada principalmente pela perda depotência devido à distância entre o emissor e receptor) e do fenômeno de múltiplos camin-hos (devido à reflexão, difração e dispersão do sinal transmitido, múltiplas cópias do dadopodem sofrer interferência construtiva ou destrutiva na recepção). Em geral, erros em co-municações sem fio são transientes, ou seja, o canal de comunicação fica ruim por umtempo e depois volta à normalidade. Willig et al. (2002) realizou um estudo sobre o IEEE802.11 em ambientes industriais onde foi comprovado a presença de erros transientes nosenlaces de comunicação. Esse estudo mostrou que os erros transientes ocorrem tipica-mente em rajadas, afetando várias transmissões simultâneas. Feng et al. (2010) realizouexperimentos em ambientes industriais onde também pode-se constatar a influência deruídos transientes nos canais de comunicação sem fio. Outra análise sobre a influênciados erros transientes em comunicações sem fio foi realizado em [Cheffena 2012]. Os au-tores estudaram a influência da interferência em rajada para as comunicações realizadasem ambientes industriais. Foi verificado que tal fenômeno pode afetar a confiabilidadedas aplicações. Por outro lado, em tecnologias cabeadas o erro mais frequente é o per-manente, devido a falhas nos cabos, conectores ou outros componentes. Leitura adicionalsobre falhas permanentes em tecnologias cabeadas pode ser encontrada em [Belden 2009].

Um segundo ponto a ser levado em consideração na inserção de tecnologias de co-municação sem fio em ambientes industriais está relacionado com a natureza do meio depropagação. Como o sinal de comunicação é transmitido pelo ar, qualquer dispositivo derede que esteja no alcance do rádio conseguirá captar o sinal. Assim, torna-se fundamen-tal a utilização de um nível elevado de segurança na tentativa de evitar o acesso indevidoa informações sigilosas. No extremo, pessoas não autorizadas podem aproveitar da au-sência de segurança para injetar pacotes nocivos à rede com o intuito de realizar algumataque ou roubar informações [Chang & Chen 2012].

Outro desafio a ser observado está relacionado com a coexistência de diferentes tecno-logias no mesmo ambiente. Devido ao meio de transmissão das tecnologias de comunica-ção sem fio ser aberto, poderá existir situações onde tecnologias diferentes compartilhema mesma faixa de frequência. Assim, é importante que mesmo coexistindo num mesmoambiente, diferentes tecnologias possam operar sem que uma não interfira na outra. Essa


característica é fundamental para garantir o dinamismo das aplicações. Um estudo sobre aintrodução de rádios cognitivos em ambientes industriais para o mapeamento automáticoda coexistência entre tecnologias de comunicação sem fio foi desenvolvido por Shresthaet al. (2012). A utilização dos rádios cognitivos podem flexibilizar a resolução do pro-blema de coexistência de tecnologias. Uma técnica utilizada para medir a interferênciamútua entre tecnologias de comunicação sem fio que coexistem em um mesmo ambientefoi desenvolvida por Lo Bello & Toscano (2009). A técnica é indicada para pesquisa emcampo (site-survey). Outro trabalho interessante sobre a coexistência de tecnologias decomunicação sem fio foi desenvolvido por De Dominicis et al. (2009). Os autores criaramum simulador computacional onde a coexistência pode ser analisada.

Apesar de todos esses desafios, com a evolução das tecnologias de comunicação, no-vos mecanismos foram desenvolvidos para garantir a confiabilidade das redes sem fio(modulação e codificação, escalonamento determinístico, saltos de frequências e topolo-gias redundantes), tornando sua utilização acessível aos ambientes industriais [Gungor &Hancke 2009, Han et al. 2011].

Uma vantagem imediata em utilizar uma tecnologia de comunicação sem fio para am-bientes industriais está na eliminação do cabeamento. Segundo Colpo & Mols (2011), ouso de equipamentos sem fio podem reduzir os custos de instalação entre 50-90%, quandocomparados com cenários onde dispositivos cabeados são utilizados. Outros benefíciosdas tecnologias sem fio podem ser melhor observados quando descritos no contexto dasaplicações industriais. A Tabela 1.1 resume alguns desses benefícios.

Tabela 1.1: Exemplos de possíveis vantagens em se adotar soluções de comunicação semfio para aplicações industriais quando comparadas com soluções tradicionais (cabeadas).


Aplicações Descrição Soluções Tradicionais Vantagens

Vídeo vigilância

Resoluções regu-latórias exigem queas plantas industriaissejam monitoradasem tempo real,prevenindo o acessode pessoas a áreasnão autorizadas.

Cameras são posi-cionadas em locaisestratégicos, que emmuitos casos invia-bilizam a instalaçãoda infraestrutura decabeamento.

O monitoramentopode alcançaráreas onde o usode cabeamento élimitado [Costa &Guedes 2010].

Rastreamento depessoas

Em plantas indus-triais, cada opera-dor deve ser monito-rado. Zonas de segu-rança devem ser in-formadas em caso deemergência.

Mobilidade nãopode ser garantidacom soluções tra-dicionais, o custo éinviável.

A segurança dosoperadores é au-mentada [Emerson-PM 2009b].

Monitoramentode vagões tanque

Vagões são uti-lizados para otransporte de ma-teriais inflamáveis.Em operações demonitoramento,operadores sobemnos vagões paraverificar manual-mente a pressão outemperatura.

A instalação de ca-bos é inviável devidoao deslocamento dosvagões.

Permite o monitora-mento em tempo realdos vagões, evitandoa exposição de ope-radores em áreas derisco [Emerson-PM2008].

Continua na próxima página



Manutenção pre-ventiva

Durante a fabricaçãode chapas de aço, atemperatura dos ro-lamentos que trans-portam as chapas po-dem indicar possí-veis falhas. Este tipode falha pode parar aplanta em pelo me-nos 6 horas.

Soluções conven-cionais levam umtempo de comis-sionamento altohaja visto a com-plexidade da plantaindustrial.

Apresenta umrápido comissio-namento e manu-tenção [Emerson-PM 2012].

Monitoramentode dutos

O betume descarre-gado por navios pe-troleiros é transpor-tado por dutos atéas refinarias. O be-tume é sólido, po-rém para mantê-lofluido e passível deser transportado, osdutos são aquecidos.

Os custos relaciona-dos com a infraestru-tura e manutençãoinviabiliza o monito-ramento utilizando-se as tecnologias tra-dicionais.

Fácil instalação emanutenção. Apesarde utilizar uma típicatopologia em linha,redundância podeser utilizada paraaumentar a confiabi-lidade [Bhatt 2010].

Sistema deresfriamento

Várias plantasindustriais uti-lizam águas derios no sistemade resfriamento.Após o processode resfriamentoas águas devemretornar aos rios emuma determinadatemperatura.

A infraestrutura paralevar o cabeamentoaté o rio é proibitivado ponto de vista fi-nanceiro.

Elimina os gastoscom a infraes-trutura física e anecessidade devisitas regularesao rio. Os dadospodem ser moni-torados com maiorconfiabilidade edisponibilidade con-forme a legislaçãovigente [Emerson-PM 2009a].


1.2. MOTIVAÇÃO 11


Monitoramentoda produçãoem plataformasOffshore

Determinados poçosde petróleo precisammonitorar a pressãona cabeça do poçona tentativa de evitarperda de produção.

Na maioria doscasos, a cabeça dopoço está localizadoem uma área dedifícil acesso, sendobastante oneroso ecomplexo a instala-ção da infraestruturade cabeamento.

O monitoramentocontínuo da cabeçado poço permitiidentificar gargalosque antes não erapossível. O uso dedispositivos semfio maximiza oespaço físico alémde reduzir o peso daplataforma [Murray2010].

1.2 Motivação

Tradicionalmente, soluções baseadas em cabeamento estruturado são adotadas nosprojetos de comunicação das aplicações industriais. Entretanto, recentemente, a indústriatem demonstrado interesse em mover parte da infraestrutura de comunicação cabeadapara tecnologias de comunicação sem fio. O objetivo principal desse novo paradigma éreduzir os custos relacionados com instalação, peso (plataformas offshore), manutençãoe escalabilidade das aplicações, além de permitir o monitoramento de novos processosque antes era inviável com a tecnologia de comunicação tradicional. Outro benefício éa flexibilização de testes, os quais podem ser realizados mais rapidamente reduzindo oscustos operacionais (operadores, parada da planta, permanência em áreas de risco).

Aplicações industriais tipicamente apresentam requisitos rígidos de dependabilidade(confiabilidade e disponibilidade) [Sauter et al. 2011]. Tais exigências são ainda maisrígidas se considerarmos o uso de tecnologias de comunicação sem fio onde falhas nosequipamentos ou na comunicação dos dados podem conduzir tais aplicações a defeitosque resultam em perdas econômicas, danos ambientais e riscos humanos. Nesse contexto,nós podemos classificar as falhas como transientes ou permanentes [Seno et al. 2012]. Fa-lhas transientes geralmente afetam os enlaces de comunicação e são causadas por ruídoou interferência eletromagnética. Por outro lado, falhas permanentes afetam diretamenteo dispositivos da rede e têm suas origens em problemas de hardware. Após uma falha per-manente, para torna-se operacional novamente, um dispositivo precisa sofrer algum tipo


de manutenção. Excepcionalmente, falhas nos enlaces de comunicação também podemser consideradas permanentes, desde que essas tenham uma duração em escala muito su-perior que milissegundos [Willig et al. 2002]. Adicionalmente, falhas permanentes apre-sentam, tipicamente, um maior impacto para a operação das aplicações industriais do queas falhas transientes [Wolf 2001]. A consequência imediata de uma falha permanente éque as comunicações com os dispositivos afetados não são mais possíveis. No pior casovários dispositivos podem ficar isolados, como por exemplo no cenário em que um dispo-sitivo roteador apresente uma falha. Consequentemente, o algoritmo de controle é afetadoe pode conduzir a um defeito crítico.

Baseado no contexto descrito anteriormente, o uso de uma metodologia para avaliaros requisitos de dependabilidade (confiabilidade e disponibilidade) de uma rede indus-trial sem fio poderia antecipar importantes decisões ainda na fase de projeto. Exemplosde decisões poderiam ser a topologia da rede, criticalidade dos dispositivos, níveis de re-dundância e robustez. Dependendo da topologia a ser adotada, enlaces de comunicaçãoalternativos podem ser criados entre os dispositivos visando aumentar a confiabilidade darede. Adicionalmente, se uma análise de sensibilidade é suportada, dispositivos críticospodem ser previamente identificados e decisões sobre redundância podem ser tomadas.

Na Seção 3.5 são descritos os principais trabalhos relacionados com a avaliação dadependabilidade em redes industriais. Percebe-se que o desenvolvimento de uma metodo-logia de projeto visando a análise da confiabilidade e disponibilidade de redes industriaisgenéricas é considerado uma área de pesquisa aberta a soluções. As demandas de contri-buições estão relacionadas com metodologias que abordem condições de falhas flexíveis,topologias genéricas, falhas de hardware e de comunicação, defeitos em modo comum,redundância, além de análise de sensibilidade e criticalidade.

1.3 Objetivos

Considerando-se a iminente adoção em larga escala das tecnologias de comunica-ção sem fio em ambientes industriais vinculados a requisitos rígidos de confiabilidade edisponibilidade, a presente tese tem como objetivo principal o desenvolvimento de umametodologia para auxiliar a criação de redes industriais sem fio. Baseado nos requisitosdas aplicações, a metodologia proposta permiti a escolha da topologia a ser adotada, in-dicar os dispositivos mais críticos na rede e realizar análise de sensibilidade. A propostaé baseada no formalismo matemático de Árvores de Falhas (FT), considerando-se falhaspermanentes (hardware e enlace), defeitos em modo comum e redundância.

Como objetivo secundário, a metodologia proposta contribui para validar e auxiliar

1.4. CONTRIBUIÇÕES 13

o uso de tecnologias de comunicação sem fio em ambientes industriais. As análises deconfiabilidade e disponibilidade permitem aos projetistas verificarem ainda em tempo deprojeto se uma determinada rede suportará os requisitos exigidos.

1.4 Contribuições

A principal contribuição da tese é propor uma metodologia para avaliar a confiabili-dade e disponibilidade das redes industriais sem fio quando sujeitas a falhas permanentes(hardware e enlaces de comunicação). A proposta é baseada na Análise de Árvores deFalhas (FTA), uma técnica usada para obtenção da probabilidade de um estado ou eventonão desejado [Ericson 2005]. Neste caso, o evento não desejado está relacionado com odefeito de um dispositivo específico ou um grupo de dispositivos. Um dispositivo é consi-derado falho se ele sofreu um defeito permanente (hardware ou enlace de comunicação)ou se não existe pelo menos uma rota para o gerente da rede que inclua este dispositivo.Adicionalmente, como contribuições secundárias podemos citar a avaliação das melhorespráticas a serem utilizadas na criação de uma rede industrial sem fio e a adaptação de umalgoritmo originalmente aplicado à teoria de grafos para a geração dos cortes mínimos deuma Árvore de Falha, que viabiliza computacionalmente o emprego dessa técnica a redescom topologias e dimensões tipicamente encontradas em instalações industriais reais.

A proposta inclui vários aspectos, sendo flexível e adaptável para diferentes tipos decenários. Quando comparada com outras soluções encontradas na literatura, as principaisvantagens da metodologia proposta nesta tese são:

• Suporte para topologias genéricas: linha, estrela, cluster, mesh;• Condições de falhas na rede podem ser configuradas de uma maneira flexível, desde

um simples dispositivo até um grupo de dispositivos;• Processos de defeitos e reparos podem ser caracterizados usando diferentes tipos de

distribuições estatísticas;• Dispositivos da rede podem ser configurados com redundância (ativa);• Suporte a reconfigurações de topologias, devido a defeitos nos dispositivos (proto-

colos de roteamento resilientes);• Análise de defeitos em modo comum;• Falhas permanentes (hardware e enlaces de comunicação);• Possibilidade de obtenção de diferentes tipos de métricas para um mesmo modelo

(confiabilidade, disponibilidade, tempo médio entre falhas, medidas de criticali-dade).


Para complementar a proposta, foi desenvolvido uma ferramenta de software que au-tomaticamente avalia a confiabilidade e disponibilidade de uma rede industrial sem fio.A ferramenta automaticamente gera uma Árvore de Falha com os eventos mínimos queconduzem a condição de falha da rede. Em seguida, a árvore gerada é traduzida para umalinguagem acessível à ferramenta SHARPE (Symbolic Hierarchical Automated Reliability

and Performance Evaluator) [Trivedi & Sahner 2009], a qual é usada para obtenção dasmétricas avaliadas.

1.5 Organização da Tese

Neste primeiro capítulo foi apresentado uma introdução da respectiva tese. Foramdescritos o contexto, as motivações, os objetivos e as contribuições do trabalho. Adi-cionalmente, o documento é complementado por cinco outros capítulos, os quais sãobrevemente discutidos a seguir:

• Capítulo 2 apresenta as principais tecnologias de redes industriais sem fio. O obje-tivo é descrever as vantagens, as desvantagens e as comparações entre as diversassoluções. Essas informações são necessárias para a melhor compreensão da meto-dologia proposta.• Capítulo 3 sumariza minunciosamente a pesquisa atual do estado da arte sobre tole-

rância a falhas em redes industriais. O objetivo do capítulo é descrever os principaisconceitos teóricos utilizados na proposta além de comparar as soluções encontra-das na literatura, caracterizando-se assim como a fundamentação teórica da presentetese.• Capítulo 4 descreve a metodologia utilizada para avaliar a confiabilidade e disponi-

bilidade das redes industriais sem fio. O objetivo do capítulo é descrever a propostada respectiva tese.• Capítulo 5 discute diversos cenários onde a metodologia proposta foi avaliada,

caracterizando-se assim como validação e análise de resultados da tese.• Capítulo 6 finaliza o documento com as conclusões e os trabalhos que irão ser

desenvolvidos posteriormente.

Capítulo 2

Tecnologias de Redes Industriais SemFio

Durante a guerra das redes de chão-de-fábrica, diversas tecnologias surgiram comopadrão de facto (Modbus, Fieldbus Foundation, HART, entre outras). Todas essas tec-nologias eram baseadas em cabeamento estruturado e tinham como objetivo criar umprotocolo universal que atendesse toda a demanda da indústria. Apesar do surgimentodas tecnologias sem fio, o cenário não está sendo muito diferente. Uma variedade de tec-nologias coexistem e outras ainda estão por aparecer. Traçando um cenário conservador,dificilmente apenas uma única solução sem fio irá ser o padrão universal para indústria. Émais prudente pensar que várias soluções irão coexistir, cada qual com suas vantagens edesvantagens e seus nichos de aplicações específicos.

As soluções atuais para as redes industriais sem fio estão concentradas em dois gruposdistintos. O primeiro grupo está voltado para as redes WLAN (redes locais sem fio), cujasas tecnologias são variações do padrão IEEE 802.11. Por outro lado, o segundo grupo érepresentado pelas redes WPAN (redes pessoais sem fio), cujas soluções são variaçõesdesenvolvidas pelo grupo de trabalho IEEE 802.15 e outras comissões de padronizaçãocomo por exemplo o ISA (Sociedade Internacional de Automação) e o IEC (ComissãoEletrotécnica Internacional). Cada grupo tem suas peculiaridades, porém as redes WPANtem mostrado ser uma melhor solução quando analisada em ambientes industriais, comdestaque para os padrões WirelessHART, ISA100.11a e IEC 62601/WIA-PA, que foramcriados especificamente para este tipo de ambiente.

Uma visão geral dos principais padrões de comunicação sem fio utilizadas em am-bientes industriais é descrita na Figura 2.1. O referido capítulo não possui como objetivoa descrição de todos esses padrões, movendo o foco para aqueles criados intrinsecamentepara os ambientes industriais. Para uma análise global dos padrões recomenda-se a leituradas seguintes referências [Zand et al. 2012, Petersenand & Carlsen 2011].

16 CAPÍTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

Tecnologias SemFio (Industria)

WPANWireless-HART

ISA100.11a

IEC 62601

Zigbee

IEEE802.15.x

802.15.1

802.15.4

802.15.4e

802.15.5

802.15.3

WLAN

802.11x

802.11a

802.11b

802.11g

802.11e

802.11n

Figura 2.1: Tecnologias sem fio utilizadas em ambientes industriais.

2.1 WirelessHART

WirelessHART é um padrão de comunicação sem fio desenvolvido pela HART Comu-

nication Foundation (HCF) com o objetivo de transmitir mensagens HART sem a necessi-dade de utilizar os meios clássicos de transmissão (4-20 mA ou RS484). Um dispositivoWirelessHART implementa a mesma estrutura de comandos usadas por um dispositivoclássico HART RS484. As mesmas aplicações utilizadas no padrão HART são compatí-veis com o padrão WirelessHART.

O conceito por trás do padrão WirelessHART foi inicialmente discutido em 2004 du-rante o encontro anual da HCF. Naquela época, as principais questões abordadas estavamrelacionadas com a interoperabilidade de um novo padrão com os dispositivos legados(baseados no padrão HART). Estima-se que 24 milhões de equipamentos HART estãoinstalados ao redor do mundo e a demanda anual é de aproximadamente 2 milhões dedispositivos HART [HCF 2007].

Em setembro de 2008, a especificação WirelessHART (HART 7.1) foi aprovada publi-camente (PAS) pela Comissão Eletrotécnica Internacional (IEC 62591). WirelessHARTfoi a primeira tecnologia de comunicação sem fio a obter esse nível de reconhecimentointernacional [Song et al. 2008]. A versão final da especificação foi concluída no início

2.1. WIRELESSHART 17

de 2010 [IEC 2010].A especificação WirelessHART define 8 tipos de dispositivos como descrito na Fi-

gura 2.2: gerente da rede, gerente de segurança, gateway, ponto de acesso, dispositivo decampo, adaptador, roteador e dispositivo portátil. Todos os dispositivos são conectadospara a rede e implementam mecanismos para suportar a formação, manutenção, rotea-mento, segurança e confiabilidade da rede.

Dispositivo de

campo

Dispositivo

Portátil

Roteador

Adaptador

Gateway

Rede de Automação (TA)

Gerente da Rede e

Gerente de Segurança

Ponto de acesso

Figura 2.2: Dispositivos WirelessHART.

Os dispositivos de campo são os dispositivos WirelessHART mais básicos. Eles estãodiretamente conectados aos processos da planta industrial os quais transmitem, recebeme encaminham dados monitorados para outros dispositivos. Geralmente são alimentadospor baterias, entretanto, fontes permanentes de energia também podem ser configuradas.A compatibilidade com os dispositivos legados (HART) é garantida por meio de adapta-dores. Por questões de limitação, os adaptadores não estão ligados diretamente à plantaindustrial, entretanto eles suportam os mesmos mecanismos dos dispositivos de campo.Testes e configurações podem ser realizadas por dispositivos portáteis. Cada dispositivode campo possui uma porta de manutenção onde as configurações podem ser realizadas.Existem também a possibilidade de configurar os dispositivos de campo através de infra-


vermelho. Nesse caso, os dispositivos portáteis devem possuir essa tecnologia.

Roteadores são utilizados para o encaminhamento das mensagens. Teoricamente,uma rede WirelessHART não necessita de roteadores já que os dispositivos de camposão configurados automaticamente com mecanismos de roteamento. Entretanto, o usode roteadores pode criar caminhos redundantes para o Gateway além de evitar que dis-positivos de campo sejam usados para o roteamento das mensagens e consequentementemaximizando o consumo de energia. A conexão entre a rede de automação, onde as apli-cações de alto nível estão sendo executadas, e os dispositivos de campo é realizada peloGateway. Por outro lado, a comunicação física/lógica entre o Gateway e os dispositivosda rede ocorre através de pontos de acesso. A quantidade de pontos de acesso pode serconfigurada para aumentar a vazão de dados na rede como também a confiabilidade, jáque novos caminhos são criados entre os dispositivos e o Gateway.

O gerente de segurança é a entidade responsável por assegurar a segurança em todarede. Ele fornece chaves de comunicação para todos os dispositivos. Essas chaves sãousadas para autenticar o dispositivo e criptografar os dados transmitidos. O armazena-mento e distribuição das chaves também é responsabilidade do gerente de segurança.

O centro de uma rede WirelessHART é o gerente da rede. Ele é conectado logica-mente ao Gateway e gerencia toda a rede. A comunicação com os dispositivos é orien-tado a comandos. As responsabilidades do gerente da rede estão relacionadas com oescalonamento, gerenciamento da lista de dispositivos, roteamento, coletar informaçõesestatísticas sobre o desempenho, detecção de falhas e formação da rede.

A especificação WirelessHART utiliza uma arquitetura baseada na versão simplificadado modelo OSI com apenas 5 camadas. A Figura 2.3 descreve uma visão geral da arqui-tetura presente na especificação WirelessHART. Nas próximas seções serão descritos asprincipais características de cada camada.

2.1.1 Camada física

A camada física da especificação WirelessHART é baseada no padrão IEEE 802.15.4.Dessa forma, um rádio WirelessHART apresenta as mesmas taxas de transmissão, técni-cas de modulação e alcance de um rádio IEEE 802.15.4 com a limitação que apenas 15canais (11 - 25) são utilizados. O canal 26 não é utilizado na especificação WirelessHARTpor questões regulatórias de alguns países.

Outra ressalva a ser feita está relacionada com o mecanismo que avalia a presença daportadora (CCA). A camada física da especificação WirelessHART identifica que o meioestá ocupado se receber algum sinal cuja técnica de modulação e espalhamento espectral


Camada Física

Camada de Enlace

Camada de Rede

Camada de Transporte

Camada de Aplicação

Rádios IEEE 802.15.4 – 2.4 GHz – 25m/600m – 0 dBm/10 dBm Tx

Saltos de frequência (1 tipo) - TDMA - slots (10ms) - lista negra de canais

Topologia mesh - auto-reparo – roteamento em grafo e origem

Transações com ou sem reconhecimento

Orientada a comandos (HART) - Fragmentação/remontagem dos dados

Figura 2.3: Camadas da arquitetura presente na especificação WirelessHART.

é compatível com o IEEE 802.15.4 (CCA modo 2). Note que nesse caso não importaa energia do sinal recebido, é apenas necessário apresentar algumas propriedades paraidentificar que o canal está ocupado.

Em relação ao alcance do rádio, a especificação WirelessHART suporta distânciasde até 100 metros. Entretanto, a especificação não limita alcances maiores. Algumasimplementações comerciais [Dust-Network 2010] utilizam um amplificador de potênciaproporcionando alcances de até 300 metros. Apesar disso, o uso desses amplificadoresde potência aumentam o consumo de energia dos dispositivos em 3 vezes [Dust-Network2010]. A Tabela 2.1 descreve os alcances típicos de um rádio WirelessHART.

Tabela 2.1: Alcances típicos de um rádio WirelessHART.

Ambiente Potência (Tx) Alcance

Indoor 0 dBm 25 metros10 dBm 100 metros

Outdoor 0 dBm 200 metros10 dBm 300 metros

2.1.2 Camada de enlace

A camada de enlace definida na especificação WirelessHART fornece importantesmecanismos para o funcionamento da rede, dentre os quais podemos citar: comunica-


ção confiável salto a salto, sincronização, escalonamento, manutenção de dados sobre aestrutura da rede, segurança e QoS.

Uma das tarefas mais importantes da camada de enlace é definir o controle de acessoao meio e consequentemente o escalonamento dos pacotes a serem enviados. Na especi-ficação WirelessHART esse procedimento é realizado através de um acesso múltiplo pordivisão de tempo (TDMA) combinado com um mecanismo de saltos de frequência. NoTDMA, o tempo é dividido igualmente em janelas de 10ms chamadas slots de tempo.Cada transmissão entre dois dispositivos vizinhos na rede, incluindo o dado transmitido(origem) e o pacote de reconhecimento (vizinho), deverá ocorrer dentro de um slot de

tempo utilizando um dos 15 canais disponíveis. Teoricamente 15 dispositivos podemtransmitir ao mesmo tempo. Obviamente um dispositivo não pode transmitir e receberdados ao mesmo tempo, para que isso fosse possível o dispositivo deveria ser configuradocom duas ou mais antenas. A Figura 2.4 descreve os procedimentos internos utilizadospelos dispositivos (origem, destino) durante um slot de tempo. Percebe-se que do pontode vista do emissor os seguintes procedimentos são realizados: criar pacote, verificar seo meio está livre, trocar o estado do rádio de recepção para transmissão, enviar o pacote,alternar para o estado ocioso, esperar a recepção do pacote de reconhecimento e voltarao estado ocioso. De forma análoga, o receptor realiza os seguintes procedimentos: ativao estado ocioso, altera o estado do rádio para recepção, recebe o pacote enviado peloemissor, configura e envia o pacote de reconhecimento e por fim, ativa o estado ociosonovamente.

Can

ais

de

Co

mu

nic

ação

Superframe (20 slots de tempo)

111212141516171819202122232425

Slots utilizados Slot disponível

CCA

Tx RxIdle IdleConfig.

10ms

Origem

RxT

x

Idle Rx Config. Tx Idle

10ms

Destino

Slo

t d

e te

mp

o

...Superframe 1 Superframe 1 Superframe 1

Superframe 2 Superframe 2 ...

Figura 2.4: Mecanismos utilizados no controle de acesso ao meio da especificação Wire-lessHART: TDMA, saltos de frequência, slots de tempo e superframe.


Com o objetivo de minimizar a influência de interferências (ruídos) na rede e permitira coexistência com outros padrões (IEEE 802.11, Bluetooth, ZigBee), foi adicionado aoTDMA um mecanismo de saltos de frequência. Cada transmissão na rede utiliza umafrequência diferente (canal), diminuindo assim a probabilidade de escolher um canal rui-doso. Na Figura 2.4 é possível perceber o mecanismo de saltos de frequência para trêsfluxos de dados (slots de tempo preto, cinza escuro e cinza claro). A especificação Wi-relessHART opcionalmente fornece um mecanismo chamado lista negra (blacklist) ondeos canais mais ruidosos podem ser informados de modo que possam ser evitados pelosdispositivos. Ressalta-se que de acordo com a especificação WirelessHART atual, esseprocedimento deverá ser realizado manualmente no gerente da rede.

Outra estrutura bastante importante para a camada de enlace é o superframe. Essaestrutura é formada pela união de vários slots de tempo. A quantidade de slots utiliza-dos indica a periodicidade do superframe. Na Figura 2.4 é descrito um superframe comperíodo de 200 ms (20 slots). Para cada intervalo de comunicação (definido a nível deaplicação) utiliza-se um superframe com período igual ao intervalo de comunicação.

A especificação WirelessHART tem como objetivo criar um controle de acesso aomeio determinístico e livre de colisões. Dessa forma, cada slot de tempo é dedicadoapenas para dois dispositivos, o emissor e o receptor. Por questões de otimização, nosprocedimentos de entrada na rede e opcionalmente nas retransmissões, slots de tempocompartilhado podem ser utilizados. Nessa estrutura diversos dispositivos podem acessaro canal, cujo acesso é controlado de forma similar ao CAP do IEEE 802.15.4 (CSMA-CA).

Apesar de todas as características citadas anteriormente, o controle de acesso ao meioapenas funcionará corretamente se os dispositivos estiverem sincronizados. O procedi-mento para sincronizar todos os dispositivos é realizado em partes pelo gerente da rede epor dispositivos específicos. O gerente da rede atribui uma referência temporal (pode serqualquer dispositivos) para todo dispositivo na rede. Mensagens KEEP-ALIVE são envia-das por todos dispositivos como forma de atualizar a informação sobre os seus vizinhos.Se um dispositivo recebeu uma dessas mensagens e o emissor for sua referência temporal,então ele calcula a diferença entre o tempo exato e estimado da chegada da mensagem.Essa diferença de tempo é utilizada para a sincronização. Uma outra forma de sincroni-zação pode ser alcançada enviando a diferença temporal na carga útil das mensagens dereconhecimento (ACK).

Em relação a garantias de qualidade de serviço (QoS), a camada de enlace define 4prioridades conforme o tipo do pacote transmitido (comandos, dados, normal, alarme). Aprioridade mais baixa é atribuída aos alarmes. Esses eventos ao serem ativados podem


inundar toda a rede, dessa forma foram configurados com a mais baixa prioridade. Poroutro lado, a maior prioridade foi atribuída aos pacotes de comandos no intuito de ga-rantir que uma configuração seja atendida imediatamente. Adicionalmente ao mecanismode QoS, os dispositivos podem ser configurados para transmitir dados em rajadas. Esseprocedimento deve ser utilizado para maximizar a probabilidade de um dado alcançar oGateway. Na transmissão em rajadas os dispositivos transmitem continuamente até rece-berem um comando para interromper a transmissão. Os dispositivos também podem serconfigurados para iniciarem uma transmissão em rajada se o dado monitorado sofre umavariação brusca. Um procedimento similar já foi avaliado na literatura apresentando umaredução do consumo de energia nos dispositivos [Silva et al. 2008].

Por fim, a camada de enlace atua como um facilitador para a camada de rede namedida em que várias informações sobre a estrutura da rede são coletadas. Por exemplo,na camada de enlace os dispositivos são configurados para enviarem periodicamente aoGateway informações sobre seus vizinhos, quantidade de mensagens transmitidas comsucesso, qualidade dos links, nível da bateria, entre outras. Todas essas informações sãoutilizadas como base para a camada de rede.

As principais características presentes na camada de enlace da especificação Wireles-sHART são descritas na Tabela 2.2.

Tabela 2.2: Principais características presentes na camada de enlace da especificação Wi-relessHART.

Características Camada de Enlace (WirelessHART)

QoS4 níveis de prioridade: comandos,dados, normal e alarme

Transmissão em rajadaContínua ou baseada em mudançasbruscas de comportamento

MAC TDMA + saltos de frequênciaSlots 10 ms (dedicados ou compartilhados)Superframe Múltiplos tamanhosLista negra Opcional e manual

Sincronização

Referência temporal estabelecidana entrada da rede. MensagensKEEP-ALIVE e Ack são usada paramanutenção

Informações coletadasDispositivos vizinhos, qualidade dolink, estatística sobre os dadostransmitidos, nível da bateria

Pacote127 bytes (carga útil fornecida pelacamada física)


2.1.3 Camadas de rede e transporte

A camada de rede definida na especificação WirelessHART é o ponto de convergênciacom a especificação HART. As principais funções dessa camada estão relacionadas comroteamento, endereçamento e segurança fim-a-fim. Por outro lado, a camada de transportefoi definida de uma maneira mais simples que a camada de rede onde o objetivo principalé a transmissão dos dados com confiabilidade fim-a-fim.

Nessa seção será descrita uma das principais características da especificação Wireles-sHART: o roteamento resiliente. Uma rede WirelessHART tem suporte para topologiasmesh, com o objetivo de se poder criar caminhos redundantes entre os dispositivos e oGateway. Nesse sentido, a especificação WirelessHART define quatro tipos de rotea-mento: roteamento na origem, roteamento em grafo, roteamento baseado no superframee roteamento de proxy. Todos esses tipos de roteamento utilizam como base informaçõescoletadas pelos dispositivos e passadas para o gerente da rede. O roteamento é criado pelogerente da rede e os dispositivos apenas utilizam as configurações que lhe foram atribuí-das. A seguir serão descritos todas as variações de roteamento citadas anteriormente.

O roteamento na origem inclui no próprio pacote a ser transmitido toda a informaçãonecessária para o encaminhamento. Quando um dispositivo ao longo do caminho recebeo pacote, é necessário apenas consultar o próximo destino informado no próprio pacote.Então, o gerente da rede é responsável por criar o caminho entre o dispositivo e o Gate-way. Esse modo de roteamento é utilizado apenas para testes devido à sua baixa confia-bilidade, pois se um dispositivo ao longo do caminho falhar, o pacote será perdido. Essamesma técnica de roteamento foi utilizada pelo padrão ZigBee na tentativa de minimi-zar a sobrecarga na construção das tabelas de roteamento impostas pelo AODV [Zigbee-Alliance 2007].

Diferentemente da técnica anterior, o roteamento em grafo utiliza as vantagens datopologia mesh criando um mecanismo bastante resiliente. Ao invés de enviar todo oroteamento no pacote, utiliza-se apenas um identificador para uma estrutura de dadosem grafo. Consultando uma tabela é possível encontrar, entre várias opções, o melhordispositivo a ser usado como próximo destino do pacote. A criação dessa tabela é res-ponsabilidade do gerente da rede e a métrica utilizada para decidir qual vizinho escolhernão está especificada no padrão. Sempre que possível o gerente da rede configura cadatransmissão com pelo menos duas opções de roteamento (rota principal e secundária) como intuito de aumentar a confiabilidade na entrega da informação. Perceba que a decisãosobre qual vizinho escolher foi realizada pelo gerente da rede. Os dispositivos de camponão apresentam liberdade em escolher a melhor rota em tempo real. Essa é a razão pelo


qual os dispositivos de campo enviam periodicamente informações da rede para o gerente.Com tais informações o gerente da rede atualiza os enlaces de comunicação. Adicional-mente, o roteamento na origem e o roteamento em grafo podem ser usados paralelamenteno mesmo pacote com o intuito de reforçar a resiliência da rede.

O roteamento baseado em superframe é similar ao roteamento em grafo com a dife-rença que os links apenas podem utilizar um determinado superframe. Dessa forma, otrafego da rede pode ser isolado dependendo das exigências necessárias. Por outro lado,utilizar apenas um superframe limita a quantidade de links disponíveis.

O roteamento baseado em proxy é um caso particular do roteamento em grafo. Eleé utilizado pelos dispositivos quando estes estão entrando na rede. Enquanto um novodispositivo não obtém as chaves de segurança emitidas pelo gerente da rede, o rotea-mento baseado em proxy é utilizado. Nesse caso, os dispositivos que já estão na redesão configurados para enviarem mensagens ADVERTISE com o objetivo de convidar no-vos dispositivos. Nessas mensagens existe um atributo que representa o identificador doproxy. Os novos dispositivos utilizam então o roteamento em grafo cujo identificador é oatributo recebido nas mensagens ADVERTISE.

2.1.4 Camada de aplicação

A camada de aplicação tradicionalmente, de acordo com o modelo OSI, fornece umainterface de alto nível para os usuários poderem acessar informações da rede. Adicional-mente, na especificação WirelessHART a camada de aplicação também é responsável pelafragmentação dos dados além de herdar as características da tecnologia legada (HART),onde todos procedimentos são orientados a comandos. De acordo com a especificaçãoWirelessHART, os comandos são classificados em seis grupos conforme suas funcionali-dades:

• Comandos universais - definidos pelo IEC e devem ser compatíveis com todos dis-positivos WirelessHART e HART.• Comandos comumente utilizados - foram criados para facilitar a interoperabilidade

entre diferentes fabricantes e independem do tipo de dispositivo.• Comandos privados - utilizados apenas durante a fabricação. Não devem ser utili-

zados em produção.• Comandos sem fio - suportados apenas por dispositivos WirelessHART.• Comandos dos dispositivos - dependente do tipo de sensor utilizado.• Comandos específicos - definidos pelos fabricantes e específico para cada disposi-

tivo. Esses comandos estão fora do escopo da especificação HART, porém devem


estar em conformidade com a especificação.

Os comandos são transmitidos na carga útil da camada de aplicação. Cada comandopossui uma identificação única. O receptor de um pacote primeiramente consulta a iden-tificação do comando para poder extraí-lo. Esse procedimento é necessário devido aoscomandos apresentarem tamanhos diferentes.

2.1.5 Melhores práticas

Com o objetivo de guiar os projetistas a implementarem redes WirelessHART maisresilientes, a HCF desenvolveu um conjunto de boas práticas [HCF 2011]. Basicamente,as seguintes regras são sugeridas:

• Regra dos cinco: toda rede WirelessHART deverá possuir pelo menos cinco dis-positivos dentro do alcance do gateway. É esperado que a rede funcione nos casosem que esta regra não seja atendida, porém, de acordo com a HCF, os melhoresresultados de resiliência são obtidos quando o gateway apresenta pelo menos cincovizinhos.• Regra dos três: cada dispositivo de campo deverá ter pelos menos três vizinhos.

Esta regra é usada para garantir que cada dispositivo de campo apresente pelo menosdois caminhos para o gateway. Se um vizinho falhar, o terceiro vizinho será usadocomo rota de backup.• Regra dos 25%: quando a rede cresce, pelo menos 25% dos dispositivos devem

estar localizados dentro do alcance do gateway.

Importante destacar que a localização dos dispositivos WirelessHART é orientada aosrequisitos do processo industrial, e em muitos casos as regras descritas anteriormente sãodifíceis de obter. Portanto, em alguns cenários deve-se adicionar dispositivos na rede como único propósito de roteamento. Dessa forma a rede poderá atender as exigências dasmelhores práticas e consequentemente alcançar os requisitos de confiabilidade.

Considerações em relação ao contexto das aplicações industriais

As redes WirelessHART foram padronizadas com o objetivo de fornecer uma tecno-logia sem fio especifica para ambientes industriais aproveitando toda a experiência adqui-rida nas redes HART (cabeada). A especificação WirelessHART utiliza apenas a camadafísica do padrão IEEE 802.15.4 enquanto que minimiza os efeitos das interferências ao


utilizar um acesso ao meio baseado em TDMA e saltos de frequência. Topologias mesh

são configuradas no nível da camada de rede criando um protocolo bastante resiliente.Apesar de todas as vantagens citadas anteriormente, alguns pontos importantes ainda

estão abertos a discussão. A tecnologia per si ainda está muito recente, não existindo umaavaliação real de um conjunto de melhores práticas a ser seguida. A especificação nãoindica quais parâmetros utilizar em determinados cenários, tampouco qual melhor estra-tégia de escalonamento a ser seguida. Essas decisões ficam a critérios dos fabricantes queimplementam quaisquer procedimentos. Tradicionalmente, os dispositivos são vendidoscomo “caixas pretas”, onde o usuário não tem liberdade de configurar tais procedimentos.

Um outro problema a ser levado em consideração diz respeito à coexistência com ou-tras tecnologias. Se no mesmo ambiente for instalado três pontos de acesso IEEE 802.11a confiabilidade da rede deverá diminuir de forma significativa (aumento no número deperdas de pacotes). O mecanismo de lista negra poderia ser utilizado para minimizar esseproblema, entretanto sua configuração é pouco produtiva haja vista que é manual.

Por fim, a especificação WirelessHART descreve que é possível utilizar Gateways re-dundantes porém a maneira de implementar essa configuração não é descrita na norma. Autilização de Gateways redundantes é imprescindível para garantir altos níveis de confia-bilidade.

2.2 ISA100.11a

A Sociedade Internacional de Automação (ISA) aprovou em 2009 um novo padrãode comunicação sem fio voltado para aplicações industriais de monitoramento e controle.Esse padrão foi nomeado ISA100.11a. Após sua revisão final em 2011, foi iniciado aindano mesmo ano a tentativa de tornar o padrão publicamente disponível (PAS) na ComissãoEletrotécnica Internacional (IEC). O ISA100.11a tem um status IEC/PAS, porém, aindaestá na versão draft com a denominação IEC/PAS 62734. Existe a expectativa que oIEC/PAS 62734 tenha sua aprovação final no segundo semestre de 2012. Nesta tese, oISA100.11a e o IEC/PAS 62734 são tratados como um mesmo padrão [ISA100 2009,IEC-62734 2012].

Diferentemente do padrão WirelessHART, que foi concebido baseado nas exigênciasde uma padrão específico (HART), o padrão ISA100.11a foi criado baseado nas exigên-cias dos usuários finais. Um dos objetivos do padrão é fornecer uma comunicação sem fioconfiável e segura para as aplicações com latência de até 100ms. Essas aplicações são tí-picas de monitoramento e controle industriais. O padrão apresenta suporte a coexistênciade outras tecnologias de comunicação sem fio em um mesmo ambiente, como por exem-

2.2. ISA100.11A 27

plo: telefonia celular, IEEE 802.11x, IEEE 802.15x, IEEE 802.16x. Adicionalmente, foicriado um mecanismo de tunelamento onde diversos padrões industriais de comunicação(HART, WirelessHART, Foundation Fieldbus, Profibus, Modbus, entre outros) podem serutilizados de forma transparente em uma rede ISA100.11a.

Uma rede ISA100.11a típica é descrita na Figura 2.5. Todos os dispositivos na redesão caracterizados por regras bem definidas que controlam seus funcionamentos. Em ge-ral os dispositivos podem assumir as seguintes regras: gerente do sistema, gerente de segu-rança, gateway, roteador backbone, roteador, dispositivo I/O, dispositivo portátil, funçãode provisionamento e referência temporal.

Backb

on

e

Re

de

de

Au

tom

açãoGatewayGerente do Sistema


Sub-rede I

Sub-rede II

Roteador backbone

Roteador

Dispositivo I/O

Dispositivo portátil

P

T

P Função de provisionamento

Referência temporal

T

Figura 2.5: Uma típica rede ISA100.11a.

O dispositivo I/O é responsável por atuar ou monitorar as variáveis do ambiente. Deacordo com o padrão ISA100.11a, um dispositivo I/O não apresenta capacidade de ro-teamento. Essa limitação foi utilizada para minimizar o consumo de energia naquelesdispositivos. Um dispositivo I/O também pode ser portátil, nesse caso, sua operação élimtiada a testes, manutenção e configurações de outros dipositivos.

O roteamento na rede é realizado por dois dispositivos, o roteador e o roteador back-

bone. O primeiro atua como um proxy, encaminhando os dados em direção ao gateway eestendendo o alcance da rede. Ele também é responsável por propagar a noção de tempo


e comissionar novos dispositivos. Adicionalmente, o padrão ISA100.11a introduziu umnovo conceito, o roteador backbone. Esse dispositivo é responsável por um roteamento dealto nível na rede. Também pode ser utilizado para aumentar a vazão de tráfego na medidaque sub-redes são criadas. O tráfego entre backbones utiliza uma versão compactada doIPV6, o 6LoWPAN (IPV6 sobre redes pessoal de baixa potência), o qual é otimizada paraas redes de sensores sem fio [Neves & Rodrigues 2010]. O tunelamento, uma das prin-cipais características do padrão ISA100.11a, também é de responsailidade dos roteadoresbackbones.

Similarmente ao padrão WirelessHART, uma rede ISA100.11a é centralizada na ope-ração de três dispositivos: gateway, gerente de sistema e gerente de segurança. O gateway

é o dispositivo responsável por interligar as aplicações de alto nível, presentes na rede deautomação, para os dispositivos na rede sem fio. O gerente de segurança é responsávelpor manter as comunicações seguras, livre de acessos não autorizados. Ele também éresponsável pela manutenção e distribuição das chaves de segurança. Por fim, o gerentede sistema é o núcleo da rede, realizando todos os procedimentos necessários para que acomunicação entre os dispositivos possa ocorrer.

O padrão ISA100.11a utiliza uma arquitetura baseada em uma versão simplificada domodelo OSI, onde estão presente apenas 5 camadas. A Figura 2.6 descreve uma visãogeral da arquitetura presente no padrão ISA100.11a. Nas próximas seções serão descritosas principais características de cada camada.

Camada Física

Camada de Enlace

Camada de Rede

Camada de Transporte


Rádios IEEE 802.15.4 – 2.4 GHz – 50m/600m – 0 dBm/10 dBm Tx

Saltos de frequência (3 tipos) - TDMA - slots (10ms/12ms) - roteamento a nível da sub-rede - lista negra de canais

Fragmentação/remontagem de dados - roteamento de alto nível (backbone) – compatibilidade com 6LoWPAN -

Serviços sem conexão e sem reconhecimento – extensão do UDP sobre IPv6 com melhor integridade dos dados e segurança adicional

Orientada a objetos (encapsula dados e funcionalidades) – suporta o tunelamento de outros padrões de comunicação

Figura 2.6: Camadas da arquitetura presente no padrão ISA100.11a.

2.2. ISA100.11A 29

2.2.1 Camada física

Similarmente ao padrão WirelessHART, a camada física do padrão ISA100.11a é ba-seada no IEEE 802.15.4. As camadas físicas desses padrões são bastante similares, entre-tanto, o ISA100.11a adiciona algumas peculiaridades. O ISA100.11a permite a utilizaçãode 16 canais (11-26) apesar do canal 26 ser opcional. Diferentemente do padrão Wireles-sHART, um rádio ISA100.11a suporta todos os níveis de avaliação da portadora (CCA),inclusive, apresentando suporte para desabilitar a função se necessário. Em relação à fre-quência de transmissão, ambos ISA100.11a e WirelessHART utilizam apenas a faixa defrequência 2.4 GHz.

Em relação ao alcance do rádio, o padrão ISA100.11a não especifica nenhum parâ-metro. Devido à sua compatibilidade com o IEEE 802.15.4 é esperado alcances típicosde até 100 metros. Entretanto, testes realizados em ambientes abertos e com visada diretaobtiveram um alcance de até 600 metros (ganho extra da antena) [Yamamoto et al. 2010].Em ambientes fechados e densos (grande quantidade de materiais metálicos e típicos deambientes industriais) os testes citados anteriormente indicam um alcance máximo de até50 metros. Percebe-se que quanto maior o alcance do rádio maior será o consumo deenergia nos dispositivos.

Adicionalmente, o padrão ISA100.11a permite o controle da potência de transmissãocom o intuito de economizar energia. Porém nenhum algoritmo é especificado no padrão.Ambos ISA100.11a e WirelessHART devem limitar o alcance do rádio às leis regulamen-tadoras específicas, dessa forma, espera-se que esses padrões tenham rádios com alcancessimilares. Discussões sobre o tema extrapolam o objetivo desse documento (técnico) econvergem mais para questões comerciais.


A camada de enlace definida no padrão ISA100.11a tem como responsabilidade contro-lar o acesso dos dispositivos ao meio de transmissão. Essa é uma característica básica detoda camada de enlace baseada no modelo OSI. Entretanto, o padrão ISA100.11a difereum pouco dos modelos clássicos de arquiteturas de redes pois define roteamento no nívelda camada de enlace.

Basicamente, a camada de enlace é dividida em 3 subcamadas: MAC, extensão daMAC e uma subcamada de alto nível. A subcamada MAC é um subconjunto do IEEE802.15.4, enquanto que a extensão da MAC adiciona novas características relacionadascom o CSMA-CA, TDMA e saltos de frequência. A subcamada de alto nível é responsá-vel por realizar o roteamento a nível da camada de enlace.


Na visão da camada de enlace, os dispositivos estão organizados em uma ou váriassub-redes. Dentro de cada sub-rede os dispositivos são sincronizados. A comunicaçãoocorre utilizando slots de tempo, superframes, links e grafos. O gerente do sistema éresponsável por configurar todos os dispositivos na rede com essas estruturas (tabelas).

O controle de acesso ao meio é baseado em um TDMA configurado com um meca-nismo de saltos de frequência. Diferentemente do padrão WirelessHART, onde apenas umperfil de saltos de frequência é suportado, no padrão ISA100.11a são definidos 3 perfisde saltos de frequência (slotted, lento, híbrido) conforme descritos na Figura 2.7. No pri-meiro perfil, cada comunicação ocorre em uma frequência diferente seguindo 5 padrõespré-definidos. O ordem dos canais a ser seguida foi definida com a finalidade de otimizara coexistência com redes IEEE 802.11 e WirelessHART. Existe também a possibilidadede configurar os dispositivos para escolherem os canais de comunicação seguindo uma se-quência específica. Por outro lado, no perfil de saltos de frequência lento, os dispositivosmodificam o canal de comunicação apenas em intervalos específicos (100ms a 400ms).Esse mecanismo é utilizado por dispositivos que perderam a sincronização com a rede ouestão sendo comissionados pelo gateway. Por questões de coexistência com outros pa-drões, recomenda-se utilizar os canais 15, 20 e 25 no perfil de saltos de frequência lento.A desvantagem desse perfil está relacionada com o aumento no consumo de energia. Du-rante o período em que um canal de comunicação é utilizado, os dispositivos precisammanter seus rádios ligados. Por fim, um perfil de saltos de frequência híbrido utilizandoambas características dos perfis anteriores pode ser utilizado para otimizar o envio dealarmes e retransmissões.

Independente do perfil de saltos de frequência utilizado, a comunicação entre os di-positivos ocorre dentro de um slot de tempo com duração de 10 ms ou 12 ms1. Dife-rentemente do padrão WirelessHART, o slot de tempo estendido (12 ms) foi adicionadoao padrão ISA100.11a para suportar a recepção em sequência de múltiplas mensagensde reconhecimento (duocast), priorização de mensagens (CCA é postergado para men-sagens de pouca prioridade) e permitir a comunicação entre dispositivos cuja referênciatemporal esteja atrasada em até 2 ms. Adicionalmente, os slots de tempo ainda podemser classificados em dedicados e compartilhados. Os slots dedicados são usados para ascomunicações livres de contenção (unicast e duocast), enquanto que os slots compartil-hados são usados para as comunicações com contenção (difusão e retransmissões). Nosslots compartilhados o acesso ao meio é alcançado utilizando um algoritmo de backoff

exponencial semelhante ao mecanismo de acesso ao meio CSMA-CA.

1Todos os dispositivos na rede devem estar sincronizados. Alguns dispositivos são configurados pelogerente do sistema para propagar a noção de tempo em mensagens advertise e de reconhecimento

2.2. ISA100.11A 31

Can

ais

(11

-25

)C

anai

s (1

1-2

5)

Can

ais

(11

-25

)

Tempo

Tempo

Tempo

Saltos de frequência slotted

Saltos de frequência lento

Saltos de frequência híbrido

Figura 2.7: Diferentes perfis de saltos de frequência suportados pelo padrão ISA100.11a.

Os slots de tempo são posicionados em sequência formando a estrutura do superframe.Com o objetivo de minimizar a complexidade da camada de enlace, um superframe apenassuporta slots de mesmo tamanho. Apesar dessa limitação é possível utilizar superframes

simultâneos com tamanhos de slots específicos. Para manter a sincronização na rede,todos os superframes são alinhados em intervalos de 250 ms.

A organização dos superframes tem papel importante no escalonamento e consequen-temente no roteamento da rede. O padrão ISA100.11a define roteamento no nível dacamada de enlace. O roteamento é construído pelo gerente do sistema através de men-sagens enviadas periodicamente por todos os dispositivos na rede. De forma similar aopadrão WirelessHART, são definidos o roteamento em grafo e origem. A diferença estáno fato que o padrão ISA100.11a organiza a rede (camada de enlace) em sub-redes.

O padrão não generaliza os mecanismos internos dos dispositivos (acesso a memória,interrupção de hardware, etc), entretanto, no nível de camada de enlace as mensagens re-


ferentes a roteamento são controladas por uma fila priorizada de 15 níveis. O gerente dosistema é responsável por configurar as filas em cada dispositivo. Apesar do mecanismode priorização ser válido apenas nos roteadores, ele pode ser utilizado na garantia da qua-lidade de serviços. Ao receber uma nova mensagem, um dispositivo pode enviar de voltapara o emissor um reconhecimento negativo (NACK) se o limite de sua fila de recepçãopara prioridade daquela mensagem foi alcançada.

As principais características presentes na camada de enlace do padrão ISA100.11a sãodescritas na Tabela 2.3.

Tabela 2.3: Principais características presentes na camada de enlace do padrãoISA100.11a.

Características Camada de Enlace (ISA100.11a)

Sub-redes MúltiplasSaltos de frequência Slotted, lento e híbridoMAC TDMA + saltos de frequência

Slots10 ms ou 12 ms (dedicados ou compartil-hados)

Slots estendido (12 ms)Recepção de múltiplas mensagens ackPriorização de mensagensComunicação entre dispositivos atrasadosem até 2 ms

SuperframeMúltiplos tamanhos e alinhados a cada250 ms

Lista negra Manual

SincronizaçãoReferência temporal estabelecida na en-trada da rede. Mensagens Advertise e Acksão usada para manutenção

Tipos de comunicação Unicast, duocast e difusãoControle de fluxo Mensagens NACKRoteamento Grafo e origem

Pacote127 bytes (carga útil fornecida pela ca-mada física)

2.2.3 Camadas de rede e transporte

A camada de rede tem como objetivo principal prover o mecanismo de roteamento nonível dos backbones. No nível da camada de enlace, o roteamento é limitado as sub-redes.Por outro lado, quando uma mensagem alcança um roteador backbone, o roteamento apartir daquele ponto é de responsabilidade da camada de rede.

2.2. ISA100.11A 33

Em relação ao endereçamento dos dispositivos, no nível da camada de enlace cadadispositivo utiliza um endereço de 16 bits, enquanto que no nível da camada de rede oendereçamento é de 128 bits (6LoWPAN). A camada de rede é responsável por traduziros endereços de 16 bits para os endereços de 128 bits.

Outra funcionalidade da camada de rede é a fragmentação de dados. Caso uma men-sagem tenha um tamanho superior a carga útil da camada de enlace o dispositivo é pro-gramado para fragmentar a mensagem em partes menores.

Em relação à camada de transporte, as principais funções suportadas estão relaciona-das com a comunicação fim-a-fim baseada em serviços sem conexão. Esses serviços sãouma extensão do UPD sobre o 6LoWPAN [Petersen & Carlsen 2011].


A camada de aplicação definida no padrão ISA100.11a é estruturada na orientaçãode objetos. Nesse paradigma, um dispositivo real, por exemplo uma entrada analógica,é modelado em um objeto de software. A camada de aplicação é responsável pela co-municação objeto-a-objeto definindo os modos de iteração e interoperabilidade com tec-nologias legadas. A forma como a camada de aplicação foi definida permite a utilizaçãode tunelamento, onde aplicações legadas (HART, Foundation Fieldbus, Profbus) podemacessar os dispositivos de uma rede ISA100.11a.

Outra funcionalidade importante definida na camada de aplicação está relacionadacom o envio de anormalidades na rede. Os dispositivos podem ser configurados paraenviarem alertas caso um determinado evento ocorra.

Basicamente, a camada de aplicação cria um “contrato” com todos os dispositivosna rede na tentativa de fornecer escalonamento, latência limitada e envio periódico demensagens. A troca de informações pode seguir um modelo produtor/consumidor oucliente/servidor.


O padrão ISA100.11a foi projetado para prover comunicações sem fio adaptadas aosambientes industriais. Desde sua origem, o padrão ISA100.11a foi baseado nas exigên-cias dos usuários das aplicações industriais. O padrão tem como meta principal a confia-bilidade, a qual é alcançada utilizando-se mecanismos de redundância temporal (mesmodado é enviado múltiplas vezes), saltos de frequência (3 perfis) e redundância estrutural(gateway pode utilizar dispositivos de backup).


Em relação ao alcance do rádio, o padrão não especifica nenhuma limitação. Essapropriedade irá depender das implementações dos fabricantes. Obviamente a potência daantena deve ser limitada a algumas dezenas de mW devido os dispositivos serem alimen-tados com baterias.

O suporte a comunicações duocast, implementado no padrão ISA100.11a, cria ummecanismo interessante para o aumento da confiabilidade na rede. Nessa forma de co-municação, um dispositivo envia um dado ao mesmo tempo para dois dispositivos nomesmo slot de tempo. O emissor da mensagem também deve receber duas mensagens dereconhecimento em sequência. Entretanto, esse procedimento apenas é possível entre umdispositivo de campo e dois roteadores backbones. Para suportar esse procedimento, opadrão ISA100.11a utiliza um slot de tempo estendido (12 ms). Esse mesmo tipo de slot

pode ser usado para criar pacotes com prioridades diferentes na rede.

Uma outra característica importante adicionada no padrão ISA100.11a foi o tunela-mento de tecnologias legadas. Com esse mecanismo, aplicações como HART, FoundationFieldbus e Profibus podem acessar os dispositivos na rede de forma transparente. Adicio-nalmente, uma rede ISA100.11a pode criar sub-redes na tentativa de segmentar o tráfegoe garantir requisitos de tempo real mais restritos.

Similarmente ao padrão WirelessHART, uma rede ISA100.11a deverá ter seu desem-penho prejudicado na coexistência com três pontos de acesso IEEE 802.11. Esse cenáriolimita o uso de apenas três ou quatro canais de comunicação.

Um mecanismo de endereçamento baseado no 6loWPAN foi adicionado no padrãoISA100.11a. Entretanto, o roteamento mais complexo, onde esse endereçamento poderiaser útil, é realizado na camada de enlace utilizando algoritmos (grafo e origem) semel-hantes ao padrão WirelessHART. O endereçamento 6loWPAN é utilizado na comunicaçãoentre roteadores backbones. Os algoritmos utilizados nessa comunicação não é padroni-zado no ISA100.11a [IEC-62734 2012].

2.3 IEC-PAS 62601/WIA-PA

Em 2007, o Consórcio Wireless Industrial Chinês (CIWA) desenvolveu um novo pa-drão de comunicação sem fio, o WIA-PA (Redes Sem Fio para Automação Industrial eProcessos de Automação). No final de 2008 o padrão WIA-PA tornou-se uma especifica-ção publicamente disponível pelo IEC cujo nome foi denominado IEC/PAS 62601. Em2011 o IEC ratificou a especificação [IEC-62601 2011]2.

2Nessa seção, os termos IEC/PAS 62601 e WIA-PA refere-se ao mesmo padrão.

2.3. IEC-PAS 62601/WIA-PA 35

Uma rede WIA-PA típica define cinco tipos de dispositivos conforme descrito na Fi-gura 2.8. O dispositivo host é utilizado por usuários ou operadores no acesso de alto nívela rede. O acesso físico entre o dispositivo host ou outras redes de automação para a redeWIA-PA é realizado através do gateway. Em relação ao tráfego de dados intra-rede, asmensagens enviadas pelos dispositivos são encaminhadas em direção ao gateway atravésdos dispositivos roteadores. Os dispositivos mais básicos são os dispositivos de campo eos handhelds. Os primeiros realizam o monitoramento de alguma variável do processoenquanto o segundo é utilizado para configurações em campo. Adicionalmente, o padrãoIEC/PAS 62601 tem suporte para utilização de gateways e roteadores redundantes. Essaconfiguração pode ser utilizada para aumentar a confiabilidade da rede.

GatewayGateway

Redundante


Gerente da Rede

Host

Estrela

Estrela

Estrela

Estrela

Mesh

Roteador redundante

Roteador

Dispositivo de campo

Handheld

Figura 2.8: Uma típica rede WIA-PA.

A relação entre os diferentes tipos de dispositivos suportados pela rede WIA-PA criamdois níveis de topologia. A comunicação entre os roteadores segue uma topologia mesh,enquanto que a comunicação entre os dispositivos de campo e roteadores segue uma to-pologia em estrela. Cada roteador opera de forma similar para o mestre de um cluster.Dessa forma, uma rede WIA-PA suporta uma topologia mesh-estrela ou mesh-cluster.

Toda a comunicação na rede é centralizada por duas regras definidas geralmente den-tro do gateway. A primeira regra, denominada gerente de segurança, é responsável porgerenciar todo aspecto de segurança na rede. Suas responsabilidades variam desde aconfiguração de chaves de segurança para os dispositivos que estão entrando na rede até a


validação das mensagens transmitidas. Por outro lado, a regra denominada gerente da redeé considerada a parte principal da rede WIA-PA. Esta regra é responsável por controlartodas as configurações nos dispositivos, desde as tabelas de escalonamento até os canaisde comunicação.

Similarmente aos padrões WirelessHART e ISA100.11a, a pilha de protocolos do pa-drão WIA-PA é baseado no modelo OSI. Entretanto, apenas são definidos 4 camadasconforme descrito na Figura 2.9. Nas próximas seções serão descritos as principais carac-terísticas de cada camada. Devido à camada física ser totalmente baseada no padrão IEEE802.15.4 e suas características já terem sido previamente descritas nesse documento, nãoiremos descrever os detalhes dessa camada.

Camada Física

Camada de Enlace

Camada de Rede


Rádios IEEE 802.15.4

Saltos de frequência (3 tipos) – extensão da MAC IEEE 802.15.4 (usa o período inativo) – canais são escolhidos de uma forma adaptativa

Topologia mesh e estrela-mesh – roteamento redundante estático - agregação de pacotes - fragmentação

Orientada a objetos (encapsula dados e funcionalidades) – suporta o tunelamento de outros padrões de comunicação

Figura 2.9: Pilha de protocolos do padrão WIA-PA.


A camada de enlace do padrão WIA-PA foi modelada com o objetivo de fornecer co-municação segura, confiável e em tempo real. Ela é baseada na camada de enlace do IEEE802.15.4 com a extensão de algumas funcionalidades (saltos de frequência, retransmissão,TDMA e CSMA).

A unidade de comunicação é slot de tempo. A duração de cada slot é configurávele segue os mesmos limites do IEEE 802.15.4. Uma coleção de slots de tempo formaa estrutura do superframe. Cada superframe é repetido periodicamente com um inter-valo proporcional a quantidade de slots de tempo utilizados. É possível utilizar múltiplossuperframes cuja configuração é destinada ao gerente da rede. O funcionamento do su-

perframe é descrito na Figura 2.10. Perceba que o superframe definido no IEEE 802.15.4

2.3. IEC-PAS 62601/WIA-PA 37

foi inserido na Figura 2.10 apenas para mostrar que o padrão WIA-PA utiliza uma versãoestendida desse superframe.

Período InativoCAP

Superframe IEEE 802.15.4

CFP

Intra-ClusterCAP

Comunicação

Intra-Cluster

Comunicação

Inter-Cluster

Período

Inativo

Superframe WIA-PA

Be

aco

nB

eac

on

CFP

Figura 2.10: Superframe definido no padrão WIA-PA.

A camada de enlace assume que a transmissão baseada em balizamento (beacon) foiconfigurada. Esse procedimento é similar ao IEEE 802.15.4, inclusive para o tamanhosdos slots de tempo (dependem do tamanho do superframe). A entrada de dispositivos narede, o gerenciamento intra-cluster e retransmissões ocorrem durante o CAP. Nesse inter-valo, o acesso ao meio de transmissão é baseado no mecanismo CSMA-CA (com conten-ção). Por outro lado, na parte remanescente do superframe todas as outras comunicaçõestentam acessar o meio utilizando um mecanismo de TDMA (livre de contenção). Du-rante o CFP os dispositivo móveis são autorizados a se comunicarem com os líderes dosclusters (roteadores). O período inativo do superframe IEEE 802.15.4 foi dividido parasuportar as comunicações intra e inter cluster. O superframe do padrão WIA-PA apre-senta suporte para o período inativo, onde os dispositivos podem minimizar o consumode energia, entretanto como pode-se observar na Figura 2.10 esse período é inferior aosuperframe IEEE 802.15.4.

Na tentativa de minimizar a influência de interferências (ruídos) nas transmissões, oacesso ao meio é configurado com um mecanismo de saltos de frequência. São definidostrês padrões de saltos: troca adaptativa da frequência (AFS), salto adaptativo da frequên-cia (AFH) e o salto de slot de tempo (TH). O padrão de saltos AFS é utilizado durante atransmissão de beacons, no período CAP e CFP. Nessa configuração todos os dispositivosutilizam o mesmo canal de comunicação durante o superframe. Caso o canal utilizadosofra interferência (por exemplo, a taxa de perdas aumentou), os dispositivos são confi-gurados pelo gerente da rede a utilizar outro canal. Por outro lado, o padrão de saltosde frequência AFH é utilizado pelos dispositivos durante as comunicações intra-cluster.Nessa configuração, os dispositivos alteram o canal de comunicação de forma irregular


em cada slot de tempo. Por fim, o padrão de saltos TH é utilizado nas comunicaçõesinter-cluster onde um canal diferente deve ser utilizado em cada slot de tempo.

A Tabela 2.4 resume as diferentes técnicas utilizadas no controle de acesso ao meiodo padrão WIA-PA.

Tabela 2.4: Técnicas utilizadas no controle de acesso ao meio do padrão WIA-PA.

Parte do superframe MAC Saltos de Frequência

Beacon TDMA AFSCAP CSMA AFSCFP TDMA AFSIntra-Cluster TDMA AFHInter-Cluster TDMA THPeríodo-Inativo - -

A condição necessária para que a camada de enlace funcione corretamente é a sincro-nização dos dispositivos. Semelhante ao padrão IEEE 802.15.4, os dispositivos escutamo meio por mensagens de balizamento (beacons). Ao receber uma dessas mensagens, odispositivo pode estimar a transmissão do próximo superframe. Adicionalmente, em umarede WIA-PA o sincronismo ocorre em dois níveis. O primeiro nível está representadonas comunicações mesh entre o gateway e os roteadores. Nesse caso, o gateway é consi-derado a referência temporal (gerador de beacons). Por outro lado, o segundo nível desincronização está relacionado com as comunicações entre cada roteador e os dispositivosde campo no seu respectivo cluster. Neste caso, o roteador funciona como a referênciatemporal.

Apesar de utilizar técnicas de sincronização e saltos de frequências, as comunicaçõesentre os dispositivos ainda podem falhar. Nesse caso é necessário enviar mensagens deretransmissão. O padrão WIA-PA define as seguintes regras para retransmissões:

• A primeira tentativa de retransmissão é realizada no mesmo canal da transmissãooriginal;• Caso a primeira tentativa falhe deve ser utilizado um canal diferente;• Se a segunda tentativa falhou utiliza-se uma rota alternativa;• Novas tentativas devem ser continuamente executadas, ainda no CAP, até que o

limite máximo seja alcançado.

2.3. IEC-PAS 62601/WIA-PA 39

2.3.2 Camada de rede

A camada de rede definida no padrão WIA-PA é responsável pelos seguintes meca-nismos: endereçamento, roteamento, gerenciamento do ciclo de vida dos pacotes, geren-ciamento da entrada e saída de dispositivos, fragmentação e monitoramento fim-a-fim. Aconfiguração desses mecanismos é atribuída ao gerente da rede.

Todos os dispositivos apresentam um endereçamento de 64 bits no nível físico e umendereço de 16 bits no nível da camada de rede. Esses endereços são usados em todas ascomunicações (unicast, inter/intra/global broadcast e multicast).

Em relação ao roteamento da rede, após obter as informações de todos os vizinhosdos roteadores, o gerente da rede gera as tabelas de roteamento. Essas tabelas são criadaspara formar uma topologia mesh onde a interconexão dos roteadores e o gateway é reali-zada por múltiplas rotas. Os dispositivos são configurados para enviarem periodicamentemensagens sobre falhas nos links, nível de energia e o estado dos seus vizinhos para ogateway. Baseado nessas informações, o gerente da rede pode atualizar as tabelas deroteamentos nos dispositivos. Garantindo, assim, um roteamento com elevada resiliência.

Outra característica importante realizada no nível da camada de rede é a fragmentaçãodos pacotes. Caso um pacote apresente um tamanho superior a carga útil da camada deenlace, o pacote será fragmentado em pequenas partes. Quando essas partes alcançam oreceptor, a desfragmentação é realizada no nível da camada de rede.


A camada de aplicação definida no padrão WIA-PA segue o paradigma de orienta-ção a objetos. Dispositivos e serviços são mapeados em objetos de softwares enquantoque suas interconexões são administradas por métodos já padronizados. Além dessas ca-racterísticas, a camada de aplicação também é responsável por prover o tunelamento detecnologias legadas, como por exemplo, HART, Profibus, Modbus e Foundation Fieldbus.


WIA-PA foi aprovado em 2008 como padrão chinês para comunicações sem fio emambientes industriais. No mesmo ano o IEC também aprovou o respectivo padrão comopublicamente disponível porém com outra denominação (IEC/PAS 62601).

A arquitetura do padrão é baseada em apenas 4 camadas do modelo OSI (física, en-lace, rede e aplicação). A camada física é totalmente baseada no IEEE 802.15.4, enquantoque a camada de enlace apresenta algumas diferenças relacionadas com o superframe. No


WIA-PA o período inativo do superframe, diferentemente do IEEE 802.15.4, também éutilizado para transmissões. Com o objetivo de minimizar a influência de interferênciasnas comunicações, o padrão define três modos de saltos de frequência.

Em relação à camada de rede, o padrão suporta dois níveis de topologia: mesh emesh-estrela. A topologia mesh é utilizada na comunicação entre o gateway e rotea-dores enquanto que a topologia mesh-estrela é utilizada na comunicação entre roteadorese dispositivos de campo. O roteamento é configurado pelo gerente de rede usando ummecanismo estático porém com redundância.

Por fim, a camada de aplicação suporta o paradigma de orientação a objetos onde umaabstração de alto nível permite a utilização do tunelamento de aplicações legadas.

Similarmente aos padrões WirelessHART e ISA100.11a, é esperado que o padrãoWIA-PA tenha perda de desempenho na presenta de três ou mais pontos de acesso IEEE802.11. O mecanismo de coexistência precisa ser analisado com mais detalhes.

2.4 Comparação entre os padrões

Esta seção tem como objetivo descrever de forma sucinta as principais diferençasexistentes entre os padrões de comunicação sem fio industriais descritos anteriormente.Os principais pontos de discussão estão descritos na Tabela 2.5.

Tabela 2.5: Comparações entre os principais padrões de comunicação sem fio industriais.

Propriedades WirelessHART ISA100.11a WIA-PA

Camada física IEEE 802.15.4 IEEE 802.15.4 IEEE 802.15.4

Camada de en-lace

Slots de 10ms, sal-tos de frequência (1tipo), TDMA

Slots de 10-12ms,saltos de fre-quência (3 tipos),TDMA/CSMA,roteamento a nívelda subrede (grafo eorigem)

Slots de 10ms,saltos de fre-quência (3 tipos),TDMA/CSMA/FDMA

Camada de redeRoteamento (grafo eorigem)

Fragmentação, ro-teamento a nívelde roteadores back-

bones (6LoWPAN)

Fragmentação, ro-teamento inter/intra

cluster


2.4. COMPARAÇÃO ENTRE OS PADRÕES 41

Propriedades WirelessHART ISA100.11a WIA-PA

Camada de trans-porte

Serviços com/semconexão, ACKfim-a-fim

Serviços UDP semconexão

-

Camada de apli-cação

Fragmentação,HART

Genérica orientada aobjetos

Genérica

Topologia Mesh Mesh Mesh (limitada)

Escalabilidade64 bits (físico), 16bits (rede)

64 bits (físico), 16bits (rede)

64 bits (físico), 64bits (rede)

Fabricantes

Emerson, Sie-mens, ABB,Endress+Hauser,Pepperl+Fuch,MACTek e outrosmembros HCF

Honeywell, Yoko-gawa

Mercado chinês

Pontos fortes

Interoperabilidade,roteamento múl-tiplos caminhos,quantidade de fa-bricantes, melhorespráticas

Integração com In-ternet, controle dapotência do rádio,segregação da rede

Saltos de frequênciaadaptativo e agrega-ção de dados

Pontos fracosSaltos de frequêncianão são adaptativos

InteroperabilidadeUso de beacons e to-pologia limitada

Vários aspectos como por exemplo o alcance do rádio, escalabilidade e aplicabilidadeno controle de processos devem ser analisados com extrema neutralidade devido os inter-esses comerciais presentes nos referidos padrões. Especificamente em relação ao alcancedo rádio, é esperado que todos os padrões tenham resultados semelhantes haja vista ouso da mesma camada física (IEEE 802.15.4). Por outro lado, apesar do padrão WIA-PAapresentar um espaço de endereçamento superior as suas contrapartes, na prática todos osequipamentos vendidos apresentam a mesma escalabilidade (100 dispositivos por gate-

way). O ponto de maior discussão é a aplicabilidade dos padrões no controle de processos.Cada fabricante relata que apenas um determinado padrão suporta esse tipo de aplicação.Na prática, estudos mais aprofundados ainda precisam ser realizados sobre esse tema.

Se considerarmos a confiabilidade da rede, todos os padrões definem mecanismos


com o objetivo de maximizar a probabilidade em entregar uma informação ao destinofinal (atuador ou o próprio gateway). O padrão WIA-PA possui como vantagem a im-plementação de saltos de frequência adaptativos. Nesse mecanismo, os dispositivos ape-nas mudam o canal de comunicação quando interferências são detectadas. Nas técnicasutilizadas por suas contrapartes um dispositivo muda o canal de comunicação em cadatransmissão. Nesse caso, poderá ocorrer situações onde a utilização de um canal bom sejapreterida por um canal ruidoso. A desvantagem do método utilizado no padrão WIA-PAé o custo temporal para detectar que o canal está ruidoso.

Todos os padrões utilizam um controle de acesso ao meio baseado em TDMA. Oponto crítico em utilizar uma técnica de TDMA é a sincronização da rede. Os padrõesWirelessHART e ISA100.11a adotam um mecanismo simples e eficiente (informaçõestemporais são enviadas nas mensagens advertise e de reconhecimento) para tal propósitoenquanto que o padrão WIA-PA utiliza mensagens de balizamento (consome mais ener-gia). Adicionalmente, os padrões ISA100.11a e o WIA-PA incorporam outras técnicasque maximizam banda nas operações de entrada e descoberta da rede e nas retransmissõesde dados.

Outro ponto de grande importância é o roteamento. Os padrões WirelessHART eISA100.11a empregam um mecanismo de múltiplos caminhos na tentativa de maximar aconfiabilidade da rede. Esse mecanismo é combinado com um suporte a topologias mesh.Dois algoritmos são utilizados, o roteamento em grafo e origem. Apesar do suporte atopologia mesh, o padrão WIA-PA apresenta algumas limitações em relação a resiliên-cia da rede. Múltiplos caminhos são apenas utilizados nos roteadores. A comunicaçãoentre os dispositivos de campo e os roteadores seguem uma topologia em cluster. Adi-cionalmente, o padrão ISA100.11a apresenta suporte a Internet através do padrão 6LoW-PAN. Entretanto, essa funcionalidade é apenas suportada na comunicação entre roteadoresbackbones. Inclusive essa característica adiciona um ponto adicional de falha na medidaque fragmentação é exigida nos roteadores backbones. Nos padrões WirelessHART eWIA-PA a fragmentação ocorre apenas no gateway.

Entre os três padrões descritos anteriormente, apenas a HCF define melhores práticasa serem utilizadas no projeto e construção de uma rede. Entretanto, a abordagem pode serestendida para os padrões ISA100.11a e WIA-PA.

Por fim, no que se refere aos fabricantes de hardware, o padrão WirelessHART apre-senta algumas vantagens em relação a interoperabilidade principalmente por ser uma ex-tensão do padrão HART (já consolidado na indústria). O padrão ISA100.11a apresentavárias configurações opcionais as quais podem contribuir para problemas de interopera-bilidade entre diferentes fabricantes. O padrão WIA-PA está restrito apenas ao mercado

2.4. COMPARAÇÃO ENTRE OS PADRÕES 43

chinês, que apesar do isolamento não pode ser desconsiderado.

Capítulo 3

Dependabilidade: Estado da Arte

Dependabilidade é um tema intrinsecamente relacionado às redes industriais sem fio.Falhas nos dispositivos ou nos canais de comunicação podem provocar a parada parcialou até mesmo total da planta, resultando em perdas econômicas e riscos iminentes aosoperários.

Esse capítulo tem como objetivo principal descrever os principais conceitos relacio-nados com análise da dependabilidade de sistemas quando aplicadas às redes industriaissem fio. Técnicas de redundância e análises quantitativas também serão abordadas. Ocapítulo encerra com a descrição das metodologias existentes na literatura para análise daconfiabilidade e disponibilidade de redes sem fio.

3.1 Principais conceitos

3.1.1 Falha

O primeiro conceito sobre dependabilidade a ser descrito é a própria falha (fault). Adefinição de falha é simples e clara, é um tipo de evento que pode conduzir a um erro.Uma falha está ativa quando ela causa um erro, caso contrário ela está dormente. Nocontexto de redes industriais, alguns exemplos de falhas são: deterioração física dos com-ponentes de hardware, erros operacionais, decisões equivocadas ainda na fase de projetoe envelhecimento de software.

Classificação

Avizienis et al. (2004) organizaram e classificaram as falhas para três principais gru-pos: falhas de projeto, falhas físicas e falhas de operação. As falhas de projeto incluemtodas as falhas que ocorrem durante a fase de desenvolvimento dos sistemas, enquanto

46 CAPÍTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

que as falhas físicas são aquelas que afetam o hardware dos equipamentos. Por fim, asfalhas de operação são todas as falhas que ocorrem durante a utilização dos sistemas.

Para melhor compreensão dessa classificação, iremos descrever alguns exemplos. Fa-lhas naturais são tipicamente falhas físicas causadas por fenômenos naturais com ou sema participação de agentes externos (humanos). Outro exemplo de falha é aquela provocadapela ação do homem, a qual pode incluir a falha por omissão (ausência de ações quando naverdade ações deveriam ter sido tomadas) ou falha por comissionamento (quando açõeserradas conduzem a falhas). Outros exemplos são descritos abaixo:

• Falhas maliciosas: introduzidas com o objetivo de alterar o funcionamento do sis-tema.• Falhas não maliciosas: introduzidas sem o objetivo malicioso.• Falhas deliberadas: ocorrem devido a más decisões.• Falhas não deliberadas: ocorrem devido a erros.• Falhas de configuração: a configuração errada dos parâmetros conduzem para fa-

lhas.

No contexto desta tese, falhas são classificadas em transientes ou permanentes [Garg& Kumar 2010]. Falhas transientes afetam os links de comunicação entre dispositivos porum pequeno intervalo de tempo (escala em milissegundos [Willig et al. 2002]). Esse tipode falha é provocada tipicamente por ruídos ou interferências eletromagnéticas. Por outrolado, falhas permanentes afetam diretamente os dispositivos e são causadas por problemasde hardware. Após uma falha permanente, um dispositivo é considerado inoperante atéque uma ação de reparo seja finalizada (escala em horas [Zhu 2012]). Excepcionalmente,falhas nos links podem ser consideradas permanentes. Esse cenário ocorre quando obstá-culos/barreiras temporárias (pessoas, carros, paredes, clima adverso) inibem a comunica-ção entre os dispositivos por um período superior à escala dos milissegundos [Zamalloa& Krishnamachari 2007].

3.1.2 Defeito

O próximo conceito a ser descrito sobre análise da dependabilidade é o defeito (fai-

lure). A manifestação de eventos que ocorre quando o sistema desvia do serviço corretoé chamado defeito. Em outras palavras, defeitos ocorrem quando erros são propagadosdentro do sistema.

Um ponto de grande importância é a identificação das possíveis causas dos defeitos.Isso pode ser realizado mais facilmente baseado na caracterização/classificação dos di-

3.1. PRINCIPAIS CONCEITOS 47

versos tipos de defeitos. Avizienis et al. (2004) caracteriza os defeitos em quatro pontosde vistas: domínio, detectabilidade, consistência e consequências.

No primeiro ponto de vista, o domínio dos defeitos são classificados em três classesprincipais:

• Defeitos de conteúdo: a natureza da informação (numérica ou não numérica) trans-mitida desvia da especificação correta.• Defeitos temporais: a duração do serviço desvia da implementação correta (muito

rápido ou muito lento).• Defeitos de conteúdo e temporais: nenhum serviço é entregue ou caso o serviço

seja entregue ele desvia da sua implementação correta.

Outro ponto de vista importante descrito por Avizienis et al. (2004) é a detectabili-dade dos defeitos. Esse conceito refere-se à capacidade do defeito ser sinalizado para osusuários. Nesse contexto, dois principais problemas precisam ser observados. O primeirorefere-se aos falsos alarmes, o qual se caracteriza pela sinalização dos defeitos quando naprática eles não ocorreram. O segundo é ainda mais crítico e refere-se a não sinalizaçãodos defeitos quando eles realmente ocorrem. Ambos problemas conduzem o sistema paraum estado de degradação, onde apenas algumas funcionalidades são operacionais.

A consistência dos defeitos é um ponto de vista que apresenta um significado muitopróximo com a detectabilidade dos defeitos. Esse conceito está relacionado com a capa-cidade de observação dos usuários em relação aos defeitos. Quando um serviço incorretoé percebido por todos os usuários do sistema, o defeito é chamado consistente. Por outrolado, quando apenas alguns usuários percebem que um defeito ocorreu, este é chamadode inconsistente.

Finalmente, o último ponto de vista proposto por Avizienis et al. (2004) é a conse-quência dos defeitos. Esse conceito caracteriza a severidade que um defeito pode causar.Quando as consequências são comparadas com os benefícios fornecidos pelo funciona-mento correto do sistema, os defeitos são chamados de benignos, caso contrário eles sãochamados de catastróficos.

Na metodologia proposta nesta tese, assumi-se os defeitos de conteúdo e temporais.Adicionalmente, todos os defeitos são sinalizados e observados para/pelos usuários. Emrelação à severidade dos defeitos, dependendo do cenário a ser avaliado, ambos os defeitosbenignos e catastróficos são suportados pela proposta apresentada aqui.


3.1.3 Erros

Erro é um conceito básico em análise da dependabilidade, o qual caracteriza um estadoincorreto de parte do sistema. Erros podem causar defeitos, enquanto que as causas doserros são as falhas. Os defeitos surgem quando os erros são propagados no sistema. Noteque a parte do sistema que contém erros pode nunca ser usada, dessa forma o defeitopoderá nunca ocorrer. A relação completa entre falhas, erros e defeitos é descrita naFigura 3.1.

Falha......... AtivaçãoErro

PropagaçãoDefeito

CausaFalha .....

Figura 3.1: Relação entre falhas, erros e defeitos.

Para melhor compreender o conceito sobre erro e suas relações com a falha e defeito,permita-nos descrever o seguinte cenário. Suponha que um determinado dispositivo (semfio) transmite um pacote para um controlador. No instante da transmissão, um ruído ele-tromagnético ocorreu (falha), modificando alguns bits do pacote. Devido à mudança dosbits (erro), o pacote não foi aceito/recebido no controlador. Consequentemente, o algo-ritmo de controle não foi capaz, por exemplo, de enviar o sinal correto para o desbloqueiode uma válvula (defeito).

Em relação à classificação, os erros são caracterizados conforme sua detectabilidade.Um erro é detectável quando sua evidência é indicada através de um comportamentopeculiar do sistema ou através de mensagens/alarmes. Por outro lado, quando os errossão presentes porém não detectáveis, sua denominação é erros latentes. No contexto destatese, todos os erros são considerados detectáveis.

3.1.4 Dependabilidade

Dependabilidade é um conceito muito interessante que é discutido amplamente na li-teratura [Avizienis & Laprie 1986, Laprie 1995, Avizienis et al. 2004, Petre et al. 2011].Existem diversas definições para o termo dependabilidade. Na definição original [Avizienis& Laprie 1986], dependabilidade é a capacidade de entregar serviços que podem ser justi-ficadamente confiáveis. Em outra definição [Petre et al. 2011], o termo dependabilidade éusado para descrever que um sistema pode ser confiável sob determinadas condições ope-racionais por um período de tempo específico. A definição de dependabilidade assumidanesta tese, considerando que todo sistema pode falhar, é a habilidade de um sistema evitarfalhas nos serviços mais críticos [Avizienis et al. 2004]. Essa definição é coerente com o

3.1. PRINCIPAIS CONCEITOS 49

contexto das redes industriais sem fio, onde falhas nos serviços críticos podem ocasionarconsequências catastróficas.

Dependabilidade pode ser também caracterizada por um conceito integrado combi-nando os seguintes atributos:

• Confiabilidade: exprime a ideia de continuidade do serviço correto. Em outraspalavras, a probabilidade de um defeito não ocorrer em um determinado período detempo.• Integridade: o serviço não pode ser modificado sem autorização.• Manutenabilidade: capacidade de ser reparado ou sofrer manutenção.• Disponibilidade: habilidade em fornecer o serviço correto quando solicitado. Em

outras palavras, a probabilidade do sistema estar operacional quando solicitado.• Segurança: ausência de consequências catastróficas para os usuários do sistema.

Na prática, esses atributos devem ser quantificados para que se possa avaliar o quãoconfiável é um determinado sistema. A importância de cada um desses atributos é sub-jetiva e depende do contexto da aplicação que está sendo avaliada. Por exemplo, para ocontexto das redes industrias sem fio é essencial alta disponibilidade (as aplicações devemestar operacionais o maior tempo possível) e confiabilidade (defeitos devem ser evitadosnos serviços críticos). Todos esses atributos serão descritos formalmente na Seção 3.3.

Meios para obtenção da dependabilidade

Em relação aos meios para obtenção da dependabilidade, Avizienis et al. (2004) ca-tegorizou quatro grupos principais: prevenção de falhas, tolerância a falhas, remoção defalhas e previsão de falhas.

Prevenção de falhas é um conceito largamente utilizado na engenharia para descre-ver a capacidade em prevenir a ocorrência ou inserção de falhas. A prevenção de falhaspode ser utilizada durante as fases de especificação (evitar especificações incompletas ouambíguas), desenvolvimento (escolha correta de metodologias e processos), fabricação(verificação da qualidade dos componentes) e operação (treinamento dos usuários) dossistemas. Esta técnica não consegue evitar completamente os riscos das falhas. Ape-sar da evolução nas técnicas/metodologias para prevenção de falhas, na prática é quaseimpossível garantir que um sistema não possua falhas [Portugal 2004].

Continuando com a descrição dos meio para obtenção da dependabilidade, a seguiriremos definir um dos principais conceitos, tolerância a falhas. Este conceito é definidocomo a capacidade de evitar defeitos na presença de falhas. Para alcançar seu objetivo,


a tolerância a falhas utiliza duas técnicas: detecção de erros e a recuperação do sistema.A primeira técnica permite a detecção de um estado errado do sistema e ainda pode serutilizada de uma maneira concorrente (durante a entrega normal do serviço) ou de umamaneira preemptiva (enquanto o serviço está suspenso). Por outro lado, o mecanismode recuperação se baseia na eliminação dos erros (manipulação dos erros) e na preven-ção que falhas sejam ativadas novamente (manipulação de falhas). A eliminação doserros é composta de três partes principais: retrocesso (retorno para um estado seguro dosistema), avanço (deslocamento para um novo estado confiável) e compensação (uso deredundância para mascarar o erro). O uso de compensação ou redundância é um meiobastante eficiente para fornecer tolerância a falhas aos sistemas [Johnson 1988]. Por ou-tro lado, a técnica de manipulação de falhas é caracterizada por quatro funcionalidades:identificação e localização dos erros (diagnóstico), exclusão dos componentes falhados(isolamento), reatribuições de tarefas (reconfiguração) e reinicialização. Uma visão geralsobre os principais meios para obtenção de tolerância a falhas é descrita na Figura 3.2.

Tolerância a

FalhasDetecção de

ErrosRecuperação

Manipulação de erros

Manipulação de falhas

Retrocesso

Avanço

Compensação

Diagnóstico

Isolamento

Reconfiguração

Reinicialização

Concorrente

Preemptiva

Figura 3.2: Meios para obter tolerância a falhas.

O próximo conceito a ser definido é o de remoção de falhas. Esta técnica procuraalcançar a dependabilidade pela redução no número de falhas durante as fases de desen-volvimento e operação do sistema. Na fase de desenvolvimento, a remoção de falhasé garantida através de três procedimentos: verificação (checagem sempre que o sistemaanuncia uma nova funcionalidade), diagnóstico (identificar e localizar falhas) e correção.Em contrapartida, durante a fase de operação, a remoção de falhas é garantida através damanutenção dos componentes. Existem dois tipos de manutenção: a corretiva e a preemp-tiva. Na primeira técnica, falhas que tenham produzido um ou mais erros são removidas,enquanto que na manutenção preemptiva falhas são removidas, ainda durante o serviçocorreto do sistema, antes que elas possam causar erros.

Por fim, a previsão de falhas é a ferramenta utilizada pela dependabilidade para esti-

3.2. REDUNDÂNCIA 51

mar o número e as consequências das falhas no sistema. A referida técnica executa umaavaliação do comportamento do sistema em relação a ocorrência ou ativação de falhas. Aavaliação pode ocorrer de uma maneira qualitativa ou quantitativa. No primeiro método,as falhas são identificadas e classificadas baseadas nos defeitos que elas podem ocasio-nar enquanto que no método quantitativo medidas (atributos) sobre a dependabilidade dosistema são realizadas.

A Tabela 3.1 sintetiza as definições sobre os principais conceitos relacionados comtolerância a falhas descritos anteriormente.

Tabela 3.1: Conceitos básicos sobre tolerância a falhas.Conceito Definição Principais atributos e classificação

Dependabilidade Capacidade do sistemaem evitar falhas nos ser-viços críticos

Principais conceitos: falha, defeitoe erro

Falha Qualquer tipo de de-feito que pode conduzira um erro

Projeto, físicas e operação

Defeito A manifestação do erro Domínio, detectabilidade, consis-tência e consequência

Erro Estado incorreto do sis-tema

Detectável e latente

3.2 Redundância

Esta seção tem como objetivo descrever os conceitos fundamentais que são utilizadosna implementação de sistemas tolerantes a falhas. Basicamente, técnicas de redundânciasão adotadas para garantir os requisitos desses sistemas.

Os meios para obtenção de sistemas tolerantes a falhas são baseados em cinco téc-nicas [Johnson 1988]: mascaramento, contenção, detecção, localização e recuperação.O mascaramento tem como objetivo ocultar a ocorrência das falhas no sistema. A de-tectabilidade da falha não é realmente necessária antes que a mesma possa ser tolerada.Entretanto, a falha precisar ser mantida sob controle. Por outro lado, a contenção é res-ponsável por prevenir que as consequências das falhas não se propaguem para todo osistema. A detecção, localização e recuperação das falhas são técnicas adotadas quandoas duas técnicas anteriores não são utilizadas.

Todas as técnicas descritas no paragrafo anterior utilizam algum tipo de redundânciapara garantir requisitos tolerantes a falhas. Redundância obtém tais requisitos na me-


dida que adiciona informações e recursos além do necessário para conduzir o sistema asua condição operacional. A seguir, os principais tipos de redundância serão descritos(hardware, informação, temporal e software).

3.2.1 Redundância de Hardware

Redundância de hardware é um dos procedimentos mais comuns para obtenção deredundância nos sistemas. Apesar dos benefícios inerentes à adoção da redundância, éimportante avaliar o impacto da replicação de hardware no desempenho, tamanho, pesoe consumo de energia do sistema. Nesse contexto, as propriedades de tolerância a falhasmencionadas anteriormente (mascaramento, detecção, localização e recuperação) são usa-das para classificar a redundância de hardware em três grupos [Johnson 1988]: passiva,ativa e híbrida.

Redundância passiva

Um sistema configurado com redundância de hardware passiva não gera erros na saídaem caso de falhas. Entretanto, o sistema poderá ser reinicializado para evitar a ocorrênciade erros. Duas técnicas se destacam: redundância modular tripla (TMR1) e a redundânciamodular múltipla (NMR2).a) Redundância modular tripla

A técnica mais comum de redundância passiva de hardware é a TMR. A ideia básicaé triplicar o hardware onde os módulos executarão o mesmo procedimento. A saída decada módulo é processada por uma técnica de votação que irá escolher a saída do sistema.Se um dos módulos falhar, os dois outros restantes poderão mascarar o módulo defeituosoutilizando o esquema de votação majoritário. Caso dois módulos falhem, a partir daquelemomento o sistema não terá garantias para fornecer os requisitos tolerantes a falhas. AFigura 3.3 sintetiza a técnica da redundância modular tripla.

O ponto fraco da técnica TMR é o mecanismo de votação. Em caso de falha destemecanismo o sistema ficará comprometido. Sendo assim, a confiabilidade máxima dosistema é determinada pela confiabilidade máxima do mecanismo de votação. Adicional-mente, o esquema de votação pode ser replicado para garantir requisitos mais robustos. AFigura 3.4 descreve um procedimento semelhante, onde o sistema suporta até duas falhasno mecanismo de votação.

b) Redundância modular múltipla1Adotamos a sigla correspondente a definição original (Triple Modular Redundancy - TMR)2Adotamos a sigla correspondente a definição original (N-Modular Redundancy - NMR)


Votação

Módulo 1

Módulo 2

Módulo 3

Saída

Entrada 1

Entrada 2

Entrada 3

Figura 3.3: Redundância modular tripla (TMR).

VotaçãoMódulo 1

Módulo 2

Módulo 3

SaídaEntrada 1

Entrada 2

Entrada 3

Votação Saída

Votação Saída

Figura 3.4: Redundância modular tripla com mecanismo de votação triplicado.


A redundância NMR é a generalização da técnica TMR. A ideia básica é a mesmada técnica anterior, a diferença está na quantidade de módulos utilizados. Consequente-mente, a redundância NMR suporta uma maior quantidade de módulos com falhas. Porexemplo, a técnica TMR permite que apenas um módulo falhe enquanto que um 5MRsuporta até dois módulos com falhas. Em geral, devido ao mecanismo majoritário devotação, o número de módulos suportados pela redundância NMR deve ser ímpar.

Algumas considerações precisam ser analisadas ao se utilizar a redundância NMR.O primeiro ponto está relacionado com o custo a ser pago pelos benefícios da tolerânciaa falhas. Os requisitos das aplicações devem se adequar ao custo, peso e consumo deenergia dos componentes do sistema. Outro fator a ser analisado é a escolha de comoserá implementado o mecanismo de votação. Existem duas possibilidades: hardware esoftware. A vantagem do hardware é o pequeno atraso entre o processamento das entradase saídas. Por outro lado, o hardware adicional poderá aumentar o consumo de energia,peso e tamanho do sistema. O mecanismo de votação por software não necessita decomponentes adicionais porém apresenta um gargalo temporal quando comparado com asua contraparte.

Redundância ativa

A redundância de hardware ativa alcança tolerância a falhas utilizando as técnicas dedetecção, localização e recuperação de falhas. O objetivo deste método de redundânciaé prover a continuidade do serviço em caso de falha. Adicionalmente, é tolerado saídaserrôneas e paradas muito breves (reconfiguração) do sistema. Duas técnicas se destacam:duplicação com comparação e a utilização de módulos reservas.

a) Duplicação com comparaçãoDuplicação com comparação é uma das técnicas mais simples de redundância de hard-

ware ativa. A ideia básica é utilizar a detecção de falhas. Dois módulos em paraleloexecutam a mesma tarefa. O resultado de cada módulo é comparado e em caso de di-ferença um sinal de erro é gerado. A técnica pode apenas detectar o erro, pois não épossível identificar o módulo com falha. A Figura 3.5 descreve a respectiva técnica deredundância.

A desvantagem da duplicação com comparação está na vulnerabilidade de falhas naentrada e no comparador. Se a entrada de dados falhar, ambos os módulos irão produzir osmesmos erros. Em relação ao comparador, falhas podem ocasionar a indicação de falsospositivos ou, no pior caso, não indicar a ocorrência de erros.


Módulo 1

Módulo 2

Saída

Entrada Erro (Sim/Não)Comparador

Figura 3.5: Técnica de redundância de hardware ativa baseada em duplicação com com-paração.

b) Módulos reservasO fornecimento de dispositivos reservas/sobressalentes é talvez a ideia mais natural

sobre redundância. Um módulo é mantido operacional, enquanto que os módulos reser-vas ficam aguardando serem utilizados. Quando o módulo operacional falha, o móduloreserva entra em operação. As técnicas de detecção e localização de falhas são fundamen-tais para execução desse procedimento conforme descritos na Figura 3.6.

Módulo 1

Entrada

Detecção de erro

Dis

po

sitiv

o o

pe

racio

na

l

(lo

ca

liza

do

r) M

ux N

/1

Módulo 2

Detecção de erro

Módulo N

Detecção de erro

Saída

Figura 3.6: Técnica de redundância de hardware ativa baseada em módulos reservas.

Existem dois modelos clássicos que adotam a redundância baseada em módulos re-servas. O primeiro modelo é chamado popularmente de “modelo quente” ou modeloalimentado (hot standby). Os módulos reservas estão sincronizados com o módulo ope-racional. Em caso de falha a troca entre os módulos é mínima. O segundo modelo échamado de “modelo frio” ou não alimentado (cold stdandby). Nesse caso, os disposi-


tivos reservas são mantidos desligados e apenas são ligados após uma falha ter ocorridocom o módulo operacional. Obviamente, o consumo de energia total do sistema será me-nor com o modelo não alimentado, porém o tempo para a troca de contexto será muitomaior.

Redundância híbrida

O conceito fundamental presente na redundância híbrida é a combinação das quali-dades inerentes às técnicas de redundância ativa e passiva. O objetivo é prover um sistemacom alto grau de tolerância a falhas. A ideia é utilizar mascaramento para prevenir o sis-tema de saídas errôneas e utilizar as técnicas de detecção, localização e recuperação parareconfigurar o sistema na presença de falhas [Johnson 1988]. Nesse contexto destaca-sea técnica modular múltipla com reservas.

a) Redundância modular múltipla com reservasA técnica de redundância híbrida mais comum é a baseada no conceito modular múl-

tipla com reservas. A ideia base é fornecer um núcleo simples composto por múltiplosmódulos em um sistema de votação majoritário (redundância passiva), enquanto que mó-dulos reservas são utilizados para substituir os módulos falhados (redundância ativa). AFigura 3.7 descreve a referida técnica. Perceba que o sistema permanece no núcleo NRMaté a ocorrência de uma falha. Um detector de falhas é utilizado para identificar qual mó-dulo falhou e proceder com a substituição por um módulo reserva. A detecção de falha ébaseada na comparação majoritária entre a saída do mecanismo de votação e a saída dosmódulos.

A vantagem desta técnica é a sua melhor eficiência em relação ao número de módulose a quantidade de falhas toleradas. Por exemplo, a técnica TMR suporta três módulos etolera apenas uma falha. Por outro lado, a técnica modular múltipla com reservas podetolerar duas falhas usando apenas três módulos e um reserva. Para tolerar duas falhas umatécnica de redundância passiva necessita pelo menos cinco módulos (5MR). A vantagemda técnica híbrida é mantida até que todos os módulos reservas tenham sido utilizados.

Sumário sobre as técnicas de redundância de hardware

A adoção das técnicas de redundância de hardware estão diretamente relacionadascom os requisitos das aplicações. As técnicas ativas geralmente utilizam menos hard-

ware, entretanto elas apresentam a desvantagem de fornecerem momentaneamente errosna saída do sistema. Por outro lado, as técnicas passivas podem fornecer mascaramento


Votação

Módulo 1

Módulo 2

Módulo 3

Reserva 1

Reserva 2

Reserva 3

Ch

ave

am

en

to (

op

era

cio

na

l –

re

se

rva

)

Detecção de falhas

...

Saída

Figura 3.7: Técnica de redundância de hardware híbrida modular múltipla com reservas.

de falhas com o custo do hardware adicional. Finalmente, as técnicas híbridas fornecemos benefícios do mascaramento, detecção, localização e recuperação de falhas. Entretantoé necessário hardware adicional para o mecanismo de votação e módulos reservas.

3.2.2 Redundância de Software e Informação

A adição de informações sobressalentes para os dados do sistema é chamada redun-dância de informação. Duas técnicas são utilizadas para a obtenção desse tipo de re-dundância: detecção e correção de códigos de erros. Exemplos incluem os códigos deparidade, m/n, duplicação, checksums, cíclicos, aritméticos, berger, paridade horizontal evertical e hamming. Através destas técnicas o sistema pode fornecer detecção e mascara-mento de falhas.

Outro método para garantir sistemas resilientes é a redundância de software. Está téc-nica reduz a quantidade de hardware necessária para o fornecimento de redundância. Naprática não é necessário replicar o software para garantir redundância. Geralmente as téc-nicas incluem verificar se o sistema apresenta uma determinada capacidade ou compararsaídas de diferentes funções de uma mesma especificação.

3.2.3 Redundância Temporal

Realizando uma comparação do ponto de vista econômico, as técnicas de redundânciade hardware e informação apresentam um núcleo bastante custoso, haja vista a necessi-dade de componentes adicionais. Nesse sentido, a redundância temporal surge como um


fornecedor de tolerância a falhas exigindo um mínimo de hardware adicional. A ideiabásica nesse enfoque é repetir o processamento dos dados tal que as falhas possam serdetectadas conforme descrito na Figura 3.8.

ProcessamentoArmazenamento

do resultado


do resultado


do resultado

ComparaçãoSinal de

Erro

Entrada

Entrada

Entrada

T0

T0 + Δ

T0 + nΔ

Tempo

Figura 3.8: Princípio básico sobre redundância temporal.

A redundância temporal é classificada baseada no tipo de falha (transiente ou per-manente) que causou o erro. Após um erro ser detectado pela primeira vez, outras ten-tativas para executar as entradas são realizadas. Se o erro não permanece, a falha quecausou aquele erro é do tipo transiente. Caso contrário, a falha é classificada como perma-nente. Segundo Kirrmann (1987), 90% dos erros são causados por falhas transientes. Nocontexto das redes industriais sem fio, falhas transientes ocorrem tipicamente nos canaisde comunicação apresentando a duração de algumas centenas de milissegundos [Williget al. 2002]. Todavia, as falhas permanentes apresentam uma importância notória, hajavista a criticalidade das aplicações industriais. Inclusive, falhas nos canais de comunica-ção podem também serem consideradas falhas permanentes dependendo de suas durações.

3.3 Medidas fundamentais

Um dos principais meios para alcançar a dependabilidade dos sistemas é através datolerância a falhas. Como descrito na Seção 3.1.4, diversos atributos caracterizam o termodependabilidade. Sem perda de generalidade, a dependabilidade dos sistemas podem seravaliadas baseadas em duas medidas fundamentais [J. Muppala 2000]: confiabilidade ea disponibilidade. A confiabilidade é uma medida cuja relevância está direcionada paraos sistemas com alta sensibilidade em caso de defeitos, ou seja, sistemas cujo os serviçosnão podem ser interrompidos (sistemas orientados à missão, por exemplo). Exemplosdesses sistemas incluem controladores de aviões, missões espaciais, sistemas intrusivos(marcapasso, coração artificial), sistemas balísticos e proteção de reatores nucleares. Poroutro lado, quando sistemas apresentam tolerância a pequenas interrupções, a medida dedisponibilidade é mais indicada para avaliar a dependabilidade. Processos industriais e

3.3. MEDIDAS FUNDAMENTAIS 59

de telecomunicações incluem-se nesses sistemas [Portugal 2004]. A seguir, as medidasconfiabilidade e disponibilidade serão descritas formalmente.

3.3.1 Modelos para taxas de defeitos

Devido à sua relação intrínseca com as medidas confiabilidade e disponibilidade, osmodelos para taxas de defeitos serão os primeiros a serem descritos aqui. Vamos assumirum sistema composto por N dispositivos, os quais se encontram operacionais no instantet = 0. Falhas ocorrem à medida que os dispositivos são utilizados ao longo do tempo.O número de dispositivos operacionais em um instante de tempo t é definido pela fun-ção n(t). Baseando-se neste cenário, vamos definir o primeiro conceito: a densidade de

defeitos f (t).

A densidade de defeitos expressa a taxa global da ocorrência de defeitos. Como des-crito na equação 3.1, f (t) é definida em um intervalo de tempo ∆t e representa a relaçãoentre o número de defeitos ocorridos naquele intervalo de tempo (considerando o númerototal de dispositivos do sistema) dividido pelo intervalo de tempo transcorrido.

f (t) =n(t)−n(t +∆t)

N∆t(3.1)

De maneira análoga, se estamos interessados em calcular a percentagem de defeitosocorridos até o instante t, então estaremos calculando a função de distribuição acumulativados defeitos F(t). Sendo assim, de acordo com sua definição, F(t) é dada por:

F(t) =∫ u

0f (u)du (3.2)

A relação simétrica de F(t), a qual representa a porcentagem de dispositivos opera-cionais no instante t, pode também ser facilmente encontrada, cujo valor é dado por:

1−F(t) =n(t)N

(3.3)

Outra definição bastante importante é a taxa de defeitos z(t) (também conhecida comohazard rate). z(t) corresponde à taxa instantânea em que os defeitos ocorrem. Como des-crito na equação 3.4, z(t) corresponde ao número de defeitos ocorridos em um intervalo ∆t

(considerando a quantidade de dispositivos operacionais no inicio do intervalo) dividido


pelo tamanho do intervalo de tempo.

z(t) =n(t)−n(t +∆t)

n(t)∆t(3.4)

f(t)

z(t)

Tempo

Tempo

T1 T2

Defeitos aleatórios (vida útil)

DesgatePeríodo inicial

Figura 3.9: Relação entre a densidade de defeitos f (t) e a taxa de defeitos z(t).

As funções f (t) e z(t) podem ser utilizadas para caracterizar a ocorrência de defeitosnos componentes do sistema. Durante o período inicial (após a fabricação ou início dosistema) defeitos nos componentes podem ser observados principalmente devido a errosde fabricação ou utilização incorreta. Nesse período é esperado que as funções f (t) e z(t)

decresçam com o tempo. Após a fase inicial, o sistema passa por um período (vida útil)onde poucos defeitos ocorrem. Assim, z(t) apresenta um comportamento quase constanteenquanto que f (t) diminui lentamente semelhante a uma função exponencial [Shooman2002]. Nesse período os defeitos estão relacionados com as condições ambientes emque o sistema está inserido. Finalmente, quando a utilização do sistema ultrapassar avida útil, observa-se um aumento natural da taxa de defeitos z(t). Esse comportamentoprovoca uma aumento imediato, porém curto, na densidade de defeitos f (t). Um resumoda relação entre f (t) e z(t) é descrito na Figura 3.9. Devido ao comportamento descritopor z(t), esta função também é conhecido como “curva da banheira”.

A taxa de defeitos z(t) descrita na Figura 3.9 apresenta uma aproximação razoávelpara o comportamento dos defeitos. Entretanto, esse comportamento não pode ser ge-neralizado. Por exemplo, para os componentes eletrônicos, z(t) apresenta um comporta-


mento constante, enquanto que para os componentes mecânicos z(t) é estritamente cres-cente [Shooman 2002]. Na prática devido à dificuldade em encontrar os valores reaiscorrespondentes às ocorrências dos defeitos, z(t) é mapeado em modelos analíticos. Taismodelos seguem distribuições de probabilidades que são escolhidas e configuradas deacordo com o comportamento observado dos sistemas. As distribuições Exponencial (z(t)constante) e Weibull (z(t) apresenta comportamento similar ao da Figura 3.9) são bastanteutilizadas nesses modelos. Adicionalmente, a configuração das distribuições estatísticasutilizadas nos modelos insere um item a mais de dificuldade na modelagem, pois os parâ-metros a serem utilizados devem ser os mais fieis possível ao modelo real. Entretanto, naprática seria necessário observar comportamentos dos defeitos em sistemas semelhantespara a obtenção de parâmetros mais fidedignos. Uma alternativa é obter os parâmetrosem bases de dados já compiladas por várias organizações, como por exemplo o Military

Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F) (1991).

3.3.2 Confiabilidade

Conceitualmente, confiabilidade é definida como a probabilidade de um defeito dosistema não ter ocorrido no intervalo [0, t[. Este conceito foi descrito inicialmente naequação 3.3. Nesta seção iremos definir formalmente o conceito confiabilidade de formasimilar ao descrito em [Shooman 1990]. A ideia é descrever confiabilidade em função dataxa de defeitos z(t).

Sem perda de generalidade vamos assumir que o sistema apresenta dois estados (con-forme descrito na Figura 3.10): operacional e o defeituoso. A transição do estado ope-racional para o defeituoso é vinculada à função z(t). Vamos assumir também a variávelaleatória T como sendo o tempo até o sistema entrar para o estado defeituoso. F(t) ef (t) são respectivamente a função de distribuição acumulativa (equação 3.5) e a funçãode densidade de probabilidade (equação 3.6) de T , ou seja:

z(t)

Operacional Defeituoso

Figura 3.10: Estados do sistema na visão da confiabilidade.


F(t) = P(T ≤ t) (3.5)

f (t) =ddt

F(t) (3.6)

De acordo com a teoria de processos estocásticos [Papoulis & Pillai 2002], a probabi-lidade de um evento (defeito) ocorrer no intervalo [t, t +∆t] é dado por:

P(t < T ≤ t +∆t) = F(t +∆t)−F(t) (3.7)

Estendendo essa definição para a probabilidade condicional, podemos calcular a probabi-lidade de ocorrer um defeito no intervalo t +∆t, sabendo-se que o sistema estava opera-cional no instante t, pela seguinte relação:

P(t < T ≤ t +∆t | t < T ) =P(t < T ≤ t +∆t)

P(T > t)=

F(t +∆t)−F(t)1−F(t)

(3.8)

Dividindo ambos os lados da equação 3.8 por ∆t e calculando o limite ∆t → 0, pode-seobter a seguinte conclusão: a probabilidade de ocorrer um defeito no intervalo t +∆t,sabendo que o sistema estava operacional no instante t, é similar à relação da densidadede probabilidade do defeito pela confiabilidade do sistema (equação 3.9).

lim∆t→0

P(t < T ≤ t +∆t | t < T )∆t

= lim∆t→0

F(t +∆t)−F(t)∆t

· 11−F(t)

=ddt

F(t) · 11−F(t)

=f (t)

1−F(t)(3.9)

Através de algumas manipulações matemáticas (considerando-se as equações 3.1, 3.3 e3.4) é possível relacionar a função z(t) com a equação 3.9. O procedimento é descrito naequação 3.10.


z(t) = lim∆t→0

n(t)−n(t +∆t)n(t)∆t

= lim∆t→0

n(t)−n(t +∆t)∆t

· 1n(t)

= N · f (t) · 1n(t)

=f (t)

1−F(t)(3.10)

Assim, temos condições de definir formalmente o conceito confiabilidade. Baseadona definição do inicio desta seção, a confiabilidade R(t) de um sistema pode ser descritacomo o complemento da função de probabilidade acumulativa dos defeitos.

R(t) = P(T > t) = 1−F(t) (3.11)

Realizando algumas manipulações algébricas nas equações 3.6 e 3.10 podemos encontrara definição formal de confiabilidade. O procedimento é descrito a seguir.

f (t) =ddt

F(t) =ddt(1−R(t)) =−R′(t) (3.12)

z(t) =f (t)

1−F(t)=−R′(t)

R(t)=− d

dtlnR(t) (3.13)

Finalmente, encontramos R(t) calculando a integral em ambos os lados da equação 3.13e elevando a constante matemática neperiana (e) ao resultado. A equação 3.14 comprovaa intrínseca relação entre a taxa de defeitos e a confiabilidade do sistema.

∫ t

0z(u)du = − lnR(t)

R(t) = exp(−∫ t

0z(u)du

)(3.14)

Medidas de valores médios

Uma outra forma de avaliar a confiabilidade do sistema é através dos valores mé-dios/esperados (E(t)) das distribuições de defeitos. Em geral, o tempo médio de funciona-


mento até a ocorrência de um defeito (MTTF) é a medida mais utilizada [Shooman 1990].Baseado na teoria de probabilidade [Papoulis & Pillai 2002] e na equação 3.12 podemosdefinir o MTTF através da seguinte relação:

MT T F = E(t) =∫

∞

0t f (t)dt

= −∫

∞

0t

ddt

R(t)dt

= −∫

∞

0t dR(t)

= −tR(t)∣∣∣∞0+

∫∞

0R(t)dt

=∫

∞

0R(t)dt (3.15)

Exemplos de confiabilidade para algumas taxas de defeitos

Nessa seção as funções z(t), f (t), F(t), R(t) e MTTF serão descritas para as taxasde defeitos mais típicas (constante, crescente e Weibull). A Tabela 3.2 sumariza essasfunções, entretanto alguns detalhes precisam ser descritos. Na taxa de defeitos constanteo parâmetro do modelo é λ, que nesse caso representa o número de defeitos por unidadede tempo. Em relação à taxa de defeitos com comportamento linearmente crescente, oparâmetro do modelo é K, o qual representa a amplitude das curvas. Percebe-se que estesdois modelos anteriores são casos particulares do modelo Weibull (m = 0 correspondeao modelo com taxas constante enquanto que m = 1 ao modelo com taxas linearmentecrescente). O parâmetro m é conhecido como fator de aspecto devido influenciar no com-portamento da curva. Adicionalmente, para o cálculo do MTTF no modelo Weibull énecessário a utilização da função gamma (Γ(x) =

∫∞

0e−ttx−1dt).

3.3.3 Disponibilidade

Conceitualmente, disponibilidade é definida como a probabilidade do sistema estaroperacional no instante de tempo t. Similar à definição da confiabilidade, vamos assu-mir que o sistema apresenta dois estados (conforme descrito na Figura 3.11): operacionale o defeituoso. A transição do estado operacional para o defeituoso é vinculado à taxade defeitos z(t). Nesse novo modelo, após a ocorrência de um defeito o sistema poderáser reparado (manutenção). A transição do estado defeituoso para o operacional é vincu-


Tabela 3.2: Medidas de confiabilidade para taxas de defeitos típicas.

Funções Taxa de defeitos

Constante Crescente Weibull

z(t) λ Kt Ktm

f (t) λe−λt Kte−Kt2/2 Ktme−Ktm+1/(m+1)

F(t) 1− e−λt 1− eKt2/2 1− e−Ktm+1/(m+1)

R(t) e−λt eKt2/2 e−Ktm+1/(m+1)

MTTF 1λ

√π

2KΓ[(m+2)/(m+1)][K/(m+1)]1/(m+1)

Distribuição Exponencial Rayleigh Weibull

lado à taxa de reparação µ(t)3. Se µ(t) é zero (sistema não reparável), então o conceitodisponibilidade iguala-se à definição de confiabilidade.

z(t)

Operacional Defeituoso

μ(t)

Figura 3.11: Estados do sistema na visão da disponibilidade.

De forma geral, a disponibilidade de um sistema pode ser classificada em três ti-pos: instantânea, média e assintótica. A disponibilidade instantânea A(t) é aplicada paraqualquer instante de tempo t e sempre é igual ou superior a confiabilidade R(t) do sis-tema [Grottke et al. 2008]. A(t) depende do modelo e distribuições utilizadas para z(t)

e µ(t). Assumindo-se o modelo de confiabilidade da Figura 3.11 e considerando-se z(t)

e µ(t) constantes, cujos valores são respectivamente λ e µ, pode-se provar [Rausand &Hsyland 2004] que A(t) é dada por:

A(t) =µ

µ+λ+

λ

µ+λe−(λ+µ)t (3.16)

Por outro lado, a disponibilidade média Am(t) avalia a porcentagem de tempo peloqual o sistema ficou operacional no intervalo (0, t]. Formalmente, Am(t) é definida pelaseguinte relação:

3As funções z(t) e µ(t) apresentam formalismos matemáticos semelhantes.


Am(t) =1t

∫ t

0A(τ)dτ (3.17)

Outra questão importante é a avaliação da operacionalidade do sistema considerandoum instante de tempo t muito grande. Na prática consideramos t→ ∞. Nesse caso, esta-remos calculando a disponibilidade assintótica do sistema A∞. Para melhor compreenderessa definição vamos supor o comportamento do sistema como descrito na Figura 3.12. Osistema opera corretamente por vários períodos de tempo e em caso de defeitos, reparossão realizados. MTTF e MTBF são definidos, respectivamente, como o tempo médio até osistema reparar um defeito e o tempo médio entre defeitos. Assumindo-se que n períodosocorreram, podemos encontrar A∞ através da equação 3.18.

Estado do sistema

Operacional

Defeituoso

Op1

Def1

Op2 Op3

MTTF MTBF

MTTR

Def2 Def3

Figura 3.12: Comportamento do sistema para diversos instantes de tempo.

A∞ = limt→∞

=

1n ∑

iOpi

1n(∑

iOpi +∑

iDe fi)

=MT T F

MT T F +MT T R(3.18)

Percebe-se que A∞ depende apenas do MTTF e MTTR do sistema. Assim, não existedependência em relação a natureza das distribuições das taxas de defeitos e reparos.

3.4. ÁRVORES DE FALHAS 67

3.4 Árvores de Falhas

3.4.1 Principais conceitos

Análise de Árvores de Falhas (FTA) é uma técnica eficiente para avaliar qualitati-vamente e quantitativamente a confiabilidade e a disponibilidade dos sistemas [Xing &Amari 2008]. Na análise qualitativa, FTA pode ser utilizada durante o desenvolvimentodo sistema com o objetivo de identificar potenciais problemas que podem conduzir a de-feitos, enquanto que após o comissionamento a técnica pode ser usada para identificar ascausas do defeito. Por outro lado, durante a análise quantitativa é possível mensurar asmedidas de confiabilidade e disponibilidade do sistema em análise.

As principais vantagens da FTA estão relacionadas com o procedimento intuitivo paradescrever os eventos que conduzem aos defeitos do sistema e com a minimização doproblema de explosão do espaço de estados [Sahner et al. 1996], muito comum na mode-lagem de sistemas grandes [Trivedi 2001]. É importante deixar claro que existem outrastécnicas para avaliação da confiabilidade e disponibilidade, como por exemplo diagramade blocos e cadeias de Markov. Entretanto, estas técnicas foram preteridas na tese de-vido a maior flexibilidade na construção das árvores de falhas (FT4), além das vantagensdescritas anteriormente.

As árvores de falhas são classificadas em coerentes e não coerentes. No primeirogrupo estão as FT que não apresentam portas lógicas inversoras, enquanto que no segundogrupo estas portas são permitidas. Adicionalmente, as FT coerentes são classificadas emestáticas e dinâmicas. As FT estáticas são baseadas nas portas lógicas and, or e k-out-

of-n. Assim, a sequência em que os eventos ocorrem não é considerada nas FT estáticas.Por outro lado, nas FT dinâmicas novas portas lógicas foram definidas (FDEP, CSP, HSP,WSP, priority and, SEQ) com o intuito de considerar a sequência em que os eventosocorrem.

A classificação das FT em coerentes e não coerentes assume que os eventos seguemdistribuições estatísticas. Entretanto, em alguns cenários, como por exemplo plantas nu-cleares, viagens espaciais e equipamentos clínicos, as informações sobre os eventos defalhas são insuficientes para inferir sobre suas distribuições estatísticas. Nesses casos alógica Fuzzy pode ser utilizada para criar as chamadas Árvores de Falhas Fuzzy [Tyagiet al. 2010].

Nesta tese utilizamos o formalismo das FT coerentes e estáticas. Sendo assim, a seguiriremos descrever as principais características relacionadas com esse tipo de FT.

4Vamos atribuir à abreviação de árvores de falhas à sua definição na lingua inglesa fault tree(FT).


De uma maneira geral, as FT são modelos gráficos que representam a combinação deeventos responsáveis por conduzir um defeito no sistema. O modelo utiliza uma estru-tura de árvore composta por eventos e portas lógicas. Os eventos representam as condi-ções normais e de falhas do sistema (defeitos nos componentes, condições ambientais,falhas humanas, etc). Os eventos seguem a lógica booleana, ou seja, eles ocorrem ounão ocorrem. Em contrapartida, as relações causa-efeito entre os eventos são representa-das pelas portas lógicas. As entradas destas portas podem ser desde um simples eventoaté uma combinação de eventos oriundos da saída de outra porta lógica. Há vários tiposde portas disponíveis no formalismo, dentre as quais podemos citar and, or e k-out-of-n

(Figura 3.13).

3.4.2 Análise quantitativa

O processo para construir uma FT é realizado dedutivamente e inicia-se pela defini-ção do evento TOPO, que representa a condição de defeito do sistema. A partir desteevento é possível conduzir uma análise retroativa e encontrar as causas do defeito. A FTé estruturada em várias níveis. Os eventos localizados nos níveis mais inferiores são cha-mados eventos básicos. Adicionalmente, se um evento ocorre mais de uma vez na FT eleé chamado evento repetido.

Em relação à análise quantitativa, a avaliação de uma FT consiste em calcular a pro-babilidade do evento TOPO baseado nas probabilidades dos eventos básicos. Este cálculoé realizado diferentemente para cada tipo de porta lógica. Assumindo n entradas/eventosindependentes, onde a ocorrência do evento i é descrita pela sua função de distribuiçãoacumulativa (CDF) Fi(t), podemos descrever as saídas das portas lógicas (CDF) conformedescrito na Figura 3.13 [Rausand & Hsyland 2004]. Quando uma porta and é usada, acondição de defeito é ativada somente no momento em que todas as entradas/eventosocorrerem. Por outro lado, a saída de uma porta or é ativada quando pelo menos umadas suas entradas/eventos está ativa. Finalmente, se uma porta k-out-of-n é usada, a saídaestará ativa se pelo menos k entradas/eventos ocorreram das n disponíveis.

Quando uma FT não apresenta eventos repetidos, a probabilidade do evento TOPO

é obtida pela utilização das equações descritas na Figura 3.13. Entretanto, se eventosrepetidos ocorrerem essas equações não são mais válidas. Nestas condições é necessárioempregar técnicas diferentes. Na literatura podemos encontrar diversas soluções para esseproblema, como por exemplo o princípio de inclusão-exclusão, soma de produtos disjun-tos (SDP), fatoração, métodos recursivos diretos/indiretos [Limnios 2007]. No contextodesta tese iremos focar na soma de produtos disjuntos [Choi & Cho 2007]. Essa téc-


Fi (t) ... Fn(t) Fi (t) ... Fn(t)

or and

𝑭 𝒕 = 𝟏 − (𝟏 − 𝑭𝒊(𝒕))

𝒏

𝒊=𝟏

𝑭 𝒕 = 𝑭𝒊(𝒕)

𝒏

𝒊=𝟏

𝑭 𝒕 = ( 𝑭𝒊 𝒕

𝒊 ∈ 𝑰

)( 𝟏 − 𝑭𝒊(𝒕)

𝒊 ∋ 𝑰

)

|𝑰|≥𝒌

Fi (t) ... Fn(t)

K out of N

Figura 3.13: Função de distribuição acumulativa para as saídas das portas and, or e k-out-of-n.

nica é bastante popular e adotada pela ferramenta SHARPE (bastante difundida no meioacadêmico) [Trivedi & Sahner 2009].

O método SDP pode ser eficientemente empregado nas árvores de falhas com eventosrepetidos, além do mais é facilmente automatizado. A ideia básica deste método é en-contrar uma função booleana φ(x) que descreva a condição de defeito do sistema (i.e., oevento TOP) e transformar esta função em outra, cujos os termos individuais são mutual-mente exclusivos.

Para melhor compreender o método SDP vamos considerar um sistema com n com-ponentes. O primeiro passo do método é a obtenção da função estrutural φ(x), cujo valoré dado por:

φ(x) =

{1 se o sistema falhou0 se o sistema não falhou

(3.19)

onde x é definido como o vetor de estados, x= (x1,x2, . . . ,xn). Cada elemento xi é uma va-riável booleana que representa o estado do componente i (e.g., i= 1⇔ o componente falhou).A função φ(x) pode também ser expressa como a união do conjunto de cortes mínimos.

φ(x) = K1∪K2∪·· ·∪Kn (3.20)

Um conjunto de cortes Ki é um subconjunto de eventos cuja ocorrência simultâneaconduz ao evento TOPO. Um conjunto de cortes é dito ser minimal se ele não contém outroconjunto de cortes. Existem diversos algoritmos para automatizar a geração dos cortesminimais de uma FT [Limnios 2007]. Após a geração dos cortes mínimos, a função φ(x)

deve ser transformada em uma soma de produtos disjuntos como especificado a seguir:


φ(x) = K1∪K2∪·· ·∪Kn = K1∪K1K2∪·· ·∪K1 . . .Kn−1Kn (3.21)

onde Ki é o i-ésimo conjunto de cortes e Ki seu respectivo complemento. Devido aostermos serem mutualmente disjuntos, a probabilidade do evento TOPO pode ser obtidapela soma das probabilidades individuais de cada termo.

Diversas medidas de dependabilidade podem ser extraídas das FT. No contexto destatese iremos focar nas medidas de confiabilidade e disponibilidade. Considerando-se que oevento TOPO representa a condição de defeito do sistema, podemos concluir que a proba-bilidade deste evento ocorrer durante o período de tempo t é o complemento da confiabili-dade R(t). Se o evento TOPO é descrito em função do conjunto de cortes mínimos, então,para calcular a confiabilidade é apenas necessário substituir cada evento i (pertencenteao respectivo conjunto de cortes) pela sua função de confiabilidade Ri(t). Em seguida, aconfiabilidade do sistema R(t) pode ser facilmente calculada usando as leis da probabili-dade (união e intersecção de eventos). Similarmente, a medida de confiabilidade pode serobtida substituindo cada evento por sua respectiva função de disponibilidade Ai(t). Entre-tanto, este procedimento é apenas válido se os processos de reparações dos componentessão independentes e o número de ações de reparos não é limitado. Mais detalhes podemser encontrados em Limnios (2007).

3.4.3 Medidas de importância

Após calcular a probabilidade do evento TOPO (ou qualquer outra métrica relevante,como confiabilidade ou disponibilidade), é possível via FT estimar o comportamento dosistema (dependabilidade). Entretanto, essa avaliação não deixa claro quais as contri-buições dos componentes no resultado final. Tais informações são relevantes para osprojetistas tomarem decisões estruturais sobre o sistema, as quais apresentam impacto di-reto nas medidas de dependabilidade. Exemplos de algumas dessas informações seriamas respostas das seguintes questões:

• Qual a influência de modificar a confiabilidade de um componente na confiabilidadetotal do sistema?• Como a confiabilidade do sistema pode ser melhorada, sabendo-se que os recursos

disponíveis são limitados?• Qual o impacto em utilizar redundância?• Qual o dispositivo mais crítico do sistema?


Nesta seção iremos revisar algumas das medidas de importância que podem ser utili-zadas para classificar os componentes do sistema em ordem de importância. É assumidoum sistema composto de n componentes independentes, onde cada componente i é carac-terizado por sua função de confiabilidade Ri(t).

Birnbaum

A medida Birnbaum IB(i|t) é uma métrica que descreve a importância da confiabili-dade de um componente [Birnbaum & Saunders 1969]. Esta medida é definida como aderivada parcial da confiabilidade do sistema em relação à confiabilidade do componentei, cujo valor é dado por:

IB(i|t) = ∂R(t)∂Ri(t)

for i = 1,2, . . . ,n (3.22)

Se IB(i|t) é grande, uma pequena variação na confiabilidade do componente i irá re-sultar em um mudança considerável na confiabilidade do sistema. O componente i éconsiderado crítico para o sistema se quando o componente i falhar, o sistema tambémfalha. Sendo assim, a medida Birnbaum é também interpretada como a probabilidade docomponente i ser crítico para o sistema no instante t [Rausand & Hsyland 2004].

Criticalidade

A medida de criticalidade ICR(i|t) é uma métrica adequada para priorizar ações demanutenção [Rausand & Hsyland 2004]. Esta medida é definida como a probabilidadeque o component i ser critico no instante t e ele ter falhado nesse instante, sabendo que osistema falhou no instante t. Sua definição é descrita pela seguinte equação:

ICR(i|t) = IB(i|t)(1−Ri(t))1−R(t)

(3.23)

Em outras palavras, a criticalidade é a probabilidade do componente i ter causado umafalha no sistema sabendo-se que o sistema está em falha no instante t.

Fussel-Vesely

A medida Fussel–Vesely IFV (i|t) é uma métrica que descreve como um componentepode contribuir para o defeito de um sistema dado que o componente não é critico [Rausand& Hsyland 2004]. Esta medida é definida como a probabilidade de que pelo menos um


conjunto de cortes mínimos, que contenha o componente i, tenha falhado no instante t,sabendo-se que o sistema falhou nesse mesmo instante. Sua definição é descrita por:

IFV (i|t)≈

m

∑j=1

(1−R j(t))

1−R(t), (3.24)

onde R j(t) é a função de confiabilidade do conjunto de cortes mínimos j que contém ocomponente i, enquanto que m é a quantidade de cortes mínimos que contém o compo-nente i.

3.4.4 Defeitos dependentes

Na FTA é comum considerar que os componentes do sistema falham de forma inde-pendente. Entretanto, na prática este cenário não necessariamente ocorre. Um exemplodisso são os defeitos em modo comum (CCF5). Este tipo de defeito ocorre em múltiploscomponentes no mesmo intervalo de tempo e compartilha da mesma causa, como porexemplo sabotagens, furacões, inundações, obstáculos temporários, descargas elétricas,falhas de projeto, erros humanos, etc. CCF tipicamente ocorrem em sistemas modela-dos com redundância, onde um conjunto de componentes idênticos são utilizados [Z. &JB. 2004]. Outro exemplo muito comum de CCF ocorre nas redes sem fio, onde obstácu-los temporários podem obstruir (defeito) vários enlaces de comunicação ao mesmo tempo.Observa-se que na análise quantitativa, a não consideração de CCF para a modelagem dosistema pode conduz a resultados superestimados [S. et al. 2000].

De uma maneira geral, se o defeito de um componente aumenta a tendência de ocor-rer um outro defeito em um outro componente, diz-se que esses defeitos apresentam umadependência positiva. Caso contrário, essa relação é classificada como negativa [Rausand& Hsyland 2004]. Na teoria de probabilidades, dois eventos (E1 e E2) são considera-dos dependentes positivos se Pr(E1

⋂E2) > Pr(E1) ·Pr(E2) ou Pr(E1|E2) > Pr(E1) ou

Pr(E2|E1)> Pr(E2). De maneira análoga, E1 e E2 são considerados dependentes negati-vos se Pr(E1

⋂E2)< Pr(E1) ·Pr(E2) ou Pr(E1|E2)< Pr(E1) ou Pr(E2|E1)< Pr(E2).

Na metodologia apresentada nesta tese, as falhas nos dispositivos são intrinsecamenterepresentadas por eventos independentes. Todavia, situações excepcionais podem ocorrer(bloqueio temporário do enlace de comunicação, clima adverso, etc), provocando falhasoriundas de eventos dependentes. Como a ocorrência de um evento dependente podeobstruir determinadas rotas, diminuindo a diversidade de caminhos para encaminhamento

5Usaremos a abreviação baseada na definição em linha inglesa, common cause failure (CCF)

3.5. TRABALHOS RELACIONADOS 73

dos dados, classificamos esses eventos com uma dependência positiva.

Durante a geração da FT, componentes são configurados com os tipos de eventosconforme a descrição do problema a ser estudado (configuração do modelo). Apenasressaltando que eventos dependentes são notoriamente eventos repetidos na FT.

3.5 Trabalhos relacionados

O cálculo da confiabilidade/disponibilidade das redes de computadores é um problemaclássico na área de dependabilidade [AboElFotoh & Colbourn 1989]. Este problema podeser classificado em três variações: k-terminal, 2-terminal e all-terminal. Para melhorcompreender este cenário vamos supor uma rede com N dispositivos e um conjunto de K

dispositivos tal que K ⊂ N e |K| < |N|. K é um conjunto de dispositivos formado pelosink6 e |K| − 1 dispositivos de campo. Definindo o dispositivo sink s ∈ K, o problemak-terminal é expresso como a probabilidade que exista pelo menos um caminho entre s etodos os dispositivos em K. Similarmente, o problema 2-terminal é definido para o casoonde |K|= 2, enquanto que o problema all-terminal caracteriza-se pelo cenário onde |k|=|N|. Todos estes problemas são conhecidos serem NP-hard, entretanto, vários algoritmospodem ser encontrados na literatura para redes com tamanhos limitados [Ball 1986].

O problema da confiabilidade/disponibilidade em redes de computadores tem sido lar-gamente estudado para as redes com cabeamento estruturado. Por exemplo, Hou (2003)lidou com o problema de calcular a confiabilidade e disponibilidade de redes cabeadas as-sumindo defeitos de hardware e software. O autor daquele trabalho descreveu importantescontribuições ao lidar com a enumeração do espaço de estados e estratégias adaptativaspara a topologia da rede quando defeitos ocorrem.

As principais diferenças entre a análise de confiabilidade de redes com cabeamentoestruturado e redes sem fio está relacionada com a instabilidade do meio de comunicação,que é mais susceptível a ruídos. Nas redes sem fio a dinâmica é maior devido aos en-laces de comunicação falharem com mais frequência e da mobilidade existente em algunsdispositivos. Um dos trabalhos iniciais na área de confiabilidade para redes sem fio foiconduzido por AboElFotoh & Colbourn (1989). Naquele trabalho os autores modelaram arede sem fio assumindo dispositivos não confiáveis e enlaces de comunicação confiáveis.Os autores mostraram que o problema 2-terminal para redes sem fio é computacional-mente difícil.

Uma rede industrial sem fio pode ser considerada como uma rede de sensores sem fio

6Nesse contexto os termos sink e gateway têm o mesmo significado.


concebida especificamente para aplicações industriais. Sendo assim, metodologias paraavaliar a confiabilidade/disponibilidade das redes de sensores sem fio em geral podem seraplicadas para as redes industriais sem fio. Um desses trabalhos foi proposto por AboEl-Fotoh et al. (2005). Os autores assumiram uma rede de sensores sem fio densa e orga-nizada em clusters. A rede é considerada confiável se existe pelo menos um caminhoentre o sink e um dispositivo de um cluster específico. Os autores assumiram dispositi-vos não confiáveis e enlaces de comunicação confiáveis. Foi provado que, em geral, oproblema é NP-hard. Contudo, para uma topologia de até 40 dispositivos o problemaainda era tratável. Em [Kharbash & Wang 2007], a confiabilidade de redes móveis ad-

hoc foi avaliada baseando-se no problema 2-terminal. Os autores assumiram dispositivosnão confiáveis e enlaces de comunicação com problemas de conectividade. O algoritmoproposto pelos autores embora não seja otimizado, pode ser estendido para redes indus-triais (tipicamente estáticas). Em [Egeland & Engelstad 2009], os autores analisaram ainfluência na confiabilidade de uma rede de sensor sem fio quando dispositivos redun-dantes foram considerados. Aquele trabalho fornece uma discussão bastante interessantesobre a confiabilidade e disponibilidade particularmente se considerarmos um roteadorcomo sendo um dispositivo redundante.

Um tema essencial para a análise da confiabilidade/disponibilidade das redes sem fiosão as CCF. Medir o impacto das CCF o mais breve possível, idealmente nas fases deprojeto e planejamento da rede, é uma questão fundamental. Quando realizada adequa-damente, decisões sobre a topologia, criticidade dos dispositivos, níveis de redundânciae robustez da rede podem ser antecipadas. Uma tentativa inicial para avaliar uma redede sensor sem fio considerando CCF foi conduzida por Shrestha et al. (2006). Contudo,os autores focaram a proposta para um cenário limitado, composto por um único cluster.Introduzindo o conceito de confiabilidade orientada a cobertura, os mesmos autores esten-deram o trabalho anterior [Shrestha et al. 2006] para suportar uma maneira mais flexívelde configurar condições de defeitos [Shrestha et al. 2007]. Entretanto, nessa nova propostanão é possível configurar dois ou mais subconjuntos de coberturas em um mesmo cluster.Os efeitos das CCF foi também analisado por Xing et al. (2012), onde os autores pro-puseram uma técnica regressiva de diagramas de decisões binários para avaliar qualquerrede de sensor sem fio. Porém, a proposta não suporta condições de defeitos genéricostampouco classificar os dispositivos mais críticos da rede. Estas mesmas limitações sãoencontradas em [XIAO et al. 2009], embora os autores tenham melhorado o desempenhodos algoritmos propostos em [Shrestha et al. 2007]. Outro trabalho bastante interessantena área de CCF foi desenvolvido por Xing et al. (2009), onde os autores desenvolveramum modelo combinacional hierárquico usando cadeias de Markov para incorporar falhas


em modo comum. Este modelo pode ser estendido para representar eventos de falhas nosdispositivos das redes sem fio.

Outra análise da confiabilidade orientada a cobertura para redes de sensores semfio foi proposta em [AboElFotoh et al. 2011]. Diferentemente do trabalho propostopor [Shrestha et al. 2006], essa nova abordagem não apresenta suporte para CCF. Nessetrabalho, assume-se que dado uma área A, a rede falha se não existe um conjunto de dis-positivos cujo tráfego gerado não alcança o sink nos limites dessa área. A proposta consi-dera um modelo de confiabilidade baseado em três estados. Foi provado que esse modeloé mais preciso que o modelo baseado em apenas dois estados (operacional/defeituoso).Entretanto a proposta não suporta dispositivos redundantes tampouco análise de criti-calidade. Adicionalmente, a inabilidade em criar diversas áreas de coberturas torna aconfiguração de condições de falhas inflexíveis.

Uma metodologia para análise da confiabilidade de redes de sensores sem fio foi pro-posta por Qureshi et al. (2011). Nesse trabalho, os autores propuseram um mecanismoque controla a formação e topologia da rede. Adicionalmente, a metodologia proposta foiutilizada para avaliar tal mecanismo. A ideia básica é representar a rede como um grafoe medir a confiabilidade baseado no número de spanning tree funcionais. Uma spanning

tree é um sub-grafo que contém todos os vértices e algumas (ou todas) arestas do grafooriginal. Ressalta-se que uma spanning tree não contém ciclos. Os autores assumem quea rede é considerada confiável se existe pelo menos uma spanning tree funcional. A pro-posta é simples e funciona adequadamente para a análise do mecanismo que controla atopologia da rede. Entretanto, a proposta não é adequada para redes genéricas, pois não épossível avaliar redundância e a criticalidade dos dispositivos. Além disto, condições defalhas são difíceis de representar devido à dependência de uma spanning tree.

Como alternativa para as técnicas mencionadas anteriormente, Análise de Árvoresde Falhas (FTA) pode ser utilizada para avaliar a confiabilidade e disponibilidade dasredes sem fio industriais. A principal vantagem da FTA está relacionada com o proce-dimento intuitivo usado na descrição dos eventos que conduzem aos defeitos da rede.Entretanto, para topologias complexas a construção da árvore de falha é uma tarefa quedemanda muito tempo e esforço. A solução usual para este problema é adotar técnicasque construam automaticamente a árvore de falha baseando-se na especificação de umarede genérica. Em [Majdara & Wakabayashi 2009], os autores desenvolveram uma me-todologia para a geração automática das árvores de falhas, cuja ideia central é separar ossistemas em diferentes componentes sendo a representação baseada em tabelas funcionaise transição de estados. Então, os componentes são conectados uns aos outros na tentativade descrever o comportamento de todo o sistema. Após a fase de modelagem, um algo-


ritmo de força-bruta é utilizado para criar a árvore de falha. Uma solução semelhante foiproposta por Hussain & Eschbach (2010), porém designada para o contexto da automaçãoindustrial. No caso, a ideia central do trabalho é modelar o sistema usando um autômatotemporal e logo após realizar uma checagem do modelo com o intuito de verificar quaissituações conduzem para defeitos. Então, os resultados são listados e a árvore de falha égerada.

Diferentemente das duas propostas anteriores, grafos direcionados podem ser utiliza-dos para a geração automática de árvores de falhas [Lapp & Powers 1977]. Um grafodirecionado é composto por nós e arestas. Nós representam os defeitos do componente,enquanto que as arestas representam a relação entre os nós. Em [Kim et al. 2009], osautores desenvolveram um gerador de árvores de falhas baseado em grafos direcionados.Basicamente, o trabalho proposto por Kim et al. (2009) busca uma melhora no desem-penho do algoritmo proposto por Lapp & Powers (1977). Ambos os trabalhos usam adependência entre os componentes do sistema para gerar a árvore de falha.

Recentemente, uma contribuição bastante interessante relacionada com a dependabi-lidade em redes de sensores foi proposta em [Bruneo et al. 2010a, Puliafito et al. 2011].A ideia principal é avaliar um novo parâmetro de dependabilidade chamado produtibili-dade. Este novo parâmetro mede a probabilidade de um sensor estar no estado ativo eser capaz de comunicar-se com o sink no instante t. A proposta combina a confiabili-dade e o consumo de energia do sensor. A condição de falha na rede está relacionadacom a existência de um número mínimo de nós sensores (k− out − n) capaz de enviardados para o sink. Métricas são avaliadas usando técnicas analíticas baseadas em cadeiasde Markov contínuas (CTMC) e funções de recompensa. Em [Bruneo et al. 2010b] osmesmos autores propuseram um mecanismo alternativo baseado em redes de petri es-tocásticas não markovianas. Nesse mesmo trabalho, os autores propõem a utilização deárvores de falhas na tentativa de avaliar as condições de falhas da rede. Embora sejamtrabalhos interessantes, eles são muito focados no problema de consumo de energia, oque dificulta a aplicação da metodologia para redes com topologias genéricas. Ressalta-se que as mesmas limitações são aplicadas para as métricas (confiabilidade e consumode energia). Adicionalmente, as condições de falhas da rede são definidas em uma ma-neira muito restritiva (k−out−n). Essas são limitações importantes para o contexto dasredes industriais sem fio, uma vez que é fundamental identificar falhas em dispositivosespecíficos e não apenas em um grupo de dispositivos.

Torna-se claro a partir da discussão anterior que os trabalhos encontrados na literaturaapenas fornecem uma solução partial para o problema. A grande maioria dos trabalhosrelacionados são focados em cenários específicos resultando em restrições na definição de


condições de falhas, métricas de dependabilidade, reconfiguração da rede, aspectos de re-dundância e aplicação em ambientes industriais. Então, diante da relevância do problemae de não haver uma solução designada para ele, nesta tese propõe-se um nova metodolo-gia para avaliar a dependabilidade das redes sem fio industriais incluindo soluções paraas limitações discutidas anteriormente.

Capítulo 4

Metodologia de Avaliação

Este capítulo descreve a metodologia desenvolvida nesta tese para avaliar a dependa-bilidade (confiabilidade e disponibilidade) de redes industriais sem fio. Ainda na fase deprojeto da rede, a metodologia pode ser utilizada como fornecedora de informações (to-pologia, criticalidade dos dispositivos, nível de redundância) para criação de aplicaçõesmais robustas e confiáveis. As mesmas informações podem também ser utilizadas durantea fase de operação e expansão da rede.

4.1 Introdução

Conforme discutido na Seção 3.5, o problema de avaliar a dependabilidade de umarede genérica é NP-hard. Entretanto, como será descrito nas próximas seções, este pro-blema ainda poderá ser tratado para redes com poucas centenas de dispositivos, o qual seaplica ao contexto das redes industriais.

A Figura 4.1 descreve uma visão geral da metodologia proposta. O processo tem iníciocom o fornecimento de informações sobre a topologia da rede, tipos de dispositivos, níveisde redundância, dados de falhas e reparações, eventos dependentes, métricas de avaliaçãoe a condição de defeito da rede. Esta última é definida por uma expressão lógica que com-bina os estados de falha dos dispositivos. Para suportar a obtenção de condições de defeitomais flexíveis e a utilização de protocolos de roteamento auto-organizáveis, é necessárioencontrar todos os caminhos entre o gateway e os dispositivos que constituem a condiçãode defeito da rede (problema k-terminal). A informação obtida é então processada porum algoritmo de otimização [Shier & Whited 1985], que encontra o conjunto de cortesminimais da rede. Em outras palavras, o algoritmo utilizado encontra uma expressão ló-gica simplificada descrevendo os eventos que conduzem a rede a um defeito. A expressãológica resultante é transformada em uma Árvore de Falha que poderá posteriormente serprocessada por qualquer resolvedor de FTA (software). Devido ser largamente utilizada

80 CAPÍTULO 4. METODOLOGIA DE AVALIAÇÃO

na academia, nesta tese assumimos o uso da ferramenta (resolvedor) SHARPE [Sahneret al. 1996], a qual calcula de forma analítica ou simbólica as métricas de interesse.

Importante esclarecer que a ferramenta SHARPE implementa seus próprios algoritmosde otimização na tentativa de encontrar o conjunto de cortes minimais. Poderíamos atédispensar o uso do pré-processamento (otimização) realizado pela metodologia, porém,se isto fosse realizado, o problema em questão não seria tratável, independente do uso daferramenta SHARPE.

Entrada

K-terminal (todos caminhos entre o

gateway e k dispositivos)

Geração da Árvore de Falha

Saída

Topologia

Métricas de avaliação

Dados de falhas e reparaçõesCondição de defeito da rede

Tipos de dispositivos

ConfiabilidadeDisponibilidade

MTTFMedidas de importância dos componentes

Redundância Defeitos em modo comum

Otimização (conjunto de cortes mínimos para cada k dispositivos)

Figura 4.1: Visão geral da metodologia para avaliação da confiabilidade e disponibilidadedas redes industriais sem fio.

4.2 Entrada de Dados

4.2.1 Topologia

O primeiro passo da metodologia é definir a estrutura de dados que irá modelar arede industrial sem fio. No caso, a rede é organizada como um grafo G(V,A) com n

vértices (V) e k arestas (A). Os vértices representam os dispositivos, enquanto as arestasrepresentam os enlaces de comunicação. Para permitir a compatibilidade com os padrões

4.2. ENTRADA DE DADOS 81

WirelessHART, ISA100.11a e WIA-PA, os dispositivos são abstraídos para os seguintestipos: dispositivos de campo, roteadores, pontos de acesso e gateway. Adicionalmente,a topologia da rede é armazenada na matriz de adjacência (Mn×n) do grafo G. Se umdispositivo Ni tem um vizinho N j, então as entradas mi j e m ji ∈ M irão receber o valorunitário, caso contrário irão receber o valor nulo. Dessa forma, podemos representarqualquer topologia suportada pelos padrões de redes industriais sem fio (linha, estrela,cluster e mesh).

A Figura 4.2 descreve um exemplo de uma rede industrial sem fio representada pelaestrutura de dados mencionada anteriormente. Neste exemplo, a rede é formada por umgateway (Gtw0), um ponto de acesso (Ap0), dois roteadores (R0 e R1) e três dispositivosde campo (Fd0, Fd1 e Fd2).

Gtw0

Ap0

R0 R1

Fd1 Fd0 Fd2

0 1 0 0 0 0 0 1 0 1 1 0 0 0

0 1 0 1 1 1 0 0 1 1 0 0 1 1

0 0 1 0 0 1 0

0 0 1 1 1 0 1 0 0 0 1 0 1 0

Gtw0 Ap0 R0 R1 Fd0 Fd1

Fd2

Gtw0

Ap0

R0

R1

Fd0

Fd1

Fd2

Figura 4.2: Exemplo de uma rede industrial sem fio representada por um grafo e suarespectiva matriz de adjacência.

4.2.2 Configurações de falhas

As configurações de falhas envolvem várias características, desde as distribuições usa-das para representar os processos de falhas e reparações, ocorrência de eventos depen-dentes (defeitos em modo comum) até os níveis de redundância utilizados.

Como descrito na Seção 3.1.1, a referida tese apresenta suporte para as falhas perma-nentes de hardware e enlaces de comunicação. Diferentemente das modelagens tradicio-nais de falhas permanentes em redes sem fio [AboElFotoh et al. 2005, Xing et al. 2012],também foi considerado falhas nos enlaces de comunicação. Todavia, essa última assume


que as falhas apresentam durações com ordens de grandeza muito superior aos milisse-gundos (falhas permanentes). Falhas transientes tipicamente ocorrem na escala dos mi-lissegundos [Willig et al. 2002]. Essa abordagem adequa a metodologia proposta a umaferramenta de projeto, onde métricas estruturais (topologia, redundância, criticalidade dosdispositivos) podem ser avaliadas usando o formalismo de Árvores de Falhas. Por outrolado, a consideração de falhas transientes seriam mais adequadas caso o foco da metodolo-gia fosse a avaliação de desempenho. Neste caso, técnicas de simulação seriam mais ade-quadas, utilizando por exemplo o ns3 (Network Simulator 3) [Ns3 2012, Marcelo Nobre& Silva 2010] ou Redes de Petri Estocásticas Generalizadas (GSPN) [Murata 1989, Iva-novitch Silva & Guedes 2011].

Após uma falha permanente, o dispositivo da rede (hardware ou enlace de comu-nicação) é considerado permanentemente inoperante. Para ser considerado operacionalnovamente um processo de reparação deve ser realizado. Assumimos que as reparaçõessão independentes e que as ações de reparações são ilimitadas. Adicionalmente, para osenlaces de comunicação, determinados eventos de reparação, como por exemplo aquelesrelacionados à interrupção da comunicação devido a obstáculos temporários, podem sermodelados como eventos dependentes. Os eventos dependentes também podem ser confi-gurados para a modelagem de defeitos em modo comum (CCF).

Em relação aos aspectos de redundância, consideramos que existem dois tipos de dis-positivos: sem redundância e com redundância. O primeiro tipo pode ser configurado paraos dispositivos menos críticos, onde falhas não impactem nas aplicações. Por outro lado,os dispositivos redundantes são configurados com um arranjo de redundância ativa (“mo-delo quente”). Nessa caso, quando um dispositivo falha, um dispositivo sobressalenteimediatamente assume sua operação. O fator de cobertura, que mede a probabilidade desucesso na troca entre o dispositivo falhado e o sobressalente, não é suportado pela me-todologia. Do ponto de vista de um observador externo, um dispositivo redundante e umdispositivo sem redundância são indistinguíveis. O número de dispositivos sobressalentespara cada dispositivo é uma entrada do modelo.

A principio qualquer distribuição estatística pode ser utilizada para a modelagem dosprocessos de falhas e reparos. Entretanto, a ferramenta SHARPE em particular, que foiadotada para analisar quantitativamente a metodologia proposta, impõe que a CDF (fun-ção de distribuição acumulativa) deva ser expressa utilizando polinômios exponenciaisconforme descritos na equação 4.1.

F(t) =n

∑j=1

a jtk jeb jt (4.1)


Os termos a j, k j e b j são os parâmetros do polinômio exponencial enquanto que e é aconstante neperiana. Muitas distribuições podem ser expressas utilizando a equação 4.1(e.g., exponencial, erlang, hipoexponencial, hiperexponencial). Outras distribuições nãoexponenciais (e.g., weibull, lognormal, determinística) podem ser aproximadas, porém,utilizando técnicas híbridas envolvendo a combinação de momentos e mínimos quadráti-cos não lineares [Malhotra & Reibman 1993].

Sabendo que polinômios exponenciais são fechados para as operações de soma, mul-tiplicação, diferenciação e integração, as operações das variáveis aleatórias também serãofechadas para a convolução, soma probabilística, maximização e minimização [Trivedi& Sahner 2009]. Em outras palavras, se os componentes da metodologia em questão fo-rem configurados com distribuições exponenciais, a distribuição de toda a metodologiatambém seguirá uma distribuição exponencial. A seguir iremos descrever os detalhes decomo o SHARPE mapeia as referidas distribuições.

Configurando distribuições estatísticas no SHARPE

A ferramenta SHARPE fornece vários procedimentos para a construção de distribui-ções genéricas baseadas na equação 4.1. Iremos descrever os dois principais comandos,poly e gen. O primeiro especifica a criação do polinômio enquanto que o segundo é utili-zado para configuração dos parâmetros a j, k j e b j. A Figura 4.3 exemplifica a utilizaçãodesses comandos. A distribuição pode ser criada pela união de vários polinômios. Per-ceba que no referido exemplo a CDF (minha_distribuição) é formada pela soma de doispolinômios exponenciais.

poly minha_distribuição (a1, k1, b1, a2, k2, b2) gen \a1, k1, b1 \a2, k2, b2 \

CDF = a1.tk1.eb1 + a2.tk2.eb2.t

Figura 4.3: Procedimento usado na criação de distribuições estatísticas genéricas na fer-ramenta SHARPE.

Em termos de configuração, a distribuição mais simples é a própria exponencial, cujadefinição é descrita na Figura 4.4. O único parâmetro da distribuição é λ, o qual descrevea taxa de defeitos. Se 1000 defeitos ocorrem a cada ano, então λ será igual 1

1000 = 0.001.A distribuição exponencial é convenientemente atribuída ao período de vida útil dos com-


ponentes eletrônicos, onde observa-se uma taxa constante de defeitos [Trivedi 2001].

poly exp (λ) gen \ 1, 0, 0 \ -1, 0, -λ \

CDF = 1 – e-λ.t

Figura 4.4: Definição da distribuição exponencial na ferramenta SHARPE.

Outra distribuição suportada é a hipoexponencial, muito utilizada para representaruma taxa de defeito crescente (Figura 3.9 para t ≥ 0 e t > T2). A distribuição hipoexpo-nencial é gerada pela convolução de duas distribuições exponenciais diferentes [Sahneret al. 1996]. A Figura 4.5 descreve o mapeamento da distribuição hipoexponencial na fer-ramenta SHARPE. Os parâmetros λ1 e λ2 representam as taxas de defeitos das respectivasdistribuições exponenciais.

poly hipoexp (λ1, λ2) gen \ 1, 0, 0 \ -λ2/(λ2-λ1), 0, -λ1\ λ1/(λ2-λ1), 0, -λ2 \

CDF = 1 – λ2/(λ2-λ1) e-λ1.t+ λ1/(λ2-λ1) e-λ2.t

Figura 4.5: Definição da distribuição hipoexponencial na ferramenta SHARPE.

A convolução de n distribuições exponenciais semelhantes, um caso particular da dis-tribuição hipoexponencial, gera a distribuição erlang [Trivedi 2001]. Esta distribuição écomumente utilizada na modelagem dos tempos de defeitos e reparos dos sistemas [Cho& Parlar 1991, EL-Sherbeny 2012]. A Figura 4.6 descreve a configuração da distribuiçãoerlang na ferramenta SHARPE para n = 2 e a taxa de defeitos igual a λ.

A ferramenta SHARPE também apresenta suporte para a distribuição hiperexponencial.Se considerarmos que um processo (variável aleatória) passa por n estágios no tempo,cada qual apresentando uma distribuição exponencial, então a distribuição estatística detodo processo será hiperexponencial [Kharboutly 2011]. A Figura 4.7 descreve a configu-ração na ferramenta SHARPE da distribuição hiperexponencial para n = 2. Os parâmetrosλ1 e λ2 representam a taxa de defeitos das respectivas distribuições exponenciais em cada


poly erlang (λ,n) gen \ 1, 0, 0 \ -1, 0, -λ \ - λ, 1, -λ \

CDF = 1 - Ʃn-1(λt)i/i! e-λ.t

i=0

CDF (n=2) = 1 - e-λ.t- λt.e-λ.t

Figura 4.6: Distribuição erlang configurada na ferramenta SHARPE para o caso particularn = 2.

estágio, enquanto que α1 e α2 indicam a probabilidade de ocorrência de cada distribuição

(estágio). Lembrando quen

∑i=1

αi = 1.

poly hiperexp (λ1,λ2,α1,α2) gen \ 1, 0, 0 \ -α1, 0, -λ1 \ -α2, 0, -λ2 \

CDF = 1 - Ʃnαi e-λi.t

i=1

CDF (n=2) = 1 - α1e-λ1.t – α2e-λ2.t

Figura 4.7: Distribuição hiperexponencial configurada na ferramenta SHARPE para o casoparticular n = 2.

A distribuição determinística, apesar de sua natureza não exponencial, também é re-presentada na ferramenta SHARPE. Este tipo de distribuição é geralmente utilizada paramodelar sistemas com reparos automáticos ou manutenção preventiva regular [Malhotra& Reibman 1993]. Técnicas de combinação de momento são utilizadas para aproximar adistribuição determinística com média µ a uma distribuição erlang de n estágios. Nessecaso, de acordo com Malhotra & Reibman (1993) a taxa de defeitos λ da distribuição er-

lang será igual à relação descrita na equação 4.2. A ferramenta SHARPE considera o usode pelo menos 10 estágios (n = 10). Logo, a distribuição determinística poderá ser en-contrada apenas aplicando os valores de λ e n nos procedimentos definidos na Figura 4.6.

λ =nµ

(4.2)

Outra distribuição de natureza não-exponencial é a lognormal. Nativamente, a ferra-menta SHARPE não fornece suporte a distribuição lognormal, porém, uma aproximação


utilizando polinômios exponenciais pode ser encontrada em [Malhotra & Reibman 1993].A ideia é combinar os dois primeiros momentos (média e variância) da distribuição lo-gnormal com os dois primeiros momentos da convolução de duas distribuições erlang.Os parâmetros do modelo são encontrados utilizando uma técnica não-linear de mínimosquadrados. Em seguida, o CDF da distribuição resultante é gerado utilizando o procedi-mento descrito na Figura 4.3.

Um procedimento similar é utilizado pela ferramenta SHARPE para aproximar a dis-tribuição weibull. Considerando uma taxa de defeitos crescente, uma distribuição erlang

é utilizada para aproximação. A ideia é combinar os dois primeiros momentos da distri-buição erlang com os dois primeiros momentos da distribuição weibull. Após encontrar ataxa de defeitos λ e o número de estágios da distribuição erlang, o procedimento definidona Figura 4.6 pode ser utilizado. A mesma ideia é adotada para uma taxa de defeitos de-crescente, porém, a distribuição hiperexponencial é utilizada em detrimento a distribuiçãoerlang [Malhotra & Reibman 1993].

4.2.3 Condição de defeito da rede

Dependendo dos requisitos impostos pelas aplicações, falhas em dispositivos especí-ficos podem conduzir a defeitos em toda rede. Para avaliações mais fidedignas, deve-seconfigurar na entrada da metodologia a combinação dos dispositivos que eventualmenteconduzem a um defeito na rede. Essa configuração será utilizada como o evento topo daárvore de falha.

A metodologia suporta condições de defeitos cuja a combinação de dispositivos possaser configurada utilizando as portas lógicas and, or ou k-out-n. Na prática, qualquerconfiguração pode ser utilizada. Assumindo uma rede industrial sem fio formada por 10dispositivos de campo e 1 gateway, exemplos de condições de defeito poderiam ser:

• Se os dispositivos de campo 1, 2 e 3 falharem a rede sofrerá um defeito;• Se pelo menos 5 dispositivos de campo falharem a rede sofrerá um defeito;• Se os dispositivos de campo 1 e 5 falharem ou se os dispositivos 1 e 4 falharem um

defeito ocorrerá.

Observa-se em cenários reais que apenas os dispositivos de campo participam dire-tamente do processo a ser monitorado. Os roteadores apresentam apenas a função deencaminhamento de mensagens. Se um roteador falhar o processo industrial ainda seráexecutado devido o roteador não interferir fisicamente nas variáveis. Dessa forma, apenasdispositivos de campo são utilizados na configuração das combinações que conduzem a

4.3. PROBLEMA K-TERMINAL 87

um defeito na rede. Obviamente, assume-se que um roteador pode falhar. Ele apenas nãoé utilizado na condição de defeito da rede.

Sem perda de generalidade, se a aplicação exigir que um roteador seja inserido nacondição de defeito da rede, então basta configurar o respectivo roteador como sendoum dispositivo de campo. Essa configuração não alterará em nada o procedimento dametodologia proposta nesta tese.

O mesmo raciocínio é válido para o ponto de acesso e o gateway. Em caso de falhadesses dispositivos, todo a rede irá falhar e consequentemente um defeito ocorrerá. Comoserá descrito nas próximas seções, falhas no ponto de acesso e no gateway já são indi-retamente assumidas. Dessa forma, não há necessidade de colocar esses dispositivos nacondição de defeito da rede.

4.2.4 Métricas de avaliação

As seguintes medidas de avaliação podem ser computadas na metodologia: confiabili-dade, disponibilidade, MTTF e as medidas de importância dos dispositivos. Dependendoda métrica a ser avaliada, informações adicionais deverão ser configuradas.

Para as métricas confiabilidade e MTTF da rede e as medidas de importância dosdispositivos, deve-se informar a função de confiabilidade Ri(t) (equação 3.14) para cadadispositivo i. Note que a equação 3.14 depende da taxa de defeitos, a qual permite autilização das distribuições estatísticas descritas anteriormente.

Um procedimento levemente diferente é conduzido se a métrica disponibilidade darede for requisitada. Nesse caso, deve-se informar as taxas de defeitos e reparaçõespara cada dispositivo i. Note que para essa métrica apenas taxas constantes (distribuiçãoexponencial) são suportadas, cuja disponibilidade em cada dispositivo Ai(t) é calculadaconforme a equação 3.16. Outras distribuições podem também ser suportadas usando oconceito de modelos hierárquicos definidos na ferramenta SHARPE. Nessa configuração,o modelo de disponibilidade é construído primeiro (e.g. usando um modelo de dois es-tados baseado nos CDFs das taxas de defeitos e reparações) e sua saída (Ai(t)) é usadapara entrada de um modelo maior. Porém, a utilização de modelos hierárquicos não ésuportada pela metodologia. Essa implementação foi deixada como trabalhos futuros.

4.3 Problema k-terminal

Na metodologia proposta nesta tese, um dispositivo é considerado em falha se nãoexiste um caminho conectando o gateway ao respectivo dispositivo. Assumindo que a


condição de defeito da rede é formada por k dispositivos de campo, então, a análise quan-titativa da dependabilidade recai no problema clássico de confiabilidade k-terminal (Se-ção 3.5).

Dado que o parâmetro k é uma entrada da metodologia, o primeiro passo é encontrartodos os caminhos entre o gateway e cada dispositivo i ∈ k. Conforme descrito no Algo-ritmo 1, esse procedimento é realizado através de uma busca em profundidade no grafo(matriz de adjacência) que mapeia a topologia da rede. A ideia do algoritmo é percorrerrecursivamente toda matriz de adjacência a partir de um dispositivo alvo até que o gate-

way seja alcançado (um caminho foi encontrado). Duas restrições foram introduzidas parareduzir a complexidade do algoritmo. A primeira restrição elimina buscas desnecessáriasnos vizinhos dos pontos de acessos (linha 5). Os pontos de acessos estão diretamente li-gados ao gateway e não se comunicam com outros pontos de acessos. A segunda restriçãoestá relacionada com a eliminação de ciclos (linha 8). Durante a recursão, um dispositivoapenas é adicionado a um caminho caso não esteja naquele caminho.

Algoritmo 1: Geração de todos caminhos entre um dispositivo e o gatewayAlgoritmo: DFS (caminhos, dispositivo, caminho_atual)Saída : todos caminhos entre um dispositivo e o gateway.

1 para i← 0; i < número de dispositivos; i ++ faça// Se o dispositivo é o gateway então um caminho foi

encontrado2 se dispositivo == gateway então3 caminhos.adiciona(caminho_atual);4 break;

// Não pesquisar nos vizinhos dos pontos de acessos5 se dispositivo == ponto de acesso && i 6= gateway então6 break;

// Pesquisando nos dispositivos vizinhos7 se matriz de adjacência [dispositivo][i] == 1 então

// Eliminar ciclos8 se caminho_atual.está_no_caminho(i) < 0 então9 caminho_atual.adiciona(i);

10 DFS(caminhos,i,caminho_atual);11 caminho_atual.remove;

Para auxiliar a compreensão do Algoritmo 1 iremos descrever um exemplo do fluxode saída, assumindo o cenário descrito na Figura 4.2, quando todos os caminhos entre odispositivo de campo Fd0 e o gateway estão sendo pesquisados. O fluxo de saída deste

4.4. CONJUNTO DE CORTES MINIMAIS 89

exemplo é descrito na Figura 4.8. Percebe-se que apenas dois caminhos são ilustrados(círculos em cinza escuro) por questões de espaço, entretanto outros caminhos podemser facilmente deduzidos. O fluxo de saída inicia pelo dispositivo Fd0 e explora todosos ramos possíveis (vizinhos) até alcançar o gateway. Após encontrar um caminho umprocedimento backtracking é conduzido e outros ramos podem ser avaliados. A Figura 4.8é formada por cinco níveis. O primeiro nível é formado apenas pelo dispositivo Fd0.O segundo nível é formado pelos vizinhos do dispositivos Fd0 (R0 e R1). Os outrosníveis seguem o mesmo procedimento levando em consideração as restrições impostaspelo Algoritmo 1 (linhas 5 e 8).

Fd0

R0 Fd1

...

Ap0 R1 Fd1

...

Gtw0 Ap0 Fd1

...

Fd2

...Gtw0

1

Figura 4.8: Saída do Algoritmo 1 assumindo como referência o dispositivo Fd0 da Fi-gura 4.2.

4.4 Conjunto de Cortes Minimais

Após construir a estrutura de dados contendo todos os caminhos entre os dispositivosque compõem a condição de defeito da rede e o gateway, naturalmente, o passo seguinteseria a construção da árvore de falha. Todavia, se esse procedimento for realizado a meto-dologia apresentará uma escalabilidade inferior a 20 dispositivos [Silva et al. 2012], comoserá descrito no próximo capítulo. Dependendo da topologia, redes com até 20 disposi-tivos podem facilmente gerar mais de 500.000 caminhos diferentes. Se considerarmos


que um caminho é formado por vários dispositivos e que cada dispositivo será mapeadocomo um evento na árvore de falha, então podemos concluir que a avaliação quantitativade tal estrutura torna-se inviável computacionalmente com o crescimento da rede. Estalimitação ocorre pois a quantidade de eventos e portas lógicas da árvore de falha crescefortemente com o aumento do número de caminhos possíveis na rede.

A solução para este problema encontra-se na utilização de um algoritmo que sim-plifique a massa de dados gerada no fluxo de saída do Algoritmo 1 (caminhos entre osdispositivos e o gateway). A ideia básica é encontrar o conjunto de cortes minimais in-dividualmente para cada dispositivo. O conjunto de cortes minimais é uma expressãológica que indica o conjunto mínimo de dispositivos cujas falhas levam a um defeito narede. Este procedimento é descrito no Algoritmo 2.

Algoritmo 2: Procedimento utilizado para viabilizar a geração da árvore de falha.Algoritmo: simplificação (k dispositivos)Parâmetros: k dispositivos pertencentes a condição de defeito da rede.Saída : conjunto de cortes mínimos individualmente para todos os k

dispositivos.

1 para i← 0; i < k dispositivos; i ++ faça2 caminhos← nulo;3 caminho_atual← nulo;

// Encontra todos os caminhos entre o dispositivo i e o gateway4 DFS(caminhos,i,caminho_atual);

// Informa para o dispositivo i o seu respectivo conjunto decortes mínimos

5 dispositivos [i ]← corte_mínimo(caminhos);

6 retorne dispositivos[];

O algoritmo utilizado para implementar a função corte_mínimo é similar ao propostopor Shier & Whited (1985). A principal diferença é que na proposta original os autoresconsideraram um grafo onde apenas arestas podem falhar enquanto que na metodologiaproposta nesta tese ambos vertices (dispositivos) e arestas (enlaces de comunicação) sãopassiveis de falhas.

Uma técnica de inversão para geração do conjunto de cortes em um grafo a partir doconjunto de caminhos mínimos foi proposto por Locks (1978). Para o contexto das redesindustriais sem fio, um conjunto de caminhos minimais representa combinações de dis-positivos tal que, se todos dispositivos de pelo menos uma combinação estão funcionandocorretamente, então a rede funcionará corretamente. Locks (1978) provou que a aplicaçãodas leis de DeMorgan à expressão do conjunto de caminhos minimais resulta na expressão


de cortes minimais em um grafo. Um algoritmo eficiente para a geração de cortes mini-mais por inversão foi desenvolvido em [Shier & Whited 1985] baseado no procedimentoproposto em [Locks 1978]. Ressalta-se que esse algoritmo foi proposto originalmente noâmbito de grafos, sendo inédita a aplicação no contexto de árvores de falhas.

Para uma melhor compreensão do procedimento implementado na função corte_mínimo,considere a topologia descrita na Figura 4.9. Neste exemplo, assume-se que a condiçãode defeito da rede seja composta pelo dispositivo de campo Fd2 e que apenas os enlacesde comunicação possam falhar. Li indica que o enlace de comunicação entre dois dispo-sitivos está operacional, enquanto que Li representa uma falha no enlace de comunicação.Baseado em Shier & Whited (1985), o conjunto de caminhos mínimos para este cenárioé definido na equação 4.3.

Gtw

Fd0

Fd2

Fd1

L1

L2

L3

L5

L4

Figura 4.9: Topologia utilizada para exemplificar a geração do conjunto de cortes míni-mos.

L1L4 +L2L5 +L2L3L4 +L1L3L5 (4.3)

Em outras palavras, a rede estará operacional se os enlaces de comunicação L1 e L4 ou L2

e L5 ou L2 e L3 e L4 ou L1 e L3 e L5 estiverem operacionais. Como descrito por Locks(1978), aplicando as leis de DeMorgan na equação 4.3 encontra-se uma expressão ló-gica (não simplificada) para o conjunto de cortes mínimos (equação 4.4). Aplicando asleis da distributividade ((A+B)C = AC+BC) e absorção (A+AB = A) na equação 4.4encontramos a expressão do conjunto de cortes mínimos na sua forma final (equação 4.5).

(L1 +L4)(L2 +L5)(L2 +L3 +L4)(L1 +L3 +L5) (4.4)

L1L2 +L1L3L5 +L2L3L4 +L4L5 (4.5)


A equação 4.5 caracteriza a condição de falha do dispositivo de campo Fd2. Em outraspalavras, o referido dispositivo é considerado estar em um estado de falha (sem caminhospara o gateway) se os enlaces de comunicação L1 e L2 ou L1 e L3 e L5 ou L2 e L3 e L4 ouL4 e L5 não estiverem operacionais.

Por outro lado, se no exemplo da Figura 4.9 considerarmos apenas falhas de hardware,então o conjunto de caminhos mínimos será diferente daquele descrito na equação 4.3.No caso, o conjunto de caminhos mínimos é descrito pela equação 4.6. De forma similar,se aplicarmos as leis de DeMorgan e usarmos as leis da distributividade e absorção naequação 4.6 o novo conjunto de cortes mínimos será encontrado (equação 4.7). Em outraspalavras, assumindo apenas falhas de hardware, o dispositivo de campo Fd2 irá falhar(sem caminhos para o gateway) se o gateway ou o próprio dispositivo Fd2 ou Fd0 e Fd1

falharem.

Fd2Fd0Gtw+Fd2Fd1Gtw+Fd2Fd0Fd1Gtw+Fd2Fd1Fd0Gtw (4.6)

Gtw+Fd2 +Fd0 Fd1 (4.7)

Detalhes de implementação da função corte_mínimo são descritos no Algoritmo 3.Independentemente de considerar falhas nos enlaces de comunicação ou nos hardwares

dos dispositivos, todos caminhos entre os dispositivos que compõem a condição de de-feito da rede e o gateway precisam ser encontrados. Note que em ambas as equações 4.3e 4.6 quatro caminhos foram utilizados para a geração do conjunto de cortes mínimos dodispositivo Fd2. Intuitivamente, após a aplicação das leis de DeMorgan (equação 4.4),as expressões são multiplicadas (lógica boolean) termo a termo. Por exemplo, na equa-ção 4.4 a primeira expressão (L1 +L4) é multiplicada pela segunda expressão (L2 +L5)e o resultado é então multiplicado pela terceira expressão (L2 +L3 +L4). O processo érepetido até que todos os caminhos tenham sido processados (linha 2 do Algoritmo 3).

Aplicando-se as leis da distributividade e absorção, Shier & Whited (1985) definiramtrês regras com o objetivo de simplificar o processo de multiplicação utilizado na equa-ção 4.4 1. A ideia inicial é combinar duas expressões (caminhos) termo a termo e geraruma matriz cujo os elementos representam a multiplicação dos respectivos termos (linha 3do Algoritmo 3). Um exemplo é descrito na Figura 4.10, assumindo-se duas expressõesfictícias ( expressão 1 = (L1 +L3L5 +L5L6 +L3L4) e expressão 2 = (L1 +L3 +L4)).

A regra 1 define que na multiplicação de dois termos iguais a linha e a coluna damatriz de multiplicação do respectivo resultado devem ser eliminadas (linha 6 do Algo-

1O mesmo procedimento pode ser utilizado para as falhas de hardware.


Algoritmo 3: Procedimento utilizado na geração dos cortes mínimos.Algoritmo: corte_mínimo (caminhos)Parâmetros: todos caminhos entre um dispositivo e o gateway.Saída : conjunto de cortes mínimos para um dispositivo.

1 solução← caminhos.próximo_caminho();2 para i← 1; i < caminhos.tamanho() - 1; i ++ faça3 matriz← gerar_matriz(solução,caminhos.próximo_caminho());4 para m← 0; m < matriz.linhas(); m ++ faça5 para j← 0; j < matriz.colunas(); j ++ faça6 se é_regra_1(matriz,m,j) então7 regra_1.adiciona(matriz [m,j ]);8 remove_linha_e_coluna(m,j);9 senão se é_regra_2(matriz,m,j) então

10 regra_2.adiciona(matriz [m,j ]);11 remove_linha_ou_coluna(m,j);12 senão13 regra_3.adiciona(matriz [m,j ]);

14 simplifica(regra_3,regra_2);15 solução← merge(regra_1,regra_2,regra_3);

16 retorne solução;

ritmo 3). A regra 1 baseia-se na lei da absorção. Percebe-se que na Figura 4.10 (Regra 1)a expressão L1 +L1L3 +L1L4 +L1L3L5 +L1L5L6 +L1L3L4 = L1.

Similarmente à regra 1, a regra 2 baseia-se na lei da absorção para eliminar operaçõesdesnecessárias na matriz de multiplicação (linha 9 do Algoritmo 3). A saber, se a multipli-cação termo1×termo2 = termo1, então a linha da matriz de multiplicação referente ao re-sultado deverá ser eliminada. Esta propriedade pode ser observada na Figura 4.10 (Regra2). Note que a seguinte relação pode ser simplificada: L3L5 +L1L3L5 +L3L4L5 = L3L5.

Analisando o algoritmo original [Shier & Whited 1985] percebeu-se que se a multipli-cação termo1× termo2 = termo2 ocorrer, então a coluna do respectivo resultado poderáser eliminada da matriz de multiplicação. Essa variação não foi considerada no algoritmooriginal e contribui ainda mais para a simplificação das operações.

Finalmente, os resultados que não foram eliminados pela duas regras anteriores aindaprecisam ser analisados antes de entrarem na solução final. Simplificações podem serrealizadas comparando estes resultados com os resultados da regra 2 (linha 14 do Algo-ritmo 3). Nota-se que não existe a necessidade de comparar com os resultados da regra 1haja vista que todas as linhas e colunas da matriz são eliminadas. Adicionalmente, ape-


43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Matriz de Multiplicação

43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Regra 1

43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Regra 2

43

65

53

1

LL

LL

LL

L

431 LLL

1L

531 LLL

651 LLL

431 LLL

31LL

53LL

653 LLL

43LL

41LL

543 LLL

654 LLL

43LL

Regra 3

Figura 4.10: Simplificação utilizada na geração do conjunto de cortes mínimos.

nas faz sentido as simplificações dos resultados de uma mesma coluna. Por exemplo, naFigura 4.10 (Regra 3), o termo L4L5L6 não pode ser simplificado pelos termos L3L5 ouL3L4 devido estarem em colunas diferentes na matriz de multiplicação. Por outro lado asimplificação já é possível para termo L3L5L6. Perceba que a seguinte relação é válida:L3L5L6 +L3L5 = L3L5.

A solução final da multiplicação entre duas expressões (caminhos) é formada pelosresultados das regras 1, 2 e 3. Após processar todos os caminhos entre o dispositivo alvoe o gateway o conjunto de cortes mínimos para o respectivo dispositivo é então encontrado(linha 16 do Algoritmo 3).

4.5 Geração da Àrvore de Falha

O procedimento utilizado para a geração automática da árvore de falha depende dasestruturas de dados descritas nas seções anteriores. O Algoritmo 4 descreve sucintamenteas etapas necessárias para realização do respectivo procedimento. O primeiro passo éobter todos os k dispositivos que fazem parte da condição de defeito da rede. Essa infor-mação é utilizada para gerar o conjunto de cortes mínimos individualmente para cada k

dispositivo. Em seguida, na expressão que descreve a condição de defeito da rede, a ocor-rência de cada k dispositivo é substituída por seu respectivo conjunto de cortes mínimos.

4.5. GERAÇÃO DA ÀRVORE DE FALHA 95

Finalmente, a árvore de falha é gerada.

As informações relevantes implementadas na função gerar_árvore_de_falha estão re-lacionadas com o mapeamento das falhas de hardware e enlaces de comunicação noscenários com/sem redundância e defeitos em modo comum. Outros aspectos descrevemo acoplamento entre o respectivo mapeamento, conjunto de cortes mínimos e a condiçãode defeito da rede. A seguir todas essas características serão descritas em detalhes.

Algoritmo 4: Procedimento utilizado na geração da árvore de falha.Algoritmo: árvore_de_falha ()Saída : árvore de falha relacionada com a rede industrial sem fio.

1 dispositivos← defeito_da_rede.dispositivos();2 cortes← simplificação(dispositivos);3 defeito_da_rede.configurar(cortes);4 gerar_árvore_de_falha(defeito_da_rede);

4.5.1 Falhas de hardware

As falhas de hardware são definidas levando-se em consideração três características:o tipo de dispositivo, natureza do dispositivo e presença de eventos dependentes. AsFiguras 4.11 e 4.12 ilustram o mapeamento das falhas de hardware na árvore de falha.

Um dispositivo i pode ser configurado entre quatro tipos: dispositivo de campo, pontode acesso, gateway e roteador. Cada tipo de dispositivo é representado respectivamentepelos eventos Fdi, Api, Gtwi e Ri. Sem perda de generalidade, nas Figuras 4.11 e 4.12estes eventos foram substituídos pelo rótulo Ei.

Em relação à natureza do dispositivo, duas classificações são suportadas: com re-dundância e sem redundância. Na primeira classificação é assumido uma redundânciaativa configurada com um “modelo quente”. Nas Figuras 4.11 e 4.12, um dispositivoredundante é representado pela porta lógica and nomeada por and_Ei. Assumindo-se aausência de defeitos em modo comum (CCF), uma falha de hardware para um dispositivoredundante apenas ocorrerá se todos os dispositivos sobressalentes (Ei_a . . .Ei_z) falharem.Situação contrária ocorre com o dispositivo sem redundância, onde apenas uma falha dehardware ocasiona a falha do respectivo dispositivo (evento Ei_a na Figura 4.11).

A consideração de cenários com defeitos em modo comum alteram o mapeamento dasfalhas de hardware. Perceba as diferenças visíveis presentes nas Figuras 4.11 e 4.12. Apresença de um defeito em modo comum (evento CCFi) provoca uma falha no disposi-tivo independente do uso de redundância (Figura 4.12). Dependendo dos requisitos das


and

...Ei_a Ei_z

Ei

Redundância Sem redundância

Ei

Ei_a

and_Ei

Ei

Fdi

Api

Gtwi

Ri

Figura 4.11: Falhas de hardware sem defeitos em modo comum (CCF).

aplicações, diversos defeitos em modo comum podem ser configurados. Uma porta ló-gica or nomeada por or_Ei foi adicionada ao modelo com o intuito de representar que umdispositivo pode falhar devido a problemas de hardware ou defeitos em modo comum.

and

...Ei_a Ei_z

Ei

Redundância

Sem redundância

and_Ei

or

CCF1 CCFk

...

or_Ei

Ei

or

CCF1 CCFk

...

or_Ei

Ei_a

Figura 4.12: Falhas de hardware com defeitos em modo comum (CCF).

4.5.2 Falhas nos enlaces de comunicação

As falhas nos enlaces de comunicação são mapeadas de uma maneira mais simplesna árvore de falha do que as falhas de hardware. Primeiro, não existe variações de tipos,tampouco configurações de redundância. A única configuração a ser realizada diz res-peito ao uso de cenários com defeitos em modo comum. A Figura 4.13 ilustra o referidomapeamento.

A falha no enlace de comunicação i é mapeada no evento linki_a. A letra “a” no nomedo evento foi utilizada para reforçar a ideia que os enlaces não são configurados comredundância. Se defeitos em modo comum não são suportados, então falhas nos enlaces


Sem defeitos em modo comum

Linki

or

CCF1 CCFk

...

or_linki

Linki_a

Linki

Linki_a

Com defeitos em modo comum

Figura 4.13: Mapeamento das falhas nos enlaces de comunicação.

de comunicação ocorrem devido um único problema (ruído, interferência, bloqueio desinal, etc). Por outro lado, se defeitos em modo comum (evento CCFi) são considerados,situações adicionais podem provocar a falha em um mesmo enlace de comunicação. Acombinação de diferentes possibilidades de falhas é mapeada na porta lógica or nomeadapor or_linki.

O suporte aos defeitos em modo comum é fundamental para a modelagem mais fide-digna do comportamento da rede. Os enlaces de comunicação estão sujeitos a diferentestipos de agentes externos que podem provocar a interrupção da comunicação em váriosenlaces simultâneos.

4.5.3 Mapeamento dos cortes mínimos

O mapeamento na árvore de falha do conjunto de cortes mínimos é uma dos procedi-mentos mais importantes da metodologia. Lembrando que o conjunto de cortes mínimosindica a condição de falha (simplificada) para cada dispositivo2. Conforme descrito nasequações 4.5 e 4.7, o conjunto dos cortes mínimos é representado por combinações deportas lógicas and, or e eventos individuais. A Figura 4.14 ilustra o respectivo mapea-mento na árvore de falha.

Cada combinação é representada pelo evento comb_i_and_Ei, onde i indica a identi-ficação da combinação. Eventualmente, combinações podem ser formadas por um únicoevento. Por exemplo, na equação 4.7 o conjunto de cortes mínimos para o dispositivo Fd2

é formado por 3 combinações, sendo duas delas formadas por um único evento.

Observe que apenas um tipo de falha (hardware ou enlace de comunicação) poderáser avaliado em cada modelo (Ei⊕Linki). A mistura de tipos diferentes de eventos não

2Obviamente, estamos supondo que o dispositivo em questão é membro da condição de defeitos da rede.


cortes_Ei

orEi Linki

...

or_cortes_Ei

and andcomb_1_and_Ei

...

comb_k_and_Ei

Figura 4.14: Mapeamento na árvore de falha do conjunto de cortes mínimos para umdispositivo.

é suportada pela metodologia. Mesmo considerando falhas permanentes para os enlacesde comunicação, análises conjuntas com falhas de hardware resultariam em conclusõesinconsistentes pois estaríamos comparando escalas temporais diferentes (horas e anos).

Questões relacionadas com a não utilização da técnica de cortes mínimos

Esta subseção descreve o mapeamento da condição de defeito para um dispositivoassumindo-se que a técnica dos cortes mínimos não foi empregada. Essa abordagemnão garante a escalabilidade da metodologia, porém, sua descrição é fundamental paraesclarecer as diferenças quando a técnica dos cortes mínimos é considerada. A Figura 4.15ilustra o referido mapeamento.

and

pathi pathn

sem_cortes_Ei

or

Ei

...

Ek

...

pathi

or

Linki Linkk

...

pathi

k-terminal Falhas de hardware Falhas nos enlaces de comunicação

Figura 4.15: Condição de defeito dos dispositivos sem a técnica dos cortes mínimos.

Devido não apresentar suporte a técnicas de simplificação, a condição de defeito paraum dispositivo é relacionada diretamente ao problema k-terminal. Em outras palavras, odispositivo é considerado estar no estado de falha se todos os caminhos entre o respectivo


dispositivo e o gateway estão indisponíveis. Um caminho é considerado indisponívelse pelo menos um dispositivo ou enlace de comunicação ao longo do caminho falhar.Percebe-se que a definição dos eventos Ei e Linki são similares aos modelos descritos nasFiguras 4.11, 4.12 e 4.13. Assim, o mapeamento bruto de toda essa estrutura limitariaa escalabilidade da metodologia a poucos dispositivos devido a quantidade de eventos eportas lógicas da árvore de falha crescer fortemente com o tamanho da rede.

4.5.4 Mapeamento das condições de defeito da rede

Apesar de ser um dos primeiros parâmetros a ser configurado na metodologia pro-posta, a condição de defeito da rede é a última estrutura de dados a ser mapeada na árvorede falha. Este mapeamento tem um papel de grande importância devido representar oevento topo da árvore de falha. Todas as estruturas de dados descritas anteriormente sãocombinadas para a formação do evento topo e consequentemente para criação da árvorede falha. O respectivo mapeamento é descrito na Figura 4.16.

Topo

or

cortes_Ei

...

condição_final

? ?condição_1

...

condição_k

? or, and, k-out-n

?

Figura 4.16: Mapeamento na árvore de falha da condição de defeito da rede.

Conforme discutido anteriormente, apenas dispositivos de campo são utilizados nacondição de defeito da rede. A ocorrência de cada dispositivo é substituída por seu respec-tivo conjunto de cortes mínimos (evento cortes_Ei). As combinações de defeitos podemser configuradas utilizando as portas lógicas or, and, k− out− n ou eventos individuais(cortes_Ei).

4.5.5 Geração do código fonte (SHARPE)

A ferramenta SHARPE fornece diversos procedimentos gráficos e textuais (linguagemde programação dedicada) para a modelagem e avaliação das árvores de falhas. O obje-


tivo da metodologia é construir e analisar as árvores de falhas automaticamente. Dessaforma, foi utilizado apenas os procedimentos textuais da ferramenta SHARPE. Devido àlinguagem de programação disponibilizada por esta ferramenta ser bastante intuitiva, oprocedimento para geração automática do código fonte correspondente a uma árvore defalha pode ser facilmente implementado. Um exemplo deste procedimento é descrito naFigura 4.17.

Topo

porta_3 and

or 2-outof-3

a b c db

porta_2porta_1

bind prob_a 0.8 prob_b 0.2 prob_c 0.1 prob_d 0.4end

ftree meu_modelo basic a exp(prob_a) repeat b exp(prob_b) basic c exp(prob_c) basic d exp(prob_d)

or porta_1 a b kofn porta_2 2, 3 b c d and porta_3 porta_1 porta_2end

Var

iáve

isM

od

elo

Figura 4.17: Mapeamento de uma árvore de falha na ferramenta SHARPE.

O código fonte gerado é dividido em duas partes: definição de variáveis e construçãodo modelo. Na primeira parte, as variáveis do modelo são definidas cujos valores estãorelacionados com as propriedades das distribuições estatísticas. Na Figura 4.17 foi utili-zado a distribuição exponencial (exp) apenas para exemplificar esta funcionalidade. Asdistribuições estatísticas dos eventos são informados na entrada da metodologia.

A segunda parte do código fonte é responsável pela configuração dos eventos e dasportas lógicas que modelam a árvore de falha. Além da distribuição estatística que repre-senta o comportamento das falhas, um evento é configurado em básico (basic) ou repetido(repeat). Na metodologia proposta, os eventos são classificados após uma busca em todaa árvore de falha. Se uma única ocorrência é observada, então o evento é classificadocomo básico, caso contrário é classificado como repetido. Em relação a configuração dasportas lógicas, perceba que as configurações são realizadas por níveis. Primeiro são confi-gurados os níveis inferiores, em seguida os níveis superiores são configurados até que oevento topo seja alcançado.


4.5.6 Exemplo

Para facilitar a compreensão do procedimento utilizado para gerar a árvore de falha,nesta subseção é apresentado um exemplo completo ilustrando todas as etapas descritasanteriormente. Assume-se a topologia da rede como descrita na Figura 4.9 e a condiçãode defeito da rede igual a Fd0 + Fd1 ·Fd2. Em outras palavras, um defeito na rede iráocorrer se o dispositivo Fd0 ou os dispositivos Fd1 e Fd2 falharem. Adicionalmente,também assume-se que os dispositivos não são redundantes e defeitos em modo comumnão são suportados. A árvore de falha para este exemplo é descrita na Figura 4.18.

Gtw0

condição_1

or_cortes_Fd0 or or or

Fd0 Gtw0 Fd1 Gtw0

Fd2 and

or_cortes_Fd1

comb_1_and_Fd2

Fd0 Fd1

and

orcondição_final

Topo

or_cortes_Fd2

Figura 4.18: Árvore de falha para a rede da Figura 4.9 assumindo a seguinte condição dedefeito: Fd0 + Fd1 ·Fd2.

O primeiro passo para a geração da árvore de falha é a identificação dos dispositi-vos que compõem a condição de defeito. No caso, os dispositivos são Fd0, Fd1 e Fd2.Em seguida, encontra-se o conjunto de cortes mínimos para cada um desses dispositi-vos. O conjunto de cortes mínimos é representado pelas portas lógicas nomeadas poror_cortes_Fdi (i∈{0,1,2}). Finalmente, basta substituir a ocorrência de cada dispositivona condição de defeito por seu conjunto de cortes mínimos (porta lógica condição_final).

Em relação à geração do código fonte na ferramenta SHARPE, a Figura 4.19 descreveo respectivo mapeamento assumindo-se a árvore de falha da Figura 4.18. Os valores das


variáveis correspondentes às distribuições estatísticas foram omitidos por simplificação.Percebe-se também que apenas o evento Fd2 foi configurado como básico (basic), todosos outros eventos ocorrem mais de uma vez na árvore de falha e dessa forma são configura-dos como repetidos (repeat). As partes relacionadas com o conjunto de cortes mínimos ea configuração das condições de defeito na rede foram destacadas no código fonte. Comodescrito anteriormente, a árvore de falha é construída por níveis. No caso, primeiro sãoconstruídos os conjuntos de cortes mínimos para cada dispositivo que formam a condiçãode defeito da rede e logo em seguida a condição de defeito é representada.

Ftree meu_modelo repeat Gtw0 exp(prob_Gtw0) repeat Fd0 exp(prob_Fd0) repeat Fd1 exp(prob_Fd1) basic Fd2 exp(prob_Fd2)

or or_cortes_Fd0 Gtw0 Fd0

or or_cortes_Fd1 Gtw0 Fd1

and comb_1_and_Fd2 Fd0 Fd1

or or_cortes_Fd2 Gtw0 Fd2 comb_1_and_Fd2

and condição_1 or_cortes_Fd1 or_cortes_Fd2

or condição_final or_cortes_Fd0 condição_1end

Cortes mínimos (Fd2)

Cortes mínimos (Fd1)Cortes mínimos (Fd0)

Condição de defeito da rede

Figura 4.19: Código fonte da ferramenta SHARPE para a árvore de falha da Figura 4.18.

4.6 Avaliação da Árvore de Falha

Após a construção do código fonte que mapeia as condições de defeito da rede indus-trial sem fio em um árvore de falha, avaliações quantitativas podem ser realizadas. Todoprocedimento de avaliação é conduzido utilizando-se as funcionalidades já implementa-das na ferramenta SHARPE (métodos tvalue, mean, bimpt e cimpt). A função tvalue éutilizada nas métricas confiabilidade e disponibilidade, enquanto que a função mean éutilizada para calcular o MTTF da rede. As medidas de importância são computadas uti-lizando as funções bimpt (Birnbaum) e cimpt (Criticalidade). A medida de importânciaFussel-Vesely não é suportada pela ferramenta SHARPE. Um exemplo de utilização dessasfunções é descrito na Figura 4.20.

Com exceção da métrica MTTF, todas as métricas utilizam como parâmetro o tempo(variável t). O nome do modelo (meu_modelo), que representa a árvore de falha, é obri-

4.7. CONSIDERAÇÕES FINAIS 103

func Confiabilidade(t) 1- tvalue (t; meu_modelo)loop t, tempo_inicial, tempo_final, passoexpr Confiabilidade(t)end

func Disponibilidade(t) 1- tvalue (t; meu_modelo)loop t, tempo_inicial, tempo_final, passoexpr Disponibilidade(t)end

func MTTF mean (meu_modelo)expr MTTFend

func Birnbaum(t) bimpt (t; meu_modelo; evento)loop t, tempo_inicial, tempo_final, passoexpr Birnbaum(t)end

func Criticalidade(t) cimpt (t; meu_modelo; evento)loop t, tempo_inicial, tempo_final, passoexpr Criticalidade(t)end

Figura 4.20: Procedimentos utilizados para a avaliação quantitativa da árvore de falha.

gatório para todas as métricas. Adicionalmente, as métricas que avaliam a importânciados dispositivos exigem a especificação de um evento alvo (dispositivo).

4.7 Considerações Finais

Este capítulo descreveu a proposta da referida tese, cujo objetivo principal é avaliara dependabilidade (confiabilidade e disponibilidade) das redes industriais sem fio. Estaavaliação pode ser utilizada como um guia para o projeto/modelagem das redes industriaissem fio. A seguir listamos as principais contribuições:

• Metodologia para análise da dependabilidade das redes industriais sem fio. Ressaltando-se que a metodologia é independente de ferramentas (resolvedores de árvores de fa-lhas) já desenvolvidas. Utilizamos a ferramenta SHARPE por ser bastante difundidano meio acadêmico, porém, poderíamos ter desenvolvido a nossa própria ferra-menta.• Simplificação do algoritmo para geração de todos os caminhos entre um disposi-

tivo e o gateway. Foram inseridos duas restrições (ciclos e vizinhos dos pontos deacessos) para limitar a recursão.• Mapeamento do problema k-terminal, originalmente aplicado a redes de computa-

dores, ao formalismo das árvores de falhas.• Melhoria no algoritmo de geração do conjunto de cortes mínimos.• Aplicação do algoritmo que encontra o conjunto de cortes mínimos, originalmente

aplicados em grafos, ao domínio das árvores de falhas.

Capítulo 5

Validação da Metodologia

Este capítulo tem como objetivo validar a metodologia proposta nesta tese. A ideia éavaliar diversos cenários correspondentes a topologias de redes tipicamente encontradasem ambientes industriais, onde todas as funcionalidades suportadas pela metodologia po-dem ser validadas. Foram considerados três cenários de avaliação. No primeiro cenárioa dependabilidade de redes industriais sem fio foram avaliadas considerando topologiasestrela, linha e cluster. O segundo cenário de avaliação é destinado à análise de defeitosem modo comum, enquanto que o terceiro cenário avalia as melhores práticas a serem se-guidas na construção de uma rede industrial sem fio. O capítulo encerra com uma análisedo desempenho da metodologia proposta.

5.1 Cenário I

Nesse primeiro cenário de avaliação vamos considerar a análise da dependabilidadedas redes industriais sem fio para as topologias estrela, linha e cluster. As métricas confia-bilidade, disponibilidade, MTTF e as medidas de importância serão avaliadas conside-rando falhas de hardware. Adicionalmente, a métrica disponibilidade também será ava-liada considerando falhas nos enlaces de comunicação. Assume-se um cenário sem defei-tos em modo comum, porém, quando referenciado os dispositivos podem ser configuradoscom redundância.

5.1.1 Topologia estrela

Uma série de suposições foram consideradas na avaliação da topologia estrela. Em re-lação a taxa de defeitos, considera-se que os dispositivos apresentam uma taxa constante(i.e, distribuição exponencial). O gateway e o ponto de acesso apresentam tipicamenteconfiabilidade superior aos outros dispositivos da rede. Dessa forma, o gateway e o ponto

106 CAPÍTULO 5. VALIDAÇÃO DA METODOLOGIA

de acesso foram configurados com uma taxa de defeitos uma ordem de magnitude infe-rior aos dispositivos de campo. A taxa de defeitos para os dispositivos é desconhecida,entretanto, pode-se utilizar intervalos de valores para medir diferentes comportamentos(análise de sensibilidade). Nós assumimos MTTF (horas) nos intervalos de 1 ano (λ ∼=1e–4 horas−1), 5 anos (λ∼= 2e–5 horas−1) e 10 anos (λ∼= 1e–5 horas−1). Nessa primeiraavaliação não foram considerados falhas nos enlaces de comunicação tampouco ações dereparações.

Para avaliação da dependabilidade, considerou-se uma aplicação que monitora a tem-peratura de quatro caldeiras. Em cada caldeira é instalado um dispositivo de campo (semfio). A topologia para essa aplicação é ilustrada na Figura 5.1. Nesse contexto, assume-seque a aplicação terá um defeito se pelo menos um dos dispositivos de campo falhar.

Gateway

Ponto de Acesso

Dispositivo de Campo

Figura 5.1: Topologia estrela formada por quatro dispositivos de campo.

É intuitivo pensar que a confiabilidade da rede irá aumentar quanto mais confiável foros dispositivos utilizados. Este comportamento é descrito na Figura 5.2. Sem consideraro uso de redundância (sr), o cenário cujo os dispositivo de campo possuem uma taxa dedefeitos de 1E–4 (MTTF—1 ano) apresenta uma confiabilidade da rede menor do quetodos os outros cenários onde dispositivos mais confiáveis foram considerados.

Em relação às exigências de dependabilidade, decisões de projeto são comumenterelacionadas com a escolha de dispositivos mais confiáveis (possivelmente mais caros)ou dispositivos menos confiáveis (possivelmente mais baratos). Em geral, tal decisãoenvolve políticas globais que visam aumentar a confiabilidade das aplicações, levando-se em consideração orçamentos rígidos. Os resultados presentes na Figura 5.2 podem

5.1. CENÁRIO I 107

contribuir para auxiliar estas decisões uma vez que ilustra a influência dos dispositivos naconfiabilidade da rede.

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

0 20000 40000 60000 80000 100000

Co

nfia

bili

da

de

da

Re

de

Tempo(horas)

MTTF = 1 ano (sr)MTTF = 1 ano (1r)MTTF = 1 ano (2r)

MTTF = 5 anos (sr)MTTF = 10 anos (sr)

Figura 5.2: Avaliação da confiabilidade de uma rede industrial sem fio considerando to-pologia estrela.

Por outro lado, em alguns casos pode ocorrer que as aplicações tenham requisitosrígidos de confiabilidade, porém a aquisição de dispositivos mais confiáveis não seja umaopção de projeto. Uma possível solução para este problema é o uso de redundância. Porexemplo, considere que os dispositivos da rede industrial sem fio da Figura 5.1 possuemuma taxa de defeitos de 1E–4 e uma técnica de redundância ativa (“modelo quente”)tenha sido configurada. Dependendo do número de dispositivos reservas utilizados, aconfiabilidade da rede poderá alcançar níveis comparados com cenários onde dispositivosmais confiáveis (sem redundância) foram usados.

De acordo com os resultados mostrados na Figura 5.2, quando apenas um dispositivoreserva (1r) é usado em cada dispositivo de campo, durante 20000 h a rede industrial semfio alcança níveis de confiabilidade comparáveis com o cenário onde dispositivos cincovezes mais confiáveis foram adotados. Em contrapartida, se dois dispositivos reservas (2r)são utilizados em cada dispositivo de campo, a confiabilidade da rede durante 35000 hapresentará níveis de confiabilidade comparáveis àqueles encontrados nos cenários onde


dispositivos dez vezes mais confiáveis foram utilizados. Adicionalmente, durante 60000 ha confiabilidade da rede tem um desempenho comparado a uma rede cujos dispositivos sãocinco vezes mais confiáveis. Este último resultado é três vezes melhor do que o cenárioonde apenas um dispositivo reserva (1r) foi adotado em cada dispositivo de campo.

Uma outra forma de avaliar a influência da redundância na rede é através da análisedo MTTF, cujo resultado é diretamente relacionado com as condições de defeito da rede.Considerando-se o uso da porta lógica k-out-n, pode-se testar uma grande diversidade deconfigurações para as condições de defeito. Assume-se aqui quatro condições de defeito:caso I, pelo menos um dispositivo de campo falha; caso II, pelo menos dois dispositivosfalham; caso III, pelo menos três dispositivos falham; caso IV, todos dispositivos falham.Ressalta-se que para cada caso todas as combinações possíveis são consideradas. Osresultados são descritos na Figura 5.3. Nessa situação, se a condição de defeito da rede foiconfigurada para o caso I, então a adoção de um dispositivo reserva para cada dispositivode campo aumentará o MTTF da rede em aproximadamente 125%. Por outro lado, seuma redundância dupla for configurada, a taxa de aumento no MTTF da rede será deaproximadamente 220%. A diferença entre essas duas abordagens irá decrescer com aconfiguração de condições de defeito mais otimistas. Nota-se que para o caso I, a condiçãode defeito é muito pessimista, o contrário é observado no caso IV. No caso I, se umdispositivo falhar a rede terá um defeito, logo, a influência de uma redundância dupla emdetrimento a simples terá um impacto grande. No caso IV, todos os dispositivos precisamfalhar para a rede ter um defeito. Isto explica porque o impacto entre ter redundânciasimples ou dupla é menor no caso IV do que no caso I. Esta análise pode ser utilizadapara adequar os requisitos das aplicações em tempo de projeto de rede.

5.1.2 Topologia linha

As topologias em linha são comumente utilizadas em ambientes industriais, princi-palmente no monitoramento de dutos [EL-DARYMLI et al. 2009, Jawhar et al. 2008].Nas redes industriais sem fio configuradas com essa topologia, a informação é repassadadispositivo a dispositivo até que o gateway seja alcançado. Se um dispositivo ao longodo caminho falhar o monitoramento ficará comprometido. A Figura 5.4 descreve umexemplo de topologia linha comumente utilizada em redes industriais sem fio.

Para avaliação da dependabilidade deste cenário, assumem-se taxas de defeito constante(i.e, distribuição exponencial), com o gateway e o ponto de acesso apresentando taxas cu-jos valores são uma ordem de magnitude inferior às taxas dos dispositivos de campo (λFD∼= 1e–4 horas−1 e λGtw = λAP ∼= 1e–5 horas−1). Similarmente a Seção 5.1.1, aqui não

5.1. CENÁRIO I 109

0

50

100

150

200

1 k-out 4 2 k-out 4 3 k-out 4 4 k-out 4

Aum

ento

no M

TT

F d

a r

ede(%

)

Cada dispositivo de campo tem 1 reservaCada dispositivo de campo tem 2 reservas

Condições de defeito da rede

Figura 5.3: Influência das condições de defeito e nível de redundância para o MTTF darede.

Gatew

ay

Ponto de AcessoFd1 Fd2 Fd3 Fd4

Figura 5.4: Topologia linha tipicamente utilizada em ambientes industriais.

foram consideradas falhas nos enlaces de comunicação tampouco ações de reparações.

Os valores reais das taxas de defeitos são desconhecidos, porém, os valores aqui consi-derados são suficientes para a análise que estamos propondo. O objetivo dessa avaliaçãoestá relacionada com a identificação de comportamentos e tendências. O cálculo de va-lores extremamente realistas das propriedades de dependabilidade para as redes indus-triais sem fio extrapola o escopo de avaliação.

Sendo assim, nesta seção descreve-se um procedimento onde gargalos da rede sãoidentificados a partir das métricas de importância da árvore de falha. A identificaçãode gargalos na rede, ainda na fase de projeto, pode guiar projetistas a escolherem quaisdispositivos serão configurados com redundância. A Figura 5.4 descreve o cenário destaavaliação.

Independente da aplicação a ser considerada, é de fundamental importância classificaros dispositivos na rede pelo grau de relevância. Na seção Seção 3.4.3 foram descritos


diversas métricas para realização de tal procedimento. Inicialmente vamos considerar amétrica Birnbaum, a qual avalia a probabilidade de um dispositivo ser crítico. Se umdispositivo é considerado crítico, então sua falha irá acarretar em um defeito na rede.

Assume-se quatro condições de defeito na rede: caso 1, pelo menos um dispositivo decampo falha; caso 2, pelo menos dois dispositivo de campo falham; caso 3, pelo menostrês dispositivos de campo falham; caso 4, todos dispositivos falham. Os resultados sãodescritos na Figura 5.5.

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9

1

0 2500 5000 7500 10000

Birn

ba

um

(t)

Tempo (horas)

Caso 1: 1 kout 4

Fd1, Fd2, Fd3, Fd4Gtw, AP

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9

1

0 2500 5000 7500 10000

Birn

ba

um

(t)

Tempo (horas)

Caso 2: 2 kout 4

Fd2, Fd3, Fd4Gtw, AP

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9

1

0 2500 5000 7500 10000

Birn

ba

um

(t)

Tempo (horas)

Caso 3: 3 kout 4

Fd3, Fd4Gtw, AP

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9

1

0 2500 5000 7500 10000

Birn

ba

um

(t)

Tempo (horas)

Caso 4: 4 kout 4

Fd4Gtw, AP

Figura 5.5: Medida de importância dos dispositivos considerando a métrica Birnbaum etopologia em linha.

Ressalta-se que independentemente do caso considerado, o gateway e o ponto deacesso são menos críticos (valores são inferiores nas curvas) do que os dispositivos decampo. Este resultado é devido ao fato do gateway e do ponto de acesso terem sido confi-gurados com taxas de defeitos muito mais confiáveis do que os dispositivos de campo.Para o caso 1, considera-se que a rede terá um defeito se pelo menos um dispositivo decampo falhar. Assumindo as mesmas taxas de defeitos para todos os dispositivos, a proba-bilidade de um dispositivo ser crítico também será a mesma para todos. Por outro lado, nocaso 2 considera-se que a rede terá um defeito se pelo menos dois dispositivos de campo

5.1. CENÁRIO I 111

falhar. Sendo assim, de acordo com a topologia descrita na Figura 5.4, o dispositivo Fd1

nunca poderá ser crítico pois sua falha nunca implicará na falha de pelo menos dois dis-positivos. Na verdade, a falha do dispositivo Fd1 apenas implica na sua própria falha.Considerando a mesma explicação para o caso 1, os dispositivos Fd2, Fd3 e Fd4 terãoas mesmas probabilidades de ser críticos que as no caso 2. Se o dispositivo Fd2 falhar,o dispositivo Fd1 também irá falhar pois não existirá caminho para gateway. O mesmoé válido para falhas nos dispositivos Fd3 e Fd4. Em outras palavras, no caso 2 a redeterá um defeito se os dispositivos Fd2 ou Fd3 ou Fd4 falharem. Explicação similar podeser deduzida para os casos 3 e 4. Ressaltando-se apenas que a medida Birnbaum para osdispositivos Fd1 e Fd2 no caso 3 é nula, enquanto que no caso 4 a medida Birnbaum énula para os dispositivos Fd1, Fd2 e Fd3.

Outra possibilidade de classificar a relevância dos dispositivos é através da medida decriticalidade. Esta métrica calcula a probabilidade de que o defeito na rede tenha sidoprovocado por um determinado dispositivo. Sua função está diretamente vinculada àsações de reparações. Para esta avaliação foram considerados quatro novas condições dedefeito na rede: caso 1, falha no dispositivo Fd1; caso 2, falha no dispositivo Fd2; caso3, falha no dispositivo Fd3; caso 4, falha no dispositivo Fd4. O objetivo aqui é avaliarseparadamente a influência de cada dispositivo de campo na rede. Os resultados sãodescritos na Figura 5.6.

Cada dispositivo de campo i foi avaliado no caso i (e.g Fd1 foi avaliado no caso 1).Adicionalmente, o gateway e o ponto de acesso foram avaliados considerando-se a condi-ção de defeito do caso 4, pois nesse cenário esses dispositivos apresentam maior relevân-cia. Os resultados, como esperado, mostraram que o dispositivo Fd4 é o que apresentaos maiores valores para a métrica criticalidade. De fato, se o dispositivo Fd4 falhar todaa rede irá falhar, pois a comunicação com o gateway ficará interrompida. Sendo assim,existe uma maior probabilidade que um defeito na rede tenha sido provocado por umafalha no dispositivo Fd4. Similarmente ao exemplo anterior, a influência do gateway eponto de acesso foram inferiores aos dispositivos de campo devido a consideração que osprimeiros são muito mais confiáveis.

Uma configuração muito comum na prática é a utilização de redundância. Intuiti-vamente, configura-se o dispositivo mais crítico da rede com dispositivos reservas. Aanálise da métrica criticalidade pode ser utilizada justamente na identificação deste dis-positivo. Para avaliar o impacto do uso de redundância (assumindo-se uma técnica -“modelo quente”), iremos considerar os mesmos cenários da avaliação da métrica criti-calidade, porém a métrica de avaliação será o MTTF da rede devido esta poder descreveruma visão mais global no impacto em utilizar redundância. O objetivo é configurar os


0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

0 1000 2000 3000 4000 5000 6000 7000 8000 9000Me

did

a d

e I

mp

ort

ân

cia

- C

ritic

alid

ad

e

Tempo(horas)

Fd1Fd2

Fd3Fd4

Gtw, Ap

Figura 5.6: Medida de importância dos dispositivos considerando a métrica criticalidade.

dispositivos de campo e o gateway com 1 ou 2 reservas, e em seguida medir o impactopara o MTTF da rede. Os resultados são descritos na Tabela 5.1.

Tabela 5.1: Impacto no uso de redundância na topologia linha.Cenáriot(Caso)

DispositivoRedundante

Aumento no MTTF da rede1 reserva 2 reservas

1Fd1 19,20% 25,43%Gtw 2,32% 2,43%

2Fd2 23,80% 32,96%Gtw 3,04% 3,20%

3Fd3 31,25% 46,13%Gtw 4,34% 4,70%

4Fd4 45,45% 73,86%Gtw 7,69% 8,79%

Observando o aumento no MTTF da rede indicado na Tabela 5.1, percebe-se quea configuração de redundância no gateway não apresenta um impacto relevante quandocomparado com os resultados dos dispositivos de campo. Este resultado é coerente comaqueles apresentados nas Figuras 5.5 e 5.6. A explicação desse comportamento mais umavez está relacionada com o fato do gateway ter sido configurado como um dispositivo

5.1. CENÁRIO I 113

muito confiável em comparação aos dispositivos de campo. Em uma estrutura em série(topologia em linha) o dispositivo mais relevante será o que possuir menos confiabilidade.No caso, os dispositivos mais relevantes são os dispositivos de campo e mais precisamenteo dispositivo Fd4. Comparando os resultados para os dispositivos Fd1 e Fd4, percebe-se que o impacto em configurar o dispositivo Fd1 com dois reservas é muito inferiordo que configurar o dispositivo Fd4 com apenas um reserva. Nota-se claramente queo dispositivo com maior expressividade na avaliação da métrica criticalidade foi o queobteve mair relevância na utilização de redundância.

Ressalta-se que o procedimento usado para gerar os resultados descritos na Tabela 5.1podem guiar os projetistas da rede, nas fases de projeto e operação, a tomada de decisõesconsiderando os requisitos de dependabilidade das aplicações.

5.1.3 Topologia cluster

Em geral, uma topologia cluster é utilizada quando existe a necessidade de segregarparcialmente a rede. Cada cluster assume uma tarefa específica, por exemplo, monitoraruma determinada região da rede, priorizar tráfego, fornecer redundância, etc. A Figura 5.7ilustra uma típica topologia cluster utilizada nas redes industriais sem fio, a qual será tam-bém adotada como cenário de avaliação. Adicionalmente, considera-se que este cenáriocorresponde a uma aplicação onde um defeito irá ocorrer se pelo menos um cluster falhar.Um cluster falha se todos os dispositivos do cluster falham.

Gateway

Ponto de Acesso


Roteador

Cluster A

Cluster B

Cluster C

(a)

Gateway

Ponto de Acesso


Roteador

Cluster A

Cluster B

Cluster C

(b)

Figura 5.7: Cenários utilizados para a avaliação da topologia cluster. (a) Três clusters;(b) Três clusters + dois roteadores adicionais.

Para avaliação da topologia cluster, assume-se falhas nos hardwares dos dispositivose nos enlaces de comunicação. Ambas as falhas são do tipo permanente. A ideia é ava-


liar o impacto da topologia cluster, considerando-se como métrica de dependabilidade aindisponibilidade da rede. Sendo assim, também é necessário informar dados sobre astaxas de reparos dos dispositivos e enlaces de comunicação. As taxas de defeitos e repa-rações são consideradas constantes (i.e, distribuição exponencial), enquanto que defeitosem modo comum não são suportados. As configurações utilizadas são descritas na Ta-bela 5.2. Os valores reais dos parâmetros são desconhecidos, porém, os valores adotadossão suficientes para medir as curvas de comportamento considerando a métrica avaliada.

Tabela 5.2: Parâmetros utilizados para a avaliação da topologia cluster.Cenário Dispositivos MTTF (λ) MTTR (µ)

HardwareGtw/AP 10 anos (1e–5)

5 horas (0,2)10 horas (0,1)

Fd/Roteador 5 anos (2e–5)25 horas (0,04)50 horas (0,02)

Enlaces

Cluster A 1 mês (1.4e–3)12h (0,08)24h (0,04)

Cluster B 6 meses (2.31e–4)48h (0,02)96h (0,01)

Cluster C 3 meses (4.63e–4)24h (0,04)48h (0,02)

Inter Cluster 6 meses (2.31e–4)30min (2)

1h (1)

Em relação às falhas de hardware, assume-se que o gateway e o ponto de acesso sãodispositivos mais confiáveis. Dessa forma, suas taxas de defeito foram configuradas como dobro do valor (MTTF = 10 anos) das taxas encontradas nos dispositivos de campoe roteadores (MTTF = 5 anos). A mesma regra foi utilizada na configuração das taxasde reparações, onde o gateway e o ponto de acesso apresentam reparações mais rápidas(MTTR com valores de 5 ou 10 horas) quando comparadas com os dispositivos de campoe roteadores (MTTR com valores de 25 ou 50 horas).

Por outro lado, as falhas e reparações nos enlaces de comunicação foram configura-das em quatro perfis específicos, um para cada cluster e outro para a comunicação interclusters. Os enlaces de comunicação intra cluster A apresentam uma baixa confiabili-dade (MTTF = 1 mês) quando comparado com os outros enlaces da rede, enquanto que aduração das reparações são menores (MTTR = 12 ou 24 horas). Os enlaces de comunica-ção no cluster B são considerados os mais confiáveis da rede (MTTF = 6 meses), porém,apresentam as maiores durações de reparações (MTTR = 48 ou 96 horas). Os enlacesde comunicação intra cluster C foram configurados com valores intermediários, enquantoque a comunicação inter clusters foi configurada com os enlaces mais confiáveis e com

5.1. CENÁRIO I 115

as reparações mais rápidas da rede.

A primeira avaliação considera o cenário da Figura 5.7(a), assumindo-se apenas falhasde hardware. Foi analisado a influência das ações de reparação (manutenção) na indispo-nibilidade da rede. Os resultados são descritos na Figura 5.8. Percebe-se que mudançasnas taxas de reparação do gateway e ponto de acesso, assumindo-se uma mesma taxa dereparação para os dispositivos de campo e roteadores, não resultam em uma influênciasignificativa para a indisponibilidade da rede. Resultado contrário ocorre quando as taxasde reparação dos dispositivos de campo e roteadores são alteradas. Mostrando, assim, queestes dispositivos apresentam uma maior influência na indisponibilidade da rede quandocomparado com o gateway e o ponto de acesso. Este resultado é devido aos dispositivosde campo e roteadores terem sido configurados com MTTF inferiores aos configurados nogateway e ponto de acesso. Não podemos deixar de considerar a influência da condiçãode defeito da rede nos resultados, pois apesar de um cluster falhar quando todos os seusmembros falham (condição menos provável), uma falha em um roteador (o líder do clus-

ter) pode também conduzir a uma falha no cluster e consequentemente a um defeito narede. Dessa forma, a variação da taxa de reparação dos roteadores influencia diretamentena indisponibilidade da rede.

0

0.0005

0.001

0.0015

0.002

0.0025

0.003

0.0035

0 200 400 600 800 1000

Ind

isp

on

ibili

da

de

da

Re

de

Tempo(horas)

MTTRGtw/AP = 10h e MTTRFd/R = 50hMTTRGtw/AP = 10h e MTTRFd/R = 25h

MTTRGtw/AP = 5h e MTTRFd/R = 50hMTTRGtw/AP = 5h e MTTRFd/R = 25h

Figura 5.8: Influência das ações de reparação na indisponibilidade da rede considerandofalhas de hardware e topologia em cluster.

O segundo cenário de avaliação também considera a influência das ações de reparaçãona indisponibilidade da rede, porém, assume-se apenas falhas nos enlaces de comunica-ção. As taxas de defeito dos enlaces de comunicação não foram alteradas com o intuito


de apenas medir o impacto das taxas de reparação. De forma similar a avaliação ante-rior, considera-se o cenário descrito na Figura 5.7(a). Os resultados são mostrados naFigura 5.9.

0

5e-005

0.0001

0.00015

0.0002

0.00025

0 200 400 600 800 1000

Ind

isp

on

ibili

da

de

da

Re

de

Tempo(horas)

PadrãoMTTRA = 24h

MTTRB = 96hMTTRC = 48h

MTTRI = 1h

Figura 5.9: Influência das ações de reparação na indisponibilidade da rede considerandofalhas nos enlaces de comunicação e topologia cluster.

Assume-se nesse cenário uma configuração padrão, cujo valor do MTTR para o en-laces do cluster A, B, C e enlaces inter clusters são respectivamente: MT T RA = 12h,MT T RB = 48h, MT T RC = 24h e MT T RI = 30min. A ideia básica é medir a indisponi-bilidade da rede para a configuração padrão e em seguida dobrar o valor do MTTR paracada enlace e medir novamente a indisponibilidade da rede. Os resultados indicados naFigura 5.9 mostram claramente a grande influência dos enlaces inter clusters na indispo-nibilidade da rede. Devido a sua localização estratégica, falhas nos enlaces inter clusters

são consideradas gravíssimas, uma vez que impedem a comunicação de um determinadocluster com o gateway. Dessa forma, variações nas taxas de reparações desses enlacesinfluenciam diretamente na indisponibilidade da rede. Junta-se a esse resultado o fato dosenlaces inter clusters serem considerados os mais confiáveis da rede e os que possuem osmenores MTTR.

Por outro lado, percebeu-se também a maior influência dos enlaces do cluster A emdetrimento aos enlaces dos outros clusters. A explicação desse resultado remonta as confi-gurações realizadas (Tabela 5.2), sendo os enlaces dos clusters B e C os que possuem os

5.1. CENÁRIO I 117

maiores valores de MTTR. Em outras palavras, em caso de falha nesses enlaces, as açõesde reparação são consideradas as mais duradouras de toda rede. Conforme observado naFigura 5.9, quando as taxas de reparação para os enlaces dos clusters B e C foram dupli-cadas, a influência para indisponibilidade da rede foi similar. Esse resultado mostra quea influência na indisponibilidade da rede também depende das taxas de defeitos, pois osvalores do MTTR para os enlaces nos clusters B e C são diferentes. Mesmo apresentandotaxas de reparação similares aos clusters B e C, os enlaces do cluster A são consideradosos menos confiáveis de toda rede (menor MTTF), por isso é esperado que variações nastaxas de reparação desses enlaces descrevam uma influência diferente daquela apresen-tada nos enlaces dos clusters B e C.

Adicionalmente às avaliações já realizadas na topologia cluster, uma série de pro-cedimentos podem ser conduzidos com o objetivo de maximizar a disponibilidade darede. Exemplos desses procedimentos incluem adicionar novos roteadores, utilização deredundância e melhorias nas ações de reparação. Obviamente, os resultados desses pro-cedimentos são dependentes dos cenários e parâmetros (taxa de defeitos e reparações)considerados, porém, a análise descrita aqui pode ser replicada pelos projetistas das redescom o objetivo de atender os requisitos das aplicações.

Nesse contexto, foi realizado uma análise da disponibilidade da topologia cluster,considerando-se aspectos de redundância, melhorias nas ações de reparação e introduçãode novos roteadores. Os resultados são descritos na Tabela 5.3. Assume-se uma configu-ração padrão com os parâmetros descritos na Tabela 5.2 , considerando-se o menor valorde MTTR para cada dispositivo e enlace de comunicação.

Tabela 5.3: Procedimentos utilizados para aumentar a disponibilidade de rede.

Cenário Interrupção da rede (tempo/ano)Falhas de enlaces Falhas de hardware

Normal 65min 14hReparação 2x mais rápida 31min 8h

Redundância - 5hAdicionar roteadores 61min 53min

Para a análise dos aspectos de redundância, assume-se que a rede descrita na Fi-gura 5.7 dispõe de dois roteadores reservas. Cada roteador sobressalente foi configuradoem um dos três roteadores já ativos na rede. A escolha de qual roteador será configu-rado com redundância é irrelevante para os resultados nesse caso. Ressalta-se tambémque para as falhas nos enlaces de comunicação, aspectos de redundância de hardware sãoirrelevantes para os resultados.


Por outro lado, em relação às melhorias nas ações de reparação, assume-se um valorde MTTR duas vezes menor que da configuração padrão. Em outras palavras, as ações dereparação são duas vezes mais rápidas que as da configuração padrão.

Finalmente, ao invés de utilizar os dois roteadores sobressalentes em uma arquite-tura de redundância, configura-se um cenário com dois roteadores adicionais conformedescrito na Figura 5.7(b).

Os resultados descritos na Tabela 5.3 mostram que a influência para a disponibilidadeda rede tem comportamentos diferentes quando são considerados falhas nos enlaces decomunicação e hardware. Essa diferença é resultado de configurações (taxas de defeitose reparação) distintas em cada cenário. Todas as ações sugeridas (reparação mais rápida,redundância e introdução de novos roteadores) apresentam melhorias para a disponibili-dade da rede. Considerando-se as falhas nos enlaces de comunicação, melhorias nas açõesde reparação conduzem a resultados mais eficientes do que introduzir novos roteadores narede. Comportamento contrário ocorre quando as falhas de hardware são consideradas,onde a introdução de novos roteadores apresenta uma maior influência para a disponibili-dade da rede do que melhorar as ações de reparação. Resultado semelhante foi observadoquando a configuração de redundância foi considerada.

Ressalta-se que em casos reais, todas as ações aqui descritas podem não estar disponí-veis para os projetistas e operadores das redes industriais sem fio. Porém, esses proce-dimentos podem guiar decisões estratégicas sobre a aquisição e configuração de novosequipamentos, como também melhorias nas ações de manutenção.

5.2 Cenário II

Nas redes industriais sem fio, um defeito em um simples dispositivo pode não ser crí-tico para as aplicações devido aos aspectos intrínsecos de redundância já considerados.Entretanto, quando defeitos simultâneos ocorrem em múltiplos dispositivos, as conse-quências podem ser desastrosas, particularmente para aplicações com requisitos rígidosde confiabilidade [Lilleheier 2008, Lundteigen & Rausand 2007]. Este tipo de defeitoé conhecido como defeito em modo comum (CCF) [Hokstad & Rausand 2008]. Nessaseção, iremos analisar a influência dos defeitos em modo comum na confiabilidade e dis-ponibilidade da rede e na criticalidade dos dispositivos.

Para esta avaliação assume-se a rede industrial sem fio descrita na Figura 5.10. Nessecenário, um defeito na rede irá ocorrer se pelo menos três dispositivos de campo falharem(apenas falhas de hardware foram consideradas).

Em relação aos parâmetros de configuração, considera-se que as taxas de defeito e

5.2. CENÁRIO II 119

Gatew

ay

Ponto de Acesso

Fd1

Fd2 Fd3

Fd4

Fd5Fd7

Fd6

Figura 5.10: Topologia adotada para avaliação dos defeitos em modo comum.

reparação dos dispositivos assumem comportamento constante (i.e, distribuição exponen-cial). Para simplificar a análise, todos os dispositivos foram configurados com as mesmastaxas de defeito e reparação, cujos valores são respectivamente λ≈ 1E–5 horas−1 (MTTF= 10 anos) e µ≈ 0,04 horas−1 (MTTR = 1 dia). As taxas de reparação são consideradasapenas na análise da disponibilidade da rede. Adicionalmente, foram mapeados dois de-feitos em modo comum, representados pelos eventos CCF 1 e CCF 2. O evento CCF 1influência os dispositivos de campo Fd1 e Fd2, enquanto que o evento CCF 2 atua nosdispositivos de campo Fd6 e Fd7. A Tabela 5.4 descreve as configurações utilizadas peloseventos em modo comum.

Tabela 5.4: Configurações dos defeitos em modo comum.

Eventos Dispositivos Afetados MTTF MTTR

CCF 1 Fd1, Fd2 90 dias 1-24 horasCCF 2 Fd6, Fd7 15 dias 1-24 horas

5.2.1 Influência na confiabilidade da rede

A primeira avaliação mede a influência dos eventos CCF 1 e CCF 2 na confiabilidadeda rede. Esta análise é de fundamental importância pois contribui para a construção demodelos mais realistas. Os resultados dessa primeira análise são descritos na Figura 5.11.Apesar dos eventos CCF 1 e CCF 2 terem diferentes configurações (taxas de defeito e dis-positivos afetados), a ocorrência em momentos distintos conduz a uma mesma influência


em relação à confiabilidade da rede. Esse comportamento é devido aos diferentes graus decriticalidades existentes entre o par Fd1, Fd2 e os dispositivos Fd6 e Fd7, como veremosna próxima avaliação. Adicionalmente, percebe-se que a confiabilidade da rede decrescerapidamente quando os eventos CCF 1 e CCF 2 ocorrem de forma simultânea. Este re-sultado pode até ser pessimista, mas quando comparado com o cenário onde defeitos emmodo comum não são suportados, observa-se que não considerar CCF implica em ummodelo de confiabilidade para rede muito otimista.

0

0.2

0.4

0.6

0.8

1

0 20000 40000 60000 80000 100000

Confiabili

dade d

a R

ede

Tempo(horas)

Sem CCFCCF 1CCF 2

CCF 1 e CCF 2

Figura 5.11: Análise da confiabilidade da rede considerando defeitos em modo comum.

5.2.2 Influência nas medidas de importância dos dispositivos

Outro procedimento utilizado para avaliar a influência dos defeitos em modo comumse baseia nas medidas de importância dos dispositivos. A medida Birnbaum pode serutilizada para esta finalidade. A ideia básica é avaliar esta métrica para todos os disposi-tivos na rede considerando a ocorrência dos eventos CCF 1 e CCF 2. Os resultados dessaanálise são descritos na Figura 5.12.

De acordo com a Figura 5.12, quando os eventos CCF 1 e CCF 2 não são conside-rados, os dispositivos Fd3 e Fd5 apresentam uma maior probabilidade em serem críticospara a rede. Porém, quando defeitos em modo comum são considerados, as medidasBirnbaum dos dispositivos são alteradas.

Conforme descrito na Tabela 5.4, cada evento CCF afeta diretamente dois dispositivosde campo. Sabendo-se que um defeito na rede irá ocorrer se pelo menos três dispositi-

5.2. CENÁRIO II 121

0

0.1

0.2

0.3

0.4

0 25 50 75

Birn

ba

um

(t)

Tempo(horas*1000)

Sem CCF

FD3, FD5FD4, FD6FD1, FD2

FD7

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7

0 25 50 75

Birn

ba

um

(t)

Tempo(horas*1000)

CCF 1

FD1, FD2FD3, FD4, FD5, FD6, FD7

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8

0 25 50 75

Birn

ba

um

(t)

Tempo(horas*1000)

CCF 2

FD6, F7FD1, FD2, FD3, FD4, FD5

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7

0 25 50 75

Birn

ba

um

(t)

Tempo(horas*1000)

CCF 1 e CCF 2

FD1, FD2FD6, FD7

FD3, FD4, FD5

Figura 5.12: Influência dos defeitos em modo comum nas medidas de importância dosdispositivos.

vos de campo falharem, então os dispositivos afetados por um evento CCF irão apresen-tar uma maior probabilidade em serem críticos para rede se outros dispositivos falharemantecipadamente. O contrário também é válido: se um evento CCF ocorrer prematura-mente, então os dispositivos que não são afetados pelo evento CCF irão apresentar umamaior probabilidade em serem críticos para rede. Este comportamento é percebido clara-mente na Figura 5.12 para os cenários onde apenas um único evento CCF ocorre. Comoos eventos CCF apresentam um valor de MTTF menor que os das falhas de hardware

(Tabela 5.4), é esperado que eles falhem primeiro. Dessa forma, como esperado, os dis-positivos que não são afetados por eventos CCF apresentam maiores valores iniciais paraa medida Birnbaum.

O pior cenário ocorre quando os eventos CCF 1 e CCF 2 são mapeados simultanea-mente. Neste caso, os dispositivos que compõem os eventos CCF são considerados osmais críticos da rede. Percebe-se que no pior caso, os dispositivos Fd1 e Fd2 apresentamuma criticalidade inicial ligeiramente superior às dos dispositivos Fd6 e Fd7 devido aoevento CCF 2 possuir um valor de MTTF menor que o evento CCF 1. Em outras palavras,


é esperado que os dispositivos Fd6 e Fd7 falhem primeiro, dessa forma, conferindo umamaior criticalidade inicial aos dispositivos Fd1 e Fd2.

5.2.3 Influência na disponibilidade da rede

Por fim, uma terceira avaliação da influência dos defeitos em modo comum foi condu-zida utilizando-se como métrica a disponibilidade da rede. Os resultados são descritos naFigura 5.13. Para facilitar a compreensão desta avaliação, foi considerado apenas umaanálise de sensibilidade assumindo que as taxas de reparação dos eventos CCF variam de1 a 24 horas. Os resultados estão representados em função do tempo (minutos/ano) que arede fica interrompida e das taxas de reparações.

0

50

100

150

200

250

300

350

400

450

5 10 15 20

Inte

rru

pçã

o d

a R

ed

e (

min

uto

s/a

no

)

MTTR (horas) dos eventos CCF

Sem CCFCCF 1CCF 2

CCF 1 e CCF 2

Figura 5.13: Análise da influência dos defeitos em modo comum para a disponibilidadeda rede.

Dependendo da ocorrência de algum evento CCF, a influência sobre a disponibili-dade da rede pode ser negligenciada. Este comportamento é observado comparando-se ocenário sem eventos CCF com aquele onde apenas o evento CCF 1 ocorre.

Baseado nos resultados de confiabilidade descritos na Figura 5.11, era esperado que oseventos CCF 1 e CCF 2 apresentassem uma mesma influência para a disponibilidade darede quando analisados separadamente. Entretanto, quando as taxas de reparação aumen-tam, o fato do evento CCF 2 apresentar um menor MTTF impõe a este evento uma maiorinfluência para disponibilidade da rede quando comparado ao evento CCF 1. No piorcaso, a ocorrência simultânea dos eventos CCF 1 e CCF 2 implica na completa degrada-ção da disponibilidade da rede e, consequentemente, no aumento do tempo de interrupção

5.3. CENÁRIO III 123

dos serviços. Este resultado demonstra a importância de considerar a ocorrência conjuntados defeitos em modo comum.

5.3 Cenário III

O conhecimento teórico sobre os padrões de redes industriais sem fio é fundamentalpara a criação de aplicações mais confiáveis e robustas. Entretanto, apenas ter o conhe-cimento dos padrões não é suficiente em garantir os requisitos de dependabilidade dasaplicações. Políticas de comissionamento, segurança e criação das redes devem ser se-guidas. Nesse sentido, conforme descrito na Seção 2.1.5, a HCF (Hart CommunicationFoundation) definiu um conjunto de boas práticas (regra dos três, regra dos cinco, regra

dos 25%) a ser seguido em um projeto de redes WirelessHART [HCF 2011] (estas políti-cas podem ser estendidas para as redes ISA100.11a e WIA-PA). Contudo, não existe umestudo que mostre de forma quantitativa os benefícios na adoção destas políticas.

Nesta seção aplicaremos a metodologia proposta para avaliar as melhores práticassugeridas pela HCF. No caso, considera-se que os dispositivos na rede são sujeitos afalhas permanentes (hardware), enquanto que as métricas de avaliação estão relacionadascom o MTTF, confiabilidade e disponibilidade da rede.

O cenário de avaliação é descrito na Figura 5.14. Considera-se uma topologia mesh

em conformidade com a regra dos cinco e a regra dos três. Lembrando que na regra

dos cinco, o gateway deve ter pelo menos cinco dispositivos vizinhos, enquanto que naregra dos três cada dispositivo na rede deverá possuir pelo menos três vizinhos. Desdeque existem muitas topologias onde ambas as regras podem ser observadas, foi escolhidouma topologia simétrica com o gateway localizado no centro e os outros dispositivosposicionados de acordo com um padrão hexagonal com distâncias fixas ao gateway. Atopologia é formada por 14 dispositivos de campo (Fd0-Fd13 e quatro roteadores (R0-R3).

O objetivo da avaliação é determinar a influência das três regras definidas pela HCF nadependabilidade da rede. Inicialmente, encontra-se a influência das duas primeiras regras:regra dos cinco e regra dos três. A avaliação da regra dos 25% é uma consequência dasavaliações das duas regras anteriores. A ideia básica é medir a influência da regra dos

cinco na regra dos três e vice-versa.O primeiro problema que surgi ao realizar uma avaliação desta natureza está relacio-

nado com a adoção de condições de defeito da rede que possam ser úteis para compararresultados de diferentes cenários. Para solucionar este problema foram relacionadas diver-sas condições de defeito da rede na forma K-out-of-N, onde k representa a quantidade dedispositivos de campo que devem falhar para a rede apresentar um defeito (k = 3,6,9,12)


Gtw

Fd0 Fd1

Fd2

Fd3Fd4

Fd5

Fd6 Fd7 Fd8

R0

Fd9

R1

Fd10Fd11Fd12

R2

R3

Fd13

Figura 5.14: Topologia mesh adotada para a avaliação das melhores práticas sugeridaspela HCF.

e N o número total de dispositivos de campo (N = 14). Em outras palavras, assume-seque um defeito irá ocorrer na rede se pelo menos 3, 6, 9 ou 12 dispositivos de campo (14disponíveis) falharem. Ressaltando-se que a configuração K-out-of-N considera todas ascombinações possíveis de k dispositivos.

5.3.1 Regra dos cinco

De acordo com a regra dos cinco, uma rede industrial sem fio1 deve possuir pelomenos cinco dispositivos no alcance de comunicação do gateway. Para avaliação destaregra é necessário eliminar algumas conexões cujos dispositivos são vizinhos do gateway

e medir o respectivo impacto. No caso, foi considerado como métrica o MTTF da rede.Como descrito na equação 3.15, o MTTF e a confiabilidade da rede estão diretamenterelacionados. Assume-se que os dispositivos de campo e roteadores possuem taxas dedefeitos (distribuição exponencial) correspondentes a um MTTF de 10 anos (λ ≈ 1E–5horas−1), enquanto que o gateway foi configurado com a taxa de defeito uma ordem demagnitude inferior (dispositivo muito confiável).

1Originalmente a regra foi definida para redes WirelessHART, porém, pode ser aplicada para os padrõesISA100.11a e WIA-PA.


Avaliação de confiabilidade

Considerando a topologia da Figura 5.14, assume-se inicialmente que apenas cincodispositivos estão no alcance de comunicação do gateway. Devido à natureza simétricadesta topologia, pode-se eliminar qualquer conexão entre o gateway e seus vizinhos emesmo assim a regra dos cinco não será infringida (note que apenas as conexões sãoeliminadas, não os dispositivos). Outras configurações são descritas na Tabela 5.5.

Tabela 5.5: Configurações utilizadas na avaliação da regra dos cinco.

Número de vizinhos (gateway) Conexões eliminadas

6 -5 Fd0−Gtw4 Fd0−Gtw,Fd1−Gtw3 Fd0−Gtw,Fd1−Gtw

Fd2−Gtw2 Fd0−Gtw,Fd1−Gtw

Fd2−Gtw,Fd3−Gtw

Para medir o impacto da regra dos cinco foi considerado a função MT T F( j), a qualindica o MTTF da rede quando o gateway apresenta j dispositivos dentro de seu alcancede comunicação. Sendo assim, o impacto pode ser medido a partir da seguinte relação:

MT T Fratio =MT T F( j)−MT T F(5)

MT T F(5) (5.1)

Os resultados da avaliação são descritos na Figura 5.15. Dependendo da condição dedefeito considerada, a influência da regra dos cinco apresenta comportamentos distintospara essa topologia. Quando a quantidade de dispositivos que compõem a condição de de-feito é pequena (3-out-14: 3/14), à influência no número de vizinhos do gateway é quasenegligenciável para essa topologia. Neste caso, o MTTF da rede é influenciado princi-palmente pela quantidade de dispositivos operacionais e não pelo número de caminhospara o gateway. Percebe-se que quanto maior o número de vizinhos do gateway, maiorserá a quantidade de caminhos e, consequentemente, maior será também a confiabilidadeda rede. Como o número de vizinhos do gateway foi alterado e mudanças significativasno MTTF da rede não foram percebidas, então a quantidade de caminhos não será críticapara a respectiva condição de defeito. Por outro lado, quando a quantidade de dispositivosque compõem a condição de defeito é grande (por exemplo, 9/14 ou 12/14), observa-seum comportamento oposto (influência significativa para o MTTF da rede). Além disso,


percebe-se também que aumentar a quantidade de vizinhos do gateway para 6 ou diminuirpara 4 implica em variar o MTTF da rede em média de±5%. Quando o número de vizin-hos do gateway é reduzido para 3 ou 2, os resultados mostram uma redução significativano MTTF da rede, em alguns casos alcançando uma redução entre 20% e 30%.

Como conclusão, os resultados mostram que a regra dos cinco pode apresentar umimpacto real na confiabilidade da rede. Em particular, quando o número de dispositivosque são necessários para a operação da rede for superior ou próximo da metade do nú-mero total de dispositivos na rede, ou quando a quantidade de vizinhos do gateway forpequena, a regra dos cinco deverá ser levada em consideração. Nestas condições, adi-cionar vizinhos para o gateway pode ser uma solução útil para garantir os requisitos dedependabilidade das aplicações.

-30

-25

-20

-15

-10

-5

0

5

10

3/14 6/14 9/14 12/14

MT

TF

ra

tio (

%)

Condição de defeito da rede - k out n dispositivos de campo

6 vizinhos4 vizinhos3 vizinhos2 vizinhos

Figura 5.15: Avaliação da regra dos cinco.

5.3.2 Regra dos três

Conforme definido pela HCF, a regra dos três indica que todos os dispositivos narede devem possuir pelo menos três vizinhos. Para avaliação dessa política considera-sea topologia da Figura 5.14 em conformidade com a regra dos cinco (gateway com cincovizinhos), enquanto que um dispositivo fora do alcance de comunicação do gateway é es-colhido como dispositivo alvo. Em seguida, eliminou-se algumas conexões do dispositivoalvo com seus respectivos vizinhos e mediu-se o impacto para a rede utilizando algumamétrica de avaliação.


Nessa seção consideramos como métricas a confiabilidade (na forma de MTTF) edisponibilidade da rede. As taxas de defeitos foram configuradas de forma similar àavaliação da regra dos cinco, enquanto que o MTTR varia de 1 hora a 24 horas.


Devido às propriedades simétricas da topologia descrita na Figura 5.14, o dispositivode campo Fd13 foi adotado como dispositivo alvo na avaliação da regra dos três. ATabela 5.6 descreve as configurações utilizadas na avaliação.

Tabela 5.6: Configurações usadas para avaliar a regra dos três.

Número de vizinhos (Fd13) Conexões eliminadas

4 -3 Fd4−Fd132 Fd4−Fd13,Fd3−Fd131 Fd4−Fd13,Fd3−Fd13

Fd12−Fd13

De maneira similar à avaliação da regra dos cinco, na análise de confiabilidade daregra dos três foi considerada como métrica o MTTF da rede. Assumindo-se a funçãoMT T F( j) como sendo o MTTF da rede quando o dispositivo Fd13 tem j vizinhos, pode-mos medir o impacto da regra dos três pela seguinte expressão:

MT T Fratio =MT T F( j)−MT T F(3)

MT T F(3) (5.2)

Os resultados da avaliação da regra dos três é apresentada na Figura 5.16. Dife-rentemente da avaliação anterior, aqui é possível perceber a influência da regra dos três

para todas as condições de defeito na rede. Os resultados seguem um comportamentounimodal, o impacto máximo relativo ocorre para o cenário 6/14 e segue uma tendênciadecrescente para os cenários 3/14 (direita) e 12/14 (esquerda), porém devido a diferentesrazões. Quando o número de dispositivos que conduzem a um defeito na rede é pequeno(3/14), este fator tem um maior impacto nos resultados do que a quantidade de vizinhos.Por outro lado, quando a quantidade de dispositivos na condição de defeito cresce (e.g9/14 e 12/14), o fato de um dispositivo apresentar um ou dois vizinhos torna-se menosimportante devido à quantidade de dispositivos na condição de defeito.

Em geral, o MTTF da rede decresce quando as conexões com o dispositivo alvo sãoeliminadas. O comportamento contrário também é observado, onde o MTTF da rede au-


-7

-6

-5

-4

-3

-2

-1

0

1

2

3

3/14 6/14 9/14 12/14

MT

TF

ra

tio (

%)


4 vizinhos2 vizinhos1 vizinho

Figura 5.16: Avaliação da regra dos três.

menta com introdução de novas conexões para o dispositivo alvo. Deste ponto de vista, aregra dos cinco e a regra dos três apresentam o mesmo comportamento. Adicionalmente,para ambas as regras, o impacto de eliminar conexões é maior do que adicionar novasconexões.

Avaliação da disponibilidade

Uma análise adicional da regra dos três foi realizada considerando como métrica deavaliação a disponibilidade da rede. Como o objetivo principal dessa análise é observaras tendências de comportamento, foi considerado apenas a disponibilidade assintótica darede (t→∞). Assume-se também que todos os dispositivos possuem um MTTR igual a 2horas, que é equivalente a uma taxa de reparação de aproximadamente µ≈ 0.5 horas−1.

Os resultados obtidos (não mostrados) demonstram que a disponibilidade assintóticada rede é quase imperceptível quando o número de vizinhos do dispositivo alvo Fd3 é al-terado (entre 1 e 4 vizinhos). Este comportamento é resultado de dois fatores: (i) o MTTRdos dispositivos (2 horas) é muitas ordens de magnitude menor do que o MTTF conside-rado (10 anos); (ii) assume-se que sempre há um reparador disponível. A combinaçãode ambos os fatores resulta em um tempo de interrupção dos serviços muito pequeno, econsequentemente o impacto dessa regra na disponibilidade da rede torna-se negligenciá-vel.

Então, para melhor compreender o comportamento da disponibilidade da rede sob


influência da regra dos três, foi realizada uma análise de sensibilidade na rede conside-rando o dispositivo Fd3 com três vizinhos e a condição de defeito configurada para 6/14.As taxas de reparação foram configuradas com valores correspondentes a MTTR entre1 hora e 24 horas, enquanto que o MTTF dos dispositivos foram configurados para 5,10 e 15 anos. Os resultados dessa análise são descritos na Figura 5.17. Para facilitar acompreensão, os resultados são descritos na forma da indisponibilidade da rede em escalalogarítmica.

1e-007

1e-006

1e-005

0.0001

5 10 15 20

Ind

isp

on

ibili

da

de

da

re

de

MTTR dos dispositivos (horas)

MTTF = 15 anosMTTF = 10 anosMTTF = 5 anos

Figura 5.17: Influência da regra dos três na indisponibilidade da rede: análise de sensibi-lidade.

Como esperado, a indisponibilidade da rede aumenta quando o tempo de reparaçãotambém aumenta. Entretanto, o impacto do MTTR é maior para valores menores (porexemplo < 5 horas).

A análise do MTTF indica que a diferença entre as curvas de indisponibilidade paraos MTTF de 10 e 15 anos é visivelmente inferior do que a diferença entre os MTTF de5 e 10 anos. Este resultado comprova que existe um limite para investir em dispositivosmais confiáveis. A curva de indisponibilidade da rede para dispositivos com MTTF de 15anos seria muito próxima da curva onde os dispositivos são configurados com MTTF de10 anos. Por outro lado, o uso de dispositivos menos confiáveis (por exemplo, MTTF = 5anos) produz na rede impactos mais severos.


5.3.3 Regra dos 25%

De acordo com a regra dos 25%, quando a rede cresce, pelo menos 25% dos disposi-tivos devem estar localizados dentro do alcance de comunicação do gateway. Para mediro impacto da regra dos 25% foi considerado o mesmo processo de avaliação realizado naregra dos cinco.


A ideia básica para avaliar a regra dos 25% é aumentar o número de vizinhos dogateway até o número máximo de dispositivos de campo e medir o impacto para o MTTFda rede. Perceba que nenhum dispositivo foi adicionado, assume-se apenas o aumentono alcance de comunicação do gateway. As configurações realizadas nessa avaliação sãodescritas na Tabela 5.7.

Tabela 5.7: Configurações utilizadas para avaliar a regra dos 25%.

Número de vizinhos (Gtw) Vizinhos adicionados

8 Fd6,Fd811 Fd6,Fd7,Fd8,Fd10,Fd1614 F6,Fd7,Fd8,Fd10,Fd12

Fd13,Fd14,Fd16

A análise da regra dos 25% foi baseada na equação 5.1, cujo resultado é descritona Figura 5.18. Como esperado, o MTTF da rede aumenta quando o número de vizin-hos do gateway também aumenta. Por outro lado, aumentar a quantidade de vizinhosdo gateway pode ser impraticável em cenários reais devido às limitações do ambienteindustrial (por exemplo, dispositivos devem ser localizados próximos às variáveis do pro-cesso). Contudo, esta análise pode ser replicada para qualquer rede industrial sem fio eos resultados utilizados para obtenção dos requisitos de dependabilidade exigidos pelasaplicações.

Considerações finais sobre as melhores práticas

Nesta seção foram avaliadas as melhores práticas a serem seguidas para criação deuma rede industrial sem fio, segundo a HCF. Os resultados mostraram que as regras suge-ridas pela HCF apresentam diferentes influências para a rede. A regra dos três apresentauma maior cobertura, no sentido que seu impacto é perceptível em todas as condições dedefeitos impostas. Por outro lado, a regra dos cinco possui uma maior influência para a

5.4. AVALIAÇÃO DE DESEMPENHO 131

0

5

10

15

20

25

30

35

40

3/14 6/14 9/14 12/14

MT

TF

ra

tio (

%)


8 vizinhos11 vizinhos14 vizinhos

Figura 5.18: Avaliação da regra dos 25%.

confiabilidade da rede. Para ambas as regras, o fato de eliminar uma conexão com umvizinho é mais grave do que adicionar novas conexões. Finalmente, quando a rede cresce,a regra dos 25% torna-se dominante devido o MTTF da rede aumentar com a quantidadede vizinhos do gateway.

5.4 Avaliação de Desempenho

Os resultados descritos nas Seções 5.1, 5.2 e 5.3 demonstraram o potencial de aplica-bilidade da metodologia proposta. Entretanto, ainda é necessário analisar o desempenhoda metodologia para que possa viabilizar sua utilização na prática.

A avaliação de desempenho leva em consideração diversos fatores, como por exemploo hardware onde os testes foram realizados2. Porém, foram escolhidos métricas e cenáriosonde os resultados podem ser comprovados sem a utilização de hardware adicionais.

Como discutido previamente na Seção 4.4, o ponto crucial da metodologia propostaé a geração dos cortes mínimos para a estrutura de dados que contém todos os caminhosentre os dispositivos que compõem a condição de defeito e o gateway. Para compro-var a eficiência do algoritmo utilizado, foram testados diversos cenários (topologias) comou sem a utilização do algoritmo. As topologias consideradas são típicas das aplica-ções industriais e a grande maioria foi utilizada nas seções anteriores. Adicionalmente,assume-se que a condição de defeito da rede em cada avaliação é composta por todos os

2Sony VGN-NR350AE, Windows 7, 2Gb Ram, Intel Core 2 duo T5750.


dispositivos de campo na topologia em questão.

Em relação às métricas de avaliação, foram consideradas a quantidade de caminhosprocessados (entre os dispositivos que compõem a condição de defeito e o gateway),o tempo necessário para geração da árvore de falha (código fonte a ser executado naferramenta SHARPE), tamanho da árvore de falha (número de linhas do código fonte)e o tempo de execução. Ressaltando-se que a metodologia proposta é independente daferramenta SHARPE, esta apenas foi utilizada por ser amplamente aceita na academia. Osresultados da análise de desempenho são descritos na Tabela 5.8.

Tabela 5.8: Análise de desempenho da metodologia com ou sem a utilização do algoritmopara geração dos cortes mínimos.

Topologia Caminhosprocessados

Geração decódigo (com/sem)

Número de linhas(com/sem)

Execução(com/sem)

Estrela 5 5 3ms/3ms 40/45 27ms/26msEstrela 10 10 5ms/4ms 55/65 37ms/29msEstrela 15 15 7ms/6ms 70/85 39ms/34msEstrela 20 20 9ms/7ms 84/105 45ms/40msEstrela 100 100 9ms/11ms 323/422 47ms/77ms

Linha 5 5 3ms/3ms 44/45 29ms/31msLinha 10 10 6ms/6ms 64/65 38ms/36msLinha 15 15 7ms/7ms 84/85 40ms/41msLinha 20 20 7ms/7ms 104/105 45ms/46msLinha 100 100 60ms/62ms 424/425 105ms/108ms

Cluster(Fig. 5.7(a))

150 5ms/15ms 70/217 59ms/360ms

Cluster(Fig. 5.7(b))

10296 5ms/635ms 126/10367 70ms/76898ms

Mesh(Fig. 5.14)

675996 18ms/53134ms 417/676085 74ms/4h*

O primeiro cenário de avaliação é uma topologia estrela composta de 5 até 100 dispo-sitivos de campo. Apesar da pouca influência, percebe-se que a utilização do algoritmode cortes mínimos apresenta um melhor desempenho (tempo de execução) quando a redecresce (Estrela 100). Também é possível perceber que a árvore de falha gerada é me-nor (número de linhas) quando o algoritmo proposto foi utilizado. Relacionar o tamanhoda árvore de falha com o desempenho (tempo de execução) pode conduzir a conclusõesequivocadas, principalmente para cenários onde a rede não apresenta grande complexi-dade (muitos caminhos), como é o caso. Nesse cenário, o tempo para gerar a árvore de

5.4. AVALIAÇÃO DE DESEMPENHO 133

falha (geração de código) é irrelevante.

Em relação ao segundo cenário de avaliação, foi considerado uma topologia linhacomposta de 5 até 100 dispositivos de campo. Este cenário apresenta uma peculiaridadebastante interessante devido ao tamanho da árvore de falha gerada ser similar em caso deutilização ou não do algoritmo de cortes mínimos. Essa mesma similaridade é observadano desempenho. Em ambas configurações os resultados foram semelhantes.

Os benefícios em utilizar o algoritmo de cortes mínimos na metodologia são percebi-dos claramente quando a complexidade da rede aumenta. O terceiro cenário de avaliaçãoaborda esse comportamento. Considera-se a topologia cluster da Figura 5.7(a). Nessarede são processados 150 caminhos entre os dispositivos que compõem a condição de de-feito e o gateway. Quando o algoritmo proposto é utilizado o desempenho da metodologiaé aproximadamente 6 vezes maior (59ms < 360ms). Para este cenário (mais complexo)observa-se que a disparidade entre os tamanhos das árvores de falhas (70 < 217 linhasde código) com ou sem a adoção do algoritmo de cortes mínimos refletem diretamenteno desempenho da metodologia. O tempo para criação da árvore de falha é consideradoirrelevante para esse cenário apesar da configuração com o algoritmo proposto ser trêsvezes mais rápido (5ms < 15ms).

Outro cenário baseado em topologia cluster também foi avaliado, porém considerandoa rede da Figura 5.7(b). Este cenário apresenta como principal característica a enormequantidade de caminhos entre os dispositivos que compõem a condição de defeito e ogateway, quando comparado com os cenários anteriores. As diferenças de desempenhona configuração em que o algoritmo de cortes mínimos foi adotado e na configuração emque não houve sua utilização demonstram claramente os benefícios do algoritmo proposto(70ms� 76898ms). O tamanho (126 < 10367 linhas de código) e o tempo para geração(5ms < 635ms) da árvore de falha reflete diretamente o resultado encontrado.

O resultado mais importante foi encontrado quando a topologia descrita na Figura 5.14foi avaliada. Nesse cenário, o fato de não considerar o algoritmo de cortes mínimos in-viabiliza a análise de dependabilidade da rede devido à complexidade do cenário (675996caminhos processados). Nos testes realizados, o tempo de execução para a configuraçãocom o algoritmo proposto é de aproximadamente 74ms. Quando o algoritmo de cortesmínimos não é utilizado, o tempo de execução é superior a 4 horas. Após 4 horas a árvorede falha ainda não havia sido finalizada, então o respectivo processo foi finalizado. Toda-via, a diferença entre os tempos de execução encontrados (74ms� 4 horas) demonstrama vantagem em utilizar o algoritmo proposto. Este resultado é confirmando no tamanho etempo necessário para gerar a árvore de falha.

Baseado nos cenários avaliados, percebe-se que a utilização do algoritmo para geração


dos cortes mínimos é fundamental para a análise da dependabilidade das redes industriaissem fio com topologias realísticas, principalmente para os cenários onde as redes são maiscomplexas (maior quantidade de caminhos entre os dispositivos que compõem a condiçãode defeito e o gateway).

5.5 Considerações Finais

Para validação da metodologia foram considerados três cenários com característicasdistintas, onde as métricas de dependabilidade puderam ser analisadas. Adicionalmente,um quarto cenário de avaliação foi considerado com o objetivo de medir aspectos dedesempenho.

No primeiro cenário foram analisados diversas topologias de redes industriais (estrela,linha e cluster). Além das métricas já mencionadas, foi possível perceber a capacidadeda metodologia em auxiliar um projeto de redes industriais sem fio. Como por exemplo,na escolha de ações (inserir um roteador ou configurar um dispositivo com redundância)a ser tomadas na tentativa de maximizar alguma propriedade de dependabilidade ou nadescoberta dos dispositivos mais críticos da rede.

O segundo cenário de avaliação abordou uma das características mais importantes dametodologia, o suporte aos defeitos em modo comum. Os resultados mostraram que a nãoadoção de eventos dependentes na rede pode conduzir a resultados equivocados e muitootimistas. Este tipo de evento é bastante crítico para rede pois sua ocorrência provocafalhas simultâneas em vários dispositivos.

O terceiro cenário de avaliação analisou as melhores práticas a serem seguidas emum projeto de redes industriais sem fio. Essa política (regra dos cinco, regra dos três eregra dos 25%) foram definidas pela HCF e podem facilmente ser estendidas para todasas tecnologias de comunicação industrial sem fio. Esta análise foi a primeira avaliaçãoquantitativa das melhores práticas sugeridas pela HCF que se tem conhecimento. Osresultados mostraram que as regras sugeridas pela HCF apresentam diferentes influênciaspara a rede. A regra dos três apresenta uma maior cobertura no sentido que seu impacto éperceptível em todas as condições de defeitos impostas. Por outro lado, a regra dos cinco

possui uma maior influência para a confiabilidade da rede. Para ambas as regras, o fatode eliminar uma conexão com um vizinho é mais grave do que adicionar novas conexões.Finalmente, quando a rede cresce, a regra dos 25% torna-se dominante devido o MTTFda rede ser diretamente proporcional a quantidade de vizinhos do gateway.

Finalmente, através de uma análise de desempenho foi observado que a utilização doalgoritmo de cortes mínimos é fundamental para garantir a escalabilidade da metodologia

5.5. CONSIDERAÇÕES FINAIS 135

proposta. Para redes com pouca densidade, em outras palavras, poucos caminhos entreos dispositivos que compõem a condição de defeito da rede e o gateway, a utilização doalgoritmo de cortes mínimos não é obrigatória. Porém, para redes mais densas a não utili-zação desse algoritmo inviabiliza a análise de dependabilidade. Os resultados mostraramque para uma rede mesh densa (< 20 dispositivos), a utilização do algoritmo de cortesmínimos conduz a um tempo de execução de aproximadamente 74ms, enquanto que naconfiguração sem o respectivo algoritmo o tempo de execução é superior a 4 horas.

A partir das avaliações realizadas, pode-se perceber a capacidade da metodologia pro-posta em analisar a dependabilidade das redes industriais sem fio. Estas análises podemser realizadas na fase de projeto como também na manutenção e expansão da rede.

Capítulo 6

Conclusão e Trabalhos Futuros

Nos últimos anos o desenvolvimento de novas tecnologias de comunicação sem fiotem criado um cenário motivador para a criação de novas aplicações em ambientes indus-triais que não eram possíveis a 5 anos atrás. Entretanto, é conhecido que o setor industrialapresentar um grau de conservadorismo bastante elevado em relação à inserção de novastecnologias de comunicação. Esse comportamento é vinculado principalmente devidoaos requisitos rígidos de dependabilidade das aplicações. Falhas em equipamentos po-dem conduzir a defeitos críticos, que acarretam na parada das plantas industriais ou nopior caso riscos as vidas dos operadores e danos ambientais. Por isto, novos paradigmasde comunicação levam um tempo para o amadurecimento e conhecimento por parte dosoperários e projetistas das aplicações.

Visando contribuir para adoção mais efetiva das tecnologias de comunicação sem fiona indústria, nesta tese, desenvolveu-se uma metodologia para a criação, manutenção eexpansão de redes industriais sem fio considerando como métrica a dependabilidade dasaplicações. A metodologia é baseada no formalismo de Árvores de Falhas e independe deferramenta específicas. Dessa forma, qualquer análise quantitativa suportada pelo forma-lismo das Árvores de Falhas será também suportada pela metodologia desenvolvida. Asseguintes métricas de avaliação foram implementadas: confiabilidade da rede, disponibi-lidade da rede, MTTF da rede, medidas de importância dos dispositivos (Birnbaum e criti-calidade), aspectos de redundância e defeitos em modo comum. Devido à generalidade dametodologia, qualquer topologia (estrela, linha, cluster, mesh, ou outras combinações) deredes industriais sem fio podem ser configuradas. Essa mesma flexibilidade é permitidapara as padrões de redes industriais sem fio, onde é possível mapear redes WirelessHART,ISA100.11a, WIA-PA ou outras tecnologias que poderão surgir.

Na prática, projetistas e operadores podem utilizar a metodologia para averiguar se osrequisitos de dependabilidade das aplicações foram alcançados. Topologias diferentes po-dem ser configuradas para alcançar tais requisitos. Uma topologia pode ser ajustada com

138 CAPÍTULO 6. CONCLUSÃO E TRABALHOS FUTUROS

a introdução de novos dispositivos com funções de roteamento. Essa abordagem melhoraas propriedades de dependabilidade na medida que novos caminhos são criados entre osdispositivos e o gateway. Outra forma de maximizar a dependabilidade das aplicaçõesé através da inserção de dispositivos mais confiáveis ou configurações de arquiteturas deredundância. Todos esses procedimentos podem ser avaliados na metodologia proposta.

Em relação aos aspectos técnicos da metodologia, já é conhecido na literatura que aavaliação da confiabilidade de redes genéricas é um problema NP-Hard. Entretanto, paraa escalabilidade das redes industriais sem fio (gateway suporta até 100 dispositivos) éconhecido também que o problema ainda é tratável. Adicionalmente, a geração não auto-matizada das Árvores de Falhas é conhecida por ser uma tarefa bastante custosa. Sendoassim, a metodologia reuniu dois problemas clássicos na área de dependabilidade para so-lucionar a lacuna existente na avaliação das redes industriais sem fio. No caso, a criaçãode uma metodologia que avalia a dependabilidade de uma rede considerando a geraçãoautomática de Árvores de Falhas. O evento topo da Árvore de Falha corresponde à condi-ção de defeito da rede. As avaliações quantitativas são realizadas baseada no evento topoda árvore. Contudo, a escalabilidade de avaliação (redes < 100 dispositivos) da metodo-logia apenas é possível graças à adoção de um algoritmo encontrado na literatura parageração do conjunto de cortes mínimos cuja utilização no contexto de análise da depen-dabilidade de redes industriais é inédita. Esse algoritmo foi projetado inicialmente paragrafos e mapeado na metodologia para o domínio de Árvores de Falhas. Uma pequenamelhoria no algoritmo também foi implementada. Ressalta-se que sem a utilização dessealgoritmo a metodologia estaria limitada a redes com pouca densidade (topologia mesh

com menos de 20 dispositivos, por exemplo).

As contribuições da respectiva tese são listadas a seguir:

• Metodologia para análise da dependabilidade das redes industriais sem fio indepen-dente de ferramentas específicas.• Simplificação do algoritmo para geração de todos os caminhos entre um dispositivo

e o gateway.• Mapeamento do problema k-terminal, originalmente aplicado a redes de computa-

dores, ao formalismo das árvores de falhas.• Melhoria no algoritmo de geração do conjunto de cortes mínimos.• Aplicação do algoritmo que encontra o conjunto de cortes mínimos, originalmente

aplicados em grafos, ao domínio das árvores de falhas.• Análise da dependabilidade de uma rede industrial sem fio considerando falhas de

hardware e nos enlaces de comunicação, além de falhas em modo comum e aspec-

139

tos de redundância.• Avaliação das melhores práticas a serem seguidas em um projeto de redes indus-

triais sem fio.• Procedimentos a serem seguidos para avaliar a utilização de redundância, aquisição

de equipamentos mais confiáveis ou introdução de roteadores, em topologias típicasde ambientes industriais.

Como trabalhos futuros pretende-se incrementar a metodologia com modelos de fa-lhas mais complexos baseado em estruturas hierárquicas. Essas estruturas serão formadaspor cadeias de Markov. Diversos modelos de redundância também podem ser inseridosna estrutura hierárquica. Adicionalmente, modelos de redundância utilizando Árvoresde Falhas Dinâmicas serão estudos e sua adoção também será considerada na metodolo-gia. Ressalta-se que a proposta desta tese é vinculada às falhas permanentes. Pretende-seno futuro adicionar suporte para as falhas transientes, porém utilizando o formalismo daRedes de Petri Generalizadas e Estocásticas (GSPN). Em relação às melhores práticasa serem seguidas para criação de uma rede industrial sem fio, algoritmos de otimizaçãopodem ser criados para encontrar topologias ótimas baseados em requisitos de depen-dabilidade. A metodologia desenvolvida aqui pode ser utilizada para este fim. Futurostrabalhos irão abordar esse procedimento considerando melhores práticas para todas astecnologias de comunicação sem fio industriais.

140 CAPÍTULO 6. CONCLUSÃO E TRABALHOS FUTUROS

Referências bibliográficas

AboElFotoh, H., M. Shazly, E. Elmallah & J. Harms (2011), On area coverage reliabilityof wireless sensor networks, em ‘Local Computer Networks, 36th Annual IEEEConference on’, pp. 584–592.

AboElFotoh, H.M. & C.J. Colbourn (1989), ‘Computing 2-terminal reliability for radio-broadcast networks’, Reliability, IEEE Transactions on 38(5), 538 –555.

AboElFotoh, H.M.F., S.S. Iyengar & K. Chakrabarty (2005), ‘Computing reliability andmessage delay for cooperative wireless distributed sensor networks subject to ran-dom failures’, Reliability, IEEE Transactions on 54(1), 145 – 155.

Avizienis, A. & J.-C. Laprie (1986), ‘Dependable computing: From concepts to designdiversity’, Proceedings of the IEEE 74(5), 629 – 638.

Avizienis, A., J.-C. Laprie, B. Randell & C. Landwehr (2004), ‘Basic concepts and taxo-nomy of dependable and secure computing’, Dependable and Secure Computing,

IEEE Transactions on 1(1), 11–33.

Bai, H. & M. Atiquzzaman (2003), ‘Error modeling schemes for fading channels in wire-less communications: A survey’, Communications Surveys Tutorials, IEEE 5(2), 2–9.

Ball, Michael O. (1986), ‘Computational complexity of network reliability analysis: Anoverview’, Reliability, IEEE Transactions on 35(3), 230–239.

Belden (2009), Industrial ethernet, Relatório técnico, Belden. White Paper.

Bhatt, Jignesh G. (2010), Wireless networking technologies for automation in oil andgas sector, em ‘International Conference on Management of Petroleum Sector(ICOMPS-2010)’, 10, pp. 51–71.

Birnbaum, Z. W. & S. C. Saunders (1969), ‘A new family of life distributions’, Journal of

Applied Probability 6, 319–327.

141

142 REFERÊNCIAS BIBLIOGRÁFICAS

Bruneo, D., A. Puliafito & M. Scarpa (2010a), Dependability evaluation of wirelesssensor networks: Redundancy and topological aspects, em ‘Sensors, 2010 IEEE’,pp. 1827 –1831.

Bruneo, Dario, Antonio Puliafito & Marco Scarpa (2010b), Dependability analysis ofwireless sensor networks with active-sleep cycles and redundant nodes, em ‘Pro-ceedings of the First Workshop on DYnamic Aspects in DEpendability Models forFault-Tolerant Systems’, DYADEM-FTS ’10, ACM, New York, NY, USA, pp. 25–30.URL:http://doi.acm.org/10.1145/1772630.1772637

Chang, K.-D. & J.-L. Chen (2012), ‘A survey of trust management in wsns, internet ofthings and future internet’, KSII Transactions on Internet and Information Systems

6(1), 5–23.

Cheffena, Michael (2012), ‘Industrial wireless sensor networks: Channel modeling andperformance evaluation’, EURASIP J. Wireless Comm. and Networking 2012, 297.

Cho, Danny I. & Mahmut Parlar (1991), ‘A survey of maintenance models for multi-unitsystems’, European Journal of Operational Research 51, 1–23.

Choi, Jong Soo & Nam Zin Cho (2007), ‘A practical method for accurate quantificationof large fault trees’, Reliability Engineering and System Safety 92(7), 971 – 982.

Colpo, J. & D. Mols (2011), ‘No strings attached’, Hydrocarbon Engineering 16(11), 47–52.

Costa, D.G. & L.A. Guedes (2010), ‘The coverage problem in video-based wireless sensornetworks: A survey’, Sensors 10(9), 8215–8247.

De Dominicis, C.M., P. Ferrari, A. Flammini, E. Sisinni, M. Bertocco, G. Giorgi, C. Nar-duzzi & F. Tramarin (2009), Investigating wirelesshart coexistence issues through aspecifically designed simulator, em ‘Instrumentation and Measurement TechnologyConference, 2009. I2MTC ’09. IEEE’, pp. 1085 –1090.

Decotignie, J.-D. (2005), ‘Ethernet-based real-time and industrial communications’, Pro-

ceedings of the IEEE 93(6), 1102 –1117.

Decotignie, J.-d. (2009), ‘The many faces of industrial ethernet [past and present]’, In-

dustrial Electronics Magazine, IEEE 3(1), 8 –19.

http://doi.acm.org/10.1145/1772630.1772637

REFERÊNCIAS BIBLIOGRÁFICAS 143

Dust-Network (2010), SmartMesh IA-510 DN2510 WirelessHART, Dust Networks, Inc.

Egeland, G. & P. Engelstad (2009), ‘The availability and reliability of wireless multi-hopnetworks with stochastic link failures’, Selected Areas in Communications, IEEE

Journal on 27(7), 1132–1146.

EL-DARYMLI, Khalid, Faisal KHAN & Mohamed H. AHMED (2009), ‘Reliability mo-deling of wireless sensor network for oil and gas pipelines monitoring’, Sensors &

Transducers Journal 106(7), 6–26.

EL-Sherbeny, Mohamed Salah (2012), ‘Cost benefit analysis of series systems with mixedstandby components and k-stage erlang repair time’, International Journal of Pro-

bability and Statistics 1(2), 11–18.

Emerson-PM (2008), Emerson wireless technology safely monitors temperatures in rail-cars at croda inc, Relatório técnico, Emerson Process Management.

Emerson-PM (2009a), Emerson smart wireless transmitters monitor river water tempera-tures at lenzing fibers, Relatório técnico, Emerson Process Management.

Emerson-PM (2009b), Wireless location trackin, Relatório técnico, Emerson Process Ma-nagement.

Emerson-PM (2012), Emerson’s smart wireless network delivers maintenance savings,prevents unscheduled shut downs at heavy plate steel mill, Relatório técnico, Emer-son Process Management.

Ericson, Clifton A. (2005), Hazard Analysis Techniques for System Safety, Wiley-Interscience, Hoboken, New Jersey.

Felser, M. (2002), The fieldbus standards: History and structures, Relatório técnico, MI-CROSWISS Technology Leadership.

Felser, M. & T. Sauter (2002), The fieldbus war: history or short break between battles?,em ‘Factory Communication Systems, 2002. 4th IEEE International Workshop on’,pp. 73 – 80.

Felser, M. & T. Sauter (2004), Standardization of industrial ethernet - the next battlefield?,em ‘Factory Communication Systems, 2004. Proceedings. 2004 IEEE InternationalWorkshop on’, pp. 413 – 420.


Feng, Liu, Xu Jinwu, Yang Jianhong & Li Min (2010), Noise recognition of industrialwireless sensor networks based on fuzzy controller, em ‘Information Networkingand Automation (ICINA), 2010 International Conference on’, Vol. 1, pp. V1–457–V1–461.

Garg, Rachit & Praveen Kumar (2010), ‘A review of fault tolerant checkpointing protocolsfor mobile computing systems’, International Journal of Computer Applications

3(2), 8–19.

Grottke, Michael, Hairong Sun, Ricardo M. Fricks & Kishor S. Trivedi (2008), Ten falla-cies of availability and reliability analysis, em ‘Proceedings of the 5th internationalconference on Service availability’, ISAS’08, Springer-Verlag, Berlin, Heidelberg,pp. 187–206.URL:http://dl.acm.org/citation.cfm?id=1788594.1788615

Gungor, V. C. & F. C. Lambert (2006), ‘A survey on communication networks for electricsystem automation’, Comput. Netw. 50(7), 877–897.

Gungor, V.C. & G.P. Hancke (2009), ‘Industrial wireless sensor networks: Challenges,design principles, and technical approaches’, Industrial Electronics, IEEE Transac-

tions on 56(10), 4258 –4265.

Han, Song, Xiuming Zhu, A.K. Mok, Deji Chen & M. Nixon (2011), Reliable and real-time communication in industrial wireless mesh networks, em ‘Real-Time and Em-bedded Technology and Applications Symposium (RTAS), 2011 17th IEEE’, pp. 3–12.

HCF (2007), Why wirelesshart? the right standard at the right time, White paper, HARTCommunication Foundation, Austin, USA.

HCF (2011), ‘Wirelesshart - getting started’, http://www.hartcomm.org/protocol/wihart/wireless_getting_started.html. [Online; accessed 30-December-2011].

Hokstad, Per & Marvin Rausand (2008), Common cause failure modeling: Status andtrends, em K. B.Misra, ed., ‘Handbook of Performability Engineering’, SpringerLondon, capítulo 39, pp. 621–640.URL:http://dx.doi.org/10.1007/978-1-84800-131-2_39

http://dl.acm.org/citation.cfm?id=1788594.1788615

http://www.hartcomm.org/protocol/wihart/wireless_getting_started.html

http://www.hartcomm.org/protocol/wihart/wireless_getting_started.html

http://dx.doi.org/10.1007/978-1-84800-131-2_39


Hou, Wei (2003), Integrated Reliability and Availability Analysis of Networks with Soft-ware Failures and Hardware Failures, Tese de doutorado, University of South Flo-rida, Department of Industrial and Management Systems Engineering.

Hussain, T. & R. Eschbach (2010), Automated fault tree generation and risk-based testingof networked automation systems, em ‘Emerging Technologies and Factory Auto-mation (ETFA), 2010 IEEE Conference on’, pp. 1 –8.

IEC (2010), IEC 62591: Industrial communication networks - Wireless communication

network and communications profiles - WirelessHART.

IEC-62601 (2011), IEC/PAS 62601: Industrial communication networks - Fieldbus spe-

cifications - WIA-PA communication network and communication profile, 1a edição,International Electrotechnical Commission.

IEC-62734 (2012), IEC 62734: Industrial communication networks - Fieldbus specifi-

cations - Wireless Systems for Industrial Automation: Process Control and Related

Applications (based on ISA 100.11a), International Electrotechnical Commission.Draft.

IEEE-802.3x (1997), IEEE Standards for Local and Metropolitan Area Networks: Sup-

plements to Carrier Sense Multiple Access with Collision Detection (CSMA/CD)

Access Method and Physical Layer Specifications - Specification for 802.3 Full Du-

plex Operation and Physical Layer Specification for 100 Mb/s Operation on Two

Pairs of Category 3 or Better Balanced Twisted Pair Cable (100BASE-T2), ieee std802.3x-1997a edição, IEEE Computer Society.

ISA100 (2009), ISA100.11a - Wireless systems for industrial automation: Process control

and related applications, ISA Standards.

Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2011), Pre-liminary results on the assessment of wirelesshart networks in transient fault scena-rios, em ‘16th IEEE International Conference on Emerging Technologies and Fac-tory Automation’.

J. Muppala, R. Fricks, K. Trivedi (2000), Computational Probability, Kluwer AcademicPublishers, capítulo Techniques for System Dependability Evaluation, pp. 445–480.

Jawhar, Imad, Nader Mohamed, Mohamed M. Mohamed, & Junaid Aziz (2008), A rou-ting protocol and addressing scheme for oil, gas, and water pipeline monitoring


using wireless sensor networks, em ‘5th IFIP International Conference on Wirelessand Optical Communications Networks WOCN’.

Johnson, Barry W. (1988), Design & analysis of fault tolerant digital systems, Addison-Wesley Longman Publishing Co., Inc., Boston, MA, USA.

Kharbash, S. & W. Wang (2007), Computing two-terminal reliability in mobile ad hocnetworks, em ‘Wireless Communications and Networking Conference, 2007.WCNC2007. IEEE’, pp. 2831–2836.

Kharboutly, Rehab Ahmed El (2011), Architecture-based performance and reliability

analysis of concurrent software applications, ProQuest, UMI Dissertation Publi-shing.

Kim, Jiyong, Jinkyung Kim, Younghee Lee & Il Moon (2009), ‘Development of a newautomatic system for fault tree analysis for chemical process industries’, Korean

Journal of Chemical Engineering 26(6), 1429–1440.

Kirrmann, Hubert (1987), ‘Fault tolerance in process control: An overview and examplesof european products’, IEEE Micro 7, 27–50.

Lapp, Steven A. & Gary J. Powers (1977), ‘Computer-aided synthesis of fault-trees’,Reliability, IEEE Transactions on R-26(1), 2–13.

Laprie, J.-C. (1995), Dependability of computer systems: concepts, limits, improvements,em ‘Software Reliability Engineering, 1995. Proceedings., Sixth International Sym-posium on’, pp. 2–11.

Lessard, A. & M. Gerla (1988), ‘Wireless communications in the automated factory en-vironment’, Network, IEEE 2(3), 64 –69.

Lilleheier, Torbjorn (2008), Analysis of common cause failures in complex safety ins-trumented systems, Dissertação de mestrado, The Norwegian University of Scienceand Technology (NTNU).

Limnios, N. (2007), Fault trees, Control systems, robotics and manufacturing series,ISTE.URL:http://books.google.com/books?id=TdcZAAAACAAJ

Lin, Ying-Dar, Chun-Nan Lu, Yuan-Cheng Lai, Wei-Hao Peng & Po-Ching Lin (2009),‘Application classification using packet size distribution and port association’, Jour-

nal of Network and Computer Applications 32(5), 1023–1030.

http://books.google.com/books?id=TdcZAAAACAAJ


Lo Bello, L. & E. Toscano (2009), ‘Coexistence issues of multiple co-located ieee802.15.4/zigbee networks running on adjacent radio channels in industrial environ-ments’, Industrial Informatics, IEEE Transactions on 5(2), 157 –167.

Locks, Mitchell O. (1978), ‘Inverting and minimalizing path sets and cut sets’, Reliability,

IEEE Transactions on R-27(2), 107 –109.

Lundteigen, Mary Ann & Marvin Rausand (2007), ‘Common cause failures in safetyinstrumented systems on oil and gas installations: Implementing defense measuresthrough function testing’, Journal of Loss Prevention in the Process Industries

20, 218–229.

Majdara, Aref & Toshio Wakabayashi (2009), ‘Component-based modeling of systemsfor automated fault tree generation’, Reliability Engineering and System Safety

94(6), 1076 – 1086.

Malhotra, M. & A. Reibman (1993), ‘Selecting and implementing phase approximationsfor semi-markov models’, Commun. Stat. Stoch. Models 9(4), 473–506.

Marcelo Nobre, Luiz Affonso Guedes, Paulo Portugal & Ivanovitch Silva (2010), To-wards a wirelesshart module for the ns-3 simulator, em ‘15th IEEE InternationalConference on Emerging Technologies and Factory Automation’.

Military Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F)

(1991), Relatório técnico, United States Department of Defense.

Montague, J. (2001), ‘What’s left to say about industrial ethernet?’, Control Engineering

48(5), 72–80.

Murata, T. (1989), ‘Petri nets: Properties, analysis and applications’, Proceedings of the

IEEE 77(4), 541–580.

Murray, Judy Maksoud (2010), ‘Wireless finds new uses offshore’, Intelligent Fields - A

supplement to E&P pp. 17–24. Hart Energy Publishing.

Neves, P.A.C.S. & J.J.P.C. Rodrigues (2010), ‘Internet protocol over wireless sensor net-works, from myth to reality’, Journal of Communications 5(3), 189–196.

Ns3 (2012), ‘Manual’, http://www.nsnam.org/docs/manual/ns-3-manual.pdf.[Online; accessed 22-Octuber-2012].

http://www.nsnam.org/docs/manual/ns-3-manual.pdf


Papoulis, Athanasios & S. Unnikrishna Pillai (2002), Probability, Random Variable and

Stochastic Process, McGraw-Hill.

Petersen, S. & S. Carlsen (2011), ‘Wirelesshart versus isa100.11a: The format war hitsthe factory floor’, Industrial Electronics Magazine, IEEE 5(4), 23 –34.

Petersenand, Stig & Simon Carlsen (2011), A Survey of Wireless Sensor Networks for

Industrial Applications, CRC Press, capítulo 12, pp. 1–10.

Petre, L., K. Sere & E. Troubitsyna (2011), Dependability and Computer Engineering:

Concepts for Software-Intensive Systems, Igi Global.URL:http://books.google.com.br/books?id=lCgfe1FPfo0C

Portugal, Paulo José Lopes Machado (2004), Avaliação da Confiança no Funciona-mento de Redes de Campo - Contribuição no Domínio dos Sistemas Industriais deControlo, Tese de doutorado, Faculdade de Engenharia da Universidade do Porto.

Potter, D. (1999), Using ethernet for industrial i/o and data acquisition, em ‘Instrumenta-tion and Measurement Technology Conference, 1999. IMTC/99. Proceedings of the16th IEEE’, Vol. 3, pp. 1492–1496.

Puliafito, A, D Bruneo & M Scarpa (2011), ‘Energy control in dependable wireless sensornetworks: a modelling perspective’, Proceedings of the Institution of Mechanical

Engineers, Part O: Journal of Risk and Reliability .

Qureshi, Hassaan Khaliq, Sajjad Rizvi, Muhammad Saleem, Syed Ali Khayam, VeselinRakocevic & Muttukrishnan Rajarajan (2011), ‘Poly: A reliable and energy efficienttopology control protocol for wireless sensor networks’, Computer Communications

34(10), 1235 – 1242.URL:http://www.sciencedirect.com/science/article/pii/S0140366411000077

Rahimi, M., M. Rausand & Shaomin Wu (2011), Reliability prediction of offshore oiland gas equipment for use in an arctic environment, em ‘Quality, Reliability, Risk,Maintenance, and Safety Engineering (ICQR2MSE), 2011 International Conferenceon’, pp. 81 –86.

Rausand, Marvin & Arnljot Hsyland (2004), System reliability theory : models, statistical

methods, and applications, 2a edição, John Wiley & Sons, Inc., Publication.

http://books.google.com.br/books?id=lCgfe1FPfo0C

http://www.sciencedirect.com/science/article/pii/S0140366411000077



S., Mitra, Saxena NR. & McCluskey EJ. (2000), ‘Common-mode failures in redundantvlsi systems: A survey’, IEEE Transaction on Reliability 49(3), 285–295.

Sahner, Robin A., Kishor Trivedi & Antonio Puliafito (1996), Performance and Reliability

Analysis of Computer Systems: An Example-Based Approach Using the SHARPE

Software Package, Kluwer Academic Publishers.

Sauter, T. (2005), Fieldbus systems - history and evolution, em R.Zurawski, ed., ‘TheIndustrial Communication Technology Handbook’, CRC Press, capítulo 7.

Sauter, T. (2010), ‘The three generations of field-level networks - evolution and compati-bility issues’, Industrial Electronics, IEEE Transactions on 57(11), 3585 –3595.

Sauter, T., S. Soucek, W. Kastner & D. Dietrich (2011), ‘The evolution of factory andbuilding automation’, Industrial Electronics Magazine, IEEE 5(3), 35 –48.

Sauter, Thilo (2005), Linking factory floor and the internet, em R.Zurawski, ed., ‘TheIndustrial Information Technology Handbook’, CRC Press, capítulo 24.

Schutz, H.A. (1988), ‘The role of map in factory integration’, Industrial Electronics, IEEE

Transactions on 35(1), 6 –12.

Seno, L., F. Tramarin & S. Vitturi (2012), ‘Performance of industrial communicationsystems: Real application contexts’, Industrial Electronics Magazine, IEEE 6(2), 27–37.

Shier, D. R. & D. E. Whited (1985), ‘Algorithms for generating minimal cutsets by inver-sion’, Reliability, IEEE Transactions on R-34(4), 314 –319.

Shooman, M. (1990), Probabilistic Reliability an Engineering Approach, Krieger Publi-shing Company.

Shooman, Martin L. (2002), Reliability of Computer Systems and Networks - Fault Tole-

rance, anaysis, and Design, Wiley-Interscience.

Shrestha, A., H. Liu & L. Xing (2007), Modeling and evaluating the reliability of wirelesssensor networks, em ‘Reliability and Maintainability Symposium, 2007. RAMS ’07.Annual’, pp. 186 –191.

Shrestha, A., Liudong Xing & Hong Liu (2006), Infrastructure communication reliabilityof wireless sensor networks, em ‘Dependable, Autonomic and Secure Computing,2nd IEEE International Symposium on’, pp. 250 –257.


Shrestha, G.M., K. Ahmad & U. Meier (2012), Statistical analysis and predictive mo-deling of industrial wireless coexisting environments, em ‘Factory CommunicationSystems (WFCS), 2012 9th IEEE International Workshop on’, pp. 125 –134.

Silva, Ivanovitch, L.A. Guedes & F. Vasques (2008), Performance evaluation of a com-pression algorithm for wireless sensor networks in monitoring applications, em

‘Emerging Technologies and Factory Automation, 2008. ETFA 2008. IEEE Inter-national Conference on’, pp. 672 –678.

Silva, Ivanovitch, Luiz Affonso Guedes, Paulo Portugal & Francisco Vasques (2012),Dependability evaluation of wirelesshart best practices, em ‘17th IEEE Conferenceon Emerging Technologies and Factory Automation (ETFA 2012)’, pp. 1–9.

Song, Jianping, Song Han, A.K. Mok, Deji Chen, M. Lucas & M. Nixon (2008), Wire-lesshart: Applying wireless technology in real-time industrial process control, em

‘Real-Time and Embedded Technology and Applications Symposium, 2008. RTAS’08. IEEE’, pp. 377–386.

Thomesse, J.-P. (2005), ‘Fieldbus technology in industrial automation’, Proceedings of

the IEEE 93(6), 1073 –1101.

Trivedi, Kisho S (2001), Probability and Statistics with Reliability, Queueing, and Com-

puter Science Applications, 2nda edição, Wiley-Interscience.

Trivedi, Kisho S. & Robin Sahner (2009), ‘Sharpe at the age of twenty two’, SIGME-

TRICS Perform. Eval. Rev. 36, 52–57.

Tyagi, Sanjay Kumar, D. Pandey & Reena Tyagi (2010), ‘Fuzzy set theoretic approach tofault tree analysis’, International Journal of Engineering, Science and Technology

2(5), 276–283.

Urli, L. & S. Murgia (2011), Use of ethernet communications for real-time control sys-tems in the metals industry, em ‘Automation Science and Engineering (CASE), 2011IEEE Conference on’, pp. 6 –11.

Vitturi, S. (2001), ‘On the use of ethernet at low level of factory communication systems’,Comput. Stand. Interfaces 23, 267–278.

Vitturi, S., L. Seno, F. Tramarin & M. Bertocco (2013), ‘On the rate adaptation techniquesof ieee 802.11 networks for industrial applications’, Industrial Informatics, IEEE

Transactions on 9(1), 198 –208.


Willig, Andreas, Martin Kubisch, Christian Hoene & Adam Wolisz (2002), ‘Measu-rements of a wireless link in an industrial environment using an IEEE 802.11-compliant physical layer’, IEEE Transactions on Industrial Electronics 43, 1265–1282.

Wolf, Frederick G. (2001), ‘Operationalizing and testing normal accident theory inpetrochemical plants and refineries’, Production and Operations Management

10(3), 292–305.URL:http://dx.doi.org/10.1111/j.1937-5956.2001.tb00376.x

XIAO, Yu-Feng, Shan zhi CHEN, Xin LI & Yu hong LI (2009), ‘Reliability evaluationof wireless sensor networks using an enhanced OBDD algorithm’, The Journal of

China Universities of Posts and Telecommunications 16(5), 62–70.URL:http://www.sciencedirect.com/science/article/pii/S1005888508602708

Xing, Liudong, Hong Liu & A. Shrestha (2012), ‘Infrastructure communication reliabi-lity of wireless sensor networks considering common-cause failures’, International

Journal of Performability Engineering 8(2), 141–150.

Xing, Liudong, P. Boddu & Yan Sun (2009), System reliability analysis considering fataland non-fatal shocks in a fault tolerant system, em ‘Reliability and MaintainabilitySymposium, 2009. RAMS 2009. Annual’, pp. 436–441.

Xing, Liudong & Suprasad V. Amari (2008), Handbook of Performability Engineering,Springer, capítulo Fault Tree Analysis, pp. 595–617.

Yamamoto, Shuji, Naoki Maeda, Makoto Takeuchi & Masaaki Yonezawa (2010), World’sfirst wireless field instruments based on isa100.11a, Relatório Técnico 2, IA Foun-dation Technology Center. Vol. 53.

Z., Tang & Dugan JB. (2004), An integrated method for incorporating common cause fai-lures in system analysis, em ‘Proceedings of the 50th Annual Reliability and Main-tainability Symposium’, pp. 610–614.

Zamalloa, Marco Zúñiga & Bhaskar Krishnamachari (2007), ‘An analysis of unreliabilityand asymmetry in low-power wireless links’, ACM Trans. Sen. Netw. 3(2).URL:http://doi.acm.org/10.1145/1240226.1240227

http://dx.doi.org/10.1111/j.1937-5956.2001.tb00376.x



http://doi.acm.org/10.1145/1240226.1240227


Zand, Pouria, Supriyo Chatterjea, Kallol Das & Paul Havinga (2012), ‘Wireless industrialmonitoring and control networks: The journey so far and the road ahead’, Journal

of Sensor and Actuator Networks 1(2), 123–152.URL:http://www.mdpi.com/2224-2708/1/2/123

Zhu, Haihong (2012), Reliability and availability analysis for large networking system,em ‘Reliability and Maintainability Symposium (RAMS), 2012 Proceedings’, pp. 1–6.

Zigbee-Alliance (2007), ZigBee Specification, r17a edição, ZigBee Alliance Board of Di-rectors.

Zurawski, Richard, ed. (2005), The industrial communication technology handbook, In-dustrial information technology series, Taylor & Francis/CRC Press, Boca Raton.

http://www.mdpi.com/2224-2708/1/2/123

Uma Metodologia para Modelagem e Avaliação da ... · Uma Metodologia para Modelagem e Avaliação...

Documents

Transcript of Uma Metodologia para Modelagem e Avaliação da ... · Uma Metodologia para Modelagem e Avaliação...