UMA ANALISE DE FALHAS EM MODO COMUM E REDUNDANCIA PARAPROCESSOS INDUSTRIAIS

Daniel Macedo∗, Ivanovitch Silva∗, Allan Venceslau∗, Luiz Affonso Guedes∗

∗Laboratorio de Informatica IndustrialDepartamento de Engenharia de Computacao e Automacao, Instituto Metropole Digital

Universidade Federal do Rio Grande do NorteNatal, Rio Grande do Norte, Brasil

Emails: danielmacedo@dca.ufrn.br, ivan@imd.ufrn.br, allanrsv@dca.ufrn.br,

affonso@dca.ufrn.br

Abstract— The demand for development of new tools to support designing, monitoring, maintaining andcommissioning of industrial processes is permanent. The complexity of the industrial environment requires thatthese tools have flexible features in order to provide valuable data at the early planning and design phases.Furthermore, it is known that industrial processes have stringent requirements for dependability (reliability andavailability), since failures can cause economic loss, environmental damage and danger to people. Because ofthis, as most of the simulation tools computacioais unable to approach the reality is better. To approach thereal, it is important to analyze common cause failure and analysis of redundancies in device. This paper presentsa tool that is able to estimate the reliability and availability of industrial processes modeled as a graph. Thetool transforms a graph structure in a model of Fault Tree and Markov chain to analyze the dependability of theprocess. Finally, a study of dependability of an industrial process is conducted in order to validate the proposedtool.

Keywords— Industrial process, Fault Tree, Markov Chain, Redundancy, Common cause failure, Dependabil-ity, Realibility, Availability.

Resumo— A demanda por desenvolvimento de novas ferramentas para suporte ao projeto, monitoramento,manutencao e comissionamento de processos industriais e permanente. A complexidade do ambiente industrialexige que estas ferramentas sejam flexıveis para fornecer dados valiosos no planejamento inicial e na frase deprojeto. Mais que isso, e conhecido que processos industriais tem requisitos rigorosos para dependabilidade(confiabilidade e disponibilidade), desde que falhas podem causar perda economica, danos ambientais e porpessoas em risco. Devido a isso, quanto mais a simulacao das ferramentas computacioais conseguirem se aproximarda realidade e melhor. Para se aproximar do real, e importante a analise de falhas de modo comum e a analisede redundancias no dispositivo. Esse trabalho apresenta uma ferramenta que e capaz de estimar a confiabilidadee disponibilidade de processos industriais modelados como um grafo. A ferramenta transforma uma estrutura degrafo em um modelo de Arvore de Falhas e Cadeia de Markov para analisar a dependabilidade do processo. Porfim, um estudo de dependabilidade de um processo industrial e conduzido com o intuito de validar a ferramentaproposta.

Palavras-chave— Processo industrial, Arvore de Falha, Cadeia de Markov, Redundancia, Falhas em modocomum, Dependabilidade, Confiabilidade, Disponibilidade.

1 Introducao

A pesquisa de ferramentas em ambientes indus-triais sempre ira existir, dado o crescente numerode estudos, pesquisa e desenvolvimento na area(Krishnamurthy et al., 2005; Cinque et al., 2007;Xing et al., 2012). Nesse contexto, nos destacamoso desenvolvimento de ferramentas que preveem ocomportamento de processos industriais. Estimara dependabilidade desses processos durante o co-meco do planejamento e na fase de projeto podeajudar a antecipar importantes decisoes, tais comoo comportamento das falhas (confiabilidade do sis-tema), disponibilidade e criticidade dos disposi-tivos. Dessa forma, torna-se importante que asprevisoes, estimadas por essas ferramentas, seja omais proximo possıvel do comportamento dos pro-cessos na realidade. Para tal, e necessario que osmetodos usados por essas ferramentas, sejam ca-pazes de suportar a adocao de redundancias nosdispositivos e falhas de modo comum. Estes dadosde dependabilidade podem ser obtidos quantitati-

vamente usando modelos matematicos, como porexemplo, Arvore de Falhas e Cadeias de Markov.

Um processo industrial e composto de disposi-tivos heterogeneos conectados por uma estruturade rede. Falhas de dispositivos e conexoes en-tre os equipamentos podem causar uma falha noprocesso, que pode resultar em perdas financei-ras, danos ambientais ou por trabalhadores emrisco. O principal objetivo desse trabalho e for-necer uma avaliacao da dependabilidade de pro-cessos industriais onde os dispositivos e as cone-xoes entre os dispositivos estao sujeitos a falhas.Em Macedo et al. (2013) e apresentado uma fer-ramenta (Br-IndustrialExpert) que transforma aestrutura de processo (mapeados por uma redee modelado como um grafo) em um modelo de

Arvore de Falhas onde a avaliacao de dependa-bilidade e conduzida. Nao sera do escopo dessetrabalho descrever o algoritmo de mapeamento deum processo industrial para a Arvore de Falha.Mas sim a analise de redundancias atraves Cadeiade Markov e a implementacao de falhas de modo

comum em Arvore de Falhas.O restante desse artigo e organizado da se-

guinte forma: A Secao 2 descreve o estado da artena area de confiabilidade e disponibilidade aplica-das a processos no formato de redes. Na Secao 3 eapresentado o conceito dos formalismos matema-ticos de Arvore de Falhas e Cadeias de Markov,alem de descrever o que sao modelos hierarqui-cos. Na Secao 4, e descrito como modelar falhasde modo comum em Arvore de Falhas. Na Se-cao 5, descrevemos como e feito a modelagem dasredundancias de um dispositivo atraves de Cadeiade Markov. Um estudo de caso e discutidos na Se-cao 6. Finalmente, na Secao 7 conclui-se o artigoe apresentamos direcoes para estudos futuros.

2 Trabalhos Relacionados

A estimativa da dependabilidade de processos in-dustriais durante as fases iniciais de planejamentoe projeto pode antecipar importantes decisoes,tais como o comportamento das falhas do sistemaem caso de falhas, disponibilidade e criticidade dosequipamentos entre outras metricas. Esta ana-lise pode ser obtida quantitativamente atraves demodelos matematicos, como Arvore de Falha, Ca-deias de Markov, Redes Petri e Redes Bayesianas.

Analise da dependabilidade de sistemas base-ados em grafos e um problema classico na lite-ratura (AboElFotoh e Colbourn, 1989). A teoriaja desenvolvida pode ser utilizada na estimacaoda dependabilidade das infraestruturas crıticas emambientes industriais. O problema pode ser classi-ficado em tres abordagens: k-terminal, 2-terminalou todos-terminal. Vamos assumir um grafo comN dispositivos e um conjunto de K dispositivos(K ⊂ N e |K| < |N |). K e um conjunto compostopor um dispositivo centralizador e K-1 dispositi-vos de campo. Definindo um dispositivo centrali-zador s ∈ K, o problema k-terminal e expressadocomo a probabilidade de que exista pelo menosum caminho/ligacao de s para cada dispositivo decampo incluso em K. O problema 2-terminal eo caso onde K = 2, ao passo que o problema detodos-terminal e o caso em que |K| = |N |.

Uma tentativa para criar uma metodologiapara avaliar a dependabilidade de estruturas ba-seadas em grafos foi realizada em (Cinque et al.,2007). Os autores mapearam uma Rede de Senso-res Sem Fio (RSSF) em uma estrutura de grafo.Os sensores assumem o papel dos vertices en-quanto que os enlaces de comunicacao entre osdiversos sensores assumem o papel de arestas dografo. Um modelo baseado no formalismo deRedes de Petri Estocasticas e Generalizadas foidesenvolvido para analise das falhas transientes.Para introduzir o conceito de arquitetura de mo-delos, os mesmos autores estenderam o trabalhoanterior (Cinque et al., 2007) criando uma pro-posta dinamica capaz de especializar o estudo des-

crito em (Di Martino et al., 2012). Todavia, am-bos os trabalhos nao permitem a configuracao decondicoes de falhas mais complexas envolvendoeventos independentes. Adicionalmente, metricasclassicas de dependabilidade nao sao suportadas,por exemplo, confiabilidade, disponibilidade e cri-ticidade de dispositivos.

Recentemente, uma importante contribuicaopara avaliacao da dependabilidade em grafos foiproposta em (Xing et al., 2012). A ideia principale avaliar a influencia de falhas em modo comum.Os autores propoem uma esquema baseado emDiagramas de Decisao Binaria (DDB) para ava-liacao de grafos com uma quantidade de compo-nentes superior a 20 dispositivos. Todavia, o mo-delo nao suporta condicoes genericas de falha tam-pouco uma analise de importancia dos dispositi-vos. Aquele trabalho foi desenvolvido visando es-pecificamente o estudo de Redes de Sensores SemFio Industriais (RSSFI), no entanto, seus algorit-mos podem ser generalizados para outras infraes-truturas como processos quımicos e refinarias.

A partir da discussao acima se torna claro queos trabalhos ja desenvolvidos na literatura temfornecido apenas uma solucao parcial para o pro-blema visado, uma vez que a maioria deles e fo-cado em situacoes muito especıficas. Adicional-mente, esses trabalhos sao muito restritivos no quediz respeito a definicao das condicoes de falha darede, metricas de confiabilidade, topologia e as-pectos de reconfiguracao. A ferramenta propostaneste trabalho utiliza-se de uma metodologia quenao e uma abordagem nova, visto que o problemada confiabilidade em redes ja foi avaliado na litera-tura (AboElFotoh e Colbourn, 1989), no entanto,a metodologia adotada visa eliminar a maioria daslimitacoes dos trabalhos anteriores. Alem disso, ostrabalhos analisados geram seus proprios modelosde confiabilidade, o que dificulta a generalizacaodos resultados.

O trabalho apresenta uma solucao de conver-sao de processos industriais que tem um centrali-zador na rede, portanto k-terminal. A ferramentaproposta resolve varios aspectos, uma vez que seadapta a diferentes tipos de cenarios. As princi-pais vantagens, quando comparada com as abor-dagens disponıveis na literatura, sao as seguintes:

• Suporte a qualquer topologia de rede: linha,mesh e estrela;

• As condicoes de falha podem ser especificadaspor um grupo de dispositivos ou um unicodispositivo;

• Considera falhas nos links e hardware;

• Possibilidade de configurar falhas de modocomum;

• As taxas de falha e reparacao podem ser ba-seadas em distribuicoes estatısticas;

• Diversos tipos de medidas de dependabilidadepodem ser obtida a partir do mesmo mo-delo (confiabilidade, disponibilidade, tempomedio para falha, conjuntos mınimos decorte, criticidade, Fussell-de Vesely, Birn-baum, RAW e RRW);

• Possibilidade de configurar dispositivos re-dundantes.

3 Formalismos matematicos

Dado a importancia de se analisar a robustez dossistemas, formalismos matematicos foram criadospara a modelagem quantitativa de dependabili-dade dos mesmos. O Diagrama de Bloco, Arvoresde Falhas (AF) e Cadeias de Markov sao exemplosde tecnicas quantitativas amplamente usadas naindustria (Rouvroye e van den Bliek, 2002). Tec-nicas qualitativas como a analise de modo e efeitode falhas e a analise no espaco de estados tambemsao abordagens estabelecidas na area. Nas secoesa seguir sera descrito de maneira sucinta os for-malismos matematicos empregados nesse trabalho(Arvore de Falhas e Cadeias de Markov).

3.1 Arvore de Falhas

Arvore de Falhas e um modelo matematico ampla-mente utilizado na industria (Limnios, 2007). Em

resumo, Arvores de Falhas podem ser entendidascomo um conjunto de eventos, os quais combina-dos atraves de portas logicas convergem em umunico no, o topo da arvore ou evento topo.

Esse modelo pode ser usado para avaliar aconfiabilidade e disponibilidade de uma rede. Aprincipal vantagem da analise de Arvore de Fa-lhas esta relacionada com o procedimento intui-tivo utilizado para descrever os acontecimentosque leva a falhas da rede. No entanto, para topo-logias complexas, a construcao de uma Arvore deFalhas e uma tarefa demorada e demanda muitoesforco. A solucao usual e a adocao de uma abor-dagem que gera automaticamente a Arvore de Fa-lhas (Majdara e Wakabayashi, 2009).

As portas logicas de uma Arvore de Falhasmais comuns sao as and, or e k-out-n. A repre-sentacao e expressao de cada uma delas e apre-sentada na Figura 1, onde F (t) e a probabilidadede um dispositivo ou porta logica falhar, enquantoque Fi(t) e a probabilidade do evento i falhar.

Por sua vez, os eventos representam folhas pri-mitivas da expressao booleana da Arvore de Fa-lha. Cada evento possui uma funcao, que varia notempo, a qual representa a distribuicao probabi-lıstica que o caracteriza.

O processo de construcao de uma Arvore deFalhas e realizada de forma dedutiva e comeca de-finindo o evento topo, que representa a condicao

Fi (t) ... Fn(t) Fi (t) ... Fn(t)

or and

𝑭 𝒕 = 𝟏 − (𝟏 − 𝑭𝒊(𝒕))

𝒏

𝒊=𝟏

𝑭 𝒕 = 𝑭𝒊(𝒕)

𝒏

𝒊=𝟏

𝑭 𝒕 = ( 𝑭𝒊 𝒕

𝒊 ∈ 𝑰

)( 𝟏 − 𝑭𝒊(𝒕)

𝒊 ∋ 𝑰

)

|𝑰|≥𝒌

Fi (t) ... Fn(t)

K out of N

Figura 1: Expressoes das portas logicas and, or ek-out-n.

de falha do sistema. De um ponto de vista proba-bilıstico, a avaliacao de uma Arvore de Falhas con-siste em calcular a probabilidade do evento topoa partir das probabilidades dos eventos basicos.

3.2 Cadeias de Markov

Idealizado por Andrei Andreyevich Markov, o mo-delo de Markov e muito utilizado para sistemascom comportamento aleatorio de maneira discretaou contınua em relacao ao tempo, configurando-se assim como um processo estocastico. O mo-delo se baseia em um grafo, portanto e formadopor um conjunto de estados (vertices), podendoser interconectados por transicoes (arestas), querepresentam a probabilidade de transicao de umestado para outro. O modelo de Markov e carac-terizado como um sistema sem memoria, ou seja,o seu estado futuro independe do historico do seucomportamento.

Outra forma de caracterizar esses modelos ecomo contınuos ou discretos. Essa classificacao serefere ao seu comportamento em relacao ao tempo.Em outras palavras, o modelo discreto tem umfluxo nos espacos discretos de tempo, o contınuoage de maneira contınua nele, portanto tem umdomınio infinito nesse espaco. Os discretos saomatematicamente mais simples e concedem apro-ximacoes satisfatorias.

3.3 Modelos Hierarquicos

O uso de modelos hierarquicos matematicos naoe novo na literatura (Sahner et al., 1996; Kimet al., 2010). Nos modelos hierarquicos, um mo-delo matematico se beneficia dos resultados daanalise de outro tipo de modelo. Nesse artigo serausado Arvore de Falhas para analisar a dependa-bilidade do processos industriais, no entanto parafazer a analise de redundancias de um dispositivosera usado o modelo de Cadeia de Markov.

Portanto, ao inves dos eventos carregaremuma distribuicao estatıstica que os represente (porexemplo, exponencial ou binomial), eles terao umaCadeia de Markov e sua distribuicao sera a analisedessa cadeia. Na Fig. 2 e apresentado de maneiraesquematica o modelo hierarquico.

Figura 2: Modelo hieraquico com Cadeia de Mar-kov e Arvore de Falha.

4 Modelando Falhas de Modo Comumem Arvore de Falhas

Na Arvore de Falha e comum considerar que oscomponentes do sistema falham de forma inde-pendente. Entretanto, na pratica este cenario naonecessariamente ocorre. Um exemplo disso sao asfalhas de modo comum (FMC). Este tipo de de-feito ocorre em multiplos componentes no mesmointervalo de tempo e compartilha da mesma causa,como por exemplo sabotagens, furacoes, inun-dacoes, obstaculos temporarios, descargas eletri-cas, falhas de projeto, erros humanos, etc. FMCocorrem tipicamente em sistemas modelados comredundancia, onde um conjunto de componen-tes identicos sao utilizados (Tang e Bechta Du-gan, 2004). Outro exemplo muito comum de FMCocorre nas redes sem fio, onde obstaculos tempo-rarios podem obstruir (defeito) varios enlaces decomunicacao ao mesmo tempo. Observa-se que naanalise quantitativa, a nao consideracao de FMCpara a modelagem do sistema pode conduz a re-sultados superestimados (Mitra et al., 2000).

De uma maneira geral, se o defeito de umcomponente aumenta a tendencia de ocorrer umoutro defeito em um outro componente, diz-seque esses defeitos apresentam uma dependenciapositiva. Caso contrario, essa relacao e classifi-cada como negativa (Rausand e Høyland, 2003).Na teoria de probabilidades, dois eventos (E1e E2) sao considerados dependentes positivos sePr(E1∩E2) > Pr(E1) ·Pr(E2) ou Pr(E1|E2) >Pr(E1) ou Pr(E2|E1) > Pr(E2). De maneiraanaloga, E1 e E2 sao considerados dependentesnegativos se Pr(E1 ∩ E2) < Pr(E1) · Pr(E2) ouPr(E1|E2) < Pr(E1) ou Pr(E2|E1) < Pr(E2).

Medir o impacto das FMC o mais breve pos-sıvel, idealmente nas fases de projeto e planeja-mento do processo, e uma questao fundamentalna analise da dependabilidade de processos indus-triais. Quando realizada adequadamente, decisoessobre a topologia, criticidade dos dispositivos, nı-veis de redundancia e robustez da rede podem serantecipadas.

Assim como a representacao das diferentes fa-lhas do processo industrial podem ser representa-dos por eventos, as falhas de modo comum tam-bem serao eventos da Arvore de Falha. Como

as falhas em modo comum atuam em diferentescomponentes do processo, o seu respectivo eventoira aparecer em diferentes posicoes na AF. Todavez que um componente da AF influenciado poruma FMC aparecer na arvore, ele deve vir acom-panhado do evento que representa a falha de modocomum.

5 Modelando Redundancia atraves deCadeias de Markov

Todos modelos de redundancia propostos nesseartigo sao baseados no formalismo de Cadeia deMarkov. Para a utilizacao desses modelos, e defi-nido um conjunto de estados discretos no sistemae e determinado um conjunto de taxas de transi-cao de um estado a outro. As taxas de transicaorepresentam as taxas de falha e taxas de reparo.O uso de Cadeias de Markov limitam a analisedo sistema apenas para a distribuicao exponen-cial. Para a analise de distribuicoes nao expo-nenciais pode-se utilizar tecnicas de aproximacaodessas distribuicoes em distribuicoes exponenciais(Sahner et al., 1996).

Os estados da Cadeia de Markov representamos modos de operacao da um dispositivo (ativoou inativo). A probabilidade do sistema mover deum estado ativo (funcionando corretamente) parao estado inativo e dado por λ (taxa de falha) eo inverso e dado por µ (taxa de reparo). Nessecontexto, duas importantes metricas sao defini-das (Sahner et al., 1996):

• Confiabilidade: E o conceito usado paradescrever que um componente ou sistema estafuncionando corretamente de acordo com asespecificacoes durante um perıodo de tempo.

• Disponibilidade: E o conceito que deve serentendido como a probabilidade que o sistemaesta trabalhando corretamente no instante tindependente do numero de falhas ocorridasno intervalo de (0, t) (desde que as falhas te-nham sido reparadas).

A Fig. 3 descreve um modelo simples paraavaliacao da confiabilidade e disponibilidade deum sistema considerando apenas o estado ativo(good) e o inativo (bad). Em ambas as metricas, oobjetivo e calcular a probabilidade do comeco doestado ativo (good) em um dado tempo t. Noteque se µ = 0 o modelo de disponibilidade seraoiguais.

Em relacao aos aspectos de redundancia, paracada componente redundante adicionado dentrodo sistema, um novo estado deve ser tambem adi-cionado para o modelo proposto. Em outras pa-lavras, a quantidade de novos estados representao numero de dispositivos necessarios para trazer osistema para a falha.

GOOD BAD

λ

(a)

GOOD BAD

λ

μ

(b)

Figura 3: Modelos de dependabilidade(metricas).(a) Confiabilidade. (b) Disponibilidade.

Uma das formas de classificar o tipo de redun-dancia e atraves da definicao de redundancias ati-vas e passivas. Quando todos componentes redun-dantes operam simultaneamente (paralelo) com odispositivo principal/primario, tal arranjo e cha-mado de redundancia ativa. Estes componentesde dividem a carga do comeco ate que um delesfalhar. Por outro lado, quando uma reposicao decomponente so e feita apos a falha do dispositivoprincipal/primario, tal arranjo e chamado de re-dundancia passiva. Durante o tempo de espera ocomponente redundante e dito ser cold standby. Seo componente standby for responsavel uma cargapequena no perıodo de espera, a abordagem daredundancia e chamado parcialmente carregado.

Em um sistema configurado com dispositivosde pecas de reposicao (independente de ser ativaou passiva), se o componente primario falha o dis-positivo redundante assume o sistema. Porem, ochaveamento entre o dispositivo primario e o com-ponente redundante nao e sempre perfeito. Paracenarios crıticos, e fundamental modelar e avaliaro chaveamento imperfeito. Para se tornar maiscompreensıvel, apresentaremos nas secoes seguin-tes os aspectos de redundancia discutidos anteri-ormente para as abordagens ativas e passivas.

5.1 Redundancia passiva

Vamos considerar o modelo passivo descrito naFig. 4(a). Este modelo pode estar funcionandoe reparado de diversas formas: (a) o componenteredundante pode ser frio ou parcialmente carre-gado, (b) a transicao entre as redundancias podeter varios modos de falha (chaveamento imperfeitoou desconectado) ou (c) a falha de redundancia docomponente pode esta oculta ou detectavel. Emum modelo geral, o modelo standby (termo usadopara se referenciar as redundancias quando estaoesperando assumirem o sistema) atua da seguinteforma: o primeiro componente (C1) esta funcio-nando no tempo t = 0. Se o C1 falha, o compo-nente redundante C2 e ativado. Quando C2 falha,o componente redundante C3 assume. Depois don-esimo componente redundante falhar, o modelopassivo falha.

A Cadeia de Markov para modelos standby edescinto na Fig. 4(b). Nos assumimos que o com-ponente redundante e frio e o procedimento dechaveamento e perfeito. Devido a limitacao de es-

C 1

C 2

C n

... ...

(a)

GOOD

λ

NGOOD

N-1GOOD

N-2

... GOOD1

BAD

λ λ

(b)

Figura 4: (a) Redundancia passiva e (b) seurespectivo modelo de Markov assumindo chavea-mento perfeito.

paco no trabalho, o modelo para a disponibilidadenao e descrita na Fig. 4(b) (para o modelo de dis-ponibilidade, e apenas necessario adicionar o pa-rametro µ como descrito na Fig.3(b), obviamenteassumindo que as acoes de reparo sao limitadas).Ha n− 1 componentes redundantes e um compo-nente primario na Cadeia de Markov (totalizandon estados GOOD ). A confiabilidade do modelono instante t e calculada pela Equacao 1.

R(t) =µ

µ+ λ+

λ

µ+ λe−(µ+λ) (1)

A formula para avaliar a disponibilidade e amesma da equacao Equacao 1 (obviamente, e ne-cessario adicionar o parametro µ na Fig.4(b)).

Outra importante metrica de dependabilidadee mean time to failure (MTTF), que mede o tempomedio para falhar (assumindo que um sistema naoreparavel e adotado). A metrica e amplamenteadotada na literatura (Avizienis et al., 2004) e efacilmente obtida da equacao 2.

MTTF =

∞∫i=0

R(t)dt (2)

Alem disso assumimos que quando o compo-nente ativo falha, existe uma probabilidade 1−Pwpara o chaveamento falhar. Dessa forma ha duasmaneiras para um dispositivo falhar: (a) se o com-ponente primario falha e todas redundancias fa-lhas, e (b) se o chaveamento nao e ativado quandoo dispositivo primario falha. Este cenario e conhe-cido como chaveamento imperfeito.

Para sermos mais compreensıvel, vamos de-talhar esse cenario usando a Fig. 5. O compo-nente primario (C1) esta funcionando no tempot = 0 (estado Good N). Se C1 falha e o chavea-mento e feito de forma bem sucedida (Pw × λ), oprimeiro componente redundante e ativo (estadoGood N−1). Por outro lado, se o chaveamento fa-lha, o sistema e levado para o estado (BAD) com aprobabilidade (1−Pw)×λ. Depois da n-esimo re-dundancia falhar ou se algum chaveamento falha,

o modelo passivo falha. A avaliacao da confiabili-dade e a disponibilidade e a mesma dos modelosprevios.

GOODpwλ

NGOOD

N-1

...

(1-pw)λ

GOODN-2

pwλ GOOD

λ

1BAD

(1-pw)λ (1-pw)λ

Figura 5: Cadeia de Markov para a redundanciapassiva com chaveamento imperfeito.

Outro cenario interessante e quando podemocorrer falhas nas redundancias. Neste cenario,o dispositivo de reposicao pode falhar antes doseu dispositivo primario. O dispositivo standbytem uma falha oculta quando ativado. Em geral,este tipo de falha e menor do que a taxa de falhacorrespondente durante a operacao. A taxa defalha do modo de espera e definido como λstb. Omodelo da Cadeia de Markov para este tipo defalha e descrito na Fig. 6.

GOODpwλ

NGOOD

N-1

...

(1-pw)λ

GOODN-2

pwλ GOOD

λ

1BAD

(1-pw)λ (1-pw)λ

(N-1)λstdλ (N-2)λstdλ (N-3)λstdλ

Figura 6: Cadeia de Markov para a redundanciapassiva com modelo de falha passivo.

Note que o modelo do modo de falha standbye similar ao descrito na Fig. 5. A diferenca e quese o dispositivo primario falha, independente se ochaveamento e perfeito ou nao, N − 1 redundan-cias podem falha quando estao em standby com aprobabilidade (N − 1)× λstb.

5.2 Redundancia ativa

Vamos considerar o modelo ativo descrito naFig. 7(a). Nesse tipo de redundancia os dispo-sitivos (dois ou mais) estao operando em paralelocom o componente primario. A carga primaria ecompartilhada do comeco ate o componente pri-mario falhar. Quando isso corre, uma redundanciaassume que a operacao principal com um atrasomınimo no chaveamento.

A Cadeia de Markov para o modelo ativo edescrito na Fig. 7(b). Nos assumimos que o pro-cedimento de chaveamento e perfeito. O sistema ecomposto de N−1 redundancias (operando em pa-ralelo) e um componente primario (ao todo, tem-se N estados GOOD).

O modelo opera da seguinte forma: se o com-ponente primario falha e o N − 1 componente re-dundante tambem falha, entao o sistema vai para

C 1

C 2

C n

...

(a)

GOOD

Nλ

NGOOD

N-1GOOD

N-2

... GOOD1

BAD

λ (N-1)λ

(b)

Figura 7: (a) Redundancia ativa e (b) seu respec-tivo modelo de Markov assumindo chaveamentoperfeito.

o estado de falha (BAD). No estado Good N nostemos N candidatos para falhar. Sem perda degeneralidade, vamos assumir que a primeira re-dundancia e ativado com sucesso, conforme naFig. 7(b). Devido a isso, o sistema ira continuarfuncionando ate este componente redundante fa-lhar e a N − 2 redundancia tambem falhar (haN − 1 candidatos para falhar no estadoGood N −1). O procedimento para avaliacao da confiabili-dade e disponibilidade e o mesmo que o descritona equacao 1.

Como descrito na Fig. 5, vamos assumir quequando o componente ativo falha, existe uma pro-babilidade 1− Pw do chaveamento falhar. O mo-delo de Markov para este cenario e descrito naFig.8. Note que independente se uma redundan-cia e ativa ou passiva, quando o chaveamento falhao sistema ira para o estado de falha (BAD).

O modelo assumindo comutacao imperfeitana redundancia ativa e um pouco diferente que oapresentado para a abordagem passiva. Dado queos componentes da redundancia ativa operandoem paralelo, existem por exemplo, N combina-coes da falha no estado Good N . Entao, a taxa detransicao desse estado assumindo que o dispositivoredundante e ativado de maneira bem sucedida ePw ×N ×λ. Por outro lado, na aproximacao pas-siva esta taxa de transicao e apenas Pw × λ.

GOOD

pwNλ

NGOOD

N-1

...

(1-pw)Nλ

GOODN-2

GOOD

λ

1BAD

(1-pw)(N-1)λ

pw(N-1)λ

(1-pw)(N-2)λ

Figura 8: Markov Chain for an active redundancymodel with imperfect switching.

6 Estudo de Caso

Nesta Secao, vamos apresentar um estudo de casopara uma planta para o controle do nıvel de aguade um tanque, apresentado na Fig. 9. Essa plantafoi baseada no sistema descrito em Lampis e An-drews (2009). O sistema apresentado consiste deum tanque que possui dois sensores embutidos notanque, representados por S1 e S2, que enviam in-formacao, acerca do nıvel de agua no tanque, para

os controladores os quais estao ligados. A partirdos valores de nıvel obtidos, o controlador atua deforma a manter o nıvel de lıquido no tanque den-tro dos parametros estabelecidos (maior que S1 emenor que S2).

Figura 9: Sistema de controle de nıvel de agua.

O sistema ainda possui mais tres sensores demonitoramento, representados por V F1, V F2 eV F3, localizados proximo as valvulas V 1, V 2 eV 3, que tem como objetivo detectar a vazao daagua atraves das valvulas. A valvula V 1 e abertaou fechada de acordo com os nıveis de agua de-tectada atraves do sensor S1. O mesmo sensor eresponsavel por indicar se o nıvel esta abaixo dolimite requerido. O controlador C1 abre a valvulaV 1 permitindo a entrada de agua para compensara saıda de agua por V 2, e fecha para cessar o fluxode agua para dentro do tanque.

A valvula V 2 e uma valvula manual de saıdae e ativada pelo operador. Em operacao normalesta valvula e mantida aberta, permitindo a saıdade agua do tanque. Alem disso, assume-se quepossui a mesma capacidade de vazao que a valvulaV 1. A valvula V 3 mantem-se fechada, salvo nocaso que o nıvel do tanque atinja valores crıticos.Esta valvula e aberta pelo controlador C2, comomedida de seguranca, quando o sensor S2 detectaaumento do nıvel de agua a um nıvel de risco.

O sistema falha quando ha o transborda-mento do tanque. Dessa forma, a condicao defalha do sistema e se P4 e P6 falhar. Ou seja,o sistema falha quando nao houver mais fluxopor nenhuma das saıdas do tanque. A mode-lagem desse sistema pode ser feita observandoo fluxo de agua. A modelagem do processofoi feita usando o Br-IndustrialExpert, descritoem (Macedo et al., 2013).

O sistema tambem e susceptıvel a uma falhade modo comum provocado pela contaminacao dotanque (CT ) por algum resıduo externo. Essacontaminacao provoca a obstrucao das valvulasV 2 e V 3 simultaneamente. Na Tabela 1 e apre-sentado todos os eventos do sistema montado esuas respectivas taxas de falha e reparo.

A Arvore de Falha resultante do processo emodelada pelo Br-IndustrialExpert e mostrada naFig. 11. Foi realizado uma analise de sensibilidade(confiabilidade e disponibilidade) a partir da va-

Figura 10: Modelagem do processo de controle denıvel de agua no Br-IndustrialExpert.

Tabela 1: Taxas de falha e reparo dos eventos.Evento λ(falhas/h) µ(reparos/h)Tanque e−4 4e−3

V 1 e−5 4e−1

V 2 e−5 4e−1

V 3 e−5 4e−1

P1 e−6 0.2P2 e−6 0.2P3 e−6 0.2P4 e−6 0.2P5 e−6 0.2P6 e−6 0.2CT e−8 2e−3

riacao do numero de redundancias nas valvulas.Iremos analisar o comportamento (confiabilidadee dependabilidade) do sistema acrescentando 1 re-dundancia em cada uma das valvulas. Sera ado-tado o modelo ativo de redundancia, sendo anali-sado o sistema com chaveamento perfeito e simu-lando chavemanto imperfeito (1− Pw = 0.05)

arvoreResultante.pdf

Figura 11: Processo de controle de nıvel de aguamodelado em uma Arvore de Falha.

Na Fig. 12 e apresentado o grafico resultadoda analise da confiabilidade dos cenarios propos-tos. O MTTF do sistema sem redundancia foi de

aproximadamente 7.228h. Analisando o sistemacom redundancia nas valvulas o sistema aumen-tou seu MTTF em 21, 5% com chaveamento per-feito e 19, 3% considerando um chaveamento im-perfeito. Com isso podemos concluir que o uso deredundancia aumentaria a confiabilidade do sis-tema, mesmo considerando uma falha no chave-amento entre os equipamento primario e redun-dante.

c1.png

Figura 12: Analise de confiabilidade.

Na Tabela 2 e exibido a analise da disponibili-dade em regime permanente do sistema para cadacenario. Nota-se tambem o aumento da disponi-bilidade do sistema com o uso de redundancias.Essas analises poderiam ser usadas na decisao douso de redundancias nas valvulas no projeto.

Tabela 2: Taxas de falha e reparo dos eventos.Cenario Disponibilidade

Sem redundancia 0.975501 redun. com chaveamento perfeito 0.97580

1 redun. com chaveamento imperfeito 0.97557

7 Conclusoes

O desenvolvimento de ferramentas genericas paraa analise de confiabilidade e disponibilidade deum processo industrial e uma demanda iminente.A ferramenta desenvolvida neste trabalho apoiaa analise quantitativa destas metricas, proporcio-nando valiosas informacoes para o projetista quelhe permite desenvolver sistemas robustos e tole-rantes a falhas.

Em pesquisas futuras, pretendemos apoiarRedes Bayesianas e modelos de Arvore de Falhasdinamicas. E previsto a expansao dos tipos de pro-cessos industriais suportados na ferramenta parada suporte a processos com mais de um centrali-zador.

Agradecimentos

Os autores agradecem ao CNPq e a CAPES, pelosuporte financeiro e a UFRN pela infraestruturade suporte ao desenvolvimento deste trabalho.

Referencias

AboElFotoh, H. e Colbourn, C. (1989). Compu-ting 2-terminal reliability for radio-broadcastnetworks, Reliability, IEEE Transactions on38(5): 538–555.

Avizienis, A., Laprie, J.-C., Randell, B. eLandwehr, C. (2004). Basic concepts andtaxonomy of dependable and secure compu-ting, IEEE Trans. Dependable Secur. Com-put. 1(1): 11–33.

Cinque, M., Cotroneo, D., Di Martinio, C. eRusso, S. (2007). Modeling and assessingthe dependability ofwireless sensor networks,Proceedings of the 26th IEEE Internatio-nal Symposium on Reliable Distributed Sys-tems, SRDS ’07, IEEE Computer Society,Washington, DC, USA, pp. 33–44.

Di Martino, C., Cinque, M. e Cotroneo, D. (2012).Automated generation of performance anddependability models for the assessment ofwireless sensor networks, IEEE Trans. Com-put. 61(6): 870–884.

Kim, D. S., Ghosh, R. e Trivedi, K. S. (2010).A hierarchical model for reliability analysisof sensor networks, Pacific Rim InternationalSymposium on Dependable Computing, IEEE0: 247–248.

Krishnamurthy, L., Adler, R., Buonadonna, P.,Chhabra, J., Flanigan, M., Kushalnagar, N.,Nachman, L. e Yarvis, M. (2005). Design anddeployment of industrial sensor networks:Experiences from a semiconductor plant andthe North Sea, SenSys ’05: Proceedings ofthe 3rd International Conference on Embed-ded Networked Sensor Systems, ACM, NewYork, pp. 64–75.

Lampis, M. e Andrews, J. D. (2009). Bayesianbelief networks for system fault diagnostics,Quality and Reliability Engineering Interna-tional 25(4): 409–426.

Limnios, N. (2007). Fault Trees, 2 edn, ISTE Ltd.

Macedo, D., Silva, I., Guedes, A., Portugal, P. eFrancisco, V. (2013). A framework for de-pendability evaluation of industrial proces-ses, Annual Conference of IEEE IndustrialElectronics Society .

Majdara, A. e Wakabayashi, T. (2009).Component-based modeling of systemsfor automated fault tree generation, Re-liability Engineering and System Safety94(6): 1076–1086.

Mitra, S., Saxena, N. e McCluskey, E. (2000).Common-mode failures in redundant vlsi sys-tems: a survey, Reliability, IEEE Transacti-ons on 49(3): 285–295.

Rausand, M. e Høyland, A. (2003). System Re-liability Theory: Models, Statistical Methodsand Applications Second Edition, Wiley-Interscience.

Rouvroye, J. e van den Bliek, E. (2002). Com-paring safety analysis techniques, ReliabilityEngineering System Safety 75(3): 289 – 294.URL: 1

Sahner, R., Puliafito, A. e Trivedi, K. S. (1996).Performance and reliability analysis of com-puter systems: an example-based appro-ach using the SHARPE software package,Kluwer, Boston, MA.

Tang, Z. e Bechta Dugan, J. (2004). An integra-ted method for incorporating common causefailures in system analysis, Reliability andMaintainability, 2004 Annual Symposium -RAMS, pp. 610–614.

Xing, L., Liu, H. e Shrestha, A. (2012). Infras-tructure communication reliability of wirelesssensor networks considering common-causefailures, International Journal of Performa-bility Engineering 8(2): 141–150.