uma analise de falhas em modo comum e ...ticos de arvore de falhas e cadeias de markov, al em de...

UMA ANALISE DE FALHAS EM MODO COMUM E REDUNDANCIA PARAPROCESSOS INDUSTRIAIS

Daniel Macedo∗, Ivanovitch Silva∗, Allan Venceslau∗, Luiz Affonso∗, Larissa Souza∗

∗Laboratorio de Informatica IndustrialDepartamento de Engenharia de Computacao e Automacao, Instituto Metropole Digital

Universidade Federal do Rio Grande do NorteNatal, Rio Grande do Norte, Brasil

Emails: [email protected], [email protected], [email protected],

[email protected], [email protected]

Abstract— The demand for development of new tools to support designing, monitoring, maintaining andcommissioning of industrial processes is permanent. The complexity of the industrial environment requires thatthese tools have flexible features in order to provide valuable data at the early planning and design phases.Furthermore, it is known that industrial processes have stringent requirements for dependability (reliability andavailability), since failures can cause economic loss, environmental damage and danger to people. Thus, it isimportant that the simulation of computational tools be able to get closer to reality. To approach the real, itis important to analyze common cause failure and analysis of redundancies in device. This paper presents atool that is able to estimate the reliability and availability of industrial processes modeled as a graph. The tooltransforms a graph structure in a model of Fault Tree and Markov chain to analyze the dependability of theprocess. Finally, a study of dependability of an industrial process is conducted in order to validate the proposedtool.

Keywords— Industrial process, Fault Tree, Markov Chain, Redundancy, Common cause failure, Dependabil-ity, Realibility, Availability.

Resumo— A demanda por desenvolvimento de novas ferramentas para suporte ao projeto, monitoramento,manutencao e comissionamento de processos industriais e permanente. A complexidade do ambiente industrialexige que estas ferramentas sejam flexıveis para fornecer dados valiosos no planejamento inicial e na frase deprojeto. Mais que isso, e conhecido que processos industriais tem requisitos rigorosos para dependabilidade(confiabilidade e disponibilidade), desde que falhas podem causar perda economica, danos ambientais e porpessoas em risco. Devido a isso, o ideal e que a simulacao das ferramentas computacionais consigam se aproximarda realidade. Para se aproximar do real, e importante a analise de falhas de modo comum e a analise deredundancias no dispositivo. Esse trabalho apresenta uma ferramenta que e capaz de estimar a confiabilidade edisponibilidade de processos industriais modelados como um grafo. A ferramenta transforma uma estrutura degrafo em um modelo de Arvore de Falhas e Cadeia de Markov para analisar a dependabilidade do processo. Porfim, um estudo de dependabilidade de um processo industrial e conduzido com o intuito de validar a ferramentaproposta.

Palavras-chave— Processo industrial, Arvore de Falha, Cadeia de Markov, Redundancia, Falhas em modocomum, Dependabilidade, Confiabilidade, Disponibilidade.

1 Introducao

A pesquisa de ferramentas em ambientes indus-triais sempre ira existir, dado o crescente numerode estudos, pesquisa e desenvolvimento na area(Krishnamurthy et al., 2005; Cinque et al., 2007;Xing et al., 2012). Nesse contexto, destaca-se odesenvolvimento de ferramentas que preveem ocomportamento de processos industriais. Estimara dependabilidade desses processos durante o co-meco do planejamento e na fase de projeto podeajudar a antecipar importantes decisoes, tais comoo comportamento das falhas (confiabilidade do sis-tema), disponibilidade e criticidade dos dispositi-vos. Dessa forma, torna-se importante que as pre-visoes, estimadas por essas ferramentas, sejam omais proximo possıvel do comportamento real dosprocessos. Para tal, e necessario que os metodosusados por essas ferramentas, sejam capazes de su-portar a adocao de redundancias nos dispositivose falhas de modo comum. Estes dados de depen-dabilidade podem ser obtidos quantitativamente

usando modelos matematicos, como por exemplo,Arvore de Falhas e Cadeias de Markov.

Um processo industrial e composto de disposi-tivos heterogeneos conectados por uma estruturade rede. Falhas de dispositivos e conexoes en-tre os equipamentos podem causar uma falha noprocesso, que pode resultar em perdas financei-ras, danos ambientais ou por trabalhadores emrisco. O principal objetivo desse trabalho e for-necer uma avaliacao da dependabilidade de pro-cessos industriais onde os dispositivos e as cone-xoes entre os dispositivos estao sujeitos a falhas.Em Macedo et al. (2013) e apresentado uma fer-ramenta (Br-IndustrialExpert) que transforma aestrutura de processo (mapeados por uma redee modelado como um grafo) em um modelo de

Arvore de Falhas onde a avaliacao de dependa-bilidade e conduzida. Nao sera do escopo dessetrabalho descrever o algoritmo de mapeamento deum processo industrial para a Arvore de Falha.Mas sim a analise de redundancias atraves Cadeia

Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014

1209

de Markov e a implementacao de falhas de modocomum em Arvore de Falhas.

O restante desse artigo e organizado da se-guinte forma: A Secao 2 descreve o estado da artena area de confiabilidade e disponibilidade aplica-das a processos no formato de redes. Na Secao 3 eapresentado o conceito dos formalismos matema-ticos de Arvore de Falhas e Cadeias de Markov,alem de descrever o que sao modelos hierarquicos.Na Secao 4, e descrito como modelar falhas demodo comum em Arvore de Falhas. Na Secao 5,descreve-se como e feito a modelagem das redun-dancias de um dispositivo atraves de Cadeia deMarkov. Um estudo de caso e discutidos na Secao6. Finalmente, na Secao 7 conclui-se o artigo eapresenta-se direcoes para estudos futuros.

2 Trabalhos Relacionados

A estimativa da dependabilidade de processos in-dustriais durante as fases iniciais de planejamentoe projeto pode antecipar importantes decisoes,tais como o comportamento das falhas do sistemaem caso de falhas, disponibilidade e criticidade dosequipamentos entre outras metricas. Esta ana-lise pode ser obtida quantitativamente atraves demodelos matematicos, como Arvore de Falha, Ca-deias de Markov, Redes Petri e Redes Bayesianas.

Analise da dependabilidade de sistemas base-ados em grafos e um problema classico na lite-ratura (AboElFotoh e Colbourn, 1989). A teo-ria ja desenvolvida pode ser utilizada na estima-cao da dependabilidade das infraestruturas crıti-cas em ambientes industriais. O problema podeser classificado em tres abordagens: k-terminal, 2-terminal ou todos-terminal. Esse trabalho assumeum grafo com N dispositivos e um conjunto de Kdispositivos (K ⊂ N e |K| < |N |). K e um con-junto composto por um dispositivo centralizador eK-1 dispositivos de campo. Definindo um dispo-sitivo centralizador s ∈ K, o problema k-terminale expressado como a probabilidade de que existapelo menos um caminho/ligacao de s para cadadispositivo de campo incluso em K. O problema2-terminal e o caso onde K = 2, ao passo que oproblema de todos-terminal e o caso em que |K|= |N |.

Uma tentativa de criar uma metodologia paraavaliar a dependabilidade de estruturas baseadasem grafos foi realizada em (Cinque et al., 2007).Os autores mapearam uma Rede de Sensores SemFio (RSSF) em uma estrutura de grafo. Os sen-sores assumem o papel dos vertices enquanto queos enlaces de comunicacao entre os diversos sen-sores assumem o papel de arestas do grafo. Ummodelo baseado no formalismo de Redes de PetriEstocasticas e Generalizadas foi desenvolvido paraanalise das falhas transientes. Para introduzir oconceito de arquitetura de modelos, os mesmos au-tores estenderam o trabalho anterior, criando uma

proposta dinamica capaz de especializar o estudodescrito em (Di Martino et al., 2012). Todavia,ambos os trabalhos nao permitem a configuracaode condicoes de falhas mais complexas envolvendoeventos independentes. Adicionalmente, metricasclassicas de dependabilidade nao sao suportadas,por exemplo, confiabilidade, disponibilidade e cri-ticidade de dispositivos.

Recentemente, uma importante contribuicaopara avaliacao da dependabilidade em grafos foiproposta em (Xing et al., 2012). A ideia principale avaliar a influencia de falhas em modo comum.Os autores propoem uma esquema baseado emDiagramas de Decisao Binaria (DDB) para ava-liacao de grafos com uma quantidade de compo-nentes superior a 20 dispositivos. Todavia, o mo-delo nao suporta condicoes genericas de falha tam-pouco uma analise de importancia dos dispositi-vos. Aquele trabalho foi desenvolvido visando es-pecificamente o estudo de Redes de Sensores SemFio Industriais (RSSFI), no entanto, seus algorit-mos podem ser generalizados para outras infraes-truturas como processos quımicos e refinarias.

A partir da discussao acima se torna claro queos trabalhos ja desenvolvidos na literatura temfornecido apenas uma solucao parcial para o pro-blema visado, uma vez que a maioria deles e fo-cado em situacoes muito especıficas. Adicional-mente, esses trabalhos sao muito restritivos no quediz respeito a definicao das condicoes de falha darede, metricas de confiabilidade, topologia e as-pectos de reconfiguracao. A ferramenta propostaneste trabalho utiliza-se de uma metodologia quenao e uma abordagem nova, visto que o problemada confiabilidade em redes ja foi avaliado na litera-tura (AboElFotoh e Colbourn, 1989), no entanto,a metodologia adotada visa eliminar a maioria daslimitacoes dos trabalhos anteriores. Alem disso, ostrabalhos analisados geram seus proprios modelosde confiabilidade, o que dificulta a generalizacaodos resultados.

Esse trabalho apresenta uma solucao de con-versao de processos industriais que tem um cen-tralizador na rede, portanto k-terminal. A ferra-menta proposta resolve varios aspectos, uma vezque se adapta a diferentes tipos de cenarios. Asprincipais vantagens, quando comparada com asabordagens disponıveis na literatura, sao as se-guintes:

• As condicoes de falha podem ser especificadaspor um grupo de dispositivos ou um unicodispositivo;

• Considera falhas nos equipamentos e interli-gacoes;

• Possibilidade de configurar falhas de modocomum;

• As taxas de falha e reparacao podem ser ba-seadas em distribuicoes estatısticas;


1210

• Diversos tipos de medidas de dependabilidadepodem ser obtidos a partir do mesmo mo-delo (confiabilidade, disponibilidade, tempomedio para falha, criticidade, Fussell-de Ve-sely, Birnbaum, RAW e RRW);

• Possibilidade de configurar dispositivos re-dundantes.

3 Formalismos matematicos

Dado a importancia de se analisar a robustez dossistemas, formalismos matematicos foram criadospara a modelagem quantitativa de dependabili-dade dos mesmos. O Diagrama de Bloco, Arvoresde Falhas (AF) e Cadeias de Markov sao exemplosde tecnicas quantitativas amplamente usadas naindustria (Rouvroye e van den Bliek, 2002). Tec-nicas qualitativas como a analise de modo e efeitode falhas e a analise no espaco de estados tambemsao abordagens estabelecidas na area. Nas secoesa seguir sera descrito de maneira sucinta os for-malismos matematicos empregados nesse trabalho(Arvore de Falhas e Cadeias de Markov).

3.1 Arvore de Falhas

Arvore de Falhas e um modelo matematico ampla-mente utilizado na industria (Limnios, 2007). Em

resumo, Arvores de Falhas podem ser entendidascomo um conjunto de eventos, os quais combina-dos atraves de portas logicas convergem em umunico no, o topo da arvore ou evento topo.

Esse modelo pode ser usado para avaliar aconfiabilidade e disponibilidade de uma rede. Aprincipal vantagem da analise de Arvore de Falhasesta relacionada com o procedimento intuitivo uti-lizado para descrever os acontecimentos que leva afalhas da rede. No entanto, para topologias com-plexas, a construcao de uma Arvore de Falhas euma tarefa demorada e demanda muito esforco. Asolucao usual e a adocao de uma abordagem quegera automaticamente a Arvore de Falhas.

As portas logicas de uma Arvore de Falhasmais comuns sao as and, or e k-out-n. A repre-sentacao e expressao de cada uma delas e apre-sentada na Figura 1, onde F (t) e a probabilidadede um dispositivo ou porta logica falhar, enquantoque Fi(t) e a probabilidade do evento i falhar.

Fi (t) ... Fn(t) Fi (t) ... Fn(t)

or and

𝑭 𝒕 = 𝟏 − (𝟏 − 𝑭𝒊(𝒕))

𝒏

𝒊=𝟏

𝑭 𝒕 = 𝑭𝒊(𝒕)

𝒏

𝒊=𝟏

𝑭 𝒕 = ( 𝑭𝒊 𝒕

𝒊 ∈ 𝑰

)( 𝟏 − 𝑭𝒊(𝒕)

𝒊 ∋ 𝑰

)

|𝑰|≥𝒌

Fi (t) ... Fn(t)

K out of N

Figura 1: Expressoes das portas logicas and, or ek-out-n.

Por sua vez, os eventos representam folhas pri-mitivas da expressao booleana da Arvore de Fa-lha. Cada evento possui uma funcao, que varia notempo, a qual representa a distribuicao probabi-lıstica que o caracteriza.

O processo de construcao de uma Arvore deFalhas e realizada de forma dedutiva e comeca de-finindo o evento topo, que representa a condicaode falha do sistema. De um ponto de vista proba-bilıstico, a avaliacao de uma Arvore de Falhas con-siste em calcular a probabilidade do evento topoa partir das probabilidades dos eventos basicos.

3.2 Cadeias de Markov

Idealizado por Andrei Andreyevich Markov, o mo-delo de Markov e muito utilizado para sistemascom comportamento aleatorio de maneira discretaou contınua em relacao ao tempo, configurando-se assim como um processo estocastico. O mo-delo se baseia em um grafo, portanto e formadopor um conjunto de estados (vertices), podendoser interconectados por transicoes (arestas), querepresentam a probabilidade de transicao de umestado para outro. O modelo de Markov e carac-terizado como um sistema sem memoria, ou seja,o seu estado futuro independe do historico do seucomportamento.

Outra forma de caracterizar esses modelos ecomo contınuos ou discretos. Essa classificacao serefere ao seu comportamento em relacao ao tempo.Em outras palavras, o modelo discreto tem umfluxo nos espacos discretos de tempo, o contınuoage de maneira contınua nele, portanto tem umdomınio infinito nesse espaco. Os discretos saomatematicamente mais simples e concedem apro-ximacoes satisfatorias.

3.3 Modelos Hierarquicos

O uso de modelos hierarquicos matematicos naoe novo na literatura (Sahner et al., 1996; Kimet al., 2010). Nos modelos hierarquicos, um mo-delo matematico se beneficia dos resultados daanalise de outro tipo de modelo. Nesse artigo serausado Arvore de Falhas para analisar a dependa-bilidade do processos industriais, no entanto parafazer a analise de redundancias de um dispositivosera usado o modelo de Cadeia de Markov.

Portanto, ao inves dos eventos carregaremuma distribuicao estatıstica que os represente (porexemplo, exponencial ou binomial), eles terao umaCadeia de Markov e sua distribuicao sera a ana-lise dessa cadeia. Na Figura 2 e apresentado demaneira esquematica o modelo hierarquico.

4 Modelando Falhas de Modo Comumem Arvore de Falhas

Na Arvore de Falha e comum considerar que oscomponentes do sistema falham de forma inde-


1211

Figura 2: Modelo hieraquico com Cadeia de Mar-kov e Arvore de Falha.

pendente. Entretanto, na pratica este cenario naonecessariamente ocorre. Um exemplo disso sao asfalhas de modo comum (FMC). Este tipo de de-feito ocorre em multiplos componentes no mesmointervalo de tempo e compartilha da mesma causa,como por exemplo sabotagens, furacoes, inun-dacoes, obstaculos temporarios, descargas eletri-cas, falhas de projeto, erros humanos, etc. FMCocorrem tipicamente em sistemas modelados comredundancia, onde um conjunto de componen-tes identicos sao utilizados (Tang e Bechta Du-gan, 2004). Outro exemplo muito comum de FMCocorre nas redes sem fio, onde obstaculos tempo-rarios podem obstruir (defeito) varios enlaces decomunicacao ao mesmo tempo. Observa-se que naanalise quantitativa, a nao consideracao de FMCpara a modelagem do sistema pode conduz a re-sultados superestimados (Mitra et al., 2000).

De uma maneira geral, se o defeito de umcomponente aumenta a tendencia de ocorrer umoutro defeito em um outro componente, diz-seque esses defeitos apresentam uma dependenciapositiva. Caso contrario, essa relacao e classifi-cada como negativa (Rausand e Høyland, 2003).Na teoria de probabilidades, dois eventos (E1e E2) sao considerados dependentes positivos sePr(E1∩E2) > Pr(E1) ·Pr(E2) ou Pr(E1|E2) >Pr(E1) ou Pr(E2|E1) > Pr(E2). De maneiraanaloga, E1 e E2 sao considerados dependentesnegativos se Pr(E1 ∩ E2) < Pr(E1) · Pr(E2) ouPr(E1|E2) < Pr(E1) ou Pr(E2|E1) < Pr(E2).

Medir o impacto das FMC o mais breve pos-sıvel, idealmente nas fases de projeto e planeja-mento do processo, e uma questao fundamentalna analise da dependabilidade de processos indus-triais. Quando realizada adequadamente, decisoessobre a topologia, criticidade dos dispositivos, nı-veis de redundancia e robustez da rede podem serantecipadas.

Assim como a representacao das diferentes fa-lhas do processo industrial podem ser representa-dos por eventos, as falhas de modo comum tam-bem serao eventos da Arvore de Falha. Comoas falhas em modo comum atuam em diferentescomponentes do processo, o seu respectivo eventoira aparecer em diferentes posicoes na AF. Todavez que um componente da AF influenciado poruma FMC aparecer na arvore, ele deve vir acom-panhado do evento que representa a falha de modo

comum.

5 Modelando Redundancia atraves deCadeias de Markov

Todos modelos de redundancia propostos nesseartigo sao baseados no formalismo de Cadeia deMarkov. Para a utilizacao desses modelos, e defi-nido um conjunto de estados discretos no sistema ee determinado um conjunto de taxas de transicaode um estado a outro. As taxas de transicao repre-sentam as taxas de falha e as taxas de reparo. Ouso das Cadeias de Markov limita a analise do sis-tema apenas para a distribuicao exponencial. Noentanto, para a analise de distribuicoes nao expo-nenciais pode-se utilizar tecnicas de aproximacaodessas distribuicoes em distribuicoes exponenciais(Sahner et al., 1996).

Os estados da Cadeia de Markov representamos modos de operacao de um dispositivo (ativo ouinativo). A probabilidade do sistema mover deum estado ativo (funcionando corretamente) parao estado inativo e dado por λ (taxa de falha) eo inverso e dado por µ (taxa de reparo). Nessecontexto, duas importantes metricas sao defini-das (Sahner et al., 1996):

• Confiabilidade: E o conceito usado paradescrever que um componente ou sistema estafuncionando corretamente de acordo com asespecificacoes durante um perıodo de tempo.

• Disponibilidade: E o conceito que deve serentendido como a probabilidade que o sistemaesta trabalhando corretamente no instante tindependente do numero de falhas ocorridasno intervalo de (0, t) (desde que as falhas te-nham sido reparadas).

A Figura 3 descreve um modelo simples paraavaliacao da confiabilidade e disponibilidade deum sistema considerando apenas o estado ativo(good) e o inativo (bad). Em ambas as metricas, oobjetivo e calcular a probabilidade do comeco doestado ativo (good) em um dado tempo t. Noteque se µ = 0 o modelo de disponibilidade e confi-abilidade serao iguais.

GOOD BAD

λ

(a)

GOOD BAD

λ

μ

(b)

Figura 3: Modelos de dependabilidade(metricas).(a) Confiabilidade. (b) Disponibilidade.

Em relacao aos aspectos de redundancia, paracada componente redundante adicionado dentro


1212

do sistema, um novo estado deve ser tambem adi-cionado para o modelo proposto. Em outras pa-lavras, a quantidade de novos estados representao numero de dispositivos necessarios para trazer osistema para a falha.

Uma das formas de classificar o tipo de redun-dancia e atraves da definicao de redundancias ati-vas e passivas. Quando todos componentes redun-dantes operam simultaneamente (paralelo) com odispositivo principal/primario, tal arranjo e cha-mado de redundancia ativa. Estes componentesdividem a carga do comeco ate que um deles fa-lhe. Por outro lado, se uma reposicao de com-ponente so for feita apos a falha do dispositivoprincipal/primario, tal arranjo e chamado de re-dundancia passiva. Durante o tempo de esperao componente redundante e dito ser cold standby.Se o componente standby for responsavel por umacarga pequena no perıodo de espera, a aborda-gem da redundancia e chamado parcialmente car-regado.

Em um sistema configurado com dispositivosde pecas de reposicao (independente de ser ativaou passiva), se o componente primario falha o dis-positivo redundante assume o sistema. Porem, ochaveamento entre o dispositivo primario e o com-ponente redundante nao e sempre perfeito. Paracenarios crıticos, e fundamental modelar e avaliaro chaveamento imperfeito. Para se tornar maiscompreensıvel, nas secoes seguintes sera apresen-tado os aspectos de redundancia discutidos ante-riormente para as abordagens ativas e passivas.

5.1 Redundancia passiva

O modelo passivo, descrito na Figura 4(a), podeestar funcionando e ser reparado de diversas for-mas: (a) o componente redundante pode ser coldstandby ou parcialmente carregado, (b) a tran-sicao entre as redundancias pode ter varios mo-dos de falha (chaveamento imperfeito ou desco-nectado) ou (c) a falha de redundancia do com-ponente pode esta oculta ou detectavel. Em ummodelo geral, o modelo passivo atua da seguinteforma: o primeiro componente (C1) esta funcio-nando no tempo t = 0. Se o C1 falha, o compo-nente redundante C2 e ativado. Quando C2 falha,o componente redundante C3 assume. Depois don-esimo componente redundante falhar, o modelopassivo falha.

A Cadeia de Markov para modelos standby edescrito na Figura 4(b). Assumindo que o com-ponente redundante e frio (cold standby e o pro-cedimento de chaveamento e perfeito. Devido alimitacao de espaco no trabalho, o modelo paraa disponibilidade nao e descrito na Figura 4(b)(para o modelo de disponibilidade, e apenas neces-sario adicionar o parametro µ como mostrado naFigura3(b), obviamente assumindo que as acoes dereparo sao limitadas). Ha n − 1 componentes re-

C 1

C 2

C n

... ...

(a)

GOOD

λ

NGOOD

N-1GOOD

N-2

... GOOD1

BAD

λ λ

(b)

Figura 4: (a) Redundancia passiva e (b) seurespectivo modelo de Markov assumindo chavea-mento perfeito.

dundantes e um componente primario na Cadeiade Markov (totalizando n estados GOOD ). Aconfiabilidade do modelo no instante t e calculadapela Equacao 1, onde µ = 0.

R(t) =µ

µ+ λ+

λ

µ+ λe−(µ+λ)t (1)

A formula para avaliar a disponibilidade e amesma da equacao Equacao 1 (obviamente, µ 6=0). Outra importante metrica de dependabilidadee mean time to failure (MTTF), que mede o tempomedio para falhar (assumindo que um sistema naoreparavel e adotado). A metrica e amplamenteadotada na literatura (Avizienis et al., 2004) e efacilmente obtida da equacao 2.

MTTF =

∞∫i=0

R(t)dt (2)

Alem disso, e assumido que quando o compo-nente ativo falha, existe uma probabilidade 1−Pwpara o chaveamento falhar. Dessa forma ha duasmaneiras para um dispositivo falhar: (a) se o com-ponente primario falhar e todas redundancias fa-lharem, e (b) se o chaveamento nao e executadocorretamente quando o dispositivo primario falha.Este cenario e conhecido como chaveamento im-perfeito.

Para melhor compreensao, esse cenario e de-talhado na Figura 5. O componente primario(C1) esta funcionando no tempo t = 0 (estadoGood N). Se C1 falha e o chaveamento e feito deforma bem sucedida (Pw × λ), o primeiro compo-nente redundante e ativo (estadoGood N−1). Poroutro lado, se o chaveamento falha, o sistema e le-vado para o estado (BAD) com a probabilidade(1− Pw)× λ. Depois da n-esima redundancia fa-lhar ou se algum chaveamento falhar, o modelopassivo falha. A avaliacao da confiabilidade e adisponibilidade e a mesma dos modelos previos.

Outro cenario interessante e quando ocorre fa-lhas nas redundancias. Neste cenario, o disposi-tivo de reposicao pode falhar antes do seu dispo-sitivo primario. O dispositivo standby tem uma


1213

GOODpwλ

NGOOD

N-1

...

(1-pw)λ

GOODN-2

pwλ GOOD

λ

1BAD

(1-pw)λ (1-pw)λ

Figura 5: Cadeia de Markov para a redundanciapassiva com chaveamento imperfeito.

falha oculta quando ativado. Em geral, este tipode falha e menos provavel de acontecer do que afalha correspondente durante a operacao. A taxade falha do modo de espera e definido como λstb.O modelo da Cadeia de Markov para este tipo defalha e descrito na Figura 6.

GOODpwλ

NGOOD

N-1

...

(1-pw)λ

GOODN-2

pwλ GOOD

λ

1BAD

(1-pw)λ (1-pw)λ

(N-1)λstdλ (N-2)λstdλ (N-3)λstdλ

Figura 6: Cadeia de Markov para a redundanciapassiva com modelo de falha passivo.

O modelo do modo de falha standby e simi-lar ao descrito na Figura 5. A diferenca e quese o dispositivo primario falha, independente se ochaveamento e perfeito ou nao, N − 1 redundan-cias podem falhar quando estao em standby coma probabilidade (N − 1)× λstb.

5.2 Redundancia ativa

Considerando o modelo ativo descrito na Fi-gura 7(a), nesse tipo de redundancia os disposi-tivos (dois ou mais) estao operando em paralelocom o componente primario. A carga primaria ecompartilhada do comeco ate o componente pri-mario falhar. Quando isso corre, uma redundan-cia assume a operacao principal com um atrasomınimo no chaveamento.

C 1

C 2

C n

...

(a)

GOOD

Nλ

NGOOD

N-1GOOD

N-2

... GOOD1

BAD

λ (N-1)λ

(b)

Figura 7: (a) Redundancia ativa e (b) seu respec-tivo modelo de Markov assumindo chaveamentoperfeito.

A Cadeia de Markov para o modelo ativo, ado-tando o chaveamento perfeito, e descrito na Fi-gura 7(b). O sistema e composto de N − 1 redun-dancias (operando em paralelo) e um componenteprimario (ao todo, tem-se N estados GOOD).

O modelo opera da seguinte forma: se o com-ponente primario falha e o N − 1 componente re-

dundante tambem falha, entao o sistema vai parao estado de falha (BAD). No estado Good N ,tem-se N candidatos para falhar. Sem perda degeneralidade, pode-se assumir que a primeira re-dundancia e ativada com sucesso, conforme naFigura 7(b). Devido a isso, o sistema ira con-tinuar funcionando ate este componente redun-dante falhar e a N − 2 redundancia tambem fa-lhar (ha N − 1 candidatos para falhar no estadoGood N − 1). O procedimento para avaliacao daconfiabilidade e disponibilidade e o mesmo que odescrito na equacao 1.

Como descrito na Figura 5, assume-se quequando o componente ativo falha, existe uma pro-babilidade 1− Pw do chaveamento falhar. O mo-delo de Markov para este cenario e descrito naFigura8. Independente se a redundancia e ativaou passiva, quando o chaveamento falha o sistemaira para o estado de falha (BAD).

O modelo assumindo comutacao imperfeitana redundancia ativa e um pouco diferente queo apresentado para a abordagem passiva. Dadoque os componentes da redundancia ativa operamem paralelo, existem por exemplo, N combina-coes da falha no estado Good N . Entao, a taxa detransicao desse estado assumindo que o dispositivoredundante e ativado de maneira bem sucedida ePw ×N ×λ. Por outro lado, na aproximacao pas-siva esta taxa de transicao e apenas Pw × λ.

GOOD

pwNλ

NGOOD

N-1

...

(1-pw)Nλ

GOODN-2

GOOD

λ

1BAD

(1-pw)(N-1)λ

pw(N-1)λ

(1-pw)(N-2)λ

Figura 8: Cadeia de Markov para o modelo deredundancia ativa com chaveamento imperfeito.

6 Estudo de Caso

Nesta Secao, sera apresentado um estudo de casode uma planta para o controle do nıvel de aguade um tanque, ilustrada na Figura 9. Essa plantafoi baseada no sistema descrito em Lampis e An-drews (2009). O sistema apresentado consiste deum tanque que possui dois sensores embutidos notanque, representados por S1 e S2, que enviam in-formacao, acerca do nıvel de agua no tanque, paraos controladores os quais estao ligados. A partirdos valores de nıvel obtidos, o controlador atua deforma a manter o nıvel de lıquido no tanque den-tro dos parametros estabelecidos (maior que S1 emenor que S2).

O sistema ainda possui mais tres sensores demonitoramento, representados por V F1, V F2 eV F3, localizados proximo as valvulas V 1, V 2 eV 3, que tem como objetivo detectar a vazao daagua atraves das valvulas. A valvula V 1 e aberta


1214

Figura 9: Sistema de controle de nıvel de agua.

ou fechada de acordo com os nıveis de agua de-tectada atraves do sensor S1. O mesmo sensor eresponsavel por indicar se o nıvel esta abaixo dolimite requerido. O controlador C1 abre a valvulaV 1 permitindo a entrada de agua para compensara saıda de agua por V 2, e fecha para cessar o fluxode agua para dentro do tanque.

A valvula V 2 e uma valvula manual de saıdae e ativada pelo operador. Em operacao normalesta valvula e mantida aberta, permitindo a saıdade agua do tanque. Alem disso, assume-se quepossui a mesma capacidade de vazao que a valvulaV 1. A valvula V 3 mantem-se fechada, salvo nocaso que o nıvel do tanque atinja valores crıticos.Esta valvula e aberta pelo controlador C2, comomedida de seguranca, quando o sensor S2 detectaaumento do nıvel de agua a um nıvel de risco.

O sistema falha quando nao ha possibili-dade de fluxo de agua por alguma das saıdasdo tanque. Dessa forma, a condicao de falhado sistema e se P4 ou P6 falhar. A mode-lagem desse sistema pode ser feita observandoo fluxo de agua. A modelagem do processofoi feita usando o Br-IndustrialExpert, descritoem (Macedo et al., 2013), conforme ilustrada naFigura 10.

P1 V1 TanqueP2

P5 V3 P6

P3 V2 P4

Figura 10: Modelagem do processo de controle denıvel de agua no Br-IndustrialExpert.

O sistema tambem e susceptıvel a uma falhade modo comum provocado pela contaminacao dotanque (CT ) por algum resıduo externo. Essacontaminacao provoca a obstrucao das valvulasV 2 e V 3 simultaneamente. Na Tabela 1 e apre-sentado todos os eventos do sistema montado esuas respectivas taxas de falha e reparo.

A Arvore de Falha resultante do processo emodelada pelo Br-IndustrialExpert e mostrada na

Tabela 1: Taxas de falha e reparo dos eventos.Evento λ(falhas/h) µ(reparos/h)Tanque e−4 4e−3

V 1 e−5 4e−1

V 2 e−5 4e−1

V 3 e−5 4e−1

P1 e−6 0.2P2 e−6 0.2P3 e−6 0.2P4 e−6 0.2P5 e−6 0.2P6 e−6 0.2CT e−8 2e−3

Figura 11. Foi realizado uma analise de sensibi-lidade (confiabilidade e disponibilidade) a partirda variacao do numero de redundancias nas val-vulas. Iremos analisar o comportamento do sis-tema acrescentando 1 redundancia em cada umadas valvulas. Sera adotado o modelo ativo de re-dundancia, sendo analisado o sistema com chave-amento perfeito e simulando chaveamento imper-feito (1− Pw = 0.05)

Figura 11: Processo de controle de nıvel de aguamodelado em uma Arvore de Falha.

Na Figura 12 e apresentado o grafico resultadoda analise da confiabilidade dos cenarios propos-tos. O MTTF do sistema sem redundancia foi deaproximadamente 7.228h. Analisando o sistemacom redundancia nas valvulas o sistema aumen-tou seu MTTF em 21, 5% com chaveamento per-feito e 19, 3% considerando um chaveamento im-perfeito. Com isso conclui-se que o uso de redun-dancia aumentaria a confiabilidade do sistema,mesmo considerando uma falha no chaveamentoentre os equipamento primario e redundante.

Na Tabela 2 e exibido a analise da disponibili-dade em regime permanente do sistema para cadacenario. Nota-se tambem o aumento da disponi-bilidade do sistema com o uso de redundancias.Essas analises poderiam ser usadas na decisao douso de redundancias nas valvulas no projeto.

7 Conclusoes

O desenvolvimento de ferramentas genericas paraa analise de confiabilidade e disponibilidade de


1215

Figura 12: Analise de confiabilidade.

Tabela 2: Taxas de falha e reparo dos eventos.Cenario Disponibilidade

Sem redundancia 0.975501 redun. com chaveamento perfeito 0.97580

1 redun. com chaveamento imperfeito 0.97557

um processo industrial e uma demanda iminente.A ferramenta desenvolvida neste trabalho apoiaa analise quantitativa destas metricas, proporcio-nando valiosas informacoes para o projetista quepermite desenvolver sistemas robustos e toleran-tes a falhas. Em pesquisas futuras, pretendemosapoiar Redes Bayesianas e modelos de Arvore deFalhas dinamicas.

Agradecimentos

Os autores agradecem o apoio intelectual, exper-tise e recursos fornecidos pela equipe da Engenha-ria Basica do CENPES-Petrobras. Ainda, os au-tores agradecem ao CNPq e a CAPES pelo auxıliofinanceiro proporcionado.

Referencias

AboElFotoh, H. e Colbourn, C. (1989). Compu-ting 2-terminal reliability for radio-broadcastnetworks, Reliability, IEEE Transactions on38(5): 538–555.

Avizienis, A., Laprie, J.-C., Randell, B. eLandwehr, C. (2004). Basic concepts andtaxonomy of dependable and secure compu-ting, IEEE Trans. Dependable Secur. Com-put. 1(1): 11–33.

Cinque, M., Cotroneo, D., Di Martinio, C. eRusso, S. (2007). Modeling and assessingthe dependability ofwireless sensor networks,Proceedings of the 26th IEEE Internatio-nal Symposium on Reliable Distributed Sys-tems, SRDS ’07, IEEE Computer Society,Washington, DC, USA, pp. 33–44.

Di Martino, C., Cinque, M. e Cotroneo, D. (2012).Automated generation of performance anddependability models for the assessment of

wireless sensor networks, IEEE Trans. Com-put. 61(6): 870–884.

Kim, D. S., Ghosh, R. e Trivedi, K. S. (2010).A hierarchical model for reliability analysisof sensor networks, Pacific Rim InternationalSymposium on Dependable Computing, IEEE0: 247–248.

Krishnamurthy, L., Adler, R., Buonadonna, P.,Chhabra, J., Flanigan, M., Kushalnagar, N.,Nachman, L. e Yarvis, M. (2005). Design anddeployment of industrial sensor networks:Experiences from a semiconductor plant andthe North Sea, SenSys ’05: Proceedings ofthe 3rd International Conference on Embed-ded Networked Sensor Systems, ACM, NewYork, pp. 64–75.

Lampis, M. e Andrews, J. D. (2009). Bayesianbelief networks for system fault diagnostics,Quality and Reliability Engineering Interna-tional 25(4): 409–426.

Limnios, N. (2007). Fault Trees, 2 edn, ISTE Ltd.

Macedo, D., Silva, I., Guedes, A., Portugal, P. eFrancisco, V. (2013). A framework for de-pendability evaluation of industrial proces-ses, Annual Conference of IEEE IndustrialElectronics Society .

Mitra, S., Saxena, N. e McCluskey, E. (2000).Common-mode failures in redundant vlsi sys-tems: a survey, Reliability, IEEE Transacti-ons on 49(3): 285–295.

Rausand, M. e Høyland, A. (2003). System Re-liability Theory: Models, Statistical Methodsand Applications Second Edition, Wiley-Interscience.

Rouvroye, J. e van den Bliek, E. (2002). Com-paring safety analysis techniques, ReliabilityEngineering & System Safety 75(3): 289 –294.

Sahner, R., Puliafito, A. e Trivedi, K. S. (1996).Performance and reliability analysis of com-puter systems: an example-based appro-ach using the SHARPE software package,Kluwer, Boston, MA.

Tang, Z. e Bechta Dugan, J. (2004). An integra-ted method for incorporating common causefailures in system analysis, Reliability andMaintainability, 2004 Annual Symposium -RAMS, pp. 610–614.

Xing, L., Liu, H. e Shrestha, A. (2012). Infras-tructure communication reliability of wirelesssensor networks considering common-causefailures, International Journal of Performa-bility Engineering 8(2): 141–150.


1216

uma analise de falhas em modo comum e ...ticos de arvore de falhas e cadeias de markov, al em de...

Documents