You are on page 1of 175

UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE

U NIVERSIDADE F EDERAL DO R IO G RANDE DO N ORTE


C ENTRO DE T ECNOLOGIA
P ROGRAMA DE P S -G RADUAO EM E NGENHARIA E LTRICA E
C OMPUTAO

Uma Metodologia para Modelagem e Avaliao


da Dependabilidade de Redes Industriais Sem
Fio

Ivanovitch Medeiros Dantas da Silva

Orientador: Prof. Dr. Luiz Affonso Henderson Guedes de Oliveira (DCA/UFRN)


Co-orientador: Prof. Dr. Paulo Portugal (FEUP/UP)

Tese de Doutorado apresentada ao Programa de Ps-Graduao em Engenharia


Eltrica e Computao da UFRN (rea de
concentrao: Engenharia de Computao)
como parte dos requisitos para obteno do
ttulo de Doutor em Cincias.

Natal, RN, janeiro de 2013

Aos meus pais, Adjane e Ivanaldo,


pelo exemplo de luta, dedicao e
honestidade.

Agradecimentos

Fazer um doutorado o experimentar de novos desafios, o amadurecimento do pensar,


uma exploso de sentimentos. Ao longo do caminho, encontra-se a chuva, o sol, as flores
e o espinho. Para um viajante que cruza o caminho, o final pode parecer uma vitria
solitria, mas engana-se. A concluso no teria ocorrido sem a ajuda de pessoas especiais
que contriburam e me ajudaram ao longo de toda essa caminhada.
Gostaria de agradecer a Evellyne, por ter incentivado desde muitos anos a buscar meus
objetivos, meus sonhos. Sou grato profundamente pela sua ajuda especial e energias
positivas distribudas a mim.
No comeo da minha jornada acadmica, ainda na graduao, tive a ajuda de pessoas
muito queridas, meus tios Aderildo e Iris, sem a qual tornaria essa jornada digna de Homero.
Agradeo a minha irm, Ivanise, pelas discusses filosficas, psquicas e fsico-religiosas,
que instigaram o amadurecimento do meu pensar.
Agradeo especialmente ao Professor Francisco Vasques pelos seus valiosos comentrios,
sugestes e pelo apoio durante todo o estagio doutoral na FEUP.
Ao meu co-orientador, Professor Paulo Portugal, agradeo pela ajuda e pacincia em
transmitir conhecimentos muito valiosos que foram fundamentais para o desenvolvimento
desta tese. Sua co-orientao serviu como motivao para aprender cada vez mais.
Ao meu orientador e amigo, Professor Luiz Affonso, gostaria de externar minha gratido
por toda sua orientao e ajuda ao longo de todos esses anos. Discusses, comentrios e
conselhos que serviram para o desenvolvimento de toda a tese, e principalmente, contribuem a buscar uma carreira baseada na tica e honestidade.
Aos meus amigos(as) de luta, Silvio Sampaio, Carlos Viegas (Portuga), Lcio Sanchez,
Daniel Costa, Stanislav Stoykov e Julija Vasiljevska, Aderson Pifer, agradeo pela ajuda
e diversos momentos de descontrao compartilhados.
A toda equipe do Projeto Wireless, agradeo pela oportunidade mtua de aprendizado e
motivao para o desenvolvimento de novas tecnologias.
Aos meus primeiros orientandos, Rafael Leandro e Daniel Enos, sou grato pela oportunidade de trabalhar e aprender com profissionais sonhadores e de talento.

Agradeo a CAPES, a Petrobras e FCT pelo apoio financeiro.


Sofia, sou grato de uma forma muito especial por ter me ajudado a pensar e refletir
de uma maneira menos racional e encontrar a soluo dos problemas de uma forma mais
leve e objetiva. Sua ajuda foi fundamental para a concluso desta tese.
Agradeo a minha famlia, pela motivao e guia de um caminho calado pela honestidade
e justia.

Resumo

Garantir os requisitos de dependabilidade fundamental para as aplicaes industriais, onde falhas podem conduzir a defeitos cujas consequncias impactam em prejuzos
econmicos e principalmente danos ambientais e riscos aos operadores. Assim, diante da
relevncia do tema, esta tese propem uma metodologia para anlise da dependabilidade
de redes industriais sem fio (WirelessHART, ISA100.11a, WIA-PA) ainda na fase de projeto. Entretanto, a proposta pode ser facilmente estendida para as fases de manuteno
e expanso da rede. A proposta utiliza a teoria de grafos e o formalismo de rvores de
Falhas para criar automaticamente um modelo analtico a partir de uma dada topologia de
rede industrial sem fio, onde a dependabilidade possa ser avaliada. As mtricas de avaliao suportadas compreendem confiabilidade, disponibilidade e MTTF da rede, como
tambm medidas de importncia dos dispositivos, aspectos de redundncia e defeitos em
modo comum. Ressalta-se que a proposta independe de qualquer ferramenta para analisar
quantitativamente as mtricas visadas. Contudo, para propsito de validao da proposta
utilizou-se uma ferramenta amplamente aceita na academia para esse fim (SHARPE). Adicionalmente, um algoritmo para gerao dos cortes mnimos originalmente aplicado na
teoria de grafos foi adaptado para o formalismo das rvores de Falhas com o objetivo de
garantir escalabilidade da metodologia s redes industriais sem fio (< 100 dispositivos).
Finalmente, a metodologia proposta foi validada a partir de cenrios tpicos encontrados
em ambientes industriais, como topologias estrela, linha, cluster e mesh. Foram tambm
avaliados cenrios com defeitos em modo comum e um conjunto de polticas a serem
seguidas na criao de uma rede industrial sem fio. Para garantir aspectos de escalabilidade, uma anlise de desempenho foi conduzida, onde pode-se observar a aplicabilidade
da metodologia para as redes tipicamente encontradas em ambientes industriais.
Palavras-chave: Redes Industriais Sem Fio, WirelessHART, ISA100.11a, WIA-PA,
rvores de Falhas, Anlise de Dependabilidade, Confiabilidade, Disponibilidade.

Abstract

Ensuring the dependability requirements is essential for the industrial applications


since faults may cause failures whose consequences result in economic losses, environmental damage or hurting people. Therefore, faced from the relevance of topic, this thesis
proposes a methodology for the dependability evaluation of industrial wireless networks
(WirelessHART, ISA100.11a, WIA-PA) on early design phase. However, the proposal
can be easily adapted to maintenance and expansion stages of network. The proposal uses
graph theory and fault tree formalism to create automatically an analytical model from
a given wireless industrial network topology, where the dependability can be evaluated.
The evaluation metrics supported are the reliability, availability, MTTF, importance measures of devices, redundancy aspects and common cause failures. It must be emphasized
that the proposal is independent of any tool to evaluate quantitatively the target metrics.
However, due to validation issues it was used a tool widely accepted on academy for this
purpose (SHARPE). In addition, an algorithm to generate the minimal cut sets, originally
applied on graph theory, was adapted to fault tree formalism to guarantee the scalability
of methodology in wireless industrial network environments (< 100 devices). Finally, the
proposed methodology was validate from typical scenarios found in industrial environments, as star, line, cluster and mesh topologies. It was also evaluated scenarios with
common cause failures and best practices to guide the design of an industrial wireless
network. For guarantee scalability requirements, it was analyzed the performance of methodology in different scenarios where the results shown the applicability of proposal for
networks typically found in industrial environments.
Keywords: Wireless Industrial Networks, WirelessHART, ISA100.11a, WIA-PA, Fault
Tree, Dependability Evaluation, Reliability and Availability.

Sumrio

Sumrio

Lista de Figuras

Lista de Tabelas

ix

Lista de Publicaes

xi

Lista de Acrnimos e Abreviaturas


1

xiii

Introduo

1.1

Redes Industriais Sem Fio . . . . . . . . . . . . . . . . . . . . . . . . .

1.1.1

Primeiras tecnologias . . . . . . . . . . . . . . . . . . . . . . . .

1.1.2

Ethernet industrial . . . . . . . . . . . . . . . . . . . . . . . . .

1.1.3

A evoluo natural - eliminao do cabeamento . . . . . . . . . .

1.2

Motivao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10

1.3

Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

1.4

Contribuies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

12

1.5

Organizao da Tese . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

Tecnologias de Redes Industriais Sem Fio

15

2.1

WirelessHART . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

2.1.1

Camada fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . .

18

2.1.2

Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . .

19

2.1.3

Camadas de rede e transporte . . . . . . . . . . . . . . . . . . .

23

2.1.4

Camada de aplicao . . . . . . . . . . . . . . . . . . . . . . . .

24

2.1.5

Melhores prticas . . . . . . . . . . . . . . . . . . . . . . . . . .

25

ISA100.11a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

2.2.1

Camada fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

2.2.2

Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . .

29

2.2.3

Camadas de rede e transporte . . . . . . . . . . . . . . . . . . .

32

2.2

2.2.4
2.3

2.4
3

33

IEC-PAS 62601/WIA-PA . . . . . . . . . . . . . . . . . . . . . . . . . .

34

2.3.1

Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . .

36

2.3.2

Camada de rede . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

2.3.3

Camada de aplicao . . . . . . . . . . . . . . . . . . . . . . . .

39

Comparao entre os padres . . . . . . . . . . . . . . . . . . . . . . . .

40

Dependabilidade: Estado da Arte

45

3.1

Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

3.1.1

Falha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

3.1.2

Defeito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

46

3.1.3

Erros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

48

3.1.4

Dependabilidade . . . . . . . . . . . . . . . . . . . . . . . . . .

48

Redundncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

51

3.2.1

Redundncia de Hardware . . . . . . . . . . . . . . . . . . . . .

52

3.2.2

Redundncia de Software e Informao . . . . . . . . . . . . . .

57

3.2.3

Redundncia Temporal . . . . . . . . . . . . . . . . . . . . . . .

57

Medidas fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . .

58

3.3.1

Modelos para taxas de defeitos . . . . . . . . . . . . . . . . . . .

58

3.3.2

Confiabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . .

61

3.3.3

Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . .

64

rvores de Falhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

66

3.4.1

Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . .

66

3.4.2

Anlise quantitativa . . . . . . . . . . . . . . . . . . . . . . . . .

67

3.4.3

Medidas de importncia . . . . . . . . . . . . . . . . . . . . . .

70

3.4.4

Defeitos dependentes . . . . . . . . . . . . . . . . . . . . . . . .

71

Trabalhos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . .

72

3.2

3.3

3.4

3.5
4

Camada de aplicao . . . . . . . . . . . . . . . . . . . . . . . .

Metodologia de Avaliao

77

4.1

Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

77

4.2

Entrada de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

78

4.2.1

Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

78

4.2.2

Configuraes de falhas . . . . . . . . . . . . . . . . . . . . . .

79

4.2.3

Condio de defeito da rede . . . . . . . . . . . . . . . . . . . .

84

4.2.4

Mtricas de avaliao . . . . . . . . . . . . . . . . . . . . . . . .

85

Problema k-terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . .

85

4.3

4.4
4.5

4.6
4.7
5

Conjunto de Cortes Mnimos . . . . . . . . . . . . .


Gerao da rvore de Falha . . . . . . . . . . . . .
4.5.1 Falhas de hardware . . . . . . . . . . . . . .
4.5.2 Falhas nos enlaces de comunicao . . . . .
4.5.3 Mapeamento dos cortes mnimos . . . . . . .
4.5.4 Mapeamento das condies de defeito da rede
4.5.5 Gerao do cdigo fonte (SHARPE) . . . . .
4.5.6 Exemplo . . . . . . . . . . . . . . . . . . .
Avaliao da rvore de Falha . . . . . . . . . . . . .
Consideraes Finais . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

Validao da Metodologia
5.1 Cenrio I . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.1 Topologia estrela . . . . . . . . . . . . . . . . . . . .
5.1.2 Topologia linha . . . . . . . . . . . . . . . . . . . . .
5.1.3 Topologia cluster . . . . . . . . . . . . . . . . . . . .
5.2 Cenrio II . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.1 Influncia na confiabilidade da rede . . . . . . . . . .
5.2.2 Influncia nas medidas de importncia dos dispositivos
5.2.3 Influncia na disponibilidade da rede . . . . . . . . .
5.3 Cenrio III . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.1 Regra dos cinco . . . . . . . . . . . . . . . . . . . . .
5.3.2 Regra dos trs . . . . . . . . . . . . . . . . . . . . .
5.3.3 Regra dos 25% . . . . . . . . . . . . . . . . . . . . .
5.4 Avaliao de Desempenho . . . . . . . . . . . . . . . . . . .
5.5 Consideraes Finais . . . . . . . . . . . . . . . . . . . . . .
Concluso e Trabalhos Futuros

Referncias bibliogrficas

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

. 87
. 92
. 93
. 94
. 95
. 97
. 97
. 99
. 100
. 101

.
.
.
.
.
.
.
.
.
.
.
.
.
.

103
103
103
106
111
116
117
118
120
121
122
124
128
129
132

.
.
.
.
.
.
.
.
.
.
.
.
.
.

135
138

Lista de Figuras

1.1

Evoluo das redes de cho-de-fbrica [Sauter 2010]. . . . . . . . . . . .

1.2

Pirmide da automao - modelo hierrquico representando os diversos


nveis da automao industrial. . . . . . . . . . . . . . . . . . . . . . . .

2.1

Tecnologias sem fio utilizadas em ambientes industriais. . . . . . . . . .

16

2.2

Dispositivos WirelessHART. . . . . . . . . . . . . . . . . . . . . . . . .

17

2.3

Camadas da arquitetura presente na especificao WirelessHART. . . . .

19

2.4

Mecanismos utilizados no controle de acesso ao meio da especificao


WirelessHART: TDMA, saltos de frequncia, slots de tempo e superframe. 20

2.5

Uma tpica rede ISA100.11a. . . . . . . . . . . . . . . . . . . . . . . . .

27

2.6

Camadas da arquitetura presente no padro ISA100.11a. . . . . . . . . .

28

2.7

Diferentes perfis de saltos de frequncia suportados pelo padro ISA100.11a. 31

2.8

Uma tpica rede WIA-PA. . . . . . . . . . . . . . . . . . . . . . . . . . .

35

2.9

Pilha de protocolos do padro WIA-PA. . . . . . . . . . . . . . . . . . .

36

2.10 Superframe definido no padro WIA-PA. . . . . . . . . . . . . . . . . . .

37

3.1

Relao entre falhas, erros e defeitos. . . . . . . . . . . . . . . . . . . .

48

3.2

Meios para obter tolerncia a falhas. . . . . . . . . . . . . . . . . . . . .

50

3.3

Redundncia modular tripla (TMR). . . . . . . . . . . . . . . . . . . . .

53

3.4

Redundncia modular tripla com mecanismo de votao triplicado. . . . .

53

3.5

Tcnica de redundncia de hardware ativa baseada em duplicao com


comparao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

54

3.6

Tcnica de redundncia de hardware ativa baseada em mdulos reservas.

55

3.7

Tcnica de redundncia de hardware hbrida modular mltipla com reservas. 56

3.8

Princpio bsico sobre redundncia temporal. . . . . . . . . . . . . . . .

57

3.9

Relao entre a densidade de defeitos f (t) e a taxa de defeitos z(t). . . . .

60

3.10 Estados do sistema na viso da confiabilidade. . . . . . . . . . . . . . . .

61

3.11 Estados do sistema na viso da disponibilidade. . . . . . . . . . . . . . .

65

3.12 Comportamento do sistema para diversos instantes de tempo. . . . . . . .

66

3.13 Funo de distribuio acumulativa para as sadas das portas and, or e


k-out-of-n. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1

68

Viso geral da metodologia para avaliao da confiabilidade e disponibilidade das redes industriais sem fio. . . . . . . . . . . . . . . . . . . . .

78

Exemplo de uma rede industrial sem fio representada por um grafo e sua
respectiva matriz de adjacncia. . . . . . . . . . . . . . . . . . . . . . .

79

Procedimento usado na criao de distribuies estatsticas genricas na


ferramenta SHARPE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

81

4.4

Definio da distribuio exponencial na ferramenta SHARPE. . . . . . .

82

4.5

Definio da distribuio hipoexponencial na ferramenta SHARPE. . . . .

82

4.6

Distribuio erlang configurada na ferramenta SHARPE para o caso particular n = 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

83

Distribuio hiperexponencial configurada na ferramenta SHARPE para o


caso particular n = 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

83

Sada do Algoritmo 1 assumindo como referncia o dispositivo Fd0 da


Figura 4.2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

87

Topologia utilizada para exemplificar a gerao do conjunto de cortes mnimos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89

4.10 Simplificao utilizada na gerao do conjunto de cortes mnimos. . . . .

92

4.11 Falhas de hardware sem defeitos em modo comum (CCF). . . . . . . . .

94

4.12 Falhas de hardware com defeitos em modo comum (CCF). . . . . . . . .

94

4.13 Mapeamento das falhas nos enlaces de comunicao. . . . . . . . . . . .

95

4.14 Mapeamento na rvore de falha do conjunto de cortes mnimos para um


dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

96

4.15 Condio de defeito dos dispositivos sem a tcnica dos cortes mnimos. .

96

4.16 Mapeamento na rvore de falha da condio de defeito da rede. . . . . . .

97

4.17 Mapeamento de uma rvore de falha na ferramenta SHARPE. . . . . . . .

98

4.18 rvore de falha para a rede da Figura 4.9 assumindo a seguinte condio
de defeito: Fd0 + Fd1 Fd2 . . . . . . . . . . . . . . . . . . . . . . . . .

99

4.2
4.3

4.7
4.8
4.9

4.19 Cdigo fonte da ferramenta SHARPE para a rvore de falha da Figura 4.18. 100
4.20 Procedimentos utilizados para a avaliao quantitativa da rvore de falha. 101
5.1

Topologia estrela formada por quatro dispositivos de campo. . . . . . . . 104

5.2

Avaliao da confiabilidade de uma rede industrial sem fio considerando


topologia estrela. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

5.3
5.4
5.5
5.6
5.7
5.8
5.9
5.10
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18

Influncia das condies de defeito e nvel de redundncia para o MTTF


da rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Topologia linha tipicamente utilizada em ambientes industriais. . . . . . .
Medida de importncia dos dispositivos considerando a mtrica Birnbaum
e topologia em linha. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Medida de importncia dos dispositivos considerando a mtrica criticalidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cenrios utilizados para a avaliao da topologia cluster. (a) Trs clusters; (b) Trs clusters + dois roteadores adicionais. . . . . . . . . . . . .
Influncia das aes de reparao na indisponibilidade da rede considerando falhas de hardware e topologia em cluster. . . . . . . . . . . . . .
Influncia das aes de reparao na indisponibilidade da rede considerando falhas nos enlaces de comunicao e topologia cluster. . . . . . . .
Topologia adotada para avaliao dos defeitos em modo comum. . . . . .
Anlise da confiabilidade da rede considerando defeitos em modo comum.
Influncia dos defeitos em modo comum nas medidas de importncia dos
dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anlise da influncia dos defeitos em modo comum para a disponibilidade da rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Topologia mesh adotada para a avaliao das melhores prticas sugeridas
pela HCF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Avaliao da regra dos cinco. . . . . . . . . . . . . . . . . . . . . . . . .
Avaliao da regra dos trs. . . . . . . . . . . . . . . . . . . . . . . . . .
Influncia da regra dos trs na indisponibilidade da rede: anlise de sensibilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Avaliao da regra dos 25%. . . . . . . . . . . . . . . . . . . . . . . . .

107
107
108
110
111
113
114
117
118
119
120
122
124
126
127
129

Lista de Tabelas

1.1

2.1
2.2
2.3
2.4
2.5

Exemplos de possveis vantagens em se adotar solues de comunicao


sem fio para aplicaes industriais quando comparadas com solues tradicionais (cabeadas). . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Alcances tpicos de um rdio WirelessHART. . . . . . . . . . . . . . . . 19


Principais caractersticas presentes na camada de enlace da especificao
WirelessHART. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Principais caractersticas presentes na camada de enlace do padro ISA100.11a. 32
Tcnicas utilizadas no controle de acesso ao meio do padro WIA-PA. . . 38
Comparaes entre os principais padres de comunicao sem fio industriais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

3.1
3.2

Conceitos bsicos sobre tolerncia a falhas. . . . . . . . . . . . . . . . .


Medidas de confiabilidade para taxas de defeitos tpicas. . . . . . . . . .

51
64

5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8

Impacto no uso de redundncia na topologia linha. . . . . . . . . . . . .


Parmetros utilizados para a avaliao da topologia cluster. . . . . . . . .
Procedimentos utilizados para aumentar a disponibilidade de rede. . . . .
Configuraes dos defeitos em modo comum. . . . . . . . . . . . . . . .
Configuraes utilizadas na avaliao da regra dos cinco. . . . . . . . . .
Configuraes usadas para avaliar a regra dos trs. . . . . . . . . . . . .
Configuraes utilizadas para avaliar a regra dos 25%. . . . . . . . . . .
Anlise de desempenho da metodologia com ou sem a utilizao do algoritmo para gerao dos cortes mnimos. . . . . . . . . . . . . . . . . . .

110
112
115
117
123
125
128

ix

130

Lista de Publicaes

Ivanovitch Silva, Daniel Lopes, Adrio Duarte, Luiz Affonso, Leonardo Aquino &
Kaku Saito (2013), Tecnologias Emergentes para Redes Industriais Sem Fio: WirelessHART vs ISA100.11a, em Rio Automao 2013 (Submetido).
Ivanovitch Silva, Rafael Leandro, Daniel Enos & Luiz Affonso Guedes (2013), A Dependability Evaluation Tool for the Internet of Things, Computers and Electrical
Engineering (Elsevier) (Submission being processed).
Ivanovitch Silva, Paulo Portugal, & Luiz Affonso Guedes (2013), Emerging Technologies
for Industrial Wireless Sensor Networks, em Encyclopedia of Embedded Computing Systems, IGI Global (to be publish).
Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2012), Reliability and Availability Evaluation of Wireless Sensor Networks for Industrial Applications, Sensors (Basel) 12, 806838.
Ivanovitch Silva, Luiz Affonso Guedes, Paulo Portugal & Francisco Vasques (2012), Dependability evaluation of wirelesshart best practices, em 17th IEEE Conference on
Emerging Technologies and Factory Automation (ETFA 2012), pp. 19.
Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2011), Preliminary results on the assessment of wirelesshart networks in transient fault scenarios, em 16th IEEE International Conference on Emerging Technologies and Factory Automation.

xi

Lista de Acrnimos e Abreviaturas

6LoWPAN IPV6 Sobre Redes Pessoais Sem Fio de Baixa Potncia


AP

Access Point

CCA

Avaliao da presena da portadora

CCF

Falhas em modo comum

CDF

Funo de distribuio acumulativa

CENELEC Comit Europeu de Normalizao Eletrotcnica


CENELEC Comit Europeu de Normalizao Eletrotcnica
CFP

Perodo Livre de Conteno

CIWA

Consrcio Wireless Industrial Chines

CP

Perodo com Conteno

CSMA-CA Acesso Mltiplo com Verificao de Portadora e Anulao/Preveno de Coliso


CSP

Porta lgica para redundncia no modelo frio

CTS

Autorizao de Envio

DCF

Funo de Coordenao Distribuda

FCC

Comisso de Comunicao Federal Americana

FDEP

Porta lgica com dependncia funcional

FIP

Protocolo de Instrumentao de Fbrica

FIP

Protocolo de Instrumentao de Fbrica

FT

rvores de Falhas
xiii

FTA

Anlise de rvores de Falhas

HCF

HART Comunication Foundation

HSP

Porta lgica para redundncia no modelo quente

IEC

Comisso Eletrotcnica Internacional

IEC

Comisso Eletrotcnica Internacional

ISA

Sociedade Internacional de Automao

ISO

Organizao Internacional para Padronizao

ISP

Projeto de Sistemas Interoperveis

ISP

Projeto de Sistemas Interoperveis

MAC

Controle de Acesso ao Meio

MAC

Controle de Acesso ao Meio

MAP

Protocolo de Automao para Manufatura

MAP

Protocolo de Automao para Manufatura

MIMO

Mltiplas Entradas e Mltiplas Sadas

MTBF

Tempo mdio entre defeitos

MTTF:

Tempo mdio de funcionamento at a ocorrncia de um defeito

MTTR

Tempo mdio at o sistema reparar um defeito

NMR

Redundncia modular mltipla

OSI

Interconexo de Sistemas Abertos

PAS

Padro Publicamente Disponvel

PROFIBUS Barramento de Campo para Processos


PROFIBUS Barramento de Campo para Processos
QoS

Qualidade de Servio

RTS

Requisio de Envio

SEQ

Porta lgica com sequncia forada

SPD

Soma de produtos disjuntos

TDMA

Acesso Mltiplo por Diviso de Tempo

TMR

Redundncia modular tripla

UWB

Banda Ultra Larga

WIA-PA Redes Sem Fio para Automao Industrial e Processos de Automao


WLAN

Redes Locais Sem Fio

WorldFIP Protocolo para Instrumentao de Fbrica universal


WorldFIP Protocolo para Instrumentao de Fbrica universal
WPAN

Redes Pessoais Sem Fio

WSP

Porta lgica para redundncia no modelo aquecido

Captulo 1
Introduo

As redes industriais, tambm chamadas de redes de cho-de-fbrica, foram especificamente desenvolvidas para automao industrial, sendo portanto, bastante diferentes das
redes de computadores tradicionais em relao a dados, padres de trfegos, confiabilidade das aplicaes, exigncias temporais, entre outros fatores [Sauter 2005]. Historicamente, as redes industriais foram desenvolvidas a partir de redes de barramento, porm,
atualmente existem diversas pesquisas relacionadas com a insero do Ethernet e redes
sem fio para ambientes industriais.
O objetivo desse captulo descrever os principais desafios das tecnologias de comunicao sem fio quando inseridas em ambientes industriais. Inicialmente ser descrita
uma breve reviso sobre a evoluo das redes industriais, desde suas origens at a adoo
das tecnologias sem fio. Outros temas, como por exemplo, requisitos de confiabilidade e
determinismo, tambm sero abordados. Ao final do captulo sero descritos as motivaes, objetivos e contribuies da tese, alm da organizao do respectivo documento.

1.1

Redes Industriais Sem Fio

As redes de cho-de-fbrica so redes que operam no nvel das plantas industriais,


fornecendo a comunicao entre os dispositivos mais bsicos (sensores, atuadores) e os
dispositivos de alto nvel (controladores lgico programveis e computadores de superviso). Quando comparada com as redes de computadores tradicionais, as redes de chode-fbrica apresentam diferenas principalmente associadas aos dados transmitidos, padro de trfego, confiabilidade das aplicaes e exigncias rgidas de tempo real [Gungor
& Lambert 2006].
Em um ambiente tipicamente industrial, as informaes a serem monitoradas esto
relacionadas com o estado dos equipamentos (ligado, desligado, ocioso, bloqueado),
alarmes e variveis de processos. Em geral, essas informaes so transmitidas por pa-

CAPTULO 1. INTRODUO

cotes de dados cujo tamanho inferior a 100 bytes, enquanto que as taxas de transmisso
so limitadas a algumas centenas de kilobits por segundo [Silva 2008]. Por outro lado,
em uma rede local de propsito geral, os pacotes de dados so superiores a 100 bytes
e as taxas de transmisso podem chegar a 10 Gbps [Lin et al. 2009]. Em relao aos
intervalos de transmisso, em uma aplicao industrial comum os dispositivos serem
configurados com intervalos de 1-4s (aplicaes de controle de processos) a alguns minutos (aplicaes de monitoramento). Em geral, os intervalos de transmisso tm taxa
constante com exceo dos alarmes, que dependem de variveis estocsticas. Finalmente,
a confiabilidade fim-a-fim um dos principais itens a ser considerado pelas aplicaes
industriais. De modo geral, a comunicao entre os dispositivos de cho-de-fbrica e
as aplicaes de gerenciamento deve atender requisitos rgidos de confiabilidade e determinismo [Sauter et al. 2011]. Em uma rede de computador tradicional, requisitos de
confiabilidade e tempo real so mais relaxados quando comparado com as exigncias das
aplicaes industriais. Outra caracterstica antagnica est relacionada com o perodo no
qual as instalaes dessas redes so vlidas. Em uma rede de cho-de-fbrica esperado
que sua estrutura seja utilizada por um perodo de pelo menos at 10 anos, enquanto que
em uma rede tradicional esse perodo de aproximadamente 3 anos [Sauter 2010].
A diferena entre as redes de cho-de-fbrica e as redes tradicionais so motivadas
principalmente pela limitao das tecnologias utilizadas e dos requisitos das aplicaes.
Entretanto, o avano tecnolgico tem criado uma estrutura adequada para estender as
redes originalmente projetadas para serem instaladas em escritrios (Ethernet e solues
sem fio) em ambientes industriais. Para compreender melhor esse contexto necessrio
observar toda a evoluo das redes de cho-de-fbrica, desde as tecnologias mais primitivas at a utilizao das redes sem fio. A Figura 1.1 um exemplo de tal abordagem, onde
as diferentes tecnologias de comunicao para redes de cho-de-fbrica so organizadas
cronologicamente de acordo com essa evoluo.

1.1.1

Primeiras tecnologias

Embora a origem das redes de cho-de-fbrica datam de 30 anos atrs, os conceitos


por trs dessas redes so muito mais antigos e remontam s redes Telex e s primeiras
tecnologias usadas nas redes de telecomunicaes (V.21 e X.21) [Sauter 2005]. A evoluo dos microprocessadores permitiram que esses sistemas migrassem de uma arquitetura
analgica para uma arquitetura digital, tornando-se possvel o desenvolvimento de tecnologias com maiores taxas de transmisso. As redes de cho-de-fbrica foram criadas com
a finalidade de disponibilizar as informaes presentes no mais baixo nvel das plantas

Redes Tradicionais

1.1. REDES INDUSTRIAIS SEM FIO

Telex
V.21

Ethernet
Arpanet

OSI/ISO

Internet

X.21

Wimax
MAP

MMS

Redes de Ch
ao-de-F
abrica

WLAN

Bluetooth

Sercos III

FIP

ControlNet

Profibus

DeviceNet

Modbus

Interbus

WorldFip

P-NET
MIL 1553

FF
Sercos

HART

1970

1980

1990

ISA100.11a

Profinet IRT
UWB

Modbus RTPS

ASi

CAN

EPL WirelessHART
EtherCat

EPA

Ethernet/IP

2000

IEC 62601

ZigBee

802.15.4

802.15.5

2010

Primeiras tecnologias Era do barramento Ethernet Industrial Tecnologias sem fio

Figura 1.1: Evoluo das redes de cho-de-fbrica [Sauter 2010].


industriais para toda a companhia. Essa demanda resultou em um modelo hierrquico
representado pela pirmide da automao, como descrito na Figura 1.2. Nesse modelo,
as camadas inferiores so interligadas pelas redes de cho-de-fbrica, enquanto que as
camadas superiores esto sob influncia das redes corporativas. A comunicao entre as
redes de cho-de-fbrica e as redes corporativas so geralmente realizadas nas camadas
intermedirias atravs de dispositivos especficos para essa finalidade.

ERP

Redes Corporativas

IV

MES
s

II

orio
is

Sistem

erv
as Sup

II

es

olador

CLP

res
Senso

Contr

Redes de Ch
ao-de-F
abrica

dores
Atua

Figura 1.2: Pirmide da automao - modelo hierrquico representando os diversos nveis


da automao industrial.

CAPTULO 1. INTRODUO

Durante as dcadas de 80 e 90, diversas solues proprietrias para redes de chode-fbrica foram desenvolvidas. Essas solues eram dedicadas a aplicaes especficas
e redes de diferentes fabricantes eram incompatveis. A maioria dessas solues proprietrias desaparecem devido inviabilidade econmica de manter um protocolo muito
especializado para um nicho especfico de aplicaes [Thomesse 2005]. Motivado por
tal contexto, surgiu a necessidade de uma padronizao internacional das redes de chode-fbrica. Se analisarmos a evoluo dessas redes do ponto de vista da padronizao,
possvel perceber a influncia direta do modelo OSI/ISO (Interconexo de Sistemas
Abertos/Organizao Internacional para Padronizao). Esse modelo serviu de base para
que protocolos fossem desenvolvidos com a finalidade de comunicar redes de diferentes
fabricantes. Um dos primeiros protocolos desenvolvidos foram o MAP e Mini-MAP.
Entretanto, a complexidade de implementao inviabilizou a sua utilizao em larga escala [Schutz 1988].
No geral, a tentativa de criar um protocolo universal para as redes de cho-de-fbrica
fracassou. Essa busca tecnolgica durou aproximadamente 16 anos (1986-2002) [Felser
& Sauter 2002]. As tentativas para padronizar uma soluo universal tornaram-se mais
uma questo poltica, onde cada pas desejava garantir sua soluo como a universal, do
que uma discusso tcnica. Inicialmente, Frana (FIP) e Alemanha (PROFIBUS) disputaram a escolha da soluo universal para as redes de cho-de-fbrica. Obviamente, cada
pas defendia sua prpria soluo. Entretanto, o FIP e o PROFIBUS propuseram padres
que se complementavam. O primeiro utilizava uma soluo centralizada, enquanto que
o segundo props uma soluo distribuda. Algumas tentativas foram feitas com o objetivo de incrementar o PROFIBUS com as funcionalidades propostas pelo FIP e vice-versa
(ISP, WorldFIP). Em 1995, diversas empresas, na sua grande maioria empresas americanas, decidiram no esperar por uma soluo universal oriunda da combinao entre o FIP
e PROFIBUS, criando a definio de um novo protocolo, o Foundation Fieldbus. Naquele
momento, os pases europeus que detinham tecnologias nacionais para redes de cho-defbrica estavam receosos que suas solues no pudessem se tornar padres universais.
Do ponto de vista econmico no era vivel desenvolver um novo protocolo do zero que
no fosse compatvel com as respectivas solues nacionais. Dessa forma, o Comit Europeu de Normalizao Eletrotcnica (CENELEC) compilou todos os padres nacionais
europeus para um nico documento, onde cada padro visualizado com uma parte isolada ou um sistema independente. Em paralelo, a Comisso Eletrotcnica Internacional
(IEC) atravs da Foundation Fieldbus criou sua prpria especificao. A coexistncia do
padro europeu com a especificao do IEC criou um cenrio conhecido como a guerra
das redes de cho-de-fbrica. No final, o objetivo de criar um protocolo universal para

1.1. REDES INDUSTRIAIS SEM FIO

as redes de cho-de-fbrica foi abandonado com o surgimento dos padres IEC 61158
e IEC 61784, os quais acomodavam todos protocolos de redes de cho-de-fbrica existentes [Felser 2002]. importante lembrar que nessa poca todos os referidos protocolos
usavam cabos como meio de transmisso.

1.1.2

Ethernet industrial

Baseado na pirmide da automao, descrita na Figura 1.2, verifica-se que os dispositivos de cho-de-fbrica (sensores e atuadores) e as aplicaes de alto nvel so interligados por diferentes redes. Se um mesmo tipo de rede fosse utilizado para essa finalidade
a pirmide da automao seria muito mais simples, eliminando a necessidade de equipamentos adicionais (pontes) para converter diferentes protocolos. Uma escolha natural
para simplificar a comunicao dos equipamentos seria utilizar a prpria rede corporativa
da companhia. O motivo dessa soluo decorrente do fato que as redes corporativas j
esto conectadas com as aplicaes de alto nvel, dessa forma o acesso as informaes
de cho-de-fbrica poderia ser realizado de uma maneira mais flexvel. Adicionalmente,
as redes corporativas, que por sua vez so baseadas no protocolo Ethernet, j alcanaram um nvel de maturidade considervel em relao confiabilidade dos equipamentos
desenvolvidos. Em aplicaes industriais a confiabilidade uma exigncia fundamental,
haja visto que falhas nos equipamentos podem provocar danos ao meio ambiente e expor
operadores a situaes de risco [Rahimi et al. 2011]. Tambm conhecido que as taxas
de transmisso dos protocolos baseados no Ethernet so bastante superiores s das redes
de cho-de-fbrica descritas anteriormente.
O padro Ethernet, desde sua criao, tem atrado potencial interesse de pesquisadores
com o objetivo de adaptar o referido protocolo para ambientes industriais [Potter 1999,
Montague 2001, Vitturi 2001, Felser & Sauter 2004, Urli & Murgia 2011]. No incio,
ainda na dcada de 80, as empresas tinham uma certa resistncia em adotar o Ethernet em suas aplicaes industriais devido ao protocolo no apresentar caractersticas de
tempo real. A saber, se duas estaes esto esperando uma terceira estao liberar o meio
de transmisso, impossvel estimar de forma determinstica qual estao ir transmitir.
Uma contribuio para mudar esse cenrio ocorreu em 1997, quando o Ethernet Full Duplex foi criado [IEEE-802.3x 1997]. A padronizao do Ethernet Full Duplex permitiu
a criao de um novo equipamento, o Switch Ethernet. Esse equipamento eliminou as
colises na rede e trouxe benefcios para insero do Ethernet em ambientes industriais.
Mesmo assim, o determinismo ainda no podia ser encontrado e pacotes poderiam ser perdidos (sobrecarga na rede provoca o estouro da fila de transmisso). Diversas alteraes

CAPTULO 1. INTRODUO

no padro Ethernet foram propostas com o objetivo de prover requisitos de tempo real.
Algumas solues garantem o determinismo na presena de dispositivos puros, ou seja,
que no sofreram modificaes do protocolo. Outras, garantem o determinismo se apenas
dispositivos modificados so utilizados. Entretanto, essas solues assumem que erros na
transmisso dos dados no ocorrem. Caso haja erros, apenas garantias probabilsticas de
tempo real podem ser fornecidas [Decotignie 2005].
A realidade atual da Ethernet industrial est voltada aos protocolos especificados
no IEC 61158. Basicamente, houve apenas adaptaes dos protocolos criados durante
a guerra das redes de cho-de-fbrica na tentativa de garantir determinismo. Muitos
desses protocolos no modificaram o padro Ethernet, dessa forma, fornecendo praticamente nenhuma garantia de determinismo. Nesse grupo, podemos destacar o Ethernet/IP,
MODBUS RTPS, PROFINET CBA e o PROFINET IO CC-A. Por outro lado, alguns protocolos buscaram solues baseadas na modificao do padro Ethernet. Basicamente,
essas solues adicionam um novo controle de acesso ao meio (MAC) ao padro. Nesse
grupo, encontram-se os seguintes protocolos: EPL, EPA, VNET-IP, PROFINET IRT, TCnet, P-NET on IP, EtherCAT, SERCOS III. Entretanto, algumas limitaes precisam ser
descritas, por exemplo, os protocolos EPL, EPA, VNET-IP no garantem determinismo
na presena de erros e tampouco coexistir com dispositivos Ethernet puros. Os protocolos
P-Net on IP e TCnet apesar de utilizarem um mecanismo robusto contra erros, so limitados para cenrios com dispositivos no-puros. Os protocolos EtherCAT e SERCOS
III so mais robustos que os anteriores em relao a garantias de determinismo, porm,
se forem conectados a dispositivos Ethernet puros o determinismo no mais garantido.
Diferentemente dos demais protocolos, o PROFINET IRT mantm as garantias de determinismo na presena de dispositivos Ethernet puros, porm, depende da existncia de um
switch especial [Decotignie 2009].

1.1.3

A evoluo natural - eliminao do cabeamento

O surgimento das tecnologias de redes industriais sem fio foi uma evoluo natural
das primeiras tecnologias de comunicao industrial desenvolvidas, que usavam cabos
como meio de transmisso. A proposta de eliminar o cabeamento e utilizar um novo
paradigma na transmisso dos dados em ambientes industriais no recente, por exemplo,
Lessard & Gerla (1988) desenvolveram um dos primeiros trabalhos nessa rea na tentativa
de comunicar dispositivos industriais por infravermelho. Entretanto, apenas nos ltimos
anos a demanda por tecnologias sem fio na industrial tem se intensificado.
O uso de tecnologias de comunicao sem fio em ambientes industriais sempre foi

1.1. REDES INDUSTRIAIS SEM FIO

visto com grande ceticismo por parte das companhias. Esse cenrio foi criado principalmente pela baixa confiabilidade do canal de comunicao, haja visto que os equipamentos
so instalados em reas sujeitas influncia de agentes externos (rudos, interferncias,
clima adverso, obstculos naturais), que podem provocar erros em taxas superiores aos
das tecnologias cabeadas [Bai & Atiquzzaman 2003]. Outros erros no canal de comunicao so decorrentes da atenuao do sinal (motivada principalmente pela perda de
potncia devido distncia entre o emissor e receptor) e do fenmeno de mltiplos caminhos (devido reflexo, difrao e disperso do sinal transmitido, mltiplas cpias do
dado podem sofrer interferncia construtiva ou destrutiva na recepo). Em geral, erros
em comunicaes sem fio so transientes, ou seja, o canal de comunicao fica ruim por
um tempo e depois volta normalidade. Por outro lado, em tecnologias cabeadas o erro
mais frequente o permanente, devido a falhas nos cabos, conectores ou outros componentes.
Um segundo ponto a ser levado em considerao na insero de tecnologias de comunicao sem fio em ambientes industriais est relacionado com a natureza do meio de
propagao. Como o sinal de comunicao transmitido pelo ar, qualquer dispositivo de
rede que esteja no alcance do rdio conseguir captar o sinal. Assim, torna-se fundamental a utilizao de um nvel elevado de segurana na tentativa de evitar o acesso indevido
a informaes sigilosas. No extremo, pessoas no autorizadas podem aproveitar da ausncia de segurana para injetar pacotes nocivos rede com o intuito de realizar algum
ataque ou roubar informaes [Chang & Chen 2012].
Outro desafio a ser observado est relacionado com a coexistncia de diferentes tecnologias no mesmo ambiente. Devido ao meio de transmisso das tecnologias de comunicao sem fio ser aberto, poder existir situaes onde tecnologias diferentes compartilhem
a mesma faixa de frequncia. Assim, importante que mesmo coexistindo num mesmo
ambiente, diferentes tecnologias possam operar sem que uma no interfira na outra. Essa
caracterstica fundamental para garantir o dinamismo das aplicaes.
Apesar de todos esses desafios, com a evoluo das tecnologias de comunicao, novos mecanismos foram desenvolvidos para garantir a confiabilidade das redes sem fio
(modulao e codificao, escalonamento determinstico, saltos de frequncias e topologias redundantes), tornando sua utilizao acessvel aos ambientes industriais [Gungor &
Hancke 2009, Han et al. 2011].
Uma vantagem imediata em utilizar uma tecnologia de comunicao sem fio para ambientes industriais est na eliminao do cabeamento. Segundo Colpo & Mols (2011), o
uso de equipamentos sem fio podem reduzir os custos de instalao entre 50-90%, quando
comparados com cenrios onde dispositivos cabeados so utilizados. Outros benefcios

CAPTULO 1. INTRODUO

das tecnologias sem fio podem ser melhor observados quando descritos no contexto das
aplicaes industriais. A Tabela 1.1 resume alguns desses benefcios.
Tabela 1.1: Exemplos de possveis vantagens em se adotar solues de comunicao sem
fio para aplicaes industriais quando comparadas com solues tradicionais (cabeadas).
Aplicaes

Descrio

Solues Tradicionais

Vantagens

Vdeo vigilncia

Resolues
regulatrias exigem que
as plantas industriais
sejam monitoradas
em tempo real,
prevenindo o acesso
de pessoas a reas
no autorizadas.

Cameras so posicionadas em locais


estratgicos, que em
muitos casos inviabilizam a instalao
da infraestrutura de
cabeamento.

O monitoramento
pode
alcanar
reas onde o uso
de cabeamento
limitado [Costa &
Guedes 2010].

Rastreamento de
pessoas

Em plantas industriais, cada operador deve ser monitorado. Zonas de segurana devem ser informadas em caso de
emergncia.

Mobilidade
no
pode ser garantida
com solues tradicionais, o custo
invivel.

A segurana dos
operadores aumentada [EmersonPM 2009b].

Monitoramento
de vages tanque

Vages so utilizados
para
o
transporte de materiais inflamveis.
Em operaes de
monitoramento,
operadores sobem
nos vages para
verificar
manualmente a presso ou
temperatura.

A instalao de cabos invivel devido


ao deslocamento dos
vages.

Permite o monitoramento em tempo real


dos vages, evitando
a exposio de operadores em reas de
risco [Emerson-PM
2008].

Continua na prxima pgina

1.1. REDES INDUSTRIAIS SEM FIO

Aplicaes

Descrio

Manuteno preventiva

Durante a fabricao
de chapas de ao, a
temperatura dos rolamentos que transportam as chapas podem indicar possveis falhas. Este tipo
de falha pode parar a
planta em pelo menos 6 horas.

Solues
convencionais levam um
tempo de comissionamento
alto
haja visto a complexidade da planta
industrial.

Apresenta
um
rpido
comissionamento e manuteno [EmersonPM 2012].

Monitoramento
de dutos

O betume descarregado por navios petroleiros transportado por dutos at


as refinarias. O betume slido, porm para mant-lo
fluido e passvel de
ser transportado, os
dutos so aquecidos.

Os custos relacionados com a infraestrutura e manuteno


inviabiliza o monitoramento utilizandose as tecnologias tradicionais.

Fcil instalao e
manuteno. Apesar
de utilizar uma tpica
topologia em linha,
redundncia pode
ser utilizada para
aumentar a confiabilidade [Bhatt 2010].

A infraestrutura para
levar o cabeamento
at o rio proibitiva
do ponto de vista financeiro.

Elimina os gastos
com
a
infraestrutura fsica e a
necessidade
de
visitas
regulares
ao rio. Os dados
podem ser monitorados com maior
confiabilidade
e
disponibilidade conforme a legislao
vigente [EmersonPM 2009a].

Sistema
resfriamento

de

Vrias
plantas
industriais
utilizam guas de
rios no sistema
de
resfriamento.
Aps o processo
de
resfriamento
as guas devem
retornar aos rios em
uma
determinada
temperatura.

Solues Tradicionais

Vantagens

Continua na prxima pgina

10

CAPTULO 1. INTRODUO

Aplicaes

Monitoramento
da
produo
em plataformas
Offshore

1.2

Descrio

Determinados poos
de petrleo precisam
monitorar a presso
na cabea do poo
na tentativa de evitar
perda de produo.

Solues Tradicionais

Na maioria dos
casos, a cabea do
poo est localizado
em uma rea de
difcil acesso, sendo
bastante oneroso e
complexo a instalao da infraestrutura
de cabeamento.

Vantagens
O monitoramento
contnuo da cabea
do poo permiti
identificar gargalos
que antes no era
possvel. O uso de
dispositivos
sem
fio maximiza o
espao fsico alm
de reduzir o peso da
plataforma [Murray
2010].

Motivao

Tradicionalmente, solues baseadas em cabeamento estruturado so adotadas nos


projetos de comunicao das aplicaes industriais. Entretanto, recentemente, a indstria
tem demonstrado interesse em mover parte da infraestrutura de comunicao cabeada
para tecnologias de comunicao sem fio. O objetivo principal desse novo paradigma
reduzir os custos relacionados com instalao, peso (plataformas offshore), manuteno
e escalabilidade das aplicaes, alm de permitir o monitoramento de novos processos
que antes era invivel com a tecnologia de comunicao tradicional. Outro benefcio
a flexibilizao de testes, os quais podem ser realizados mais rapidamente reduzindo os
custos operacionais (operadores, parada da planta, permanncia em reas de risco).
Aplicaes industriais tipicamente apresentam requisitos rgidos de dependabilidade
(confiabilidade e disponibilidade). Tais exigncias so ainda mais rgidas se considerarmos o uso de tecnologias de comunicao sem fio onde falhas nos equipamentos ou na
comunicao dos dados podem conduzir tais aplicaes a defeitos que resultam em perdas
econmicas, danos ambientais e riscos humanos. Nesse contexto, ns podemos classificar as falhas como transientes ou permanentes. Falhas transientes geralmente afetam os
enlaces de comunicao e so causadas por rudo ou interferncia eletromagntica. Por
outro lado, falhas permanentes afetam diretamente o dispositivos da rede e tm suas origens em problemas de hardware. Aps uma falha permanente, para torna-se operacional
novamente, um dispositivo precisa sofrer algum tipo de manuteno. Excepcionalmente,

1.3. OBJETIVOS

11

falhas nos enlaces de comunicao tambm podem ser consideradas permanentes, desde
que essas tenham uma durao em escala muito superior que milissegundos. Adicionalmente, falhas permanentes apresentam, tipicamente, um maior impacto para a operao
das aplicaes industriais do que as falhas transientes [Wolf 2001]. A consequncia imediata de uma falha permanente que as comunicaes com os dispositivos afetados no
so mais possveis. No pior caso vrios dispositivos podem ficar isolados, como por exemplo no cenrio em que um dispositivo roteador apresente uma falha. Consequentemente,
o algoritmo de controle afetado e pode conduzir a um defeito crtico.
Baseado no contexto descrito anteriormente, o uso de uma metodologia para avaliar
os requisitos de dependabilidade (confiabilidade e disponibilidade) de uma rede industrial sem fio poderia antecipar importantes decises ainda na fase de projeto. Exemplos
de decises poderiam ser a topologia da rede, criticalidade dos dispositivos, nveis de redundncia e robustez. Dependendo da topologia a ser adotada, enlaces de comunicao
alternativos podem ser criados entre os dispositivos visando aumentar a confiabilidade da
rede. Adicionalmente, se uma anlise de sensibilidade suportada, dispositivos crticos
podem ser previamente identificados e decises sobre redundncia podem ser tomadas.
Na Seo 3.5 so descritos os principais trabalhos relacionados com a avaliao da
dependabilidade em redes industriais. Percebe-se que o desenvolvimento de uma metodologia de projeto visando a anlise da confiabilidade e disponibilidade de redes industriais
genricas considerado uma rea de pesquisa aberta a solues. As demandas de contribuies esto relacionadas com metodologias que abordem condies de falhas flexveis,
topologias genricas, falhas de hardware e de comunicao, defeitos em modo comum,
redundncia, alm de anlise de sensibilidade e criticalidade.

1.3

Objetivos

Considerando-se a iminente adoo em larga escala das tecnologias de comunicao sem fio em ambientes industriais vinculados a requisitos rgidos de confiabilidade e
disponibilidade, a presente tese tem como objetivo principal o desenvolvimento de uma
metodologia de projeto para a criao de redes industriais sem fio. Baseado nos requisitos
das aplicaes, a metodologia proposta permiti a escolha da topologia a ser adotada, indicar os dispositivos mais crticos na rede e realizar anlise de sensibilidade. A proposta
baseada no formalismo matemtico de rvores de Falhas (FT), considerando-se falhas
permanentes (hardware e enlace), defeitos em modo comum e redundncia.
Como objetivo secundrio, a metodologia proposta contribui para validar e auxiliar
o uso de tecnologias de comunicao sem fio em ambientes industriais. As anlises de

12

CAPTULO 1. INTRODUO

confiabilidade e disponibilidade permitem aos projetistas verificarem ainda em tempo de


projeto se uma determinada rede suportar os requisitos exigidos.

1.4

Contribuies

A principal contribuio da tese propor uma metodologia para avaliar a confiabilidade e disponibilidade das redes industriais sem fio quando sujeitas a falhas permanentes
(hardware e enlaces de comunicao). A proposta baseada na Anlise de rvores de
Falhas (FTA), uma tcnica usada para obteno da probabilidade de um estado ou evento
no desejado [Ericson 2005]. Neste caso, o evento no desejado est relacionado com o
defeito de um dispositivo especfico ou um grupo de dispositivos. Um dispositivo considerado falhado se ele sofreu um defeito permanente (hardware ou enlace de comunicao)
ou se no existe pelo menos uma rota para o gerente da rede que inclua este dispositivo.
Adicionalmente, como contribuies secundrias podemos citar a avaliao das melhores
prticas a serem utilizadas na criao de uma rede industrial sem fio e a adaptao de um
algoritmo originalmente aplicado teoria de grafos para a gerao dos cortes mnimos de
uma rvore de Falha, que viabiliza computacionalmente o emprego dessa tcnica a redes
com topologias e dimenses tipicamente encontradas em instalaes industriais reais.
A proposta inclui vrios aspectos, sendo flexvel e adaptvel para diferentes tipos de
cenrios. Quando comparada com outras solues encontradas na literatura, as principais
vantagens da metodologia proposta nesta tese so:
Suporte para topologias genricas: linha, estrela, cluster, mesh;
Condies de falhas na rede podem ser configuradas de uma maneira flexvel, desde
um simples dispositivo at um grupo de dispositivos;
Processos de defeitos e reparos podem ser caracterizados usando diferentes tipos de
distribuies estatsticas;
Dispositivos da rede podem ser configurados com redundncia (ativa);
Suporte a reconfiguraes de topologias, devido a defeitos nos dispositivos (protocolos de roteamento resilientes);
Anlise de defeitos em modo comum;
Falhas permanentes (hardware e enlaces de comunicao);
Possibilidade de obteno de diferentes tipos de mtricas para um mesmo modelo
(confiabilidade, disponibilidade, tempo mdio entre falhas, medidas de criticalidade).

1.5. ORGANIZAO DA TESE

13

Para complementar a proposta, foi desenvolvido uma ferramenta de software que automaticamente avalia a confiabilidade e disponibilidade de uma rede industrial sem fio.
A ferramenta automaticamente gera uma rvore de Falha com os eventos mnimos que
conduzem a condio de falha da rede. Em seguida, a rvore gerada traduzida para uma
linguagem acessvel ferramenta SHARPE (Symbolic Hierarchical Automated Reliability
and Performance Evaluator) [Trivedi & Sahner 2009], o qual usada para obteno das
mtricas avaliadas.

1.5

Organizao da Tese

Neste primeiro captulo foi apresentado uma introduo da respectiva tese. Foram
descritos o contexto, as motivaes, os objetivos e as contribuies do trabalho. Adicionalmente, o documento complementado por cinco outros captulos, os quais so
brevemente discutidos a seguir:
Captulo 2 apresenta as principais tecnologias de redes industriais sem fio. O objetivo descrever as vantagens, as desvantagens e as comparaes entre as diversas
solues. Essas informaes so necessrias para a melhor compreenso da metodologia proposta.
Captulo 3 sumariza minunciosamente a pesquisa atual do estado da arte sobre tolerncia a falhas em redes industriais. O objetivo do captulo descrever os principais
conceitos tericos utilizados na proposta alm de comparar as solues encontradas na literatura, caracterizando-se assim como a fundamentao terica da presente
tese.
Captulo 4 descreve a metodologia utilizada para avaliar a confiabilidade e disponibilidade das redes industriais sem fio. O objetivo do captulo descrever a proposta
da respectiva tese.
Captulo 5 discute diversos cenrios onde a metodologia proposta foi avaliada,
caracterizando-se assim como validao e anlise de resultados da tese.
Captulo 6 finaliza o documento com as concluses e os trabalhos que iro ser
desenvolvidos posteriormente.

14

CAPTULO 1. INTRODUO

Captulo 2
Tecnologias de Redes Industriais Sem
Fio

Durante a guerra das redes de cho-de-fbrica, diversas tecnologias surgiram como


padro de facto (Modbus, Fieldbus Foundation, HART, entre outras). Todas essas tecnologias eram baseadas em cabeamento estruturado e tinham como objetivo criar um
protocolo universal que atendesse toda a demanda da indstria. Apesar do surgimento
das tecnologias sem fio, o cenrio no est sendo muito diferente. Uma variedade de tecnologias coexistem e outras ainda esto por aparecer. Traando um cenrio conservador,
dificilmente apenas uma nica soluo sem fio ir ser o padro universal para indstria.
mais prudente pensar que vrias solues iro coexistir, cada qual com suas vantagens e
desvantagens e seus nichos de aplicaes especficos.
As solues atuais para as redes industriais sem fio esto concentradas em dois grupos
distintos. O primeiro grupo est voltado para as redes WLAN (redes locais sem fio), cujas
as tecnologias so variaes do padro IEEE 802.11. Por outro lado, o segundo grupo
representado pelas redes WPAN (redes pessoais sem fio), cujas solues so variaes
desenvolvidas pelo grupo de trabalho IEEE 802.15 e outras comisses de padronizao
como por exemplo o ISA (Sociedade Internacional de Automao) e o IEC (Comisso
Eletrotcnica Internacional). Cada grupo tem suas peculiaridades, porm as redes WPAN
tem mostrado ser uma melhor soluo quando analisada em ambientes industriais, com
destaque para os padres WirelessHART, ISA100.11a e IEC 62601/WIA-PA, que foram
criados especificamente para este tipo de ambiente.
Uma viso geral dos principais padres de comunicao sem fio utilizadas em ambientes industriais descrita na Figura 2.1. O referido captulo no possui como objetivo
a descrio de todos esses padres, movendo o foco para aqueles criados intrinsecamente
para os ambientes industriais. Para uma anlise global dos padres recomenda-se a leitura
das seguintes referncias [Zand et al. 2012, Petersenand & Carlsen 2011].

16

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

802.11a

802.15.4e
802.11b
802.15.5

802.15.4

802.11g
IEEE
802.15.x

802.11x

802.11e
802.15.1

802.15.3
802.11n

WLAN

WirelessHART

WPAN

Tecnologias Sem
Fio (Ind
ustria)
Zigbee

ISA100.11a

IEC 62601

Figura 2.1: Tecnologias sem fio utilizadas em ambientes industriais.

2.1

WirelessHART

WirelessHART um padro de comunicao sem fio desenvolvido pela HART Comunication Foundation (HCF) com o objetivo de transmitir mensagens HART sem a necessidade de utilizar os meios clssicos de transmisso (4-20 mA ou RS484). Um dispositivo
WirelessHART implementa a mesma estrutura de comandos usadas por um dispositivo
clssico HART RS484. As mesmas aplicaes utilizadas no padro HART so compatveis com o padro WirelessHART.
O conceito por trs do padro WirelessHART foi inicialmente discutido em 2004 durante o encontro anual da HCF. Naquela poca, as principais questes abordadas estavam
relacionadas com a interoperabilidade de um novo padro com os dispositivos legados
(baseados no padro HART). Estima-se que 24 milhes de equipamentos HART esto
instalados ao redor do mundo e a demanda anual de aproximadamente 2 milhes de
dispositivos HART [HCF 2007].
Em setembro de 2008, a especificao WirelessHART (HART 7.1) foi aprovada publicamente (PAS) pela Comisso Eletrotcnica Internacional (IEC 62591). WirelessHART
foi a primeira tecnologia de comunicao sem fio a obter esse nvel de reconhecimento
internacional [Song et al. 2008]. A verso final da especificao foi concluda no incio

2.1. WIRELESSHART

17

de 2010 [IEC 2010].


A especificao WirelessHART define 8 tipos de dispositivos como descrito na Figura 2.2: gerente da rede, gerente de segurana, gateway, ponto de acesso, dispositivo de
campo, adaptador, roteador e dispositivo porttil. Todos os dispositivos so conectados
para a rede e implementam mecanismos para suportar a formao, manuteno, roteamento, segurana e confiabilidade da rede.
Rede de Automao (TA)

Gerente da Rede e
Gerente de Segurana
Gateway
Ponto de acesso

Dispositivo de
campo

Roteador

Adaptador
Dispositivo
Porttil

Figura 2.2: Dispositivos WirelessHART.


Os dispositivos de campo so os dispositivos WirelessHART mais bsicos. Eles esto
diretamente conectados aos processos da planta industrial os quais transmitem, recebem
e encaminham dados monitorados para outros dispositivos. Geralmente so alimentados
por baterias, entretanto, fontes permanentes de energia tambm podem ser configuradas.
A compatibilidade com os dispositivos legados (HART) garantida por meio de adaptadores. Por questes de limitao, os adaptadores no esto ligados diretamente planta
industrial, entretanto eles suportam os mesmos mecanismos dos dispositivos de campo.
Testes e configuraes podem ser realizadas por dispositivos portteis. Cada dispositivo
de campo possui uma porta de manuteno onde as configuraes podem ser realizadas.
Existem tambm a possibilidade de configurar os dispositivos de campo atravs de infra-

18

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

vermelho. Nesse caso, os dispositivos portteis devem possuir essa tecnologia.


Roteadores so utilizados para o encaminhamento das mensagens. Teoricamente,
uma rede WirelessHART no necessita de roteadores j que os dispositivos de campo
so configurados automaticamente com mecanismos de roteamento. Entretanto, o uso
de roteadores pode criar caminhos redundantes para o Gateway alm de evitar que dispositivos de campo sejam usados para o roteamento das mensagens e consequentemente
maximizando o consumo de energia. A conexo entre a rede de automao, onde as aplicaes de alto nvel esto sendo executadas, e os dispositivos de campo realizada pelo
Gateway. Por outro lado, a comunicao fsica/lgica entre o Gateway e os dispositivos
da rede ocorre atravs de pontos de acesso. A quantidade de pontos de acesso pode ser
configurada para aumentar a vazo de dados na rede como tambm a confiabilidade, j
que novos caminhos so criados entre os dispositivos e o Gateway.
O gerente de segurana a entidade responsvel por assegurar a segurana em toda
rede. Ele fornece chaves de comunicao para todos os dispositivos. Essas chaves so
usadas para autenticar o dispositivo e criptografar os dados transmitidos. O armazenamento e distribuio das chaves tambm responsabilidade do gerente de segurana.
O centro de uma rede WirelessHART o gerente da rede. Ele conectado logicamente ao Gateway e gerencia toda a rede. A comunicao com os dispositivos orientado a comandos. As responsabilidades do gerente da rede esto relacionadas com o
escalonamento, gerenciamento da lista de dispositivos, roteamento, coletar informaes
estatsticas sobre o desempenho, deteco de falhas e formao da rede.
A especificao WirelessHART utiliza uma arquitetura baseada na verso simplificada
do modelo OSI com apenas 5 camadas. A Figura 2.3 descreve uma viso geral da arquitetura presente na especificao WirelessHART. Nas prximas sees sero descritos as
principais caractersticas de cada camada.

2.1.1

Camada fsica

A camada fsica da especificao WirelessHART baseada no padro IEEE 802.15.4.


Dessa forma, um rdio WirelessHART apresenta as mesmas taxas de transmisso, tcnicas de modulao e alcance de um rdio IEEE 802.15.4 com a limitao que apenas 15
canais (11 - 25) so utilizados. O canal 26 no utilizado na especificao WirelessHART
por questes regulatrias de alguns pases.
Outra ressalva a ser feita est relacionada com o mecanismo que avalia a presena da
portadora (CCA). A camada fsica da especificao WirelessHART identifica que o meio
est ocupado se receber algum sinal cuja tcnica de modulao e espalhamento espectral

2.1. WIRELESSHART

19

Camada de Aplicao

Orientada a comandos (HART) - Fragmentao/remontagem dos dados

Camada de Transporte

Transaes com ou sem reconhecimento

Camada de Rede

Topologia mesh - auto-reparo roteamento em grafo e origem

Camada de Enlace

Saltos de frequncia (1 tipo) - TDMA - slots (10ms) - lista negra de canais

Camada Fsica

Rdios IEEE 802.15.4 2.4 GHz 25m/600m 0 dBm/10 dBm Tx

Figura 2.3: Camadas da arquitetura presente na especificao WirelessHART.


compatvel com o IEEE 802.15.4 (CCA modo 2). Note que nesse caso no importa
a energia do sinal recebido, apenas necessrio apresentar algumas propriedades para
identificar que o canal est ocupado.
Em relao ao alcance do rdio, a especificao WirelessHART suporta distncias
de at 100 metros. Entretanto, a especificao no limita alcances maiores. Algumas
implementaes comerciais [Dust-Network 2010] utilizam um amplificador de potncia
proporcionando alcances de at 300 metros. Apesar disso, o uso desses amplificadores
de potncia aumentam o consumo de energia dos dispositivos em 3 vezes [Dust-Network
2010]. A Tabela 2.1 descreve os alcances tpicos de um rdio WirelessHART.
Tabela 2.1: Alcances tpicos de um rdio WirelessHART.
Ambiente
Indoor
Outdoor

2.1.2

Potncia (Tx)

Alcance

0 dBm
10 dBm
0 dBm
10 dBm

25 metros
100 metros
200 metros
300 metros

Camada de enlace

A camada de enlace definida na especificao WirelessHART fornece importantes


mecanismos para o funcionamento da rede, dentre os quais podemos citar: comunica-

20

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

o confivel salto a salto, sincronizao, escalonamento, manuteno de dados sobre a


estrutura da rede, segurana e QoS.
Uma das tarefas mais importantes da camada de enlace definir o controle de acesso
ao meio e consequentemente o escalonamento dos pacotes a serem enviados. Na especificao WirelessHART esse procedimento realizado atravs de um acesso mltiplo por
diviso de tempo (TDMA) combinado com um mecanismo de saltos de frequncia. No
TDMA, o tempo dividido igualmente em janelas de 10ms chamadas slots de tempo.
Cada transmisso entre dois dispositivos vizinhos na rede, incluindo o dado transmitido
(origem) e o pacote de reconhecimento (vizinho), dever ocorrer dentro de um slot de
tempo utilizando um dos 15 canais disponveis. Teoricamente 15 dispositivos podem
transmitir ao mesmo tempo. Obviamente um dispositivo no pode transmitir e receber
dados ao mesmo tempo, para que isso fosse possvel o dispositivo deveria ser configurado
com duas ou mais antenas. A Figura 2.4 descreve os procedimentos internos utilizados
pelos dispositivos (origem, destino) durante um slot de tempo. Percebe-se que do ponto
de vista do emissor os seguintes procedimentos so realizados: criar pacote, verificar se
o meio est livre, trocar o estado do rdio de recepo para transmisso, enviar o pacote,
alternar para o estado ocioso, esperar a recepo do pacote de reconhecimento e voltar
ao estado ocioso. De forma anloga, o receptor realiza os seguintes procedimentos: ativa
o estado ocioso, altera o estado do rdio para recepo, recebe o pacote enviado pelo
emissor, configura e envia o pacote de reconhecimento e por fim, ativa o estado ocioso
novamente.

11
12
12
14
15
16
17
18
19
20
21
22
23
24
25

Config.

CCA
RxTx

Origem

Slot disponvel
Slot de tempo

Canais de Comunicao

Slots utilizados

Idle

Tx

Rx

Idle

10ms
Destino
Idle

Config. Tx Idle

Rx
10ms

Superframe 1

Superframe 1

Superframe 2

...

Superframe 2

Superframe 1

...

Superframe (20 slots de tempo)

Figura 2.4: Mecanismos utilizados no controle de acesso ao meio da especificao WirelessHART: TDMA, saltos de frequncia, slots de tempo e superframe.

2.1. WIRELESSHART

21

Com o objetivo de minimizar a influncia de interferncias (rudos) na rede e permitir


a coexistncia com outros padres (IEEE 802.11, Bluetooth, ZigBee), foi adicionado ao
TDMA um mecanismo de saltos de frequncia. Cada transmisso na rede utiliza uma
frequncia diferente (canal), diminuindo assim a probabilidade de escolher um canal ruidoso. Na Figura 2.4 possvel perceber o mecanismo de saltos de frequncia para trs
fluxos de dados (slots de tempo preto, cinza escuro e cinza claro). A especificao WirelessHART opcionalmente fornece um mecanismo chamado lista negra (blacklist) onde
os canais mais ruidosos podem ser informados de modo que possam ser evitados pelos
dispositivos. Ressalta-se que de acordo com a especificao WirelessHART atual, esse
procedimento dever ser realizado manualmente no gerente da rede.
Outra estrutura bastante importante para a camada de enlace o superframe. Essa
estrutura formada pela unio de vrios slots de tempo. A quantidade de slots utilizados indica a periodicidade do superframe. Na Figura 2.4 descrito um superframe com
perodo de 200 ms (20 slots). Para cada intervalo de comunicao (definido a nvel de
aplicao) utiliza-se um superframe com perodo igual ao intervalo de comunicao.
A especificao WirelessHART tem como objetivo criar um controle de acesso ao
meio determinstico e livre de colises. Dessa forma, cada slot de tempo dedicado
apenas para dois dispositivos, o emissor e o receptor. Por questes de otimizao, nos
procedimentos de entrada na rede e opcionalmente nas retransmisses, slots de tempo
compartilhado podem ser utilizados. Nessa estrutura diversos dispositivos podem acessar
o canal, cujo acesso controlado de forma similar ao CAP do IEEE 802.15.4 (CSMACA).
Apesar de todas as caractersticas citadas anteriormente, o controle de acesso ao meio
apenas funcionar corretamente se os dispositivos estiverem sincronizados. O procedimento para sincronizar todos os dispositivos realizado em partes pelo gerente da rede e
por dispositivos especficos. O gerente da rede atribui uma referncia temporal (pode ser
qualquer dispositivos) para todo dispositivo na rede. Mensagens KEEP-ALIVE so enviadas por todos dispositivos como forma de atualizar a informao sobre os seus vizinhos.
Se um dispositivo recebeu uma dessas mensagens e o emissor for sua referncia temporal,
ento ele calcula a diferena entre o tempo exato e estimado da chegada da mensagem.
Essa diferena de tempo utilizada para a sincronizao. Uma outra forma de sincronizao pode ser alcanada enviando a diferena temporal na carga til das mensagens de
reconhecimento (ACK).
Em relao a garantias de qualidade de servio (QoS), a camada de enlace define 4
prioridades conforme o tipo do pacote transmitido (comandos, dados, normal, alarme). A
prioridade mais baixa atribuda aos alarmes. Esses eventos ao serem ativados podem

22

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

inundar toda a rede, dessa forma foram configurados com a mais baixa prioridade. Por
outro lado, a maior prioridade foi atribuda aos pacotes de comandos no intuito de garantir que uma configurao seja atendida imediatamente. Adicionalmente ao mecanismo
de QoS, os dispositivos podem ser configurados para transmitir dados em rajadas. Esse
procedimento deve ser utilizado para maximizar a probabilidade de um dado alcanar o
Gateway. Na transmisso em rajadas os dispositivos transmitem continuamente at receberem um comando para interromper a transmisso. Os dispositivos tambm podem ser
configurados para iniciarem uma transmisso em rajada se o dado monitorado sofre uma
variao brusca. Um procedimento similar j foi avaliado na literatura apresentando uma
reduo do consumo de energia nos dispositivos [Silva et al. 2008].
Por fim, a camada de enlace atua como um facilitador para a camada de rede na
medida em que vrias informaes sobre a estrutura da rede so coletadas. Por exemplo,
na camada de enlace os dispositivos so configurados para enviarem periodicamente ao
Gateway informaes sobre seus vizinhos, quantidade de mensagens transmitidas com
sucesso, qualidade dos links, nvel da bateria, entre outras. Todas essas informaes so
utilizadas como base para a camada de rede.
As principais caractersticas presentes na camada de enlace da especificao WirelessHART so descritas na Tabela 2.2.
Tabela 2.2: Principais caractersticas presentes na camada de enlace da especificao WirelessHART.
Caractersticas

Camada de Enlace (WirelessHART)

4 nveis de prioridade: comandos,


dados, normal e alarme
Contnua ou baseada em mudanas
Transmisso em rajada
bruscas de comportamento
MAC
TDMA + saltos de frequncia
Slots
10 ms (dedicados ou compartilhados)
Superframe
Mltiplos tamanhos
Lista negra
Opcional e manual
Referncia temporal estabelecida
na entrada da rede. Mensagens
Sincronizao
KEEP-ALIVE e Ack so usada para
manuteno
Dispositivos vizinhos, qualidade do
Informaes coletadas link, estatstica sobre os dados
transmitidos, nvel da bateria
127 bytes (carga til fornecida pela
Pacote
camada fsica)
QoS

2.1. WIRELESSHART

2.1.3

23

Camadas de rede e transporte

A camada de rede definida na especificao WirelessHART o ponto de convergncia


com a especificao HART. As principais funes dessa camada esto relacionadas com
roteamento, endereamento e segurana fim-a-fim. Por outro lado, a camada de transporte
foi definida de uma maneira mais simples que a camada de rede onde o objetivo principal
a transmisso dos dados com confiabilidade fim-a-fim.
Nessa seo ser descrita uma das principais caractersticas da especificao WirelessHART: o roteamento resiliente. Uma rede WirelessHART tem suporte para topologias
mesh, com o objetivo de se poder criar caminhos redundantes entre os dispositivos e o
Gateway. Nesse sentido, a especificao WirelessHART define quatro tipos de roteamento: roteamento na origem, roteamento em grafo, roteamento baseado no superframe
e roteamento de proxy. Todos esses tipos de roteamento utilizam como base informaes
coletadas pelos dispositivos e passadas para o gerente da rede. O roteamento criado pelo
gerente da rede e os dispositivos apenas utilizam as configuraes que lhe foram atribudas. A seguir sero descritos todas as variaes de roteamento citadas anteriormente.
O roteamento na origem inclui no prprio pacote a ser transmitido toda a informao
necessria para o encaminhamento. Quando um dispositivo ao longo do caminho recebe
o pacote, necessrio apenas consultar o prximo destino informado no prprio pacote.
Ento, o gerente da rede responsvel por criar o caminho entre o dispositivo e o Gateway. Esse modo de roteamento utilizado apenas para testes devido sua baixa confiabilidade, pois se um dispositivo ao longo do caminho falhar, o pacote ser perdido. Essa
mesma tcnica de roteamento foi utilizada pelo padro ZigBee na tentativa de minimizar a sobrecarga na construo das tabelas de roteamento impostas pelo AODV [ZigbeeAlliance 2007].
Diferentemente da tcnica anterior, o roteamento em grafo utiliza as vantagens da
topologia mesh criando um mecanismo bastante resiliente. Ao invs de enviar todo o
roteamento no pacote, utiliza-se apenas um identificador para uma estrutura de dados
em grafo. Consultando uma tabela possvel encontrar, entre vrias opes, o melhor
dispositivo a ser usado como prximo destino do pacote. A criao dessa tabela responsabilidade do gerente da rede e a mtrica utilizada para decidir qual vizinho escolher
no est especificada no padro. Sempre que possvel o gerente da rede configura cada
transmisso com pelo menos duas opes de roteamento (rota principal e secundria) com
o intuito de aumentar a confiabilidade na entrega da informao. Perceba que a deciso
sobre qual vizinho escolher foi realizada pelo gerente da rede. Os dispositivos de campo
no apresentam liberdade em escolher a melhor rota em tempo real. Essa a razo pelo

24

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

qual os dispositivos de campo enviam periodicamente informaes da rede para o gerente.


Com tais informaes o gerente da rede atualiza os enlaces de comunicao. Adicionalmente, o roteamento na origem e o roteamento em grafo podem ser usados paralelamente
no mesmo pacote com o intuito de reforar a resilincia da rede.
O roteamento baseado em superframe similar ao roteamento em grafo com a diferena que os links apenas podem utilizar um determinado superframe. Dessa forma, o
trafego da rede pode ser isolado dependendo das exigncias necessrias. Por outro lado,
utilizar apenas um superframe limita a quantidade de links disponveis.
O roteamento baseado em proxy um caso particular do roteamento em grafo. Ele
utilizado pelos dispositivos quando estes esto entrando na rede. Enquanto um novo
dispositivo no obtm as chaves de segurana emitidas pelo gerente da rede, o roteamento baseado em proxy utilizado. Nesse caso, os dispositivos que j esto na rede
so configurados para enviarem mensagens ADVERTISE com o objetivo de convidar novos dispositivos. Nessas mensagens existe um atributo que representa o identificador do
proxy. Os novos dispositivos utilizam ento o roteamento em grafo cujo identificador o
atributo recebido nas mensagens ADVERTISE.

2.1.4

Camada de aplicao

A camada de aplicao tradicionalmente, de acordo com o modelo OSI, fornece uma


interface de alto nvel para os usurios poderem acessar informaes da rede. Adicionalmente, na especificao WirelessHART a camada de aplicao tambm responsvel pela
fragmentao dos dados alm de herdar as caractersticas da tecnologia legada (HART),
onde todos procedimentos so orientados a comandos. De acordo com a especificao
WirelessHART, os comandos so classificados em seis grupos conforme suas funcionalidades:
Comandos universais - definidos pelo IEC e devem ser compatveis com todos dispositivos WirelessHART e HART.
Comandos comumente utilizados - foram criados para facilitar a interoperabilidade
entre diferentes fabricantes e independem do tipo de dispositivo.
Comandos privados - utilizados apenas durante a fabricao. No devem ser utilizados em produo.
Comandos sem fio - suportados apenas por dispositivos WirelessHART.
Comandos dos dispositivos - dependente do tipo de sensor utilizado.
Comandos especficos - definidos pelos fabricantes e especfico para cada dispositivo. Esses comandos esto fora do escopo da especificao HART, porm devem

2.1. WIRELESSHART

25

estar em conformidade com a especificao.


Os comandos so transmitidos na carga til da camada de aplicao. Cada comando
possui uma identificao nica. O receptor de um pacote primeiramente consulta a identificao do comando para poder extra-lo. Esse procedimento necessrio devido aos
comandos apresentarem tamanhos diferentes.

2.1.5

Melhores prticas

Com o objetivo de guiar os projetistas a implementarem redes WirelessHART mais


resilientes, a HCF desenvolveu um conjunto de boas prticas [HCF 2011]. Basicamente,
as seguintes regras so sugeridas:
Regra dos cinco: toda rede WirelessHART dever possuir pelo menos cinco dispositivos dentro do alcance do gateway. esperado que a rede funcione nos casos
em que esta regra no seja atendida, porm, de acordo com a HCF, os melhores
resultados de resilincia so obtidos quando o gateway apresenta pelo menos cinco
vizinhos.
Regra dos trs: cada dispositivo de campo dever ter pelos menos trs vizinhos.
Esta regra usada para garantir que cada dispositivo de campo apresente pelo menos
dois caminhos para o gateway. Se um vizinho falhar, o terceiro vizinho ser usado
como rota de backup.
Regra dos 25%: quando a rede cresce, pelo menos 25% dos dispositivos devem
estar localizados dentro do alcance do gateway.
Importante destacar que a localizao dos dispositivos WirelessHART orientada aos
requisitos do processo industrial, e em muitos casos as regras descritas anteriormente so
difceis de obter. Portanto, em alguns cenrios deve-se adicionar dispositivos na rede com
o nico propsito de roteamento. Dessa forma a rede poder atender as exigncias das
melhores prticas e consequentemente alcanar os requisitos de confiabilidade.
Consideraes em relao ao contexto das aplicaes industriais
As redes WirelessHART foram padronizadas com o objetivo de fornecer uma tecnologia sem fio especifica para ambientes industriais aproveitando toda a experincia adquirida nas redes HART (cabeada). A especificao WirelessHART utiliza apenas a camada
fsica do padro IEEE 802.15.4 enquanto que minimiza os efeitos das interferncias ao

26

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

utilizar um acesso ao meio baseado em TDMA e saltos de frequncia. Topologias mesh


so configuradas no nvel da camada de rede criando um protocolo bastante resiliente.
Apesar de todas as vantagens citadas anteriormente, alguns pontos importantes ainda
esto abertos a discusso. A tecnologia per si ainda est muito recente, no existindo uma
avaliao real de um conjunto de melhores prticas a ser seguida. A especificao no
indica quais parmetros utilizar em determinados cenrios, tampouco qual melhor estratgia de escalonamento a ser seguida. Essas decises ficam a critrios dos fabricantes que
implementam quaisquer procedimentos. Tradicionalmente, os dispositivos so vendidos
como caixas pretas, onde o usurio no tem liberdade de configurar tais procedimentos.
Um outro problema a ser levado em considerao diz respeito coexistncia com outras tecnologias. Se no mesmo ambiente for instalado trs pontos de acesso IEEE 802.11
a confiabilidade da rede dever diminuir de forma significativa (aumento no nmero de
perdas de pacotes). O mecanismo de lista negra poderia ser utilizado para minimizar esse
problema, entretanto sua configurao pouco produtiva haja vista que manual.
Por fim, a especificao WirelessHART descreve que possvel utilizar Gateways redundantes porm a maneira de implementar essa configurao no descrita na norma. A
utilizao de Gateways redundantes imprescindvel para garantir altos nveis de confiabilidade.

2.2

ISA100.11a

A Sociedade Internacional de Automao (ISA) aprovou em 2009 um novo padro


de comunicao sem fio voltado para aplicaes industriais de monitoramento e controle.
Esse padro foi nomeado ISA100.11a. Aps sua reviso final em 2011, foi iniciado ainda
no mesmo ano a tentativa de tornar o padro publicamente disponvel (PAS) na Comisso
Eletrotcnica Internacional (IEC). O ISA100.11a tem um status IEC/PAS, porm, ainda
est na verso draft com a denominao IEC/PAS 62734. Existe a expectativa que o
IEC/PAS 62734 tenha sua aprovao final no segundo semestre de 2012. Nesta tese, o
ISA100.11a e o IEC/PAS 62734 so tratados como um mesmo padro [ISA100 2009,
IEC-62734 2012].
Diferentemente do padro WirelessHART, que foi concebido baseado nas exigncias
de uma padro especfico (HART), o padro ISA100.11a foi criado baseado nas exigncias dos usurios finais. Um dos objetivos do padro fornecer uma comunicao sem fio
confivel e segura para as aplicaes com latncia de at 100ms. Essas aplicaes so tpicas de monitoramento e controle industriais. O padro apresenta suporte a coexistncia
de outras tecnologias de comunicao sem fio em um mesmo ambiente, como por exem-

2.2. ISA100.11A

27

plo: telefonia celular, IEEE 802.11x, IEEE 802.15x, IEEE 802.16x. Adicionalmente, foi
criado um mecanismo de tunelamento onde diversos padres industriais de comunicao
(HART, WirelessHART, Foundation Fieldbus, Profibus, Modbus, entre outros) podem ser
utilizados de forma transparente em uma rede ISA100.11a.
Uma rede ISA100.11a tpica descrita na Figura 2.5. Todos os dispositivos na rede
so caracterizados por regras bem definidas que controlam seus funcionamentos. Em geral os dispositivos podem assumir as seguintes regras: gerente do sistema, gerente de segurana, gateway, roteador backbone, roteador, dispositivo I/O, dispositivo porttil, funo
de provisionamento e referncia temporal.

Sub-rede I

Gateway
Gerente do Sistema
Gerente de Segurana

Sub-rede II

Rede de Automao

Backbone

Roteador backbone

Dispositivo I/O

Roteador

Dispositivo porttil

P Funo de provisionamento
T Referncia temporal

Figura 2.5: Uma tpica rede ISA100.11a.


O dispositivo I/O responsvel por atuar ou monitorar as variveis do ambiente. De
acordo com o padro ISA100.11a, um dispositivo I/O no apresenta capacidade de roteamento. Essa limitao foi utilizada para minimizar o consumo de energia naqueles
dispositivos. Um dispositivo I/O tambm pode ser porttil, nesse caso, sua operao
limtiada a testes, manuteno e configuraes de outros dipositivos.
O roteamento na rede realizado por dois dispositivos, o roteador e o roteador backbone. O primeiro atua como um proxy, encaminhando os dados em direo ao gateway e
estendendo o alcance da rede. Ele tambm responsvel por propagar a noo de tempo

28

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

e comissionar novos dispositivos. Adicionalmente, o padro ISA100.11a introduziu um


novo conceito, o roteador backbone. Esse dispositivo responsvel por um roteamento de
alto nvel na rede. Tambm pode ser utilizado para aumentar a vazo de trfego na medida
que sub-redes so criadas. O trfego entre backbones utiliza uma verso compactada do
IPV6, o 6LoWPAN (IPV6 sobre redes pessoal de baixa potncia), o qual otimizada para
as redes de sensores sem fio [Neves & Rodrigues 2010]. O tunelamento, uma das principais caractersticas do padro ISA100.11a, tambm de responsailidade dos roteadores
backbones.
Similarmente ao padro WirelessHART, uma rede ISA100.11a centralizada na operao de trs dispositivos: gateway, gerente de sistema e gerente de segurana. O gateway
o dispositivo responsvel por interligar as aplicaes de alto nvel, presentes na rede de
automao, para os dispositivos na rede sem fio. O gerente de segurana responsvel
por manter as comunicaes seguras, livre de acessos no autorizados. Ele tambm
responsvel pela manuteno e distribuio das chaves de segurana. Por fim, o gerente
de sistema o ncleo da rede, realizando todos os procedimentos necessrios para que a
comunicao entre os dispositivos possa ocorrer.
O padro ISA100.11a utiliza uma arquitetura baseada em uma verso simplificada do
modelo OSI, onde esto presente apenas 5 camadas. A Figura 2.6 descreve uma viso
geral da arquitetura presente no padro ISA100.11a. Nas prximas sees sero descritos
as principais caractersticas de cada camada.

Camada de Aplicao

Orientada a objetos (encapsula dados e funcionalidades) suporta o


tunelamento de outros padres de comunicao

Camada de Transporte

Servios sem conexo e sem reconhecimento extenso do UDP sobre IPv6


com melhor integridade dos dados e segurana adicional

Camada de Rede

Fragmentao/remontagem de dados - roteamento de alto nvel (backbone)


compatibilidade com 6LoWPAN -

Camada de Enlace

Saltos de frequncia (3 tipos) - TDMA - slots (10ms/12ms) - roteamento a


nvel da sub-rede - lista negra de canais

Camada Fsica

Rdios IEEE 802.15.4 2.4 GHz 50m/600m 0 dBm/10 dBm Tx

Figura 2.6: Camadas da arquitetura presente no padro ISA100.11a.

2.2. ISA100.11A

2.2.1

29

Camada fsica

Similarmente ao padro WirelessHART, a camada fsica do padro ISA100.11a baseada no IEEE 802.15.4. As camadas fsicas desses padres so bastante similares, entretanto, o ISA100.11a adiciona algumas peculiaridades. O ISA100.11a permite a utilizao
de 16 canais (11-26) apesar do canal 26 ser opcional. Diferentemente do padro WirelessHART, um rdio ISA100.11a suporta todos os nveis de avaliao da portadora (CCA),
inclusive, apresentando suporte para desabilitar a funo se necessrio. Em relao frequncia de transmisso, ambos ISA100.11a e WirelessHART utilizam apenas a faixa de
frequncia 2.4 GHz.
Em relao ao alcance do rdio, o padro ISA100.11a no especifica nenhum parmetro. Devido sua compatibilidade com o IEEE 802.15.4 esperado alcances tpicos
de at 100 metros. Entretanto, testes realizados em ambientes abertos e com visada direta
obtiveram um alcance de at 600 metros (ganho extra da antena) [Yamamoto et al. 2010].
Em ambientes fechados e densos (grande quantidade de materiais metlicos e tpicos de
ambientes industriais) os testes citados anteriormente indicam um alcance mximo de at
50 metros. Percebe-se que quanto maior o alcance do rdio maior ser o consumo de
energia nos dispositivos.
Adicionalmente, o padro ISA100.11a permite o controle da potncia de transmisso
com o intuito de economizar energia. Porm nenhum algoritmo especificado no padro.
Ambos ISA100.11a e WirelessHART devem limitar o alcance do rdio s leis regulamentadoras especficas, dessa forma, espera-se que esses padres tenham rdios com alcances
similares. Discusses sobre o tema extrapolam o objetivo desse documento (tcnico) e
convergem mais para questes comerciais.

2.2.2

Camada de enlace

A camada de enlace definida no padro ISA100.11a tem como responsabilidade controlar o acesso dos dispositivos ao meio de transmisso. Essa uma caracterstica bsica de
toda camada de enlace baseada no modelo OSI. Entretanto, o padro ISA100.11a difere
um pouco dos modelos clssicos de arquiteturas de redes pois define roteamento no nvel
da camada de enlace.
Basicamente, a camada de enlace dividida em 3 subcamadas: MAC, extenso da
MAC e uma subcamada de alto nvel. A subcamada MAC um subconjunto do IEEE
802.15.4, enquanto que a extenso da MAC adiciona novas caractersticas relacionadas
com o CSMA-CA, TDMA e saltos de frequncia. A subcamada de alto nvel responsvel por realizar o roteamento a nvel da camada de enlace.

30

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

Na viso da camada de enlace, os dispositivos esto organizados em uma ou vrias


sub-redes. Dentro de cada sub-rede os dispositivos so sincronizados. A comunicao
ocorre utilizando slots de tempo, superframes, links e grafos. O gerente do sistema
responsvel por configurar todos os dispositivos na rede com essas estruturas (tabelas).
O controle de acesso ao meio baseado em um TDMA configurado com um mecanismo de saltos de frequncia. Diferentemente do padro WirelessHART, onde apenas um
perfil de saltos de frequncia suportado, no padro ISA100.11a so definidos 3 perfis
de saltos de frequncia (slotted, lento, hbrido) conforme descritos na Figura 2.7. No primeiro perfil, cada comunicao ocorre em uma frequncia diferente seguindo 5 padres
pr-definidos. O ordem dos canais a ser seguida foi definida com a finalidade de otimizar
a coexistncia com redes IEEE 802.11 e WirelessHART. Existe tambm a possibilidade
de configurar os dispositivos para escolherem os canais de comunicao seguindo uma sequncia especfica. Por outro lado, no perfil de saltos de frequncia lento, os dispositivos
modificam o canal de comunicao apenas em intervalos especficos (100ms a 400ms).
Esse mecanismo utilizado por dispositivos que perderam a sincronizao com a rede ou
esto sendo comissionados pelo gateway. Por questes de coexistncia com outros padres, recomenda-se utilizar os canais 15, 20 e 25 no perfil de saltos de frequncia lento.
A desvantagem desse perfil est relacionada com o aumento no consumo de energia. Durante o perodo em que um canal de comunicao utilizado, os dispositivos precisam
manter seus rdios ligados. Por fim, um perfil de saltos de frequncia hbrido utilizando
ambas caractersticas dos perfis anteriores pode ser utilizado para otimizar o envio de
alarmes e retransmisses.
Independente do perfil de saltos de frequncia utilizado, a comunicao entre os dipositivos ocorre dentro de um slot de tempo com durao de 10 ms ou 12 ms1 . Diferentemente do padro WirelessHART, o slot de tempo estendido (12 ms) foi adicionado
ao padro ISA100.11a para suportar a recepo em sequncia de mltiplas mensagens
de reconhecimento (duocast), priorizao de mensagens (CCA postergado para mensagens de pouca prioridade) e permitir a comunicao entre dispositivos cuja referncia
temporal esteja atrasada em at 2 ms. Adicionalmente, os slots de tempo ainda podem
ser classificados em dedicados e compartilhados. Os slots dedicados so usados para as
comunicaes livres de conteno (unicast e duocast), enquanto que os slots compartilhados so usados para as comunicaes com conteno (difuso e retransmisses). Nos
slots compartilhados o acesso ao meio alcanado utilizando um algoritmo de backoff
exponencial semelhante ao mecanismo de acesso ao meio CSMA-CA.
1 Todos

os dispositivos na rede devem estar sincronizados. Alguns dispositivos so configurados pelo


gerente do sistema para propagar a noo de tempo em mensagens advertise e de reconhecimento

2.2. ISA100.11A

31

Canais (11-25)

Saltos de frequncia slotted

Tempo
Canais (11-25)

Saltos de frequncia lento

Tempo
Canais (11-25)

Saltos de frequncia hbrido

Tempo

Figura 2.7: Diferentes perfis de saltos de frequncia suportados pelo padro ISA100.11a.
Os slots de tempo so posicionados em sequncia formando a estrutura do superframe.
Com o objetivo de minimizar a complexidade da camada de enlace, um superframe apenas
suporta slots de mesmo tamanho. Apesar dessa limitao possvel utilizar superframes
simultneos com tamanhos de slots especficos. Para manter a sincronizao na rede,
todos os superframes so alinhados em intervalos de 250 ms.
A organizao dos superframes tem papel importante no escalonamento e consequentemente no roteamento da rede. O padro ISA100.11a define roteamento no nvel da
camada de enlace. O roteamento construdo pelo gerente do sistema atravs de mensagens enviadas periodicamente por todos os dispositivos na rede. De forma similar ao
padro WirelessHART, so definidos o roteamento em grafo e origem. A diferena est
no fato que o padro ISA100.11a organiza a rede (camada de enlace) em sub-redes.
O padro no generaliza os mecanismos internos dos dispositivos (acesso a memria,
interrupo de hardware, etc), entretanto, no nvel de camada de enlace as mensagens re-

32

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

ferentes a roteamento so controladas por uma fila priorizada de 15 nveis. O gerente do


sistema responsvel por configurar as filas em cada dispositivo. Apesar do mecanismo
de priorizao ser vlido apenas nos roteadores, ele pode ser utilizado na garantia da qualidade de servios. Ao receber uma nova mensagem, um dispositivo pode enviar de volta
para o emissor um reconhecimento negativo (NACK) se o limite de sua fila de recepo
para prioridade daquela mensagem foi alcanada.
As principais caractersticas presentes na camada de enlace do padro ISA100.11a so
descritas na Tabela 2.3.
Tabela 2.3: Principais caractersticas presentes na camada de enlace do padro
ISA100.11a.
Caractersticas
Sub-redes
Saltos de frequncia
MAC
Slots
Slots estendido (12 ms)

Superframe
Lista negra
Sincronizao
Tipos de comunicao
Controle de fluxo
Roteamento
Pacote

2.2.3

Camada de Enlace (ISA100.11a)


Mltiplas
Slotted, lento e hbrido
TDMA + saltos de frequncia
10 ms ou 12 ms (dedicados ou compartilhados)
Recepo de mltiplas mensagens ack
Priorizao de mensagens
Comunicao entre dispositivos atrasados
em at 2 ms
Mltiplos tamanhos e alinhados a cada
250 ms
Manual
Referncia temporal estabelecida na entrada da rede. Mensagens Advertise e Ack
so usada para manuteno
Unicast, duocast e difuso
Mensagens NACK
Grafo e origem
127 bytes (carga til fornecida pela camada fsica)

Camadas de rede e transporte

A camada de rede tem como objetivo principal prover o mecanismo de roteamento no


nvel dos backbones. No nvel da camada de enlace, o roteamento limitado as sub-redes.
Por outro lado, quando uma mensagem alcana um roteador backbone, o roteamento a
partir daquele ponto de responsabilidade da camada de rede.

2.2. ISA100.11A

33

Em relao ao endereamento dos dispositivos, no nvel da camada de enlace cada


dispositivo utiliza um endereo de 16 bits, enquanto que no nvel da camada de rede o
endereamento de 128 bits (6LoWPAN). A camada de rede responsvel por traduzir
os endereos de 16 bits para os endereos de 128 bits.
Outra funcionalidade da camada de rede a fragmentao de dados. Caso uma mensagem tenha um tamanho superior a carga til da camada de enlace o dispositivo programado para fragmentar a mensagem em partes menores.
Em relao camada de transporte, as principais funes suportadas esto relacionadas com a comunicao fim-a-fim baseada em servios sem conexo. Esses servios so
uma extenso do UPD sobre o 6LoWPAN [Petersen & Carlsen 2011].

2.2.4

Camada de aplicao

A camada de aplicao definida no padro ISA100.11a estruturada na orientao


de objetos. Nesse paradigma, um dispositivo real, por exemplo uma entrada analgica,
modelado em um objeto de software. A camada de aplicao responsvel pela comunicao objeto-a-objeto definindo os modos de iterao e interoperabilidade com tecnologias legadas. A forma como a camada de aplicao foi definida permite a utilizao
de tunelamento, onde aplicaes legadas (HART, Foundation Fieldbus, Profbus) podem
acessar os dispositivos de uma rede ISA100.11a.
Outra funcionalidade importante definida na camada de aplicao est relacionada
com o envio de anormalidades na rede. Os dispositivos podem ser configurados para
enviarem alertas caso um determinado evento ocorra.
Basicamente, a camada de aplicao cria um contrato com todos os dispositivos
na rede na tentativa de fornecer escalonamento, latncia limitada e envio peridico de
mensagens. A troca de informaes pode seguir um modelo produtor/consumidor ou
cliente/servidor.

Consideraes em relao ao contexto das aplicaes industriais


O padro ISA100.11a foi projetado para prover comunicaes sem fio adaptadas aos
ambientes industriais. Desde sua origem, o padro ISA100.11a foi baseado nas exigncias dos usurios das aplicaes industriais. O padro tem como meta principal a confiabilidade, a qual alcanada utilizando-se mecanismos de redundncia temporal (mesmo
dado enviado mltiplas vezes), redundncia em frequncia (3 perfil de saltos de canais)
e redundncia estrutural (gateway pode utilizar dispositivos de backup).

34

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

Em relao ao alcance do rdio, o padro no especifica nenhuma limitao. Essa


propriedade ir depender das implementaes dos fabricantes. Obviamente a potncia da
antena deve ser limitada a algumas dezenas de mW devido os dispositivos serem alimentados com baterias.
O suporte a comunicaes duocast, implementado no padro ISA100.11a, cria um
mecanismo interessante para o aumento da confiabilidade na rede. Nessa forma de comunicao, um dispositivo envia um dado ao mesmo tempo para dois dispositivos no
mesmo slot de tempo. O emissor da mensagem tambm deve receber duas mensagens de
reconhecimento em sequncia. Entretanto, esse procedimento apenas possvel entre um
dispositivo de campo e dois roteadores backbones. Para suportar essa procedimento, o
padro ISA100.11a utiliza um slot de tempo estendido (12 ms). Esse mesmo tipo de slot
pode ser usado para criar pacotes com prioridades diferentes na rede.
Uma outra caracterstica importante adicionada no padro ISA100.11a foi o tunelamento de tecnologias legadas. Com esse mecanismo, aplicaes como HART, Foundation
Fieldbus e Profibus podem acessar os dispositivos na rede de forma transparente. Adicionalmente, uma rede ISA100.11a pode criar sub-redes na tentativa de segmentar o trfego
e garantir requisitos de tempo real mais restritos.
Similarmente ao padro WirelessHART, uma rede ISA100.11a dever ter seu desempenho prejudicado na coexistncia com trs pontos de acesso IEEE 802.11. Esse cenrio
limita o uso de apenas trs ou quatro canais de comunicao.
Um mecanismo de endereamento baseado no 6loWPAN foi adicionado no padro
ISA100.11a. Entretanto, o roteamento mais complexo, onde esse endereamento poderia
ser til, realizado na camada de enlace utilizando algoritmos (grafo e origem) semelhantes ao padro WirelessHART. O endereamento 6loWPAN utilizado na comunicao
entre roteadores backbones. Os algoritmos utilizados nessa comunicao no padronizado no ISA100.11a [IEC-62734 2012].

2.3

IEC-PAS 62601/WIA-PA

Em 2007, o Consrcio Wireless Industrial Chins (CIWA) desenvolveu um novo padro de comunicao sem fio, o WIA-PA (Redes Sem Fio para Automao Industrial e
Processos de Automao). No final de 2008 o padro WIA-PA tornou-se uma especificao publicamente disponvel pelo IEC cujo nome foi denominado IEC/PAS 62601. Em
2011 o IEC ratificou a especificao [IEC-62601 2011]2 .
2 Nessa

seo, os termos IEC/PAS 62601 e WIA-PA refere-se ao mesmo padro.

2.3. IEC-PAS 62601/WIA-PA

35

Uma rede WIA-PA tpica define cinco tipos de dispositivos conforme descrito na Figura 2.8. O dispositivo host utilizado por usurios ou operadores no acesso de alto nvel
a rede. O acesso fsico entre o dispositivo host ou outras redes de automao para a rede
WIA-PA realizado atravs do gateway. Em relao ao trfego de dados intra-rede, as
mensagens enviadas pelos dispositivos so encaminhadas em direo ao gateway atravs
dos dispositivos roteadores. Os dispositivos mais bsicos so os dispositivos de campo e
os handhelds. Os primeiros realizam o monitoramento de alguma varivel do processo
enquanto o segundo utilizado para configuraes em campo. Adicionalmente, o padro
IEC/PAS 62601 tem suporte para utilizao de gateways e roteadores redundantes. Essa
configurao pode ser utilizada para aumentar a confiabilidade da rede.

Gerente
da Rede

Host

Gateway

Gerente de
Segurana

Gateway
Redundante

Estrela
Estrela
Mesh

Roteador redundante
Roteador
Dispositivo de campo
Handheld

Estrela

Estrela

Figura 2.8: Uma tpica rede WIA-PA.


A relao entre os diferentes tipos de dispositivos suportados pela rede WIA-PA criam
dois nveis de topologia. A comunicao entre os roteadores segue uma topologia mesh,
enquanto que a comunicao entre os dispositivos de campo e roteadores segue uma topologia em estrela. Cada roteador opera de forma similar para o mestre de um cluster.
Dessa forma, uma rede WIA-PA suporta uma topologia mesh-estrela ou mesh-cluster.
Toda a comunicao na rede centralizada por duas regras definidas geralmente dentro do gateway. A primeira regra, denominada gerente de segurana, responsvel por
gerenciar todo aspecto de segurana na rede. Suas responsabilidades variam desde a
configurao de chaves de segurana para os dispositivos que esto entrando na rede at a

36

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

validao das mensagens transmitidas. Por outro lado, a regra denominada gerente da rede
considerada a parte principal da rede WIA-PA. Esta regra responsvel por controlar
todas as configuraes nos dispositivos, desde as tabelas de escalonamento at os canais
de comunicao.
Similarmente aos padres WirelessHART e ISA100.11a, a pilha de protocolos do padro WIA-PA baseado no modelo OSI. Entretanto, apenas so definidos 4 camadas
conforme descrito na Figura 2.9. Nas prximas sees sero descritos as principais caractersticas de cada camada. Devido camada fsica ser totalmente baseada no padro IEEE
802.15.4 e suas caractersticas j terem sido previamente descritas nesse documento, no
iremos descrever os detalhes dessa camada.

Camada de Aplicao

Orientada a objetos (encapsula dados e funcionalidades) suporta o


tunelamento de outros padres de comunicao

Camada de Rede

Topologia mesh e estrela-mesh roteamento redundante esttico agregao de pacotes - fragmentao

Camada de Enlace

Saltos de frequncia (3 tipos) extenso da MAC IEEE 802.15.4 (usa o


perodo inativo) canais so escolhidos de uma forma adaptativa

Camada Fsica

Rdios IEEE 802.15.4

Figura 2.9: Pilha de protocolos do padro WIA-PA.

2.3.1

Camada de enlace

A camada de enlace do padro WIA-PA foi modelada com o objetivo de fornecer comunicao segura, confivel e em tempo real. Ela baseada na camada de enlace do IEEE
802.15.4 com a extenso de algumas funcionalidades (saltos de frequncia, retransmisso,
TDMA e CSMA).
A unidade de comunicao slot de tempo. A durao de cada slot configurvel
e segue os mesmos limites do IEEE 802.15.4. Uma coleo de slots de tempo forma
a estrutura do superframe. Cada superframe repetido periodicamente com um intervalo proporcional a quantidade de slots de tempo utilizados. possvel utilizar mltiplos
superframes cuja configurao destinada ao gerente da rede. O funcionamento do superframe descrito na Figura 2.10. Perceba que o superframe definido no IEEE 802.15.4

2.3. IEC-PAS 62601/WIA-PA

37

foi inserido na Figura 2.10 apenas para mostrar que o padro WIA-PA utiliza uma verso
estendida desse superframe.

Beacon

Superframe IEEE 802.15.4


CAP

CFP

Perodo Inativo

Beacon

Superframe WIA-PA
CAP

CFP
Comunicao
Intra-Cluster Intra-Cluster

Comunicao
Inter-Cluster

Perodo
Inativo

Figura 2.10: Superframe definido no padro WIA-PA.


A camada de enlace assume que a transmisso baseada em balizamento (beacon) foi
configurada. Esse procedimento similar ao IEEE 802.15.4, inclusive para o tamanhos
dos slots de tempo (dependem do tamanho do superframe). A entrada de dispositivos na
rede, o gerenciamento intra-cluster e retransmisses ocorrem durante o CAP. Nesse intervalo, o acesso ao meio de transmisso baseado no mecanismo CSMA-CA (com conteno). Por outro lado, na parte remanescente do superframe todas as outras comunicaes
tentam acessar o meio utilizando em um mecanismo de TDMA (livre de conteno). Durante o CFP os dispositivo mveis so autorizados a se comunicarem com os lderes dos
clusters (roteadores). O perodo inativo do superframe IEEE 802.15.4 foi dividido para
suportar as comunicaes intra e inter cluster. O superframe do padro WIA-PA apresenta suporte para o perodo inativo, onde os dispositivos podem minimizar o consumo
de energia, entretanto como pode-se observar na Figura 2.10 esse perodo inferior ao
superframe IEEE 802.15.4.
Na tentativa de minimizar a influncia de interferncias (rudos) nas transmisses, o
acesso ao meio configurado com um mecanismo de saltos de frequncia. So definidos
trs padres de saltos: troca adaptativa da frequncia (AFS), salto adaptativo da frequncia (AFH) e o salto de slot de tempo (TH). O padro de saltos AFS utilizado durante a
transmisso de beacons, no perodo CAP e CFP. Nessa configurao todos os dispositivos
utilizam o mesmo canal de comunicao durante o superframe. Caso o canal utilizado
sofra interferncia (por exemplo, a taxa de perdas aumentou), os dispositivos so configurados pelo gerente da rede a utilizar outro canal. Por outro lado, o padro de saltos
de frequncia AFH utilizado pelos dispositivos durante as comunicaes intra-cluster.
Nessa configurao, os dispositivos alteram o canal de comunicao de forma irregular

38

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

em cada slot de tempo. Por fim, o padro de saltos TH utilizado nas comunicaes
inter-cluster onde um canal diferente deve ser utilizado em cada slot de tempo.
A Tabela 2.4 resume as diferentes tcnicas utilizadas no controle de acesso ao meio
do padro WIA-PA.

Tabela 2.4: Tcnicas utilizadas no controle de acesso ao meio do padro WIA-PA.


Parte do superframe
Beacon
CAP
CFP
Intra-Cluster
Inter-Cluster
Perodo-Inativo

MAC

Saltos de Frequncia

TDMA
CSMA
TDMA
TDMA
TDMA
-

AFS
AFS
AFS
AFH
TH
-

A condio necessria para que a camada de enlace funcione corretamente a sincronizao dos dispositivos. Semelhante ao padro IEEE 802.15.4, os dispositivos escutam
o meio por mensagens de balizamento (beacons). Ao receber uma dessas mensagens, o
dispositivo pode estimar a transmisso do prximo superframe. Adicionalmente, em uma
rede WIA-PA o sincronismo ocorre em dois nveis. O primeiro nvel est representado
nas comunicaes mesh entre o gateway e os roteadores. Nesse caso, o gateway considerado a referncia temporal (gerador de beacons). Por outro lado, o segundo nvel de
sincronizao est relacionado com as comunicaes entre cada roteador e os dispositivos
de campo no seu respectivo cluster. Neste caso, o roteador funciona como a referncia
temporal.
Apesar de utilizar tcnicas de sincronizao e saltos de frequncias, as comunicaes
entre os dispositivos ainda podem falhar. Nesse caso necessrio enviar mensagens de
retransmisso. O padro WIA-PA define as seguintes regras para retransmisses:

A primeira tentativa de retransmisso realizada no mesmo canal da transmisso


original;
Caso a primeira tentativa falhe deve ser utilizado um canal diferente;
Se a segunda tentativa falhou utiliza-se uma rota alternativa;
Novas tentativas devem ser continuamente executadas, ainda no CAP, at que o
limite mximo seja alcanado.

2.3. IEC-PAS 62601/WIA-PA

2.3.2

39

Camada de rede

A camada de rede definida no padro WIA-PA responsvel pelos seguintes mecanismos: endereamento, roteamento, gerenciamento do ciclo de vida dos pacotes, gerenciamento da entrada e sada de dispositivos, fragmentao e monitoramento fim-a-fim. A
configurao desses mecanismos atribuda ao gerente da rede.
Todos os dispositivos apresentam um endereamento de 64 bits no nvel fsico e um
endereo de 16 bits no nvel da camada de rede. Esses endereos so usados em todas as
comunicaes (unicast, inter/intra/global broadcast e multicast).
Em relao ao roteamento da rede, aps obter as informaes de todos os vizinhos
dos roteadores, o gerente da rede gera as tabelas de roteamento. Essas tabelas so criadas
para formar uma topologia mesh onde a interconexo dos roteadores e o gateway realizada por mltiplas rotas. Os dispositivos so configurados para enviarem periodicamente
mensagens sobre falhas nos links, nvel de energia e o estado dos seus vizinhos para o
gateway. Baseado nessas informaes, o gerente da rede pode atualizar as tabelas de
roteamentos nos dispositivos. Garantindo, assim, um roteamento com elevada resilincia.
Outra caracterstica importante realizada no nvel da camada de rede a fragmentao
dos pacotes. Caso um pacote apresente um tamanho superior a carga til da camada de
enlace, o pacote ser fragmentado em pequenas partes. Quando essas partes alcanam o
receptor, a desfragmentao realizada no nvel da camada de rede.

2.3.3

Camada de aplicao

A camada de aplicao definida no padro WIA-PA segue o paradigma de orientao a objetos. Dispositivos e servios so mapeados em objetos de softwares enquanto
que suas interconexes so administradas por mtodos j padronizados. Alm dessas caractersticas, a camada de aplicao tambm responsvel por prover o tunelamento de
tecnologias legadas, como por exemplo, HART, Profibus, Modbus e Foundation Fieldbus.
Consideraes em relao ao contexto das aplicaes industriais
WIA-PA foi aprovado em 2008 como padro chins para comunicaes sem fio em
ambientes industriais. No mesmo ano o IEC tambm aprovou o respectivo padro como
publicamente disponvel porm com outra denominao (IEC/PAS 62601).
A arquitetura do padro baseada em apenas 4 camadas do modelo OSI (fsica, enlace, rede e aplicao). A camada fsica totalmente baseada no IEEE 802.15.4, enquanto
que a camada de enlace apresenta algumas diferenas relacionadas com o superframe. No

40

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

WIA-PA o perodo inativo do superframe, diferentemente do IEEE 802.15.4, tambm


utilizado para transmisses. Com o objetivo de minimizar a influncia de interferncias
nas comunicaes, o padro define trs modos de saltos de frequncia.
Em relao camada de rede, o padro suporta dois nveis de topologia: mesh e
mesh-estrela. A topologia mesh utilizada na comunicao entre o gateway e roteadores enquanto que a topologia mesh-estrela utilizada na comunicao entre roteadores
e dispositivos de campo. O roteamento configurado pelo gerente de rede usando um
mecanismo esttico porm com redundncia.
Por fim, a camada de aplicao suporta o paradigma de orientao a objetos onde uma
abstrao de alto nvel permite a utilizao do tunelamento de aplicaes legadas.
Similarmente aos padres WirelessHART e ISA100.11a, esperado que o padro
WIA-PA tenha perda de desempenho na presenta de trs ou mais pontos de acesso IEEE
802.11. O mecanismo de coexistncia precisa ser analisado com mais detalhes.

2.4

Comparao entre os padres

Esta seo tem como objetivo descrever de forma sucinta as principais diferenas
existentes entre os padres de comunicao sem fio industriais descritos anteriormente.
Os principais pontos de discusso esto descritos na Tabela 2.5.
Tabela 2.5: Comparaes entre os principais padres de comunicao sem fio industriais.
Propriedades
Camada fsica

Camada de enlace

Camada de rede

WirelessHART

ISA100.11a

WIA-PA

IEEE 802.15.4

IEEE 802.15.4

IEEE 802.15.4

Slots de 10ms, saltos de frequncia (1


tipo), TDMA

Slots de 10-12ms,
saltos
de
frequncia (3 tipos),
TDMA/CSMA,
roteamento a nvel
da subrede (grafo e
origem)

Slots de 10ms,
saltos
de
frequncia (3 tipos),
TDMA/CSMA/FDMA

Roteamento (grafo e
origem)

Fragmentao, roteamento a nvel


de roteadores backbones (6LoWPAN)

Fragmentao, roteamento inter/intra


cluster

Continua na prxima pgina

2.4. COMPARAO ENTRE OS PADRES

41

Propriedades

WirelessHART

ISA100.11a

WIA-PA

Camada de transporte

Servios com/sem
conexo,
ACK
fim-a-fim

Servios UDP sem


conexo

Camada de aplicao

Fragmentao,
HART

Genrica orientada a
objetos

Genrica

Topologia

Mesh

Mesh

Mesh (limitada)

Escalabilidade

64 bits (fsico), 16
bits (rede)

64 bits (fsico), 16
bits (rede)

64 bits (fsico), 64
bits (rede)

Fabricantes

Emerson,
Siemens,
ABB,
Endress+Hauser,
Pepperl+Fuch,
MACTek e outros
membros HCF

Honeywell,
gawa

Mercado chins

Pontos fortes

Interoperabilidade,
roteamento
mltiplos
caminhos,
quantidade de fabricantes, melhores
prticas

Integrao com Internet, controle da


potncia do rdio,
segregao da rede

Saltos de frequncia
adaptativo e agregao de dados

Pontos fracos

Saltos de frequncia
no so adaptativos

Interoperabilidade

Uso de beacons e topologia limitada

Yoko-

Vrios aspectos como por exemplo o alcance do rdio, escalabilidade e aplicabilidade


no controle de processos devem ser analisados com extrema neutralidade devido os interesses comerciais presentes nos referidos padres. Especificamente em relao ao alcance
do rdio, esperado que todos os padres tenham resultados semelhantes haja vista o
uso da mesma camada fsica (IEEE 802.15.4). Por outro lado, apesar do padro WIA-PA
apresentar um espao de endereamento superior as suas contrapartes, na prtica todos os
equipamentos vendidos apresentam a mesma escalabilidade (100 dispositivos por gateway). O ponto de maior discusso a aplicabilidade dos padres no controle de processos.
Cada fabricante relata que apenas um determinado padro suporta esse tipo de aplicao.
Na prtica, estudos mais aprofundados ainda precisam ser realizados sobre esse tema.
Se considerarmos a confiabilidade da rede, todos os padres definem mecanismos

42

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

com o objetivo de maximizar a probabilidade em entregar uma informao ao destino


final (atuador ou o prprio gateway). O padro WIA-PA possui como vantagem a implementao de saltos de frequncia adaptativos. Nesse mecanismo, os dispositivos apenas mudam o canal de comunicao quando interferncias so detectadas. Nas tcnicas
utilizadas por suas contrapartes um dispositivo muda o canal de comunicao em cada
transmisso. Nesse caso, poder ocorrer situaes onde a utilizao de um canal bom seja
preterida por um canal ruidoso. A desvantagem do mtodo utilizado no padro WIA-PA
o custo temporal para detectar que o canal est ruidoso.
Todos os padres utilizam um controle de acesso ao meio baseado em TDMA. O
ponto crtico em utilizar uma tcnica de TDMA a sincronizao da rede. Os padres
WirelessHART e ISA100.11a adotam um mecanismo simples e eficiente (informaes
temporais so enviadas nas mensagens advertise e de reconhecimento) para tal propsito
enquanto que o padro WIA-PA utiliza mensagens de balizamento (consome mais energia). Adicionalmente, os padres ISA100.11a e o WIA-PA incorporam outras tcnicas
que maximizam banda nas operaes de entrada e descoberta da rede e nas retransmisses
de dados.
Outro ponto de grande importncia o roteamento. Os padres WirelessHART e
ISA100.11a empregam um mecanismo de mltiplos caminhos na tentativa de maximar a
confiabilidade da rede. Esse mecanismo combinado com um suporte a topologias mesh.
Dois algoritmos so utilizados, o roteamento em grafo e origem. Apesar do suporte a
topologia mesh, o padro WIA-PA apresenta algumas limitaes em relao a resilincia da rede. Mltiplos caminhos so apenas utilizados nos roteadores. A comunicao
entre os dispositivos de campo e os roteadores seguem uma topologia em cluster. Adicionalmente, o padro ISA100.11a apresenta suporte a Internet atravs do padro 6LoWPAN. Entretanto, essa funcionalidade apenas suportada na comunicao entre roteadores
backbones. Inclusive essa caracterstica adiciona um ponto adicional de falha na medida
que fragmentao exigida nos roteadores backbones. Nos padres WirelessHART e
WIA-PA a fragmentao ocorre apenas no gateway.
Entre os trs padres descritos anteriormente, apenas a HCF define melhores prticas
a serem utilizadas no projeto e construo de uma rede. Entretanto, a abordagem pode ser
estendida para os padres ISA100.11a e WIA-PA.
Por fim, no que se refere aos fabricantes de hardware, o padro WirelessHART apresenta algumas vantagens em relao a interoperabilidade principalmente por ser uma extenso do padro HART (j consolidado na indstria). O padro ISA100.11a apresenta
vrias configuraes opcionais as quais podem contribuir para problemas de interoperabilidade entre diferentes fabricantes. O padro WIA-PA est restrito apenas ao mercado

2.4. COMPARAO ENTRE OS PADRES


chins, que apesar do isolamento no pode ser desconsiderado.

43

44

CAPTULO 2. TECNOLOGIAS DE REDES INDUSTRIAIS SEM FIO

Captulo 3
Dependabilidade: Estado da Arte

Dependabilidade um tema intrinsecamente relacionado s redes industriais sem fio.


Falhas nos dispositivos ou nos canais de comunicao podem provocar a parada parcial
ou at mesmo total da planta, resultando em perdas econmicas e riscos iminentes aos
operrios.
Esse captulo tem como objetivo principal descrever os principais conceitos relacionados com anlise da dependabilidade de sistemas quando aplicadas s redes industriais
sem fio. Tcnicas de redundncia e anlises quantitativas tambm sero abordadas. O
captulo encerra com a descrio das metodologias existentes na literatura para anlise da
confiabilidade e disponibilidade de redes sem fio.

3.1
3.1.1

Principais conceitos
Falha

O primeiro conceito sobre dependabilidade a ser descrito a prpria falha (fault). A


definio de falha simples e clara, um tipo de defeito que pode conduzir a um erro.
Uma falha est ativa quando ela causa um erro, caso contrrio ela est dormente. No
contexto de redes industriais, alguns exemplos de falhas so: deteriorao fsica dos componentes de hardware, erros operacionais, decises equivocadas ainda na fase de projeto
e envelhecimento de software.
Classificao
Avizienis et al. (2004) organizaram e classificaram as falhas para trs principais grupos: falhas de projeto, falhas fsicas e falhas de operao. As falhas de projeto incluem
todas as falhas que ocorrem durante a fase de desenvolvimento dos sistemas, enquanto

46

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

que as falhas fsicas so aquelas que afetam o hardware dos equipamentos. Por fim, as
falhas de operao so todas as falhas que ocorrem durante a utilizao dos sistemas.
Para melhor compreenso dessa classificao, iremos descrever alguns exemplos. Falhas naturais so tipicamente falhas fsicas causadas por fenmenos naturais com ou sem
a participao de agentes externos (humanos). Outro exemplo de falha aquela provocada
pela ao do homem, a qual pode incluir a falha por omisso (ausncia de aes quando na
verdade aes deveriam ter sido tomadas) ou falha por comissionamento (quando aes
erradas conduzem a falhas). Outros exemplos so descritos abaixo:
Falhas maliciosas: introduzidas com o objetivo de alterar o funcionamento do sistema.
Falhas no maliciosas: introduzidas sem o objetivo malicioso.
Falhas deliberadas: ocorrem devido a ms decises.
Falhas no deliberadas: ocorrem devido a erros.
Falhas de configurao: a configurao errada dos parmetros conduzem para falhas.
No contexto desta tese, falhas so classificadas em transientes ou permanentes [Garg
& Kumar 2010]. Falhas transientes afetam os links de comunicao entre dispositivos por
um pequeno intervalo de tempo (escala em milissegundos [Willig et al. 2002]). Esse tipo
de falha provocada tipicamente por rudos ou interferncias eletromagnticas. Por outro
lado, falhas permanentes afetam diretamente os dispositivos e so causadas por problemas
de hardware. Aps uma falha permanente, um dispositivo considerado inoperante at
que uma ao de reparo seja finalizada (escala em horas [Zhu 2012]). Excepcionalmente,
falhas nos links podem ser consideradas permanentes. Esse cenrio ocorre quando obstculos/barreiras temporrias (pessoas, carros, paredes, clima adverso) inibem a comunicao entre os dispositivos por um perodo superior escala dos milissegundos [Zamalloa
& Krishnamachari 2007].

3.1.2

Defeito

O prximo conceito a ser descrito sobre anlise da dependabilidade o defeito (failure). A manifestao de eventos que ocorre quando o sistema desvia do servio correto
chamado defeito. Em outras palavras, defeitos ocorrem quando erros so propagados
dentro do sistema.
Um ponto de grande importncia a identificao das possveis causas dos defeitos.
Isso pode ser realizado mais facilmente baseado na caracterizao/classificao dos di-

3.1. PRINCIPAIS CONCEITOS

47

versos tipos de defeitos. Avizienis et al. (2004) caracteriza os defeitos em quatro pontos
de vistas: domnio, detectabilidade, consistncia e consequncias.
No primeiro ponto de vista, o domnio dos defeitos so classificados em trs classes
principais:

Defeitos de contedo: a natureza da informao (numrica ou no numrica) transmitida desvia da especificao correta.
Defeitos temporais: a durao do servio desvia da implementao correta (muito
rpido ou muito lento).
Defeitos de contedo e temporais: nenhum servio entregue ou caso o servio
seja entregue ele desvia da sua implementao correta.

Outro ponto de vista importante descrito por Avizienis et al. (2004) a detectabilidade dos defeitos. Esse conceito refere-se capacidade do defeito ser sinalizado para os
usurios. Nesse contexto, dois principais problemas precisam ser observados. O primeiro
refere-se aos falsos alarmes, o qual se caracteriza pela sinalizao dos defeitos quando na
prtica eles no ocorreram. O segundo ainda mais crtico e refere-se a no sinalizao
dos defeitos quando eles realmente ocorrem. Ambos problemas conduzem o sistema para
um estado de degradao, onde apenas algumas funcionalidades so operacionais.
A consistncia dos defeitos um ponto de vista que apresenta um significado muito
prximo com a detectabilidade dos defeitos. Esse conceito est relacionado com a capacidade de observao dos usurios em relao aos defeitos. Quando um servio incorreto
percebido por todos os usurios do sistema, o defeito chamado consistente. Por outro
lado, quando apenas alguns usurios percebem que um defeito ocorreu, este chamado
de inconsistente.
Finalmente, o ltimo ponto de vista proposto por Avizienis et al. (2004) a consequncia dos defeitos. Esse conceito caracteriza a severidade que um defeito pode causar.
Quando as consequncias so comparadas com os benefcios fornecidos pelo funcionamento correto do sistema, os defeitos so chamados de benignos, caso contrrio eles so
chamados de catastrficos.
Na metodologia proposta nesta tese, assumi-se os defeitos de contedo e temporais.
Adicionalmente, todos os defeitos so sinalizados e observados para/pelos usurios. Em
relao severidade dos defeitos, dependendo do cenrio a ser avaliado, ambos os defeitos
benignos e catastrficos so suportados pela proposta apresentada aqui.

48

3.1.3

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

Erros

Erro um conceito bsico em anlise da dependabilidade, o qual caracteriza um estado


incorreto de parte do sistema. Erros podem causar defeitos, enquanto que as causas dos
erros so as falhas. Os defeitos surgem quando os erros so propagados no sistema. Note
que a parte do sistema que contm erros pode nunca ser usada, dessa forma o defeito
poder nunca ocorrer. A relao completa entre falhas, erros e defeitos descrita na
Figura 3.1.

.........

Falha

Ativao

Erro

Propagao

Defeito

Causa

Falha

.....

Figura 3.1: Relao entre falhas, erros e defeitos.


Para melhor compreender o conceito sobre erro e suas relaes com a falha e defeito,
permita-nos descrever o seguinte cenrio. Suponha que um determinado dispositivo (sem
fio) transmite um pacote para um controlador. No instante da transmisso, um rudo eletromagntico ocorreu (falha), modificando alguns bits do pacote. Devido mudana dos
bits (erro), o pacote no foi aceito/recebido no controlador. Consequentemente, o algoritmo de controle no foi capaz, por exemplo, de enviar o sinal correto para o desbloqueio
de uma vlvula (defeito).
Em relao classificao, os erros so caracterizados conforme sua detectabilidade.
Um erro detectvel quando sua evidncia indicada atravs de um comportamento
peculiar do sistema ou atravs de mensagens/alarmes. Por outro lado, quando os erros
so presentes porm no detectveis, sua denominao erros latentes. No contexto desta
tese, todos os erros so considerados detectveis.

3.1.4

Dependabilidade

Dependabilidade um conceito muito interessante que discutido amplamente na literatura [Avizienis & Laprie 1986, Laprie 1995, Avizienis et al. 2004, Petre et al. 2011].
Existem diversas definies para o termo dependabilidade. Na definio original [Avizienis
& Laprie 1986], dependabilidade a capacidade de entregar servios que podem ser justificadamente confiveis. Em outra definio [Petre et al. 2011], o termo dependabilidade
usado para descrever que um sistema pode ser confivel sob determinadas condies operacionais por um perodo de tempo especfico. A definio de dependabilidade assumida
nesta tese, considerando que todo sistema pode falhar, a habilidade de um sistema evitar
falhas nos servios mais crticos [Avizienis et al. 2004]. Essa definio coerente com o

3.1. PRINCIPAIS CONCEITOS

49

contexto das redes industriais sem fio, onde falhas nos servios crticos podem ocasionar
consequncias catastrficas.
Dependabilidade pode ser tambm caracterizada por um conceito integrado combinando os seguintes atributos:
Confiabilidade: exprime a ideia de continuidade do servio correto. Em outras
palavras, a probabilidade de um defeito no ocorrer em um determinado perodo de
tempo.
Integridade: o servio no pode ser modificado sem autorizao.
Manutenabilidade: capacidade de ser reparado ou sofrer manuteno.
Disponibilidade: habilidade em fornecer o servio correto quando solicitado. Em
outras palavras, a probabilidade do sistema estar operacional quando solicitado.
Segurana: ausncia de consequncias catastrficas para os usurios do sistema.
Na prtica, esses atributos devem ser quantificados para que se possa avaliar o quo
confivel um determinado sistema. A importncia de cada um desses atributos subjetiva e depende do contexto da aplicao que est sendo avaliada. Por exemplo, para
o contexto das redes industrias sem fio essencial uma alta disponibilidade (as aplicaes devem estar operacionais o maior tempo possvel) e confiabilidade (defeitos devem
ser evitados nos servios crticos). Todos esses atributos sero descritos formalmente na
seo 3.3.
Meios para obteno da dependabilidade
Em relao aos meios para obteno da dependabilidade, Avizienis et al. (2004) categorizou quatro grupos principais: preveno de falhas, tolerncia a falhas, remoo de
falhas e previso de falhas.
Preveno de falhas um conceito largamente utilizado na engenharia para descrever a capacidade em prevenir a ocorrncia ou insero de falhas. A preveno de falhas
pode ser utilizada durante as fases de especificao (evitar especificaes incompletas ou
ambguas), desenvolvimento (escolha correta de metodologias e processos), fabricao
(verificao da qualidade dos componentes) e operao (treinamento dos usurios) dos
sistemas. Esta tcnica no consegue evitar completamente os riscos das falhas. Apesar da evoluo nas tcnicas/metodologias para preveno de falhas, na prtica quase
impossvel garantir que um sistema no possua falhas [Portugal 2004].
Continuando com a descrio dos meio para obteno da dependabilidade, a seguir
iremos definir um dos principais conceitos, tolerncia a falhas. Este conceito definido

50

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

como a capacidade de evitar defeitos na presena de falhas. Para alcanar seu objetivo,
a tolerncia a falhas utiliza duas tcnicas: deteco de erros e a recuperao do sistema.
A primeira tcnica permite a deteco de um estado errado do sistema e ainda pode ser
utilizada de uma maneira concorrente (durante a entrega normal do servio) ou de uma
maneira preemptiva (enquanto o servio est suspenso). Por outro lado, o mecanismo
de recuperao se baseia na eliminao dos erros (manipulao dos erros) e na preveno que falhas sejam ativadas novamente (manipulao de falhas). A eliminao dos
erros composta de trs partes principais: retrocesso (retorno para um estado seguro do
sistema), avano (deslocamento para um novo estado confivel) e compensao (uso de
redundncia para mascarar o erro). O uso de compensao ou redundncia um meio
bastante eficiente para fornecer tolerncia a falhas aos sistemas [Johnson 1988]. Por outro lado, a tcnica de manipulao de falhas caracterizada por quatro funcionalidades:
identificao e localizao dos erros (diagnstico), excluso dos componentes falhados
(isolamento), reatribuies de tarefas (reconfigurao) e reinicializao. Uma viso geral
sobre os principais meios para obteno de tolerncia a falhas descrita na Figura 3.2.
Retrocesso
Manipulao de erros

Concorrente

Avano
Compensao

Deteco de
Erros

Tolerncia a
Falhas

Recuperao
Diagnstico
Isolamento

Preemptiva

Manipulao de falhas

Reconfigurao
Reinicializao

Figura 3.2: Meios para obter tolerncia a falhas.


O prximo conceito a ser definido o de remoo de falhas. Esta tcnica procura
alcanar a dependabilidade pela reduo no nmero de falhas durante as fases de desenvolvimento e operao do sistema. Na fase de desenvolvimento, a remoo de falhas
garantida atravs de trs procedimentos: verificao (checagem sempre que o sistema
anuncia uma nova funcionalidade), diagnstico (identificar e localizar falhas) e correo.
Em contrapartida, durante a fase de operao, a remoo de falhas garantida atravs da
manuteno dos componentes. Existem dois tipos de manuteno: a corretiva e a preemptiva. Na primeira tcnica, falhas que tenham produzido um ou mais erros so removidas,
enquanto que na manuteno preemptiva falhas so removidas, ainda durante o servio
correto do sistema, antes que elas possam causar erros.

3.2. REDUNDNCIA

51

Por fim, a previso de falhas a ferramenta utilizada pela dependabilidade para estimar o nmero e as consequncias das falhas no sistema. A referida tcnica executa uma
avaliao do comportamento do sistema em relao a ocorrncia ou ativao de falhas. A
avaliao pode ocorrer de uma maneira qualitativa ou quantitativa. No primeiro mtodo,
as falhas so identificadas e classificadas baseadas nos defeitos que elas podem ocasionar enquanto que no mtodo quantitativo medidas (atributos) sobre a dependabilidade do
sistema so realizadas.
A Tabela 3.1 sintetiza as definies sobre os principais conceitos relacionados com
tolerncia a falhas descritos anteriormente.
Tabela 3.1: Conceitos bsicos sobre tolerncia a falhas.
Conceito
Definio
Principais atributos e classificao
Dependabilidade Capacidade do sistema
em evitar falhas nos servios crticos
Falha
Qualquer tipo de defeito que pode conduzir
a um erro
Defeito
A manifestao do erro
Erro

3.2

Estado incorreto do sistema

Principais conceitos: falha, defeito


e erro
Projeto, fsicas e operao

Domnio, detectabilidade, consistncia e consequncia


Detectvel e latente

Redundncia

Esta seo tem como objetivo descrever os conceitos fundamentais que so utilizados
na implementao de sistemas tolerantes a falhas. Basicamente, tcnicas de redundncia
so adotadas para garantir os requisitos desses sistemas.
Os meios para obteno de sistemas tolerantes a falhas so baseados em cinco tcnicas [Johnson 1988]: mascaramento, conteno, deteco, localizao e recuperao.
O mascaramento tem como objetivo ocultar a ocorrncia das falhas no sistema. A detectabilidade da falha no realmente necessria antes que a mesma possa ser tolerada.
Entretanto, a falha precisar ser mantida sob controle. Por outro lado, a conteno responsvel por prevenir que as consequncias das falhas no se propaguem para todo o
sistema. A deteco, localizao e recuperao das falhas so tcnicas adotadas quando
as duas tcnicas anteriores no so utilizadas.

52

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

Todas as tcnicas descritas no paragrafo anterior utilizam algum tipo de redundncia


para garantir requisitos tolerantes a falhas. Redundncia obtm tais requisitos na medida que adiciona informaes e recursos alm do necessrio para conduzir o sistema a
sua condio operacional. A seguir, os principais tipos de redundncia sero descritos
(hardware, informao, temporal e software).

3.2.1

Redundncia de Hardware

Redundncia de hardware um dos procedimentos mais comuns para obteno de


redundncia nos sistemas. Apesar dos benefcios inerentes adoo da redundncia,
importante avaliar o impacto da replicao de hardware no desempenho, tamanho, peso
e consumo de energia do sistema. Nesse contexto, as propriedades de tolerncia a falhas
mencionadas anteriormente (mascaramento, deteco, localizao e recuperao) so usadas para classificar a redundncia de hardware em trs grupos [Johnson 1988]: passiva,
ativa e hbrida.

Redundncia passiva
Um sistema configurado com redundncia de hardware passiva no gera erros na sada
em caso de falhas. Entretanto, o sistema poder ser reinicializado para evitar a ocorrncia
de erros. Duas tcnicas se destacam: redundncia modular tripla (TMR1 ) e a redundncia
modular mltipla (NMR2 ).
a) Redundncia modular tripla
A tcnica mais comum de redundncia passiva de hardware a TMR. A ideia bsica
triplicar o hardware onde os mdulos executaro o mesmo procedimento. A sada de
cada mdulo processada por uma tcnica de votao que ir escolher a sada do sistema.
Se um dos mdulos falhar, os dois outros restantes podero mascarar o mdulo defeituoso
utilizando o esquema de votao majoritrio. Caso dois mdulos falhem, a partir daquele
momento o sistema no ter garantias para fornecer os requisitos tolerantes a falhas. A
Figura 3.3 sintetiza a tcnica da redundncia modular tripla.
O ponto fraco da tcnica TMR o mecanismo de votao. Em caso de falha deste
mecanismo o sistema ficar comprometido. Sendo assim, a confiabilidade mxima do
sistema determinada pela confiabilidade mxima do mecanismo de votao. Adicionalmente, o esquema de votao pode ser replicado para garantir requisitos mais robustos. A
1 Adotamos
2 Adotamos

a sigla correspondente a definio original (Triple Modular Redundancy - TMR)


a sigla correspondente a definio original (N-Modular Redundancy - NMR)

3.2. REDUNDNCIA

53

Entrada 1

Mdulo 1

Entrada 2

Mdulo 2

Entrada 3

Mdulo 3

Sada

Votao

Figura 3.3: Redundncia modular tripla (TMR).


Figura 3.4 descreve um procedimento semelhante, onde o sistema suporta at duas falhas
no mecanismo de votao.

Entrada 1

Mdulo 1

Votao

Sada

Entrada 2

Mdulo 2

Votao

Sada

Entrada 3

Mdulo 3

Votao

Sada

Figura 3.4: Redundncia modular tripla com mecanismo de votao triplicado.


b) Redundncia modular mltipla
A redundncia NMR a generalizao da tcnica TMR. A ideia bsica a mesma
da tcnica anterior, a diferena est na quantidade de mdulos utilizados. Consequentemente, a redundncia NMR suporta uma maior quantidade de mdulos com falhas. Por
exemplo, a tcnica TMR permite que apenas um mdulo falhe enquanto que um 5MR
suporta at dois mdulos com falhas. Em geral, devido ao mecanismo majoritrio de
votao, o nmero de mdulos suportados pela redundncia NMR deve ser mpar.
Algumas consideraes precisam ser analisadas ao se utilizar a redundncia NMR.
O primeiro ponto est relacionado com o custo a ser pago pelos benefcios da tolerncia
a falhas. Os requisitos das aplicaes devem se adequar ao custo, peso e consumo de
energia dos componentes do sistema. Outro fator a ser analisado a escolha de como
ser implementado o mecanismo de votao. Existem duas possibilidades: hardware e

54

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

software. A vantagem do hardware o pequeno atraso entre o processamento das entradas


e sadas. Por outro lado, o hardware adicional poder aumentar o consumo de energia,
peso e tamanho do sistema. O mecanismo de votao por software no necessita de
componentes adicionais porm apresenta um gargalo temporal quando comparado com a
sua contraparte.
Redundncia ativa
A redundncia de hardware ativa alcana tolerncia a falhas utilizando as tcnicas de
deteco, localizao e recuperao de falhas. O objetivo deste mtodo de redundncia
prover a continuidade do servio em caso de falha. Adicionalmente, tolerado sadas
errneas e paradas muito breves (reconfigurao) do sistema. Duas tcnicas se destacam:
duplicao com comparao e a utilizao de mdulos reservas.
a) Duplicao com comparao
Duplicao com comparao uma das tcnicas mais simples de redundncia de hardware ativa. A ideia bsica utilizar a deteco de falhas. Dois mdulos em paralelo
executam a mesma tarefa. O resultado de cada mdulo comparado e em caso de diferena um sinal de erro gerado. A tcnica pode apenas detectar o erro, pois no
possvel identificar o mdulo com falha. A Figura 3.5 descreve a respectiva tcnica de
redundncia.

Sada

Mdulo 1
Entrada

Comparador

Erro (Sim/No)

Mdulo 2

Figura 3.5: Tcnica de redundncia de hardware ativa baseada em duplicao com comparao.
A desvantagem da duplicao com comparao est na vulnerabilidade de falhas na
entrada e no comparador. Se a entrada de dados falhar, ambos os mdulos iro produzir os
mesmos erros. Em relao ao comparador, falhas podem ocasionar a indicao de falsos
positivos ou, no pior caso, no indicar a ocorrncia de erros.

3.2. REDUNDNCIA

55

b) Mdulos reservas
O fornecimento de dispositivos reservas/sobressalentes talvez a ideia mais natural
sobre redundncia. Um mdulo mantido operacional, enquanto que os mdulos reservas ficam aguardando serem utilizados. Quando o mdulo operacional falha, o mdulo
reserva entra em operao. As tcnicas de deteco e localizao de falhas so fundamentais para execuo desse procedimento conforme descritos na Figura 3.6.

Deteco de erro
Entrada

Mdulo 2
Deteco de erro
Mdulo N

Dispositivo operacional
(localizador) Mux N/1

Mdulo 1

Sada

Deteco de erro

Figura 3.6: Tcnica de redundncia de hardware ativa baseada em mdulos reservas.


Existem dois modelos clssicos que adotam a redundncia baseada em mdulos reservas. O primeiro modelo chamado popularmente de modelo quente ou modelo
alimentado (hot standby). Os mdulos reservas esto sincronizados com o mdulo operacional. Em caso de falha a troca entre os mdulos mnima. O segundo modelo
chamado de modelo frio ou no alimentado (cold stdandby). Nesse caso, os dispositivos reservas so mantidos desligados e apenas so ligados aps uma falha ter ocorrido
com o mdulo operacional. Obviamente, o consumo de energia total do sistema ser menor com o modelo no alimentado, porm o tempo para a troca de contexto ser muito
maior.
Redundncia hbrida
O conceito fundamental presente na redundncia hbrida a combinao das qualidades inerentes s tcnicas de redundncia ativa e passiva. O objetivo prover um sistema
com alto grau de tolerncia a falhas. A ideia utilizar mascaramento para prevenir o sistema de sadas errneas e utilizar as tcnicas de deteco, localizao e recuperao para
reconfigurar o sistema na presena de falhas [Johnson 1988]. Nesse contexto destaca-se

56

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

a tcnica modular mltipla com reservas.


a) Redundncia modular mltipla com reservas
A tcnica de redundncia hbrida mais comum a baseada no conceito modular mltipla com reservas. A ideia base fornecer um ncleo simples composto por mltiplos
mdulos em um sistema de votao majoritrio (redundncia passiva), enquanto que mdulos reservas so utilizados para substituir os mdulos falhados (redundncia ativa). A
Figura 3.7 descreve a referida tcnica. Perceba que o sistema permanece no ncleo NRM
at a ocorrncia de uma falha. Um detector de falhas utilizado para identificar qual mdulo falhou e proceder com a substituio por um mdulo reserva. A deteco de falha
baseada na comparao majoritria entre a sada do mecanismo de votao e a sada dos
mdulos.
Deteco de falhas

Mdulo 1
Mdulo 2
Mdulo 3
Reserva 1
Reserva 2
Reserva 3

Chaveamento (operacional reserva)

...

Votao

Sada

Figura 3.7: Tcnica de redundncia de hardware hbrida modular mltipla com reservas.
A vantagem desta tcnica a sua melhor eficincia em relao ao nmero de mdulos
e a quantidade de falhas toleradas. Por exemplo, a tcnica TMR suporta trs mdulos e
tolera apenas uma falha. Por outro lado, a tcnica modular mltipla com reservas pode
tolerar duas falhas usando apenas trs mdulos e um reserva. Para tolerar duas falhas uma
tcnica de redundncia passiva necessita pelo menos cinco mdulos (5MR). A vantagem
da tcnica hbrida mantida at que todos os mdulos reservas tenham sido utilizados.
Sumrio sobre as tcnicas de redundncia de hardware
A adoo das tcnicas de redundncia de hardware esto diretamente relacionadas
com os requisitos das aplicaes. As tcnicas ativas geralmente utilizam menos hard-

3.2. REDUNDNCIA

57

ware, entretanto elas apresentam a desvantagem de fornecerem momentaneamente erros


na sada do sistema. Por outro lado, as tcnicas passivas podem fornecer mascaramento
de falhas com o custo do hardware adicional. Finalmente, as tcnicas hbridas fornecem
os benefcios do mascaramento, deteco, localizao e recuperao de falhas. Entretanto
necessrio hardware adicional para o mecanismo de votao e mdulos reservas.

3.2.2

Redundncia de Software e Informao

A adio de informaes sobressalentes para os dados do sistema chamada redundncia de informao. Duas tcnicas so utilizadas para a obteno desse tipo de redundncia: deteco e correo de cdigos de erros. Exemplos incluem os cdigos de
paridade, m/n, duplicao, checksums, cclicos, aritmticos, berger, paridade horizontal e
vertical e hamming. Atravs destas tcnicas o sistema pode fornecer deteco e mascaramento de falhas.
Outro mtodo para garantir sistemas resilientes a redundncia de software. Est tcnica reduz a quantidade de hardware necessria para o fornecimento de redundncia. Na
prtica no necessrio replicar o software para garantir redundncia. Geralmente as tcnicas incluem verificar se o sistema apresenta uma determinada capacidade ou comparar
sadas de diferentes funes de uma mesma especificao.

3.2.3

Redundncia Temporal

Realizando uma comparao do ponto de vista econmico, as tcnicas de redundncia


de hardware e informao apresentam um ncleo bastante custoso, haja vista a necessidade de componentes adicionais. Nesse sentido, a redundncia temporal surge como um
fornecedor de tolerncia a falhas exigindo um mnimo de hardware adicional. A ideia
bsica nesse enfoque repetir o processamento dos dados tal que as falhas possam ser
detectadas conforme descrito na Figura 3.8.
Tempo

T0

Entrada

Processamento

Armazenamento
do resultado

T0 +

Entrada

Processamento

Armazenamento
do resultado

T0 + n

Entrada

Processamento

Armazenamento
do resultado

Comparao

Figura 3.8: Princpio bsico sobre redundncia temporal.

Sinal de
Erro

58

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

A redundncia temporal classificada baseada no tipo de falha (transiente ou permanente) que causou o erro. Aps um erro ser detectado pela primeira vez, outras tentativas para executar as entradas so realizadas. Se o erro no permanece, a falha que
causou aquele erro do tipo transiente. Caso contrrio, a falha classificada como permanente. Segundo Kirrmann (1987), 90% dos erros so causados por falhas transientes. No
contexto das redes industriais sem fio, falhas transientes ocorrem tipicamente nos canais
de comunicao apresentando a durao de algumas centenas de milissegundos [Willig
et al. 2002]. Todavia, as falhas permanentes apresentam uma importncia notria, haja
vista a criticalidade das aplicaes industriais. Inclusive, falhas nos canais de comunicao podem tambm serem consideradas falhas permanentes dependendo de suas duraes.

3.3

Medidas fundamentais

Um dos principais meios para alcanar a dependabilidade dos sistemas atravs da


tolerncia a falhas. Como descrito na Seo 3.1.4, diversos atributos caracterizam o termo
dependabilidade. Sem perda de generalidade, a dependabilidade dos sistemas podem ser
avaliadas baseadas em duas medidas fundamentais [J. Muppala 2000]: confiabilidade e
a disponibilidade. A confiabilidade uma medida cuja relevncia est direcionada para
os sistemas com alta sensibilidade em caso de defeitos, ou seja, sistemas cujo os servios
no podem ser interrompidos (sistemas orientados misso, por exemplo). Exemplos
desses sistemas incluem controladores de avies, misses espaciais, sistemas intrusivos
(marcapasso, corao artificial), sistemas balsticos e proteo de reatores nucleares. Por
outro lado, quando sistemas apresentam tolerncia a pequenas interrupes, a medida de
disponibilidade mais indicada para avaliar a dependabilidade. Processos industriais e
de telecomunicaes incluem-se nesses sistemas [Portugal 2004]. A seguir, as medidas
confiabilidade e disponibilidade sero descritas formalmente.

3.3.1

Modelos para taxas de defeitos

Devido sua relao intrnseca com as medidas confiabilidade e disponibilidade, os


modelos para taxas de defeitos sero os primeiros a serem descritos aqui. Vamos assumir
um sistema composto por N dispositivos, os quais se encontram operacionais no instante
t = 0. Falhas ocorrem medida que os dispositivos so utilizados ao longo do tempo.
O nmero de dispositivos operacionais em um instante de tempo t definido pela funo n(t). Baseando-se neste cenrio, vamos definir o primeiro conceito: a densidade de
defeitos f (t).

3.3. MEDIDAS FUNDAMENTAIS

59

A densidade de defeitos expressa a taxa global da ocorrncia de defeitos. Como descrito na equao 3.1, f (t) definida em um intervalo de tempo t e representa a relao
entre o nmero de defeitos ocorridos naquele intervalo de tempo (considerando o nmero
total de dispositivos do sistema) dividido pelo intervalo de tempo transcorrido.

f (t) =

n(t) n(t + t)
Nt

(3.1)

De maneira anloga, se estamos interessados em calcular a percentagem de defeitos


ocorridos at o instante t, ento estaremos calculando a funo de distribuio acumulativa
dos defeitos F(t). Sendo assim, de acordo com sua definio, F(t) dada por:

F(t) =

Z u

f (u) du

(3.2)

A relao simtrica de F(t), a qual representa a porcentagem de dispositivos operacionais no instante t, pode tambm ser facilmente encontrada, cujo valor dado por:

1 F(t) =

n(t)
N

(3.3)

Outra definio bastante importante a taxa de defeitos z(t) (tambm conhecida como
hazard rate). z(t) corresponde taxa instantnea em que os defeitos ocorrem. Como descrito na equao 3.4, z(t) corresponde ao nmero de defeitos ocorridos em um intervalo t
(considerando a quantidade de dispositivos operacionais no inicio do intervalo) dividido
pelo tamanho do intervalo de tempo.

z(t) =

n(t) n(t + t)
n(t)t

(3.4)

As funes f (t) e z(t) podem ser utilizadas para caracterizar a ocorrncia de defeitos
nos componentes do sistema. Durante o perodo inicial (aps a fabricao ou incio do
sistema) defeitos nos componentes podem ser observados principalmente devido a erros
de fabricao ou utilizao incorreta. Nesse perodo esperado que as funes f (t) e z(t)
decresam com o tempo. Aps a fase inicial, o sistema passa por um perodo (vida til)
onde poucos defeitos ocorrem. Assim, z(t) apresenta um comportamento quase constante
enquanto que f (t) diminui lentamente semelhante a uma funo exponencial [Shooman

60

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

f(t)

Tempo
z(t)

Perodo
inicial

Defeitos aleatrios
(vida til)

T1

Desgate

T2

Tempo

Figura 3.9: Relao entre a densidade de defeitos f (t) e a taxa de defeitos z(t).

2002]. Nesse perodo os defeitos esto relacionados com as condies ambientes em


que o sistema est inserido. Finalmente, quando a utilizao do sistema ultrapassar a
vida til, observa-se um aumento natural da taxa de defeitos z(t). Esse comportamento
provoca uma aumento imediato, porm curto, na densidade de defeitos f (t). Um resumo
da relao entre f (t) e z(t) descrito na Figura 3.9. Devido ao comportamento descrito
por z(t), esta funo tambm conhecido como curva da banheira.
A taxa de defeitos z(t) descrita na Figura 3.9 apresenta uma aproximao razovel
para o comportamento dos defeitos. Entretanto, esse comportamento no pode ser generalizado. Por exemplo, para os componentes eletrnicos, z(t) apresenta um comportamento constante, enquanto que para os componentes mecnicos z(t) estritamente crescente [Shooman 2002]. Na prtica devido dificuldade em encontrar os valores reais
correspondentes s ocorrncias dos defeitos, z(t) mapeado em modelos analticos. Tais
modelos seguem distribuies de probabilidades que so escolhidas e configuradas de
acordo com o comportamento observado dos sistemas. As distribuies Exponencial (z(t)
constante) e Weibull (z(t) apresenta comportamento similar ao da Figura 3.9) so bastante
utilizadas nesses modelos. Adicionalmente, a configurao das distribuies estatsticas
utilizadas nos modelos insere um item a mais de dificuldade na modelagem, pois os parmetros a serem utilizados devem ser os mais fieis possvel ao modelo real. Entretanto, na
prtica seria necessrio observar comportamentos dos defeitos em sistemas semelhantes
para a obteno de parmetros mais fidedignos. Uma alternativa obter os parmetros

3.3. MEDIDAS FUNDAMENTAIS

61

em bases de dados j compiladas por vrias organizaes, como por exemplo o Military
Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F) (1991).

3.3.2

Confiabilidade

Conceitualmente, confiabilidade definida como a probabilidade de um defeito do


sistema no ter ocorrido no intervalo [0,t[. Este conceito foi descrito inicialmente na
equao 3.3. Nesta seo iremos definir formalmente o conceito confiabilidade de forma
similar ao descrito em [Shooman 1990]. A ideia descrever confiabilidade em funo da
taxa de defeitos z(t).
Sem perda de generalidade vamos assumir que o sistema apresenta dois estados (conforme descrito na Figura 3.10): operacional e o defeituoso. A transio do estado operacional para o defeituoso vinculada funo z(t). Vamos assumir tambm a varivel
aleatria T como sendo o tempo at o sistema entrar para o estado defeituoso. F(t) e
f (t) so respectivamente a funo de distribuio acumulativa (equao 3.5) e a funo
de densidade de probabilidade (equao 3.6) de T , ou seja:

z(t)
Operacional

Defeituoso

Figura 3.10: Estados do sistema na viso da confiabilidade.

F(t) = P(T t)
d
f (t) = F(t)
dt

(3.5)
(3.6)

De acordo com a teoria de processos estocsticos [Papoulis & Pillai 2002], a probabilidade de um evento (defeito) ocorrer no intervalo [t,t + t] dado por:

P(t < T t + t) = F(t + t) F(t)

(3.7)

Estendendo essa definio para a probabilidade condicional, podemos calcular a probabilidade de ocorrer um defeito no intervalo t + t, sabendo-se que o sistema estava opera-

62

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

cional no instante t, pela seguinte relao:

P(t < T t + t | t < T ) =

P(t < T t + t) F(t + t) F(t)


=
P(T > t)
1 F(t)

(3.8)

Dividindo ambos os lados da equao 3.8 por t e calculando o limite t 0, pode-se


obter a seguinte concluso: a probabilidade de ocorrer um defeito no intervalo t + t,
sabendo que o sistema estava operacional no instante t, similar relao da densidade
de probabilidade do defeito pela confiabilidade do sistema (equao 3.9).

F(t + t) F(t)
1

t0
t
1 F(t)
d
1
=
F(t)
dt
1 F(t)
f (t)
=
1 F(t)

P(t < T t + t | t < T )


=
t0
t
lim

lim

(3.9)

Atravs de algumas manipulaes matemticas (considerando-se as equaes 3.1, 3.3 e


3.4) possvel relacionar a funo z(t) com a equao 3.9. O procedimento descrito na
equao 3.10.

n(t) n(t + t)
t0
n(t)t
n(t) n(t + t) 1
= lim

t0
t
n(t)
1
= N f (t)
n(t)
f (t)
=
1 F(t)

z(t) =

lim

(3.10)

Assim, temos condies de definir formalmente o conceito confiabilidade. Baseado


na definio do inicio desta seo, a confiabilidade R(t) de um sistema pode ser descrita
como o complemento da funo de probabilidade acumulativa dos defeitos.

R(t) = P(T > t) = 1 F(t)

(3.11)

Realizando algumas manipulaes algbricas nas equaes 3.6 e 3.10 podemos encontrar

3.3. MEDIDAS FUNDAMENTAIS

63

a definio formal de confiabilidade. O procedimento descrito a seguir.

d
d
F(t) = (1 R(t)) = R0 (t)
dt
dt
f (t)
R0 (t)
d
z(t) =
=
= ln R(t)
1 F(t)
R(t)
dt

f (t) =

(3.12)
(3.13)

Finalmente, encontramos R(t) calculando a integral em ambos os lados da equao 3.13


e elevando a constante matemtica neperiana (e) ao resultado. A equao 3.14 comprova
a intrnseca relao entre a taxa de defeitos e a confiabilidade do sistema.

Z t
0

z(u)du = ln R(t)
 Zt

R(t) = exp z(u) du

(3.14)

Medidas de valores mdios


Uma outra forma de avaliar a confiabilidade do sistema atravs dos valores mdios/esperados (E(t)) das distribuies de defeitos. Em geral, o tempo mdio de funcionamento at a ocorrncia de um defeito (MTTF) a medida mais utilizada [Shooman 1990].
Baseado na teoria de probabilidade [Papoulis & Pillai 2002] e na equao 3.12 podemos
definir o MTTF atravs da seguinte relao:

MT T F = E(t) =

t f (t) dt

=
=

Z
d

Z0

dt

R(t) dt

t dR(t)
Z

= tR(t) +
0

R(t)dt

R(t)dt

(3.15)

Exemplos de confiabilidade para algumas taxas de defeitos


Nessa seo as funes z(t), f (t), F(t), R(t) e MTTF sero descritas para as taxas
de defeitos mais tpicas (constante, crescente e Weibull). A Tabela 3.2 sumariza essas

64

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

funes, entretanto alguns detalhes precisam ser descritos. Na taxa de defeitos constante
o parmetro do modelo , que nesse caso representa o nmero de defeitos por unidade
de tempo. Em relao taxa de defeitos com comportamento linearmente crescente, o
parmetro do modelo K, o qual representa a amplitude das curvas. Percebe-se que estes
dois modelos anteriores so casos particulares do modelo Weibull (m = 0 corresponde
ao modelo com taxas constante enquanto que m = 1 ao modelo com taxas linearmente
crescente). O parmetro m conhecido como fator de aspecto devido influenciar no comportamento da curva. Adicionalmente, para o clculo
Z do MTTF no modelo Weibull
necessrio a utilizao da funo gamma ((x) =
et t x1 dt).
0

Tabela 3.2: Medidas de confiabilidade para taxas de defeitos tpicas.


Taxa de defeitos

Funes

3.3.3

Constante

Crescente

Weibull

z(t)
f (t)
F(t)
R(t)

et
1 et
et

Kt m
Kt m eKt /(m+1)
m+1
1 eKt /(m+1)
m+1
eKt /(m+1)

MTTF

Kt
2
KteKt /2
2
1 eKt /2
Kt 2 /2
eq

Distribuio

Exponencial

Rayleigh

Weibull

2K

m+1

[(m+2)/(m+1)]
[K/(m+1)]1/(m+1)

Disponibilidade

Conceitualmente, disponibilidade definida como a probabilidade do sistema estar


operacional no instante de tempo t. Similar definio da confiabilidade, vamos assumir que o sistema apresenta dois estados (conforme descrito na Figura 3.11): operacional
e o defeituoso. A transio do estado operacional para o defeituoso vinculado taxa
de defeitos z(t). Nesse novo modelo, aps a ocorrncia de um defeito o sistema poder
ser reparado (manuteno). A transio do estado defeituoso para o operacional vinculado taxa de reparao (t)3 . Se (t) zero (sistema no reparvel), ento o conceito
disponibilidade iguala-se definio de confiabilidade.
De forma geral, a disponibilidade de um sistema pode ser classificada em trs tipos: instantnea, mdia e assinttica. A disponibilidade instantnea A(t) aplicada para
qualquer instante de tempo t e sempre igual ou superior a confiabilidade R(t) do sistema [Grottke et al. 2008]. A(t) depende do modelo e distribuies utilizadas para z(t)
3 As

funes z(t) e (t) apresentam formalismos matemticos semelhantes.

3.3. MEDIDAS FUNDAMENTAIS

65

z(t)
Operacional

Defeituoso

(t)
Figura 3.11: Estados do sistema na viso da disponibilidade.
e (t). Assumindo-se o modelo de confiabilidade da Figura 3.11 e considerando-se z(t)
e (t) constantes, cujos valores so respectivamente e , pode-se provar [Rausand &
Hsyland 2004] que A(t) dada por:

A(t) =

(+)t

+
e
+ +

(3.16)

Por outro lado, a disponibilidade mdia Am (t) avalia a porcentagem de tempo pelo
qual o sistema ficou operacional no intervalo (0,t]. Formalmente, Am (t) definida pela
seguinte relao:

Am (t) =

1
t

Z t

(3.17)

A()d
0

Outra questo importante a avaliao da operacionalidade do sistema considerando


um instante de tempo t muito grande. Na prtica consideramos t . Nesse caso, estaremos calculando a disponibilidade assinttica do sistema A . Para melhor compreender
essa definio vamos supor o comportamento do sistema como descrito na Figura 3.12. O
sistema opera corretamente por vrios perodos de tempo e em caso de defeitos, reparos
so realizados. MTTF e MTBF so definidos, respectivamente, como o tempo mdio at o
sistema reparar um defeito e o tempo mdio entre defeitos. Assumindo-se que n perodos
ocorreram, podemos encontrar A atravs da equao 3.18.

1
n

A = lim =
t

Opi
i

1
n(

Opi + De fi)
i

MT T F
=
MT T F + MT T R

(3.18)

66

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

Estado do sistema
MTBF

MTTF
Operacional

Defeituoso

Op1

Op3

Op2
Def1

Def2

Def3

MTTR

Figura 3.12: Comportamento do sistema para diversos instantes de tempo.


Percebe-se que A depende apenas do MTTF e MTTR do sistema. Assim, no existe
dependncia em relao a natureza das distribuies das taxas de defeitos e reparos.

3.4

rvores de Falhas

3.4.1

Principais conceitos

Anlise de rvores de Falhas (FTA) uma tcnica eficiente para avaliar qualitativamente e quantitativamente a confiabilidade e a disponibilidade dos sistemas [Xing &
Amari 2008]. Na anlise qualitativa, FTA pode ser utilizada durante o desenvolvimento
do sistema com o objetivo de identificar potenciais problemas que podem conduzir a defeitos, enquanto que aps o comissionamento a tcnica pode ser usada para identificar as
causas do defeito. Por outro lado, durante a anlise quantitativa possvel mensurar as
medidas de confiabilidade e disponibilidade do sistema em anlise.
As principais vantagens da FTA esto relacionadas com o procedimento intuitivo para
descrever os eventos que conduzem aos defeitos do sistema e com a minimizao do
problema de exploso do espao de estados [Sahner et al. 1996], muito comum na modelagem de sistemas grandes [Trivedi 2001]. importante deixar claro que existem outras
tcnicas para avaliao da confiabilidade e disponibilidade, como por exemplo diagrama
de blocos e cadeias de Markov. Entretanto, estas tcnicas foram preteridas na tese devido a maior flexibilidade na construo das rvores de falhas (FT4 ), alm das vantagens
descritas anteriormente.
As rvores de falhas so classificadas em coerentes e no coerentes. No primeiro
grupo esto as FT que no apresentam portas lgicas inversoras, enquanto que no segundo
grupo estas portas so permitidas. Adicionalmente, as FT coerentes so classificadas em
4 Vamos

atribuir abreviao de rvores de falhas sua definio na lingua inglesa fault tree(FT).

3.4. RVORES DE FALHAS

67

estticas e dinmicas. As FT estticas so baseadas nas portas lgicas and, or e k-outof-n. Assim, a sequncia em que os eventos ocorrem no considerada nas FT estticas.
Por outro lado, nas FT dinmicas novas portas lgicas foram definidas (FDEP, CSP, HSP,
WSP, priority and, SEQ) com o intuito de considerar a sequncia em que os eventos
ocorrem.
A classificao das FT em coerentes e no coerentes assume que os eventos seguem
distribuies estatsticas. Entretanto, em alguns cenrios, como por exemplo plantas nucleares, viagens espaciais e equipamentos clnicos, as informaes sobre os eventos de
falhas so insuficientes para inferir sobre suas distribuies estatsticas. Nesses casos a
lgica Fuzzy pode ser utilizada para criar as chamadas rvores de Falhas Fuzzy [Tyagi
et al. 2010].
Nesta tese utilizamos o formalismo das FT coerentes e estticas. Sendo assim, a seguir
iremos descrever as principais caractersticas relacionadas com esse tipo de FT.
De uma maneira geral, as FT so modelos grficos que representam a combinao de
eventos responsveis por conduzir um defeito no sistema. O modelo utiliza uma estrutura de rvore composta por eventos e portas lgicas. Os eventos representam as condies normais e de falhas do sistema (defeitos nos componentes, condies ambientais,
falhas humanas, etc). Os eventos seguem a lgica booleana, ou seja, eles ocorrem ou
no ocorrem. Em contrapartida, as relaes causa-efeito entre os eventos so representadas pelas portas lgicas. As entradas destas portas podem ser desde um simples evento
at uma combinao de eventos oriundos da sada de outra porta lgica. H vrios tipos
de portas disponveis no formalismo, dentre as quais podemos citar and, or e k-out-of-n
(Figura 3.13).

3.4.2

Anlise quantitativa

O processo para construir uma FT realizado dedutivamente e inicia-se pela definio do evento TOPO, que representa a condio de defeito do sistema. A partir deste
evento possvel conduzir uma anlise retroativa e encontrar as causas do defeito. A FT
estruturada em vrias nveis. Os eventos localizados nos nveis mais inferiores so chamados eventos bsicos. Adicionalmente, se um evento ocorre mais de uma vez na FT ele
chamado evento repetido.
Em relao anlise quantitativa, a avaliao de uma FT consiste em calcular a probabilidade do evento TOPO baseado nas probabilidades dos eventos bsicos. Este clculo
realizado diferentemente para cada tipo de porta lgica. Assumindo n entradas/eventos
independentes, onde a ocorrncia do evento i descrita pela sua funo de distribuio

68

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

acumulativa (CDF) Fi (t), podemos descrever as sadas das portas lgicas (CDF) conforme
descrito na Figura 3.13 [Rausand & Hsyland 2004]. Quando uma porta and usada, a
condio de defeito ativada somente no momento em que todas as entradas/eventos
ocorrerem. Por outro lado, a sada de uma porta or ativada quando pelo menos uma
das suas entradas/eventos est ativa. Finalmente, se uma porta k-out-of-n usada, a sada
estar ativa se pelo menos k entradas/eventos ocorreram das n disponveis.

( ())
=

()
=

)(

||

())

or

and

K out
of N

Fi (t) ... Fn(t)

Fi (t) ... Fn(t)

Fi (t) ... Fn(t)

Figura 3.13: Funo de distribuio acumulativa para as sadas das portas and, or e k-outof-n.

Quando uma FT no apresenta eventos repetidos, a probabilidade do evento TOPO


obtida pela utilizao das equaes descritas na Figura 3.13. Entretanto, se eventos
repetidos ocorrerem essas equaes no so mais vlidas. Nestas condies necessrio
empregar tcnicas diferentes. Na literatura podemos encontrar diversas solues para esse
problema, como por exemplo o princpio de incluso-excluso, soma de produtos disjuntos (SDP), fatorao, mtodos recursivos diretos/indiretos [Limnios 2007]. No contexto
desta tese iremos focar na soma de produtos disjuntos [Choi & Cho 2007]. Essa tcnica bastante popular e adotada pela ferramenta SHARPE (bastante difundida no meio
acadmico) [Trivedi & Sahner 2009].
O mtodo SDP pode ser eficientemente empregado nas rvores de falhas com eventos
repetidos, alm do mais facilmente automatizado. A ideia bsica deste mtodo encontrar uma funo booleana (x) que descreva a condio de defeito do sistema (i.e., o
evento TOP) e transformar esta funo em outra, cujos os termos individuais so mutualmente exclusivos.
Para melhor compreender o mtodo SDP vamos considerar um sistema com n componentes. O primeiro passo do mtodo a obteno da funo estrutural (x), cujo valor
dado por:

3.4. RVORES DE FALHAS

69

(
(x) =

1
0

se o sistema falhou
se o sistema no falhou

(3.19)

onde x definido como o vetor de estados, x = (x1 , x2 , . . . , xn ). Cada elemento xi uma varivel booleana que representa o estado do componente i (e.g., i = 1 o componente falhou).
A funo (x) pode tambm ser expressa como a unio do conjunto de cortes mnimos.

(x) = K1 K2 Kn

(3.20)

Um conjunto de cortes Ki um subconjunto de eventos cuja ocorrncia simultnea


conduz ao evento TOPO. Um conjunto de cortes dito ser mnimo se ele no contm outro
conjunto de cortes. Existem diversos algoritmos para automatizar a gerao dos cortes
mnimos de uma FT [Limnios 2007]. Aps a gerao dos cortes mnimos, a funo (x)
deve ser transformada em uma soma de produtos disjuntos como especificado a seguir:

(x) = K1 K2 Kn = K1 K 1 K2 K 1 . . . K n1 Kn

(3.21)

onde Ki o i-simo conjunto de cortes e K i seu respectivo complemento. Devido aos


termos serem mutualmente disjuntos, a probabilidade do evento TOPO pode ser obtida
pela soma das probabilidades individuais de cada termo.
Diversas medidas de dependabilidade podem ser extradas das FT. No contexto desta
tese iremos focar nas medidas de confiabilidade e disponibilidade. Considerando-se que o
evento TOPO representa a condio de defeito do sistema, podemos concluir que a probabilidade deste evento ocorrer durante o perodo de tempo t o complemento da confiabilidade R(t). Se o evento TOPO descrito em funo do conjunto de cortes mnimos, ento,
para calcular a confiabilidade apenas necessrio substituir cada evento i (pertencente
ao respectivo conjunto de cortes) pela sua funo de confiabilidade Ri (t). Em seguida, a
confiabilidade do sistema R(t) pode ser facilmente calculada usando as leis da probabilidade (unio e interseco de eventos). Similarmente, a medida de confiabilidade pode ser
obtida substituindo cada evento por sua respectiva funo de disponibilidade Ai (t). Entretanto, este procedimento apenas vlido se os processos de reparaes dos componentes
so independentes e o nmero de aes de reparos no limitado. Mais detalhes podem
ser encontrados em Limnios (2007).

70

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

3.4.3

Medidas de importncia

Aps calcular a probabilidade do evento TOPO (ou qualquer outra mtrica relevante,
como confiabilidade ou disponibilidade), possvel via FT estimar o comportamento do
sistema (dependabilidade). Entretanto, essa avaliao no deixa claro quais as contribuies dos componentes no resultado final. Tais informaes so relevantes para os
projetistas tomarem decises estruturais sobre o sistema, as quais apresentam impacto direto nas medidas de dependabilidade. Exemplos de algumas dessas informaes seriam
as respostas das seguintes questes:
Qual a influncia de modificar a confiabilidade de um componente na confiabilidade
total do sistema?
Como a confiabilidade do sistema pode ser melhorada, sabendo-se que os recursos
disponveis so limitados?
Qual o impacto em utilizar redundncia?
Qual o dispositivo mais crtico do sistema?

Nesta seo iremos revisar algumas das medidas de importncia que podem ser utilizadas para classificar os componentes do sistema em ordem de importncia. assumido
um sistema composto de n componentes independentes, onde cada componente i caracterizado por sua funo de confiabilidade Ri (t).

Birnbaum
A medida Birnbaum I B (i|t) uma mtrica que descreve a importncia da confiabilidade de um componente [Birnbaum & Saunders 1969]. Esta medida definida como a
derivada parcial da confiabilidade do sistema em relao confiabilidade do componente
i, cujo valor dado por:
I B (i|t) =

R(t)
for i = 1, 2, . . . , n
Ri (t)

(3.22)

Se I B (i|t) grande, uma pequena variao na confiabilidade do componente i ir resultar em um mudana considervel na confiabilidade do sistema. O componente i
considerado crtico para o sistema se quando o componente i falhar, o sistema tambm
falha. Sendo assim, a medida Birnbaum tambm interpretada como a probabilidade do
componente i ser crtico para o sistema no instante t [Rausand & Hsyland 2004].

3.4. RVORES DE FALHAS

71

Criticalidade
A medida de criticalidade ICR (i|t) uma mtrica adequada para priorizar aes de
manuteno [Rausand & Hsyland 2004]. Esta medida definida como a probabilidade
que o component i ser critico no instante t e ele ter falhado nesse instante, sabendo que o
sistema falhou no instante t. Sua definio descrita pela seguinte equao:
I

CR

I B (i|t)(1 Ri (t))
(i|t) =
1 R(t)

(3.23)

Em outras palavras, a criticalidade a probabilidade do componente i ter causado uma


falha no sistema sabendo-se que o sistema est em falha no instante t.
Fussel-Vesely
A medida FusselVesely I FV (i|t) uma mtrica que descreve como um componente
pode contribuir para o defeito de um sistema dado que o componente no critico [Rausand
& Hsyland 2004]. Esta medida definida como a probabilidade de que pelo menos um
conjunto de cortes mnimos, que contenha o componente i, tenha falhado no instante t,
sabendo-se que o sistema falhou nesse mesmo instante. Sua definio descrita por:
m

(1 R j (t))

I FV (i|t)

j=1

1 R(t)

(3.24)

onde R j (t) a funo de confiabilidade do conjunto de cortes mnimos j que contm o


componente i, enquanto que m a quantidade de cortes mnimos que contm o componente i.

3.4.4

Defeitos dependentes

Na FTA comum considerar que os componentes do sistema falham de forma independente. Entretanto, na prtica este cenrio no necessariamente ocorre. Um exemplo
disso so os defeitos em modo comum (CCF5 ). Este tipo de defeito ocorre em mltiplos
componentes no mesmo intervalo de tempo e compartilha da mesma causa, como por
exemplo sabotagens, furaces, inundaes, obstculos temporrios, descargas eltricas,
falhas de projeto, erros humanos, etc. CCF tipicamente ocorrem em sistemas modelados com redundncia, onde um conjunto de componentes idnticos so utilizados [Z. &
5 Usaremos

a abreviao baseada na definio em linha inglesa, common cause failure (CCF)

72

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

JB. 2004]. Outro exemplo muito comum de CCF ocorre nas redes sem fio, onde obstculos temporrios podem obstruir (defeito) vrios enlaces de comunicao ao mesmo tempo.
Observa-se que na anlise quantitativa, a no considerao de CCF para a modelagem do
sistema pode conduz a resultados superestimados [S. et al. 2000].
De uma maneira geral, se o defeito de um componente aumenta a tendncia de ocorrer um outro defeito em um outro componente, diz-se que esses defeitos apresentam uma
dependncia positiva. Caso contrrio, essa relao classificada como negativa [Rausand
& Hsyland 2004]. Na teoria de probabilidades, dois eventos (E1 e E2 ) so consideraT
dos dependentes positivos se Pr(E1 E2 ) > Pr(E1 ) Pr(E2 ) ou Pr(E1 |E2 ) > Pr(E1 ) ou
Pr(E2 |E1 ) > Pr(E2 ). De maneira anloga, E1 e E2 so considerados dependentes negatiT
vos se Pr(E1 E2 ) < Pr(E1 ) Pr(E2 ) ou Pr(E1 |E2 ) < Pr(E1 ) ou Pr(E2 |E1 ) < Pr(E2 ).

3.5

Trabalhos relacionados

O clculo da confiabilidade/disponibilidade das redes de computadores um problema


clssico na rea de dependabilidade [AboElFotoh & Colbourn 1989]. Este problema pode
ser classificado em trs variaes: k-terminal, 2-terminal e all-terminal. Para melhor
compreender este cenrio vamos supor uma rede com N dispositivos e um conjunto de K
dispositivos tal que K N e |K| < |N|. K um conjunto de dispositivos formado pelo
sink6 e |K| 1 dispositivos de campo. Definindo o dispositivo sink s K, o problema
k-terminal expresso como a probabilidade que exista pelo menos um caminho entre s e
todos os dispositivos em K. Similarmente, o problema 2-terminal definido para o caso
onde |K| = 2, enquanto que o problema all-terminal caracteriza-se pelo cenrio onde |k| =
|N|. Todos estes problemas so conhecidos serem NP-hard, entretanto, vrios algoritmos
podem ser encontrados na literatura para redes com tamanhos limitados [Ball 1986].
O problema da confiabilidade/disponibilidade em redes de computadores tem sido largamente estudado para as redes com cabeamento estruturado. Por exemplo, Hou (2003)
lidou com o problema de calcular a confiabilidade e disponibilidade de redes cabeadas assumindo defeitos de hardware e software. O autor daquele trabalho descreveu importantes
contribuies ao lidar com a enumerao do espao de estados e estratgias adaptativas
para a topologia da rede quando defeitos ocorrem.
As principais diferenas entre a anlise de confiabilidade de redes com cabeamento
estruturado e redes sem fio est relacionada com a instabilidade do meio de comunicao,
que mais susceptvel a rudos. Nas redes sem fio a dinmica maior devido aos en6 Nesse

contexto os termos sink e gateway tm o mesmo significado.

3.5. TRABALHOS RELACIONADOS

73

laces de comunicao falharem com mais frequncia e da mobilidade existente em alguns


dispositivos. Um dos trabalhos iniciais na rea de confiabilidade para redes sem fio foi
conduzido por AboElFotoh & Colbourn (1989). Naquele trabalho os autores modelaram a
rede sem fio assumindo dispositivos no confiveis e enlaces de comunicao confiveis.
Os autores mostraram que o problema 2-terminal para redes sem fio computacionalmente difcil.
Uma rede industrial sem fio pode ser considerada como uma rede de sensores sem fio
concebida especificamente para aplicaes industriais. Sendo assim, metodologias para
avaliar a confiabilidade/disponibilidade das redes de sensores sem fio em geral podem ser
aplicadas para as redes industriais sem fio. Um desses trabalhos foi proposto por AboElFotoh et al. (2005). Os autores assumiram uma rede de sensores sem fio densa e organizada em clusters. A rede considerada confivel se existe pelo menos um caminho
entre o sink e um dispositivo de um cluster especfico. Os autores assumiram dispositivos no confiveis e enlaces de comunicao confiveis. Foi provado que, em geral, o
problema NP-hard. Contudo, para uma topologia de at 40 dispositivos o problema
ainda era tratvel. Em [Kharbash & Wang 2007], a confiabilidade de redes mveis adhoc foi avaliada baseando-se no problema 2-terminal. Os autores assumiram dispositivos
no confiveis e enlaces de comunicao com problemas de conectividade. O algoritmo
proposto pelos autores embora no seja otimizado, pode ser estendido para redes industriais (tipicamente estticas). Em [Egeland & Engelstad 2009], os autores analisaram a
influncia na confiabilidade de uma rede de sensor sem fio quando dispositivos redundantes foram considerados. Aquele trabalho fornece uma discusso bastante interessante
sobre a confiabilidade e disponibilidade particularmente se considerarmos um roteador
como sendo um dispositivo redundante.
Um tema essencial para a anlise da confiabilidade/disponibilidade das redes sem fio
so as CCF. Medir o impacto das CCF o mais breve possvel, idealmente nas fases de
projeto e planejamento da rede, uma questo fundamental. Quando realizada adequadamente, decises sobre a topologia, criticidade dos dispositivos, nveis de redundncia
e robustez da rede podem ser antecipadas. Uma tentativa inicial para avaliar uma rede
de sensor sem fio considerando CCF foi conduzida por Shrestha et al. (2006). Contudo,
os autores focaram a proposta para um cenrio limitado, composto por um nico cluster.
Introduzindo o conceito de confiabilidade orientada a cobertura, os mesmos autores estenderam o trabalho anterior [Shrestha et al. 2006] para suportar uma maneira mais flexvel
de configurar condies de defeitos [Shrestha et al. 2007]. Entretanto, nessa nova proposta
no possvel configurar dois ou mais subconjuntos de coberturas em um mesmo cluster.
Os efeitos das CCF foi tambm analisado por Xing et al. (2012), onde os autores pro-

74

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

puseram uma tcnica regressiva de diagramas de decises binrios para avaliar qualquer
rede de sensor sem fio. Porm, a proposta no suporta condies de defeitos genricos
tampouco classificar os dispositivos mais crticos da rede. Estas mesmas limitaes so
encontradas em [XIAO et al. 2009], embora os autores tenham melhorado o desempenho
dos algoritmos propostos em [Shrestha et al. 2007]. Outro trabalho bastante interessante
na rea de CCF foi desenvolvido por Xing et al. (2009), onde os autores desenvolveram
um modelo combinacional hierrquico usando cadeias de Markov para incorporar falhas
em modo comum. Este modelo pode ser estendido para representar eventos de falhas nos
dispositivos das redes sem fio.
Outra anlise da confiabilidade orientada a cobertura para redes de sensores sem
fio foi proposta em [AboElFotoh et al. 2011]. Diferentemente do trabalho proposto
por [Shrestha et al. 2006], essa nova abordagem no apresenta suporte para CCF. Nesse
trabalho, assume-se que dado uma rea A, a rede falha se no existe um conjunto de dispositivos cujo trfego gerado no alcana o sink nos limites dessa rea. A proposta considera um modelo de confiabilidade baseado em trs estados. Foi provado que esse modelo
mais preciso que o modelo baseado em apenas dois estados (operacional/defeituoso).
Entretanto a proposta no suporta dispositivos redundantes tampouco anlise de criticalidade. Adicionalmente, a inabilidade em criar diversas reas de coberturas torna a
configurao de condies de falhas inflexveis.
Uma metodologia para anlise da confiabilidade de redes de sensores sem fio foi proposta por Qureshi et al. (2011). Nesse trabalho, os autores propuseram um mecanismo
que controla a formao e topologia da rede. Adicionalmente, a metodologia proposta foi
utilizada para avaliar tal mecanismo. A ideia bsica representar a rede como um grafo
e medir a confiabilidade baseado no nmero de spanning tree funcionais. Uma spanning
tree um sub-grafo que contm todos os vrtices e algumas (ou todas) arestas do grafo
original. Ressalta-se que uma spanning tree no contm ciclos. Os autores assumem que
a rede considerada confivel se existe pelo menos uma spanning tree funcional. A proposta simples e funciona adequadamente para para a anlise do mecanismo que controla
a topologia da rede. Entretanto, a proposta no adequada para redes genricas, pois no
possvel avaliar redundncia e a criticalidade dos dispositivos. Alm disto, condies
de falhas so difceis de representar devido dependncia de uma spanning tree.
Como alternativa para as tcnicas mencionadas anteriormente, Anlise de rvores
de Falhas (FTA) pode ser utilizada para avaliar a confiabilidade e disponibilidade das
redes sem fio industriais. A principal vantagem da FTA est relacionada com o procedimento intuitivo usado na descrio dos eventos que conduzem aos defeitos da rede.
Entretanto, para topologias complexas a construo da rvore de falha uma tarefa que

3.5. TRABALHOS RELACIONADOS

75

demanda muito tempo e esforo. A soluo usual para este problema adotar tcnicas
que construam automaticamente a rvore de falha baseando-se na especificao de uma
rede genrica. Em [Majdara & Wakabayashi 2009], os autores desenvolveram uma metodologia para a gerao automtica das rvores de falhas, cuja ideia central separar os
sistemas em diferentes componentes sendo a representao baseada em tabelas funcionais
e transio de estados. Ento, os componentes so conectados uns aos outros na tentativa
de descrever o comportamento de todo o sistema. Aps a fase de modelagem, um algoritmo de fora-bruta utilizado para criar a rvore de falha. Uma soluo semelhante foi
proposta por Hussain & Eschbach (2010), porm designada para o contexto da automao
industrial. No caso, a ideia central do trabalho modelar o sistema usando um autmato
temporal e logo aps realizar uma checagem do modelo com o intuito de verificar quais
situaes conduzem para defeitos. Ento, os resultados so listados e a rvore de falha
gerada.
Diferentemente das duas propostas anteriores, grafos direcionados podem ser utilizados para a gerao automtica de rvores de falhas [Lapp & Powers 1977]. Um grafo
direcionado composto por ns e arestas. Ns representam os defeitos do componente,
enquanto que as arestas representam a relao entre os ns. Em [Kim et al. 2009], os
autores desenvolveram um gerador de rvores de falhas baseado em grafos direcionados.
Basicamente, o trabalho proposto por Kim et al. (2009) busca uma melhora no desempenho do algoritmo proposto por Lapp & Powers (1977). Ambos os trabalhos usam a
dependncia entre os componentes do sistema para gerar a rvore de falha.
Recentemente, uma contribuio bastante interessante relacionada com a dependabilidade em redes de sensores foi proposta em [Bruneo et al. 2010a, Puliafito et al. 2011].
A ideia principal avaliar um novo parmetro de dependabilidade chamado produtibilidade. Este novo parmetro mede a probabilidade de um sensor estar no estado ativo e
ser capaz de comunicar-se com o sink no instante t. A proposta combina a confiabilidade e o consumo de energia do sensor. A condio de falha na rede est relacionada
com a existncia de um nmero mnimo de ns sensores (k out n) capaz de enviar
dados para o sink. Mtricas so avaliadas usando tcnicas analticas baseadas em cadeias
de Markov contnuas (CTMC) e funes de recompensa. Em [Bruneo et al. 2010b] os
mesmos autores propuseram um mecanismo alternativo baseado em redes de petri estocsticas no markovianas. Nesse mesmo trabalho, os autores propem a utilizao de
rvores de falhas na tentativa de avaliar as condies de falhas da rede. Embora sejam
trabalhos interessantes, eles so muito focados no problema de consumo de energia, o
que dificulta a aplicao da metodologia para redes com topologias genricas. Ressaltase que as mesmas limitaes so aplicadas para as mtricas (confiabilidade e consumo

76

CAPTULO 3. DEPENDABILIDADE: ESTADO DA ARTE

de energia). Adicionalmente, as condies de falhas da rede so definidas em uma maneira muito restritiva (k out n). Essas so limitaes importantes para o contexto das
redes industriais sem fio, uma vez que fundamental identificar falhas em dispositivos
especficos e no apenas em um grupo de dispositivos.
Torna-se claro a partir da discusso anterior que os trabalhos encontrados na literatura
apenas fornecem uma soluo partial para o problema. A grande maioria dos trabalhos
relacionados so focados em cenrios especficos resultando em restries na definio de
condies de falhas, mtricas de dependabilidade, reconfigurao da rede, aspectos de redundncia e aplicao em ambientes industriais. Ento, diante da relevncia do problema
e de no haver uma soluo designada para ele, nesta tese prope-se um nova metodologia para avaliar a dependabilidade das redes sem fio industriais incluindo solues para
as limitaes discutidas anteriormente.

Captulo 4
Metodologia de Avaliao

Este captulo descreve a metodologia desenvolvida nesta tese para avaliar a dependabilidade (confiabilidade e disponibilidade) de redes industriais sem fio. Ainda na fase de
projeto da rede, a metodologia pode ser utilizada como fornecedora de informaes (topologia, criticalidade dos dispositivos, nvel de redundncia) para criao de aplicaes
mais robustas e confiveis. As mesmas informaes podem tambm ser utilizadas durante
a fase de operao e expanso da rede.

4.1

Introduo

Conforme discutido na Seo 3.5, o problema de avaliar a dependabilidade de uma


rede genrica NP-hard. Entretanto, como ser descrito nas prximas sees, este problema ainda poder ser tratado para redes com poucas centenas de dispositivos, o qual se
aplica ao contexto das redes industriais.
A Figura 4.1 descreve uma viso geral da metodologia proposta. O processo tem incio
com o fornecimento de informaes sobre a topologia da rede, tipos de dispositivos, nveis
de redundncia, dados de falhas e reparaes, eventos dependentes, mtricas de avaliao
e a condio de defeito da rede. Esta ltima definida por uma expresso lgica que combina os estados de falha dos dispositivos. Para suportar a obteno de condies de defeito
mais flexveis e a utilizao de protocolos de roteamento auto-organizveis, necessrio
encontrar todos os caminhos entre o gateway e os dispositivos que constituem a condio
de defeito da rede (problema k-terminal). A informao obtida ento processada por
um algoritmo de otimizao [Shier & Whited 1985], que encontra o conjunto de cortes
mnimos da rede. Em outras palavras, o algoritmo utilizado encontra uma expresso lgica simplificada descrevendo os eventos que conduzem a rede a um defeito. A expresso
lgica resultante transformada em uma rvore de Falha que poder posteriormente ser
processada por qualquer resolvedor de FTA (software). Devido ser largamente utilizada

78

CAPTULO 4. METODOLOGIA DE AVALIAO

na academia, nesta tese assumimos o uso da ferramenta (resolvedor) SHARPE [Sahner


et al. 1996], a qual calcula de forma analtica ou simblica as mtricas de interesse.
Importante esclarecer que a ferramenta SHARPE implementa seus prprios algoritmos
de otimizao na tentativa de encontrar o conjunto de cortes mnimos. Poderamos at
dispensar o uso do pr-processamento (otimizao) realizado pela metodologia, porm,
se isto fosse realizado, o problema em questo no seria tratvel, independente do uso da
ferramenta SHARPE.

Topologia
Tipos de dispositivos
Condio de defeito da rede

Mtricas de avaliao
Entrada

Redundncia

Dados de falhas e reparaes


Defeitos em modo comum

K-terminal (todos caminhos entre o


gateway e k dispositivos)

Otimizao (conjunto de cortes mnimos para cada k dispositivos)

Gerao da rvore de Falha

Sada

Confiabilidade
Disponibilidade
MTTF
Medidas de importncia dos componentes

Figura 4.1: Viso geral da metodologia para avaliao da confiabilidade e disponibilidade


das redes industriais sem fio.

4.2
4.2.1

Entrada de Dados
Topologia

O primeiro passo da metodologia definir a estrutura de dados que ir modelar a


rede industrial sem fio. No caso, a rede organizada como um grafo G(V, A) com n
vrtices (V) e k arestas (A). Os vrtices representam os dispositivos, enquanto as arestas
representam os enlaces de comunicao. Para permitir a compatibilidade com os padres

4.2. ENTRADA DE DADOS

79

WirelessHART, ISA100.11a e WIA-PA, os dispositivos so abstrados para os seguintes


tipos: dispositivos de campo, roteadores, pontos de acesso e gateway. Adicionalmente,
a topologia da rede armazenada na matriz de adjacncia (Mnn ) do grafo G. Se um
dispositivo Ni tem um vizinho N j , ento as entradas mi j e m ji M iro receber o valor
unitrio, caso contrrio iro receber o valor nulo. Dessa forma, podemos representar
qualquer topologia suportada pelos padres de redes industriais sem fio (linha, estrela,
cluster e mesh).
A Figura 4.2 descreve um exemplo de uma rede industrial sem fio representada pela
estrutura de dados mencionada anteriormente. Neste exemplo, a rede formada por um
gateway (Gtw0 ), um ponto de acesso (Ap0 ), dois roteadores (R0 e R1 ) e trs dispositivos
de campo (Fd0 , Fd1 e Fd2 ).

Gtw0 Ap0 R0

Gtw0
Gtw0
Ap0
Ap0

R0
R1

R0

R1

Fd0
Fd1
Fd2

Fd0

Fd1

0
1
0
0
0
0
0

1
0
1
1
0
0
0

0
1
0
1
1
1
0

R1

0
1
1
0
0
1
1

Fd0 Fd1 Fd2

0
0
1
0
0
1
0

0
0
1
1
1
0
1

0
0
0
1
0
1
0

Fd2

Figura 4.2: Exemplo de uma rede industrial sem fio representada por um grafo e sua
respectiva matriz de adjacncia.

4.2.2

Configuraes de falhas

As configuraes de falhas envolvem vrias caractersticas, desde as distribuies usadas para representar os processos de falhas e reparaes, ocorrncia de eventos dependentes (defeitos em modo comum) at os nveis de redundncia utilizados.
Como descrito na Seo 3.1.1, a referida tese apresenta suporte para as falhas permanentes de hardware e enlaces de comunicao. Diferentemente das modelagens tradicionais de falhas permanentes em redes sem fio [AboElFotoh et al. 2005, Xing et al. 2012],
tambm foi considerado falhas nos enlaces de comunicao. Todavia, essa ltima assume

80

CAPTULO 4. METODOLOGIA DE AVALIAO

que as falhas apresentam duraes com ordens de grandeza muito superior aos milissegundos (falhas permanentes). Falhas transientes tipicamente ocorrem na escala dos milissegundos [Willig et al. 2002]. Essa abordagem adequa a metodologia proposta a uma
ferramenta de projeto, onde mtricas estruturais (topologia, redundncia, criticalidade dos
dispositivos) podem ser avaliadas usando o formalismo de rvores de Falhas. Por outro
lado, a considerao de falhas transientes seriam mais adequadas caso o foco da metodologia fosse a avaliao de desempenho. Neste caso, tcnicas de simulao seriam mais adequadas, utilizando por exemplo o ns3 (Network Simulator 3) [Ns3 2012, Marcelo Nobre
& Silva 2010] ou Redes de Petri Estocsticas Generalizadas (GSPN) [Murata 1989, Ivanovitch Silva & Guedes 2011].
Aps uma falha permanente, o dispositivo da rede (hardware ou enlace de comunicao) considerado permanentemente inoperante. Para ser considerado operacional
novamente um processo de reparao deve ser realizado. Assumimos que as reparaes
so independentes e que as aes de reparaes so ilimitadas. Adicionalmente, para os
enlaces de comunicao, determinados eventos de reparao, como por exemplo aqueles
relacionados interrupo da comunicao devido a obstculos temporrios, podem ser
modelados como eventos dependentes. Os eventos dependentes tambm podem ser configurados para a modelagem de defeitos em modo comum (CCF).
Em relao aos aspectos de redundncia, consideramos que existem dois tipos de dispositivos: sem redundncia e com redundncia. O primeiro tipo pode ser configurado para
os dispositivos menos crticos, onde falhas no impactem nas aplicaes. Por outro lado,
os dispositivos redundantes so configurados com um arranjo de redundncia ativa (modelo quente). Nessa caso, quando um dispositivo falha, um dispositivo sobressalente
imediatamente assume sua operao. O fator de cobertura, que mede a probabilidade de
sucesso na troca entre o dispositivo falhado e o sobressalente, no suportado pela metodologia. Do ponto de vista de um observador externo, um dispositivo redundante e um
dispositivo sem redundncia so indistinguveis. O nmero de dispositivos sobressalentes
para cada dispositivo uma entrada do modelo.
A principio qualquer distribuio estatstica pode ser utilizada para a modelagem dos
processos de falhas e reparos. Entretanto, a ferramenta SHARPE em particular, que foi
adotada para analisar quantitativamente a metodologia proposta, impe que a CDF (funo de distribuio acumulativa) deva ser expressa utilizando polinmios exponenciais
conforme descritos na equao 4.1.
n

F(t) =

a jt k j eb jt

j=1

(4.1)

4.2. ENTRADA DE DADOS

81

Os termos a j , k j e b j so os parmetros do polinmio exponencial enquanto que e a


constante neperiana. Muitas distribuies podem ser expressas utilizando a equao 4.1
(e.g., exponencial, erlang, hipoexponencial, hiperexponencial). Outras distribuies no
exponenciais (e.g., weibull, lognormal, determinstica) podem ser aproximadas, porm,
utilizando tcnicas hbridas envolvendo a combinao de momentos e mnimos quadrticos no lineares [Malhotra & Reibman 1993].
Sabendo que polinmios exponenciais so fechados para as operaes de soma, multiplicao, diferenciao e integrao, as operaes das variveis aleatrias tambm sero
fechadas para a convoluo, soma probabilstica, maximizao e minimizao [Trivedi
& Sahner 2009]. Em outras palavras, se os componentes da metodologia em questo forem configurados com distribuies exponenciais, a distribuio de toda a metodologia
tambm seguir uma distribuio exponencial. A seguir iremos descrever os detalhes de
como o SHARPE mapeia as referidas distribuies.
Configurando distribuies estatsticas no SHARPE
A ferramenta SHARPE fornece vrios procedimentos para a construo de distribuies genricas baseadas na equao 4.1. Iremos descrever os dois principais comandos,
poly e gen. O primeiro especifica a criao do polinmio enquanto que o segundo utilizado para configurao dos parmetros a j , k j e b j . A Figura 4.3 exemplifica a utilizao
desses comandos. A distribuio pode ser criada pela unio de vrios polinmios. Perceba que no referido exemplo a CDF (minha_distribuio) formada pela soma de dois
polinmios exponenciais.
poly minha_distribuio (a1, k1, b1, a2, k2, b2) gen \
a1, k1, b1 \
a2, k2, b2 \

CDF = a1.tk1.eb1 + a2.tk2.eb2.t

Figura 4.3: Procedimento usado na criao de distribuies estatsticas genricas na ferramenta SHARPE.
Em termos de configurao, a distribuio mais simples a prpria exponencial, cuja
definio descrita na Figura 4.4. O nico parmetro da distribuio , o qual descreve
1
a taxa de defeitos. Se 1000 defeitos ocorrem a cada ano, ento ser igual 1000
= 0.001.
A distribuio exponencial convenientemente atribuda ao perodo de vida til dos com-

82

CAPTULO 4. METODOLOGIA DE AVALIAO

ponentes eletrnicos, onde observa-se uma taxa constante de defeitos [Trivedi 2001].
poly exp () gen \
1, 0, 0 \
-1, 0, - \

CDF = 1 e-.t

Figura 4.4: Definio da distribuio exponencial na ferramenta SHARPE.


Outra distribuio suportada a hipoexponencial, muito utilizada para representar
uma taxa de defeito crescente (Figura 3.9 para t 0 e t > T2 ). A distribuio hipoexponencial gerada pela convoluo de duas distribuies exponenciais diferentes [Sahner
et al. 1996]. A Figura 4.5 descreve o mapeamento da distribuio hipoexponencial na ferramenta SHARPE. Os parmetros 1 e 2 representam as taxas de defeitos das respectivas
distribuies exponenciais.
poly hipoexp (1, 2) gen \
1, 0, 0 \
-2/(2-1), 0, -1\
1/(2-1), 0, -2 \

CDF = 1 2/(2-1) e-1.t+ 1/(2-1) e-2.t

Figura 4.5: Definio da distribuio hipoexponencial na ferramenta SHARPE.


A convoluo de n distribuies exponenciais semelhantes, um caso particular da distribuio hipoexponencial, gera a distribuio erlang [Trivedi 2001]. Esta distribuio
comumente utilizada na modelagem dos tempos de defeitos e reparos dos sistemas [Cho
& Parlar 1991, EL-Sherbeny 2012]. A Figura 4.6 descreve a configurao da distribuio
erlang na ferramenta SHARPE para n = 2 e a taxa de defeitos igual a .
A ferramenta SHARPE tambm apresenta suporte para a distribuio hiperexponencial.
Se considerarmos que um processo (varivel aleatria) passa por n estgios no tempo,
cada qual apresentando uma distribuio exponencial, ento a distribuio estatstica de
todo processo ser hiperexponencial [Kharboutly 2011]. A Figura 4.7 descreve a configurao na ferramenta SHARPE da distribuio hiperexponencial para n = 2. Os parmetros
1 e 2 representam a taxa de defeitos das respectivas distribuies exponenciais em cada

4.2. ENTRADA DE DADOS

83
poly erlang (,n) gen \
1, 0, 0 \
-1, 0, - \
- , 1, - \

n-1
CDF = 1 - i=0
(t)i/i! e-.t

CDF (n=2) = 1 - e-.t- t.e-.t

Figura 4.6: Distribuio erlang configurada na ferramenta SHARPE para o caso particular
n = 2.
estgio, enquanto que 1 e 2 indicam a probabilidade de ocorrncia de cada distribuio
n

(estgio). Lembrando que

i = 1.

i=1

poly hiperexp (1,2,1,2) gen \


1, 0, 0 \
-1, 0, -1 \
-2, 0, -2 \

CDF = 1 - ni e-i.t
i=1

CDF (n=2) = 1 - 1e-1.t 2e-2.t

Figura 4.7: Distribuio hiperexponencial configurada na ferramenta SHARPE para o caso


particular n = 2.
A distribuio determinstica, apesar de sua natureza no exponencial, tambm representada na ferramenta SHARPE. Este tipo de distribuio geralmente utilizada para
modelar sistemas com reparos automticos ou manuteno preventiva regular [Malhotra
& Reibman 1993]. Tcnicas de combinao de momento so utilizadas para aproximar a
distribuio determinstica com mdia a uma distribuio erlang de n estgios. Nesse
caso, de acordo com Malhotra & Reibman (1993) a taxa de defeitos da distribuio erlang ser igual relao descrita na equao 4.2. A ferramenta SHARPE considera o uso
de pelo menos 10 estgios (n = 10). Logo, a distribuio determinstica poder ser encontrada apenas aplicando os valores de e n nos procedimentos definidos na Figura 4.6.
=

(4.2)

Outra distribuio de natureza no-exponencial a lognormal. Nativamente, a ferramenta SHARPE no fornece suporte a distribuio lognormal, porm, uma aproximao

84

CAPTULO 4. METODOLOGIA DE AVALIAO

utilizando polinmios exponenciais pode ser encontrada em [Malhotra & Reibman 1993].
A ideia combinar os dois primeiros momentos (mdia e varincia) da distribuio lognormal com os dois primeiros momentos da convoluo de duas distribuies erlang.
Os parmetros do modelo so encontrados utilizando uma tcnica no-linear de mnimos
quadrados. Em seguida, o CDF da distribuio resultante gerado utilizando o procedimento descrito na Figura 4.3.
Um procedimento similar utilizado pela ferramenta SHARPE para aproximar a distribuio weibull. Considerando uma taxa de defeitos crescente, uma distribuio erlang
utilizada para aproximao. A ideia combinar os dois primeiros momentos da distribuio erlang com os dois primeiros momentos da distribuio weibull. Aps encontrar a
taxa de defeitos e o nmero de estgios da distribuio erlang, o procedimento definido
na Figura 4.6 pode ser utilizado. A mesma ideia adotada para uma taxa de defeitos decrescente, porm, a distribuio hiperexponencial utilizada em detrimento a distribuio
erlang [Malhotra & Reibman 1993].

4.2.3

Condio de defeito da rede

Dependendo dos requisitos impostos pelas aplicaes, falhas em dispositivos especficos podem conduzir a defeitos em toda rede. Para avaliaes mais fidedignas, deve-se
configurar na entrada da metodologia a combinao dos dispositivos que eventualmente
conduzem a um defeito na rede. Essa configurao ser utilizada como o evento topo da
rvore de falha.
A metodologia suporta condies de defeitos cuja a combinao de dispositivos possa
ser configurada utilizando as portas lgicas and, or ou k-out-n. Na prtica, qualquer
configurao pode ser utilizada. Assumindo uma rede industrial sem fio formada por 10
dispositivos de campo e 1 gateway, exemplos de condies de defeito poderiam ser:
Se os dispositivos de campo 1, 2 e 3 falharem a rede sofrer um defeito;
Se pelo menos 5 dispositivos de campo falharem a rede sofrer um defeito;
Se os dispositivos de campo 1 e 5 falharem ou se os dispositivos 1 e 4 falharem um
defeito ocorrer.
Observa-se em cenrios reais que apenas os dispositivos de campo participam diretamente do processo a ser monitorado. Os roteadores apresentam apenas a funo de
encaminhamento de mensagens. Se um roteador falhar o processo industrial ainda ser
executado devido o roteador no interferir fisicamente nas variveis. Dessa forma, apenas
dispositivos de campo so utilizados na configurao das combinaes que conduzem a

4.3. PROBLEMA K-TERMINAL

85

um defeito na rede. Obviamente, assume-se que um roteador pode falhar. Ele apenas no
utilizado na condio de defeito da rede.
Sem perda de generalidade, se a aplicao exigir que um roteador seja inserido na
condio de defeito da rede, ento basta configurar o respectivo roteador como sendo
um dispositivo de campo. Essa configurao no alterar em nada o procedimento da
metodologia proposta nesta tese.
O mesmo raciocnio vlido para o ponto de acesso e o gateway. Em caso de falha
desses dispositivos, todo a rede ir falhar e consequentemente um defeito ocorrer. Como
ser descrito nas prximas sees, falhas no ponto de acesso e no gateway j so indiretamente assumidas. Dessa forma, no h necessidade de colocar esses dispositivos na
condio de defeito da rede.

4.2.4

Mtricas de avaliao

As seguintes medidas de avaliao podem ser computadas na metodologia: confiabilidade, disponibilidade, MTTF e as medidas de importncia dos dispositivos. Dependendo
da mtrica a ser avaliada, informaes adicionais devero ser configuradas.
Para as mtricas confiabilidade e MTTF da rede e as medidas de importncia dos
dispositivos, deve-se informar a funo de confiabilidade Ri (t) (equao 3.14) para cada
dispositivo i. Note que a equao 3.14 depende da taxa de defeitos, a qual permite a
utilizao das distribuies estatsticas descritas anteriormente.
Um procedimento levemente diferente conduzido se a mtrica disponibilidade da
rede for requisitada. Nesse caso, deve-se informar as taxas de defeitos e reparaes
para cada dispositivo i. Note que para essa mtrica apenas taxas constantes (distribuio
exponencial) so suportadas, cuja disponibilidade em cada dispositivo Ai (t) calculada
conforme a equao 3.16. Outras distribuies podem tambm ser suportadas usando o
conceito de modelos hierrquicos definidos na ferramenta SHARPE. Nessa configurao,
o modelo de disponibilidade construdo primeiro (e.g. usando um modelo de dois estados baseado nos CDFs das taxas de defeitos e reparaes) e sua sada (Ai (t)) usada
para entrada de um modelo maior. Porm, a utilizao de modelos hierrquicos no
suportada pela metodologia. Essa implementao foi deixada como trabalhos futuros.

4.3

Problema k-terminal

Na metodologia proposta nesta tese, um dispositivo considerado em falha se no


existe um caminho conectando o gateway ao respectivo dispositivo. Assumindo que a

86

CAPTULO 4. METODOLOGIA DE AVALIAO

condio de defeito da rede formada por k dispositivos de campo, ento, a anlise quantitativa da dependabilidade recai no problema clssico de confiabilidade k-terminal (Seo 3.5).
Dado que o parmetro k uma entrada da metodologia, o primeiro passo encontrar
todos os caminhos entre o gateway e cada dispositivo i k. Conforme descrito no Algoritmo 1, esse procedimento realizado atravs de uma busca em profundidade no grafo
(matriz de adjacncia) que mapeia a topologia da rede (O(n log n)). A ideia do algoritmo
percorrer recursivamente toda matriz de adjacncia a partir de um dispositivo alvo at
que o gateway seja alcanado (um caminho foi encontrado). Duas restries foram introduzidas para reduzir a complexidade do algoritmo. A primeira restrio elimina buscas
desnecessrias nos vizinhos dos pontos de acessos (linha 5). Os pontos de acessos esto
diretamente ligados ao gateway e no se comunicam com outros pontos de acessos. A segunda restrio est relacionada com a eliminao de ciclos (linha 8). Durante a recurso,
um dispositivo apenas adicionado a um caminho caso no esteja naquele caminho.
Algoritmo 1: Gerao de todos caminhos entre um dispositivos e o gateway
Algoritmo: DFS (caminhos, dispositivo, caminho_atual)
Sada
: todos caminhos entre um dispositivo e o gateway.
1

2
3
4

5
6

8
9
10
11

para i 0; i < nmero de dispositivos; i ++ faa


// Se o dispositivo o gateway ento um caminho foi
encontrado
se dispositivo == gateway ento
caminhos.adiciona(caminho_atual);
break;
// No pesquisar nos vizinhos dos pontos de acessos
se dispositivo == ponto de acesso && i 6= gateway ento
break;
// Pesquisando nos dispositivos vizinhos
se matriz de adjacncia [dispositivo][i] == 1 ento
// Eliminar ciclos
se caminho_atual.est_no_caminho(i) < 0 ento
caminho_atual.adiciona(i);
DFS(caminhos,i,caminho_atual);
caminho_atual.remove;

Para auxiliar a compreenso do Algoritmo 1 iremos descrever um exemplo do fluxo


de sada, assumindo o cenrio descrito na Figura 4.2, quando todos os caminhos entre o
dispositivo de campo Fd0 e o gateway esto sendo pesquisados. O fluxo de sada deste

4.4. CONJUNTO DE CORTES MNIMOS

87

exemplo descrito na Figura 4.8. Percebe-se que apenas dois caminhos so ilustrados
(crculos em cinza escuro) por questes de espao, entretanto outros caminhos podem
ser facilmente deduzidos. O fluxo de sada inicia pelo dispositivo Fd0 e explora todos
os ramos possveis (vizinhos) at alcanar o gateway. Aps encontrar um caminho um
procedimento backtracking conduzido e outros ramos podem ser avaliados. A Figura 4.8
formada por cinco nveis. O primeiro nvel formado apenas pelo dispositivo Fd0 .
O segundo nvel formado pelos vizinhos do dispositivos Fd0 (R0 e R1 ). Os outros
nveis seguem o mesmo procedimento levando em considerao as restries impostas
pelo Algoritmo 1 (linhas 5 e 8).
F d0

R0

F d1

..
.
R1

Ap0

F d1

..
.
Gtw0

Ap0

F d1

F d2

..
.

..
.

Gtw0

Figura 4.8: Sada do Algoritmo 1 assumindo como referncia o dispositivo Fd0 da Figura 4.2.

4.4

Conjunto de Cortes Mnimos

Aps construir a estrutura de dados contendo todos os caminhos entre os dispositivos


que compem a condio de defeito da rede e o gateway, naturalmente, o passo seguinte
seria a construo da rvore de falha. Todavia, se esse procedimento for realizado a metodologia apresentar uma escalabilidade inferior a 20 dispositivos [Silva et al. 2012], como
ser descrito no prximo captulo. Dependendo da topologia, redes com at 20 dispositivos podem facilmente gerar mais de 500.000 caminhos diferentes. Se considerarmos

88

CAPTULO 4. METODOLOGIA DE AVALIAO

que um caminho formado por vrios dispositivos e que cada dispositivo ser mapeado
como um evento na rvore de falha, ento podemos concluir que a avaliao quantitativa
de tal estrutura torna-se invivel computacionalmente com o crescimento da rede. Est
limitao ocorre pois a quantidade de eventos e portas lgicas da rvore de falha cresce
fortemente com o aumento do nmero de caminhos possveis na rede.
A soluo para este problema encontra-se na utilizao de um algoritmo que simplifique a massa de dados gerada no fluxo de sada do Algoritmo 1 (caminhos entre os
dispositivos e o gateway). A ideia bsica encontrar o conjunto de cortes mnimos individualmente para cada dispositivo. O conjunto de cortes mnimos uma expresso lgica
que indica o conjunto mnimo de dispositivos cujas falhas levam a um defeito na rede.
Este procedimento descrito no Algoritmo 2.
Algoritmo 2: Procedimento utilizado para viabilizar a gerao da rvore de falha.
Algoritmo: simplificao (k dispositivos)
Parmetros: k dispositivos pertencentes a condio de defeito da rede.
Sada
: conjunto de cortes mnimos individualmente para todos os k
dispositivos.

para i 0; i < k dispositivos; i ++ faa


caminhos nulo;
caminho_atual nulo;
// Encontra todos os caminhos entre o dispositivo i e o gateway
DFS(caminhos,i,caminho_atual);
// Informa para o dispositivo i o seu respectivo conjunto de
cortes mnimos
dispositivos [i ] corte_mnimo(caminhos);

retorne dispositivos[];

1
2
3

O algoritmo utilizado para implementar a funo corte_mnimo similar ao proposto


por Shier & Whited (1985). A principal diferena que na proposta original os autores
consideraram um grafo onde apenas arestas podem falhar enquanto que na metodologia
proposta nesta tese ambos vertices (dispositivos) e arestas (enlaces de comunicao) so
passiveis de falhas.
Uma tcnica de inverso para gerao do conjunto de cortes mnimos em um grafo a
partir do conjunto de caminhos mnimos foi proposto por Locks (1978). Para o contexto
das redes industriais sem fio, um conjunto de caminhos mnimos representa combinaes
de dispositivos tal que, se todos dispositivos de pelo menos uma combinao esto funcionando corretamente, ento a rede funcionar corretamente. Locks (1978) provou que
a aplicao das leis de DeMorgan expresso do conjunto de caminhos mnimos resulta

4.4. CONJUNTO DE CORTES MNIMOS

89

na expresso de cortes mnimos em um grafo. Um algoritmo eficiente para a gerao


de cortes mnimos por inverso foi desenvolvido em [Shier & Whited 1985] baseado no
procedimento proposto em [Locks 1978]. Ressalta-se que esse algoritmo foi proposto
originalmente no mbito de grafos, sendo indita a aplicao no contexto de rvores de
falhas.
Para uma melhor compreenso do procedimento implementado na funo corte_mnimo,
considere a topologia descrita na Figura 4.9. Neste exemplo, assume-se que a condio
de defeito da rede seja composta pelo dispositivo de campo Fd2 e que apenas os enlaces
de comunicao possam falhar. Li indica que o enlace de comunicao entre dois dispositivos est operacional, enquanto que Li representa uma falha no enlace de comunicao.
Baseado em Shier & Whited (1985), o conjunto de caminhos mnimos para este cenrio
definido na equao 4.3.
Fd0
L1

Gtw

L4

L3

L2

Fd2

L5
Fd1

Figura 4.9: Topologia utilizada para exemplificar a gerao do conjunto de cortes mnimos.

L1 L4 + L2 L5 + L2 L3 L4 + L1 L3 L5

(4.3)

Em outras palavras, a rede estar operacional se os enlaces de comunicao L1 e L4 ou L2


e L5 ou L2 e L3 e L4 ou L1 e L3 e L5 estiverem operacionais. Como descrito por Locks
(1978), aplicando as leis de DeMorgan na equao 4.3 encontra-se uma expresso lgica (no simplificada) para o conjunto de cortes mnimos (equao 4.4). Aplicando as
leis da distributividade ((A + B)C = AC + BC) e absoro (A + AB = A) na equao 4.4
encontramos a expresso do conjunto de cortes mnimos na sua forma final (equao 4.5).

(L1 + L4 )(L2 + L5 )(L2 + L3 + L4 )(L1 + L3 + L5 )

(4.4)

L1 L2 + L1 L3 L5 + L2 L3 L4 + L4 L5

(4.5)

90

CAPTULO 4. METODOLOGIA DE AVALIAO

A equao 4.5 caracteriza a condio de falha do dispositivo de campo Fd2 . Em outras


palavras, o referido dispositivo considerado estar em um estado de falha (sem caminhos
para o gateway) se os enlaces de comunicao L1 e L2 ou L1 e L3 e L5 ou L2 e L3 e L4 ou
L4 e L5 no estiverem operacionais.
Por outro lado, se no exemplo da Figura 4.9 considerarmos apenas falhas de hardware,
ento o conjunto de caminhos mnimos ser diferente daquele descrito na equao 4.3.
No caso, o conjunto de caminhos mnimos descrito pela equao 4.6. De forma similar,
se aplicarmos as leis de DeMorgan e usarmos as leis da distributividade e absoro na
equao 4.6 o novo conjunto de cortes mnimos ser encontrado (equao 4.7). Em outras
palavras, assumindo apenas falhas de hardware, o dispositivo de campo Fd2 ir falhar
(sem caminhos para o gateway) se o gateway ou o prprio dispositivo Fd2 ou Fd0 e Fd1
falharem.

Fd2 Fd0 Gtw + Fd2 Fd1 Gtw + Fd2 Fd0 Fd1 Gtw + Fd2 Fd1 Fd0 Gtw

(4.6)

Gtw + Fd2 + Fd0 Fd1

(4.7)

Detalhes de implementao da funo corte_mnimo so descritos no Algoritmo 3.


Independentemente de considerar falhas nos enlaces de comunicao ou nos hardwares
dos dispositivos, todos caminhos entre os dispositivos que compem a condio de defeito da rede e o gateway precisam ser encontrados. Note que em ambas as equaes 4.3
e 4.6 quatro caminhos foram utilizados para a gerao do conjunto de cortes mnimos do
dispositivo Fd2 . Intuitivamente, aps a aplicao das leis de DeMorgan (equao 4.4),
as expresses so multiplicadas (lgica boolean) termo a termo. Por exemplo, na equao 4.4 a primeira expresso (L1 + L4 ) multiplicada pela segunda expresso (L2 + L5 )
e o resultado ento multiplicado pela terceira expresso (L2 + L3 + L4 ). O processo
repetido at que todos os caminhos tenham sido processados (linha 2 do Algoritmo 3).
Aplicando-se as leis da distributividade e absoro, Shier & Whited (1985) definiram
trs regras com o objetivo de simplificar o processo de multiplicao utilizado na equao 4.4 1 . A ideia inicial combinar duas expresses (caminhos) termo a termo e gerar
uma matriz cujo os elementos representam a multiplicao dos respectivos termos (linha 3
do Algoritmo 3). Um exemplo descrito na Figura 4.10, assumindo-se duas expresses
fictcias ( expresso 1 = (L1 + L3 L5 + L5 L6 + L3 L4 ) e expresso 2 = (L1 + L3 + L4 )).
A regra 1 define que na multiplicao de dois termos iguais a linha e a coluna da
matriz de multiplicao do respectivo resultado devem ser eliminadas (linha 6 do Algo1O

mesmo procedimento pode ser utilizado para as falhas de hardware.

4.4. CONJUNTO DE CORTES MNIMOS

91

Algoritmo 3: Procedimento utilizado na gerao dos cortes mnimos.


Algoritmo: corte_mnimo (caminhos)
Parmetros: todos caminhos entre um dispositivo e o gateway.
Sada
: conjunto de cortes mnimos para um dispositivo.
1
2
3
4
5
6
7
8
9
10
11
12

soluo caminhos.prximo_caminho();
para i 1; i < caminhos.tamanho() - 1; i ++ faa
matriz gerar_matriz(soluo,caminhos.prximo_caminho());
para m 0; m < matriz.linhas(); m ++ faa
para j 0; j < matriz.colunas(); j ++ faa
se _regra_1(matriz,m,j) ento
regra_1.adiciona(matriz [m,j ]);
remove_linha_e_coluna(m,j);
seno se _regra_2(matriz,m,j) ento
regra_2.adiciona(matriz [m,j ]);
remove_linha_ou_coluna(m,j);

seno

13

regra_3.adiciona(matriz [m,j ]);

14

simplifica(regra_3,regra_2);
soluo merge(regra_1,regra_2,regra_3);

15
16

retorne soluo;

ritmo 3). A regra 1 baseia-se na lei da absoro. Percebe-se que na Figura 4.10 (Regra 1)
a expresso L1 + L1 L3 + L1 L4 + L1 L3 L5 + L1 L5 L6 + L1 L3 L4 = L1 .
Similarmente regra 1, a regra 2 baseia-se na lei da absoro para eliminar operaes
desnecessrias na matriz de multiplicao (linha 9 do Algoritmo 3). A saber, se a multiplicao termo1 termo2 = termo1 , ento a linha da matriz de multiplicao referente ao resultado dever ser eliminada. Esta propriedade pode ser observada na Figura 4.10 (Regra
2). Note que a seguinte relao pode ser simplificada: L3 L5 + L1 L3 L5 + L3 L4 L5 = L3 L5 .
Analisando o algoritmo original [Shier & Whited 1985] percebeu-se que se a multiplicao termo1 termo2 = termo2 ocorrer, ento a coluna do respectivo resultado poder
ser eliminada da matriz de multiplicao. Essa variao no foi considerada no algoritmo
original e contribui ainda mais para a simplificao das operaes.
Finalmente, os resultados que no foram eliminados pela duas regras anteriores ainda
precisam ser analisados antes de entrarem na soluo final. Simplificaes podem ser
realizadas comparando estes resultados com os resultados da regra 2 (linha 14 do Algoritmo 3). Nota-se que no existe a necessidade de comparar com os resultados da regra 1
haja vista que todas as linhas e colunas da matriz so eliminadas. Adicionalmente, ape-

92

CAPTULO 4. METODOLOGIA DE AVALIAO

Matriz de Multiplicao

Regra 1

L1

L3

L4

L1

L1 L3

L1 L4

L3 L5

L1 L3 L5

L3 L5

L3 L4 L5

L5 L6

L1 L5 L6

L3 L5 L6

L3 L4

L1 L3 L 4

L3 L4

L1

L1

L3

L4

L1

L1 L3

L1 L4

L3 L5

L1 L3 L5

L3 L5

L3 L4 L5

L 4 L5 L 6

L5 L6

L1 L5 L6

L3 L5 L6

L 4 L5 L 6

L3 L4

L3 L4

L1 L3 L 4

L3 L4

L3 L4

L1

Regra 2

Regra 3

L1

L3

L4

L1

L1 L3

L1 L4

L3 L5

L1 L3 L5

L3 L5

L3 L4 L5

L5 L6

L1 L5 L6

L3 L5 L6

L3 L4

L1 L3 L 4

L3 L4

L1

L1

L3

L4

L1

L1 L3

L1 L4

L3 L5

L1 L3 L5

L3 L5

L3 L4 L5

L 4 L5 L 6

L5 L6

L1 L5 L6

L3 L5 L6

L 4 L5 L 6

L3 L4

L3 L4

L1 L3 L 4

L3 L4

L3 L4

L1

Figura 4.10: Simplificao utilizada na gerao do conjunto de cortes mnimos.


nas faz sentido as simplificaes dos resultados de uma mesma coluna. Por exemplo, na
Figura 4.10 (Regra 3), o termo L4 L5 L6 no pode ser simplificado pelos termos L3 L5 ou
L3 L4 devido estarem em colunas diferentes na matriz de multiplicao. Por outro lado a
simplificao j possvel para termo L3 L5 L6 . Perceba que a seguinte relao vlida:
L3 L5 L6 + L3 L5 = L3 L5 .
A soluo final da multiplicao entre duas expresses (caminhos) formada pelos
resultados das regras 1, 2 e 3. Aps processar todos os caminhos entre o dispositivo alvo
e o gateway o conjunto de cortes mnimos para o respectivo dispositivo ento encontrado
(linha 16 do Algoritmo 3).

4.5

Gerao da rvore de Falha

O procedimento utilizado para a gerao automtica da rvore de falha depende das


estruturas de dados descritas nas sees anteriores. O Algoritmo 4 descreve sucintamente
as etapas necessrias para realizao do respectivo procedimento. O primeiro passo
obter todos os k dispositivos que fazem parte da condio de defeito da rede. Essa informao utilizada para gerar o conjunto de cortes mnimos individualmente para cada k
dispositivo. Em seguida, na expresso que descreve a condio de defeito da rede, a ocorrncia de cada k dispositivo substituda por seu respectivo conjunto de cortes mnimos.

4.5. GERAO DA RVORE DE FALHA

93

Finalmente, a rvore de falha gerada.


As informaes relevantes implementadas na funo gerar_rvore_de_falha esto relacionadas com o mapeamento das falhas de hardware e enlaces de comunicao nos
cenrios com/sem redundncia e defeitos em modo comum. Outros aspectos descrevem
o acoplamento entre o respectivo mapeamento, conjunto de cortes mnimos e a condio
de defeito da rede. A seguir todas essas caractersticas sero descritas em detalhes.
Algoritmo 4: Procedimento utilizado na gerao da rvore de falha.
Algoritmo: rvore_de_falha ()
Sada
: rvore de falha relacionada com a rede industrial sem fio.
1
2
3
4

dispositivos defeito_da_rede.dispositivos();
cortes simplificao(dispositivos);
defeito_da_rede.configurar(cortes);
gerar_rvore_de_falha(defeito_da_rede);

4.5.1

Falhas de hardware

As falhas de hardware so definidas levando-se em considerao trs caractersticas:


o tipo de dispositivo, natureza do dispositivo e presena de eventos dependentes. As
Figuras 4.11 e 4.12 ilustram o mapeamento das falhas de hardware na rvore de falha.
Um dispositivo i pode ser configurado entre quatro tipos: dispositivo de campo, ponto
de acesso, gateway e roteador. Cada tipo de dispositivo representado respectivamente
pelos eventos Fdi , Api , Gtwi e Ri . Sem perda de generalidade, nas Figuras 4.11 e 4.12
estes eventos foram substitudos pelo rtulo Ei .
Em relao natureza do dispositivo, duas classificaes so suportadas: com redundncia e sem redundncia. Na primeira classificao assumido uma redundncia
ativa configurada com um modelo quente. Nas Figuras 4.11 e 4.12, um dispositivo
redundante representado pela porta lgica and nomeada por and_Ei . Assumindo-se a
ausncia de defeitos em modo comum (CCF), uma falha de hardware para um dispositivo
redundante apenas ocorrer se todos os dispositivos sobressalentes (Ei_a . . . Ei_z ) falharem.
Situao contrria ocorre com o dispositivo sem redundncia, onde apenas uma falha de
hardware ocasiona a falha do respectivo dispositivo (evento Ei_a na Figura 4.11).
A considerao de cenrios com defeitos em modo comum alteram o mapeamento das
falhas de hardware. Perceba as diferenas visveis presentes nas Figuras 4.11 e 4.12. A
presena de um defeito em modo comum (evento CCFi ) provoca uma falha no dispositivo independente do uso de redundncia (Figura 4.12). Dependendo dos requisitos das

94

CAPTULO 4. METODOLOGIA DE AVALIAO

Ei

Ei
and_Ei

and

Fdi
Api
Gtwi
Ri

Ei

...
Ei_a Ei_z

Ei_a

Redundncia

Sem redundncia

Figura 4.11: Falhas de hardware sem defeitos em modo comum (CCF).


aplicaes, diversos defeitos em modo comum podem ser configurados. Uma porta lgica or nomeada por or_Ei foi adicionada ao modelo com o intuito de representar que um
dispositivo pode falhar devido a problemas de hardware ou defeitos em modo comum.

Ei

Ei

or_Ei

or_Ei
or

or

and_Ei
and

...
CCF1 CCFk

...
Ei_a Ei_z

Ei_a

...
CCF1 CCFk

Sem redundncia

Redundncia
Figura 4.12: Falhas de hardware com defeitos em modo comum (CCF).

4.5.2

Falhas nos enlaces de comunicao

As falhas nos enlaces de comunicao so mapeadas de uma maneira mais simples


na rvore de falha do que as falhas de hardware. Primeiro, no existe variaes de tipos,
tampouco configuraes de redundncia. A nica configurao a ser realizada diz respeito ao uso de cenrios com defeitos em modo comum. A Figura 4.13 ilustra o referido
mapeamento.
A falha no enlace de comunicao i mapeada no evento linki_a . A letra a no nome
do evento foi utilizada para reforar a ideia que os enlaces no so configurados com
redundncia. Se defeitos em modo comum no so suportados, ento falhas nos enlaces

4.5. GERAO DA RVORE DE FALHA

95

Linki

Linki
or_linki
or

Linki_a
Sem defeitos em
modo comum

Linki_a

...
CCF1 CCFk

Com defeitos em
modo comum

Figura 4.13: Mapeamento das falhas nos enlaces de comunicao.


de comunicao ocorrem devido um nico problema (rudo, interferncia, bloqueio de
sinal, etc). Por outro lado, se defeitos em modo comum (evento CCFi ) so considerados,
situaes adicionais podem provocar a falha em um mesmo enlace de comunicao. A
combinao de diferentes possibilidades de falhas mapeada na porta lgica or nomeada
por or_linki .
O suporte aos defeitos em modo comum fundamental para a modelagem mais fidedigna do comportamento da rede. Os enlaces de comunicao esto sujeitos a diferentes
tipos de agentes externos que podem provocar a interrupo da comunicao em vrios
enlaces simultneos.

4.5.3

Mapeamento dos cortes mnimos

O mapeamento na rvore de falha do conjunto de cortes mnimos uma dos procedimentos mais importantes da metodologia. Lembrando que o conjunto de cortes mnimos
indica a condio de falha (simplificada) para cada dispositivo2 . Conforme descrito nas
equaes 4.5 e 4.7, o conjunto dos cortes mnimos representado por combinaes de
portas lgicas and, or e eventos individuais. A Figura 4.14 ilustra o respectivo mapeamento na rvore de falha.
Cada combinao representada pelo evento comb_i_and_Ei , onde i indica a identificao da combinao. Eventualmente, combinaes podem ser formadas por um nico
evento. Por exemplo, na equao 4.7 o conjunto de cortes mnimos para o dispositivo Fd2
formado por 3 combinaes, sendo duas delas formadas por um nico evento.
Observe que apenas um tipo de falha (hardware ou enlace de comunicao) poder
ser avaliado em cada modelo (Ei Linki ). A mistura de tipos diferentes de eventos no
2 Obviamente,

estamos supondo que o dispositivo em questo membro da condio de defeitos da rede.

96

CAPTULO 4. METODOLOGIA DE AVALIAO

cortes_Ei
or_cortes_Ei

...

...
comb_1_and_Ei

and

Ei
Linki

or

and

comb_k_and_Ei

Figura 4.14: Mapeamento na rvore de falha do conjunto de cortes mnimos para um


dispositivo.
suportada pela metodologia. Mesmo considerando falhas permanentes para os enlaces
de comunicao, anlises conjuntas com falhas de hardware resultariam em concluses
inconsistentes pois estaramos comparando escalas temporais diferentes (horas e anos).
Questes relacionadas com a no utilizao da tcnica de cortes mnimos
Esta subseo descreve o mapeamento da condio de defeito para um dispositivo
assumindo-se que a tcnica dos cortes mnimos no foi empregada. Essa abordagem
no garante a escalabilidade da metodologia, porm, sua descrio fundamental para
esclarecer as diferenas quando a tcnica dos cortes mnimos considerada. A Figura 4.15
ilustra o referido mapeamento.
sem_cortes_Ei

pathi

pathi

and

or

or

...

...

...

pathi pathn

Ei Ek

Linki Linkk

k-terminal

Falhas de hardware

Falhas nos enlaces


de comunicao

Figura 4.15: Condio de defeito dos dispositivos sem a tcnica dos cortes mnimos.
Devido no apresentar suporte a tcnicas de simplificao, a condio de defeito para
um dispositivo relacionada diretamente ao problema k-terminal. Em outras palavras, o
dispositivo considerado estar no estado de falha se todos os caminhos entre o respectivo

4.5. GERAO DA RVORE DE FALHA

97

dispositivo e o gateway esto indisponveis. Um caminho considerado indisponvel


se pelo menos um dispositivo ou enlace de comunicao ao longo do caminho falhar.
Percebe-se que a definio dos eventos Ei e Linki so similares aos modelos descritos nas
Figuras 4.11, 4.12 e 4.13. Assim, o mapeamento bruto de toda essa estrutura limitaria
a escalabilidade da metodologia a poucos dispositivos devido a quantidade de eventos e
portas lgicas da rvore de falha crescer fortemente com o tamanho da rede.

4.5.4

Mapeamento das condies de defeito da rede

Apesar de ser um dos primeiros parmetros a ser configurado na metodologia proposta, a condio de defeito da rede a ltima estrutura de dados a ser mapeada na rvore
de falha. Este mapeamento tem um papel de grande importncia devido representar o
evento topo da rvore de falha. Todas as estruturas de dados descritas anteriormente so
combinadas para a formao do evento topo e consequentemente para criao da rvore
de falha. O respectivo mapeamento descrito na Figura 4.16.

Topo
cortes_Ei
condio_final

?or

...
condio_1

? ?

or, and,

? k-out-n
...
condio_k

Figura 4.16: Mapeamento na rvore de falha da condio de defeito da rede.


Conforme discutido anteriormente, apenas dispositivos de campo so utilizados na
condio de defeito da rede. A ocorrncia de cada dispositivo substituda por seu respectivo conjunto de cortes mnimos (evento cortes_Ei ). As combinaes de defeitos podem
ser configuradas utilizando as portas lgicas or, and, k out n ou eventos individuais
(cortes_Ei ).

4.5.5

Gerao do cdigo fonte (SHARPE)

A ferramenta SHARPE fornece diversos procedimentos grficos e textuais (linguagem


de programao dedicada) para a modelagem e avaliao das rvores de falhas. O obje-

98

CAPTULO 4. METODOLOGIA DE AVALIAO

Variveis

tivo da metodologia construir e analisar as rvores de falhas automaticamente. Dessa


forma, foi utilizado apenas os procedimentos textuais da ferramenta SHARPE. Devido
linguagem de programao disponibilizada por esta ferramenta ser bastante intuitiva, o
procedimento para gerao automtica do cdigo fonte correspondente a uma rvore de
falha pode ser facilmente implementado. Um exemplo deste procedimento descrito na
Figura 4.17.

Topo

porta_1

or
a b

porta_2 2-out
of-3

bc d

Modelo

porta_3 and

bind
prob_a
prob_b
prob_c
prob_d
end
ftree
basic
repeat
basic
basic

0.8
0.2
0.1
0.4

a
b
c
d

meu_modelo
exp(prob_a)
exp(prob_b)
exp(prob_c)
exp(prob_d)

or porta_1 a b
kofn porta_2 2, 3 b c d
and porta_3 porta_1 porta_2
end

Figura 4.17: Mapeamento de uma rvore de falha na ferramenta SHARPE.


O cdigo fonte gerado dividido em duas partes: definio de variveis e construo
do modelo. Na primeira parte, as variveis do modelo so definidas cujos valores esto
relacionados com as propriedades das distribuies estatsticas. Na Figura 4.17 foi utilizado a distribuio exponencial (exp) apenas para exemplificar esta funcionalidade. As
distribuies estatsticas dos eventos so informados na entrada da metodologia.
A segunda parte do cdigo fonte responsvel pela configurao dos eventos e das
portas lgicas que modelam a rvore de falha. Alm da distribuio estatstica que representa o comportamento das falhas, um evento configurado em bsico (basic) ou repetido
(repeat). Na metodologia proposta, os eventos so classificados aps uma busca em toda
a rvore de falha. Se uma nica ocorrncia observada, ento o evento classificado
como bsico, caso contrrio classificado como repetido. Em relao a configurao das
portas lgicas, perceba que as configuraes so realizadas por nveis. Primeiro so configurados os nveis inferiores, em seguida os nveis superiores so configurados at que o
evento topo seja alcanado.

4.5. GERAO DA RVORE DE FALHA

4.5.6

99

Exemplo

Para facilitar a compreenso do procedimento utilizado para gerar a rvore de falha,


nesta subseo apresentado um exemplo completo ilustrando todas as etapas descritas
anteriormente. Assume-se a topologia da rede como descrita na Figura 4.9 e a condio
de defeito da rede igual a Fd0 + Fd1 Fd2 . Em outras palavras, um defeito na rede ir
ocorrer se o dispositivo Fd0 ou os dispositivos Fd1 e Fd2 falharem. Adicionalmente,
tambm assume-se que os dispositivos no so redundantes e defeitos em modo comum
no so suportados. A rvore de falha para este exemplo descrita na Figura 4.18.

Topo
condio_final

or

condio_1 and

or_cortes_Fd0 or
Gtw0 Fd0

or_cortes_Fd1 or
Gtw0 Fd1

or_cortes_Fd2

or

Gtw0
Fd2

and comb_1_and_Fd2
Fd0 Fd1

Figura 4.18: rvore de falha para a rede da Figura 4.9 assumindo a seguinte condio de
defeito: Fd0 + Fd1 Fd2 .
O primeiro passo para a gerao da rvore de falha a identificao dos dispositivos que compem a condio de defeito. No caso, os dispositivos so Fd0 , Fd1 e Fd2 .
Em seguida, encontra-se o conjunto de cortes mnimos para cada um desses dispositivos. O conjunto de cortes mnimos representado pelas portas lgicas nomeadas por
or_cortes_Fdi (i {0, 1, 2}). Finalmente, basta substituir a ocorrncia de cada dispositivo
na condio de defeito por seu conjunto de cortes mnimos (porta lgica condio_final).
Em relao gerao do cdigo fonte na ferramenta SHARPE, a Figura 4.19 descreve
o respectivo mapeamento assumindo-se a rvore de falha da Figura 4.18. Os valores das

100

CAPTULO 4. METODOLOGIA DE AVALIAO

variveis correspondentes s distribuies estatsticas foram omitidos por simplificao.


Percebe-se tambm que apenas o evento Fd2 foi configurado como bsico (basic), todos
os outros eventos ocorrem mais de uma vez na rvore de falha e dessa forma so configurados como repetidos (repeat). As partes relacionadas com o conjunto de cortes mnimos e
a configurao das condies de defeito na rede foram destacadas no cdigo fonte. Como
descrito anteriormente, a rvore de falha construda por nveis. No caso, primeiro so
construdos os conjuntos de cortes mnimos para cada dispositivo que formam a condio
de defeito da rede e logo em seguida a condio de defeito representada.
Ftree meu_modelo
repeat Gtw0 exp(prob_Gtw0)
repeat Fd0 exp(prob_Fd0)
repeat Fd1 exp(prob_Fd1)
basic Fd2 exp(prob_Fd2)
Cortes mnimos (Fd0)
Cortes mnimos (Fd1)
Cortes mnimos (Fd2)
Condio de defeito
da rede

or
or
and
or

or_cortes_Fd0
or_cortes_Fd1
comb_1_and_Fd2
or_cortes_Fd2

Gtw0 Fd0
Gtw0 Fd1
Fd0 Fd1
Gtw0 Fd2 comb_1_and_Fd2

and condio_1
or_cortes_Fd1 or_cortes_Fd2
or condio_final or_cortes_Fd0 condio_1
end

Figura 4.19: Cdigo fonte da ferramenta SHARPE para a rvore de falha da Figura 4.18.

4.6

Avaliao da rvore de Falha

Aps a construo do cdigo fonte que mapeia as condies de defeito da rede industrial sem fio em um rvore de falha, avaliaes quantitativas podem ser realizadas. Todo
procedimento de avaliao conduzido utilizando-se as funcionalidades j implementadas na ferramenta SHARPE (mtodos tvalue, mean, bimpt e cimpt). A funo tvalue
utilizada nas mtricas confiabilidade e disponibilidade, enquanto que a funo mean
utilizada para calcular o MTTF da rede. As medidas de importncia so computadas utilizando as funes bimpt (Birnbaum) e cimpt (Criticalidade). A medida de importncia
Fussel-Vesely no suportada pela ferramenta SHARPE. Um exemplo de utilizao dessas
funes descrito na Figura 4.20.
Com exceo da mtrica MTTF, todas as mtricas utilizam como parmetro o tempo
(varivel t). O nome do modelo (meu_modelo), que representa a rvore de falha, obri-

4.7. CONSIDERAES FINAIS


func Confiabilidade(t) 1- tvalue (t; meu_modelo)
loop t, tempo_inicial, tempo_final, passo
expr Confiabilidade(t)
end
func Disponibilidade(t) 1- tvalue (t; meu_modelo)
loop t, tempo_inicial, tempo_final, passo
expr Disponibilidade(t)
end
func MTTF mean (meu_modelo)
expr MTTF
end

101

func Birnbaum(t) bimpt (t; meu_modelo; evento)


loop t, tempo_inicial, tempo_final, passo
expr Birnbaum(t)
end
func Criticalidade(t) cimpt (t; meu_modelo; evento)
loop t, tempo_inicial, tempo_final, passo
expr Criticalidade(t)
end

Figura 4.20: Procedimentos utilizados para a avaliao quantitativa da rvore de falha.


gatrio para todas as mtricas. Adicionalmente, as mtricas que avaliam a importncia
dos dispositivos exigem a especificao de um evento alvo (dispositivo).

4.7

Consideraes Finais

Este captulo descreveu a proposta da referida tese, cujo objetivo principal avaliar
a dependabilidade (confiabilidade e disponibilidade) das redes industriais sem fio. Esta
avaliao pode ser utilizada como um guia para o projeto/modelagem das redes industriais
sem fio. A seguir listamos as principais contribuies:
Metodologia para anlise da dependabilidade das redes industriais sem fio. Ressaltandose que a metodologia independente de ferramentas (resolvedores de rvores de falhas) j desenvolvidas. Utilizamos a ferramenta SHARPE por ser bastante difundida
no meio acadmico, porm, poderamos ter desenvolvido a nossa prpria ferramenta.
Simplificao do algoritmo para gerao de todos os caminhos entre um dispositivo e o gateway. Foram inseridos duas restries (ciclos e vizinhos dos pontos de
acessos) para limitar a recurso.
Mapeamento do problema k-terminal, originalmente aplicado a redes de computadores, ao formalismo das rvores de falhas.
Melhoria no algoritmo de gerao do conjunto de cortes mnimos.
Aplicao do algoritmo que encontra o conjunto de cortes mnimos, originalmente
aplicados em grafos, ao domnio das rvores de falhas.

102

CAPTULO 4. METODOLOGIA DE AVALIAO

Captulo 5
Validao da Metodologia

Este captulo tem como objetivo validar a metodologia proposta nesta tese. A ideia
avaliar diversos cenrios correspondentes a topologias de redes tipicamente encontradas
em ambientes industriais, onde todas as funcionalidades suportadas pela metodologia podem ser validadas. Foram considerados trs cenrios de avaliao. No primeiro cenrio
a dependabilidade de redes industriais sem fio foram avaliadas considerando topologias
estrela, linha e cluster. O segundo cenrio de avaliao destinado anlise de defeitos
em modo comum, enquanto que o terceiro cenrio avalia as melhores prticas a serem seguidas na construo de uma rede industrial sem fio. O captulo encerra com uma anlise
do desempenho da metodologia proposta.

5.1

Cenrio I

Nesse primeiro cenrio de avaliao vamos considerar a anlise da dependabilidade


das redes industriais sem fio para as topologias estrela, linha e cluster. As mtricas confiabilidade, disponibilidade, MTTF e as medidas de importncia sero avaliadas considerando falhas de hardware. Adicionalmente, a mtrica disponibilidade tambm ser avaliada considerando falhas nos enlaces de comunicao. Assume-se um cenrio sem defeitos em modo comum, porm, quando referenciado os dispositivos podem ser configurados
com redundncia.

5.1.1

Topologia estrela

Uma srie de suposies foram consideradas na avaliao da topologia estrela. Em relao a taxa de defeitos, considera-se que os dispositivos apresentam uma taxa constante
(i.e, distribuio exponencial). O gateway e o ponto de acesso apresentam tipicamente
confiabilidade superior aos outros dispositivos da rede. Dessa forma, o gateway e o ponto

104

CAPTULO 5. VALIDAO DA METODOLOGIA

de acesso foram configurados com uma taxa de defeitos uma ordem de magnitude inferior aos dispositivos de campo. A taxa de defeitos para os dispositivos desconhecida,
entretanto, pode-se utilizar intervalos de valores para medir diferentes comportamentos
(anlise de sensibilidade). Ns assumimos MTTF (horas) nos intervalos de 1 ano (
=
1e4 horas1 ), 5 anos (
= 1e5 horas1 ). Nessa primeira
= 2e5 horas1 ) e 10 anos (
avaliao no foram considerados falhas nos enlaces de comunicao tampouco aes de
reparaes.
Para avaliao da dependabilidade, considerou-se uma aplicao que monitora a temperatura de quatro caldeiras. Em cada caldeira instalado um dispositivo de campo (sem
fio). A topologia para essa aplicao ilustrada na Figura 5.1. Nesse contexto, assume-se
que a aplicao ter um defeito se pelo menos um dos dispositivos de campo falhar.

Gateway

Ponto de
Acesso

Dispositivo de Campo
Figura 5.1: Topologia estrela formada por quatro dispositivos de campo.
intuitivo pensar que a confiabilidade da rede ir aumentar quanto mais confivel for
os dispositivos utilizados. Este comportamento descrito na Figura 5.2. Sem considerar
o uso de redundncia (sr), o cenrio cujo os dispositivo de campo possuem uma taxa de
defeitos de 1E4 (MTTF1 ano) apresenta uma confiabilidade da rede menor do que
todos os outros cenrios onde dispositivos mais confiveis foram considerados.
Em relao s exigncias de dependabilidade, decises de projeto so comumente
relacionadas com a escolha de dispositivos mais confiveis (possivelmente mais caros)
ou dispositivos menos confiveis (possivelmente mais baratos). Em geral, tal deciso
envolve polticas globais que visam aumentar a confiabilidade das aplicaes, levandose em considerao oramentos rgidos. Os resultados presentes na Figura 5.2 podem

5.1. CENRIO I

105

Confiabilidade da Rede

contribuir para auxiliar estas decises uma vez que ilustra a influncia dos dispositivos na
confiabilidade da rede.

1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
0

20000

40000

60000

80000

100000

Tempo(horas)
MTTF = 1 ano (sr)
MTTF = 1 ano (1r)
MTTF = 1 ano (2r)

MTTF = 5 anos (sr)


MTTF = 10 anos (sr)

Figura 5.2: Avaliao da confiabilidade de uma rede industrial sem fio considerando topologia estrela.
Por outro lado, em alguns casos pode ocorrer que as aplicaes tenham requisitos
rgidos de confiabilidade, porm a aquisio de dispositivos mais confiveis no seja uma
opo de projeto. Uma possvel soluo para este problema o uso de redundncia. Por
exemplo, considere que os dispositivos da rede industrial sem fio da Figura 5.1 possuem
uma taxa de defeitos de 1E4 e uma tcnica de redundncia ativa (modelo quente)
tenha sido configurada. Dependendo do nmero de dispositivos reservas utilizados, a
confiabilidade da rede poder alcanar nveis comparados com cenrios onde dispositivos
mais confiveis (sem redundncia) foram usados.
De acordo com os resultados mostrados na Figura 5.2, quando apenas um dispositivo
reserva (1r) usado em cada dispositivo de campo, durante 20000 h a rede industrial sem
fio alcana nveis de confiabilidade comparveis com o cenrio onde dispositivos cinco
vezes mais confiveis foram adotados. Em contrapartida, se dois dispositivos reservas (2r)
so utilizados em cada dispositivo de campo, a confiabilidade da rede durante 35000 h
apresentar nveis de confiabilidade comparveis queles encontrados nos cenrios onde

106

CAPTULO 5. VALIDAO DA METODOLOGIA

dispositivos dez vezes mais confiveis foram utilizados. Adicionalmente, durante 60000 h
a confiabilidade da rede tem um desempenho comparado a uma rede cujos dispositivos so
cinco vezes mais confiveis. Este ltimo resultado trs vezes melhor do que o cenrio
onde apenas um dispositivo reserva (1r) foi adotado em cada dispositivo de campo.
Uma outra forma de avaliar a influncia da redundncia na rede atravs da anlise
do MTTF, cujo resultado diretamente relacionado com as condies de defeito da rede.
Considerando-se o uso da porta lgica k-out-n, pode-se testar uma grande diversidade de
configuraes para as condies de defeito. Assume-se aqui quatro condies de defeito:
caso I, pelo menos um dispositivo de campo falha; caso II, pelo menos dois dispositivos
falham; caso III, pelo menos trs dispositivos falham; caso IV, todos dispositivos falham.
Ressalta-se que para cada caso todas as combinaes possveis so consideradas. Os
resultados so descritos na Figura 5.3. Nessa situao, se a condio de defeito da rede foi
configurada para o caso I, ento a adoo de um dispositivo reserva para cada dispositivo
de campo aumentar o MTTF da rede em aproximadamente 125%. Por outro lado, se
uma redundncia dupla for configurada, a taxa de aumento no MTTF da rede ser de
aproximadamente 220%. A diferena entre essas duas abordagens ir decrescer com a
configurao de condies de defeito mais otimistas. Nota-se que para o caso I, a condio
de defeito muito pessimista, o contrrio observado no caso IV. No caso I, se um
dispositivo falhar a rede ter um defeito, logo, a influncia de uma redundncia dupla em
detrimento a simples ter um impacto grande. No caso IV, todos os dispositivos precisam
falhar para a rede ter um defeito. Isto explica porque o impacto entre ter redundncia
simples ou dupla menor no caso IV do que no caso I. Esta anlise pode ser utilizada
para adequar os requisitos das aplicaes em tempo de projeto de rede.

5.1.2

Topologia linha

As topologias em linha so comumente utilizadas em ambientes industriais, principalmente no monitoramento de dutos [EL-DARYMLI et al. 2009, Jawhar et al. 2008].
Nas redes industriais sem fio configuradas com essa topologia, a informao repassada
dispositivo a dispositivo at que o gateway seja alcanado. Se um dispositivo ao longo
do caminho falhar o monitoramento ficar comprometido. A Figura 5.4 descreve um
exemplo de topologia linha comumente utilizada em redes industriais sem fio.
Para avaliao da dependabilidade deste cenrio, assumem-se taxas de defeito constante
(i.e, distribuio exponencial), com o gateway e o ponto de acesso apresentando taxas cujos valores so uma ordem de magnitude inferior s taxas dos dispositivos de campo (FD

= 1e4 horas1 e Gtw = AP


= 1e5 horas1 ). Similarmente a Seo 5.1.1, aqui no

Aumento no MTTF da rede(%)

5.1. CENRIO I

107

200

Cada dispositivo de campo tem 1 reserva


Cada dispositivo de campo tem 2 reservas

150
100
50
0
1 k-out 4

2 k-out 4

3 k-out 4

4 k-out 4

Condies de defeito da rede

Figura 5.3: Influncia das condies de defeito e nvel de redundncia para o MTTF da
rede.
Gateway

Fd1

Fd2

Fd3

Fd4

Ponto de Acesso

Figura 5.4: Topologia linha tipicamente utilizada em ambientes industriais.


foram consideradas falhas nos enlaces de comunicao tampouco aes de reparaes.
Os valores reais das taxas de defeitos so desconhecidos, porm, os valores aqui considerados so suficientes para a anlise que estamos propondo. O objetivo dessa avaliao
est relacionada com a identificao de comportamentos e tendncias. O clculo de valores extremamente realistas das propriedades de dependabilidade para as redes industriais sem fio extrapola o escopo de avaliao.
Sendo assim, nesta seo descreve-se um procedimento onde gargalos da rede so
identificados a partir das mtricas de importncia da rvore de falha. A identificao
de gargalos na rede, ainda na fase de projeto, pode guiar projetistas a escolherem quais
dispositivos sero configurados com redundncia. A Figura 5.4 descreve o cenrio desta
avaliao.
Independente da aplicao a ser considerada, de fundamental importncia classificar
os dispositivos na rede pelo grau de relevncia. Na seo Seo 3.4.3 foram descritos

108

CAPTULO 5. VALIDAO DA METODOLOGIA

diversas mtricas para realizao de tal procedimento. Inicialmente vamos considerar a


mtrica Birnbaum, a qual avalia a probabilidade de um dispositivo ser crtico. Se um
dispositivo considerado crtico, ento sua falha ir acarretar em um defeito na rede.
Assume-se quatro condies de defeito na rede: caso 1, pelo menos um dispositivo de
campo falha; caso 2, pelo menos dois dispositivo de campo falham; caso 3, pelo menos
trs dispositivos de campo falham; caso 4, todos dispositivos falham. Os resultados so
descritos na Figura 5.5.

Fd1, Fd2, Fd3, Fd4


Gtw, AP

Birnbaum(t)

1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

2500 5000 7500 10000

Fd2, Fd3, Fd4


Gtw, AP

2500 5000 7500 10000

Tempo (horas)

Tempo (horas)

Caso 3: 3 kout 4

Caso 4: 4 kout 4

Fd3, Fd4
Gtw, AP

Birnbaum(t)

1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

Caso 2: 2 kout 4

2500 5000 7500 10000


Tempo (horas)

Birnbaum(t)

Birnbaum(t)

Caso 1: 1 kout 4

1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

Fd4
Gtw, AP

2500 5000 7500 10000


Tempo (horas)

Figura 5.5: Medida de importncia dos dispositivos considerando a mtrica Birnbaum e


topologia em linha.
Ressalta-se que independentemente do caso considerado, o gateway e o ponto de
acesso so menos crticos (valores so inferiores nas curvas) do que os dispositivos de
campo. Este resultado devido ao fato do gateway e do ponto de acesso terem sido configurados com taxas de defeitos muito mais confiveis do que os dispositivos de campo.
Para o caso 1, considera-se que a rede ter um defeito se pelo menos um dispositivo de
campo falhar. Assumindo as mesmas taxas de defeitos para todos os dispositivos, a probabilidade de um dispositivo ser crtico tambm ser a mesma para todos. Por outro lado, no
caso 2 considera-se que a rede ter um defeito se pelo menos dois dispositivos de campo

5.1. CENRIO I

109

falhar. Sendo assim, de acordo com a topologia descrita na Figura 5.4, o dispositivo Fd1
nunca poder ser crtico pois sua falha nunca implicar na falha de pelo menos dois dispositivos. Na verdade, a falha do dispositivo Fd1 apenas implica na sua prpria falha.
Considerando a mesma explicao para o caso 1, os dispositivos Fd2 , Fd3 e Fd4 tero
as mesmas probabilidades de ser crticos que as no caso 2. Se o dispositivo Fd2 falhar,
o dispositivo Fd1 tambm ir falhar pois no existir caminho para gateway. O mesmo
vlido para falhas nos dispositivos Fd3 e Fd4 . Em outras palavras, no caso 2 a rede
ter um defeito se os dispositivos Fd2 ou Fd3 ou Fd4 falharem. Explicao similar pode
ser deduzida para os casos 3 e 4. Ressaltando-se apenas que a medida Birnbaum para os
dispositivos Fd1 e Fd2 no caso 3 nula, enquanto que no caso 4 a medida Birnbaum
nula para os dispositivos Fd1 , Fd2 e Fd3 .
Outra possibilidade de classificar a relevncia dos dispositivos atravs da medida de
criticalidade. Esta mtrica calcula a probabilidade de que o defeito na rede tenha sido
provocado por um determinado dispositivo. Sua funo est diretamente vinculada s
aes de reparaes. Para esta avaliao foram considerados quatro novas condies de
defeito na rede: caso 1, falha no dispositivo Fd1 ; caso 2, falha no dispositivo Fd2 ; caso
3, falha no dispositivo Fd3 ; caso 4, falha no dispositivo Fd4 . O objetivo aqui avaliar
separadamente a influncia de cada dispositivo de campo na rede. Os resultados so
descritos na Figura 5.6.
Cada dispositivo de campo i foi avaliado no caso i (e.g Fd1 foi avaliado no caso 1).
Adicionalmente, o gateway e o ponto de acesso foram avaliados considerando-se a condio de defeito do caso 4, pois nesse cenrio esses dispositivos apresentam maior relevncia. Os resultados, como esperado, mostraram que o dispositivo Fd4 o que apresenta
os maiores valores para a mtrica criticalidade. De fato, se o dispositivo Fd4 falhar toda
a rede ir falhar, pois a comunicao com o gateway ficar interrompida. Sendo assim,
existe uma maior probabilidade que um defeito na rede tenha sido provocado por uma
falha no dispositivo Fd4 . Similarmente ao exemplo anterior, a influncia do gateway e
ponto de acesso foram inferiores aos dispositivos de campo devido a considerao que os
primeiros so muito mais confiveis.
Uma configurao muito comum na prtica a utilizao de redundncia. Intuitivamente, configura-se o dispositivo mais crtico da rede com dispositivos reservas. A
anlise da mtrica criticalidade pode ser utilizada justamente na identificao deste dispositivo. Para avaliar o impacto do uso de redundncia (assumindo-se uma tcnica modelo quente), iremos considerar os mesmos cenrios da avaliao da mtrica criticalidade, porm a mtrica de avaliao ser o MTTF da rede devido esta poder descrever
uma viso mais global no impacto em utilizar redundncia. O objetivo configurar os

Medida de Importncia - Criticalidade

110

CAPTULO 5. VALIDAO DA METODOLOGIA

1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
0

1000 2000 3000 4000 5000 6000 7000 8000 9000


Tempo(horas)
Fd1
Fd2

Fd3
Fd4

Gtw, Ap

Figura 5.6: Medida de importncia dos dispositivos considerando a mtrica criticalidade.


dispositivos de campo e o gateway com 1 ou 2 reservas, e em seguida medir o impacto
para o MTTF da rede. Os resultados so descritos na Tabela 5.1.
Tabela 5.1: Impacto no uso de redundncia na topologia linha.
Cenrio
Dispositivo
Aumento no MTTF da rede
1 reserva
2 reservas
t(Caso)
Redundante
Fd1
19,20%
25,43%
1
Gtw
2,32%
2,43%
Fd2
23,80%
32,96%
2
Gtw
3,04%
3,20%
Fd3
31,25%
46,13%
3
Gtw
4,34%
4,70%
Fd4
45,45%
73,86%
4
Gtw
7,69%
8,79%
Observando o aumento no MTTF da rede indicado na Tabela 5.1, percebe-se que
a configurao de redundncia no gateway no apresenta um impacto relevante quando
comparado com os resultados dos dispositivos de campo. Este resultado coerente com
aqueles apresentados nas Figuras 5.5 e 5.6. A explicao desse comportamento mais uma
vez est relacionada com o fato do gateway ter sido configurado como um dispositivo

5.1. CENRIO I

111

muito confivel em comparao aos dispositivos de campo. Em uma estrutura em srie


(topologia em linha) o dispositivo mais relevante ser o que possuir menos confiabilidade.
No caso, os dispositivos mais relevantes so os dispositivos de campo e mais precisamente
o dispositivo Fd4 . Comparando os resultados para os dispositivos Fd1 e Fd4 , percebese que o impacto em configurar o dispositivo Fd1 com dois reservas muito inferior
do que configurar o dispositivo Fd4 com apenas um reserva. Nota-se claramente que
o dispositivo com maior expressividade na avaliao da mtrica criticalidade foi o que
obteve mair relevncia na utilizao de redundncia.
Ressalta-se que o procedimento usado para gerar os resultados descritos na Tabela 5.1
podem guiar os projetistas da rede, nas fases de projeto e operao, a tomada de decises
considerando os requisitos de dependabilidade das aplicaes.

5.1.3

Topologia cluster

Em geral, uma topologia cluster utilizada quando existe a necessidade de segregar


parcialmente a rede. Cada cluster assume uma tarefa especfica, por exemplo, monitorar
uma determinada regio da rede, priorizar trfego, fornecer redundncia, etc. A Figura 5.7
ilustra uma tpica topologia cluster utilizada nas redes industriais sem fio, a qual ser tambm adotada como cenrio de avaliao. Adicionalmente, considera-se que este cenrio
corresponde a uma aplicao onde um defeito ir ocorrer se pelo menos um cluster falhar.
Um cluster falha se todos os dispositivos do cluster falham.

Gateway

Ponto de
Acesso

Gateway

Ponto de
Acesso

Cluster B

Cluster A

Cluster B

Cluster A

Roteador

Roteador
Dispositivo
de Campo

Dispositivo de Campo

Cluster C

(a)

Cluster C

(b)

Figura 5.7: Cenrios utilizados para a avaliao da topologia cluster. (a) Trs clusters;
(b) Trs clusters + dois roteadores adicionais.
Para avaliao da topologia cluster, assume-se falhas nos hardwares dos dispositivos
e nos enlaces de comunicao. Ambas as falhas so do tipo permanente. A ideia ava-

112

CAPTULO 5. VALIDAO DA METODOLOGIA

liar o impacto da topologia cluster, considerando-se como mtrica de dependabilidade a


indisponibilidade da rede. Sendo assim, tambm necessrio informar dados sobre as
taxas de reparos dos dispositivos e enlaces de comunicao. As taxas de defeitos e reparaes so consideradas constantes (i.e, distribuio exponencial), enquanto que defeitos
em modo comum no so suportados. As configuraes utilizadas so descritas na Tabela 5.2. Os valores reais dos parmetros so desconhecidos, porm, os valores adotados
so suficientes para medir as curvas de comportamento considerando a mtrica avaliada.
Tabela 5.2: Parmetros utilizados para a avaliao da topologia cluster.
Cenrio Dispositivos
MTTF ()
MTTR ()
5 horas (0,2)
Gtw/AP
10 anos (1e5)
10 horas (0,1)
Hardware
25 horas (0,04)
Fd/Roteador
5 anos (2e5)
50 horas (0,02)
12h (0,08)
Cluster A
1 ms (1.4e3)
24h (0,04)
48h (0,02)
Cluster B
6 meses (2.31e4)
96h (0,01)
Enlaces
24h (0,04)
Cluster C
3 meses (4.63e4)
48h (0,02)
30min (2)
Inter Cluster 6 meses (2.31e4)
1h (1)
Em relao s falhas de hardware, assume-se que o gateway e o ponto de acesso so
dispositivos mais confiveis. Dessa forma, suas taxas de defeito foram configuradas com
o dobro do valor (MTTF = 10 anos) das taxas encontradas nos dispositivos de campo
e roteadores (MTTF = 5 anos). A mesma regra foi utilizada na configurao das taxas
de reparaes, onde o gateway e o ponto de acesso apresentam reparaes mais rpidas
(MTTR com valores de 5 ou 10 horas) quando comparadas com os dispositivos de campo
e roteadores (MTTR com valores de 25 ou 50 horas).
Por outro lado, as falhas e reparaes nos enlaces de comunicao foram configuradas em quatro perfis especficos, um para cada cluster e outro para a comunicao inter
clusters. Os enlaces de comunicao intra cluster A apresentam uma baixa confiabilidade (MTTF = 1 ms) quando comparado com os outros enlaces da rede, enquanto que a
durao das reparaes so menores (MTTR = 12 ou 24 horas). Os enlaces de comunicao no cluster B so considerados os mais confiveis da rede (MTTF = 6 meses), porm,
apresentam as maiores duraes de reparaes (MTTR = 48 ou 96 horas). Os enlaces
de comunicao intra cluster C foram configurados com valores intermedirios, enquanto
que a comunicao inter clusters foi configurada com os enlaces mais confiveis e com

5.1. CENRIO I

113

as reparaes mais rpidas da rede.


A primeira avaliao considera o cenrio da Figura 5.7(a), assumindo-se apenas falhas
de hardware. Foi analisado a influncia das aes de reparao (manuteno) na indisponibilidade da rede. Os resultados so descritos na Figura 5.8. Percebe-se que mudanas
nas taxas de reparao do gateway e ponto de acesso, assumindo-se uma mesma taxa de
reparao para os dispositivos de campo e roteadores, no resultam em uma influncia
significativa para a indisponibilidade da rede. Resultado contrrio ocorre quando as taxas
de reparao dos dispositivos de campo e roteadores so alteradas. Mostrando, assim, que
estes dispositivos apresentam uma maior influncia na indisponibilidade da rede quando
comparado com o gateway e o ponto de acesso. Este resultado devido aos dispositivos
de campo e roteadores terem sido configurados com MTTF inferiores aos configurados no
gateway e ponto de acesso. No podemos deixar de considerar a influncia da condio
de defeito da rede nos resultados, pois apesar de um cluster falhar quando todos os seus
membros falham (condio menos provvel), uma falha em um roteador (o lder do cluster) pode tambm conduzir a uma falha no cluster e consequentemente a um defeito na
rede. Dessa forma, a variao da taxa de reparao dos roteadores influencia diretamente
na indisponibilidade da rede.

Indisponibilidade da Rede

0.0035
0.003
0.0025
0.002
0.0015
MTTRGtw/AP = 10h e MTTRFd/R = 50h
MTTRGtw/AP = 10h e MTTRFd/R = 25h
MTTRGtw/AP = 5h e MTTRFd/R = 50h
MTTRGtw/AP = 5h e MTTRFd/R = 25h

0.001
0.0005
0
0

200

400
600
Tempo(horas)

800

1000

Figura 5.8: Influncia das aes de reparao na indisponibilidade da rede considerando


falhas de hardware e topologia em cluster.
O segundo cenrio de avaliao tambm considera a influncia das aes de reparao
na indisponibilidade da rede, porm, assume-se apenas falhas nos enlaces de comunicao. As taxas de defeito dos enlaces de comunicao no foram alteradas com o intuito

114

CAPTULO 5. VALIDAO DA METODOLOGIA

de apenas medir o impacto das taxas de reparao. De forma similar a avaliao anterior, considera-se o cenrio descrito na Figura 5.7(a). Os resultados so mostrados na
Figura 5.9.

Indisponibilidade da Rede

0.00025
0.0002
0.00015
0.0001
5e-005
0
0

200

400

600

800

1000

Tempo(horas)
Padro
MTTRA = 24h

MTTRB = 96h
MTTRC = 48h

MTTRI = 1h

Figura 5.9: Influncia das aes de reparao na indisponibilidade da rede considerando


falhas nos enlaces de comunicao e topologia cluster.
Assume-se nesse cenrio uma configurao padro, cujo valor do MTTR para o enlaces do cluster A, B, C e enlaces inter clusters so respectivamente: MT T RA = 12h,
MT T RB = 48h, MT T RC = 24h e MT T RI = 30min. A ideia bsica medir a indisponibilidade da rede para a configurao padro e em seguida dobrar o valor do MTTR para
cada enlace e medir novamente a indisponibilidade da rede. Os resultados indicados na
Figura 5.9 mostram claramente a grande influncia dos enlaces inter clusters na indisponibilidade da rede. Devido a sua localizao estratgica, falhas nos enlaces inter clusters
so consideradas gravssimas, uma vez que impedem a comunicao de um determinado
cluster com o gateway. Dessa forma, variaes nas taxas de reparaes desses enlaces
influenciam diretamente na indisponibilidade da rede. Junta-se a esse resultado o fato dos
enlaces inter clusters serem considerados os mais confiveis da rede e os que possuem os
menores MTTR.
Por outro lado, percebeu-se tambm a maior influncia dos enlaces do cluster A em
detrimento aos enlaces dos outros clusters. A explicao desse resultado remonta as configuraes realizadas (Tabela 5.2), sendo os enlaces dos clusters B e C os que possuem os

5.1. CENRIO I

115

maiores valores de MTTR. Em outras palavras, em caso de falha nesses enlaces, as aes
de reparao so consideradas as mais duradouras de toda rede. Conforme observado na
Figura 5.9, quando as taxas de reparao para os enlaces dos clusters B e C foram duplicadas, a influncia para indisponibilidade da rede foi similar. Esse resultado mostra que
a influncia na indisponibilidade da rede tambm depende das taxas de defeitos, pois os
valores do MTTR para os enlaces nos clusters B e C so diferentes. Mesmo apresentando
taxas de reparao similares aos clusters B e C, os enlaces do cluster A so considerados
os menos confiveis de toda rede (menor MTTF), por isso esperado que variaes nas
taxas de reparao desses enlaces descrevam uma influncia diferente daquela apresentada nos enlaces dos clusters B e C.
Adicionalmente s avaliaes j realizadas na topologia cluster, uma srie de procedimentos podem ser conduzidos com o objetivo de maximizar a disponibilidade da
rede. Exemplos desses procedimentos incluem adicionar novos roteadores, utilizao de
redundncia e melhorias nas aes de reparao. Obviamente, os resultados desses procedimentos so dependentes dos cenrios e parmetros (taxa de defeitos e reparaes)
considerados, porm, a anlise descrita aqui pode ser replicada pelos projetistas das redes
com o objetivo de atender os requisitos das aplicaes.
Nesse contexto, foi realizado uma anlise da disponibilidade da topologia cluster,
considerando-se aspectos de redundncia, melhorias nas aes de reparao e introduo
de novos roteadores. Os resultados so descritos na Tabela 5.3. Assume-se uma configurao padro com os parmetros descritos na Tabela 5.2 , considerando-se o menor valor
de MTTR para cada dispositivo e enlace de comunicao.
Tabela 5.3: Procedimentos utilizados para aumentar a disponibilidade de rede.
Interrupo da rede (tempo/ano)
Cenrio
Falhas de enlaces Falhas de hardware
Normal
65min
14h
Reparao 2x mais rpida
31min
8h
Redundncia
5h
Adicionar roteadores
61min
53min
Para a anlise dos aspectos de redundncia, assume-se que a rede descrita na Figura 5.7 dispe de dois roteadores reservas. Cada roteador sobressalente foi configurado
em um dos trs roteadores j ativos na rede. A escolha de qual roteador ser configurado com redundncia irrelevante para os resultados nesse caso. Ressalta-se tambm
que para as falhas nos enlaces de comunicao, aspectos de redundncia de hardware so
irrelevantes para os resultados.

116

CAPTULO 5. VALIDAO DA METODOLOGIA

Por outro lado, em relao s melhorias nas aes de reparao, assume-se um valor
de MTTR duas vezes menor que da configurao padro. Em outras palavras, as aes de
reparao so duas vezes mais rpidas que as da configurao padro.
Finalmente, ao invs de utilizar os dois roteadores sobressalentes em uma arquitetura de redundncia, configura-se um cenrio com dois roteadores adicionais conforme
descrito na Figura 5.7(b).
Os resultados descritos na Tabela 5.3 mostram que a influncia para a disponibilidade
da rede tem comportamentos diferentes quando so considerados falhas nos enlaces de
comunicao e hardware. Essa diferena resultado de configuraes (taxas de defeitos
e reparao) distintas em cada cenrio. Todas as aes sugeridas (reparao mais rpida,
redundncia e introduo de novos roteadores) apresentam melhorias para a disponibilidade da rede. Considerando-se as falhas nos enlaces de comunicao, melhorias nas aes
de reparao conduzem a resultados mais eficientes do que introduzir novos roteadores na
rede. Comportamento contrrio ocorre quando as falhas de hardware so consideradas,
onde a introduo de novos roteadores apresenta uma maior influncia para a disponibilidade da rede do que melhorar as aes de reparao. Resultado semelhante foi observado
quando a configurao de redundncia foi considerada.
Ressalta-se que em casos reais, todas as aes aqui descritas podem no estar disponveis para os projetistas e operadores das redes industriais sem fio. Porm, esses procedimentos podem guiar decises estratgicas sobre a aquisio e configurao de novos
equipamentos, como tambm melhorias nas aes de manuteno.

5.2

Cenrio II

Nas redes industriais sem fio, um defeito em um simples dispositivo pode no ser crtico para as aplicaes devido aos aspectos intrnsecos de redundncia j considerados.
Entretanto, quando defeitos simultneos ocorrem em mltiplos dispositivos, as consequncias podem ser desastrosas, particularmente para aplicaes com requisitos rgidos
de confiabilidade [Lilleheier 2008, Lundteigen & Rausand 2007]. Este tipo de defeito
conhecido como defeito em modo comum (CCF) [Hokstad & Rausand 2008]. Nessa
seo, iremos analisar a influncia dos defeitos em modo comum na confiabilidade e disponibilidade da rede e na criticalidade dos dispositivos.
Para esta avaliao assume-se a rede industrial sem fio descrita na Figura 5.10. Nesse
cenrio, um defeito na rede ir ocorrer se pelo menos trs dispositivos de campo falharem
(apenas falhas de hardware foram consideradas).
Em relao aos parmetros de configurao, considera-se que as taxas de defeito e

5.2. CENRIO II

117

Fd1
Fd2

Fd3
Fd4
Fd7

Fd5
Fd6

Gateway

Ponto de Acesso

Figura 5.10: Topologia adotada para avaliao dos defeitos em modo comum.
reparao dos dispositivos assumem comportamento constante (i.e, distribuio exponencial). Para simplificar a anlise, todos os dispositivos foram configurados com as mesmas
taxas de defeito e reparao, cujos valores so respectivamente 1E5 horas1 (MTTF
= 10 anos) e 0,04 horas1 (MTTR = 1 dia). As taxas de reparao so consideradas
apenas na anlise da disponibilidade da rede. Adicionalmente, foram mapeados dois defeitos em modo comum, representados pelos eventos CCF 1 e CCF 2. O evento CCF 1
influncia os dispositivos de campo Fd1 e Fd2 , enquanto que o evento CCF 2 atua nos
dispositivos de campo Fd6 e Fd7 . A Tabela 5.4 descreve as configuraes utilizadas pelos
eventos em modo comum.
Tabela 5.4: Configuraes dos defeitos em modo comum.

5.2.1

Eventos

Dispositivos Afetados

MTTF

MTTR

CCF 1
CCF 2

Fd1 , Fd2
Fd6 , Fd7

90 dias
15 dias

1-24 horas
1-24 horas

Influncia na confiabilidade da rede

A primeira avaliao mede a influncia dos eventos CCF 1 e CCF 2 na confiabilidade


da rede. Esta anlise de fundamental importncia pois contribui para a construo de
modelos mais realistas. Os resultados dessa primeira anlise so descritos na Figura 5.11.
Apesar dos eventos CCF 1 e CCF 2 terem diferentes configuraes (taxas de defeito e dispositivos afetados), a ocorrncia em momentos distintos conduz a uma mesma influncia

118

CAPTULO 5. VALIDAO DA METODOLOGIA

em relao confiabilidade da rede. Esse comportamento devido aos diferentes graus de


criticalidades existentes entre o par Fd1 , Fd2 e os dispositivos Fd6 e Fd7 , como veremos
na prxima avaliao. Adicionalmente, percebe-se que a confiabilidade da rede decresce
rapidamente quando os eventos CCF 1 e CCF 2 ocorrem de forma simultnea. Este resultado pode at ser pessimista, mas quando comparado com o cenrio onde defeitos em
modo comum no so suportados, observa-se que no considerar CCF implica em um
modelo de confiabilidade para rede muito otimista.

Confiabilidade da Rede

Sem CCF
CCF 1
CCF 2
CCF 1 e CCF 2

0.8
0.6
0.4
0.2
0
0

20000

40000
60000
Tempo(horas)

80000

100000

Figura 5.11: Anlise da confiabilidade da rede considerando defeitos em modo comum.

5.2.2

Influncia nas medidas de importncia dos dispositivos

Outro procedimento utilizado para avaliar a influncia dos defeitos em modo comum
se baseia nas medidas de importncia dos dispositivos. A medida Birnbaum pode ser
utilizada para esta finalidade. A ideia bsica avaliar esta mtrica para todos os dispositivos na rede considerando a ocorrncia dos eventos CCF 1 e CCF 2. Os resultados dessa
anlise so descritos na Figura 5.12.
De acordo com a Figura 5.12, quando os eventos CCF 1 e CCF 2 no so considerados, os dispositivos Fd3 e Fd5 apresentam uma maior probabilidade em serem crticos
para a rede. Porm, quando defeitos em modo comum so considerados, as medidas
Birnbaum dos dispositivos so alteradas.
Conforme descrito na Tabela 5.4, cada evento CCF afeta diretamente dois dispositivos
de campo. Sabendo-se que um defeito na rede ir ocorrer se pelo menos trs dispositi-

5.2. CENRIO II

119

Birnbaum(t)

0.4

CCF 1

FD3, FD5
FD4, FD6
FD1, FD2
FD7

0.3
0.2
0.1

Birnbaum(t)

Sem CCF

0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

25

50

75

25

50

75

Tempo(horas*1000)

Tempo(horas*1000)

CCF 2

CCF 1 e CCF 2

FD6, F7
FD1, FD2, FD3, FD4, FD5

FD1, FD2
FD3, FD4, FD5, FD6, FD7

25

50

75

Tempo(horas*1000)

Birnbaum(t)

Birnbaum(t)

0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

0.7
0.6
0.5
0.4
0.3
0.2
0.1
0

FD1, FD2
FD6, FD7
FD3, FD4, FD5

25

50

75

Tempo(horas*1000)

Figura 5.12: Influncia dos defeitos em modo comum nas medidas de importncia dos
dispositivos.

vos de campo falharem, ento os dispositivos afetados por um evento CCF iro apresentar uma maior probabilidade em serem crticos para rede se outros dispositivos falharem
antecipadamente. O contrrio tambm vlido: se um evento CCF ocorrer prematuramente, ento os dispositivos que no so afetados pelo evento CCF iro apresentar uma
maior probabilidade em serem crticos para rede. Este comportamento percebido claramente na Figura 5.12 para os cenrios onde apenas um nico evento CCF ocorre. Como
os eventos CCF apresentam um valor de MTTF menor que os das falhas de hardware
(Tabela 5.4), esperado que eles falhem primeiro. Dessa forma, como esperado, os dispositivos que no so afetados por eventos CCF apresentam maiores valores iniciais para
a medida Birnbaum.
O pior cenrio ocorre quando os eventos CCF 1 e CCF 2 so mapeados simultaneamente. Neste caso, os dispositivos que compem os eventos CCF so considerados os
mais crticos da rede. Percebe-se que no pior caso, os dispositivos Fd1 e Fd2 apresentam
uma criticalidade inicial ligeiramente superior s dos dispositivos Fd6 e Fd7 devido ao
evento CCF 2 possuir um valor de MTTF menor que o evento CCF 1. Em outras palavras,

120

CAPTULO 5. VALIDAO DA METODOLOGIA

esperado que os dispositivos Fd6 e Fd7 falhem primeiro, dessa forma, conferindo uma
maior criticalidade inicial aos dispositivos Fd1 e Fd2 .

5.2.3

Influncia na disponibilidade da rede

Interrupo da Rede (minutos/ano)

Por fim, uma terceira avaliao da influncia dos defeitos em modo comum foi conduzida utilizando-se como mtrica a disponibilidade da rede. Os resultados so descritos na
Figura 5.13. Para facilitar a compreenso desta avaliao, foi considerado apenas uma
anlise de sensibilidade assumindo que as taxas de reparao dos eventos CCF variam de
1 a 24 horas. Os resultados esto representados em funo do tempo (minutos/ano) que a
rede fica interrompida e das taxas de reparaes.
450
400
350

Sem CCF
CCF 1
CCF 2
CCF 1 e CCF 2

300
250
200
150
100
50
0
5

10

15

20

MTTR (horas) dos eventos CCF

Figura 5.13: Anlise da influncia dos defeitos em modo comum para a disponibilidade
da rede.
Dependendo da ocorrncia de algum evento CCF, a influncia sobre a disponibilidade da rede pode ser negligenciada. Este comportamento observado comparando-se o
cenrio sem eventos CCF com aquele onde apenas o evento CCF 1 ocorre.
Baseado nos resultados de confiabilidade descritos na Figura 5.11, era esperado que os
eventos CCF 1 e CCF 2 apresentassem uma mesma influncia para a disponibilidade da
rede quando analisados separadamente. Entretanto, quando as taxas de reparao aumentam, o fato do evento CCF 2 apresentar um menor MTTF impe a este evento uma maior
influncia para disponibilidade da rede quando comparado ao evento CCF 1. No pior
caso, a ocorrncia simultnea dos eventos CCF 1 e CCF 2 implica na completa degradao da disponibilidade da rede e, consequentemente, no aumento do tempo de interrupo

5.3. CENRIO III

121

dos servios. Este resultado demonstra a importncia de considerar a ocorrncia conjunta


dos defeitos em modo comum.

5.3

Cenrio III

O conhecimento terico sobre os padres de redes industriais sem fio fundamental


para a criao de aplicaes mais confiveis e robustas. Entretanto, apenas ter o conhecimento dos padres no suficiente em garantir os requisitos de dependabilidade das
aplicaes. Polticas de comissionamento, segurana e criao das redes devem ser seguidas. Nesse sentido, conforme descrito na Seo 2.1.5, a HCF (Hart Communication
Foundation) definiu um conjunto de boas prticas (regra dos trs, regra dos cinco, regra
dos 25%) a ser seguido em um projeto de redes WirelessHART [HCF 2011] (estas polticas podem ser estendidas para as redes ISA100.11a e WIA-PA). Contudo, no existe um
estudo que mostre de forma quantitativa os benefcios na adoo destas polticas.
Nesta seo aplicaremos a metodologia proposta para avaliar as melhores prticas
sugeridas pela HCF. No caso, considera-se que os dispositivos na rede so sujeitos a
falhas permanentes (hardware), enquanto que as mtricas de avaliao esto relacionadas
com o MTTF, confiabilidade e disponibilidade da rede.
O cenrio de avaliao descrito na Figura 5.14. Considera-se uma topologia mesh
em conformidade com a regra dos cinco e a regra dos trs. Lembrando que na regra
dos cinco, o gateway deve ter pelo menos cinco dispositivos vizinhos, enquanto que na
regra dos trs cada dispositivo na rede dever possuir pelo menos trs vizinhos. Desde
que existem muitas topologias onde ambas as regras podem ser observadas, foi escolhido
uma topologia simtrica com o gateway localizado no centro e os outros dispositivos
posicionados de acordo com um padro hexagonal com distncias fixas ao gateway. A
topologia formada por 14 dispositivos de campo (Fd0 -Fd13 e quatro roteadores (R0 -R3 ).
O objetivo da avaliao determinar a influncia das trs regras definidas pela HCF na
dependabilidade da rede. Inicialmente, encontra-se a influncia das duas primeiras regras:
regra dos cinco e regra dos trs. A avaliao da regra dos 25% uma consequncia das
avaliaes das duas regras anteriores. A ideia bsica medir a influncia da regra dos
cinco na regra dos trs e vice-versa.
O primeiro problema que surgi ao realizar uma avaliao desta natureza est relacionado com a adoo de condies de defeito da rede que possam ser teis para comparar
resultados de diferentes cenrios. Para solucionar este problema foram relacionadas diversas condies de defeito da rede na forma K-out-of-N, onde k representa a quantidade de
dispositivos de campo que devem falhar para a rede apresentar um defeito (k = 3, 6, 9, 12)

122

CAPTULO 5. VALIDAO DA METODOLOGIA

Fd6

Fd0

R3

Fd13

Fd7

Fd1

Fd4

Fd12

R0

Fd2

Gtw

Fd5

R2

Fd8

Fd3

Fd11

Fd9

R1

Fd10

Figura 5.14: Topologia mesh adotada para a avaliao das melhores prticas sugeridas
pela HCF.
e N o nmero total de dispositivos de campo (N = 14). Em outras palavras, assume-se
que um defeito ir ocorrer na rede se pelo menos 3, 6, 9 ou 12 dispositivos de campo (14
disponveis) falharem. Ressaltando-se que a configurao K-out-of-N considera todas as
combinaes possveis de k dispositivos.

5.3.1

Regra dos cinco

De acordo com a regra dos cinco, uma rede industrial sem fio1 deve possuir pelo
menos cinco dispositivos no alcance de comunicao do gateway. Para avaliao desta
regra necessrio eliminar algumas conexes cujos dispositivos so vizinhos do gateway
e medir o respectivo impacto. No caso, foi considerado como mtrica o MTTF da rede.
Como descrito na equao 3.15, o MTTF e a confiabilidade da rede esto diretamente
relacionados. Assume-se que os dispositivos de campo e roteadores possuem taxas de
defeitos (distribuio exponencial) correspondentes a um MTTF de 10 anos ( 1E5
horas1 ), enquanto que o gateway foi configurado com a taxa de defeito uma ordem de
magnitude inferior (dispositivo muito confivel).
1 Originalmente

a regra foi definida para redes WirelessHART, porm, pode ser aplicada para os padres
ISA100.11a e WIA-PA.

5.3. CENRIO III

123

Avaliao de confiabilidade
Considerando a topologia da Figura 5.14, assume-se inicialmente que apenas cinco
dispositivos esto no alcance de comunicao do gateway. Devido natureza simtrica
desta topologia, pode-se eliminar qualquer conexo entre o gateway e seus vizinhos e
mesmo assim a regra dos cinco no ser infringida (note que apenas as conexes so
eliminadas, no os dispositivos). Outras configuraes so descritas na Tabela 5.5.
Tabela 5.5: Configuraes utilizadas na avaliao da regra dos cinco.
Nmero de vizinhos (gateway)

Conexes eliminadas

6
5
4
3

Fd0 Gtw
Fd0 Gtw,Fd1 Gtw
Fd0 Gtw,Fd1 Gtw
Fd2 Gtw
Fd0 Gtw,Fd1 Gtw
Fd2 Gtw,Fd3 Gtw

Para medir o impacto da regra dos cinco foi considerado a funo MT T F( j), a qual
indica o MTTF da rede quando o gateway apresenta j dispositivos dentro de seu alcance
de comunicao. Sendo assim, o impacto pode ser medido a partir da seguinte relao:

MT T Fratio =

MT T F( j)MT T F(5)
MT T F(5)

(5.1)

Os resultados da avaliao so descritos na Figura 5.15. Dependendo da condio de


defeito considerada, a influncia da regra dos cinco apresenta comportamentos distintos
para essa topologia. Quando a quantidade de dispositivos que compem a condio de defeito pequena (3-out-14: 3/14), influncia no nmero de vizinhos do gateway quase
negligencivel para essa topologia. Neste caso, o MTTF da rede influenciado principalmente pela quantidade de dispositivos operacionais e no pelo nmero de caminhos
para o gateway. Percebe-se que quanto maior o nmero de vizinhos do gateway, maior
ser a quantidade de caminhos e, consequentemente, maior ser tambm a confiabilidade
da rede. Como o nmero de vizinhos do gateway foi alterado e mudanas significativas
no MTTF da rede no foram percebidas, ento a quantidade de caminhos no ser crtica
para a respectiva condio de defeito. Por outro lado, quando a quantidade de dispositivos
que compem a condio de defeito grande (por exemplo, 9/14 ou 12/14), observa-se
um comportamento oposto (influncia significativa para o MTTF da rede). Alm disso,

124

CAPTULO 5. VALIDAO DA METODOLOGIA

percebe-se tambm que aumentar a quantidade de vizinhos do gateway para 6 ou diminuir


para 4 implica em variar o MTTF da rede em mdia de 5%. Quando o nmero de vizinhos do gateway reduzido para 3 ou 2, os resultados mostram uma reduo significativa
no MTTF da rede, em alguns casos alcanando uma reduo entre 20% e 30%.
Como concluso, os resultados mostram que a regra dos cinco pode apresentar um
impacto real na confiabilidade da rede. Em particular, quando o nmero de dispositivos
que so necessrios para a operao da rede for superior ou prximo da metade do nmero total de dispositivos na rede, ou quando a quantidade de vizinhos do gateway for
pequena, a regra dos cinco dever ser levada em considerao. Nestas condies, adicionar vizinhos para o gateway pode ser uma soluo til para garantir os requisitos de
dependabilidade das aplicaes.
10

MTTF ratio (%)

5
0
-5
-10
-15
-20
-25
-30

6 vizinhos
4 vizinhos
3 vizinhos
2 vizinhos
3/14

6/14

9/14

12/14

Condio de defeito da rede - k out n dispositivos de campo

Figura 5.15: Avaliao da regra dos cinco.

5.3.2

Regra dos trs

Conforme definido pela HCF, a regra dos trs indica que todos os dispositivos na
rede devem possuir pelo menos trs vizinhos. Para avaliao dessa poltica considera-se
a topologia da Figura 5.14 em conformidade com a regra dos cinco (gateway com cinco
vizinhos), enquanto que um dispositivo fora do alcance de comunicao do gateway escolhido como dispositivo alvo. Em seguida, eliminou-se algumas conexes do dispositivo
alvo com seus respectivos vizinhos e mediu-se o impacto para a rede utilizando alguma
mtrica de avaliao.

5.3. CENRIO III

125

Nessa seo consideramos como mtricas a confiabilidade (na forma de MTTF) e


disponibilidade da rede. As taxas de defeitos foram configuradas de forma similar
avaliao da regra dos cinco, enquanto que o MTTR varia de 1 hora a 24 horas.
Avaliao de confiabilidade
Devido s propriedades simtricas da topologia descrita na Figura 5.14, o dispositivo
de campo Fd13 foi adotado como dispositivo alvo na avaliao da regra dos trs. A
Tabela 5.6 descreve as configuraes utilizadas na avaliao.
Tabela 5.6: Configuraes usadas para avaliar a regra dos trs.
Nmero de vizinhos (Fd13 )

Conexes eliminadas

4
3
2
1

Fd4 Fd13
Fd4 Fd13 ,Fd3 Fd13
Fd4 Fd13 ,Fd3 Fd13
Fd12 Fd13

De maneira similar avaliao da regra dos cinco, na anlise de confiabilidade da


regra dos trs foi considerada como mtrica o MTTF da rede. Assumindo-se a funo
MT T F( j) como sendo o MTTF da rede quando o dispositivo Fd13 tem j vizinhos, podemos medir o impacto da regra dos trs pela seguinte expresso:

MT T Fratio =

MT T F( j)MT T F(3)
MT T F(3)

(5.2)

Os resultados da avaliao da regra dos trs apresentada na Figura 5.16. Diferentemente da avaliao anterior, aqui possvel perceber a influncia da regra dos trs
para todas as condies de defeito na rede. Os resultados seguem um comportamento
unimodal, o impacto mximo relativo ocorre para o cenrio 6/14 e segue uma tendncia
decrescente para os cenrios 3/14 (direita) e 12/14 (esquerda), porm devido a diferentes
razes. Quando o nmero de dispositivos que conduzem a um defeito na rede pequeno
(3/14), este fator tem um maior impacto nos resultados do que a quantidade de vizinhos.
Por outro lado, quando a quantidade de dispositivos na condio de defeito cresce (e.g
9/14 e 12/14), o fato de um dispositivo apresentar um ou dois vizinhos torna-se menos
importante devido quantidade de dispositivos na condio de defeito.
Em geral, o MTTF da rede decresce quando as conexes com o dispositivo alvo so
eliminadas. O comportamento contrrio tambm observado, onde o MTTF da rede au-

126

CAPTULO 5. VALIDAO DA METODOLOGIA

3
2
MTTF ratio (%)

1
0
-1
-2
-3
-4
-5

4 vizinhos
2 vizinhos
1 vizinho

-6
-7
3/14

6/14

9/14

12/14

Condio de defeito da rede - k out n dispositivos de campo

Figura 5.16: Avaliao da regra dos trs.


menta com introduo de novas conexes para o dispositivo alvo. Deste ponto de vista, a
regra dos cinco e a regra dos trs apresentam o mesmo comportamento. Adicionalmente,
para ambas as regras, o impacto de eliminar conexes maior do que adicionar novas
conexes.
Avaliao da disponibilidade
Uma anlise adicional da regra dos trs foi realizada considerando como mtrica de
avaliao a disponibilidade da rede. Como o objetivo principal dessa anlise observar
as tendncias de comportamento, foi considerado apenas a disponibilidade assinttica da
rede (t ). Assume-se tambm que todos os dispositivos possuem um MTTR igual a 2
horas, que equivalente a uma taxa de reparao de aproximadamente 0.5 horas1 .
Os resultados obtidos (no mostrados) demonstram que a disponibilidade assinttica
da rede quase imperceptvel quando o nmero de vizinhos do dispositivo alvo Fd3 alterado (entre 1 e 4 vizinhos). Este comportamento resultado de dois fatores: (i) o MTTR
dos dispositivos (2 horas) muitas ordens de magnitude menor do que o MTTF considerado (10 anos); (ii) assume-se que sempre h um reparador disponvel. A combinao
de ambos os fatores resulta em um tempo de interrupo dos servios muito pequeno, e
consequentemente o impacto dessa regra na disponibilidade da rede torna-se negligencivel.
Ento, para melhor compreender o comportamento da disponibilidade da rede sob

5.3. CENRIO III

127

influncia da regra dos trs, foi realizada uma anlise de sensibilidade na rede considerando o dispositivo Fd3 com trs vizinhos e a condio de defeito configurada para 6/14.
As taxas de reparao foram configuradas com valores correspondentes a MTTR entre
1 hora e 24 horas, enquanto que o MTTF dos dispositivos foram configurados para 5,
10 e 15 anos. Os resultados dessa anlise so descritos na Figura 5.17. Para facilitar a
compreenso, os resultados so descritos na forma da indisponibilidade da rede em escala
logartmica.

Indisponibilidade da rede

0.0001

1e-005

1e-006
MTTF = 15 anos
MTTF = 10 anos
MTTF = 5 anos

1e-007
5

10
15
MTTR dos dispositivos (horas)

20

Figura 5.17: Influncia da regra dos trs na indisponibilidade da rede: anlise de sensibilidade.

Como esperado, a indisponibilidade da rede aumenta quando o tempo de reparao


tambm aumenta. Entretanto, o impacto do MTTR maior para valores menores (por
exemplo < 5 horas).
A anlise do MTTF indica que a diferena entre as curvas de indisponibilidade para
os MTTF de 10 e 15 anos visivelmente inferior do que a diferena entre os MTTF de
5 e 10 anos. Este resultado comprova que existe um limite para investir em dispositivos
mais confiveis. A curva de indisponibilidade da rede para dispositivos com MTTF de 15
anos seria muito prxima da curva onde os dispositivos so configurados com MTTF de
10 anos. Por outro lado, o uso de dispositivos menos confiveis (por exemplo, MTTF = 5
anos) produz na rede impactos mais severos.

128

5.3.3

CAPTULO 5. VALIDAO DA METODOLOGIA

Regra dos 25%

De acordo com a regra dos 25%, quando a rede cresce, pelo menos 25% dos dispositivos devem estar localizados dentro do alcance de comunicao do gateway. Para medir
o impacto da regra dos 25% foi considerado o mesmo processo de avaliao realizado na
regra dos cinco.
Avaliao de confiabilidade
A ideia bsica para avaliar a regra dos 25% aumentar o nmero de vizinhos do
gateway at o nmero mximo de dispositivos de campo e medir o impacto para o MTTF
da rede. Perceba que nenhum dispositivo foi adicionado, assume-se apenas o aumento
no alcance de comunicao do gateway. As configuraes realizadas nessa avaliao so
descritas na Tabela 5.7.
Tabela 5.7: Configuraes utilizadas para avaliar a regra dos 25%.
Nmero de vizinhos (Gtw)

Vizinhos adicionados

8
11
14

Fd6 ,Fd8
Fd6 ,Fd7 ,Fd8 ,Fd10 ,Fd16
F6 ,Fd7 ,Fd8 ,Fd10 ,Fd12
Fd13 ,Fd14 ,Fd16

A anlise da regra dos 25% foi baseada na equao 5.1, cujo resultado descrito
na Figura 5.18. Como esperado, o MTTF da rede aumenta quando o nmero de vizinhos do gateway tambm aumenta. Por outro lado, aumentar a quantidade de vizinhos
do gateway pode ser impraticvel em cenrios reais devido s limitaes do ambiente
industrial (por exemplo, dispositivos devem ser localizados prximos s variveis do processo). Contudo, esta anlise pode ser replicada para qualquer rede industrial sem fio e
os resultados utilizados para obteno dos requisitos de dependabilidade exigidos pelas
aplicaes.
Consideraes finais sobre as melhores prticas
Nesta seo foram avaliadas as melhores prticas a serem seguidas para criao de
uma rede industrial sem fio, segundo a HCF. Os resultados mostraram que as regras sugeridas pela HCF apresentam diferentes influncias para a rede. A regra dos trs apresenta
uma maior cobertura, no sentido que seu impacto perceptvel em todas as condies de
defeitos impostas. Por outro lado, a regra dos cinco possui uma maior influncia para a

5.4. AVALIAO DE DESEMPENHO

40

MTTF ratio (%)

35
30

129

8 vizinhos
11 vizinhos
14 vizinhos

25
20
15
10
5
0
3/14

6/14

9/14

12/14

Condio de defeito da rede - k out n dispositivos de campo

Figura 5.18: Avaliao da regra dos 25%.


confiabilidade da rede. Para ambas as regras, o fato de eliminar uma conexo com um
vizinho mais grave do que adicionar novas conexes. Finalmente, quando a rede cresce,
a regra dos 25% torna-se dominante devido o MTTF da rede aumentar com a quantidade
de vizinhos do gateway.

5.4

Avaliao de Desempenho

Os resultados descritos nas Sees 5.1, 5.2 e 5.3 demonstraram o potencial de aplicabilidade da metodologia proposta. Entretanto, ainda necessrio analisar o desempenho
da metodologia para que possa viabilizar sua utilizao na prtica.
A avaliao de desempenho leva em considerao diversos fatores, como por exemplo
o hardware onde os testes foram realizados2 . Porm, foram escolhidos mtricas e cenrios
onde os resultados podem ser comprovados sem a utilizao de hardware adicionais.
Como discutido previamente na Seo 4.4, o ponto crucial da metodologia proposta
a gerao dos cortes mnimos para a estrutura de dados que contm todos os caminhos
entre os dispositivos que compem a condio de defeito e o gateway. Para comprovar a eficincia do algoritmo utilizado, foram testados diversos cenrios (topologias) com
ou sem a utilizao do algoritmo. As topologias consideradas so tpicas das aplicaes industriais e a grande maioria foi utilizada nas sees anteriores. Adicionalmente,
assume-se que a condio de defeito da rede em cada avaliao composta por todos os
2 Sony

VGN-NR350AE, Windows 7, 2Gb Ram, Intel Core 2 duo T5750.

130

CAPTULO 5. VALIDAO DA METODOLOGIA

dispositivos de campo na topologia em questo.


Em relao s mtricas de avaliao, foram consideradas a quantidade de caminhos
processados (entre os dispositivos que compem a condio de defeito e o gateway),
o tempo necessrio para gerao da rvore de falha (cdigo fonte a ser executado na
ferramenta SHARPE), tamanho da rvore de falha (nmero de linhas do cdigo fonte)
e o tempo de execuo. Ressaltando-se que a metodologia proposta independente da
ferramenta SHARPE, esta apenas foi utilizada por ser amplamente aceita na academia. Os
resultados da anlise de desempenho so descritos na Tabela 5.8.
Tabela 5.8: Anlise de desempenho da metodologia com ou sem a utilizao do algoritmo
para gerao dos cortes mnimos.
Topologia

Caminhos
processados

Gerao de
cdigo (com/sem)

Nmero de linhas
(com/sem)

Execuo
(com/sem)

Estrela 5
Estrela 10
Estrela 15
Estrela 20
Estrela 100

5
10
15
20
100

3ms/3ms
5ms/4ms
7ms/6ms
9ms/7ms
9ms/11ms

40/45
55/65
70/85
84/105
323/422

27ms/26ms
37ms/29ms
39ms/34ms
45ms/40ms
47ms/77ms

Linha 5
Linha 10
Linha 15
Linha 20
Linha 100

5
10
15
20
100

3ms/3ms
6ms/6ms
7ms/7ms
7ms/7ms
60ms/62ms

44/45
64/65
84/85
104/105
424/425

29ms/31ms
38ms/36ms
40ms/41ms
45ms/46ms
105ms/108ms

Cluster
(Fig. 5.7(a))
Cluster
(Fig. 5.7(b))

150

5ms/15ms

70/217

59ms/360ms

10296

5ms/635ms

126/10367

70ms/76898ms

675996

18ms/53134ms

417/676085

74ms/4h*

Mesh
(Fig. 5.14)

O primeiro cenrio de avaliao uma topologia estrela composta de 5 at 100 dispositivos de campo. Apesar da pouca influncia, percebe-se que a utilizao do algoritmo
de cortes mnimos apresenta um melhor desempenho (tempo de execuo) quando a rede
cresce (Estrela 100). Tambm possvel perceber que a rvore de falha gerada menor (nmero de linhas) quando o algoritmo proposto foi utilizado. Relacionar o tamanho
da rvore de falha com o desempenho (tempo de execuo) pode conduzir a concluses
equivocadas, principalmente para cenrios onde a rede no apresenta grande complexidade (muitos caminhos), como o caso. Nesse cenrio, o tempo para gerar a rvore de

5.4. AVALIAO DE DESEMPENHO

131

falha (gerao de cdigo) irrelevante.


Em relao ao segundo cenrio de avaliao, foi considerado uma topologia linha
composta de 5 at 100 dispositivos de campo. Este cenrio apresenta uma peculiaridade
bastante interessante devido ao tamanho da rvore de falha gerada ser similar em caso de
utilizao ou no do algoritmo de cortes mnimos. Essa mesma similaridade observada
no desempenho. Em ambas configuraes os resultados foram semelhantes.
Os benefcios em utilizar o algoritmo de cortes mnimos na metodologia so percebidos claramente quando a complexidade da rede aumenta. O terceiro cenrio de avaliao
aborda esse comportamento. Considera-se a topologia cluster da Figura 5.7(a). Nessa
rede so processados 150 caminhos entre os dispositivos que compem a condio de defeito e o gateway. Quando o algoritmo proposto utilizado o desempenho da metodologia
aproximadamente 6 vezes maior (59ms < 360ms). Para este cenrio (mais complexo)
observa-se que a disparidade entre os tamanhos das rvores de falhas (70 < 217 linhas
de cdigo) com ou sem a adoo do algoritmo de cortes mnimos refletem diretamente
no desempenho da metodologia. O tempo para criao da rvore de falha considerado
irrelevante para esse cenrio apesar da configurao com o algoritmo proposto ser trs
vezes mais rpido (5ms < 15ms).
Outro cenrio baseado em topologia cluster tambm foi avaliado, porm considerando
a rede da Figura 5.7(b). Este cenrio apresenta como principal caracterstica a enorme
quantidade de caminhos entre os dispositivos que compem a condio de defeito e o
gateway, quando comparado com os cenrios anteriores. As diferenas de desempenho
na configurao em que o algoritmo de cortes mnimos foi adotado e na configurao em
que no houve sua utilizao demonstram claramente os benefcios do algoritmo proposto
(70ms  76898ms). O tamanho (126 < 10367 linhas de cdigo) e o tempo para gerao
(5ms < 635ms) da rvore de falha reflete diretamente o resultado encontrado.
O resultado mais importante foi encontrado quando a topologia descrita na Figura 5.14
foi avaliada. Nesse cenrio, o fato de no considerar o algoritmo de cortes mnimos inviabiliza a anlise de dependabilidade da rede devido complexidade do cenrio (675996
caminhos processados). Nos testes realizados, o tempo de execuo para a configurao
com o algoritmo proposto de aproximadamente 74ms. Quando o algoritmo de cortes
mnimos no utilizado, o tempo de execuo superior a 4 horas. Aps 4 horas a rvore
de falha ainda no havia sido finalizada, ento o respectivo processo foi finalizado. Todavia, a diferena entre os tempos de execuo encontrados (74ms  4 horas) demonstram
a vantagem em utilizar o algoritmo proposto. Este resultado confirmando no tamanho e
tempo necessrio para gerar a rvore de falha.
Baseado nos cenrios avaliados, percebe-se que a utilizao do algoritmo para gerao

132

CAPTULO 5. VALIDAO DA METODOLOGIA

dos cortes mnimos fundamental para a anlise da dependabilidade das redes industriais
sem fio com topologias realsticas, principalmente para os cenrios onde as redes so mais
complexas (maior quantidade de caminhos entre os dispositivos que compem a condio
de defeito e o gateway).

5.5

Consideraes Finais

Para validao da metodologia foram considerados trs cenrios com caractersticas


distintas, onde as mtricas de dependabilidade puderam ser analisadas. Adicionalmente,
um quarto cenrio de avaliao foi considerado com o objetivo de medir aspectos de
desempenho.
No primeiro cenrio foram analisados diversas topologias de redes industriais (estrela,
linha e cluster). Alm das mtricas j mencionadas, foi possvel perceber a capacidade
da metodologia em auxiliar um projeto de redes industriais sem fio. Como por exemplo,
na escolha de aes (inserir um roteador ou configurar um dispositivo com redundncia)
a ser tomadas na tentativa de maximizar alguma propriedade de dependabilidade ou na
descoberta dos dispositivos mais crticos da rede.
O segundo cenrio de avaliao abordou uma das caractersticas mais importantes da
metodologia, o suporte aos defeitos em modo comum. Os resultados mostraram que a no
adoo de eventos dependentes na rede pode conduzir a resultados equivocados e muito
otimistas. Este tipo de evento bastante crtico para rede pois sua ocorrncia provoca
falhas simultneas em vrios dispositivos.
O terceiro cenrio de avaliao analisou as melhores prticas a serem seguidas em
um projeto de redes industriais sem fio. Essa poltica (regra dos cinco, regra dos trs e
regra dos 25%) foram definidas pela HCF e podem facilmente ser estendidas para todas
as tecnologias de comunicao industrial sem fio. Esta anlise foi a primeira avaliao
quantitativa das melhores prticas sugeridas pela HCF que se tem conhecimento. Os
resultados mostraram que as regras sugeridas pela HCF apresentam diferentes influncias
para a rede. A regra dos trs apresenta uma maior cobertura no sentido que seu impacto
perceptvel em todas as condies de defeitos impostas. Por outro lado, a regra dos cinco
possui uma maior influncia para a confiabilidade da rede. Para ambas as regras, o fato
de eliminar uma conexo com um vizinho mais grave do que adicionar novas conexes.
Finalmente, quando a rede cresce, a regra dos 25% torna-se dominante devido o MTTF
da rede ser diretamente proporcional a quantidade de vizinhos do gateway.
Finalmente, atravs de uma anlise de desempenho foi observado que a utilizao do
algoritmo de cortes mnimos fundamental para garantir a escalabilidade da metodologia

5.5. CONSIDERAES FINAIS

133

proposta. Para redes com pouca densidade, em outras palavras, poucos caminhos entre
os dispositivos que compem a condio de defeito da rede e o gateway, a utilizao do
algoritmo de cortes mnimos no obrigatria. Porm, para redes mais densas a no utilizao desse algoritmo inviabiliza a anlise de dependabilidade. Os resultados mostraram
que para uma rede mesh densa (< 20 dispositivos), a utilizao do algoritmo de cortes
mnimos conduz a um tempo de execuo de aproximadamente 74ms, enquanto que na
configurao sem o respectivo algoritmo o tempo de execuo superior a 4 horas.
A partir das avaliaes realizadas, pode-se perceber a capacidade da metodologia proposta em analisar a dependabilidade das redes industriais sem fio. Estas anlises podem
ser realizadas na fase de projeto como tambm na manuteno e expanso da rede.

134

CAPTULO 5. VALIDAO DA METODOLOGIA

Captulo 6
Concluso e Trabalhos Futuros

Nos ltimos anos o desenvolvimento de novas tecnologias de comunicao sem fio


tem criado um cenrio motivador para a criao de novas aplicaes em ambientes industriais que no eram possveis a 5 anos atrs. Entretanto, conhecido que o setor industrial
apresentar um grau de conservadorismo bastante elevado em relao insero de novas
tecnologias de comunicao. Esse comportamento vinculado principalmente devido
aos requisitos rgidos de dependabilidade das aplicaes. Falhas em equipamentos podem conduzir a defeitos crticos, que acarretam na parada das plantas industriais ou no
pior caso riscos as vidas dos operadores e danos ambientais. Por isto, novos paradigmas
de comunicao levam um tempo para o amadurecimento e conhecimento por parte dos
operrios e projetistas das aplicaes.
Visando contribuir para adoo mais efetiva das tecnologias de comunicao sem fio
na indstria, nesta tese, desenvolveu-se uma metodologia para a criao, manuteno e
expanso de redes industriais sem fio considerando como mtrica a dependabilidade das
aplicaes. A metodologia baseada no formalismo de rvores de Falhas e independe de
ferramenta especficas. Dessa forma, qualquer anlise quantitativa suportada pelo formalismo das rvores de Falhas ser tambm suportada pela metodologia desenvolvida. As
seguintes mtricas de avaliao foram implementadas: confiabilidade da rede, disponibilidade da rede, MTTF da rede, medidas de importncia dos dispositivos (Birnbaum e criticalidade), aspectos de redundncia e defeitos em modo comum. Devido generalidade da
metodologia, qualquer topologia (estrela, linha, cluster, mesh, ou outras combinaes) de
redes industriais sem fio podem ser configuradas. Essa mesma flexibilidade permitida
para as padres de redes industriais sem fio, onde possvel mapear redes WirelessHART,
ISA100.11a, WIA-PA ou outras tecnologias que podero surgir.
Na prtica, projetistas e operadores podem utilizar a metodologia para averiguar se os
requisitos de dependabilidade das aplicaes foram alcanados. Topologias diferentes podem ser configuradas para alcanar tais requisitos. Uma topologia pode ser ajustada com

136

CAPTULO 6. CONCLUSO E TRABALHOS FUTUROS

a introduo de novos dispositivos com funes de roteamento. Essa abordagem melhora


as propriedades de dependabilidade na medida que novos caminhos so criados entre os
dispositivos e o gateway. Outra forma de maximizar a dependabilidade das aplicaes
atravs da insero de dispositivos mais confiveis ou configuraes de arquiteturas de
redundncia. Todos esses procedimentos podem ser avaliados na metodologia proposta.
Em relao aos aspectos tcnicos da metodologia, j conhecido na literatura que a
avaliao da confiabilidade de redes genricas um problema NP-Hard. Entretanto, para
a escalabilidade das redes industriais sem fio (gateway suporta at 100 dispositivos)
conhecido tambm que o problema ainda tratvel. Adicionalmente, a gerao no automatizada das rvores de Falhas conhecida por ser uma tarefa bastante custosa. Sendo
assim, a metodologia reuniu dois problemas clssicos na rea de dependabilidade para solucionar a lacuna existente na avaliao das redes industriais sem fio. No caso, a criao
de uma metodologia que avalia a dependabilidade de uma rede considerando a gerao
automtica de rvores de Falhas. O evento topo da rvore de Falha corresponde condio de defeito da rede. As avaliaes quantitativas so realizadas baseada no evento topo
da rvore. Contudo, a escalabilidade de avaliao (redes < 100 dispositivos) da metodologia apenas possvel graas adoo de um algoritmo encontrado na literatura para
gerao do conjunto de cortes mnimos cuja utilizao no contexto de anlise da dependabilidade de redes industriais indita. Esse algoritmo foi projetado inicialmente para
grafos e mapeado na metodologia para o domnio de rvores de Falhas. Uma pequena
melhoria no algoritmo tambm foi implementada. Ressalta-se que sem a utilizao desse
algoritmo a metodologia estaria limitada a redes com pouca densidade (topologia mesh
com menos de 20 dispositivos, por exemplo).
As contribuies da respectiva tese so listadas a seguir:
Metodologia para anlise da dependabilidade das redes industriais sem fio independente de ferramentas especficas.
Simplificao do algoritmo para gerao de todos os caminhos entre um dispositivo
e o gateway.
Mapeamento do problema k-terminal, originalmente aplicado a redes de computadores, ao formalismo das rvores de falhas.
Melhoria no algoritmo de gerao do conjunto de cortes mnimos.
Aplicao do algoritmo que encontra o conjunto de cortes mnimos, originalmente
aplicados em grafos, ao domnio das rvores de falhas.
Anlise da dependabilidade de uma rede industrial sem fio considerando falhas de
hardware e nos enlaces de comunicao, alm de falhas em modo comum e aspec-

137
tos de redundncia.
Avaliao das melhores prticas a serem seguidas em um projeto de redes industriais sem fio.
Procedimentos a serem seguidos para avaliar a utilizao de redundncia, aquisio
de equipamentos mais confiveis ou introduo de roteadores, em topologias tpicas
de ambientes industriais.
Como trabalhos futuros pretende-se incrementar a metodologia com modelos de falhas mais complexos baseado em estruturas hierrquicas. Essas estruturas sero formadas
por cadeias de Markov. Diversos modelos de redundncia tambm podem ser inseridos
na estrutura hierrquica. Adicionalmente, modelos de redundncia utilizando rvores
de Falhas Dinmicas sero estudos e sua adoo tambm ser considerada na metodologia. Ressalta-se que a proposta desta tese vinculada s falhas permanentes. Pretende-se
no futuro adicionar suporte para as falhas transientes, porm utilizando o formalismo da
Redes de Petri Generalizadas e Estocsticas (GSPN). Em relao s melhores prticas
a serem seguidas para criao de uma rede industrial sem fio, algoritmos de otimizao
podem ser criados para encontrar topologias timas baseados em requisitos de dependabilidade. A metodologia desenvolvida aqui pode ser utilizada para este fim. Futuros
trabalhos iro abordar esse procedimento considerando melhores prticas para todas as
tecnologias de comunicao sem fio industriais.

138

CAPTULO 6. CONCLUSO E TRABALHOS FUTUROS

Referncias bibliogrficas

AboElFotoh, H., M. Shazly, E. Elmallah & J. Harms (2011), On area coverage reliability
of wireless sensor networks, em Local Computer Networks, 36th Annual IEEE
Conference on, pp. 584592.
AboElFotoh, H.M. & C.J. Colbourn (1989), Computing 2-terminal reliability for radiobroadcast networks, Reliability, IEEE Transactions on 38(5), 538 555.
AboElFotoh, H.M.F., S.S. Iyengar & K. Chakrabarty (2005), Computing reliability and
message delay for cooperative wireless distributed sensor networks subject to random failures, Reliability, IEEE Transactions on 54(1), 145 155.
Avizienis, A. & J.-C. Laprie (1986), Dependable computing: From concepts to design
diversity, Proceedings of the IEEE 74(5), 629 638.
Avizienis, A., J.-C. Laprie, B. Randell & C. Landwehr (2004), Basic concepts and taxonomy of dependable and secure computing, Dependable and Secure Computing,
IEEE Transactions on 1(1), 1133.
Bai, H. & M. Atiquzzaman (2003), Error modeling schemes for fading channels in wireless communications: A survey, Communications Surveys Tutorials, IEEE 5(2), 2
9.
Ball, Michael O. (1986), Computational complexity of network reliability analysis: An
overview, Reliability, IEEE Transactions on 35(3), 230239.
Bhatt, Jignesh G. (2010), Wireless networking technologies for automation in oil and
gas sector, em International Conference on Management of Petroleum Sector
(ICOMPS-2010), 10, pp. 5171.
Birnbaum, Z. W. & S. C. Saunders (1969), A new family of life distributions, Journal of
Applied Probability 6, 319327.
139

140

REFERNCIAS BIBLIOGRFICAS

Bruneo, D., A. Puliafito & M. Scarpa (2010a), Dependability evaluation of wireless


sensor networks: Redundancy and topological aspects, em Sensors, 2010 IEEE,
pp. 1827 1831.
Bruneo, Dario, Antonio Puliafito & Marco Scarpa (2010b), Dependability analysis of
wireless sensor networks with active-sleep cycles and redundant nodes, em Proceedings of the First Workshop on DYnamic Aspects in DEpendability Models for
Fault-Tolerant Systems, DYADEM-FTS 10, ACM, New York, NY, USA, pp. 25
30.
URL:http://doi.acm.org/10.1145/1772630.1772637
Chang, K.-D. & J.-L. Chen (2012), A survey of trust management in wsns, internet of
things and future internet, KSII Transactions on Internet and Information Systems
6(1), 523.
Cho, Danny I. & Mahmut Parlar (1991), A survey of maintenance models for multi-unit
systems, European Journal of Operational Research 51, 123.
Choi, Jong Soo & Nam Zin Cho (2007), A practical method for accurate quantification
of large fault trees, Reliability Engineering and System Safety 92(7), 971 982.
Colpo, J. & D. Mols (2011), No strings attached, Hydrocarbon Engineering 16(11), 47
52.
Costa, D.G. & L.A. Guedes (2010), The coverage problem in video-based wireless sensor
networks: A survey, Sensors 10(9), 82158247.
Decotignie, J.-D. (2005), Ethernet-based real-time and industrial communications, Proceedings of the IEEE 93(6), 1102 1117.
Decotignie, J.-d. (2009), The many faces of industrial ethernet [past and present], Industrial Electronics Magazine, IEEE 3(1), 8 19.
Dust-Network (2010), SmartMesh IA-510 DN2510 WirelessHART, Dust Networks, Inc.
Egeland, G. & P. Engelstad (2009), The availability and reliability of wireless multi-hop
networks with stochastic link failures, Selected Areas in Communications, IEEE
Journal on 27(7), 11321146.
EL-DARYMLI, Khalid, Faisal KHAN & Mohamed H. AHMED (2009), Reliability modeling of wireless sensor network for oil and gas pipelines monitoring, Sensors &
Transducers Journal 106(7), 626.

REFERNCIAS BIBLIOGRFICAS

141

EL-Sherbeny, Mohamed Salah (2012), Cost benefit analysis of series systems with mixed
standby components and k-stage erlang repair time, International Journal of Probability and Statistics 1(2), 1118.
Emerson-PM (2008), Emerson wireless technology safely monitors temperatures in railcars at croda inc, Relatrio tcnico, Emerson Process Management.
Emerson-PM (2009a), Emerson smart wireless transmitters monitor river water temperatures at lenzing fibers, Relatrio tcnico, Emerson Process Management.
Emerson-PM (2009b), Wireless location trackin, Relatrio tcnico, Emerson Process Management.
Emerson-PM (2012), Emersons smart wireless network delivers maintenance savings,
prevents unscheduled shut downs at heavy plate steel mill, Relatrio tcnico, Emerson Process Management.
Ericson, Clifton A. (2005), Hazard Analysis Techniques for System Safety, WileyInterscience, Hoboken, New Jersey.
Felser, M. (2002), The fieldbus standards: History and structures, Relatrio tcnico, MICROSWISS Technology Leadership.
Felser, M. & T. Sauter (2002), The fieldbus war: history or short break between battles?,
em Factory Communication Systems, 2002. 4th IEEE International Workshop on,
pp. 73 80.
Felser, M. & T. Sauter (2004), Standardization of industrial ethernet - the next battlefield?,
em Factory Communication Systems, 2004. Proceedings. 2004 IEEE International
Workshop on, pp. 413 420.
Garg, Rachit & Praveen Kumar (2010), A review of fault tolerant checkpointing protocols
for mobile computing systems, International Journal of Computer Applications
3(2), 819.
Grottke, Michael, Hairong Sun, Ricardo M. Fricks & Kishor S. Trivedi (2008), Ten fallacies of availability and reliability analysis, em Proceedings of the 5th international
conference on Service availability, ISAS08, Springer-Verlag, Berlin, Heidelberg,
pp. 187206.
URL:http://dl.acm.org/citation.cfm?id=1788594.1788615

142

REFERNCIAS BIBLIOGRFICAS

Gungor, V. C. & F. C. Lambert (2006), A survey on communication networks for electric


system automation, Comput. Netw. 50(7), 877897.
Gungor, V.C. & G.P. Hancke (2009), Industrial wireless sensor networks: Challenges,
design principles, and technical approaches, Industrial Electronics, IEEE Transactions on 56(10), 4258 4265.
Han, Song, Xiuming Zhu, A.K. Mok, Deji Chen & M. Nixon (2011), Reliable and realtime communication in industrial wireless mesh networks, em Real-Time and Embedded Technology and Applications Symposium (RTAS), 2011 17th IEEE, pp. 3
12.
HCF (2007), Why wirelesshart? the right standard at the right time, White paper, HART
Communication Foundation, Austin, USA.
HCF (2011), Wirelesshart - getting started, http://www.hartcomm.org/protocol/
wihart/wireless_getting_started.html. [Online; accessed 30-December2011].
Hokstad, Per & Marvin Rausand (2008), Common cause failure modeling: Status and
trends, em K. B.Misra, ed., Handbook of Performability Engineering, Springer
London, captulo 39, pp. 621640.
URL:http://dx.doi.org/10.1007/978-1-84800-131-2_39
Hou, Wei (2003), Integrated Reliability and Availability Analysis of Networks with Software Failures and Hardware Failures, Tese de doutorado, University of South Florida, Department of Industrial and Management Systems Engineering.
Hussain, T. & R. Eschbach (2010), Automated fault tree generation and risk-based testing
of networked automation systems, em Emerging Technologies and Factory Automation (ETFA), 2010 IEEE Conference on, pp. 1 8.
IEC (2010), IEC 62591: Industrial communication networks - Wireless communication
network and communications profiles - WirelessHART.
IEC-62601 (2011), IEC/PAS 62601: Industrial communication networks - Fieldbus specifications - WIA-PA communication network and communication profile, 1a edio,
International Electrotechnical Commission.
IEC-62734 (2012), IEC 62734: Industrial communication networks - Fieldbus specifications - Wireless Systems for Industrial Automation: Process Control and Related

REFERNCIAS BIBLIOGRFICAS

143

Applications (based on ISA 100.11a), International Electrotechnical Commission.


Draft.
IEEE-802.3x (1997), IEEE Standards for Local and Metropolitan Area Networks: Supplements to Carrier Sense Multiple Access with Collision Detection (CSMA/CD)
Access Method and Physical Layer Specifications - Specification for 802.3 Full Duplex Operation and Physical Layer Specification for 100 Mb/s Operation on Two
Pairs of Category 3 or Better Balanced Twisted Pair Cable (100BASE-T2), ieee std
802.3x-1997a edio, IEEE Computer Society.
ISA100 (2009), ISA100.11a - Wireless systems for industrial automation: Process control
and related applications, ISA Standards.
Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2011), Preliminary results on the assessment of wirelesshart networks in transient fault scenarios, em 16th IEEE International Conference on Emerging Technologies and Factory Automation.
J. Muppala, R. Fricks, K. Trivedi (2000), Computational Probability, Kluwer Academic
Publishers, captulo Techniques for System Dependability Evaluation, pp. 445480.
Jawhar, Imad, Nader Mohamed, Mohamed M. Mohamed, & Junaid Aziz (2008), A routing protocol and addressing scheme for oil, gas, and water pipeline monitoring
using wireless sensor networks, em 5th IFIP International Conference on Wireless
and Optical Communications Networks WOCN.
Johnson, Barry W. (1988), Design & analysis of fault tolerant digital systems, AddisonWesley Longman Publishing Co., Inc., Boston, MA, USA.
Kharbash, S. & W. Wang (2007), Computing two-terminal reliability in mobile ad hoc
networks, em Wireless Communications and Networking Conference, 2007.WCNC
2007. IEEE, pp. 28312836.
Kharboutly, Rehab Ahmed El (2011), Architecture-based performance and reliability
analysis of concurrent software applications, ProQuest, UMI Dissertation Publishing.
Kim, Jiyong, Jinkyung Kim, Younghee Lee & Il Moon (2009), Development of a new
automatic system for fault tree analysis for chemical process industries, Korean
Journal of Chemical Engineering 26(6), 14291440.

144

REFERNCIAS BIBLIOGRFICAS

Kirrmann, Hubert (1987), Fault tolerance in process control: An overview and examples
of european products, IEEE Micro 7, 2750.
Lapp, Steven A. & Gary J. Powers (1977), Computer-aided synthesis of fault-trees,
Reliability, IEEE Transactions on R-26(1), 213.
Laprie, J.-C. (1995), Dependability of computer systems: concepts, limits, improvements,
em Software Reliability Engineering, 1995. Proceedings., Sixth International Symposium on, pp. 211.
Lessard, A. & M. Gerla (1988), Wireless communications in the automated factory environment, Network, IEEE 2(3), 64 69.
Lilleheier, Torbjorn (2008), Analysis of common cause failures in complex safety instrumented systems, Dissertao de mestrado, The Norwegian University of Science
and Technology (NTNU).
Limnios, N. (2007), Fault trees, Control systems, robotics and manufacturing series,
ISTE.
URL:http://books.google.com/books?id=TdcZAAAACAAJ
Lin, Ying-Dar, Chun-Nan Lu, Yuan-Cheng Lai, Wei-Hao Peng & Po-Ching Lin (2009),
Application classification using packet size distribution and port association, Journal of Network and Computer Applications 32(5), 10231030.
Locks, Mitchell O. (1978), Inverting and minimalizing path sets and cut sets, Reliability,
IEEE Transactions on R-27(2), 107 109.
Lundteigen, Mary Ann & Marvin Rausand (2007), Common cause failures in safety
instrumented systems on oil and gas installations: Implementing defense measures
through function testing, Journal of Loss Prevention in the Process Industries
20, 218229.
Majdara, Aref & Toshio Wakabayashi (2009), Component-based modeling of systems
for automated fault tree generation, Reliability Engineering and System Safety
94(6), 1076 1086.
Malhotra, M. & A. Reibman (1993), Selecting and implementing phase approximations
for semi-markov models, Commun. Stat. Stoch. Models 9(4), 473506.

REFERNCIAS BIBLIOGRFICAS

145

Marcelo Nobre, Luiz Affonso Guedes, Paulo Portugal & Ivanovitch Silva (2010), Towards a wirelesshart module for the ns-3 simulator, em 15th IEEE International
Conference on Emerging Technologies and Factory Automation.
Military Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F)
(1991), Relatrio tcnico, United States Department of Defense.
Montague, J. (2001), Whats left to say about industrial ethernet?, Control Engineering
48(5), 7280.
Murata, T. (1989), Petri nets: Properties, analysis and applications, Proceedings of the
IEEE 77(4), 541580.
Murray, Judy Maksoud (2010), Wireless finds new uses offshore, Intelligent Fields - A
supplement to E&P pp. 1724. Hart Energy Publishing.
Neves, P.A.C.S. & J.J.P.C. Rodrigues (2010), Internet protocol over wireless sensor networks, from myth to reality, Journal of Communications 5(3), 189196.
Ns3 (2012), Manual, http://www.nsnam.org/docs/manual/ns-3-manual.pdf.
[Online; accessed 22-Octuber-2012].
Papoulis, Athanasios & S. Unnikrishna Pillai (2002), Probability, Random Variable and
Stochastic Process, McGraw-Hill.
Petersen, S. & S. Carlsen (2011), Wirelesshart versus isa100.11a: The format war hits
the factory floor, Industrial Electronics Magazine, IEEE 5(4), 23 34.
Petersenand, Stig & Simon Carlsen (2011), A Survey of Wireless Sensor Networks for
Industrial Applications, CRC Press, captulo 12, pp. 110.
Petre, L., K. Sere & E. Troubitsyna (2011), Dependability and Computer Engineering:
Concepts for Software-Intensive Systems, Igi Global.
URL:http://books.google.com.br/books?id=lCgfe1FPfo0C
Portugal, Paulo Jos Lopes Machado (2004), Avaliao da Confiana no Funcionamento de Redes de Campo - Contribuio no Domnio dos Sistemas Industriais de
Controlo, Tese de doutorado, Faculdade de Engenharia da Universidade do Porto.
Potter, D. (1999), Using ethernet for industrial i/o and data acquisition, em Instrumentation and Measurement Technology Conference, 1999. IMTC/99. Proceedings of the
16th IEEE, Vol. 3, pp. 14921496.

146

REFERNCIAS BIBLIOGRFICAS

Puliafito, A, D Bruneo & M Scarpa (2011), Energy control in dependable wireless sensor
networks: a modelling perspective, Proceedings of the Institution of Mechanical
Engineers, Part O: Journal of Risk and Reliability .
Qureshi, Hassaan Khaliq, Sajjad Rizvi, Muhammad Saleem, Syed Ali Khayam, Veselin
Rakocevic & Muttukrishnan Rajarajan (2011), Poly: A reliable and energy efficient
topology control protocol for wireless sensor networks, Computer Communications
34(10), 1235 1242.
URL:http://www.sciencedirect.com/science/article/pii/
S0140366411000077
Rahimi, M., M. Rausand & Shaomin Wu (2011), Reliability prediction of offshore oil
and gas equipment for use in an arctic environment, em Quality, Reliability, Risk,
Maintenance, and Safety Engineering (ICQR2MSE), 2011 International Conference
on, pp. 81 86.
Rausand, Marvin & Arnljot Hsyland (2004), System reliability theory : models, statistical
methods, and applications, 2a edio, John Wiley & Sons, Inc., Publication.
S., Mitra, Saxena NR. & McCluskey EJ. (2000), Common-mode failures in redundant
vlsi systems: A survey, IEEE Transaction on Reliability 49(3), 285295.
Sahner, Robin A., Kishor Trivedi & Antonio Puliafito (1996), Performance and Reliability
Analysis of Computer Systems: An Example-Based Approach Using the SHARPE
Software Package, Kluwer Academic Publishers.
Sauter, T. (2005), Fieldbus systems - history and evolution, em R.Zurawski, ed., The
Industrial Communication Technology Handbook, CRC Press, captulo 7.
Sauter, T. (2010), The three generations of field-level networks - evolution and compatibility issues, Industrial Electronics, IEEE Transactions on 57(11), 3585 3595.
Sauter, T., S. Soucek, W. Kastner & D. Dietrich (2011), The evolution of factory and
building automation, Industrial Electronics Magazine, IEEE 5(3), 35 48.
Sauter, Thilo (2005), Linking factory floor and the internet, em R.Zurawski, ed., The
Industrial Information Technology Handbook, CRC Press, captulo 24.
Schutz, H.A. (1988), The role of map in factory integration, Industrial Electronics, IEEE
Transactions on 35(1), 6 12.

REFERNCIAS BIBLIOGRFICAS

147

Shier, D. R. & D. E. Whited (1985), Algorithms for generating minimal cutsets by inversion, Reliability, IEEE Transactions on R-34(4), 314 319.
Shooman, M. (1990), Probabilistic Reliability an Engineering Approach, Krieger Publishing Company.
Shooman, Martin L. (2002), Reliability of Computer Systems and Networks - Fault Tolerance, anaysis, and Design, Wiley-Interscience.
Shrestha, A., H. Liu & L. Xing (2007), Modeling and evaluating the reliability of wireless
sensor networks, em Reliability and Maintainability Symposium, 2007. RAMS 07.
Annual, pp. 186 191.
Shrestha, A., Liudong Xing & Hong Liu (2006), Infrastructure communication reliability
of wireless sensor networks, em Dependable, Autonomic and Secure Computing,
2nd IEEE International Symposium on, pp. 250 257.
Silva, Ivanovitch (2008), Anlise de desempenho de sistemas de comunicao sem-fio
para monitoramento de unidade de produo de poos petrolferos terrestres, Dissertao de mestrado, Universidade Federal do Rio Grande do Norte, Natal, Brasil.
Silva, Ivanovitch, L.A. Guedes & F. Vasques (2008), Performance evaluation of a compression algorithm for wireless sensor networks in monitoring applications, em
Emerging Technologies and Factory Automation, 2008. ETFA 2008. IEEE International Conference on, pp. 672 678.
Silva, Ivanovitch, Luiz Affonso Guedes, Paulo Portugal & Francisco Vasques (2012),
Dependability evaluation of wirelesshart best practices, em 17th IEEE Conference
on Emerging Technologies and Factory Automation (ETFA 2012), pp. 19.
Song, Jianping, Song Han, A.K. Mok, Deji Chen, M. Lucas & M. Nixon (2008), Wirelesshart: Applying wireless technology in real-time industrial process control, em
Real-Time and Embedded Technology and Applications Symposium, 2008. RTAS
08. IEEE, pp. 377386.
Thomesse, J.-P. (2005), Fieldbus technology in industrial automation, Proceedings of
the IEEE 93(6), 1073 1101.
Trivedi, Kisho S (2001), Probability and Statistics with Reliability, Queueing, and Computer Science Applications, 2nda edio, Wiley-Interscience.

148

REFERNCIAS BIBLIOGRFICAS

Trivedi, Kisho S. & Robin Sahner (2009), Sharpe at the age of twenty two, SIGMETRICS Perform. Eval. Rev. 36, 5257.
Tyagi, Sanjay Kumar, D. Pandey & Reena Tyagi (2010), Fuzzy set theoretic approach to
fault tree analysis, International Journal of Engineering, Science and Technology
2(5), 276283.
Urli, L. & S. Murgia (2011), Use of ethernet communications for real-time control systems in the metals industry, em Automation Science and Engineering (CASE), 2011
IEEE Conference on, pp. 6 11.
Vitturi, S. (2001), On the use of ethernet at low level of factory communication systems,
Comput. Stand. Interfaces 23, 267278.
Willig, Andreas, Martin Kubisch, Christian Hoene & Adam Wolisz (2002), Measurements of a wireless link in an industrial environment using an IEEE 802.11compliant physical layer, IEEE Transactions on Industrial Electronics 43, 1265
1282.
Wolf, Frederick G. (2001), Operationalizing and testing normal accident theory in
petrochemical plants and refineries, Production and Operations Management
10(3), 292305.
URL:http://dx.doi.org/10.1111/j.1937-5956.2001.tb00376.x
XIAO, Yu-Feng, Shan zhi CHEN, Xin LI & Yu hong LI (2009), Reliability evaluation
of wireless sensor networks using an enhanced OBDD algorithm, The Journal of
China Universities of Posts and Telecommunications 16(5), 6270.
URL:http://www.sciencedirect.com/science/article/pii/
S1005888508602708
Xing, Liudong, Hong Liu & A. Shrestha (2012), Infrastructure communication reliability of wireless sensor networks considering common-cause failures, International
Journal of Performability Engineering 8(2), 141150.
Xing, Liudong, P. Boddu & Yan Sun (2009), System reliability analysis considering fatal
and non-fatal shocks in a fault tolerant system, em Reliability and Maintainability
Symposium, 2009. RAMS 2009. Annual, pp. 436441.
Xing, Liudong & Suprasad V. Amari (2008), Handbook of Performability Engineering,
Springer, captulo Fault Tree Analysis, pp. 595617.

REFERNCIAS BIBLIOGRFICAS

149

Yamamoto, Shuji, Naoki Maeda, Makoto Takeuchi & Masaaki Yonezawa (2010), Worlds
first wireless field instruments based on isa100.11a, Relatrio Tcnico 2, IA Foundation Technology Center. Vol. 53.
Z., Tang & Dugan JB. (2004), An integrated method for incorporating common cause failures in system analysis, em Proceedings of the 50th Annual Reliability and Maintainability Symposium, pp. 610614.
Zamalloa, Marco Ziga & Bhaskar Krishnamachari (2007), An analysis of unreliability
and asymmetry in low-power wireless links, ACM Trans. Sen. Netw. 3(2).
URL:http://doi.acm.org/10.1145/1240226.1240227
Zand, Pouria, Supriyo Chatterjea, Kallol Das & Paul Havinga (2012), Wireless industrial
monitoring and control networks: The journey so far and the road ahead, Journal
of Sensor and Actuator Networks 1(2), 123152.
URL:http://www.mdpi.com/2224-2708/1/2/123
Zhu, Haihong (2012), Reliability and availability analysis for large networking system,
em Reliability and Maintainability Symposium (RAMS), 2012 Proceedings, pp. 1
6.
Zigbee-Alliance (2007), ZigBee Specification, r17a edio, ZigBee Alliance Board of Directors.

You might also like