Professional Documents
Culture Documents
Agradecimentos
Resumo
Garantir os requisitos de dependabilidade fundamental para as aplicaes industriais, onde falhas podem conduzir a defeitos cujas consequncias impactam em prejuzos
econmicos e principalmente danos ambientais e riscos aos operadores. Assim, diante da
relevncia do tema, esta tese propem uma metodologia para anlise da dependabilidade
de redes industriais sem fio (WirelessHART, ISA100.11a, WIA-PA) ainda na fase de projeto. Entretanto, a proposta pode ser facilmente estendida para as fases de manuteno
e expanso da rede. A proposta utiliza a teoria de grafos e o formalismo de rvores de
Falhas para criar automaticamente um modelo analtico a partir de uma dada topologia de
rede industrial sem fio, onde a dependabilidade possa ser avaliada. As mtricas de avaliao suportadas compreendem confiabilidade, disponibilidade e MTTF da rede, como
tambm medidas de importncia dos dispositivos, aspectos de redundncia e defeitos em
modo comum. Ressalta-se que a proposta independe de qualquer ferramenta para analisar
quantitativamente as mtricas visadas. Contudo, para propsito de validao da proposta
utilizou-se uma ferramenta amplamente aceita na academia para esse fim (SHARPE). Adicionalmente, um algoritmo para gerao dos cortes mnimos originalmente aplicado na
teoria de grafos foi adaptado para o formalismo das rvores de Falhas com o objetivo de
garantir escalabilidade da metodologia s redes industriais sem fio (< 100 dispositivos).
Finalmente, a metodologia proposta foi validada a partir de cenrios tpicos encontrados
em ambientes industriais, como topologias estrela, linha, cluster e mesh. Foram tambm
avaliados cenrios com defeitos em modo comum e um conjunto de polticas a serem
seguidas na criao de uma rede industrial sem fio. Para garantir aspectos de escalabilidade, uma anlise de desempenho foi conduzida, onde pode-se observar a aplicabilidade
da metodologia para as redes tipicamente encontradas em ambientes industriais.
Palavras-chave: Redes Industriais Sem Fio, WirelessHART, ISA100.11a, WIA-PA,
rvores de Falhas, Anlise de Dependabilidade, Confiabilidade, Disponibilidade.
Abstract
Sumrio
Sumrio
Lista de Figuras
Lista de Tabelas
ix
Lista de Publicaes
xi
xiii
Introduo
1.1
1.1.1
Primeiras tecnologias . . . . . . . . . . . . . . . . . . . . . . . .
1.1.2
Ethernet industrial . . . . . . . . . . . . . . . . . . . . . . . . .
1.1.3
1.2
Motivao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
1.3
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
1.4
Contribuies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.5
Organizao da Tese . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
15
2.1
WirelessHART . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
2.1.1
Camada fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
2.1.2
Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . .
19
2.1.3
23
2.1.4
Camada de aplicao . . . . . . . . . . . . . . . . . . . . . . . .
24
2.1.5
Melhores prticas . . . . . . . . . . . . . . . . . . . . . . . . . .
25
ISA100.11a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2.2.1
Camada fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
2.2.2
Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . .
29
2.2.3
32
2.2
2.2.4
2.3
2.4
3
33
IEC-PAS 62601/WIA-PA . . . . . . . . . . . . . . . . . . . . . . . . . .
34
2.3.1
Camada de enlace . . . . . . . . . . . . . . . . . . . . . . . . .
36
2.3.2
Camada de rede . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
2.3.3
Camada de aplicao . . . . . . . . . . . . . . . . . . . . . . . .
39
40
45
3.1
Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
3.1.1
Falha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
3.1.2
Defeito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
3.1.3
Erros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
3.1.4
Dependabilidade . . . . . . . . . . . . . . . . . . . . . . . . . .
48
Redundncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
3.2.1
Redundncia de Hardware . . . . . . . . . . . . . . . . . . . . .
52
3.2.2
57
3.2.3
Redundncia Temporal . . . . . . . . . . . . . . . . . . . . . . .
57
Medidas fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
3.3.1
58
3.3.2
Confiabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
3.3.3
Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
rvores de Falhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
3.4.1
Principais conceitos . . . . . . . . . . . . . . . . . . . . . . . .
66
3.4.2
Anlise quantitativa . . . . . . . . . . . . . . . . . . . . . . . . .
67
3.4.3
Medidas de importncia . . . . . . . . . . . . . . . . . . . . . .
70
3.4.4
Defeitos dependentes . . . . . . . . . . . . . . . . . . . . . . . .
71
Trabalhos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
3.2
3.3
3.4
3.5
4
Camada de aplicao . . . . . . . . . . . . . . . . . . . . . . . .
Metodologia de Avaliao
77
4.1
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
4.2
Entrada de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
4.2.1
Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
4.2.2
Configuraes de falhas . . . . . . . . . . . . . . . . . . . . . .
79
4.2.3
84
4.2.4
Mtricas de avaliao . . . . . . . . . . . . . . . . . . . . . . . .
85
Problema k-terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85
4.3
4.4
4.5
4.6
4.7
5
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Validao da Metodologia
5.1 Cenrio I . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.1 Topologia estrela . . . . . . . . . . . . . . . . . . . .
5.1.2 Topologia linha . . . . . . . . . . . . . . . . . . . . .
5.1.3 Topologia cluster . . . . . . . . . . . . . . . . . . . .
5.2 Cenrio II . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.1 Influncia na confiabilidade da rede . . . . . . . . . .
5.2.2 Influncia nas medidas de importncia dos dispositivos
5.2.3 Influncia na disponibilidade da rede . . . . . . . . .
5.3 Cenrio III . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.1 Regra dos cinco . . . . . . . . . . . . . . . . . . . . .
5.3.2 Regra dos trs . . . . . . . . . . . . . . . . . . . . .
5.3.3 Regra dos 25% . . . . . . . . . . . . . . . . . . . . .
5.4 Avaliao de Desempenho . . . . . . . . . . . . . . . . . . .
5.5 Consideraes Finais . . . . . . . . . . . . . . . . . . . . . .
Concluso e Trabalhos Futuros
Referncias bibliogrficas
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 87
. 92
. 93
. 94
. 95
. 97
. 97
. 99
. 100
. 101
.
.
.
.
.
.
.
.
.
.
.
.
.
.
103
103
103
106
111
116
117
118
120
121
122
124
128
129
132
.
.
.
.
.
.
.
.
.
.
.
.
.
.
135
138
Lista de Figuras
1.1
1.2
2.1
16
2.2
Dispositivos WirelessHART. . . . . . . . . . . . . . . . . . . . . . . . .
17
2.3
19
2.4
2.5
27
2.6
28
2.7
2.8
35
2.9
36
37
3.1
48
3.2
50
3.3
53
3.4
53
3.5
54
3.6
55
3.7
3.8
57
3.9
60
61
65
66
68
Viso geral da metodologia para avaliao da confiabilidade e disponibilidade das redes industriais sem fio. . . . . . . . . . . . . . . . . . . . .
78
Exemplo de uma rede industrial sem fio representada por um grafo e sua
respectiva matriz de adjacncia. . . . . . . . . . . . . . . . . . . . . . .
79
81
4.4
82
4.5
82
4.6
83
83
87
89
92
94
94
95
96
4.15 Condio de defeito dos dispositivos sem a tcnica dos cortes mnimos. .
96
97
98
4.18 rvore de falha para a rede da Figura 4.9 assumindo a seguinte condio
de defeito: Fd0 + Fd1 Fd2 . . . . . . . . . . . . . . . . . . . . . . . . .
99
4.2
4.3
4.7
4.8
4.9
4.19 Cdigo fonte da ferramenta SHARPE para a rvore de falha da Figura 4.18. 100
4.20 Procedimentos utilizados para a avaliao quantitativa da rvore de falha. 101
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
5.9
5.10
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18
107
107
108
110
111
113
114
117
118
119
120
122
124
126
127
129
Lista de Tabelas
1.1
2.1
2.2
2.3
2.4
2.5
3.1
3.2
51
64
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
110
112
115
117
123
125
128
ix
130
Lista de Publicaes
Ivanovitch Silva, Daniel Lopes, Adrio Duarte, Luiz Affonso, Leonardo Aquino &
Kaku Saito (2013), Tecnologias Emergentes para Redes Industriais Sem Fio: WirelessHART vs ISA100.11a, em Rio Automao 2013 (Submetido).
Ivanovitch Silva, Rafael Leandro, Daniel Enos & Luiz Affonso Guedes (2013), A Dependability Evaluation Tool for the Internet of Things, Computers and Electrical
Engineering (Elsevier) (Submission being processed).
Ivanovitch Silva, Paulo Portugal, & Luiz Affonso Guedes (2013), Emerging Technologies
for Industrial Wireless Sensor Networks, em Encyclopedia of Embedded Computing Systems, IGI Global (to be publish).
Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2012), Reliability and Availability Evaluation of Wireless Sensor Networks for Industrial Applications, Sensors (Basel) 12, 806838.
Ivanovitch Silva, Luiz Affonso Guedes, Paulo Portugal & Francisco Vasques (2012), Dependability evaluation of wirelesshart best practices, em 17th IEEE Conference on
Emerging Technologies and Factory Automation (ETFA 2012), pp. 19.
Ivanovitch Silva, Paulo Portugal, Francisco Vasques & Luiz Affonso Guedes (2011), Preliminary results on the assessment of wirelesshart networks in transient fault scenarios, em 16th IEEE International Conference on Emerging Technologies and Factory Automation.
xi
Access Point
CCA
CCF
CDF
CIWA
CP
CTS
Autorizao de Envio
DCF
FCC
FDEP
FIP
FIP
FT
rvores de Falhas
xiii
FTA
HCF
HSP
IEC
IEC
ISA
ISO
ISP
ISP
MAC
MAC
MAP
MAP
MIMO
MTBF
MTTF:
MTTR
NMR
OSI
PAS
Qualidade de Servio
RTS
Requisio de Envio
SEQ
SPD
TDMA
TMR
UWB
WSP
Captulo 1
Introduo
As redes industriais, tambm chamadas de redes de cho-de-fbrica, foram especificamente desenvolvidas para automao industrial, sendo portanto, bastante diferentes das
redes de computadores tradicionais em relao a dados, padres de trfegos, confiabilidade das aplicaes, exigncias temporais, entre outros fatores [Sauter 2005]. Historicamente, as redes industriais foram desenvolvidas a partir de redes de barramento, porm,
atualmente existem diversas pesquisas relacionadas com a insero do Ethernet e redes
sem fio para ambientes industriais.
O objetivo desse captulo descrever os principais desafios das tecnologias de comunicao sem fio quando inseridas em ambientes industriais. Inicialmente ser descrita
uma breve reviso sobre a evoluo das redes industriais, desde suas origens at a adoo
das tecnologias sem fio. Outros temas, como por exemplo, requisitos de confiabilidade e
determinismo, tambm sero abordados. Ao final do captulo sero descritos as motivaes, objetivos e contribuies da tese, alm da organizao do respectivo documento.
1.1
CAPTULO 1. INTRODUO
cotes de dados cujo tamanho inferior a 100 bytes, enquanto que as taxas de transmisso
so limitadas a algumas centenas de kilobits por segundo [Silva 2008]. Por outro lado,
em uma rede local de propsito geral, os pacotes de dados so superiores a 100 bytes
e as taxas de transmisso podem chegar a 10 Gbps [Lin et al. 2009]. Em relao aos
intervalos de transmisso, em uma aplicao industrial comum os dispositivos serem
configurados com intervalos de 1-4s (aplicaes de controle de processos) a alguns minutos (aplicaes de monitoramento). Em geral, os intervalos de transmisso tm taxa
constante com exceo dos alarmes, que dependem de variveis estocsticas. Finalmente,
a confiabilidade fim-a-fim um dos principais itens a ser considerado pelas aplicaes
industriais. De modo geral, a comunicao entre os dispositivos de cho-de-fbrica e
as aplicaes de gerenciamento deve atender requisitos rgidos de confiabilidade e determinismo [Sauter et al. 2011]. Em uma rede de computador tradicional, requisitos de
confiabilidade e tempo real so mais relaxados quando comparado com as exigncias das
aplicaes industriais. Outra caracterstica antagnica est relacionada com o perodo no
qual as instalaes dessas redes so vlidas. Em uma rede de cho-de-fbrica esperado
que sua estrutura seja utilizada por um perodo de pelo menos at 10 anos, enquanto que
em uma rede tradicional esse perodo de aproximadamente 3 anos [Sauter 2010].
A diferena entre as redes de cho-de-fbrica e as redes tradicionais so motivadas
principalmente pela limitao das tecnologias utilizadas e dos requisitos das aplicaes.
Entretanto, o avano tecnolgico tem criado uma estrutura adequada para estender as
redes originalmente projetadas para serem instaladas em escritrios (Ethernet e solues
sem fio) em ambientes industriais. Para compreender melhor esse contexto necessrio
observar toda a evoluo das redes de cho-de-fbrica, desde as tecnologias mais primitivas at a utilizao das redes sem fio. A Figura 1.1 um exemplo de tal abordagem, onde
as diferentes tecnologias de comunicao para redes de cho-de-fbrica so organizadas
cronologicamente de acordo com essa evoluo.
1.1.1
Primeiras tecnologias
Redes Tradicionais
Telex
V.21
Ethernet
Arpanet
OSI/ISO
Internet
X.21
Wimax
MAP
MMS
Redes de Ch
ao-de-F
abrica
WLAN
Bluetooth
Sercos III
FIP
ControlNet
Profibus
DeviceNet
Modbus
Interbus
WorldFip
P-NET
MIL 1553
FF
Sercos
HART
1970
1980
1990
ISA100.11a
Profinet IRT
UWB
Modbus RTPS
ASi
CAN
EPL WirelessHART
EtherCat
EPA
Ethernet/IP
2000
IEC 62601
ZigBee
802.15.4
802.15.5
2010
ERP
Redes Corporativas
IV
MES
s
II
orio
is
Sistem
erv
as Sup
II
es
olador
CLP
res
Senso
Contr
Redes de Ch
ao-de-F
abrica
dores
Atua
CAPTULO 1. INTRODUO
Durante as dcadas de 80 e 90, diversas solues proprietrias para redes de chode-fbrica foram desenvolvidas. Essas solues eram dedicadas a aplicaes especficas
e redes de diferentes fabricantes eram incompatveis. A maioria dessas solues proprietrias desaparecem devido inviabilidade econmica de manter um protocolo muito
especializado para um nicho especfico de aplicaes [Thomesse 2005]. Motivado por
tal contexto, surgiu a necessidade de uma padronizao internacional das redes de chode-fbrica. Se analisarmos a evoluo dessas redes do ponto de vista da padronizao,
possvel perceber a influncia direta do modelo OSI/ISO (Interconexo de Sistemas
Abertos/Organizao Internacional para Padronizao). Esse modelo serviu de base para
que protocolos fossem desenvolvidos com a finalidade de comunicar redes de diferentes
fabricantes. Um dos primeiros protocolos desenvolvidos foram o MAP e Mini-MAP.
Entretanto, a complexidade de implementao inviabilizou a sua utilizao em larga escala [Schutz 1988].
No geral, a tentativa de criar um protocolo universal para as redes de cho-de-fbrica
fracassou. Essa busca tecnolgica durou aproximadamente 16 anos (1986-2002) [Felser
& Sauter 2002]. As tentativas para padronizar uma soluo universal tornaram-se mais
uma questo poltica, onde cada pas desejava garantir sua soluo como a universal, do
que uma discusso tcnica. Inicialmente, Frana (FIP) e Alemanha (PROFIBUS) disputaram a escolha da soluo universal para as redes de cho-de-fbrica. Obviamente, cada
pas defendia sua prpria soluo. Entretanto, o FIP e o PROFIBUS propuseram padres
que se complementavam. O primeiro utilizava uma soluo centralizada, enquanto que
o segundo props uma soluo distribuda. Algumas tentativas foram feitas com o objetivo de incrementar o PROFIBUS com as funcionalidades propostas pelo FIP e vice-versa
(ISP, WorldFIP). Em 1995, diversas empresas, na sua grande maioria empresas americanas, decidiram no esperar por uma soluo universal oriunda da combinao entre o FIP
e PROFIBUS, criando a definio de um novo protocolo, o Foundation Fieldbus. Naquele
momento, os pases europeus que detinham tecnologias nacionais para redes de cho-defbrica estavam receosos que suas solues no pudessem se tornar padres universais.
Do ponto de vista econmico no era vivel desenvolver um novo protocolo do zero que
no fosse compatvel com as respectivas solues nacionais. Dessa forma, o Comit Europeu de Normalizao Eletrotcnica (CENELEC) compilou todos os padres nacionais
europeus para um nico documento, onde cada padro visualizado com uma parte isolada ou um sistema independente. Em paralelo, a Comisso Eletrotcnica Internacional
(IEC) atravs da Foundation Fieldbus criou sua prpria especificao. A coexistncia do
padro europeu com a especificao do IEC criou um cenrio conhecido como a guerra
das redes de cho-de-fbrica. No final, o objetivo de criar um protocolo universal para
as redes de cho-de-fbrica foi abandonado com o surgimento dos padres IEC 61158
e IEC 61784, os quais acomodavam todos protocolos de redes de cho-de-fbrica existentes [Felser 2002]. importante lembrar que nessa poca todos os referidos protocolos
usavam cabos como meio de transmisso.
1.1.2
Ethernet industrial
Baseado na pirmide da automao, descrita na Figura 1.2, verifica-se que os dispositivos de cho-de-fbrica (sensores e atuadores) e as aplicaes de alto nvel so interligados por diferentes redes. Se um mesmo tipo de rede fosse utilizado para essa finalidade
a pirmide da automao seria muito mais simples, eliminando a necessidade de equipamentos adicionais (pontes) para converter diferentes protocolos. Uma escolha natural
para simplificar a comunicao dos equipamentos seria utilizar a prpria rede corporativa
da companhia. O motivo dessa soluo decorrente do fato que as redes corporativas j
esto conectadas com as aplicaes de alto nvel, dessa forma o acesso as informaes
de cho-de-fbrica poderia ser realizado de uma maneira mais flexvel. Adicionalmente,
as redes corporativas, que por sua vez so baseadas no protocolo Ethernet, j alcanaram um nvel de maturidade considervel em relao confiabilidade dos equipamentos
desenvolvidos. Em aplicaes industriais a confiabilidade uma exigncia fundamental,
haja visto que falhas nos equipamentos podem provocar danos ao meio ambiente e expor
operadores a situaes de risco [Rahimi et al. 2011]. Tambm conhecido que as taxas
de transmisso dos protocolos baseados no Ethernet so bastante superiores s das redes
de cho-de-fbrica descritas anteriormente.
O padro Ethernet, desde sua criao, tem atrado potencial interesse de pesquisadores
com o objetivo de adaptar o referido protocolo para ambientes industriais [Potter 1999,
Montague 2001, Vitturi 2001, Felser & Sauter 2004, Urli & Murgia 2011]. No incio,
ainda na dcada de 80, as empresas tinham uma certa resistncia em adotar o Ethernet em suas aplicaes industriais devido ao protocolo no apresentar caractersticas de
tempo real. A saber, se duas estaes esto esperando uma terceira estao liberar o meio
de transmisso, impossvel estimar de forma determinstica qual estao ir transmitir.
Uma contribuio para mudar esse cenrio ocorreu em 1997, quando o Ethernet Full Duplex foi criado [IEEE-802.3x 1997]. A padronizao do Ethernet Full Duplex permitiu
a criao de um novo equipamento, o Switch Ethernet. Esse equipamento eliminou as
colises na rede e trouxe benefcios para insero do Ethernet em ambientes industriais.
Mesmo assim, o determinismo ainda no podia ser encontrado e pacotes poderiam ser perdidos (sobrecarga na rede provoca o estouro da fila de transmisso). Diversas alteraes
CAPTULO 1. INTRODUO
no padro Ethernet foram propostas com o objetivo de prover requisitos de tempo real.
Algumas solues garantem o determinismo na presena de dispositivos puros, ou seja,
que no sofreram modificaes do protocolo. Outras, garantem o determinismo se apenas
dispositivos modificados so utilizados. Entretanto, essas solues assumem que erros na
transmisso dos dados no ocorrem. Caso haja erros, apenas garantias probabilsticas de
tempo real podem ser fornecidas [Decotignie 2005].
A realidade atual da Ethernet industrial est voltada aos protocolos especificados
no IEC 61158. Basicamente, houve apenas adaptaes dos protocolos criados durante
a guerra das redes de cho-de-fbrica na tentativa de garantir determinismo. Muitos
desses protocolos no modificaram o padro Ethernet, dessa forma, fornecendo praticamente nenhuma garantia de determinismo. Nesse grupo, podemos destacar o Ethernet/IP,
MODBUS RTPS, PROFINET CBA e o PROFINET IO CC-A. Por outro lado, alguns protocolos buscaram solues baseadas na modificao do padro Ethernet. Basicamente,
essas solues adicionam um novo controle de acesso ao meio (MAC) ao padro. Nesse
grupo, encontram-se os seguintes protocolos: EPL, EPA, VNET-IP, PROFINET IRT, TCnet, P-NET on IP, EtherCAT, SERCOS III. Entretanto, algumas limitaes precisam ser
descritas, por exemplo, os protocolos EPL, EPA, VNET-IP no garantem determinismo
na presena de erros e tampouco coexistir com dispositivos Ethernet puros. Os protocolos
P-Net on IP e TCnet apesar de utilizarem um mecanismo robusto contra erros, so limitados para cenrios com dispositivos no-puros. Os protocolos EtherCAT e SERCOS
III so mais robustos que os anteriores em relao a garantias de determinismo, porm,
se forem conectados a dispositivos Ethernet puros o determinismo no mais garantido.
Diferentemente dos demais protocolos, o PROFINET IRT mantm as garantias de determinismo na presena de dispositivos Ethernet puros, porm, depende da existncia de um
switch especial [Decotignie 2009].
1.1.3
O surgimento das tecnologias de redes industriais sem fio foi uma evoluo natural
das primeiras tecnologias de comunicao industrial desenvolvidas, que usavam cabos
como meio de transmisso. A proposta de eliminar o cabeamento e utilizar um novo
paradigma na transmisso dos dados em ambientes industriais no recente, por exemplo,
Lessard & Gerla (1988) desenvolveram um dos primeiros trabalhos nessa rea na tentativa
de comunicar dispositivos industriais por infravermelho. Entretanto, apenas nos ltimos
anos a demanda por tecnologias sem fio na industrial tem se intensificado.
O uso de tecnologias de comunicao sem fio em ambientes industriais sempre foi
visto com grande ceticismo por parte das companhias. Esse cenrio foi criado principalmente pela baixa confiabilidade do canal de comunicao, haja visto que os equipamentos
so instalados em reas sujeitas influncia de agentes externos (rudos, interferncias,
clima adverso, obstculos naturais), que podem provocar erros em taxas superiores aos
das tecnologias cabeadas [Bai & Atiquzzaman 2003]. Outros erros no canal de comunicao so decorrentes da atenuao do sinal (motivada principalmente pela perda de
potncia devido distncia entre o emissor e receptor) e do fenmeno de mltiplos caminhos (devido reflexo, difrao e disperso do sinal transmitido, mltiplas cpias do
dado podem sofrer interferncia construtiva ou destrutiva na recepo). Em geral, erros
em comunicaes sem fio so transientes, ou seja, o canal de comunicao fica ruim por
um tempo e depois volta normalidade. Por outro lado, em tecnologias cabeadas o erro
mais frequente o permanente, devido a falhas nos cabos, conectores ou outros componentes.
Um segundo ponto a ser levado em considerao na insero de tecnologias de comunicao sem fio em ambientes industriais est relacionado com a natureza do meio de
propagao. Como o sinal de comunicao transmitido pelo ar, qualquer dispositivo de
rede que esteja no alcance do rdio conseguir captar o sinal. Assim, torna-se fundamental a utilizao de um nvel elevado de segurana na tentativa de evitar o acesso indevido
a informaes sigilosas. No extremo, pessoas no autorizadas podem aproveitar da ausncia de segurana para injetar pacotes nocivos rede com o intuito de realizar algum
ataque ou roubar informaes [Chang & Chen 2012].
Outro desafio a ser observado est relacionado com a coexistncia de diferentes tecnologias no mesmo ambiente. Devido ao meio de transmisso das tecnologias de comunicao sem fio ser aberto, poder existir situaes onde tecnologias diferentes compartilhem
a mesma faixa de frequncia. Assim, importante que mesmo coexistindo num mesmo
ambiente, diferentes tecnologias possam operar sem que uma no interfira na outra. Essa
caracterstica fundamental para garantir o dinamismo das aplicaes.
Apesar de todos esses desafios, com a evoluo das tecnologias de comunicao, novos mecanismos foram desenvolvidos para garantir a confiabilidade das redes sem fio
(modulao e codificao, escalonamento determinstico, saltos de frequncias e topologias redundantes), tornando sua utilizao acessvel aos ambientes industriais [Gungor &
Hancke 2009, Han et al. 2011].
Uma vantagem imediata em utilizar uma tecnologia de comunicao sem fio para ambientes industriais est na eliminao do cabeamento. Segundo Colpo & Mols (2011), o
uso de equipamentos sem fio podem reduzir os custos de instalao entre 50-90%, quando
comparados com cenrios onde dispositivos cabeados so utilizados. Outros benefcios
CAPTULO 1. INTRODUO
das tecnologias sem fio podem ser melhor observados quando descritos no contexto das
aplicaes industriais. A Tabela 1.1 resume alguns desses benefcios.
Tabela 1.1: Exemplos de possveis vantagens em se adotar solues de comunicao sem
fio para aplicaes industriais quando comparadas com solues tradicionais (cabeadas).
Aplicaes
Descrio
Solues Tradicionais
Vantagens
Vdeo vigilncia
Resolues
regulatrias exigem que
as plantas industriais
sejam monitoradas
em tempo real,
prevenindo o acesso
de pessoas a reas
no autorizadas.
O monitoramento
pode
alcanar
reas onde o uso
de cabeamento
limitado [Costa &
Guedes 2010].
Rastreamento de
pessoas
Em plantas industriais, cada operador deve ser monitorado. Zonas de segurana devem ser informadas em caso de
emergncia.
Mobilidade
no
pode ser garantida
com solues tradicionais, o custo
invivel.
A segurana dos
operadores aumentada [EmersonPM 2009b].
Monitoramento
de vages tanque
Vages so utilizados
para
o
transporte de materiais inflamveis.
Em operaes de
monitoramento,
operadores sobem
nos vages para
verificar
manualmente a presso ou
temperatura.
Aplicaes
Descrio
Manuteno preventiva
Durante a fabricao
de chapas de ao, a
temperatura dos rolamentos que transportam as chapas podem indicar possveis falhas. Este tipo
de falha pode parar a
planta em pelo menos 6 horas.
Solues
convencionais levam um
tempo de comissionamento
alto
haja visto a complexidade da planta
industrial.
Apresenta
um
rpido
comissionamento e manuteno [EmersonPM 2012].
Monitoramento
de dutos
Fcil instalao e
manuteno. Apesar
de utilizar uma tpica
topologia em linha,
redundncia pode
ser utilizada para
aumentar a confiabilidade [Bhatt 2010].
A infraestrutura para
levar o cabeamento
at o rio proibitiva
do ponto de vista financeiro.
Elimina os gastos
com
a
infraestrutura fsica e a
necessidade
de
visitas
regulares
ao rio. Os dados
podem ser monitorados com maior
confiabilidade
e
disponibilidade conforme a legislao
vigente [EmersonPM 2009a].
Sistema
resfriamento
de
Vrias
plantas
industriais
utilizam guas de
rios no sistema
de
resfriamento.
Aps o processo
de
resfriamento
as guas devem
retornar aos rios em
uma
determinada
temperatura.
Solues Tradicionais
Vantagens
10
CAPTULO 1. INTRODUO
Aplicaes
Monitoramento
da
produo
em plataformas
Offshore
1.2
Descrio
Determinados poos
de petrleo precisam
monitorar a presso
na cabea do poo
na tentativa de evitar
perda de produo.
Solues Tradicionais
Na maioria dos
casos, a cabea do
poo est localizado
em uma rea de
difcil acesso, sendo
bastante oneroso e
complexo a instalao da infraestrutura
de cabeamento.
Vantagens
O monitoramento
contnuo da cabea
do poo permiti
identificar gargalos
que antes no era
possvel. O uso de
dispositivos
sem
fio maximiza o
espao fsico alm
de reduzir o peso da
plataforma [Murray
2010].
Motivao
1.3. OBJETIVOS
11
falhas nos enlaces de comunicao tambm podem ser consideradas permanentes, desde
que essas tenham uma durao em escala muito superior que milissegundos. Adicionalmente, falhas permanentes apresentam, tipicamente, um maior impacto para a operao
das aplicaes industriais do que as falhas transientes [Wolf 2001]. A consequncia imediata de uma falha permanente que as comunicaes com os dispositivos afetados no
so mais possveis. No pior caso vrios dispositivos podem ficar isolados, como por exemplo no cenrio em que um dispositivo roteador apresente uma falha. Consequentemente,
o algoritmo de controle afetado e pode conduzir a um defeito crtico.
Baseado no contexto descrito anteriormente, o uso de uma metodologia para avaliar
os requisitos de dependabilidade (confiabilidade e disponibilidade) de uma rede industrial sem fio poderia antecipar importantes decises ainda na fase de projeto. Exemplos
de decises poderiam ser a topologia da rede, criticalidade dos dispositivos, nveis de redundncia e robustez. Dependendo da topologia a ser adotada, enlaces de comunicao
alternativos podem ser criados entre os dispositivos visando aumentar a confiabilidade da
rede. Adicionalmente, se uma anlise de sensibilidade suportada, dispositivos crticos
podem ser previamente identificados e decises sobre redundncia podem ser tomadas.
Na Seo 3.5 so descritos os principais trabalhos relacionados com a avaliao da
dependabilidade em redes industriais. Percebe-se que o desenvolvimento de uma metodologia de projeto visando a anlise da confiabilidade e disponibilidade de redes industriais
genricas considerado uma rea de pesquisa aberta a solues. As demandas de contribuies esto relacionadas com metodologias que abordem condies de falhas flexveis,
topologias genricas, falhas de hardware e de comunicao, defeitos em modo comum,
redundncia, alm de anlise de sensibilidade e criticalidade.
1.3
Objetivos
Considerando-se a iminente adoo em larga escala das tecnologias de comunicao sem fio em ambientes industriais vinculados a requisitos rgidos de confiabilidade e
disponibilidade, a presente tese tem como objetivo principal o desenvolvimento de uma
metodologia de projeto para a criao de redes industriais sem fio. Baseado nos requisitos
das aplicaes, a metodologia proposta permiti a escolha da topologia a ser adotada, indicar os dispositivos mais crticos na rede e realizar anlise de sensibilidade. A proposta
baseada no formalismo matemtico de rvores de Falhas (FT), considerando-se falhas
permanentes (hardware e enlace), defeitos em modo comum e redundncia.
Como objetivo secundrio, a metodologia proposta contribui para validar e auxiliar
o uso de tecnologias de comunicao sem fio em ambientes industriais. As anlises de
12
CAPTULO 1. INTRODUO
1.4
Contribuies
A principal contribuio da tese propor uma metodologia para avaliar a confiabilidade e disponibilidade das redes industriais sem fio quando sujeitas a falhas permanentes
(hardware e enlaces de comunicao). A proposta baseada na Anlise de rvores de
Falhas (FTA), uma tcnica usada para obteno da probabilidade de um estado ou evento
no desejado [Ericson 2005]. Neste caso, o evento no desejado est relacionado com o
defeito de um dispositivo especfico ou um grupo de dispositivos. Um dispositivo considerado falhado se ele sofreu um defeito permanente (hardware ou enlace de comunicao)
ou se no existe pelo menos uma rota para o gerente da rede que inclua este dispositivo.
Adicionalmente, como contribuies secundrias podemos citar a avaliao das melhores
prticas a serem utilizadas na criao de uma rede industrial sem fio e a adaptao de um
algoritmo originalmente aplicado teoria de grafos para a gerao dos cortes mnimos de
uma rvore de Falha, que viabiliza computacionalmente o emprego dessa tcnica a redes
com topologias e dimenses tipicamente encontradas em instalaes industriais reais.
A proposta inclui vrios aspectos, sendo flexvel e adaptvel para diferentes tipos de
cenrios. Quando comparada com outras solues encontradas na literatura, as principais
vantagens da metodologia proposta nesta tese so:
Suporte para topologias genricas: linha, estrela, cluster, mesh;
Condies de falhas na rede podem ser configuradas de uma maneira flexvel, desde
um simples dispositivo at um grupo de dispositivos;
Processos de defeitos e reparos podem ser caracterizados usando diferentes tipos de
distribuies estatsticas;
Dispositivos da rede podem ser configurados com redundncia (ativa);
Suporte a reconfiguraes de topologias, devido a defeitos nos dispositivos (protocolos de roteamento resilientes);
Anlise de defeitos em modo comum;
Falhas permanentes (hardware e enlaces de comunicao);
Possibilidade de obteno de diferentes tipos de mtricas para um mesmo modelo
(confiabilidade, disponibilidade, tempo mdio entre falhas, medidas de criticalidade).
13
Para complementar a proposta, foi desenvolvido uma ferramenta de software que automaticamente avalia a confiabilidade e disponibilidade de uma rede industrial sem fio.
A ferramenta automaticamente gera uma rvore de Falha com os eventos mnimos que
conduzem a condio de falha da rede. Em seguida, a rvore gerada traduzida para uma
linguagem acessvel ferramenta SHARPE (Symbolic Hierarchical Automated Reliability
and Performance Evaluator) [Trivedi & Sahner 2009], o qual usada para obteno das
mtricas avaliadas.
1.5
Organizao da Tese
Neste primeiro captulo foi apresentado uma introduo da respectiva tese. Foram
descritos o contexto, as motivaes, os objetivos e as contribuies do trabalho. Adicionalmente, o documento complementado por cinco outros captulos, os quais so
brevemente discutidos a seguir:
Captulo 2 apresenta as principais tecnologias de redes industriais sem fio. O objetivo descrever as vantagens, as desvantagens e as comparaes entre as diversas
solues. Essas informaes so necessrias para a melhor compreenso da metodologia proposta.
Captulo 3 sumariza minunciosamente a pesquisa atual do estado da arte sobre tolerncia a falhas em redes industriais. O objetivo do captulo descrever os principais
conceitos tericos utilizados na proposta alm de comparar as solues encontradas na literatura, caracterizando-se assim como a fundamentao terica da presente
tese.
Captulo 4 descreve a metodologia utilizada para avaliar a confiabilidade e disponibilidade das redes industriais sem fio. O objetivo do captulo descrever a proposta
da respectiva tese.
Captulo 5 discute diversos cenrios onde a metodologia proposta foi avaliada,
caracterizando-se assim como validao e anlise de resultados da tese.
Captulo 6 finaliza o documento com as concluses e os trabalhos que iro ser
desenvolvidos posteriormente.
14
CAPTULO 1. INTRODUO
Captulo 2
Tecnologias de Redes Industriais Sem
Fio
16
802.11a
802.15.4e
802.11b
802.15.5
802.15.4
802.11g
IEEE
802.15.x
802.11x
802.11e
802.15.1
802.15.3
802.11n
WLAN
WirelessHART
WPAN
Tecnologias Sem
Fio (Ind
ustria)
Zigbee
ISA100.11a
IEC 62601
2.1
WirelessHART
WirelessHART um padro de comunicao sem fio desenvolvido pela HART Comunication Foundation (HCF) com o objetivo de transmitir mensagens HART sem a necessidade de utilizar os meios clssicos de transmisso (4-20 mA ou RS484). Um dispositivo
WirelessHART implementa a mesma estrutura de comandos usadas por um dispositivo
clssico HART RS484. As mesmas aplicaes utilizadas no padro HART so compatveis com o padro WirelessHART.
O conceito por trs do padro WirelessHART foi inicialmente discutido em 2004 durante o encontro anual da HCF. Naquela poca, as principais questes abordadas estavam
relacionadas com a interoperabilidade de um novo padro com os dispositivos legados
(baseados no padro HART). Estima-se que 24 milhes de equipamentos HART esto
instalados ao redor do mundo e a demanda anual de aproximadamente 2 milhes de
dispositivos HART [HCF 2007].
Em setembro de 2008, a especificao WirelessHART (HART 7.1) foi aprovada publicamente (PAS) pela Comisso Eletrotcnica Internacional (IEC 62591). WirelessHART
foi a primeira tecnologia de comunicao sem fio a obter esse nvel de reconhecimento
internacional [Song et al. 2008]. A verso final da especificao foi concluda no incio
2.1. WIRELESSHART
17
Gerente da Rede e
Gerente de Segurana
Gateway
Ponto de acesso
Dispositivo de
campo
Roteador
Adaptador
Dispositivo
Porttil
18
2.1.1
Camada fsica
2.1. WIRELESSHART
19
Camada de Aplicao
Camada de Transporte
Camada de Rede
Camada de Enlace
Camada Fsica
2.1.2
Potncia (Tx)
Alcance
0 dBm
10 dBm
0 dBm
10 dBm
25 metros
100 metros
200 metros
300 metros
Camada de enlace
20
11
12
12
14
15
16
17
18
19
20
21
22
23
24
25
Config.
CCA
RxTx
Origem
Slot disponvel
Slot de tempo
Canais de Comunicao
Slots utilizados
Idle
Tx
Rx
Idle
10ms
Destino
Idle
Config. Tx Idle
Rx
10ms
Superframe 1
Superframe 1
Superframe 2
...
Superframe 2
Superframe 1
...
Figura 2.4: Mecanismos utilizados no controle de acesso ao meio da especificao WirelessHART: TDMA, saltos de frequncia, slots de tempo e superframe.
2.1. WIRELESSHART
21
22
inundar toda a rede, dessa forma foram configurados com a mais baixa prioridade. Por
outro lado, a maior prioridade foi atribuda aos pacotes de comandos no intuito de garantir que uma configurao seja atendida imediatamente. Adicionalmente ao mecanismo
de QoS, os dispositivos podem ser configurados para transmitir dados em rajadas. Esse
procedimento deve ser utilizado para maximizar a probabilidade de um dado alcanar o
Gateway. Na transmisso em rajadas os dispositivos transmitem continuamente at receberem um comando para interromper a transmisso. Os dispositivos tambm podem ser
configurados para iniciarem uma transmisso em rajada se o dado monitorado sofre uma
variao brusca. Um procedimento similar j foi avaliado na literatura apresentando uma
reduo do consumo de energia nos dispositivos [Silva et al. 2008].
Por fim, a camada de enlace atua como um facilitador para a camada de rede na
medida em que vrias informaes sobre a estrutura da rede so coletadas. Por exemplo,
na camada de enlace os dispositivos so configurados para enviarem periodicamente ao
Gateway informaes sobre seus vizinhos, quantidade de mensagens transmitidas com
sucesso, qualidade dos links, nvel da bateria, entre outras. Todas essas informaes so
utilizadas como base para a camada de rede.
As principais caractersticas presentes na camada de enlace da especificao WirelessHART so descritas na Tabela 2.2.
Tabela 2.2: Principais caractersticas presentes na camada de enlace da especificao WirelessHART.
Caractersticas
2.1. WIRELESSHART
2.1.3
23
24
2.1.4
Camada de aplicao
2.1. WIRELESSHART
25
2.1.5
Melhores prticas
26
2.2
ISA100.11a
2.2. ISA100.11A
27
plo: telefonia celular, IEEE 802.11x, IEEE 802.15x, IEEE 802.16x. Adicionalmente, foi
criado um mecanismo de tunelamento onde diversos padres industriais de comunicao
(HART, WirelessHART, Foundation Fieldbus, Profibus, Modbus, entre outros) podem ser
utilizados de forma transparente em uma rede ISA100.11a.
Uma rede ISA100.11a tpica descrita na Figura 2.5. Todos os dispositivos na rede
so caracterizados por regras bem definidas que controlam seus funcionamentos. Em geral os dispositivos podem assumir as seguintes regras: gerente do sistema, gerente de segurana, gateway, roteador backbone, roteador, dispositivo I/O, dispositivo porttil, funo
de provisionamento e referncia temporal.
Sub-rede I
Gateway
Gerente do Sistema
Gerente de Segurana
Sub-rede II
Rede de Automao
Backbone
Roteador backbone
Dispositivo I/O
Roteador
Dispositivo porttil
P Funo de provisionamento
T Referncia temporal
28
Camada de Aplicao
Camada de Transporte
Camada de Rede
Camada de Enlace
Camada Fsica
2.2. ISA100.11A
2.2.1
29
Camada fsica
Similarmente ao padro WirelessHART, a camada fsica do padro ISA100.11a baseada no IEEE 802.15.4. As camadas fsicas desses padres so bastante similares, entretanto, o ISA100.11a adiciona algumas peculiaridades. O ISA100.11a permite a utilizao
de 16 canais (11-26) apesar do canal 26 ser opcional. Diferentemente do padro WirelessHART, um rdio ISA100.11a suporta todos os nveis de avaliao da portadora (CCA),
inclusive, apresentando suporte para desabilitar a funo se necessrio. Em relao frequncia de transmisso, ambos ISA100.11a e WirelessHART utilizam apenas a faixa de
frequncia 2.4 GHz.
Em relao ao alcance do rdio, o padro ISA100.11a no especifica nenhum parmetro. Devido sua compatibilidade com o IEEE 802.15.4 esperado alcances tpicos
de at 100 metros. Entretanto, testes realizados em ambientes abertos e com visada direta
obtiveram um alcance de at 600 metros (ganho extra da antena) [Yamamoto et al. 2010].
Em ambientes fechados e densos (grande quantidade de materiais metlicos e tpicos de
ambientes industriais) os testes citados anteriormente indicam um alcance mximo de at
50 metros. Percebe-se que quanto maior o alcance do rdio maior ser o consumo de
energia nos dispositivos.
Adicionalmente, o padro ISA100.11a permite o controle da potncia de transmisso
com o intuito de economizar energia. Porm nenhum algoritmo especificado no padro.
Ambos ISA100.11a e WirelessHART devem limitar o alcance do rdio s leis regulamentadoras especficas, dessa forma, espera-se que esses padres tenham rdios com alcances
similares. Discusses sobre o tema extrapolam o objetivo desse documento (tcnico) e
convergem mais para questes comerciais.
2.2.2
Camada de enlace
A camada de enlace definida no padro ISA100.11a tem como responsabilidade controlar o acesso dos dispositivos ao meio de transmisso. Essa uma caracterstica bsica de
toda camada de enlace baseada no modelo OSI. Entretanto, o padro ISA100.11a difere
um pouco dos modelos clssicos de arquiteturas de redes pois define roteamento no nvel
da camada de enlace.
Basicamente, a camada de enlace dividida em 3 subcamadas: MAC, extenso da
MAC e uma subcamada de alto nvel. A subcamada MAC um subconjunto do IEEE
802.15.4, enquanto que a extenso da MAC adiciona novas caractersticas relacionadas
com o CSMA-CA, TDMA e saltos de frequncia. A subcamada de alto nvel responsvel por realizar o roteamento a nvel da camada de enlace.
30
2.2. ISA100.11A
31
Canais (11-25)
Tempo
Canais (11-25)
Tempo
Canais (11-25)
Tempo
Figura 2.7: Diferentes perfis de saltos de frequncia suportados pelo padro ISA100.11a.
Os slots de tempo so posicionados em sequncia formando a estrutura do superframe.
Com o objetivo de minimizar a complexidade da camada de enlace, um superframe apenas
suporta slots de mesmo tamanho. Apesar dessa limitao possvel utilizar superframes
simultneos com tamanhos de slots especficos. Para manter a sincronizao na rede,
todos os superframes so alinhados em intervalos de 250 ms.
A organizao dos superframes tem papel importante no escalonamento e consequentemente no roteamento da rede. O padro ISA100.11a define roteamento no nvel da
camada de enlace. O roteamento construdo pelo gerente do sistema atravs de mensagens enviadas periodicamente por todos os dispositivos na rede. De forma similar ao
padro WirelessHART, so definidos o roteamento em grafo e origem. A diferena est
no fato que o padro ISA100.11a organiza a rede (camada de enlace) em sub-redes.
O padro no generaliza os mecanismos internos dos dispositivos (acesso a memria,
interrupo de hardware, etc), entretanto, no nvel de camada de enlace as mensagens re-
32
Superframe
Lista negra
Sincronizao
Tipos de comunicao
Controle de fluxo
Roteamento
Pacote
2.2.3
2.2. ISA100.11A
33
2.2.4
Camada de aplicao
34
2.3
IEC-PAS 62601/WIA-PA
Em 2007, o Consrcio Wireless Industrial Chins (CIWA) desenvolveu um novo padro de comunicao sem fio, o WIA-PA (Redes Sem Fio para Automao Industrial e
Processos de Automao). No final de 2008 o padro WIA-PA tornou-se uma especificao publicamente disponvel pelo IEC cujo nome foi denominado IEC/PAS 62601. Em
2011 o IEC ratificou a especificao [IEC-62601 2011]2 .
2 Nessa
35
Uma rede WIA-PA tpica define cinco tipos de dispositivos conforme descrito na Figura 2.8. O dispositivo host utilizado por usurios ou operadores no acesso de alto nvel
a rede. O acesso fsico entre o dispositivo host ou outras redes de automao para a rede
WIA-PA realizado atravs do gateway. Em relao ao trfego de dados intra-rede, as
mensagens enviadas pelos dispositivos so encaminhadas em direo ao gateway atravs
dos dispositivos roteadores. Os dispositivos mais bsicos so os dispositivos de campo e
os handhelds. Os primeiros realizam o monitoramento de alguma varivel do processo
enquanto o segundo utilizado para configuraes em campo. Adicionalmente, o padro
IEC/PAS 62601 tem suporte para utilizao de gateways e roteadores redundantes. Essa
configurao pode ser utilizada para aumentar a confiabilidade da rede.
Gerente
da Rede
Host
Gateway
Gerente de
Segurana
Gateway
Redundante
Estrela
Estrela
Mesh
Roteador redundante
Roteador
Dispositivo de campo
Handheld
Estrela
Estrela
36
validao das mensagens transmitidas. Por outro lado, a regra denominada gerente da rede
considerada a parte principal da rede WIA-PA. Esta regra responsvel por controlar
todas as configuraes nos dispositivos, desde as tabelas de escalonamento at os canais
de comunicao.
Similarmente aos padres WirelessHART e ISA100.11a, a pilha de protocolos do padro WIA-PA baseado no modelo OSI. Entretanto, apenas so definidos 4 camadas
conforme descrito na Figura 2.9. Nas prximas sees sero descritos as principais caractersticas de cada camada. Devido camada fsica ser totalmente baseada no padro IEEE
802.15.4 e suas caractersticas j terem sido previamente descritas nesse documento, no
iremos descrever os detalhes dessa camada.
Camada de Aplicao
Camada de Rede
Camada de Enlace
Camada Fsica
2.3.1
Camada de enlace
A camada de enlace do padro WIA-PA foi modelada com o objetivo de fornecer comunicao segura, confivel e em tempo real. Ela baseada na camada de enlace do IEEE
802.15.4 com a extenso de algumas funcionalidades (saltos de frequncia, retransmisso,
TDMA e CSMA).
A unidade de comunicao slot de tempo. A durao de cada slot configurvel
e segue os mesmos limites do IEEE 802.15.4. Uma coleo de slots de tempo forma
a estrutura do superframe. Cada superframe repetido periodicamente com um intervalo proporcional a quantidade de slots de tempo utilizados. possvel utilizar mltiplos
superframes cuja configurao destinada ao gerente da rede. O funcionamento do superframe descrito na Figura 2.10. Perceba que o superframe definido no IEEE 802.15.4
37
foi inserido na Figura 2.10 apenas para mostrar que o padro WIA-PA utiliza uma verso
estendida desse superframe.
Beacon
CFP
Perodo Inativo
Beacon
Superframe WIA-PA
CAP
CFP
Comunicao
Intra-Cluster Intra-Cluster
Comunicao
Inter-Cluster
Perodo
Inativo
38
em cada slot de tempo. Por fim, o padro de saltos TH utilizado nas comunicaes
inter-cluster onde um canal diferente deve ser utilizado em cada slot de tempo.
A Tabela 2.4 resume as diferentes tcnicas utilizadas no controle de acesso ao meio
do padro WIA-PA.
MAC
Saltos de Frequncia
TDMA
CSMA
TDMA
TDMA
TDMA
-
AFS
AFS
AFS
AFH
TH
-
A condio necessria para que a camada de enlace funcione corretamente a sincronizao dos dispositivos. Semelhante ao padro IEEE 802.15.4, os dispositivos escutam
o meio por mensagens de balizamento (beacons). Ao receber uma dessas mensagens, o
dispositivo pode estimar a transmisso do prximo superframe. Adicionalmente, em uma
rede WIA-PA o sincronismo ocorre em dois nveis. O primeiro nvel est representado
nas comunicaes mesh entre o gateway e os roteadores. Nesse caso, o gateway considerado a referncia temporal (gerador de beacons). Por outro lado, o segundo nvel de
sincronizao est relacionado com as comunicaes entre cada roteador e os dispositivos
de campo no seu respectivo cluster. Neste caso, o roteador funciona como a referncia
temporal.
Apesar de utilizar tcnicas de sincronizao e saltos de frequncias, as comunicaes
entre os dispositivos ainda podem falhar. Nesse caso necessrio enviar mensagens de
retransmisso. O padro WIA-PA define as seguintes regras para retransmisses:
2.3.2
39
Camada de rede
A camada de rede definida no padro WIA-PA responsvel pelos seguintes mecanismos: endereamento, roteamento, gerenciamento do ciclo de vida dos pacotes, gerenciamento da entrada e sada de dispositivos, fragmentao e monitoramento fim-a-fim. A
configurao desses mecanismos atribuda ao gerente da rede.
Todos os dispositivos apresentam um endereamento de 64 bits no nvel fsico e um
endereo de 16 bits no nvel da camada de rede. Esses endereos so usados em todas as
comunicaes (unicast, inter/intra/global broadcast e multicast).
Em relao ao roteamento da rede, aps obter as informaes de todos os vizinhos
dos roteadores, o gerente da rede gera as tabelas de roteamento. Essas tabelas so criadas
para formar uma topologia mesh onde a interconexo dos roteadores e o gateway realizada por mltiplas rotas. Os dispositivos so configurados para enviarem periodicamente
mensagens sobre falhas nos links, nvel de energia e o estado dos seus vizinhos para o
gateway. Baseado nessas informaes, o gerente da rede pode atualizar as tabelas de
roteamentos nos dispositivos. Garantindo, assim, um roteamento com elevada resilincia.
Outra caracterstica importante realizada no nvel da camada de rede a fragmentao
dos pacotes. Caso um pacote apresente um tamanho superior a carga til da camada de
enlace, o pacote ser fragmentado em pequenas partes. Quando essas partes alcanam o
receptor, a desfragmentao realizada no nvel da camada de rede.
2.3.3
Camada de aplicao
A camada de aplicao definida no padro WIA-PA segue o paradigma de orientao a objetos. Dispositivos e servios so mapeados em objetos de softwares enquanto
que suas interconexes so administradas por mtodos j padronizados. Alm dessas caractersticas, a camada de aplicao tambm responsvel por prover o tunelamento de
tecnologias legadas, como por exemplo, HART, Profibus, Modbus e Foundation Fieldbus.
Consideraes em relao ao contexto das aplicaes industriais
WIA-PA foi aprovado em 2008 como padro chins para comunicaes sem fio em
ambientes industriais. No mesmo ano o IEC tambm aprovou o respectivo padro como
publicamente disponvel porm com outra denominao (IEC/PAS 62601).
A arquitetura do padro baseada em apenas 4 camadas do modelo OSI (fsica, enlace, rede e aplicao). A camada fsica totalmente baseada no IEEE 802.15.4, enquanto
que a camada de enlace apresenta algumas diferenas relacionadas com o superframe. No
40
2.4
Esta seo tem como objetivo descrever de forma sucinta as principais diferenas
existentes entre os padres de comunicao sem fio industriais descritos anteriormente.
Os principais pontos de discusso esto descritos na Tabela 2.5.
Tabela 2.5: Comparaes entre os principais padres de comunicao sem fio industriais.
Propriedades
Camada fsica
Camada de enlace
Camada de rede
WirelessHART
ISA100.11a
WIA-PA
IEEE 802.15.4
IEEE 802.15.4
IEEE 802.15.4
Slots de 10-12ms,
saltos
de
frequncia (3 tipos),
TDMA/CSMA,
roteamento a nvel
da subrede (grafo e
origem)
Slots de 10ms,
saltos
de
frequncia (3 tipos),
TDMA/CSMA/FDMA
Roteamento (grafo e
origem)
41
Propriedades
WirelessHART
ISA100.11a
WIA-PA
Camada de transporte
Servios com/sem
conexo,
ACK
fim-a-fim
Camada de aplicao
Fragmentao,
HART
Genrica orientada a
objetos
Genrica
Topologia
Mesh
Mesh
Mesh (limitada)
Escalabilidade
64 bits (fsico), 16
bits (rede)
64 bits (fsico), 16
bits (rede)
64 bits (fsico), 64
bits (rede)
Fabricantes
Emerson,
Siemens,
ABB,
Endress+Hauser,
Pepperl+Fuch,
MACTek e outros
membros HCF
Honeywell,
gawa
Mercado chins
Pontos fortes
Interoperabilidade,
roteamento
mltiplos
caminhos,
quantidade de fabricantes, melhores
prticas
Saltos de frequncia
adaptativo e agregao de dados
Pontos fracos
Saltos de frequncia
no so adaptativos
Interoperabilidade
Yoko-
42
43
44
Captulo 3
Dependabilidade: Estado da Arte
3.1
3.1.1
Principais conceitos
Falha
46
que as falhas fsicas so aquelas que afetam o hardware dos equipamentos. Por fim, as
falhas de operao so todas as falhas que ocorrem durante a utilizao dos sistemas.
Para melhor compreenso dessa classificao, iremos descrever alguns exemplos. Falhas naturais so tipicamente falhas fsicas causadas por fenmenos naturais com ou sem
a participao de agentes externos (humanos). Outro exemplo de falha aquela provocada
pela ao do homem, a qual pode incluir a falha por omisso (ausncia de aes quando na
verdade aes deveriam ter sido tomadas) ou falha por comissionamento (quando aes
erradas conduzem a falhas). Outros exemplos so descritos abaixo:
Falhas maliciosas: introduzidas com o objetivo de alterar o funcionamento do sistema.
Falhas no maliciosas: introduzidas sem o objetivo malicioso.
Falhas deliberadas: ocorrem devido a ms decises.
Falhas no deliberadas: ocorrem devido a erros.
Falhas de configurao: a configurao errada dos parmetros conduzem para falhas.
No contexto desta tese, falhas so classificadas em transientes ou permanentes [Garg
& Kumar 2010]. Falhas transientes afetam os links de comunicao entre dispositivos por
um pequeno intervalo de tempo (escala em milissegundos [Willig et al. 2002]). Esse tipo
de falha provocada tipicamente por rudos ou interferncias eletromagnticas. Por outro
lado, falhas permanentes afetam diretamente os dispositivos e so causadas por problemas
de hardware. Aps uma falha permanente, um dispositivo considerado inoperante at
que uma ao de reparo seja finalizada (escala em horas [Zhu 2012]). Excepcionalmente,
falhas nos links podem ser consideradas permanentes. Esse cenrio ocorre quando obstculos/barreiras temporrias (pessoas, carros, paredes, clima adverso) inibem a comunicao entre os dispositivos por um perodo superior escala dos milissegundos [Zamalloa
& Krishnamachari 2007].
3.1.2
Defeito
O prximo conceito a ser descrito sobre anlise da dependabilidade o defeito (failure). A manifestao de eventos que ocorre quando o sistema desvia do servio correto
chamado defeito. Em outras palavras, defeitos ocorrem quando erros so propagados
dentro do sistema.
Um ponto de grande importncia a identificao das possveis causas dos defeitos.
Isso pode ser realizado mais facilmente baseado na caracterizao/classificao dos di-
47
versos tipos de defeitos. Avizienis et al. (2004) caracteriza os defeitos em quatro pontos
de vistas: domnio, detectabilidade, consistncia e consequncias.
No primeiro ponto de vista, o domnio dos defeitos so classificados em trs classes
principais:
Defeitos de contedo: a natureza da informao (numrica ou no numrica) transmitida desvia da especificao correta.
Defeitos temporais: a durao do servio desvia da implementao correta (muito
rpido ou muito lento).
Defeitos de contedo e temporais: nenhum servio entregue ou caso o servio
seja entregue ele desvia da sua implementao correta.
Outro ponto de vista importante descrito por Avizienis et al. (2004) a detectabilidade dos defeitos. Esse conceito refere-se capacidade do defeito ser sinalizado para os
usurios. Nesse contexto, dois principais problemas precisam ser observados. O primeiro
refere-se aos falsos alarmes, o qual se caracteriza pela sinalizao dos defeitos quando na
prtica eles no ocorreram. O segundo ainda mais crtico e refere-se a no sinalizao
dos defeitos quando eles realmente ocorrem. Ambos problemas conduzem o sistema para
um estado de degradao, onde apenas algumas funcionalidades so operacionais.
A consistncia dos defeitos um ponto de vista que apresenta um significado muito
prximo com a detectabilidade dos defeitos. Esse conceito est relacionado com a capacidade de observao dos usurios em relao aos defeitos. Quando um servio incorreto
percebido por todos os usurios do sistema, o defeito chamado consistente. Por outro
lado, quando apenas alguns usurios percebem que um defeito ocorreu, este chamado
de inconsistente.
Finalmente, o ltimo ponto de vista proposto por Avizienis et al. (2004) a consequncia dos defeitos. Esse conceito caracteriza a severidade que um defeito pode causar.
Quando as consequncias so comparadas com os benefcios fornecidos pelo funcionamento correto do sistema, os defeitos so chamados de benignos, caso contrrio eles so
chamados de catastrficos.
Na metodologia proposta nesta tese, assumi-se os defeitos de contedo e temporais.
Adicionalmente, todos os defeitos so sinalizados e observados para/pelos usurios. Em
relao severidade dos defeitos, dependendo do cenrio a ser avaliado, ambos os defeitos
benignos e catastrficos so suportados pela proposta apresentada aqui.
48
3.1.3
Erros
.........
Falha
Ativao
Erro
Propagao
Defeito
Causa
Falha
.....
3.1.4
Dependabilidade
Dependabilidade um conceito muito interessante que discutido amplamente na literatura [Avizienis & Laprie 1986, Laprie 1995, Avizienis et al. 2004, Petre et al. 2011].
Existem diversas definies para o termo dependabilidade. Na definio original [Avizienis
& Laprie 1986], dependabilidade a capacidade de entregar servios que podem ser justificadamente confiveis. Em outra definio [Petre et al. 2011], o termo dependabilidade
usado para descrever que um sistema pode ser confivel sob determinadas condies operacionais por um perodo de tempo especfico. A definio de dependabilidade assumida
nesta tese, considerando que todo sistema pode falhar, a habilidade de um sistema evitar
falhas nos servios mais crticos [Avizienis et al. 2004]. Essa definio coerente com o
49
contexto das redes industriais sem fio, onde falhas nos servios crticos podem ocasionar
consequncias catastrficas.
Dependabilidade pode ser tambm caracterizada por um conceito integrado combinando os seguintes atributos:
Confiabilidade: exprime a ideia de continuidade do servio correto. Em outras
palavras, a probabilidade de um defeito no ocorrer em um determinado perodo de
tempo.
Integridade: o servio no pode ser modificado sem autorizao.
Manutenabilidade: capacidade de ser reparado ou sofrer manuteno.
Disponibilidade: habilidade em fornecer o servio correto quando solicitado. Em
outras palavras, a probabilidade do sistema estar operacional quando solicitado.
Segurana: ausncia de consequncias catastrficas para os usurios do sistema.
Na prtica, esses atributos devem ser quantificados para que se possa avaliar o quo
confivel um determinado sistema. A importncia de cada um desses atributos subjetiva e depende do contexto da aplicao que est sendo avaliada. Por exemplo, para
o contexto das redes industrias sem fio essencial uma alta disponibilidade (as aplicaes devem estar operacionais o maior tempo possvel) e confiabilidade (defeitos devem
ser evitados nos servios crticos). Todos esses atributos sero descritos formalmente na
seo 3.3.
Meios para obteno da dependabilidade
Em relao aos meios para obteno da dependabilidade, Avizienis et al. (2004) categorizou quatro grupos principais: preveno de falhas, tolerncia a falhas, remoo de
falhas e previso de falhas.
Preveno de falhas um conceito largamente utilizado na engenharia para descrever a capacidade em prevenir a ocorrncia ou insero de falhas. A preveno de falhas
pode ser utilizada durante as fases de especificao (evitar especificaes incompletas ou
ambguas), desenvolvimento (escolha correta de metodologias e processos), fabricao
(verificao da qualidade dos componentes) e operao (treinamento dos usurios) dos
sistemas. Esta tcnica no consegue evitar completamente os riscos das falhas. Apesar da evoluo nas tcnicas/metodologias para preveno de falhas, na prtica quase
impossvel garantir que um sistema no possua falhas [Portugal 2004].
Continuando com a descrio dos meio para obteno da dependabilidade, a seguir
iremos definir um dos principais conceitos, tolerncia a falhas. Este conceito definido
50
como a capacidade de evitar defeitos na presena de falhas. Para alcanar seu objetivo,
a tolerncia a falhas utiliza duas tcnicas: deteco de erros e a recuperao do sistema.
A primeira tcnica permite a deteco de um estado errado do sistema e ainda pode ser
utilizada de uma maneira concorrente (durante a entrega normal do servio) ou de uma
maneira preemptiva (enquanto o servio est suspenso). Por outro lado, o mecanismo
de recuperao se baseia na eliminao dos erros (manipulao dos erros) e na preveno que falhas sejam ativadas novamente (manipulao de falhas). A eliminao dos
erros composta de trs partes principais: retrocesso (retorno para um estado seguro do
sistema), avano (deslocamento para um novo estado confivel) e compensao (uso de
redundncia para mascarar o erro). O uso de compensao ou redundncia um meio
bastante eficiente para fornecer tolerncia a falhas aos sistemas [Johnson 1988]. Por outro lado, a tcnica de manipulao de falhas caracterizada por quatro funcionalidades:
identificao e localizao dos erros (diagnstico), excluso dos componentes falhados
(isolamento), reatribuies de tarefas (reconfigurao) e reinicializao. Uma viso geral
sobre os principais meios para obteno de tolerncia a falhas descrita na Figura 3.2.
Retrocesso
Manipulao de erros
Concorrente
Avano
Compensao
Deteco de
Erros
Tolerncia a
Falhas
Recuperao
Diagnstico
Isolamento
Preemptiva
Manipulao de falhas
Reconfigurao
Reinicializao
3.2. REDUNDNCIA
51
Por fim, a previso de falhas a ferramenta utilizada pela dependabilidade para estimar o nmero e as consequncias das falhas no sistema. A referida tcnica executa uma
avaliao do comportamento do sistema em relao a ocorrncia ou ativao de falhas. A
avaliao pode ocorrer de uma maneira qualitativa ou quantitativa. No primeiro mtodo,
as falhas so identificadas e classificadas baseadas nos defeitos que elas podem ocasionar enquanto que no mtodo quantitativo medidas (atributos) sobre a dependabilidade do
sistema so realizadas.
A Tabela 3.1 sintetiza as definies sobre os principais conceitos relacionados com
tolerncia a falhas descritos anteriormente.
Tabela 3.1: Conceitos bsicos sobre tolerncia a falhas.
Conceito
Definio
Principais atributos e classificao
Dependabilidade Capacidade do sistema
em evitar falhas nos servios crticos
Falha
Qualquer tipo de defeito que pode conduzir
a um erro
Defeito
A manifestao do erro
Erro
3.2
Redundncia
Esta seo tem como objetivo descrever os conceitos fundamentais que so utilizados
na implementao de sistemas tolerantes a falhas. Basicamente, tcnicas de redundncia
so adotadas para garantir os requisitos desses sistemas.
Os meios para obteno de sistemas tolerantes a falhas so baseados em cinco tcnicas [Johnson 1988]: mascaramento, conteno, deteco, localizao e recuperao.
O mascaramento tem como objetivo ocultar a ocorrncia das falhas no sistema. A detectabilidade da falha no realmente necessria antes que a mesma possa ser tolerada.
Entretanto, a falha precisar ser mantida sob controle. Por outro lado, a conteno responsvel por prevenir que as consequncias das falhas no se propaguem para todo o
sistema. A deteco, localizao e recuperao das falhas so tcnicas adotadas quando
as duas tcnicas anteriores no so utilizadas.
52
3.2.1
Redundncia de Hardware
Redundncia passiva
Um sistema configurado com redundncia de hardware passiva no gera erros na sada
em caso de falhas. Entretanto, o sistema poder ser reinicializado para evitar a ocorrncia
de erros. Duas tcnicas se destacam: redundncia modular tripla (TMR1 ) e a redundncia
modular mltipla (NMR2 ).
a) Redundncia modular tripla
A tcnica mais comum de redundncia passiva de hardware a TMR. A ideia bsica
triplicar o hardware onde os mdulos executaro o mesmo procedimento. A sada de
cada mdulo processada por uma tcnica de votao que ir escolher a sada do sistema.
Se um dos mdulos falhar, os dois outros restantes podero mascarar o mdulo defeituoso
utilizando o esquema de votao majoritrio. Caso dois mdulos falhem, a partir daquele
momento o sistema no ter garantias para fornecer os requisitos tolerantes a falhas. A
Figura 3.3 sintetiza a tcnica da redundncia modular tripla.
O ponto fraco da tcnica TMR o mecanismo de votao. Em caso de falha deste
mecanismo o sistema ficar comprometido. Sendo assim, a confiabilidade mxima do
sistema determinada pela confiabilidade mxima do mecanismo de votao. Adicionalmente, o esquema de votao pode ser replicado para garantir requisitos mais robustos. A
1 Adotamos
2 Adotamos
3.2. REDUNDNCIA
53
Entrada 1
Mdulo 1
Entrada 2
Mdulo 2
Entrada 3
Mdulo 3
Sada
Votao
Entrada 1
Mdulo 1
Votao
Sada
Entrada 2
Mdulo 2
Votao
Sada
Entrada 3
Mdulo 3
Votao
Sada
54
Sada
Mdulo 1
Entrada
Comparador
Erro (Sim/No)
Mdulo 2
Figura 3.5: Tcnica de redundncia de hardware ativa baseada em duplicao com comparao.
A desvantagem da duplicao com comparao est na vulnerabilidade de falhas na
entrada e no comparador. Se a entrada de dados falhar, ambos os mdulos iro produzir os
mesmos erros. Em relao ao comparador, falhas podem ocasionar a indicao de falsos
positivos ou, no pior caso, no indicar a ocorrncia de erros.
3.2. REDUNDNCIA
55
b) Mdulos reservas
O fornecimento de dispositivos reservas/sobressalentes talvez a ideia mais natural
sobre redundncia. Um mdulo mantido operacional, enquanto que os mdulos reservas ficam aguardando serem utilizados. Quando o mdulo operacional falha, o mdulo
reserva entra em operao. As tcnicas de deteco e localizao de falhas so fundamentais para execuo desse procedimento conforme descritos na Figura 3.6.
Deteco de erro
Entrada
Mdulo 2
Deteco de erro
Mdulo N
Dispositivo operacional
(localizador) Mux N/1
Mdulo 1
Sada
Deteco de erro
56
Mdulo 1
Mdulo 2
Mdulo 3
Reserva 1
Reserva 2
Reserva 3
...
Votao
Sada
Figura 3.7: Tcnica de redundncia de hardware hbrida modular mltipla com reservas.
A vantagem desta tcnica a sua melhor eficincia em relao ao nmero de mdulos
e a quantidade de falhas toleradas. Por exemplo, a tcnica TMR suporta trs mdulos e
tolera apenas uma falha. Por outro lado, a tcnica modular mltipla com reservas pode
tolerar duas falhas usando apenas trs mdulos e um reserva. Para tolerar duas falhas uma
tcnica de redundncia passiva necessita pelo menos cinco mdulos (5MR). A vantagem
da tcnica hbrida mantida at que todos os mdulos reservas tenham sido utilizados.
Sumrio sobre as tcnicas de redundncia de hardware
A adoo das tcnicas de redundncia de hardware esto diretamente relacionadas
com os requisitos das aplicaes. As tcnicas ativas geralmente utilizam menos hard-
3.2. REDUNDNCIA
57
3.2.2
A adio de informaes sobressalentes para os dados do sistema chamada redundncia de informao. Duas tcnicas so utilizadas para a obteno desse tipo de redundncia: deteco e correo de cdigos de erros. Exemplos incluem os cdigos de
paridade, m/n, duplicao, checksums, cclicos, aritmticos, berger, paridade horizontal e
vertical e hamming. Atravs destas tcnicas o sistema pode fornecer deteco e mascaramento de falhas.
Outro mtodo para garantir sistemas resilientes a redundncia de software. Est tcnica reduz a quantidade de hardware necessria para o fornecimento de redundncia. Na
prtica no necessrio replicar o software para garantir redundncia. Geralmente as tcnicas incluem verificar se o sistema apresenta uma determinada capacidade ou comparar
sadas de diferentes funes de uma mesma especificao.
3.2.3
Redundncia Temporal
T0
Entrada
Processamento
Armazenamento
do resultado
T0 +
Entrada
Processamento
Armazenamento
do resultado
T0 + n
Entrada
Processamento
Armazenamento
do resultado
Comparao
Sinal de
Erro
58
A redundncia temporal classificada baseada no tipo de falha (transiente ou permanente) que causou o erro. Aps um erro ser detectado pela primeira vez, outras tentativas para executar as entradas so realizadas. Se o erro no permanece, a falha que
causou aquele erro do tipo transiente. Caso contrrio, a falha classificada como permanente. Segundo Kirrmann (1987), 90% dos erros so causados por falhas transientes. No
contexto das redes industriais sem fio, falhas transientes ocorrem tipicamente nos canais
de comunicao apresentando a durao de algumas centenas de milissegundos [Willig
et al. 2002]. Todavia, as falhas permanentes apresentam uma importncia notria, haja
vista a criticalidade das aplicaes industriais. Inclusive, falhas nos canais de comunicao podem tambm serem consideradas falhas permanentes dependendo de suas duraes.
3.3
Medidas fundamentais
3.3.1
59
A densidade de defeitos expressa a taxa global da ocorrncia de defeitos. Como descrito na equao 3.1, f (t) definida em um intervalo de tempo t e representa a relao
entre o nmero de defeitos ocorridos naquele intervalo de tempo (considerando o nmero
total de dispositivos do sistema) dividido pelo intervalo de tempo transcorrido.
f (t) =
n(t) n(t + t)
Nt
(3.1)
F(t) =
Z u
f (u) du
(3.2)
A relao simtrica de F(t), a qual representa a porcentagem de dispositivos operacionais no instante t, pode tambm ser facilmente encontrada, cujo valor dado por:
1 F(t) =
n(t)
N
(3.3)
Outra definio bastante importante a taxa de defeitos z(t) (tambm conhecida como
hazard rate). z(t) corresponde taxa instantnea em que os defeitos ocorrem. Como descrito na equao 3.4, z(t) corresponde ao nmero de defeitos ocorridos em um intervalo t
(considerando a quantidade de dispositivos operacionais no inicio do intervalo) dividido
pelo tamanho do intervalo de tempo.
z(t) =
n(t) n(t + t)
n(t)t
(3.4)
As funes f (t) e z(t) podem ser utilizadas para caracterizar a ocorrncia de defeitos
nos componentes do sistema. Durante o perodo inicial (aps a fabricao ou incio do
sistema) defeitos nos componentes podem ser observados principalmente devido a erros
de fabricao ou utilizao incorreta. Nesse perodo esperado que as funes f (t) e z(t)
decresam com o tempo. Aps a fase inicial, o sistema passa por um perodo (vida til)
onde poucos defeitos ocorrem. Assim, z(t) apresenta um comportamento quase constante
enquanto que f (t) diminui lentamente semelhante a uma funo exponencial [Shooman
60
f(t)
Tempo
z(t)
Perodo
inicial
Defeitos aleatrios
(vida til)
T1
Desgate
T2
Tempo
Figura 3.9: Relao entre a densidade de defeitos f (t) e a taxa de defeitos z(t).
61
em bases de dados j compiladas por vrias organizaes, como por exemplo o Military
Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F) (1991).
3.3.2
Confiabilidade
z(t)
Operacional
Defeituoso
F(t) = P(T t)
d
f (t) = F(t)
dt
(3.5)
(3.6)
De acordo com a teoria de processos estocsticos [Papoulis & Pillai 2002], a probabilidade de um evento (defeito) ocorrer no intervalo [t,t + t] dado por:
(3.7)
Estendendo essa definio para a probabilidade condicional, podemos calcular a probabilidade de ocorrer um defeito no intervalo t + t, sabendo-se que o sistema estava opera-
62
(3.8)
F(t + t) F(t)
1
t0
t
1 F(t)
d
1
=
F(t)
dt
1 F(t)
f (t)
=
1 F(t)
lim
(3.9)
n(t) n(t + t)
t0
n(t)t
n(t) n(t + t) 1
= lim
t0
t
n(t)
1
= N f (t)
n(t)
f (t)
=
1 F(t)
z(t) =
lim
(3.10)
(3.11)
Realizando algumas manipulaes algbricas nas equaes 3.6 e 3.10 podemos encontrar
63
d
d
F(t) = (1 R(t)) = R0 (t)
dt
dt
f (t)
R0 (t)
d
z(t) =
=
= ln R(t)
1 F(t)
R(t)
dt
f (t) =
(3.12)
(3.13)
Z t
0
z(u)du = ln R(t)
Zt
R(t) = exp z(u) du
(3.14)
MT T F = E(t) =
t f (t) dt
=
=
Z
d
Z0
dt
R(t) dt
t dR(t)
Z
= tR(t) +
0
R(t)dt
R(t)dt
(3.15)
64
funes, entretanto alguns detalhes precisam ser descritos. Na taxa de defeitos constante
o parmetro do modelo , que nesse caso representa o nmero de defeitos por unidade
de tempo. Em relao taxa de defeitos com comportamento linearmente crescente, o
parmetro do modelo K, o qual representa a amplitude das curvas. Percebe-se que estes
dois modelos anteriores so casos particulares do modelo Weibull (m = 0 corresponde
ao modelo com taxas constante enquanto que m = 1 ao modelo com taxas linearmente
crescente). O parmetro m conhecido como fator de aspecto devido influenciar no comportamento da curva. Adicionalmente, para o clculo
Z do MTTF no modelo Weibull
necessrio a utilizao da funo gamma ((x) =
et t x1 dt).
0
Funes
3.3.3
Constante
Crescente
Weibull
z(t)
f (t)
F(t)
R(t)
et
1 et
et
Kt m
Kt m eKt /(m+1)
m+1
1 eKt /(m+1)
m+1
eKt /(m+1)
MTTF
Kt
2
KteKt /2
2
1 eKt /2
Kt 2 /2
eq
Distribuio
Exponencial
Rayleigh
Weibull
2K
m+1
[(m+2)/(m+1)]
[K/(m+1)]1/(m+1)
Disponibilidade
65
z(t)
Operacional
Defeituoso
(t)
Figura 3.11: Estados do sistema na viso da disponibilidade.
e (t). Assumindo-se o modelo de confiabilidade da Figura 3.11 e considerando-se z(t)
e (t) constantes, cujos valores so respectivamente e , pode-se provar [Rausand &
Hsyland 2004] que A(t) dada por:
A(t) =
(+)t
+
e
+ +
(3.16)
Por outro lado, a disponibilidade mdia Am (t) avalia a porcentagem de tempo pelo
qual o sistema ficou operacional no intervalo (0,t]. Formalmente, Am (t) definida pela
seguinte relao:
Am (t) =
1
t
Z t
(3.17)
A()d
0
1
n
A = lim =
t
Opi
i
1
n(
Opi + De fi)
i
MT T F
=
MT T F + MT T R
(3.18)
66
Estado do sistema
MTBF
MTTF
Operacional
Defeituoso
Op1
Op3
Op2
Def1
Def2
Def3
MTTR
3.4
rvores de Falhas
3.4.1
Principais conceitos
Anlise de rvores de Falhas (FTA) uma tcnica eficiente para avaliar qualitativamente e quantitativamente a confiabilidade e a disponibilidade dos sistemas [Xing &
Amari 2008]. Na anlise qualitativa, FTA pode ser utilizada durante o desenvolvimento
do sistema com o objetivo de identificar potenciais problemas que podem conduzir a defeitos, enquanto que aps o comissionamento a tcnica pode ser usada para identificar as
causas do defeito. Por outro lado, durante a anlise quantitativa possvel mensurar as
medidas de confiabilidade e disponibilidade do sistema em anlise.
As principais vantagens da FTA esto relacionadas com o procedimento intuitivo para
descrever os eventos que conduzem aos defeitos do sistema e com a minimizao do
problema de exploso do espao de estados [Sahner et al. 1996], muito comum na modelagem de sistemas grandes [Trivedi 2001]. importante deixar claro que existem outras
tcnicas para avaliao da confiabilidade e disponibilidade, como por exemplo diagrama
de blocos e cadeias de Markov. Entretanto, estas tcnicas foram preteridas na tese devido a maior flexibilidade na construo das rvores de falhas (FT4 ), alm das vantagens
descritas anteriormente.
As rvores de falhas so classificadas em coerentes e no coerentes. No primeiro
grupo esto as FT que no apresentam portas lgicas inversoras, enquanto que no segundo
grupo estas portas so permitidas. Adicionalmente, as FT coerentes so classificadas em
4 Vamos
atribuir abreviao de rvores de falhas sua definio na lingua inglesa fault tree(FT).
67
estticas e dinmicas. As FT estticas so baseadas nas portas lgicas and, or e k-outof-n. Assim, a sequncia em que os eventos ocorrem no considerada nas FT estticas.
Por outro lado, nas FT dinmicas novas portas lgicas foram definidas (FDEP, CSP, HSP,
WSP, priority and, SEQ) com o intuito de considerar a sequncia em que os eventos
ocorrem.
A classificao das FT em coerentes e no coerentes assume que os eventos seguem
distribuies estatsticas. Entretanto, em alguns cenrios, como por exemplo plantas nucleares, viagens espaciais e equipamentos clnicos, as informaes sobre os eventos de
falhas so insuficientes para inferir sobre suas distribuies estatsticas. Nesses casos a
lgica Fuzzy pode ser utilizada para criar as chamadas rvores de Falhas Fuzzy [Tyagi
et al. 2010].
Nesta tese utilizamos o formalismo das FT coerentes e estticas. Sendo assim, a seguir
iremos descrever as principais caractersticas relacionadas com esse tipo de FT.
De uma maneira geral, as FT so modelos grficos que representam a combinao de
eventos responsveis por conduzir um defeito no sistema. O modelo utiliza uma estrutura de rvore composta por eventos e portas lgicas. Os eventos representam as condies normais e de falhas do sistema (defeitos nos componentes, condies ambientais,
falhas humanas, etc). Os eventos seguem a lgica booleana, ou seja, eles ocorrem ou
no ocorrem. Em contrapartida, as relaes causa-efeito entre os eventos so representadas pelas portas lgicas. As entradas destas portas podem ser desde um simples evento
at uma combinao de eventos oriundos da sada de outra porta lgica. H vrios tipos
de portas disponveis no formalismo, dentre as quais podemos citar and, or e k-out-of-n
(Figura 3.13).
3.4.2
Anlise quantitativa
O processo para construir uma FT realizado dedutivamente e inicia-se pela definio do evento TOPO, que representa a condio de defeito do sistema. A partir deste
evento possvel conduzir uma anlise retroativa e encontrar as causas do defeito. A FT
estruturada em vrias nveis. Os eventos localizados nos nveis mais inferiores so chamados eventos bsicos. Adicionalmente, se um evento ocorre mais de uma vez na FT ele
chamado evento repetido.
Em relao anlise quantitativa, a avaliao de uma FT consiste em calcular a probabilidade do evento TOPO baseado nas probabilidades dos eventos bsicos. Este clculo
realizado diferentemente para cada tipo de porta lgica. Assumindo n entradas/eventos
independentes, onde a ocorrncia do evento i descrita pela sua funo de distribuio
68
acumulativa (CDF) Fi (t), podemos descrever as sadas das portas lgicas (CDF) conforme
descrito na Figura 3.13 [Rausand & Hsyland 2004]. Quando uma porta and usada, a
condio de defeito ativada somente no momento em que todas as entradas/eventos
ocorrerem. Por outro lado, a sada de uma porta or ativada quando pelo menos uma
das suas entradas/eventos est ativa. Finalmente, se uma porta k-out-of-n usada, a sada
estar ativa se pelo menos k entradas/eventos ocorreram das n disponveis.
( ())
=
()
=
)(
||
())
or
and
K out
of N
Figura 3.13: Funo de distribuio acumulativa para as sadas das portas and, or e k-outof-n.
69
(
(x) =
1
0
se o sistema falhou
se o sistema no falhou
(3.19)
onde x definido como o vetor de estados, x = (x1 , x2 , . . . , xn ). Cada elemento xi uma varivel booleana que representa o estado do componente i (e.g., i = 1 o componente falhou).
A funo (x) pode tambm ser expressa como a unio do conjunto de cortes mnimos.
(x) = K1 K2 Kn
(3.20)
(x) = K1 K2 Kn = K1 K 1 K2 K 1 . . . K n1 Kn
(3.21)
70
3.4.3
Medidas de importncia
Aps calcular a probabilidade do evento TOPO (ou qualquer outra mtrica relevante,
como confiabilidade ou disponibilidade), possvel via FT estimar o comportamento do
sistema (dependabilidade). Entretanto, essa avaliao no deixa claro quais as contribuies dos componentes no resultado final. Tais informaes so relevantes para os
projetistas tomarem decises estruturais sobre o sistema, as quais apresentam impacto direto nas medidas de dependabilidade. Exemplos de algumas dessas informaes seriam
as respostas das seguintes questes:
Qual a influncia de modificar a confiabilidade de um componente na confiabilidade
total do sistema?
Como a confiabilidade do sistema pode ser melhorada, sabendo-se que os recursos
disponveis so limitados?
Qual o impacto em utilizar redundncia?
Qual o dispositivo mais crtico do sistema?
Nesta seo iremos revisar algumas das medidas de importncia que podem ser utilizadas para classificar os componentes do sistema em ordem de importncia. assumido
um sistema composto de n componentes independentes, onde cada componente i caracterizado por sua funo de confiabilidade Ri (t).
Birnbaum
A medida Birnbaum I B (i|t) uma mtrica que descreve a importncia da confiabilidade de um componente [Birnbaum & Saunders 1969]. Esta medida definida como a
derivada parcial da confiabilidade do sistema em relao confiabilidade do componente
i, cujo valor dado por:
I B (i|t) =
R(t)
for i = 1, 2, . . . , n
Ri (t)
(3.22)
Se I B (i|t) grande, uma pequena variao na confiabilidade do componente i ir resultar em um mudana considervel na confiabilidade do sistema. O componente i
considerado crtico para o sistema se quando o componente i falhar, o sistema tambm
falha. Sendo assim, a medida Birnbaum tambm interpretada como a probabilidade do
componente i ser crtico para o sistema no instante t [Rausand & Hsyland 2004].
71
Criticalidade
A medida de criticalidade ICR (i|t) uma mtrica adequada para priorizar aes de
manuteno [Rausand & Hsyland 2004]. Esta medida definida como a probabilidade
que o component i ser critico no instante t e ele ter falhado nesse instante, sabendo que o
sistema falhou no instante t. Sua definio descrita pela seguinte equao:
I
CR
I B (i|t)(1 Ri (t))
(i|t) =
1 R(t)
(3.23)
(1 R j (t))
I FV (i|t)
j=1
1 R(t)
(3.24)
3.4.4
Defeitos dependentes
Na FTA comum considerar que os componentes do sistema falham de forma independente. Entretanto, na prtica este cenrio no necessariamente ocorre. Um exemplo
disso so os defeitos em modo comum (CCF5 ). Este tipo de defeito ocorre em mltiplos
componentes no mesmo intervalo de tempo e compartilha da mesma causa, como por
exemplo sabotagens, furaces, inundaes, obstculos temporrios, descargas eltricas,
falhas de projeto, erros humanos, etc. CCF tipicamente ocorrem em sistemas modelados com redundncia, onde um conjunto de componentes idnticos so utilizados [Z. &
5 Usaremos
72
JB. 2004]. Outro exemplo muito comum de CCF ocorre nas redes sem fio, onde obstculos temporrios podem obstruir (defeito) vrios enlaces de comunicao ao mesmo tempo.
Observa-se que na anlise quantitativa, a no considerao de CCF para a modelagem do
sistema pode conduz a resultados superestimados [S. et al. 2000].
De uma maneira geral, se o defeito de um componente aumenta a tendncia de ocorrer um outro defeito em um outro componente, diz-se que esses defeitos apresentam uma
dependncia positiva. Caso contrrio, essa relao classificada como negativa [Rausand
& Hsyland 2004]. Na teoria de probabilidades, dois eventos (E1 e E2 ) so consideraT
dos dependentes positivos se Pr(E1 E2 ) > Pr(E1 ) Pr(E2 ) ou Pr(E1 |E2 ) > Pr(E1 ) ou
Pr(E2 |E1 ) > Pr(E2 ). De maneira anloga, E1 e E2 so considerados dependentes negatiT
vos se Pr(E1 E2 ) < Pr(E1 ) Pr(E2 ) ou Pr(E1 |E2 ) < Pr(E1 ) ou Pr(E2 |E1 ) < Pr(E2 ).
3.5
Trabalhos relacionados
73
74
puseram uma tcnica regressiva de diagramas de decises binrios para avaliar qualquer
rede de sensor sem fio. Porm, a proposta no suporta condies de defeitos genricos
tampouco classificar os dispositivos mais crticos da rede. Estas mesmas limitaes so
encontradas em [XIAO et al. 2009], embora os autores tenham melhorado o desempenho
dos algoritmos propostos em [Shrestha et al. 2007]. Outro trabalho bastante interessante
na rea de CCF foi desenvolvido por Xing et al. (2009), onde os autores desenvolveram
um modelo combinacional hierrquico usando cadeias de Markov para incorporar falhas
em modo comum. Este modelo pode ser estendido para representar eventos de falhas nos
dispositivos das redes sem fio.
Outra anlise da confiabilidade orientada a cobertura para redes de sensores sem
fio foi proposta em [AboElFotoh et al. 2011]. Diferentemente do trabalho proposto
por [Shrestha et al. 2006], essa nova abordagem no apresenta suporte para CCF. Nesse
trabalho, assume-se que dado uma rea A, a rede falha se no existe um conjunto de dispositivos cujo trfego gerado no alcana o sink nos limites dessa rea. A proposta considera um modelo de confiabilidade baseado em trs estados. Foi provado que esse modelo
mais preciso que o modelo baseado em apenas dois estados (operacional/defeituoso).
Entretanto a proposta no suporta dispositivos redundantes tampouco anlise de criticalidade. Adicionalmente, a inabilidade em criar diversas reas de coberturas torna a
configurao de condies de falhas inflexveis.
Uma metodologia para anlise da confiabilidade de redes de sensores sem fio foi proposta por Qureshi et al. (2011). Nesse trabalho, os autores propuseram um mecanismo
que controla a formao e topologia da rede. Adicionalmente, a metodologia proposta foi
utilizada para avaliar tal mecanismo. A ideia bsica representar a rede como um grafo
e medir a confiabilidade baseado no nmero de spanning tree funcionais. Uma spanning
tree um sub-grafo que contm todos os vrtices e algumas (ou todas) arestas do grafo
original. Ressalta-se que uma spanning tree no contm ciclos. Os autores assumem que
a rede considerada confivel se existe pelo menos uma spanning tree funcional. A proposta simples e funciona adequadamente para para a anlise do mecanismo que controla
a topologia da rede. Entretanto, a proposta no adequada para redes genricas, pois no
possvel avaliar redundncia e a criticalidade dos dispositivos. Alm disto, condies
de falhas so difceis de representar devido dependncia de uma spanning tree.
Como alternativa para as tcnicas mencionadas anteriormente, Anlise de rvores
de Falhas (FTA) pode ser utilizada para avaliar a confiabilidade e disponibilidade das
redes sem fio industriais. A principal vantagem da FTA est relacionada com o procedimento intuitivo usado na descrio dos eventos que conduzem aos defeitos da rede.
Entretanto, para topologias complexas a construo da rvore de falha uma tarefa que
75
demanda muito tempo e esforo. A soluo usual para este problema adotar tcnicas
que construam automaticamente a rvore de falha baseando-se na especificao de uma
rede genrica. Em [Majdara & Wakabayashi 2009], os autores desenvolveram uma metodologia para a gerao automtica das rvores de falhas, cuja ideia central separar os
sistemas em diferentes componentes sendo a representao baseada em tabelas funcionais
e transio de estados. Ento, os componentes so conectados uns aos outros na tentativa
de descrever o comportamento de todo o sistema. Aps a fase de modelagem, um algoritmo de fora-bruta utilizado para criar a rvore de falha. Uma soluo semelhante foi
proposta por Hussain & Eschbach (2010), porm designada para o contexto da automao
industrial. No caso, a ideia central do trabalho modelar o sistema usando um autmato
temporal e logo aps realizar uma checagem do modelo com o intuito de verificar quais
situaes conduzem para defeitos. Ento, os resultados so listados e a rvore de falha
gerada.
Diferentemente das duas propostas anteriores, grafos direcionados podem ser utilizados para a gerao automtica de rvores de falhas [Lapp & Powers 1977]. Um grafo
direcionado composto por ns e arestas. Ns representam os defeitos do componente,
enquanto que as arestas representam a relao entre os ns. Em [Kim et al. 2009], os
autores desenvolveram um gerador de rvores de falhas baseado em grafos direcionados.
Basicamente, o trabalho proposto por Kim et al. (2009) busca uma melhora no desempenho do algoritmo proposto por Lapp & Powers (1977). Ambos os trabalhos usam a
dependncia entre os componentes do sistema para gerar a rvore de falha.
Recentemente, uma contribuio bastante interessante relacionada com a dependabilidade em redes de sensores foi proposta em [Bruneo et al. 2010a, Puliafito et al. 2011].
A ideia principal avaliar um novo parmetro de dependabilidade chamado produtibilidade. Este novo parmetro mede a probabilidade de um sensor estar no estado ativo e
ser capaz de comunicar-se com o sink no instante t. A proposta combina a confiabilidade e o consumo de energia do sensor. A condio de falha na rede est relacionada
com a existncia de um nmero mnimo de ns sensores (k out n) capaz de enviar
dados para o sink. Mtricas so avaliadas usando tcnicas analticas baseadas em cadeias
de Markov contnuas (CTMC) e funes de recompensa. Em [Bruneo et al. 2010b] os
mesmos autores propuseram um mecanismo alternativo baseado em redes de petri estocsticas no markovianas. Nesse mesmo trabalho, os autores propem a utilizao de
rvores de falhas na tentativa de avaliar as condies de falhas da rede. Embora sejam
trabalhos interessantes, eles so muito focados no problema de consumo de energia, o
que dificulta a aplicao da metodologia para redes com topologias genricas. Ressaltase que as mesmas limitaes so aplicadas para as mtricas (confiabilidade e consumo
76
de energia). Adicionalmente, as condies de falhas da rede so definidas em uma maneira muito restritiva (k out n). Essas so limitaes importantes para o contexto das
redes industriais sem fio, uma vez que fundamental identificar falhas em dispositivos
especficos e no apenas em um grupo de dispositivos.
Torna-se claro a partir da discusso anterior que os trabalhos encontrados na literatura
apenas fornecem uma soluo partial para o problema. A grande maioria dos trabalhos
relacionados so focados em cenrios especficos resultando em restries na definio de
condies de falhas, mtricas de dependabilidade, reconfigurao da rede, aspectos de redundncia e aplicao em ambientes industriais. Ento, diante da relevncia do problema
e de no haver uma soluo designada para ele, nesta tese prope-se um nova metodologia para avaliar a dependabilidade das redes sem fio industriais incluindo solues para
as limitaes discutidas anteriormente.
Captulo 4
Metodologia de Avaliao
Este captulo descreve a metodologia desenvolvida nesta tese para avaliar a dependabilidade (confiabilidade e disponibilidade) de redes industriais sem fio. Ainda na fase de
projeto da rede, a metodologia pode ser utilizada como fornecedora de informaes (topologia, criticalidade dos dispositivos, nvel de redundncia) para criao de aplicaes
mais robustas e confiveis. As mesmas informaes podem tambm ser utilizadas durante
a fase de operao e expanso da rede.
4.1
Introduo
78
Topologia
Tipos de dispositivos
Condio de defeito da rede
Mtricas de avaliao
Entrada
Redundncia
Sada
Confiabilidade
Disponibilidade
MTTF
Medidas de importncia dos componentes
4.2
4.2.1
Entrada de Dados
Topologia
79
Gtw0 Ap0 R0
Gtw0
Gtw0
Ap0
Ap0
R0
R1
R0
R1
Fd0
Fd1
Fd2
Fd0
Fd1
0
1
0
0
0
0
0
1
0
1
1
0
0
0
0
1
0
1
1
1
0
R1
0
1
1
0
0
1
1
0
0
1
0
0
1
0
0
0
1
1
1
0
1
0
0
0
1
0
1
0
Fd2
Figura 4.2: Exemplo de uma rede industrial sem fio representada por um grafo e sua
respectiva matriz de adjacncia.
4.2.2
Configuraes de falhas
As configuraes de falhas envolvem vrias caractersticas, desde as distribuies usadas para representar os processos de falhas e reparaes, ocorrncia de eventos dependentes (defeitos em modo comum) at os nveis de redundncia utilizados.
Como descrito na Seo 3.1.1, a referida tese apresenta suporte para as falhas permanentes de hardware e enlaces de comunicao. Diferentemente das modelagens tradicionais de falhas permanentes em redes sem fio [AboElFotoh et al. 2005, Xing et al. 2012],
tambm foi considerado falhas nos enlaces de comunicao. Todavia, essa ltima assume
80
que as falhas apresentam duraes com ordens de grandeza muito superior aos milissegundos (falhas permanentes). Falhas transientes tipicamente ocorrem na escala dos milissegundos [Willig et al. 2002]. Essa abordagem adequa a metodologia proposta a uma
ferramenta de projeto, onde mtricas estruturais (topologia, redundncia, criticalidade dos
dispositivos) podem ser avaliadas usando o formalismo de rvores de Falhas. Por outro
lado, a considerao de falhas transientes seriam mais adequadas caso o foco da metodologia fosse a avaliao de desempenho. Neste caso, tcnicas de simulao seriam mais adequadas, utilizando por exemplo o ns3 (Network Simulator 3) [Ns3 2012, Marcelo Nobre
& Silva 2010] ou Redes de Petri Estocsticas Generalizadas (GSPN) [Murata 1989, Ivanovitch Silva & Guedes 2011].
Aps uma falha permanente, o dispositivo da rede (hardware ou enlace de comunicao) considerado permanentemente inoperante. Para ser considerado operacional
novamente um processo de reparao deve ser realizado. Assumimos que as reparaes
so independentes e que as aes de reparaes so ilimitadas. Adicionalmente, para os
enlaces de comunicao, determinados eventos de reparao, como por exemplo aqueles
relacionados interrupo da comunicao devido a obstculos temporrios, podem ser
modelados como eventos dependentes. Os eventos dependentes tambm podem ser configurados para a modelagem de defeitos em modo comum (CCF).
Em relao aos aspectos de redundncia, consideramos que existem dois tipos de dispositivos: sem redundncia e com redundncia. O primeiro tipo pode ser configurado para
os dispositivos menos crticos, onde falhas no impactem nas aplicaes. Por outro lado,
os dispositivos redundantes so configurados com um arranjo de redundncia ativa (modelo quente). Nessa caso, quando um dispositivo falha, um dispositivo sobressalente
imediatamente assume sua operao. O fator de cobertura, que mede a probabilidade de
sucesso na troca entre o dispositivo falhado e o sobressalente, no suportado pela metodologia. Do ponto de vista de um observador externo, um dispositivo redundante e um
dispositivo sem redundncia so indistinguveis. O nmero de dispositivos sobressalentes
para cada dispositivo uma entrada do modelo.
A principio qualquer distribuio estatstica pode ser utilizada para a modelagem dos
processos de falhas e reparos. Entretanto, a ferramenta SHARPE em particular, que foi
adotada para analisar quantitativamente a metodologia proposta, impe que a CDF (funo de distribuio acumulativa) deva ser expressa utilizando polinmios exponenciais
conforme descritos na equao 4.1.
n
F(t) =
a jt k j eb jt
j=1
(4.1)
81
Figura 4.3: Procedimento usado na criao de distribuies estatsticas genricas na ferramenta SHARPE.
Em termos de configurao, a distribuio mais simples a prpria exponencial, cuja
definio descrita na Figura 4.4. O nico parmetro da distribuio , o qual descreve
1
a taxa de defeitos. Se 1000 defeitos ocorrem a cada ano, ento ser igual 1000
= 0.001.
A distribuio exponencial convenientemente atribuda ao perodo de vida til dos com-
82
ponentes eletrnicos, onde observa-se uma taxa constante de defeitos [Trivedi 2001].
poly exp () gen \
1, 0, 0 \
-1, 0, - \
CDF = 1 e-.t
83
poly erlang (,n) gen \
1, 0, 0 \
-1, 0, - \
- , 1, - \
n-1
CDF = 1 - i=0
(t)i/i! e-.t
Figura 4.6: Distribuio erlang configurada na ferramenta SHARPE para o caso particular
n = 2.
estgio, enquanto que 1 e 2 indicam a probabilidade de ocorrncia de cada distribuio
n
i = 1.
i=1
CDF = 1 - ni e-i.t
i=1
(4.2)
Outra distribuio de natureza no-exponencial a lognormal. Nativamente, a ferramenta SHARPE no fornece suporte a distribuio lognormal, porm, uma aproximao
84
utilizando polinmios exponenciais pode ser encontrada em [Malhotra & Reibman 1993].
A ideia combinar os dois primeiros momentos (mdia e varincia) da distribuio lognormal com os dois primeiros momentos da convoluo de duas distribuies erlang.
Os parmetros do modelo so encontrados utilizando uma tcnica no-linear de mnimos
quadrados. Em seguida, o CDF da distribuio resultante gerado utilizando o procedimento descrito na Figura 4.3.
Um procedimento similar utilizado pela ferramenta SHARPE para aproximar a distribuio weibull. Considerando uma taxa de defeitos crescente, uma distribuio erlang
utilizada para aproximao. A ideia combinar os dois primeiros momentos da distribuio erlang com os dois primeiros momentos da distribuio weibull. Aps encontrar a
taxa de defeitos e o nmero de estgios da distribuio erlang, o procedimento definido
na Figura 4.6 pode ser utilizado. A mesma ideia adotada para uma taxa de defeitos decrescente, porm, a distribuio hiperexponencial utilizada em detrimento a distribuio
erlang [Malhotra & Reibman 1993].
4.2.3
Dependendo dos requisitos impostos pelas aplicaes, falhas em dispositivos especficos podem conduzir a defeitos em toda rede. Para avaliaes mais fidedignas, deve-se
configurar na entrada da metodologia a combinao dos dispositivos que eventualmente
conduzem a um defeito na rede. Essa configurao ser utilizada como o evento topo da
rvore de falha.
A metodologia suporta condies de defeitos cuja a combinao de dispositivos possa
ser configurada utilizando as portas lgicas and, or ou k-out-n. Na prtica, qualquer
configurao pode ser utilizada. Assumindo uma rede industrial sem fio formada por 10
dispositivos de campo e 1 gateway, exemplos de condies de defeito poderiam ser:
Se os dispositivos de campo 1, 2 e 3 falharem a rede sofrer um defeito;
Se pelo menos 5 dispositivos de campo falharem a rede sofrer um defeito;
Se os dispositivos de campo 1 e 5 falharem ou se os dispositivos 1 e 4 falharem um
defeito ocorrer.
Observa-se em cenrios reais que apenas os dispositivos de campo participam diretamente do processo a ser monitorado. Os roteadores apresentam apenas a funo de
encaminhamento de mensagens. Se um roteador falhar o processo industrial ainda ser
executado devido o roteador no interferir fisicamente nas variveis. Dessa forma, apenas
dispositivos de campo so utilizados na configurao das combinaes que conduzem a
85
um defeito na rede. Obviamente, assume-se que um roteador pode falhar. Ele apenas no
utilizado na condio de defeito da rede.
Sem perda de generalidade, se a aplicao exigir que um roteador seja inserido na
condio de defeito da rede, ento basta configurar o respectivo roteador como sendo
um dispositivo de campo. Essa configurao no alterar em nada o procedimento da
metodologia proposta nesta tese.
O mesmo raciocnio vlido para o ponto de acesso e o gateway. Em caso de falha
desses dispositivos, todo a rede ir falhar e consequentemente um defeito ocorrer. Como
ser descrito nas prximas sees, falhas no ponto de acesso e no gateway j so indiretamente assumidas. Dessa forma, no h necessidade de colocar esses dispositivos na
condio de defeito da rede.
4.2.4
Mtricas de avaliao
As seguintes medidas de avaliao podem ser computadas na metodologia: confiabilidade, disponibilidade, MTTF e as medidas de importncia dos dispositivos. Dependendo
da mtrica a ser avaliada, informaes adicionais devero ser configuradas.
Para as mtricas confiabilidade e MTTF da rede e as medidas de importncia dos
dispositivos, deve-se informar a funo de confiabilidade Ri (t) (equao 3.14) para cada
dispositivo i. Note que a equao 3.14 depende da taxa de defeitos, a qual permite a
utilizao das distribuies estatsticas descritas anteriormente.
Um procedimento levemente diferente conduzido se a mtrica disponibilidade da
rede for requisitada. Nesse caso, deve-se informar as taxas de defeitos e reparaes
para cada dispositivo i. Note que para essa mtrica apenas taxas constantes (distribuio
exponencial) so suportadas, cuja disponibilidade em cada dispositivo Ai (t) calculada
conforme a equao 3.16. Outras distribuies podem tambm ser suportadas usando o
conceito de modelos hierrquicos definidos na ferramenta SHARPE. Nessa configurao,
o modelo de disponibilidade construdo primeiro (e.g. usando um modelo de dois estados baseado nos CDFs das taxas de defeitos e reparaes) e sua sada (Ai (t)) usada
para entrada de um modelo maior. Porm, a utilizao de modelos hierrquicos no
suportada pela metodologia. Essa implementao foi deixada como trabalhos futuros.
4.3
Problema k-terminal
86
condio de defeito da rede formada por k dispositivos de campo, ento, a anlise quantitativa da dependabilidade recai no problema clssico de confiabilidade k-terminal (Seo 3.5).
Dado que o parmetro k uma entrada da metodologia, o primeiro passo encontrar
todos os caminhos entre o gateway e cada dispositivo i k. Conforme descrito no Algoritmo 1, esse procedimento realizado atravs de uma busca em profundidade no grafo
(matriz de adjacncia) que mapeia a topologia da rede (O(n log n)). A ideia do algoritmo
percorrer recursivamente toda matriz de adjacncia a partir de um dispositivo alvo at
que o gateway seja alcanado (um caminho foi encontrado). Duas restries foram introduzidas para reduzir a complexidade do algoritmo. A primeira restrio elimina buscas
desnecessrias nos vizinhos dos pontos de acessos (linha 5). Os pontos de acessos esto
diretamente ligados ao gateway e no se comunicam com outros pontos de acessos. A segunda restrio est relacionada com a eliminao de ciclos (linha 8). Durante a recurso,
um dispositivo apenas adicionado a um caminho caso no esteja naquele caminho.
Algoritmo 1: Gerao de todos caminhos entre um dispositivos e o gateway
Algoritmo: DFS (caminhos, dispositivo, caminho_atual)
Sada
: todos caminhos entre um dispositivo e o gateway.
1
2
3
4
5
6
8
9
10
11
87
exemplo descrito na Figura 4.8. Percebe-se que apenas dois caminhos so ilustrados
(crculos em cinza escuro) por questes de espao, entretanto outros caminhos podem
ser facilmente deduzidos. O fluxo de sada inicia pelo dispositivo Fd0 e explora todos
os ramos possveis (vizinhos) at alcanar o gateway. Aps encontrar um caminho um
procedimento backtracking conduzido e outros ramos podem ser avaliados. A Figura 4.8
formada por cinco nveis. O primeiro nvel formado apenas pelo dispositivo Fd0 .
O segundo nvel formado pelos vizinhos do dispositivos Fd0 (R0 e R1 ). Os outros
nveis seguem o mesmo procedimento levando em considerao as restries impostas
pelo Algoritmo 1 (linhas 5 e 8).
F d0
R0
F d1
..
.
R1
Ap0
F d1
..
.
Gtw0
Ap0
F d1
F d2
..
.
..
.
Gtw0
Figura 4.8: Sada do Algoritmo 1 assumindo como referncia o dispositivo Fd0 da Figura 4.2.
4.4
88
que um caminho formado por vrios dispositivos e que cada dispositivo ser mapeado
como um evento na rvore de falha, ento podemos concluir que a avaliao quantitativa
de tal estrutura torna-se invivel computacionalmente com o crescimento da rede. Est
limitao ocorre pois a quantidade de eventos e portas lgicas da rvore de falha cresce
fortemente com o aumento do nmero de caminhos possveis na rede.
A soluo para este problema encontra-se na utilizao de um algoritmo que simplifique a massa de dados gerada no fluxo de sada do Algoritmo 1 (caminhos entre os
dispositivos e o gateway). A ideia bsica encontrar o conjunto de cortes mnimos individualmente para cada dispositivo. O conjunto de cortes mnimos uma expresso lgica
que indica o conjunto mnimo de dispositivos cujas falhas levam a um defeito na rede.
Este procedimento descrito no Algoritmo 2.
Algoritmo 2: Procedimento utilizado para viabilizar a gerao da rvore de falha.
Algoritmo: simplificao (k dispositivos)
Parmetros: k dispositivos pertencentes a condio de defeito da rede.
Sada
: conjunto de cortes mnimos individualmente para todos os k
dispositivos.
retorne dispositivos[];
1
2
3
89
Gtw
L4
L3
L2
Fd2
L5
Fd1
Figura 4.9: Topologia utilizada para exemplificar a gerao do conjunto de cortes mnimos.
L1 L4 + L2 L5 + L2 L3 L4 + L1 L3 L5
(4.3)
(4.4)
L1 L2 + L1 L3 L5 + L2 L3 L4 + L4 L5
(4.5)
90
Fd2 Fd0 Gtw + Fd2 Fd1 Gtw + Fd2 Fd0 Fd1 Gtw + Fd2 Fd1 Fd0 Gtw
(4.6)
(4.7)
91
soluo caminhos.prximo_caminho();
para i 1; i < caminhos.tamanho() - 1; i ++ faa
matriz gerar_matriz(soluo,caminhos.prximo_caminho());
para m 0; m < matriz.linhas(); m ++ faa
para j 0; j < matriz.colunas(); j ++ faa
se _regra_1(matriz,m,j) ento
regra_1.adiciona(matriz [m,j ]);
remove_linha_e_coluna(m,j);
seno se _regra_2(matriz,m,j) ento
regra_2.adiciona(matriz [m,j ]);
remove_linha_ou_coluna(m,j);
seno
13
14
simplifica(regra_3,regra_2);
soluo merge(regra_1,regra_2,regra_3);
15
16
retorne soluo;
ritmo 3). A regra 1 baseia-se na lei da absoro. Percebe-se que na Figura 4.10 (Regra 1)
a expresso L1 + L1 L3 + L1 L4 + L1 L3 L5 + L1 L5 L6 + L1 L3 L4 = L1 .
Similarmente regra 1, a regra 2 baseia-se na lei da absoro para eliminar operaes
desnecessrias na matriz de multiplicao (linha 9 do Algoritmo 3). A saber, se a multiplicao termo1 termo2 = termo1 , ento a linha da matriz de multiplicao referente ao resultado dever ser eliminada. Esta propriedade pode ser observada na Figura 4.10 (Regra
2). Note que a seguinte relao pode ser simplificada: L3 L5 + L1 L3 L5 + L3 L4 L5 = L3 L5 .
Analisando o algoritmo original [Shier & Whited 1985] percebeu-se que se a multiplicao termo1 termo2 = termo2 ocorrer, ento a coluna do respectivo resultado poder
ser eliminada da matriz de multiplicao. Essa variao no foi considerada no algoritmo
original e contribui ainda mais para a simplificao das operaes.
Finalmente, os resultados que no foram eliminados pela duas regras anteriores ainda
precisam ser analisados antes de entrarem na soluo final. Simplificaes podem ser
realizadas comparando estes resultados com os resultados da regra 2 (linha 14 do Algoritmo 3). Nota-se que no existe a necessidade de comparar com os resultados da regra 1
haja vista que todas as linhas e colunas da matriz so eliminadas. Adicionalmente, ape-
92
Matriz de Multiplicao
Regra 1
L1
L3
L4
L1
L1 L3
L1 L4
L3 L5
L1 L3 L5
L3 L5
L3 L4 L5
L5 L6
L1 L5 L6
L3 L5 L6
L3 L4
L1 L3 L 4
L3 L4
L1
L1
L3
L4
L1
L1 L3
L1 L4
L3 L5
L1 L3 L5
L3 L5
L3 L4 L5
L 4 L5 L 6
L5 L6
L1 L5 L6
L3 L5 L6
L 4 L5 L 6
L3 L4
L3 L4
L1 L3 L 4
L3 L4
L3 L4
L1
Regra 2
Regra 3
L1
L3
L4
L1
L1 L3
L1 L4
L3 L5
L1 L3 L5
L3 L5
L3 L4 L5
L5 L6
L1 L5 L6
L3 L5 L6
L3 L4
L1 L3 L 4
L3 L4
L1
L1
L3
L4
L1
L1 L3
L1 L4
L3 L5
L1 L3 L5
L3 L5
L3 L4 L5
L 4 L5 L 6
L5 L6
L1 L5 L6
L3 L5 L6
L 4 L5 L 6
L3 L4
L3 L4
L1 L3 L 4
L3 L4
L3 L4
L1
4.5
93
dispositivos defeito_da_rede.dispositivos();
cortes simplificao(dispositivos);
defeito_da_rede.configurar(cortes);
gerar_rvore_de_falha(defeito_da_rede);
4.5.1
Falhas de hardware
94
Ei
Ei
and_Ei
and
Fdi
Api
Gtwi
Ri
Ei
...
Ei_a Ei_z
Ei_a
Redundncia
Sem redundncia
Ei
Ei
or_Ei
or_Ei
or
or
and_Ei
and
...
CCF1 CCFk
...
Ei_a Ei_z
Ei_a
...
CCF1 CCFk
Sem redundncia
Redundncia
Figura 4.12: Falhas de hardware com defeitos em modo comum (CCF).
4.5.2
95
Linki
Linki
or_linki
or
Linki_a
Sem defeitos em
modo comum
Linki_a
...
CCF1 CCFk
Com defeitos em
modo comum
4.5.3
O mapeamento na rvore de falha do conjunto de cortes mnimos uma dos procedimentos mais importantes da metodologia. Lembrando que o conjunto de cortes mnimos
indica a condio de falha (simplificada) para cada dispositivo2 . Conforme descrito nas
equaes 4.5 e 4.7, o conjunto dos cortes mnimos representado por combinaes de
portas lgicas and, or e eventos individuais. A Figura 4.14 ilustra o respectivo mapeamento na rvore de falha.
Cada combinao representada pelo evento comb_i_and_Ei , onde i indica a identificao da combinao. Eventualmente, combinaes podem ser formadas por um nico
evento. Por exemplo, na equao 4.7 o conjunto de cortes mnimos para o dispositivo Fd2
formado por 3 combinaes, sendo duas delas formadas por um nico evento.
Observe que apenas um tipo de falha (hardware ou enlace de comunicao) poder
ser avaliado em cada modelo (Ei Linki ). A mistura de tipos diferentes de eventos no
2 Obviamente,
96
cortes_Ei
or_cortes_Ei
...
...
comb_1_and_Ei
and
Ei
Linki
or
and
comb_k_and_Ei
pathi
pathi
and
or
or
...
...
...
pathi pathn
Ei Ek
Linki Linkk
k-terminal
Falhas de hardware
Figura 4.15: Condio de defeito dos dispositivos sem a tcnica dos cortes mnimos.
Devido no apresentar suporte a tcnicas de simplificao, a condio de defeito para
um dispositivo relacionada diretamente ao problema k-terminal. Em outras palavras, o
dispositivo considerado estar no estado de falha se todos os caminhos entre o respectivo
97
4.5.4
Apesar de ser um dos primeiros parmetros a ser configurado na metodologia proposta, a condio de defeito da rede a ltima estrutura de dados a ser mapeada na rvore
de falha. Este mapeamento tem um papel de grande importncia devido representar o
evento topo da rvore de falha. Todas as estruturas de dados descritas anteriormente so
combinadas para a formao do evento topo e consequentemente para criao da rvore
de falha. O respectivo mapeamento descrito na Figura 4.16.
Topo
cortes_Ei
condio_final
?or
...
condio_1
? ?
or, and,
? k-out-n
...
condio_k
4.5.5
98
Variveis
Topo
porta_1
or
a b
porta_2 2-out
of-3
bc d
Modelo
porta_3 and
bind
prob_a
prob_b
prob_c
prob_d
end
ftree
basic
repeat
basic
basic
0.8
0.2
0.1
0.4
a
b
c
d
meu_modelo
exp(prob_a)
exp(prob_b)
exp(prob_c)
exp(prob_d)
or porta_1 a b
kofn porta_2 2, 3 b c d
and porta_3 porta_1 porta_2
end
4.5.6
99
Exemplo
Topo
condio_final
or
condio_1 and
or_cortes_Fd0 or
Gtw0 Fd0
or_cortes_Fd1 or
Gtw0 Fd1
or_cortes_Fd2
or
Gtw0
Fd2
and comb_1_and_Fd2
Fd0 Fd1
Figura 4.18: rvore de falha para a rede da Figura 4.9 assumindo a seguinte condio de
defeito: Fd0 + Fd1 Fd2 .
O primeiro passo para a gerao da rvore de falha a identificao dos dispositivos que compem a condio de defeito. No caso, os dispositivos so Fd0 , Fd1 e Fd2 .
Em seguida, encontra-se o conjunto de cortes mnimos para cada um desses dispositivos. O conjunto de cortes mnimos representado pelas portas lgicas nomeadas por
or_cortes_Fdi (i {0, 1, 2}). Finalmente, basta substituir a ocorrncia de cada dispositivo
na condio de defeito por seu conjunto de cortes mnimos (porta lgica condio_final).
Em relao gerao do cdigo fonte na ferramenta SHARPE, a Figura 4.19 descreve
o respectivo mapeamento assumindo-se a rvore de falha da Figura 4.18. Os valores das
100
or
or
and
or
or_cortes_Fd0
or_cortes_Fd1
comb_1_and_Fd2
or_cortes_Fd2
Gtw0 Fd0
Gtw0 Fd1
Fd0 Fd1
Gtw0 Fd2 comb_1_and_Fd2
and condio_1
or_cortes_Fd1 or_cortes_Fd2
or condio_final or_cortes_Fd0 condio_1
end
Figura 4.19: Cdigo fonte da ferramenta SHARPE para a rvore de falha da Figura 4.18.
4.6
Aps a construo do cdigo fonte que mapeia as condies de defeito da rede industrial sem fio em um rvore de falha, avaliaes quantitativas podem ser realizadas. Todo
procedimento de avaliao conduzido utilizando-se as funcionalidades j implementadas na ferramenta SHARPE (mtodos tvalue, mean, bimpt e cimpt). A funo tvalue
utilizada nas mtricas confiabilidade e disponibilidade, enquanto que a funo mean
utilizada para calcular o MTTF da rede. As medidas de importncia so computadas utilizando as funes bimpt (Birnbaum) e cimpt (Criticalidade). A medida de importncia
Fussel-Vesely no suportada pela ferramenta SHARPE. Um exemplo de utilizao dessas
funes descrito na Figura 4.20.
Com exceo da mtrica MTTF, todas as mtricas utilizam como parmetro o tempo
(varivel t). O nome do modelo (meu_modelo), que representa a rvore de falha, obri-
101
4.7
Consideraes Finais
Este captulo descreveu a proposta da referida tese, cujo objetivo principal avaliar
a dependabilidade (confiabilidade e disponibilidade) das redes industriais sem fio. Esta
avaliao pode ser utilizada como um guia para o projeto/modelagem das redes industriais
sem fio. A seguir listamos as principais contribuies:
Metodologia para anlise da dependabilidade das redes industriais sem fio. Ressaltandose que a metodologia independente de ferramentas (resolvedores de rvores de falhas) j desenvolvidas. Utilizamos a ferramenta SHARPE por ser bastante difundida
no meio acadmico, porm, poderamos ter desenvolvido a nossa prpria ferramenta.
Simplificao do algoritmo para gerao de todos os caminhos entre um dispositivo e o gateway. Foram inseridos duas restries (ciclos e vizinhos dos pontos de
acessos) para limitar a recurso.
Mapeamento do problema k-terminal, originalmente aplicado a redes de computadores, ao formalismo das rvores de falhas.
Melhoria no algoritmo de gerao do conjunto de cortes mnimos.
Aplicao do algoritmo que encontra o conjunto de cortes mnimos, originalmente
aplicados em grafos, ao domnio das rvores de falhas.
102
Captulo 5
Validao da Metodologia
Este captulo tem como objetivo validar a metodologia proposta nesta tese. A ideia
avaliar diversos cenrios correspondentes a topologias de redes tipicamente encontradas
em ambientes industriais, onde todas as funcionalidades suportadas pela metodologia podem ser validadas. Foram considerados trs cenrios de avaliao. No primeiro cenrio
a dependabilidade de redes industriais sem fio foram avaliadas considerando topologias
estrela, linha e cluster. O segundo cenrio de avaliao destinado anlise de defeitos
em modo comum, enquanto que o terceiro cenrio avalia as melhores prticas a serem seguidas na construo de uma rede industrial sem fio. O captulo encerra com uma anlise
do desempenho da metodologia proposta.
5.1
Cenrio I
5.1.1
Topologia estrela
Uma srie de suposies foram consideradas na avaliao da topologia estrela. Em relao a taxa de defeitos, considera-se que os dispositivos apresentam uma taxa constante
(i.e, distribuio exponencial). O gateway e o ponto de acesso apresentam tipicamente
confiabilidade superior aos outros dispositivos da rede. Dessa forma, o gateway e o ponto
104
de acesso foram configurados com uma taxa de defeitos uma ordem de magnitude inferior aos dispositivos de campo. A taxa de defeitos para os dispositivos desconhecida,
entretanto, pode-se utilizar intervalos de valores para medir diferentes comportamentos
(anlise de sensibilidade). Ns assumimos MTTF (horas) nos intervalos de 1 ano (
=
1e4 horas1 ), 5 anos (
= 1e5 horas1 ). Nessa primeira
= 2e5 horas1 ) e 10 anos (
avaliao no foram considerados falhas nos enlaces de comunicao tampouco aes de
reparaes.
Para avaliao da dependabilidade, considerou-se uma aplicao que monitora a temperatura de quatro caldeiras. Em cada caldeira instalado um dispositivo de campo (sem
fio). A topologia para essa aplicao ilustrada na Figura 5.1. Nesse contexto, assume-se
que a aplicao ter um defeito se pelo menos um dos dispositivos de campo falhar.
Gateway
Ponto de
Acesso
Dispositivo de Campo
Figura 5.1: Topologia estrela formada por quatro dispositivos de campo.
intuitivo pensar que a confiabilidade da rede ir aumentar quanto mais confivel for
os dispositivos utilizados. Este comportamento descrito na Figura 5.2. Sem considerar
o uso de redundncia (sr), o cenrio cujo os dispositivo de campo possuem uma taxa de
defeitos de 1E4 (MTTF1 ano) apresenta uma confiabilidade da rede menor do que
todos os outros cenrios onde dispositivos mais confiveis foram considerados.
Em relao s exigncias de dependabilidade, decises de projeto so comumente
relacionadas com a escolha de dispositivos mais confiveis (possivelmente mais caros)
ou dispositivos menos confiveis (possivelmente mais baratos). Em geral, tal deciso
envolve polticas globais que visam aumentar a confiabilidade das aplicaes, levandose em considerao oramentos rgidos. Os resultados presentes na Figura 5.2 podem
5.1. CENRIO I
105
Confiabilidade da Rede
contribuir para auxiliar estas decises uma vez que ilustra a influncia dos dispositivos na
confiabilidade da rede.
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
0
20000
40000
60000
80000
100000
Tempo(horas)
MTTF = 1 ano (sr)
MTTF = 1 ano (1r)
MTTF = 1 ano (2r)
Figura 5.2: Avaliao da confiabilidade de uma rede industrial sem fio considerando topologia estrela.
Por outro lado, em alguns casos pode ocorrer que as aplicaes tenham requisitos
rgidos de confiabilidade, porm a aquisio de dispositivos mais confiveis no seja uma
opo de projeto. Uma possvel soluo para este problema o uso de redundncia. Por
exemplo, considere que os dispositivos da rede industrial sem fio da Figura 5.1 possuem
uma taxa de defeitos de 1E4 e uma tcnica de redundncia ativa (modelo quente)
tenha sido configurada. Dependendo do nmero de dispositivos reservas utilizados, a
confiabilidade da rede poder alcanar nveis comparados com cenrios onde dispositivos
mais confiveis (sem redundncia) foram usados.
De acordo com os resultados mostrados na Figura 5.2, quando apenas um dispositivo
reserva (1r) usado em cada dispositivo de campo, durante 20000 h a rede industrial sem
fio alcana nveis de confiabilidade comparveis com o cenrio onde dispositivos cinco
vezes mais confiveis foram adotados. Em contrapartida, se dois dispositivos reservas (2r)
so utilizados em cada dispositivo de campo, a confiabilidade da rede durante 35000 h
apresentar nveis de confiabilidade comparveis queles encontrados nos cenrios onde
106
dispositivos dez vezes mais confiveis foram utilizados. Adicionalmente, durante 60000 h
a confiabilidade da rede tem um desempenho comparado a uma rede cujos dispositivos so
cinco vezes mais confiveis. Este ltimo resultado trs vezes melhor do que o cenrio
onde apenas um dispositivo reserva (1r) foi adotado em cada dispositivo de campo.
Uma outra forma de avaliar a influncia da redundncia na rede atravs da anlise
do MTTF, cujo resultado diretamente relacionado com as condies de defeito da rede.
Considerando-se o uso da porta lgica k-out-n, pode-se testar uma grande diversidade de
configuraes para as condies de defeito. Assume-se aqui quatro condies de defeito:
caso I, pelo menos um dispositivo de campo falha; caso II, pelo menos dois dispositivos
falham; caso III, pelo menos trs dispositivos falham; caso IV, todos dispositivos falham.
Ressalta-se que para cada caso todas as combinaes possveis so consideradas. Os
resultados so descritos na Figura 5.3. Nessa situao, se a condio de defeito da rede foi
configurada para o caso I, ento a adoo de um dispositivo reserva para cada dispositivo
de campo aumentar o MTTF da rede em aproximadamente 125%. Por outro lado, se
uma redundncia dupla for configurada, a taxa de aumento no MTTF da rede ser de
aproximadamente 220%. A diferena entre essas duas abordagens ir decrescer com a
configurao de condies de defeito mais otimistas. Nota-se que para o caso I, a condio
de defeito muito pessimista, o contrrio observado no caso IV. No caso I, se um
dispositivo falhar a rede ter um defeito, logo, a influncia de uma redundncia dupla em
detrimento a simples ter um impacto grande. No caso IV, todos os dispositivos precisam
falhar para a rede ter um defeito. Isto explica porque o impacto entre ter redundncia
simples ou dupla menor no caso IV do que no caso I. Esta anlise pode ser utilizada
para adequar os requisitos das aplicaes em tempo de projeto de rede.
5.1.2
Topologia linha
As topologias em linha so comumente utilizadas em ambientes industriais, principalmente no monitoramento de dutos [EL-DARYMLI et al. 2009, Jawhar et al. 2008].
Nas redes industriais sem fio configuradas com essa topologia, a informao repassada
dispositivo a dispositivo at que o gateway seja alcanado. Se um dispositivo ao longo
do caminho falhar o monitoramento ficar comprometido. A Figura 5.4 descreve um
exemplo de topologia linha comumente utilizada em redes industriais sem fio.
Para avaliao da dependabilidade deste cenrio, assumem-se taxas de defeito constante
(i.e, distribuio exponencial), com o gateway e o ponto de acesso apresentando taxas cujos valores so uma ordem de magnitude inferior s taxas dos dispositivos de campo (FD
5.1. CENRIO I
107
200
150
100
50
0
1 k-out 4
2 k-out 4
3 k-out 4
4 k-out 4
Figura 5.3: Influncia das condies de defeito e nvel de redundncia para o MTTF da
rede.
Gateway
Fd1
Fd2
Fd3
Fd4
Ponto de Acesso
108
Birnbaum(t)
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
Tempo (horas)
Tempo (horas)
Caso 3: 3 kout 4
Caso 4: 4 kout 4
Fd3, Fd4
Gtw, AP
Birnbaum(t)
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
Caso 2: 2 kout 4
Birnbaum(t)
Birnbaum(t)
Caso 1: 1 kout 4
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
Fd4
Gtw, AP
5.1. CENRIO I
109
falhar. Sendo assim, de acordo com a topologia descrita na Figura 5.4, o dispositivo Fd1
nunca poder ser crtico pois sua falha nunca implicar na falha de pelo menos dois dispositivos. Na verdade, a falha do dispositivo Fd1 apenas implica na sua prpria falha.
Considerando a mesma explicao para o caso 1, os dispositivos Fd2 , Fd3 e Fd4 tero
as mesmas probabilidades de ser crticos que as no caso 2. Se o dispositivo Fd2 falhar,
o dispositivo Fd1 tambm ir falhar pois no existir caminho para gateway. O mesmo
vlido para falhas nos dispositivos Fd3 e Fd4 . Em outras palavras, no caso 2 a rede
ter um defeito se os dispositivos Fd2 ou Fd3 ou Fd4 falharem. Explicao similar pode
ser deduzida para os casos 3 e 4. Ressaltando-se apenas que a medida Birnbaum para os
dispositivos Fd1 e Fd2 no caso 3 nula, enquanto que no caso 4 a medida Birnbaum
nula para os dispositivos Fd1 , Fd2 e Fd3 .
Outra possibilidade de classificar a relevncia dos dispositivos atravs da medida de
criticalidade. Esta mtrica calcula a probabilidade de que o defeito na rede tenha sido
provocado por um determinado dispositivo. Sua funo est diretamente vinculada s
aes de reparaes. Para esta avaliao foram considerados quatro novas condies de
defeito na rede: caso 1, falha no dispositivo Fd1 ; caso 2, falha no dispositivo Fd2 ; caso
3, falha no dispositivo Fd3 ; caso 4, falha no dispositivo Fd4 . O objetivo aqui avaliar
separadamente a influncia de cada dispositivo de campo na rede. Os resultados so
descritos na Figura 5.6.
Cada dispositivo de campo i foi avaliado no caso i (e.g Fd1 foi avaliado no caso 1).
Adicionalmente, o gateway e o ponto de acesso foram avaliados considerando-se a condio de defeito do caso 4, pois nesse cenrio esses dispositivos apresentam maior relevncia. Os resultados, como esperado, mostraram que o dispositivo Fd4 o que apresenta
os maiores valores para a mtrica criticalidade. De fato, se o dispositivo Fd4 falhar toda
a rede ir falhar, pois a comunicao com o gateway ficar interrompida. Sendo assim,
existe uma maior probabilidade que um defeito na rede tenha sido provocado por uma
falha no dispositivo Fd4 . Similarmente ao exemplo anterior, a influncia do gateway e
ponto de acesso foram inferiores aos dispositivos de campo devido a considerao que os
primeiros so muito mais confiveis.
Uma configurao muito comum na prtica a utilizao de redundncia. Intuitivamente, configura-se o dispositivo mais crtico da rede com dispositivos reservas. A
anlise da mtrica criticalidade pode ser utilizada justamente na identificao deste dispositivo. Para avaliar o impacto do uso de redundncia (assumindo-se uma tcnica modelo quente), iremos considerar os mesmos cenrios da avaliao da mtrica criticalidade, porm a mtrica de avaliao ser o MTTF da rede devido esta poder descrever
uma viso mais global no impacto em utilizar redundncia. O objetivo configurar os
110
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
0
Fd3
Fd4
Gtw, Ap
5.1. CENRIO I
111
5.1.3
Topologia cluster
Gateway
Ponto de
Acesso
Gateway
Ponto de
Acesso
Cluster B
Cluster A
Cluster B
Cluster A
Roteador
Roteador
Dispositivo
de Campo
Dispositivo de Campo
Cluster C
(a)
Cluster C
(b)
Figura 5.7: Cenrios utilizados para a avaliao da topologia cluster. (a) Trs clusters;
(b) Trs clusters + dois roteadores adicionais.
Para avaliao da topologia cluster, assume-se falhas nos hardwares dos dispositivos
e nos enlaces de comunicao. Ambas as falhas so do tipo permanente. A ideia ava-
112
5.1. CENRIO I
113
Indisponibilidade da Rede
0.0035
0.003
0.0025
0.002
0.0015
MTTRGtw/AP = 10h e MTTRFd/R = 50h
MTTRGtw/AP = 10h e MTTRFd/R = 25h
MTTRGtw/AP = 5h e MTTRFd/R = 50h
MTTRGtw/AP = 5h e MTTRFd/R = 25h
0.001
0.0005
0
0
200
400
600
Tempo(horas)
800
1000
114
de apenas medir o impacto das taxas de reparao. De forma similar a avaliao anterior, considera-se o cenrio descrito na Figura 5.7(a). Os resultados so mostrados na
Figura 5.9.
Indisponibilidade da Rede
0.00025
0.0002
0.00015
0.0001
5e-005
0
0
200
400
600
800
1000
Tempo(horas)
Padro
MTTRA = 24h
MTTRB = 96h
MTTRC = 48h
MTTRI = 1h
5.1. CENRIO I
115
maiores valores de MTTR. Em outras palavras, em caso de falha nesses enlaces, as aes
de reparao so consideradas as mais duradouras de toda rede. Conforme observado na
Figura 5.9, quando as taxas de reparao para os enlaces dos clusters B e C foram duplicadas, a influncia para indisponibilidade da rede foi similar. Esse resultado mostra que
a influncia na indisponibilidade da rede tambm depende das taxas de defeitos, pois os
valores do MTTR para os enlaces nos clusters B e C so diferentes. Mesmo apresentando
taxas de reparao similares aos clusters B e C, os enlaces do cluster A so considerados
os menos confiveis de toda rede (menor MTTF), por isso esperado que variaes nas
taxas de reparao desses enlaces descrevam uma influncia diferente daquela apresentada nos enlaces dos clusters B e C.
Adicionalmente s avaliaes j realizadas na topologia cluster, uma srie de procedimentos podem ser conduzidos com o objetivo de maximizar a disponibilidade da
rede. Exemplos desses procedimentos incluem adicionar novos roteadores, utilizao de
redundncia e melhorias nas aes de reparao. Obviamente, os resultados desses procedimentos so dependentes dos cenrios e parmetros (taxa de defeitos e reparaes)
considerados, porm, a anlise descrita aqui pode ser replicada pelos projetistas das redes
com o objetivo de atender os requisitos das aplicaes.
Nesse contexto, foi realizado uma anlise da disponibilidade da topologia cluster,
considerando-se aspectos de redundncia, melhorias nas aes de reparao e introduo
de novos roteadores. Os resultados so descritos na Tabela 5.3. Assume-se uma configurao padro com os parmetros descritos na Tabela 5.2 , considerando-se o menor valor
de MTTR para cada dispositivo e enlace de comunicao.
Tabela 5.3: Procedimentos utilizados para aumentar a disponibilidade de rede.
Interrupo da rede (tempo/ano)
Cenrio
Falhas de enlaces Falhas de hardware
Normal
65min
14h
Reparao 2x mais rpida
31min
8h
Redundncia
5h
Adicionar roteadores
61min
53min
Para a anlise dos aspectos de redundncia, assume-se que a rede descrita na Figura 5.7 dispe de dois roteadores reservas. Cada roteador sobressalente foi configurado
em um dos trs roteadores j ativos na rede. A escolha de qual roteador ser configurado com redundncia irrelevante para os resultados nesse caso. Ressalta-se tambm
que para as falhas nos enlaces de comunicao, aspectos de redundncia de hardware so
irrelevantes para os resultados.
116
Por outro lado, em relao s melhorias nas aes de reparao, assume-se um valor
de MTTR duas vezes menor que da configurao padro. Em outras palavras, as aes de
reparao so duas vezes mais rpidas que as da configurao padro.
Finalmente, ao invs de utilizar os dois roteadores sobressalentes em uma arquitetura de redundncia, configura-se um cenrio com dois roteadores adicionais conforme
descrito na Figura 5.7(b).
Os resultados descritos na Tabela 5.3 mostram que a influncia para a disponibilidade
da rede tem comportamentos diferentes quando so considerados falhas nos enlaces de
comunicao e hardware. Essa diferena resultado de configuraes (taxas de defeitos
e reparao) distintas em cada cenrio. Todas as aes sugeridas (reparao mais rpida,
redundncia e introduo de novos roteadores) apresentam melhorias para a disponibilidade da rede. Considerando-se as falhas nos enlaces de comunicao, melhorias nas aes
de reparao conduzem a resultados mais eficientes do que introduzir novos roteadores na
rede. Comportamento contrrio ocorre quando as falhas de hardware so consideradas,
onde a introduo de novos roteadores apresenta uma maior influncia para a disponibilidade da rede do que melhorar as aes de reparao. Resultado semelhante foi observado
quando a configurao de redundncia foi considerada.
Ressalta-se que em casos reais, todas as aes aqui descritas podem no estar disponveis para os projetistas e operadores das redes industriais sem fio. Porm, esses procedimentos podem guiar decises estratgicas sobre a aquisio e configurao de novos
equipamentos, como tambm melhorias nas aes de manuteno.
5.2
Cenrio II
Nas redes industriais sem fio, um defeito em um simples dispositivo pode no ser crtico para as aplicaes devido aos aspectos intrnsecos de redundncia j considerados.
Entretanto, quando defeitos simultneos ocorrem em mltiplos dispositivos, as consequncias podem ser desastrosas, particularmente para aplicaes com requisitos rgidos
de confiabilidade [Lilleheier 2008, Lundteigen & Rausand 2007]. Este tipo de defeito
conhecido como defeito em modo comum (CCF) [Hokstad & Rausand 2008]. Nessa
seo, iremos analisar a influncia dos defeitos em modo comum na confiabilidade e disponibilidade da rede e na criticalidade dos dispositivos.
Para esta avaliao assume-se a rede industrial sem fio descrita na Figura 5.10. Nesse
cenrio, um defeito na rede ir ocorrer se pelo menos trs dispositivos de campo falharem
(apenas falhas de hardware foram consideradas).
Em relao aos parmetros de configurao, considera-se que as taxas de defeito e
5.2. CENRIO II
117
Fd1
Fd2
Fd3
Fd4
Fd7
Fd5
Fd6
Gateway
Ponto de Acesso
Figura 5.10: Topologia adotada para avaliao dos defeitos em modo comum.
reparao dos dispositivos assumem comportamento constante (i.e, distribuio exponencial). Para simplificar a anlise, todos os dispositivos foram configurados com as mesmas
taxas de defeito e reparao, cujos valores so respectivamente 1E5 horas1 (MTTF
= 10 anos) e 0,04 horas1 (MTTR = 1 dia). As taxas de reparao so consideradas
apenas na anlise da disponibilidade da rede. Adicionalmente, foram mapeados dois defeitos em modo comum, representados pelos eventos CCF 1 e CCF 2. O evento CCF 1
influncia os dispositivos de campo Fd1 e Fd2 , enquanto que o evento CCF 2 atua nos
dispositivos de campo Fd6 e Fd7 . A Tabela 5.4 descreve as configuraes utilizadas pelos
eventos em modo comum.
Tabela 5.4: Configuraes dos defeitos em modo comum.
5.2.1
Eventos
Dispositivos Afetados
MTTF
MTTR
CCF 1
CCF 2
Fd1 , Fd2
Fd6 , Fd7
90 dias
15 dias
1-24 horas
1-24 horas
118
Confiabilidade da Rede
Sem CCF
CCF 1
CCF 2
CCF 1 e CCF 2
0.8
0.6
0.4
0.2
0
0
20000
40000
60000
Tempo(horas)
80000
100000
5.2.2
Outro procedimento utilizado para avaliar a influncia dos defeitos em modo comum
se baseia nas medidas de importncia dos dispositivos. A medida Birnbaum pode ser
utilizada para esta finalidade. A ideia bsica avaliar esta mtrica para todos os dispositivos na rede considerando a ocorrncia dos eventos CCF 1 e CCF 2. Os resultados dessa
anlise so descritos na Figura 5.12.
De acordo com a Figura 5.12, quando os eventos CCF 1 e CCF 2 no so considerados, os dispositivos Fd3 e Fd5 apresentam uma maior probabilidade em serem crticos
para a rede. Porm, quando defeitos em modo comum so considerados, as medidas
Birnbaum dos dispositivos so alteradas.
Conforme descrito na Tabela 5.4, cada evento CCF afeta diretamente dois dispositivos
de campo. Sabendo-se que um defeito na rede ir ocorrer se pelo menos trs dispositi-
5.2. CENRIO II
119
Birnbaum(t)
0.4
CCF 1
FD3, FD5
FD4, FD6
FD1, FD2
FD7
0.3
0.2
0.1
Birnbaum(t)
Sem CCF
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
25
50
75
25
50
75
Tempo(horas*1000)
Tempo(horas*1000)
CCF 2
CCF 1 e CCF 2
FD6, F7
FD1, FD2, FD3, FD4, FD5
FD1, FD2
FD3, FD4, FD5, FD6, FD7
25
50
75
Tempo(horas*1000)
Birnbaum(t)
Birnbaum(t)
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
FD1, FD2
FD6, FD7
FD3, FD4, FD5
25
50
75
Tempo(horas*1000)
Figura 5.12: Influncia dos defeitos em modo comum nas medidas de importncia dos
dispositivos.
vos de campo falharem, ento os dispositivos afetados por um evento CCF iro apresentar uma maior probabilidade em serem crticos para rede se outros dispositivos falharem
antecipadamente. O contrrio tambm vlido: se um evento CCF ocorrer prematuramente, ento os dispositivos que no so afetados pelo evento CCF iro apresentar uma
maior probabilidade em serem crticos para rede. Este comportamento percebido claramente na Figura 5.12 para os cenrios onde apenas um nico evento CCF ocorre. Como
os eventos CCF apresentam um valor de MTTF menor que os das falhas de hardware
(Tabela 5.4), esperado que eles falhem primeiro. Dessa forma, como esperado, os dispositivos que no so afetados por eventos CCF apresentam maiores valores iniciais para
a medida Birnbaum.
O pior cenrio ocorre quando os eventos CCF 1 e CCF 2 so mapeados simultaneamente. Neste caso, os dispositivos que compem os eventos CCF so considerados os
mais crticos da rede. Percebe-se que no pior caso, os dispositivos Fd1 e Fd2 apresentam
uma criticalidade inicial ligeiramente superior s dos dispositivos Fd6 e Fd7 devido ao
evento CCF 2 possuir um valor de MTTF menor que o evento CCF 1. Em outras palavras,
120
esperado que os dispositivos Fd6 e Fd7 falhem primeiro, dessa forma, conferindo uma
maior criticalidade inicial aos dispositivos Fd1 e Fd2 .
5.2.3
Por fim, uma terceira avaliao da influncia dos defeitos em modo comum foi conduzida utilizando-se como mtrica a disponibilidade da rede. Os resultados so descritos na
Figura 5.13. Para facilitar a compreenso desta avaliao, foi considerado apenas uma
anlise de sensibilidade assumindo que as taxas de reparao dos eventos CCF variam de
1 a 24 horas. Os resultados esto representados em funo do tempo (minutos/ano) que a
rede fica interrompida e das taxas de reparaes.
450
400
350
Sem CCF
CCF 1
CCF 2
CCF 1 e CCF 2
300
250
200
150
100
50
0
5
10
15
20
Figura 5.13: Anlise da influncia dos defeitos em modo comum para a disponibilidade
da rede.
Dependendo da ocorrncia de algum evento CCF, a influncia sobre a disponibilidade da rede pode ser negligenciada. Este comportamento observado comparando-se o
cenrio sem eventos CCF com aquele onde apenas o evento CCF 1 ocorre.
Baseado nos resultados de confiabilidade descritos na Figura 5.11, era esperado que os
eventos CCF 1 e CCF 2 apresentassem uma mesma influncia para a disponibilidade da
rede quando analisados separadamente. Entretanto, quando as taxas de reparao aumentam, o fato do evento CCF 2 apresentar um menor MTTF impe a este evento uma maior
influncia para disponibilidade da rede quando comparado ao evento CCF 1. No pior
caso, a ocorrncia simultnea dos eventos CCF 1 e CCF 2 implica na completa degradao da disponibilidade da rede e, consequentemente, no aumento do tempo de interrupo
121
5.3
Cenrio III
122
Fd6
Fd0
R3
Fd13
Fd7
Fd1
Fd4
Fd12
R0
Fd2
Gtw
Fd5
R2
Fd8
Fd3
Fd11
Fd9
R1
Fd10
Figura 5.14: Topologia mesh adotada para a avaliao das melhores prticas sugeridas
pela HCF.
e N o nmero total de dispositivos de campo (N = 14). Em outras palavras, assume-se
que um defeito ir ocorrer na rede se pelo menos 3, 6, 9 ou 12 dispositivos de campo (14
disponveis) falharem. Ressaltando-se que a configurao K-out-of-N considera todas as
combinaes possveis de k dispositivos.
5.3.1
De acordo com a regra dos cinco, uma rede industrial sem fio1 deve possuir pelo
menos cinco dispositivos no alcance de comunicao do gateway. Para avaliao desta
regra necessrio eliminar algumas conexes cujos dispositivos so vizinhos do gateway
e medir o respectivo impacto. No caso, foi considerado como mtrica o MTTF da rede.
Como descrito na equao 3.15, o MTTF e a confiabilidade da rede esto diretamente
relacionados. Assume-se que os dispositivos de campo e roteadores possuem taxas de
defeitos (distribuio exponencial) correspondentes a um MTTF de 10 anos ( 1E5
horas1 ), enquanto que o gateway foi configurado com a taxa de defeito uma ordem de
magnitude inferior (dispositivo muito confivel).
1 Originalmente
a regra foi definida para redes WirelessHART, porm, pode ser aplicada para os padres
ISA100.11a e WIA-PA.
123
Avaliao de confiabilidade
Considerando a topologia da Figura 5.14, assume-se inicialmente que apenas cinco
dispositivos esto no alcance de comunicao do gateway. Devido natureza simtrica
desta topologia, pode-se eliminar qualquer conexo entre o gateway e seus vizinhos e
mesmo assim a regra dos cinco no ser infringida (note que apenas as conexes so
eliminadas, no os dispositivos). Outras configuraes so descritas na Tabela 5.5.
Tabela 5.5: Configuraes utilizadas na avaliao da regra dos cinco.
Nmero de vizinhos (gateway)
Conexes eliminadas
6
5
4
3
Fd0 Gtw
Fd0 Gtw,Fd1 Gtw
Fd0 Gtw,Fd1 Gtw
Fd2 Gtw
Fd0 Gtw,Fd1 Gtw
Fd2 Gtw,Fd3 Gtw
Para medir o impacto da regra dos cinco foi considerado a funo MT T F( j), a qual
indica o MTTF da rede quando o gateway apresenta j dispositivos dentro de seu alcance
de comunicao. Sendo assim, o impacto pode ser medido a partir da seguinte relao:
MT T Fratio =
MT T F( j)MT T F(5)
MT T F(5)
(5.1)
124
5
0
-5
-10
-15
-20
-25
-30
6 vizinhos
4 vizinhos
3 vizinhos
2 vizinhos
3/14
6/14
9/14
12/14
5.3.2
Conforme definido pela HCF, a regra dos trs indica que todos os dispositivos na
rede devem possuir pelo menos trs vizinhos. Para avaliao dessa poltica considera-se
a topologia da Figura 5.14 em conformidade com a regra dos cinco (gateway com cinco
vizinhos), enquanto que um dispositivo fora do alcance de comunicao do gateway escolhido como dispositivo alvo. Em seguida, eliminou-se algumas conexes do dispositivo
alvo com seus respectivos vizinhos e mediu-se o impacto para a rede utilizando alguma
mtrica de avaliao.
125
Conexes eliminadas
4
3
2
1
Fd4 Fd13
Fd4 Fd13 ,Fd3 Fd13
Fd4 Fd13 ,Fd3 Fd13
Fd12 Fd13
MT T Fratio =
MT T F( j)MT T F(3)
MT T F(3)
(5.2)
Os resultados da avaliao da regra dos trs apresentada na Figura 5.16. Diferentemente da avaliao anterior, aqui possvel perceber a influncia da regra dos trs
para todas as condies de defeito na rede. Os resultados seguem um comportamento
unimodal, o impacto mximo relativo ocorre para o cenrio 6/14 e segue uma tendncia
decrescente para os cenrios 3/14 (direita) e 12/14 (esquerda), porm devido a diferentes
razes. Quando o nmero de dispositivos que conduzem a um defeito na rede pequeno
(3/14), este fator tem um maior impacto nos resultados do que a quantidade de vizinhos.
Por outro lado, quando a quantidade de dispositivos na condio de defeito cresce (e.g
9/14 e 12/14), o fato de um dispositivo apresentar um ou dois vizinhos torna-se menos
importante devido quantidade de dispositivos na condio de defeito.
Em geral, o MTTF da rede decresce quando as conexes com o dispositivo alvo so
eliminadas. O comportamento contrrio tambm observado, onde o MTTF da rede au-
126
3
2
MTTF ratio (%)
1
0
-1
-2
-3
-4
-5
4 vizinhos
2 vizinhos
1 vizinho
-6
-7
3/14
6/14
9/14
12/14
127
influncia da regra dos trs, foi realizada uma anlise de sensibilidade na rede considerando o dispositivo Fd3 com trs vizinhos e a condio de defeito configurada para 6/14.
As taxas de reparao foram configuradas com valores correspondentes a MTTR entre
1 hora e 24 horas, enquanto que o MTTF dos dispositivos foram configurados para 5,
10 e 15 anos. Os resultados dessa anlise so descritos na Figura 5.17. Para facilitar a
compreenso, os resultados so descritos na forma da indisponibilidade da rede em escala
logartmica.
Indisponibilidade da rede
0.0001
1e-005
1e-006
MTTF = 15 anos
MTTF = 10 anos
MTTF = 5 anos
1e-007
5
10
15
MTTR dos dispositivos (horas)
20
Figura 5.17: Influncia da regra dos trs na indisponibilidade da rede: anlise de sensibilidade.
128
5.3.3
De acordo com a regra dos 25%, quando a rede cresce, pelo menos 25% dos dispositivos devem estar localizados dentro do alcance de comunicao do gateway. Para medir
o impacto da regra dos 25% foi considerado o mesmo processo de avaliao realizado na
regra dos cinco.
Avaliao de confiabilidade
A ideia bsica para avaliar a regra dos 25% aumentar o nmero de vizinhos do
gateway at o nmero mximo de dispositivos de campo e medir o impacto para o MTTF
da rede. Perceba que nenhum dispositivo foi adicionado, assume-se apenas o aumento
no alcance de comunicao do gateway. As configuraes realizadas nessa avaliao so
descritas na Tabela 5.7.
Tabela 5.7: Configuraes utilizadas para avaliar a regra dos 25%.
Nmero de vizinhos (Gtw)
Vizinhos adicionados
8
11
14
Fd6 ,Fd8
Fd6 ,Fd7 ,Fd8 ,Fd10 ,Fd16
F6 ,Fd7 ,Fd8 ,Fd10 ,Fd12
Fd13 ,Fd14 ,Fd16
A anlise da regra dos 25% foi baseada na equao 5.1, cujo resultado descrito
na Figura 5.18. Como esperado, o MTTF da rede aumenta quando o nmero de vizinhos do gateway tambm aumenta. Por outro lado, aumentar a quantidade de vizinhos
do gateway pode ser impraticvel em cenrios reais devido s limitaes do ambiente
industrial (por exemplo, dispositivos devem ser localizados prximos s variveis do processo). Contudo, esta anlise pode ser replicada para qualquer rede industrial sem fio e
os resultados utilizados para obteno dos requisitos de dependabilidade exigidos pelas
aplicaes.
Consideraes finais sobre as melhores prticas
Nesta seo foram avaliadas as melhores prticas a serem seguidas para criao de
uma rede industrial sem fio, segundo a HCF. Os resultados mostraram que as regras sugeridas pela HCF apresentam diferentes influncias para a rede. A regra dos trs apresenta
uma maior cobertura, no sentido que seu impacto perceptvel em todas as condies de
defeitos impostas. Por outro lado, a regra dos cinco possui uma maior influncia para a
40
35
30
129
8 vizinhos
11 vizinhos
14 vizinhos
25
20
15
10
5
0
3/14
6/14
9/14
12/14
5.4
Avaliao de Desempenho
Os resultados descritos nas Sees 5.1, 5.2 e 5.3 demonstraram o potencial de aplicabilidade da metodologia proposta. Entretanto, ainda necessrio analisar o desempenho
da metodologia para que possa viabilizar sua utilizao na prtica.
A avaliao de desempenho leva em considerao diversos fatores, como por exemplo
o hardware onde os testes foram realizados2 . Porm, foram escolhidos mtricas e cenrios
onde os resultados podem ser comprovados sem a utilizao de hardware adicionais.
Como discutido previamente na Seo 4.4, o ponto crucial da metodologia proposta
a gerao dos cortes mnimos para a estrutura de dados que contm todos os caminhos
entre os dispositivos que compem a condio de defeito e o gateway. Para comprovar a eficincia do algoritmo utilizado, foram testados diversos cenrios (topologias) com
ou sem a utilizao do algoritmo. As topologias consideradas so tpicas das aplicaes industriais e a grande maioria foi utilizada nas sees anteriores. Adicionalmente,
assume-se que a condio de defeito da rede em cada avaliao composta por todos os
2 Sony
130
Caminhos
processados
Gerao de
cdigo (com/sem)
Nmero de linhas
(com/sem)
Execuo
(com/sem)
Estrela 5
Estrela 10
Estrela 15
Estrela 20
Estrela 100
5
10
15
20
100
3ms/3ms
5ms/4ms
7ms/6ms
9ms/7ms
9ms/11ms
40/45
55/65
70/85
84/105
323/422
27ms/26ms
37ms/29ms
39ms/34ms
45ms/40ms
47ms/77ms
Linha 5
Linha 10
Linha 15
Linha 20
Linha 100
5
10
15
20
100
3ms/3ms
6ms/6ms
7ms/7ms
7ms/7ms
60ms/62ms
44/45
64/65
84/85
104/105
424/425
29ms/31ms
38ms/36ms
40ms/41ms
45ms/46ms
105ms/108ms
Cluster
(Fig. 5.7(a))
Cluster
(Fig. 5.7(b))
150
5ms/15ms
70/217
59ms/360ms
10296
5ms/635ms
126/10367
70ms/76898ms
675996
18ms/53134ms
417/676085
74ms/4h*
Mesh
(Fig. 5.14)
O primeiro cenrio de avaliao uma topologia estrela composta de 5 at 100 dispositivos de campo. Apesar da pouca influncia, percebe-se que a utilizao do algoritmo
de cortes mnimos apresenta um melhor desempenho (tempo de execuo) quando a rede
cresce (Estrela 100). Tambm possvel perceber que a rvore de falha gerada menor (nmero de linhas) quando o algoritmo proposto foi utilizado. Relacionar o tamanho
da rvore de falha com o desempenho (tempo de execuo) pode conduzir a concluses
equivocadas, principalmente para cenrios onde a rede no apresenta grande complexidade (muitos caminhos), como o caso. Nesse cenrio, o tempo para gerar a rvore de
131
132
dos cortes mnimos fundamental para a anlise da dependabilidade das redes industriais
sem fio com topologias realsticas, principalmente para os cenrios onde as redes so mais
complexas (maior quantidade de caminhos entre os dispositivos que compem a condio
de defeito e o gateway).
5.5
Consideraes Finais
133
proposta. Para redes com pouca densidade, em outras palavras, poucos caminhos entre
os dispositivos que compem a condio de defeito da rede e o gateway, a utilizao do
algoritmo de cortes mnimos no obrigatria. Porm, para redes mais densas a no utilizao desse algoritmo inviabiliza a anlise de dependabilidade. Os resultados mostraram
que para uma rede mesh densa (< 20 dispositivos), a utilizao do algoritmo de cortes
mnimos conduz a um tempo de execuo de aproximadamente 74ms, enquanto que na
configurao sem o respectivo algoritmo o tempo de execuo superior a 4 horas.
A partir das avaliaes realizadas, pode-se perceber a capacidade da metodologia proposta em analisar a dependabilidade das redes industriais sem fio. Estas anlises podem
ser realizadas na fase de projeto como tambm na manuteno e expanso da rede.
134
Captulo 6
Concluso e Trabalhos Futuros
136
137
tos de redundncia.
Avaliao das melhores prticas a serem seguidas em um projeto de redes industriais sem fio.
Procedimentos a serem seguidos para avaliar a utilizao de redundncia, aquisio
de equipamentos mais confiveis ou introduo de roteadores, em topologias tpicas
de ambientes industriais.
Como trabalhos futuros pretende-se incrementar a metodologia com modelos de falhas mais complexos baseado em estruturas hierrquicas. Essas estruturas sero formadas
por cadeias de Markov. Diversos modelos de redundncia tambm podem ser inseridos
na estrutura hierrquica. Adicionalmente, modelos de redundncia utilizando rvores
de Falhas Dinmicas sero estudos e sua adoo tambm ser considerada na metodologia. Ressalta-se que a proposta desta tese vinculada s falhas permanentes. Pretende-se
no futuro adicionar suporte para as falhas transientes, porm utilizando o formalismo da
Redes de Petri Generalizadas e Estocsticas (GSPN). Em relao s melhores prticas
a serem seguidas para criao de uma rede industrial sem fio, algoritmos de otimizao
podem ser criados para encontrar topologias timas baseados em requisitos de dependabilidade. A metodologia desenvolvida aqui pode ser utilizada para este fim. Futuros
trabalhos iro abordar esse procedimento considerando melhores prticas para todas as
tecnologias de comunicao sem fio industriais.
138
Referncias bibliogrficas
AboElFotoh, H., M. Shazly, E. Elmallah & J. Harms (2011), On area coverage reliability
of wireless sensor networks, em Local Computer Networks, 36th Annual IEEE
Conference on, pp. 584592.
AboElFotoh, H.M. & C.J. Colbourn (1989), Computing 2-terminal reliability for radiobroadcast networks, Reliability, IEEE Transactions on 38(5), 538 555.
AboElFotoh, H.M.F., S.S. Iyengar & K. Chakrabarty (2005), Computing reliability and
message delay for cooperative wireless distributed sensor networks subject to random failures, Reliability, IEEE Transactions on 54(1), 145 155.
Avizienis, A. & J.-C. Laprie (1986), Dependable computing: From concepts to design
diversity, Proceedings of the IEEE 74(5), 629 638.
Avizienis, A., J.-C. Laprie, B. Randell & C. Landwehr (2004), Basic concepts and taxonomy of dependable and secure computing, Dependable and Secure Computing,
IEEE Transactions on 1(1), 1133.
Bai, H. & M. Atiquzzaman (2003), Error modeling schemes for fading channels in wireless communications: A survey, Communications Surveys Tutorials, IEEE 5(2), 2
9.
Ball, Michael O. (1986), Computational complexity of network reliability analysis: An
overview, Reliability, IEEE Transactions on 35(3), 230239.
Bhatt, Jignesh G. (2010), Wireless networking technologies for automation in oil and
gas sector, em International Conference on Management of Petroleum Sector
(ICOMPS-2010), 10, pp. 5171.
Birnbaum, Z. W. & S. C. Saunders (1969), A new family of life distributions, Journal of
Applied Probability 6, 319327.
139
140
REFERNCIAS BIBLIOGRFICAS
REFERNCIAS BIBLIOGRFICAS
141
EL-Sherbeny, Mohamed Salah (2012), Cost benefit analysis of series systems with mixed
standby components and k-stage erlang repair time, International Journal of Probability and Statistics 1(2), 1118.
Emerson-PM (2008), Emerson wireless technology safely monitors temperatures in railcars at croda inc, Relatrio tcnico, Emerson Process Management.
Emerson-PM (2009a), Emerson smart wireless transmitters monitor river water temperatures at lenzing fibers, Relatrio tcnico, Emerson Process Management.
Emerson-PM (2009b), Wireless location trackin, Relatrio tcnico, Emerson Process Management.
Emerson-PM (2012), Emersons smart wireless network delivers maintenance savings,
prevents unscheduled shut downs at heavy plate steel mill, Relatrio tcnico, Emerson Process Management.
Ericson, Clifton A. (2005), Hazard Analysis Techniques for System Safety, WileyInterscience, Hoboken, New Jersey.
Felser, M. (2002), The fieldbus standards: History and structures, Relatrio tcnico, MICROSWISS Technology Leadership.
Felser, M. & T. Sauter (2002), The fieldbus war: history or short break between battles?,
em Factory Communication Systems, 2002. 4th IEEE International Workshop on,
pp. 73 80.
Felser, M. & T. Sauter (2004), Standardization of industrial ethernet - the next battlefield?,
em Factory Communication Systems, 2004. Proceedings. 2004 IEEE International
Workshop on, pp. 413 420.
Garg, Rachit & Praveen Kumar (2010), A review of fault tolerant checkpointing protocols
for mobile computing systems, International Journal of Computer Applications
3(2), 819.
Grottke, Michael, Hairong Sun, Ricardo M. Fricks & Kishor S. Trivedi (2008), Ten fallacies of availability and reliability analysis, em Proceedings of the 5th international
conference on Service availability, ISAS08, Springer-Verlag, Berlin, Heidelberg,
pp. 187206.
URL:http://dl.acm.org/citation.cfm?id=1788594.1788615
142
REFERNCIAS BIBLIOGRFICAS
REFERNCIAS BIBLIOGRFICAS
143
144
REFERNCIAS BIBLIOGRFICAS
Kirrmann, Hubert (1987), Fault tolerance in process control: An overview and examples
of european products, IEEE Micro 7, 2750.
Lapp, Steven A. & Gary J. Powers (1977), Computer-aided synthesis of fault-trees,
Reliability, IEEE Transactions on R-26(1), 213.
Laprie, J.-C. (1995), Dependability of computer systems: concepts, limits, improvements,
em Software Reliability Engineering, 1995. Proceedings., Sixth International Symposium on, pp. 211.
Lessard, A. & M. Gerla (1988), Wireless communications in the automated factory environment, Network, IEEE 2(3), 64 69.
Lilleheier, Torbjorn (2008), Analysis of common cause failures in complex safety instrumented systems, Dissertao de mestrado, The Norwegian University of Science
and Technology (NTNU).
Limnios, N. (2007), Fault trees, Control systems, robotics and manufacturing series,
ISTE.
URL:http://books.google.com/books?id=TdcZAAAACAAJ
Lin, Ying-Dar, Chun-Nan Lu, Yuan-Cheng Lai, Wei-Hao Peng & Po-Ching Lin (2009),
Application classification using packet size distribution and port association, Journal of Network and Computer Applications 32(5), 10231030.
Locks, Mitchell O. (1978), Inverting and minimalizing path sets and cut sets, Reliability,
IEEE Transactions on R-27(2), 107 109.
Lundteigen, Mary Ann & Marvin Rausand (2007), Common cause failures in safety
instrumented systems on oil and gas installations: Implementing defense measures
through function testing, Journal of Loss Prevention in the Process Industries
20, 218229.
Majdara, Aref & Toshio Wakabayashi (2009), Component-based modeling of systems
for automated fault tree generation, Reliability Engineering and System Safety
94(6), 1076 1086.
Malhotra, M. & A. Reibman (1993), Selecting and implementing phase approximations
for semi-markov models, Commun. Stat. Stoch. Models 9(4), 473506.
REFERNCIAS BIBLIOGRFICAS
145
Marcelo Nobre, Luiz Affonso Guedes, Paulo Portugal & Ivanovitch Silva (2010), Towards a wirelesshart module for the ns-3 simulator, em 15th IEEE International
Conference on Emerging Technologies and Factory Automation.
Military Handbook - Reliability Prediction of Electronic Equipment (MIL-HDBK-217F)
(1991), Relatrio tcnico, United States Department of Defense.
Montague, J. (2001), Whats left to say about industrial ethernet?, Control Engineering
48(5), 7280.
Murata, T. (1989), Petri nets: Properties, analysis and applications, Proceedings of the
IEEE 77(4), 541580.
Murray, Judy Maksoud (2010), Wireless finds new uses offshore, Intelligent Fields - A
supplement to E&P pp. 1724. Hart Energy Publishing.
Neves, P.A.C.S. & J.J.P.C. Rodrigues (2010), Internet protocol over wireless sensor networks, from myth to reality, Journal of Communications 5(3), 189196.
Ns3 (2012), Manual, http://www.nsnam.org/docs/manual/ns-3-manual.pdf.
[Online; accessed 22-Octuber-2012].
Papoulis, Athanasios & S. Unnikrishna Pillai (2002), Probability, Random Variable and
Stochastic Process, McGraw-Hill.
Petersen, S. & S. Carlsen (2011), Wirelesshart versus isa100.11a: The format war hits
the factory floor, Industrial Electronics Magazine, IEEE 5(4), 23 34.
Petersenand, Stig & Simon Carlsen (2011), A Survey of Wireless Sensor Networks for
Industrial Applications, CRC Press, captulo 12, pp. 110.
Petre, L., K. Sere & E. Troubitsyna (2011), Dependability and Computer Engineering:
Concepts for Software-Intensive Systems, Igi Global.
URL:http://books.google.com.br/books?id=lCgfe1FPfo0C
Portugal, Paulo Jos Lopes Machado (2004), Avaliao da Confiana no Funcionamento de Redes de Campo - Contribuio no Domnio dos Sistemas Industriais de
Controlo, Tese de doutorado, Faculdade de Engenharia da Universidade do Porto.
Potter, D. (1999), Using ethernet for industrial i/o and data acquisition, em Instrumentation and Measurement Technology Conference, 1999. IMTC/99. Proceedings of the
16th IEEE, Vol. 3, pp. 14921496.
146
REFERNCIAS BIBLIOGRFICAS
Puliafito, A, D Bruneo & M Scarpa (2011), Energy control in dependable wireless sensor
networks: a modelling perspective, Proceedings of the Institution of Mechanical
Engineers, Part O: Journal of Risk and Reliability .
Qureshi, Hassaan Khaliq, Sajjad Rizvi, Muhammad Saleem, Syed Ali Khayam, Veselin
Rakocevic & Muttukrishnan Rajarajan (2011), Poly: A reliable and energy efficient
topology control protocol for wireless sensor networks, Computer Communications
34(10), 1235 1242.
URL:http://www.sciencedirect.com/science/article/pii/
S0140366411000077
Rahimi, M., M. Rausand & Shaomin Wu (2011), Reliability prediction of offshore oil
and gas equipment for use in an arctic environment, em Quality, Reliability, Risk,
Maintenance, and Safety Engineering (ICQR2MSE), 2011 International Conference
on, pp. 81 86.
Rausand, Marvin & Arnljot Hsyland (2004), System reliability theory : models, statistical
methods, and applications, 2a edio, John Wiley & Sons, Inc., Publication.
S., Mitra, Saxena NR. & McCluskey EJ. (2000), Common-mode failures in redundant
vlsi systems: A survey, IEEE Transaction on Reliability 49(3), 285295.
Sahner, Robin A., Kishor Trivedi & Antonio Puliafito (1996), Performance and Reliability
Analysis of Computer Systems: An Example-Based Approach Using the SHARPE
Software Package, Kluwer Academic Publishers.
Sauter, T. (2005), Fieldbus systems - history and evolution, em R.Zurawski, ed., The
Industrial Communication Technology Handbook, CRC Press, captulo 7.
Sauter, T. (2010), The three generations of field-level networks - evolution and compatibility issues, Industrial Electronics, IEEE Transactions on 57(11), 3585 3595.
Sauter, T., S. Soucek, W. Kastner & D. Dietrich (2011), The evolution of factory and
building automation, Industrial Electronics Magazine, IEEE 5(3), 35 48.
Sauter, Thilo (2005), Linking factory floor and the internet, em R.Zurawski, ed., The
Industrial Information Technology Handbook, CRC Press, captulo 24.
Schutz, H.A. (1988), The role of map in factory integration, Industrial Electronics, IEEE
Transactions on 35(1), 6 12.
REFERNCIAS BIBLIOGRFICAS
147
Shier, D. R. & D. E. Whited (1985), Algorithms for generating minimal cutsets by inversion, Reliability, IEEE Transactions on R-34(4), 314 319.
Shooman, M. (1990), Probabilistic Reliability an Engineering Approach, Krieger Publishing Company.
Shooman, Martin L. (2002), Reliability of Computer Systems and Networks - Fault Tolerance, anaysis, and Design, Wiley-Interscience.
Shrestha, A., H. Liu & L. Xing (2007), Modeling and evaluating the reliability of wireless
sensor networks, em Reliability and Maintainability Symposium, 2007. RAMS 07.
Annual, pp. 186 191.
Shrestha, A., Liudong Xing & Hong Liu (2006), Infrastructure communication reliability
of wireless sensor networks, em Dependable, Autonomic and Secure Computing,
2nd IEEE International Symposium on, pp. 250 257.
Silva, Ivanovitch (2008), Anlise de desempenho de sistemas de comunicao sem-fio
para monitoramento de unidade de produo de poos petrolferos terrestres, Dissertao de mestrado, Universidade Federal do Rio Grande do Norte, Natal, Brasil.
Silva, Ivanovitch, L.A. Guedes & F. Vasques (2008), Performance evaluation of a compression algorithm for wireless sensor networks in monitoring applications, em
Emerging Technologies and Factory Automation, 2008. ETFA 2008. IEEE International Conference on, pp. 672 678.
Silva, Ivanovitch, Luiz Affonso Guedes, Paulo Portugal & Francisco Vasques (2012),
Dependability evaluation of wirelesshart best practices, em 17th IEEE Conference
on Emerging Technologies and Factory Automation (ETFA 2012), pp. 19.
Song, Jianping, Song Han, A.K. Mok, Deji Chen, M. Lucas & M. Nixon (2008), Wirelesshart: Applying wireless technology in real-time industrial process control, em
Real-Time and Embedded Technology and Applications Symposium, 2008. RTAS
08. IEEE, pp. 377386.
Thomesse, J.-P. (2005), Fieldbus technology in industrial automation, Proceedings of
the IEEE 93(6), 1073 1101.
Trivedi, Kisho S (2001), Probability and Statistics with Reliability, Queueing, and Computer Science Applications, 2nda edio, Wiley-Interscience.
148
REFERNCIAS BIBLIOGRFICAS
Trivedi, Kisho S. & Robin Sahner (2009), Sharpe at the age of twenty two, SIGMETRICS Perform. Eval. Rev. 36, 5257.
Tyagi, Sanjay Kumar, D. Pandey & Reena Tyagi (2010), Fuzzy set theoretic approach to
fault tree analysis, International Journal of Engineering, Science and Technology
2(5), 276283.
Urli, L. & S. Murgia (2011), Use of ethernet communications for real-time control systems in the metals industry, em Automation Science and Engineering (CASE), 2011
IEEE Conference on, pp. 6 11.
Vitturi, S. (2001), On the use of ethernet at low level of factory communication systems,
Comput. Stand. Interfaces 23, 267278.
Willig, Andreas, Martin Kubisch, Christian Hoene & Adam Wolisz (2002), Measurements of a wireless link in an industrial environment using an IEEE 802.11compliant physical layer, IEEE Transactions on Industrial Electronics 43, 1265
1282.
Wolf, Frederick G. (2001), Operationalizing and testing normal accident theory in
petrochemical plants and refineries, Production and Operations Management
10(3), 292305.
URL:http://dx.doi.org/10.1111/j.1937-5956.2001.tb00376.x
XIAO, Yu-Feng, Shan zhi CHEN, Xin LI & Yu hong LI (2009), Reliability evaluation
of wireless sensor networks using an enhanced OBDD algorithm, The Journal of
China Universities of Posts and Telecommunications 16(5), 6270.
URL:http://www.sciencedirect.com/science/article/pii/
S1005888508602708
Xing, Liudong, Hong Liu & A. Shrestha (2012), Infrastructure communication reliability of wireless sensor networks considering common-cause failures, International
Journal of Performability Engineering 8(2), 141150.
Xing, Liudong, P. Boddu & Yan Sun (2009), System reliability analysis considering fatal
and non-fatal shocks in a fault tolerant system, em Reliability and Maintainability
Symposium, 2009. RAMS 2009. Annual, pp. 436441.
Xing, Liudong & Suprasad V. Amari (2008), Handbook of Performability Engineering,
Springer, captulo Fault Tree Analysis, pp. 595617.
REFERNCIAS BIBLIOGRFICAS
149
Yamamoto, Shuji, Naoki Maeda, Makoto Takeuchi & Masaaki Yonezawa (2010), Worlds
first wireless field instruments based on isa100.11a, Relatrio Tcnico 2, IA Foundation Technology Center. Vol. 53.
Z., Tang & Dugan JB. (2004), An integrated method for incorporating common cause failures in system analysis, em Proceedings of the 50th Annual Reliability and Maintainability Symposium, pp. 610614.
Zamalloa, Marco Ziga & Bhaskar Krishnamachari (2007), An analysis of unreliability
and asymmetry in low-power wireless links, ACM Trans. Sen. Netw. 3(2).
URL:http://doi.acm.org/10.1145/1240226.1240227
Zand, Pouria, Supriyo Chatterjea, Kallol Das & Paul Havinga (2012), Wireless industrial
monitoring and control networks: The journey so far and the road ahead, Journal
of Sensor and Actuator Networks 1(2), 123152.
URL:http://www.mdpi.com/2224-2708/1/2/123
Zhu, Haihong (2012), Reliability and availability analysis for large networking system,
em Reliability and Maintainability Symposium (RAMS), 2012 Proceedings, pp. 1
6.
Zigbee-Alliance (2007), ZigBee Specification, r17a edio, ZigBee Alliance Board of Directors.