UMA ANÁLISE DE FALHAS EM MODO COMUM E REDUNDÂNCIA PARA

PROCESSOS INDUSTRIAIS

Daniel Macedo∗, Ivanovitch Silva∗, Allan Venceslau∗, Luiz Affonso Guedes∗

∗
Laboratório de Informática Industrial
Departamento de Engenharia de Computação e Automação, Instituto Metrópole Digital
Universidade Federal do Rio Grande do Norte
Natal, Rio Grande do Norte, Brasil

Emails: danielmacedo@dca.ufrn.br, ivan@imd.ufrn.br, allanrsv@dca.ufrn.br,

affonso@dca.ufrn.br

Abstract— The demand for development of new tools to support designing, monitoring, maintaining and
commissioning of industrial processes is permanent. The complexity of the industrial environment requires that
these tools have flexible features in order to provide valuable data at the early planning and design phases.
Furthermore, it is known that industrial processes have stringent requirements for dependability (reliability and
availability), since failures can cause economic loss, environmental damage and danger to people. Because of
this, as most of the simulation tools computacioais unable to approach the reality is better. To approach the
real, it is important to analyze common cause failure and analysis of redundancies in device. This paper presents
a tool that is able to estimate the reliability and availability of industrial processes modeled as a graph. The
tool transforms a graph structure in a model of Fault Tree and Markov chain to analyze the dependability of the
process. Finally, a study of dependability of an industrial process is conducted in order to validate the proposed
tool.
Keywords— Industrial process, Fault Tree, Markov Chain, Redundancy, Common cause failure, Dependabil-
ity, Realibility, Availability.

Resumo— A demanda por desenvolvimento de novas ferramentas para suporte ao projeto, monitoramento,
manutenção e comissionamento de processos industriais é permanente. A complexidade do ambiente industrial
exige que estas ferramentas sejam flexı́veis para fornecer dados valiosos no planejamento inicial e na frase de
projeto. Mais que isso, é conhecido que processos industriais têm requisitos rigorosos para dependabilidade
(confiabilidade e disponibilidade), desde que falhas podem causar perda econômica, danos ambientais e por
pessoas em risco. Devido a isso, quanto mais a simulação das ferramentas computacioais conseguirem se aproximar
da realidade é melhor. Para se aproximar do real, é importante a análise de falhas de modo comum e a análise
de redundâncias no dispositivo. Esse trabalho apresenta uma ferramenta que é capaz de estimar a confiabilidade
e disponibilidade de processos industriais modelados como um grafo. A ferramenta transforma uma estrutura de
grafo em um modelo de Árvore de Falhas e Cadeia de Markov para analisar a dependabilidade do processo. Por
fim, um estudo de dependabilidade de um processo industrial é conduzido com o intuito de validar a ferramenta
proposta.

Palavras-chave— Processo industrial, Árvore de Falha, Cadeia de Markov, Redundância, Falhas em modo
comum, Dependabilidade, Confiabilidade, Disponibilidade.

1 Introdução vamente usando modelos matemáticos, como por

A pesquisa de ferramentas em ambientes indus-
triais sempre irá existir, dado o crescente número
de estudos, pesquisa e desenvolvimento na área
(Krishnamurthy et al., 2005; Cinque et al., 2007;
Xing et al., 2012). Nesse contexto, nós destacamos
o desenvolvimento de ferramentas que preveem o
comportamento de processos industriais. Estimar
a dependabilidade desses processos durante o co-
meço do planejamento e na fase de projeto pode
ajudar a antecipar importantes decisões, tais como
o comportamento das falhas (confiabilidade do sis-
tema), disponibilidade e criticidade dos disposi-
tivos. Dessa forma, torna-se importante que as
previsões, estimadas por essas ferramentas, seja o
mais próximo possı́vel do comportamento dos pro-
cessos na realidade. Para tal, é necessário que os
métodos usados por essas ferramentas, sejam ca-
pazes de suportar a adoção de redundâncias nos
dispositivos e falhas de modo comum. Estes dados
de dependabilidade podem ser obtidos quantitati-
exemplo, Árvore de Falhas e Cadeias de Markov.
Um processo industrial é composto de disposi-
tivos heterogêneos conectados por uma estrutura
de rede. Falhas de dispositivos e conexões en-
tre os equipamentos podem causar uma falha no
processo, que pode resultar em perdas financei-
ras, danos ambientais ou por trabalhadores em
risco. O principal objetivo desse trabalho é for-
necer uma avaliação da dependabilidade de pro-
cessos industriais onde os dispositivos e as cone-
xões entre os dispositivos estão sujeitos a falhas.
Em Macedo et al. (2013) é apresentado uma fer-
ramenta (Br-IndustrialExpert) que transforma a
estrutura de processo (mapeados por uma rede
e modelado como um grafo) em um modelo de
Árvore de Falhas onde a avaliação de dependa-
bilidade é conduzida. Não será do escopo desse
trabalho descrever o algoritmo de mapeamento de
um processo industrial para a Árvore de Falha.
Mas sim a análise de redundâncias através Cadeia
de Markov e a implementação de falhas de modo
comum em Árvore de Falhas.
O restante desse artigo é organizado da se-
guinte forma: A Seção 2 descreve o estado da arte
na área de confiabilidade e disponibilidade aplica-
das a processos no formato de redes. Na Seção 3 é
apresentado o conceito dos formalismos matemá-
ticos de Árvore de Falhas e Cadeias de Markov,
além de descrever o que são modelos hierárqui-
cos. Na Seção 4, é descrito como modelar falhas
de modo comum em Árvore de Falhas. Na Se-
ção 5, descrevemos como é feito a modelagem das
redundâncias de um dispositivo através de Cadeia
de Markov. Um estudo de caso é discutidos na Se-
ção 6. Finalmente, na Seção 7 conclui-se o artigo
e apresentamos direções para estudos futuros.
2 Trabalhos Relacionados
A estimativa da dependabilidade de processos in-
dustriais durante as fases iniciais de planejamento
e projeto pode antecipar importantes decisões,
tais como o comportamento das falhas do sistema
em caso de falhas, disponibilidade e criticidade dos
equipamentos entre outras métricas. Esta aná-
lise pode ser obtida quantitativamente através de
modelos matemáticos, como Árvore de Falha, Ca-
deias de Markov, Redes Petri e Redes Bayesianas.
Análise da dependabilidade de sistemas base-
ados em grafos é um problema clássico na lite-
ratura (AboElFotoh e Colbourn, 1989). A teoria
já desenvolvida pode ser utilizada na estimação
da dependabilidade das infraestruturas crı́ticas em
ambientes industriais. O problema pode ser classi-
ficado em três abordagens: k-terminal, 2-terminal
ou todos-terminal. Vamos assumir um grafo com
N dispositivos e um conjunto de K dispositivos
(K ⊂ N e |K| < |N |). K é um conjunto composto
por um dispositivo centralizador e K-1 dispositi-
vos de campo. Definindo um dispositivo centrali-
zador s ∈ K, o problema k-terminal é expressado
como a probabilidade de que exista pelo menos
um caminho/ligação de s para cada dispositivo de
campo incluso em K. O problema 2-terminal é
o caso onde K = 2, ao passo que o problema de
todos-terminal é o caso em que |K| = |N |.
Uma tentativa para criar uma metodologia
para avaliar a dependabilidade de estruturas ba-
seadas em grafos foi realizada em (Cinque et al.,
2007). Os autores mapearam uma Rede de Senso-
res Sem Fio (RSSF) em uma estrutura de grafo.
Os sensores assumem o papel dos vértices en-
quanto que os enlaces de comunicação entre os
diversos sensores assumem o papel de arestas do
grafo. Um modelo baseado no formalismo de
Redes de Petri Estocásticas e Generalizadas foi
desenvolvido para análise das falhas transientes.
Para introduzir o conceito de arquitetura de mo-
delos, os mesmos autores estenderam o trabalho
anterior (Cinque et al., 2007) criando uma pro-
posta dinâmica capaz de especializar o estudo des-
crito em (Di Martino et al., 2012). Todavia, am-
bos os trabalhos não permitem a configuração de
condições de falhas mais complexas envolvendo
eventos independentes. Adicionalmente, métricas
clássicas de dependabilidade não são suportadas,
por exemplo, confiabilidade, disponibilidade e cri-
ticidade de dispositivos.
Recentemente, uma importante contribuição
para avaliação da dependabilidade em grafos foi
proposta em (Xing et al., 2012). A ideia principal
é avaliar a influência de falhas em modo comum.
Os autores propõem uma esquema baseado em
Diagramas de Decisão Binária (DDB) para ava-
liação de grafos com uma quantidade de compo-
nentes superior a 20 dispositivos. Todavia, o mo-
delo não suporta condições genéricas de falha tam-
pouco uma análise de importância dos dispositi-
vos. Aquele trabalho foi desenvolvido visando es-
pecificamente o estudo de Redes de Sensores Sem
Fio Industriais (RSSFI), no entanto, seus algorit-
mos podem ser generalizados para outras infraes-
truturas como processos quı́micos e refinarias.
A partir da discussão acima se torna claro que
os trabalhos já desenvolvidos na literatura têm
fornecido apenas uma solução parcial para o pro-
blema visado, uma vez que a maioria deles é fo-
cado em situações muito especı́ficas. Adicional-
mente, esses trabalhos são muito restritivos no que
diz respeito à definição das condições de falha da
rede, métricas de confiabilidade, topologia e as-
pectos de reconfiguração. A ferramenta proposta
neste trabalho utiliza-se de uma metodologia que
não é uma abordagem nova, visto que o problema
da confiabilidade em redes já foi avaliado na litera-
tura (AboElFotoh e Colbourn, 1989), no entanto,
a metodologia adotada visa eliminar a maioria das
limitações dos trabalhos anteriores. Além disso, os
trabalhos analisados geram seus próprios modelos
de confiabilidade, o que dificulta a generalização
dos resultados.
O trabalho apresenta uma solução de conver-
são de processos industriais que tem um centrali-
zador na rede, portanto k-terminal. A ferramenta
proposta resolve vários aspectos, uma vez que se
adapta a diferentes tipos de cenários. As princi-
pais vantagens, quando comparada com as abor-
dagens disponı́veis na literatura, são as seguintes:
• Suporte a qualquer topologia de rede: linha,
mesh e estrela;
• As condições de falha podem ser especificadas
por um grupo de dispositivos ou um único
dispositivo;
• Considera falhas nos links e hardware;
• Possibilidade de configurar falhas de modo
comum;
• As taxas de falha e reparação podem ser ba-
seadas em distribuições estatı́sticas;

• Diversos tipos de medidas de dependabilidade
podem ser obtida a partir do mesmo mo-
delo (confiabilidade, disponibilidade, tempo
médio para falha, conjuntos mı́nimos de
corte, criticidade, Fussell-de Vesely, Birn-
baum, RAW e RRW);
• Possibilidade de configurar dispositivos re-
dundantes.
3 Formalismos matemáticos
Dado a importância de se analisar a robustez dos
sistemas, formalismos matemáticos foram criados
para a modelagem quantitativa de dependabili-
dade dos mesmos. O Diagrama de Bloco, Árvores
de Falhas (AF) e Cadeias de Markov são exemplos
de técnicas quantitativas amplamente usadas na
indústria (Rouvroye e van den Bliek, 2002). Téc-
nicas qualitativas como a análise de modo e efeito
de falhas e a análise no espaço de estados também
são abordagens estabelecidas na área. Nas seções
a seguir será descrito de maneira sucinta os for-
malismos matemáticos empregados nesse trabalho
(Árvore de Falhas e Cadeias de Markov).
3.1 Árvore de Falhas
Árvore de Falhas é um modelo matemático ampla-
mente utilizado na indústria (Limnios, 2007). Em
resumo, Árvores de Falhas podem ser entendidas
como um conjunto de eventos, os quais combina-
dos através de portas lógicas convergem em um
único nó, o topo da árvore ou evento topo.
Esse modelo pode ser usado para avaliar a
confiabilidade e disponibilidade de uma rede. A
principal vantagem da análise de Árvore de Fa-
lhas está relacionada com o procedimento intui-
tivo utilizado para descrever os acontecimentos
que leva à falhas da rede. No entanto, para topo-
logias complexas, a construção de uma Árvore de
Falhas é uma tarefa demorada e demanda muito
esforço. A solução usual é a adoção de uma abor-
dagem que gera automaticamente a Árvore de Fa-
lhas (Majdara e Wakabayashi, 2009).
As portas lógicas de uma Árvore de Falhas
mais comuns são as and, or e k-out-n. A repre-
sentação e expressão de cada uma delas é apre-
sentada na Figura 1, onde F (t) é a probabilidade
de um dispositivo ou porta lógica falhar, enquanto
que Fi (t) é a probabilidade do evento i falhar.
Por sua vez, os eventos representam folhas pri-
mitivas da expressão booleana da Árvore de Fa-
lha. Cada evento possui uma função, que varia no
tempo, a qual representa a distribuição probabi-
lı́stica que o caracteriza.
O processo de construção de uma Árvore de
Falhas é realizada de forma dedutiva e começa de-
finindo o evento topo, que representa a condição
𝒏 𝒏
𝑭 𝒕 =𝟏− (𝟏 − 𝑭𝒊 (𝒕)) 𝑭 𝒕 = 𝑭𝒊 (𝒕) 𝑭 𝒕 = ( 𝑭𝒊 𝒕 )( 𝟏 − 𝑭𝒊 (𝒕))
𝒊=𝟏 𝒊=𝟏 |𝑰|≥𝒌 𝒊 ∈ 𝑰 𝒊∋𝑰
or and K out
of N
Fi (t) ... Fn(t) Fi (t) ... Fn(t) Fi (t) ... Fn(t)
Figura 1: Expressões das portas lógicas and, or e
k-out-n.
de falha do sistema. De um ponto de vista proba-
bilı́stico, a avaliação de uma Árvore de Falhas con-
siste em calcular a probabilidade do evento topo
a partir das probabilidades dos eventos básicos.
3.2 Cadeias de Markov
Idealizado por Andrei Andreyevich Markov, o mo-
delo de Markov é muito utilizado para sistemas
com comportamento aleatório de maneira discreta
ou contı́nua em relação ao tempo, configurando-
se assim como um processo estocástico. O mo-
delo se baseia em um grafo, portanto é formado
por um conjunto de estados (vértices), podendo
ser interconectados por transições (arestas), que
representam a probabilidade de transição de um
estado para outro. O modelo de Markov é carac-
terizado como um sistema sem memória, ou seja,
o seu estado futuro independe do histórico do seu
comportamento.
Outra forma de caracterizar esses modelos é
como contı́nuos ou discretos. Essa classificação se
refere ao seu comportamento em relação ao tempo.
Em outras palavras, o modelo discreto tem um
fluxo nos espaços discretos de tempo, o contı́nuo
age de maneira contı́nua nele, portanto tem um
domı́nio infinito nesse espaço. Os discretos são
matematicamente mais simples e concedem apro-
ximações satisfatórias.
3.3 Modelos Hierárquicos
O uso de modelos hierárquicos matemáticos não
é novo na literatura (Sahner et al., 1996; Kim
et al., 2010). Nos modelos hierárquicos, um mo-
delo matemático se beneficia dos resultados da
análise de outro tipo de modelo. Nesse artigo será
usado Árvore de Falhas para analisar a dependa-
bilidade do processos industriais, no entanto para
fazer a análise de redundâncias de um dispositivo
será usado o modelo de Cadeia de Markov.
Portanto, ao invés dos eventos carregarem
uma distribuição estatı́stica que os represente (por
exemplo, exponencial ou binomial), eles terão uma
Cadeia de Markov e sua distribuição será a análise
dessa cadeia. Na Fig. 2 é apresentado de maneira
esquemática o modelo hierárquico.

Figura 2: Modelo hieráquico com Cadeia de Mar-
kov e Árvore de Falha.
4 Modelando Falhas de Modo Comum
em Árvore de Falhas
Na Árvore de Falha é comum considerar que os
componentes do sistema falham de forma inde-
pendente. Entretanto, na prática este cenário não
necessariamente ocorre. Um exemplo disso são as
falhas de modo comum (FMC). Este tipo de de-
feito ocorre em múltiplos componentes no mesmo
intervalo de tempo e compartilha da mesma causa,
como por exemplo sabotagens, furacões, inun-
dações, obstáculos temporários, descargas elétri-
cas, falhas de projeto, erros humanos, etc. FMC
ocorrem tipicamente em sistemas modelados com
redundância, onde um conjunto de componen-
tes idênticos são utilizados (Tang e Bechta Du-
gan, 2004). Outro exemplo muito comum de FMC
ocorre nas redes sem fio, onde obstáculos tempo-
rários podem obstruir (defeito) vários enlaces de
comunicação ao mesmo tempo. Observa-se que na
análise quantitativa, a não consideração de FMC
para a modelagem do sistema pode conduz a re-
sultados superestimados (Mitra et al., 2000).
De uma maneira geral, se o defeito de um
componente aumenta a tendência de ocorrer um
outro defeito em um outro componente, diz-se
que esses defeitos apresentam uma dependência
positiva. Caso contrário, essa relação é classifi-
cada como negativa (Rausand e Høyland, 2003).
Na teoria de probabilidades, dois eventos (E1
e E2) são considerados dependentes positivos se
P r(E1 ∩ E2) > P r(E1) · P r(E2) ou P r(E1|E2) >
P r(E1) ou P r(E2|E1) > P r(E2). De maneira
análoga, E1 e E2 são considerados dependentes
negativos se P r(E1 ∩ E2) < P r(E1) · P r(E2) ou
P r(E1|E2) < P r(E1) ou P r(E2|E1) < P r(E2).
Medir o impacto das FMC o mais breve pos-
sı́vel, idealmente nas fases de projeto e planeja-
mento do processo, é uma questão fundamental
na análise da dependabilidade de processos indus-
triais. Quando realizada adequadamente, decisões
sobre a topologia, criticidade dos dispositivos, nı́-
veis de redundância e robustez da rede podem ser
antecipadas.
Assim como a representação das diferentes fa-
lhas do processo industrial podem ser representa-
dos por eventos, as falhas de modo comum tam-
bém serão eventos da Árvore de Falha. Como
as falhas em modo comum atuam em diferentes
componentes do processo, o seu respectivo evento
irá aparecer em diferentes posições na AF. Toda
vez que um componente da AF influenciado por
uma FMC aparecer na árvore, ele deve vir acom-
panhado do evento que representa a falha de modo
comum.
5 Modelando Redundância através de
Cadeias de Markov
Todos modelos de redundância propostos nesse
artigo são baseados no formalismo de Cadeia de
Markov. Para a utilização desses modelos, é defi-
nido um conjunto de estados discretos no sistema
e é determinado um conjunto de taxas de transi-
ção de um estado a outro. As taxas de transição
representam as taxas de falha e taxas de reparo.
O uso de Cadeias de Markov limitam a análise
do sistema apenas para a distribuição exponen-
cial. Para a análise de distribuições não expo-
nenciais pode-se utilizar técnicas de aproximação
dessas distribuições em distribuições exponenciais
(Sahner et al., 1996).
Os estados da Cadeia de Markov representam
os modos de operação da um dispositivo (ativo
ou inativo). A probabilidade do sistema mover de
um estado ativo (funcionando corretamente) para
o estado inativo é dado por λ (taxa de falha) e
o inverso é dado por µ (taxa de reparo). Nesse
contexto, duas importantes métricas são defini-
das (Sahner et al., 1996):
• Confiabilidade: É o conceito usado para
descrever que um componente ou sistema está
funcionando corretamente de acordo com as
especificações durante um perı́odo de tempo.
• Disponibilidade: É o conceito que deve ser
entendido como a probabilidade que o sistema
está trabalhando corretamente no instante t
independente do número de falhas ocorridas
no intervalo de (0, t) (desde que as falhas te-
nham sido reparadas).
A Fig. 3 descreve um modelo simples para
avaliação da confiabilidade e disponibilidade de
um sistema considerando apenas o estado ativo
(good ) e o inativo (bad ). Em ambas as métricas, o
objetivo é calcular a probabilidade do começo do
estado ativo (good) em um dado tempo t. Note
que se µ = 0 o modelo de disponibilidade serão
iguais.
Em relação aos aspectos de redundância, para
cada componente redundante adicionado dentro
do sistema, um novo estado deve ser também adi-
cionado para o modelo proposto. Em outras pa-
lavras, a quantidade de novos estados representa
o número de dispositivos necessários para trazer o
sistema para a falha.
 λ λ
GOOD BAD GOOD BAD
μ Cn
(a) (b)
Figura 3: Modelos de dependabilidade(métricas).
(a) Confiabilidade. (b) Disponibilidade.
Uma das formas de classificar o tipo de redun-
dância é através da definição de redundâncias ati-
vas e passivas. Quando todos componentes redun-
dantes operam simultaneamente (paralelo) com o
dispositivo principal/primário, tal arranjo é cha-
mado de redundância ativa. Estes componentes
de dividem a carga do começo até que um deles
falhar. Por outro lado, quando uma reposição de
componente só é feita após a falha do dispositivo
principal/primário, tal arranjo é chamado de re-
dundância passiva. Durante o tempo de espera o
componente redundante é dito ser cold standby. Se
o componente standby for responsável uma carga
pequena no perı́odo de espera, a abordagem da
redundância é chamado parcialmente carregado.
Em um sistema configurado com dispositivos
de peças de reposição (independente de ser ativa
ou passiva), se o componente primário falha o dis-
positivo redundante assume o sistema. Porém, o
chaveamento entre o dispositivo primário e o com-
ponente redundante não é sempre perfeito. Para
cenários crı́ticos, é fundamental modelar e avaliar
o chaveamento imperfeito. Para se tornar mais
compreensı́vel, apresentaremos nas seções seguin-
tes os aspectos de redundância discutidos anteri-
ormente para as abordagens ativas e passivas.
5.1 Redundância passiva
Vamos considerar o modelo passivo descrito na
Fig. 4(a). Este modelo pode estar funcionando
e reparado de diversas formas: (a) o componente
redundante pode ser frio ou parcialmente carre-
gado, (b) a transição entre as redundâncias pode
ter vários modos de falha (chaveamento imperfeito
ou desconectado) ou (c) a falha de redundância do
componente pode está oculta ou detectável. Em
um modelo geral, o modelo standby (termo usado
para se referenciar as redundâncias quando estão
esperando assumirem o sistema) atua da seguinte
forma: o primeiro componente (C1) está funcio-
nando no tempo t = 0. Se o C1 falha, o compo-
nente redundante C2 é ativado. Quando C2 falha,
o componente redundante C3 assume. Depois do
n-ésimo componente redundante falhar, o modelo
passivo falha.
A Cadeia de Markov para modelos standby é
descinto na Fig. 4(b). Nós assumimos que o com-
ponente redundante é frio e o procedimento de
chaveamento é perfeito. Devido a limitação de es-
C1
C2
.. ..
. .
(a)
λ λ λ
GOOD GOOD GOOD ... GOOD BAD
N N-1 N-2 1
(b)
Figura 4: (a) Redundância passiva e (b) seu
respectivo modelo de Markov assumindo chavea-
mento perfeito.
paço no trabalho, o modelo para a disponibilidade
não é descrita na Fig. 4(b) (para o modelo de dis-
ponibilidade, é apenas necessário adicionar o pa-
râmetro µ como descrito na Fig.3(b), obviamente
assumindo que as ações de reparo são limitadas).
Há n − 1 componentes redundantes e um compo-
nente primário na Cadeia de Markov (totalizando
n estados GOOD ). A confiabilidade do modelo
no instante t é calculada pela Equação 1.
µ λ −(µ+λ)
R(t) = + e (1)
µ+λ µ+λ
A formula para avaliar a disponibilidade é a
mesma da equação Equação 1 (obviamente, é ne-
cessário adicionar o parâmetro µ na Fig.4(b)).
Outra importante métrica de dependabilidade
é mean time to failure (MTTF), que mede o tempo
médio para falhar (assumindo que um sistema não
reparável é adotado). A métrica é amplamente
adotada na literatura (Avizienis et al., 2004) e é
facilmente obtida da equação 2.
Z∞
MTTF = R(t)dt (2)
i=0
Além disso assumimos que quando o compo-
nente ativo falha, existe uma probabilidade 1−Pw
para o chaveamento falhar. Dessa forma há duas
maneiras para um dispositivo falhar: (a) se o com-
ponente primário falha e todas redundâncias fa-
lhas, e (b) se o chaveamento não é ativado quando
o dispositivo primário falha. Este cenário é conhe-
cido como chaveamento imperfeito.
Para sermos mais compreensı́vel, vamos de-
talhar esse cenário usando a Fig. 5. O compo-
nente primário (C1) está funcionando no tempo
t = 0 (estado Good N ). Se C1 falha e o chavea-
mento é feito de forma bem sucedida (Pw × λ), o
primeiro componente redundante é ativo (estado
Good N −1). Por outro lado, se o chaveamento fa-
lha, o sistema é levado para o estado (BAD) com a
probabilidade (1 − Pw ) × λ. Depois da n-ésimo re-
dundância falhar ou se algum chaveamento falha,
 C1
o modelo passivo falha. A avaliação da confiabili-
dade e a disponibilidade é a mesma dos modelos C2

.. Nλ (N-1)λ λ
prévios. . GOOD GOOD GOOD ... GOOD BAD
Cn N N-1 N-2 1

pw λ pw λ λ
GOOD GOOD GOOD ... GOOD BAD
(a) (b)
N N-1 N-2 1
(1-pw)λ (1-pw)λ (1-pw)λ
Figura 7: (a) Redundância ativa e (b) seu respec-
tivo modelo de Markov assumindo chaveamento
perfeito.
Figura 5: Cadeia de Markov para a redundância
passiva com chaveamento imperfeito. o estado de falha (BAD). No estado Good N nós
temos N candidatos para falhar. Sem perda de
Outro cenário interessante é quando podem generalidade, vamos assumir que a primeira re-
ocorrer falhas nas redundâncias. Neste cenário, dundância é ativado com sucesso, conforme na
o dispositivo de reposição pode falhar antes do Fig. 7(b). Devido a isso, o sistema irá continuar
seu dispositivo primário. O dispositivo standby funcionando até este componente redundante fa-
tem uma falha oculta quando ativado. Em geral, lhar e a N − 2 redundância também falhar (há
este tipo de falha é menor do que a taxa de falha N − 1 candidatos para falhar no estadoGood N −
correspondente durante a operação. A taxa de 1). O procedimento para avaliação da confiabili-
falha do modo de espera é definido como λstb . O dade e disponibilidade é o mesmo que o descrito
modelo da Cadeia de Markov para este tipo de na equação 1.
falha é descrito na Fig. 6. Como descrito na Fig. 5, vamos assumir que
quando o componente ativo falha, existe uma pro-
(N-1)λstdλ (N-2)λstdλ (N-3)λstdλ
babilidade 1 − Pw do chaveamento falhar. O mo-
delo de Markov para este cenário é descrito na
pwλ pwλ λ
GOOD GOOD GOOD ... GOOD BAD Fig.8. Note que independente se uma redundân-
N N-1 N-2 1
cia é ativa ou passiva, quando o chaveamento falha
(1-pw)λ (1-pw)λ (1-pw)λ
o sistema irá para o estado de falha (BAD).
O modelo assumindo comutação imperfeita
na redundância ativa é um pouco diferente que o
Figura 6: Cadeia de Markov para a redundância apresentado para a abordagem passiva. Dado que
passiva com modelo de falha passivo. os componentes da redundância ativa operando
em paralelo, existem por exemplo, N combina-
Note que o modelo do modo de falha standby ções da falha no estado Good N . Então, a taxa de
é similar ao descrito na Fig. 5. A diferença é que transição desse estado assumindo que o dispositivo
se o dispositivo primário falha, independente se o redundante é ativado de maneira bem sucedida é
chaveamento é perfeito ou não, N − 1 redundân- Pw × N × λ. Por outro lado, na aproximação pas-
cias podem falha quando estão em standby com a siva esta taxa de transição é apenas Pw × λ.
probabilidade (N − 1) × λstb . pwNλ pw(N-1)λ λ

GOOD GOOD GOOD ... GOOD BAD

N
5.2 Redundância ativa N-1 N-2 1

(1-pw)Nλ (1-pw)(N-1)λ (1-pw)(N-2)λ

Vamos considerar o modelo ativo descrito na

Fig. 7(a). Nesse tipo de redundância os dispo-
sitivos (dois ou mais) estão operando em paralelo
com o componente primário. A carga primária é
compartilhada do começo até o componente pri-
mário falhar. Quando isso corre, uma redundância
assume que a operação principal com um atraso
mı́nimo no chaveamento.
A Cadeia de Markov para o modelo ativo é
descrito na Fig. 7(b). Nós assumimos que o pro-
cedimento de chaveamento é perfeito. O sistema é
composto de N −1 redundâncias (operando em pa-
ralelo) e um componente primário (ao todo, tem-
se N estados GOOD).
O modelo opera da seguinte forma: se o com-
ponente primário falha e o N − 1 componente re-
dundante também falha, então o sistema vai para
Figura 8: Markov Chain for an active redundancy
model with imperfect switching.
6 Estudo de Caso
Nesta Seção, vamos apresentar um estudo de caso
para uma planta para o controle do nı́vel de água
de um tanque, apresentado na Fig. 9. Essa planta
foi baseada no sistema descrito em Lampis e An-
drews (2009). O sistema apresentado consiste de
um tanque que possui dois sensores embutidos no
tanque, representados por S1 e S2, que enviam in-
formação, acerca do nı́vel de água no tanque, para
os controladores os quais estão ligados. A partir
dos valores de nı́vel obtidos, o controlador atua de
forma a manter o nı́vel de lı́quido no tanque den-
tro dos parâmetros estabelecidos (maior que S1 e
menor que S2).

Figura 10: Modelagem do processo de controle de

nı́vel de água no Br-IndustrialExpert.

Tabela 1: Taxas de falha e reparo dos eventos.

Evento λ(falhas/h) µ(reparos/h)
T anque e−4 4e−3
−5
Figura 9: Sistema de controle de nı́vel de água. V1 e 4e−1
−5
V2 e 4e−1
O sistema ainda possui mais três sensores de V3 e−5 4e−1
monitoramento, representados por V F 1, V F 2 e −6
P1 e 0.2
V F 3, localizados próximo às válvulas V 1, V 2 e P2 e−6 0.2
V 3, que tem como objetivo detectar a vazão da P3 e−6 0.2
água através das válvulas. A válvula V 1 é aberta P4 e−6 0.2
ou fechada de acordo com os nı́veis de água de- P5 e−6 0.2
tectada através do sensor S1. O mesmo sensor é P6 e−6 0.2
responsável por indicar se o nı́vel está abaixo do CT e−8 2e−3
limite requerido. O controlador C1 abre a válvula
V 1 permitindo a entrada de água para compensar
a saı́da de água por V 2, e fecha para cessar o fluxo riação do número de redundâncias nas válvulas.
de água para dentro do tanque. Iremos analisar o comportamento (confiabilidade
A válvula V 2 é uma válvula manual de saı́da e dependabilidade) do sistema acrescentando 1 re-
e é ativada pelo operador. Em operação normal dundância em cada uma das válvulas. Será ado-
esta válvula é mantida aberta, permitindo a saı́da tado o modelo ativo de redundância, sendo anali-
de água do tanque. Além disso, assume-se que sado o sistema com chaveamento perfeito e simu-
possui a mesma capacidade de vazão que a válvula lando chavemanto imperfeito (1 − Pw = 0.05)
V 1. A válvula V 3 mantém-se fechada, salvo no
caso que o nı́vel do tanque atinja valores crı́ticos.
Esta válvula é aberta pelo controlador C2, como
medida de segurança, quando o sensor S2 detecta
aumento do nı́vel de água a um nı́vel de risco.
O sistema falha quando há o transborda-
mento do tanque. Dessa forma, a condição de
falha do sistema é se P 4 e P 6 falhar. Ou seja,
o sistema falha quando não houver mais fluxo
por nenhuma das saı́das do tanque. A mode- arvoreResultante.pdf
lagem desse sistema pode ser feita observando
o fluxo de água. A modelagem do processo
foi feita usando o Br-IndustrialExpert, descrito
em (Macedo et al., 2013).
O sistema também é susceptı́vel a uma falha
de modo comum provocado pela contaminação do
tanque (CT ) por algum resı́duo externo. Essa
contaminação provoca a obstrução das válvulas
V 2 e V 3 simultaneamente. Na Tabela 1 é apre-
sentado todos os eventos do sistema montado e Figura 11: Processo de controle de nı́vel de água
suas respectivas taxas de falha e reparo. modelado em uma Árvore de Falha.
A Árvore de Falha resultante do processo e
modelada pelo Br-IndustrialExpert é mostrada na Na Fig. 12 é apresentado o gráfico resultado
Fig. 11. Foi realizado uma análise de sensibilidade da análise da confiabilidade dos cenários propos-
(confiabilidade e disponibilidade) a partir da va- tos. O MTTF do sistema sem redundância foi de
aproximadamente 7.228h. Analisando o sistema
com redundância nas válvulas o sistema aumen-
tou seu MTTF em 21, 5% com chaveamento per-
feito e 19, 3% considerando um chaveamento im-
perfeito. Com isso podemos concluir que o uso de
redundância aumentaria a confiabilidade do sis-
tema, mesmo considerando uma falha no chave-
amento entre os equipamento primário e redun-
dante.
c1.png
Figura 12: Analise de confiabilidade.
Na Tabela 2 é exibido a análise da disponibili-
dade em regime permanente do sistema para cada
cenário. Nota-se também o aumento da disponi-
bilidade do sistema com o uso de redundâncias.
Essas análises poderiam ser usadas na decisão do
uso de redundâncias nas válvulas no projeto.
Tabela 2: Taxas de falha e reparo dos eventos.
Cenário Disponibilidade
Sem redundância 0.97550
1 redun. com chaveamento perfeito 0.97580
1 redun. com chaveamento imperfeito 0.97557
7 Conclusões
O desenvolvimento de ferramentas genéricas para
a análise de confiabilidade e disponibilidade de
um processo industrial é uma demanda iminente.
A ferramenta desenvolvida neste trabalho apoia
a análise quantitativa destas métricas, proporcio-
nando valiosas informações para o projetista que
lhe permite desenvolver sistemas robustos e tole-
rantes a falhas.
Em pesquisas futuras, pretendemos apoiar
Redes Bayesianas e modelos de Árvore de Falhas
dinâmicas. É previsto a expansão dos tipos de pro-
cessos industriais suportados na ferramenta para
da suporte a processos com mais de um centrali-
zador.
Agradecimentos
Os autores agradecem ao CNPq e à CAPES, pelo
suporte financeiro e à UFRN pela infraestrutura
de suporte ao desenvolvimento deste trabalho.
Referências
AboElFotoh, H. e Colbourn, C. (1989). Compu-
ting 2-terminal reliability for radio-broadcast
networks, Reliability, IEEE Transactions on
38(5): 538–555.
Avizienis, A., Laprie, J.-C., Randell, B. e
Landwehr, C. (2004). Basic concepts and
taxonomy of dependable and secure compu-
ting, IEEE Trans. Dependable Secur. Com-
put. 1(1): 11–33.
Cinque, M., Cotroneo, D., Di Martinio, C. e
Russo, S. (2007). Modeling and assessing
the dependability ofwireless sensor networks,
Proceedings of the 26th IEEE Internatio-
nal Symposium on Reliable Distributed Sys-
tems, SRDS ’07, IEEE Computer Society,
Washington, DC, USA, pp. 33–44.
Di Martino, C., Cinque, M. e Cotroneo, D. (2012).
Automated generation of performance and
dependability models for the assessment of
wireless sensor networks, IEEE Trans. Com-
put. 61(6): 870–884.
Kim, D. S., Ghosh, R. e Trivedi, K. S. (2010).
A hierarchical model for reliability analysis
of sensor networks, Pacific Rim International
Symposium on Dependable Computing, IEEE
0: 247–248.
Krishnamurthy, L., Adler, R., Buonadonna, P.,
Chhabra, J., Flanigan, M., Kushalnagar, N.,
Nachman, L. e Yarvis, M. (2005). Design and
deployment of industrial sensor networks:
Experiences from a semiconductor plant and
the North Sea, SenSys ’05: Proceedings of
the 3rd International Conference on Embed-
ded Networked Sensor Systems, ACM, New
York, pp. 64–75.
Lampis, M. e Andrews, J. D. (2009). Bayesian
belief networks for system fault diagnostics,
Quality and Reliability Engineering Interna-
tional 25(4): 409–426.
Limnios, N. (2007). Fault Trees, 2 edn, ISTE Ltd.
Macedo, D., Silva, I., Guedes, A., Portugal, P. e
Francisco, V. (2013). A framework for de-
pendability evaluation of industrial proces-
ses, Annual Conference of IEEE Industrial
Electronics Society .
Majdara, A. e Wakabayashi, T. (2009).
Component-based modeling of systems
for automated fault tree generation, Re-
liability Engineering and System Safety
94(6): 1076–1086.

Mitra, S., Saxena, N. e McCluskey, E. (2000).

Common-mode failures in redundant vlsi sys-
tems: a survey, Reliability, IEEE Transacti-
ons on 49(3): 285–295.

Rausand, M. e Høyland, A. (2003). System Re-

liability Theory: Models, Statistical Methods
and Applications Second Edition, Wiley-
Interscience.
Rouvroye, J. e van den Bliek, E. (2002). Com-
paring safety analysis techniques, Reliability
Engineering System Safety 75(3): 289 – 294.
URL: 1
Sahner, R., Puliafito, A. e Trivedi, K. S. (1996).
Performance and reliability analysis of com-
puter systems: an example-based appro-
ach using the SHARPE software package,
Kluwer, Boston, MA.
Tang, Z. e Bechta Dugan, J. (2004). An integra-
ted method for incorporating common cause
failures in system analysis, Reliability and
Maintainability, 2004 Annual Symposium -
RAMS, pp. 610–614.
Xing, L., Liu, H. e Shrestha, A. (2012). Infras-
tructure communication reliability of wireless
sensor networks considering common-cause
failures, International Journal of Performa-
bility Engineering 8(2): 141–150.