Risco baseado em Vulnerabilidade e Sistemas Críticos

Para a avaliação de risco usando a metodologia MBVA em um sistema que pode ser modelado como uma rede, contendo pontos que são os nós e ligações que são os links, existe uma ferramenta, chamada MBRA - Model-Based Risk Analysis desenvolvida pelo

CHDS - Center for Homeland Defense and Security que dene o risco como a utilidade esperada em todos os pontos do sistema, ponderada por um fator relevante do sistema. Assim, o risco do sistema - RS é denido pela equação 10 2.12.

RS =

i=1

wiTiViCi. (2.12)

Tanto os pontos quanto as ligações tem atribuídos a eles uma ponderação, wi e os parâ-

metros ameaça Ti, vulnerabilidade Vi, consequência Ci, são os mesmos do PRA (LEWIS,

2006). O peso wi pode ser obtido a partir da análise do sistema, por exemplo, o número

de ligações que conectam cada nó com outros nós, ou o número de menores caminhos que passam por um nó. Esses dois tipos de ponderação consideram uma característica do sistema, que também existe no sistema de transporte, conhecida como auto-organização crítica (XIE et al., 2009). Assim como em outros sistemas, e.g., de água, energia, a auto- organização se torna crítica, pois cada vez que um novo trecho é instalado, ele tende a se ligar a um trecho que já possui muitas ligações. Surgem assim nós, ou pontos (cidades), que possuem um alto grau de ligações e nós através das quais passam muitos dos menores caminhos do sistema, chamados nós com alta centralidade (DORO-ON, 2014).

A auto-organização do sistema é causada pela otimização do desempenho do sistema, pois os pontos com muitas ligações são economicamente mais eciente do que pontos isolados, e as ligações mais utilizados são mais lucrativas que as ligações pouco utilizadas. Bak (1996) estudou as causas do risco em sistemas e concluiu que muitos dos sistemas de infraestruturas estão em um estado de auto-organização críticos porque são otimizados e ecientes, mas essa eciência e otimização causam fragilidade no sistema. Se um desses nós de alto grau, ou pelo qual passam muitos dos menores caminhos do sistema, parar o prejuízo se estenderá por grande parte do sistema.

O comportamento de sistemas críticos é similar ao de um monte de areia construído a partir de grãos de areia que vão caindo lentamente sobre uma superfície plana circular. Ao longo do tempo uma pirâmide em forma de cone aparece. Como mais e mais grãos de areia caindo sobre a pilha, o cone cresce em altura e largura. De repente, uma porção do cone desaba, provocando um deslizamento ou avalanche. Per Bak (1996) perguntou se era possível prever o tamanho do deslizamento e calcular exatamente quando ele iria acon- tecer. O tempo até deslizar e o tamanho do deslizamento não podem ser determinados com precisão observando um único desabamento. Bak observou muitos deslizamentos de tamanhos diferentes e colocou-os em um gráco, que é a curva de probabilidade de exce- dência. Essa curva é uma exponencial de cauda longa e tornou-se posteriormente o centro de atenção de cientistas de várias disciplinas, porque ela serve para demonstrar como se comportam sistemas críticos. Repetindo a experiência do monte de areia muitas vezes e medindo os tamanhos dos deslizamentos, descobriu-se que pequenos deslizamentos ocor- rem com muito mais frequência do que os grandes. E que os deslizamentos extremamente

Figura 2.3: Probabilidade (Consequência ≥ x) com decaimento exponencial. Fonte: Lewis (2010).

grandes são muito raros, mas não impossíveis. Da mesma forma, pequenos incidentes são muito mais comuns, mas as suas consequências são muito menores. E grandes incidentes são muito raros, mas suas consequências são desastrosas, como mostrado no gráco da Figura2.3 (BAK, 1996; LEWIS, 2010).

O MBRA assume que ameaça e vulnerabilidade, T e V, obedecem à lei dos rendimentos decrescentes: os primeiros recursos alocados para T e V são mais ecazes do que os últimos. Assim, a vulnerabilidade é reduzida em função da alocação de recursos em prevenção de forma que os valores iniciais investidos reduzem a vulnerabilidade mais rapidamente que os valores nais investidos em prevenção, seguindo uma função exponencial de decaimento. Apesar de parecer que o MBRA resolve todo o problema de alocação dos recursos limitados para redução de risco, a avaliação de risco não é um problema resolvido, principalmente porque T, V, C, e outras grandezas, tais como custos de prevenção e resposta são difíceis de estimar com precisão (LEWIS, 2006).

Considerando a existência possível de Riscos devidos a ameaças intencionais, além de considerar a ponderação wi no cálculo do risco de um sistema, a ferramenta MBRA

pode utilizar o algoritmo de competição de Stackelberg para obter seus resultados. Nesta modelagem, um defensor tenta minimizar o risco pela utilização de recursos para reduzir vulnerabilidade e consequência. Então, um atacante tenta maximizar risco alocando recursos para aumentar a ameaça. Geralmente, o atacante irá aumentar a ameaça sempre que o risco aumentar. Por outro lado, o defensor vai tentar diminuir a vulnerabilidade em

todos os lugares, mas o defensor tem orçamento limitado. Por isso, o defensor é forçado a deixar nós de baixa consequência desprotegidos. O atacante e o defensor vão repetir suas alocações até que um impasse seja atingido, nem atacante nem defensor podem me- lhorar em suas otimizações. Caso exista, este ponto é considerado um ponto de equilíbrio do sistema (LEWIS, 2006). Esse algoritmo aplicado na tomada de decisão com risco informado é capaz de dizer qual a melhor forma de alocar recursos para reduzir simulta- neamente risco por parte do defensor, e maximizar o risco por parte do atacante. É um modo realista de competição com a restrição de recursos limitados (DORO-ON, 2014). A utilização do Algoritmo de Stackelberg signica a inclusão de conceitos da Teoria dos Jogos na otimização da alocação dos investimentos, pois considera pontos vulneráveis do sistema na visão de um jogador inteligente. O uso desse algoritmo é real na aplicação em portos que podem ser danicados intencionalmente.

A abordagem de avaliação de risco proposta fornece uma medida de incerteza associada ao risco estimado.

A ponderação no cálculo do risco de um sistema pode ser considerada de diferentes formas. Neste trabalho, por se tratar do sistema ferroviário serão consideradas duas medidas de rede consideradas relevantes para a malha: grau e centralidade.

Para considerar a ponderação na equação 2.12 pode-se considerar wiem função do

o grau, g(v) que é número de links de um nó v. No caso de uma malha ferroviária, é o número de trechos ligados a uma cidade, ou a uma estação. Neste caso, obtém-se a equação 2.13.

wi =

g(vi)

maxjg(vj)

(2.13) Também para considerar a ponderação na equação 2.12 pode-se considerar wi em

função da centralidade de um nó do sistema modelado como uma rede. A centralidade pode ser denida pela equação 2.14que representa a proporção de caminhos de tamanho mínimo (geodésicas) entre dois nós quaisquer que passam pelo nó considerado.

c(v) = X

a,b6=v

gavb

gab

(2.14) Asssim, a centralidade do nó v é c(v) conforme 2.14 onde gabé o número de menores

caminhos entre a e b, e gavb é o número de menores caminhos que passam por v. Neste

caso, o peso é dado pela equação 2.15. wi =

c(vi)

maxjc(vj)

(2.15) Outra possibilidade ainda, é considerar a ponderação wi da equação 2.12 como sendo

2.16. wi = g(vi) maxjg(vj) c(vi) maxjc(vj) (2.16) Assim, tanto centralidade quanto grau são considerados no cálculo do risco.

Dessa forma, este trabalho considera quatro cálculos diferentes para o risco do sistema: sem ponderação, na qual wi = 1;

ponderado pela proporção do grau do ativo no sistema, wi = g(vi)

maxjg(vj);

ponderado pela proporção da centralidade do ativo no sistema, wi = _maxc(vi)

jc(vj) e, nalmente,

ponderado pelo grau e pela centralidade do ativo no sistema wi = _maxg(v_j_g(vi)_j₎ _maxc(v_j_c(vi)_j₎.

Essas quatro ponderações são consideradas neste trabalho, pois são plausíveis de serem aplicadas no caso das ferrovias. O Grau indica a quantidade de caminhos que chegam e saem de uma cidade e a Centralidade indica o quão importante é cada trecho na conside- ração de todos os menores caminhos da malha. Essas ponderações mostram a inuência que cada ativo do sistema possui no sistema como um todo.

Capítulo 3

Formalização dos Modelos Propostos

Neste Capítulo apresenta-se formalmente o problema da decisão de investimentos nas ferrovias. Na Seção 3.1 é descrito o problema de investimento preventivo no setor fer- roviário relacionando-o com as principais referências da literatura sobre segurança nas ferrovias. A Seção 3.2 apresenta a formalização matematica dos modelos de otimização para apoio à decisão. Na subseção 3.2.3, a partir da literatura é identicado um modelo matemático e é proposta sua adaptação para aplicação no problema das ferrovias. Nas subseções 3.2.1 a 3.2.2 são apresentados os modelos matemáticos propostos por este trabalho a partir do modelo da subseção 3.2.3 para serem aplicados aos problemas ferroviários. A subseção 3.2.4 traz algumas considerações sobre os métodos de solução dos modelos e as possíveis diculdades para aplicação. A Seção 3.3 apresenta um exemplo ilustrativo da proposta de aplicação dos modelos.

3.1 Problema

Conforme descrito no Capítulo 2, com a Lei 11.722/2008, a Valec tornou-se responsá- vel pela construção, uso e gozo de várias novas ferrovias, que correspondem a cerca de um terço da malha nacional. Assim, parcela signicativa do investimento xo em expansão ferroviária ca sob a responsabilidade do setor público, e está aberta a possibilidade de uma operação desatrelada da gestão da infraestrutura, diferente do que era previsto nos contratos de concessão anteriores. Dessa forma, ocorre a separação entre a gestão da via permanente e a prestação do serviço de transporte. Essa separação pode permitir uma melhoria no transporte, com a obtenção de preços mais próximo dos custos. Destaca-se do Relatório Executivo do PNLT (2007) a proposta para o setor ferroviário que sugere a Institucionalização do Programa Nacional de Segurança Ferroviária em Áreas Urbanas. Essa proposta é fundamentada no PNLT pelo crescimento desordenado das cidades limí- trofes às linhas ferroviárias e as invasões das faixas de domínio das ferrovias que ocasionam duas situações de risco: para a população e para a operação ferroviária. Dados do próprio relatório mostram que em 2005 existiam 927 passagens de nível críticas e cerca de 180

invasões da faixa de domínio, o que além dos riscos de acidentes, compromete a qualidade de vida das populações e o desempenho operacional das ferrovias, com reexos diretos nos custos operacionais ferroviários. Assim, para otimizar as operações, existem diversos esforços para realizar, incluindo uma modelagem de Job-shop Scheduling que provê um meio de realizar a programação dos trens de forma a aproveitar a capacidade da via. Por outro lado, para otimizar a gestão da malha, é preciso saber em quais trechos é necessário investir de forma a diminuir o risco total da malha. Considerando as diferentes análises existentes na literatura, a segurança das ferrovias é comprometida por diversos fatores: vulnerabilidade nos trilhos conforme estudado por Zarembski et al. (2006), por Zerbst et al. (2011); vulnerabilidades devido à fadiga no aço dos eixos dos trilhos de Zhu et al. (2013); ameaças naturais e por objetos deixados na malha de Bründl et al. (2012); ameaças devido aos declives de Macciotta et al. (2015); vulnerabilidades devido às falhas em equipamentos, sistemas ou de procedimentos de Funnermark et al. (2000); e ameaças devidas às mudanças climáticas de Oslakovic et al. (2013). Para os riscos devidos a ame- aças e vulnerabilidades que exigem uma manutenção é possível utilizar a análise de árvore de falhas cronometrada, Timed Fault Trees TFT, de Peng et al. (2014) para realiza- ção da manutenção corretiva e preventiva. E para entender as causas de uma ameaça, é possível usar a modelagem de Social Network Analysis para falhas sóciotécnicas proposta por Klockner et al. (2014). Cada um desses métodos pode fornecer dados importantes que serão considerados nas ameaças e vulnerabilidades do sistema para a resolução do seguinte problema:

Dado um orçamento limitado para investimento em prevenção e resposta a serem alocados em um sistema ferroviário e considerando dados de entrada de ameaça, vulnerabilidade e consequência iniciais para cada ponto do sistema, como alocar os recursos de forma a minimizar o risco total do sistema?

Este problema pode ser modelado como um problema de otimização utilizando os conceitos de análise de risco do PRA. Conforme descrito no Capítulo 2, as etapas para resolução deste problema são as cinco etapas do MBVA:

1) listar os ativos do sistema: cidades e trechos da malha ferroviária considerada; 2) executar a análise do sistema, identicando os pontos com mais ligações;

3) modelar o sistema como uma árvore de falhas, é possível incluir ameaças diferentes para cada trecho e cada cidade, considerando as diferentes possibilidades de prejuízos ao sistema no caso de ocorrência dessas falhas;

4) analisar a árvore de falhas usando uma árvore de eventos e calculando o risco de cada evento;

5) analisar o orçamento, computando utilização ótima dos recursos limitados de forma a minimizar o risco total do sistema.

um dado orçamento para proteger um setor contra danos. Dentre outras formas de realizar essa tarefa, a alocação ótima é a estratégia que minimiza o risco total do sistema e identica quais partes possuem maior vulnerabilidade. Em outras palavras, o interesse deste trabalho é responder o seguinte problema de pesquisa: dado que há um orçamento limitado para proteger o setor, qual é a melhor forma de se investir o recurso para minimizar o risco total do sistema? A alocação ótima minimiza a vulnerabilidade ou risco, sendo a vulnerabilidade denida como a vulnerabilidade geral da árvore de falhas (probabilidade de uma falha que leva o setor a falhar), e risco é o risco nanceiro global de perda devido à falha da árvore de falhas.

A combinação da análise da malha como uma rede com a decisão de alocação de investimentos para obter o melhor retorno sobre a segurança é uma abordagem que pode tratar de muitos setores de infraestruturas complexas. Uma vez que os pontos críticos são identicados e que o objetivo do investimento é encontrar a melhor forma de obter proteção máxima em termos de segurança, o MBVA é capaz de encontrar como alocar recursos para proteger os pontos críticos, considerando a malha como um todo.

Existem outras formas de se fazer uma redução de risco, por exemplo, pode-se reduzir o risco manualmente. Nesta forma manual, o tomador de decisão escolhe a maneira de alocar recursos, com base em fatores sociais, políticos, econômicos ou outros que possam ser de seu interesse. Outra possibilidade é a estratégia de classicação em ordem decrescente dos riscos, na qual os componentes com maior risco vão recebendo os recursos disponíveis, na ordem decrescente, até que o recurso se esgote. Uma terceira estratégia possível é a redução de risco proporcional, que tenta espalhar o dinheiro em todas as ameaças, reduzindo cada uma a uma quantidade que maximiza a soma dos quadrados da diferença entre os riscos antes e depois de alocação. Contudo, a estratégia ideal de redução de risco reduz matematicamente a vulnerabilidade ou risco, alocando recursos de forma ótima para minimizar o risco total do sistema (LEWIS, 2006). Cada uma das três primeiras estratégias tem as suas vantagens e desvantagens. A primeira garante a proteção absoluta aos riscos com mais interesses em serem mitigados, mas pode deixar algumas altas vulnerabilidades sem nanciamento. A segunda favorece a proteção dos piores eventos, mas deixa de lado os eventos de médio e baixo risco que podem com- prometer o sistema como um todo. A terceira estratégia é um meio termo, que protege tudo, até certo ponto, mas nada totalmente. Todas as estratégias têm o mesmo objetivo geral: nanciar melhorias nos componentes dos pontos críticos de tal modo que o risco seja reduzido. O pressuposto básico é que é possível comprar proteção, investindo nos componentes (DORO-ON, 2014).

Na próxima seção apresentam-se algumas formulações matemáticas para este problema e na subseção 3.2.4 descrevem-se estratégias para solução dos problemas, dentre elas a ferramenta de simulação MBRA. Além disso, como um problema secundário, pode-se investigar, através da solução do problema pontos mais vulneráveis do sistema. Assim,

o problema possui duas etapas: minimização do risco total e depois identicação de vulnerabilidade.

No documento Modelos de otimização para priorização de investimentos preventivos em malhas ferroviárias utilizando análise de risco baseada em vulnerabilidade (páginas 41-49)