desenvolvimento tecnológico, os dispositivos são fontes potenciais de falhas, o que com- promete a confiabilidade do sistema no qual estão inseridos, e isso requer uma análise criteriosa. A Figura 2.2, adaptada de [Marashi & Sarvestani 2014], apresenta algumas das principais causas de defeito em componentes das redes elétricas.
Figura 2.2: Vulnerabilidades de SGs.
2.2 Trabalhos Relacionados
Trabalhos relacionados à avaliação da dependabilidade em Smart Grids têm sido de- senvolvidos nos últimos anos, principalmente relacionados à segurança [Maier & Levesque 2014] e integridade da rede [Zeng et al. 2012, Gamage et al. 2013, Marashi & Sarvestani 2014]. Como as redes inteligentes tem a capacidade de estabelecer a comunicação digital bidirecional, e para isso utilizam tecnologias de informação, as mesmas estão suscetíveis a ataques cibernéticos. A maioria dos trabalhos tem se direcionado a avaliar questões de segurança, como por exemplo prevenir ataques e invasões de terceiros na rede, ocasiona- dos por possíveis vulnerabilidades dos sistemas de controle e comunicação [Erol-Kantarci & Mouftah 2015].
Por outro lado, poucos trabalhos podem ser encontrados na literatura sobre a avaliação da dependabilidade de uma SG considerando sua infraestrutura física e fontes diversas de geração de energia. [Song et al. 2014] desenvolveram um modelo de simulação onde é possível realizar tal avaliação, todavia, as condições e cenários de avaliação são disponi- bilizadas de uma maneira restritiva além de não suportar modo comum de falha. Adici- onalmente, não há no modelo uma sistematização dos fatores de priorização das cargas, tampouco as condições de defeito da rede.
10 CAPÍTULO 2. SMART GRID Uma análise sobre a melhor estratégia a ser utilizada em cenários de falha em linhas de transmissão de SG foi conduzida em [Albasrawi et al. 2014]. Os autores utilizaram um modelo genérico baseado em Cadeias de Markov para a avaliação de falhas em cascata. O trabalho traz importantes contribuições quando analisadas apenas as falhas nas linhas de transmissão.
Uma estratégia alternativa para a análise da dependabilidade de uma SG é modelar a rede como um grafo. Os vértices do grafos funcionariam como os componentes da infraestrutura física da SG enquanto que as arestas seriam as linhas de transmissão. A análise de dependabilidade em um grafo foi resolvida a partir da transformação de um grafo em uma Árvore de Falha [Silva et al. 2012]. Por outro lado, aquele trabalho utiliza uma condição de falha genérica baseada no problema 2-terminal enquanto que para o contexto das SG tem-se o problema k-terminal modificado. Este problema é definido considerando-se uma rede de N dispositivos e um conjunto de K dispositivos (K ⊂ N e |K| < |N|), onde K é um conjunto composto por um dispositivo centralizador e K- 1 dispositivos de campo. Definindo um dispositivo centralizador s ∈ K, o problema k- terminal é expresso como a probabilidade de que exista pelo menos um caminho de s para cada dispositivo de campo incluso em K. O problema 2-terminais é o caso onde K = 2. Assim, em uma SG tem-se diversas fontes geradoras (k) e uma ou mais cargas (centralizadores no caso do problema de grafos). Dessa forma tem-se então uma nova classe de avaliação, o problema k-terminal modificado.
2.3 Discussões
A partir da discussão acima se torna claro que os trabalhos já desenvolvidos na lite- ratura têm fornecido apenas uma solução parcial para o problema, uma vez que não são focados em toda a infraestrutura das SG, e somente em partes específicas da rede. Os mes- mos também têm feito uso de outras ferramentas para a análise de dependabilidade, como cadeias de Markov, por exemplo. Adicionalmente, esses trabalhos são muito restritivos no que diz respeito a definição das condições de falha, métricas de avaliação, sistematização de prioridades de cargas e topologias.
Devido à contínua expansão da utilização de fontes distribuídas e a inclusão de novas tecnologias nos sistemas de energia, e diante da necessidade de um sistema confiável, torna-se fundamental o estudo de métodos de avaliação de dependabilidade. A utilização desses métodos, em especial na fase de projeto, auxiliam no melhor dimensionamento das redes de energia e consequentemente no melhor aproveitamento da sua capacidade. A análise de dependabilidade também não se restringe somente à fase do projeto, podendo
2.3. DISCUSSÕES 11 ser utilizada durante a operação das redes. O principal benefício é a contribuição para uma melhor gestão de manutenção, garantindo a continuidade da operação da rede e redução de custos.
Capítulo 3
Dependabilidade
Dependabilidade é um conceito discutido amplamente na literatura [Avizienis & Laprie 1986], [Avizienis et al. 2004], [Petre et al. 2011], existindo diversas definições para o termo. Na definição original [Avizienis & Laprie 1986], dependabilidade é a capacidade de entregar serviços que podem ser justificadamente confiáveis. Em outra definição [Petre et al. 2011], o termo é usado para descrever que um sistema pode ser confiável sob de- terminadas condições operacionais por um período de tempo específico. Neste trabalho, a definição de dependabilidade assumida é a capacidade de um sistema evitar falhas nos serviços mais críticos [Avizienis et al. 2004]. A definição pode ser utilizada no contexto de redes inteligentes, onde falhas nos serviços críticos podem ocasionar interrupções no fornecimento de energia, e podem resultar em sérias consequências.
Dependabilidade é um conceito que compreende os seguintes atributos combinados: • disponibilidade: habilidade em fornecer o serviço correto quando solicitado. Ou
seja, a probabilidade do sistema estar operacional quando solicitado.
• confiabilidade: exprime a ideia de continuidade do serviço correto. O que pode ser entendido como a probabilidade de um defeito não ocorrer em um determinado período de tempo.
• segurança: ausência de consequências catastróficas aos usuários e ao meio ambi- ente.
• integridade: ausência de alterações impróprias, ou sem autorização, no sistema. • mantenabilidade: capacidade para passar por modificações e reparos.
Na prática, esses atributos devem ser quantificados para que se possa avaliar o quão confiável é um determinado sistema. A importância de cada um desses atributos é subje- tiva e depende do contexto da aplicação que está sendo avaliada [Silva 2013].
Uma vez que existe a probabilidade de ocorrência de falhas em uma rede elétrica e riscos associados a esses eventos, ter informações precisas torna-se fundamental para
14 CAPÍTULO 3. DEPENDABILIDADE o processo de tomada de decisões. Segundo [Weber et al. 2012] algumas característi- cas principais devem ser modeladas em um sistema para a avaliação da dependabilidade, como por exemplo, a complexidade e a dimensão da rede, integração de informação qua- litativa com conhecimento quantitativo, e as dependências entre os eventos. Segundo o mesmo autor, algumas técnicas podem ser utilizadas para tratar da dependabilidade, como por exemplo, Árvores de Falhas, Árvores de Falhas dinâmicas, Redes Bayesianas, Cadeias de Markov e Redes de Petri.
3.1 Ameaças a Dependabilidade
A definição de serviço correto representa a entrega do serviço, implementado de acordo com a função do sistema, sendo a parte do estado total que é perceptível na inter- face de serviço é o seu estado externo; a parte restante é seu estado interno. No entanto, existem eventos que fazem com que o sistema não consiga executar sua função correta- mente. Isto acontece quando um serviço falha devido ou a uma não conformidade com a especificação funcional, ou a especificação não descreve adequadamente a função do sistema. São estes as falhas (fault), erros (error) e defeitos (failure).
[Avizienis et al. 2004] definem um serviço como uma sequência de estados externos do sistema, em que um defeito no serviço significa que, pelo menos um (ou mais) estado externo do sistema se desvia do estado correto do serviço. O desvio é chamado de erro. A causa julgada ou hipótese de um erro é uma falha.
3.1.1 Falhas
Falhas podem ser internas ou externas a um sistema. [Avizienis et al. 2004] organiza- ram e classificaram as falhas para três principais grupos: falhas de projeto, falhas físicas e falhas de operação. As falhas de projeto incluem todas as falhas que ocorrem durante a fase de desenvolvimento dos sistemas, enquanto que as falhas físicas são aquelas que afe- tam o hardware dos equipamentos. Por fim, as falhas de operação são todas aquelas que ocorrem durante a utilização dos sistemas. Para melhor compreensão dessa classificação, são descritos alguns exemplos. Falhas naturais são tipicamente falhas físicas causadas por fenômenos naturais com ou sem a participação de agentes externos (humanos). Outro exemplo de falha é aquela provocada pela ação do homem, a qual pode incluir a falha por omissão (ausência de ações quando na verdade ações deveriam ter sido tomadas) ou falha por comissionamento (quando ações erradas conduzem a falhas). Outros exemplos são descritos abaixo:
3.1. AMEAÇAS A DEPENDABILIDADE 15 • Falhas maliciosas: introduzidas com o objetivo de alterar o funcionamento do sis-
tema.
• Falhas não maliciosas: introduzidas sem o objetivo malicioso. • Falhas deliberadas: ocorrem devido a más decisões.
• Falhas não deliberadas: ocorrem devido a erros.
• Falhas de configuração: a configuração errada dos parâmetros conduzem para fa- lhas.
3.1.2 Erros
A definição de erro é a parte do estado total do sistema que podem conduzir a um defeito subsequente. Erros podem causar defeitos, enquanto que as causas dos erros são as falhas. No entanto, é importante ressaltar que nem sempre um erro pode ocasionar uma situação de defeito no sistema. A relação completa entre falhas, erros e defeitos é descrita na Figura 3.1.
Figura 3.1: Relação entre falhas, erros e defeitos.
3.1.3 Defeitos
Defeito pode ser definido como a manifestação de eventos que ocorre quando o sis- tema desvia do serviço correto. Ou seja, defeitos ocorrem quando erros são propagados dentro do sistema.
Um ponto de grande importância é a identificação das possíveis causas dos defeitos. Isso pode ser realizado mais facilmente baseado na caracterização/classificação dos di- versos tipos de defeitos. [Avizienis et al. 2004] caracteriza os defeitos em quatro pontos de vistas: domínio, detectabilidade, consistência e consequências.
No primeiro ponto de vista, o domínio dos defeitos são classificados em três classes principais:
• Defeitos de conteúdo: a natureza da informação (numérica ou não numérica) trans- mitida desvia da especificação correta.
• Defeitos temporais: a duração do serviço desvia da implementação correta (muito rápido ou muito lento).
16 CAPÍTULO 3. DEPENDABILIDADE • Defeitos de conteúdo e temporais: nenhum serviço é entregue ou caso o serviço
seja entregue ele desvia da sua implementação correta.
O próximo ponto de vista importante descrito por [Avizienis et al. 2004] é a detec- tabilidade dos defeitos. Esse ponto representa a sinalização do defeito para os usuários. Nesse contexto, dois principais problemas precisam ser observados. O primeiro refere-se aos falsos alarmes, o qual se caracteriza pela sinalização dos defeitos quando na prática eles não ocorreram. O segundo é ainda mais crítico e refere-se a não sinalização dos de- feitos quando eles realmente ocorrem. Ambos os problemas conduzem o sistema para um estado de degradação, onde apenas algumas funcionalidades são operacionais.
A consistência dos defeitos é um ponto de vista, cujo conceito está relacionado com a capacidade de observação dos defeitos pelos usuários. Quando um serviço incorreto é percebido por todos os usuários do sistema, o defeito é chamado consistente. Por outro lado, quando apenas alguns usuários percebem que um defeito ocorreu, este é chamado de inconsistente.
Finalmente, o último ponto de vista proposto por [Avizienis et al. 2004] é a consequên- cia dos defeitos. Esse ponto caracteriza a severidade ocasionada por um defeito. Quando as consequências são comparadas com os benefícios fornecidos pelo funcionamento cor- reto do sistema, os defeitos são chamados de benignos, caso contrário eles são chamados de catastróficos.