Verificação formal de sistemas instrumentados de segurança na indústria de petróleo e gás natural

(1)

AUTOMAC¸ ˜AO E SISTEMAS

Luiz Paulo Enadio dos Reis

VERIFICAÇ ÃO FORMAL DE SISTEMAS INSTRUMENTADOS DE SEGURANÇ A NA IND ÚSTRIA DE PETR ÓLEO E G ÁS NATURAL

Florian´opolis 2018

(2)

(3)

VERIFICAÇ ÃO FORMAL DE SISTEMAS INSTRUMENTADOS DE SEGURANÇ A NA IND ÚSTRIA DE PETR ÓLEO E G ÁS NATURAL

Dissertação submetida ao Programa de Pós-Graduação em Engenharia de Automação e Sistemas para a obtenção do Grau de Mestre em Engenharia de Automação e Sistemas.

Orientador: Prof. Dr. Max Hering de Quei-roz

Coorientador: Prof. Dr. Jean-Marie Fari-nes

Florian´opolis 2018

(4)

Ficha de identificação da obra elaborada pelo autor,

através do Programa de Geração Automática da Biblioteca Universitária da UFSC.

Reis, Luiz Paulo Enadio

Verificação formal de Sistemas Instrumentados de Segurança na indústria de petróleo e gás natural / Luiz Paulo Enadio Reis ; orientador, Max Hering de Queiroz, coorientador, Jean-Marie Farines, 2018. 140 p.

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós Graduação em Engenharia de Automação e Sistemas, Florianópolis, 2018.

Inclui referências.

1. Engenharia de Automação e Sistemas. 2. Sistemas Instrumentados de Segurança. 3. verificação formal. 4. model checking. 5. Controlador Lógico Programável. I. Queiroz, Max Hering de. II. Farines, Jean-Marie. III. Universidade Federal de Santa Catarina. Programa de Pós-Graduação em Engenharia de Automação e Sistemas. IV. Título.

(5)

(6)

(7)

em outro plano olha por mim, aos meu amigos em especial ao Tiago e ao Fl´avio que foram minha fam´ılia em Florian´opolis. E dedico es-pecialmente a Ana Carolina.

(8)

(9)

Inicio meus agradecimentos por Deus, já que ele colocou pessoas tão especiais a meu lado, sem as quais certamente não teria dado conta.

A minha m˜ae Ana Paula, que sempre acreditou em minha capacidade. Isso s´o me fortaleceu e me fez tentar fazer o melhor de mim. Obrigado pelo amor incondicional.

Ao meu pai Luiz Henrique, que mesmo n˜ao estando mais conosco sempre demonstrou um orgulho inexplic´avel por mim, sempre me incentivou a estudar e que hoje deve estar explodindo de alegria com mais esta conquista.

A minha querida noiva, Ana Carolina, por ser tão importante na minha vida. Sempre a meu lado, me pondo para cima e me fazendo acreditar que posso mais que imagino. Devido a seu companheirismo, amizade, paciência, compreensão, apoio, alegria e amor, este trabalho pôde ser concretizado. Obrigado por ter feito do meu sonho o nosso sonho.

Ao meu irm˜ao, Lucca, meu agradecimento especial, pois, a seu modo, sempre se orgulhou de mim e confiou em meu trabalho. Obrigado pela confianc¸a.

Aos meus avós Ana Regina, Paulo Enadio , Maria José e Joaquim Ovi-deo que por toda minha vida sempre foram como verdadeiros pais para mim. Sempre estiveram ao me lado me amando e me apoiando incondicionalmente. Essa conquista também é de vocês.

A meus tios, tias, primos e primas, os quais amo gigantescamente e vibraram comigo desde a ingressei na escola até a conclusão do mestrado. Vocês sempre fizeram “propaganda” positiva a meu respeito e foram a melhor fam´ılia que alguém pode ter. Obrigado pela força.

Aos Professores Max e Jean-Marie, que acreditaram em meu poten-cial de uma forma a que eu espero ter sido capaz de corresponder. Sempre dispon´ıveis e dispostos a ajudar, querendo que eu aproveitasse cada segundo dentro do mestrado para absorver algum tipo de conhecimento. Fizeram-me enxergar que existe mais que pesquisadores e resultados por trás de uma dissertação. Vocês foram e são referências profissionais e pessoais para meu crescimento. Obrigado por estarem a meu lado e acreditarem tanto em mim.

A meus amigos do mestrado, pelos momentos divididos juntos, espe-cialmente à Tiago e Flávio, que se tornaram minha fam´ılia em Florianópolis. Obrigado por dividir comigo as angústias e alegrias e ouvirem minhas boba-gens. Foi bom poder contar com vocês.

Agradeço, também, à CAPES e a PETROBRAS pelo apoio financeiro. A Universidade Federal de Santa Catarina e ao Departamento de Automação de Sistemas por abrirem as portas para que eu pudesse realizar este sonho que era a minha dissertação de mestrado. Proporcionaram-me mais que a busca

(10)

de conhecimento técnico e cient´ıfico, mas uma lição de vida. Ninguém vence sozinho. OBRIGADO A TODOS!

(11)

sobre aquilo que todo mundo vˆe.

(12)

(13)

Esta dissertação apresenta um método automatizável para verificação formal de programas de CLP integrada à metodologia de desenvolvimento de Siste-mas Instrumentados de Segurança (SIS) na indústria de petróleo e gás. As especificações de segurança relacionando os diversos sensores e atuadores de SIS são padronizadas em Matrizes de Causa e Efeito (MCE), que são sistematicamente traduzidas em fórmulas LTL. São apresentadas regras para tradução do programa de CLP em diagrama Ladder para um modelo formal em linguagem intermediária FIACRE que serve de entrada para realização de model checkingatravés da cadeia de verificação TINA/SELT. A fim de lidar com a complexidade dos modelos formais para SIS reais, apresenta-se um método baseado em cone de influência para decomposição do processo de model checkinge simplificação dos modelos em FIACRE. Os contraexemplos resultantes são convertidos em diagramas de sinal ou em comandos para o simulador do CLP, que facilitam a interpretação das falhas identificadas. O método foi aplicado para verificação de um caso ilustrativo e para partes do código do SIS de uma plataforma de petróleo offshore real. Os resultados mostram que o método é eficaz em detectar, quando existem, incongruências entre as especificações de segurança e a programação do CLP. Porém em sistemas com um número elevado de entradas e sa´ıdas uma única etapa de redução não é suficiente para diminuir a complexidade do sistema, ao ponto do mesmo ser processável por computadores comuns. Nestes casos uma segunda etapa de redução, baseada nas regras LTL, foi criada com intuito de verificar esses casos. Entretanto algumas propriedades não são poss´ıveis de serem reduzidas, sendo assim alguns casos a propriedade não pode ser verificada por este método.

Palavras-chave: Controlador Lógico Programável; Sistemas Instrumentados de Segurança; model checking; verificação formal; Matriz de Causa e Efeito; diagrama Ladder.

(14)

(15)

This work presents an automated method of formal verification PLC programs integrated to Safety Instrumented Systems (SIS) development methodology applied to oil and gas industry. The safety specifications relating inputs and outputs are standardized by Cause and Effect Matrices (CEM), which are translated into LTL formulas. This work presents rules for translating PLC programs in Ladder diagrams to a formal model intermediate language called FIACRE that make the model checking through the TINA/SELT verification chain. To handle the complexity of real SIS formal models, it is presented a method based on cone of influence to breakdown the model checking process and simplify FIACRE models. The resulting counterexamples are converted in signal diagrams or in commands for the PLC simulator to make analysis easier. The method was applied to verify an illustrative PLC code of a real offshore oil platform. The results show that the method is effective in detecting incon-sistencies between the safety specifications and PLC programming. However in systems with a high number of inputs and outputs a single reduction step is not enough to reduce the complexity of the system. Therefore, a second reduction step, based on LTL rules, was created with the purpose of verifying these cases.

Keywords: Programmable logic controller; Safety Instrumented Systems; mo-del checking; formal verification; Cause and Effect Matrix; Ladder Diagram.

(16)

(17)

Figura 1 Exemplo de camadas de proteção adaptado de (SUMMERS, 2003) 30 Figura 2 Separação entre um SIS e o sistema de controle do processo

adaptado de (LUNDTEIGEN; RAUSAND, 2008) . . . 32

Figura 3 Exemplo de um fluxograma de forno industrial (PRATI, 2014) 34 Figura 4 Metodologia de desenvolvimento de um SIS . . . 36

Figura 5 Sequência de estados para fórmulas ltl básicas adaptado de (CLARKE; GRUMBERG; PELED, 1999) . . . 41

Figura 6 Método de verificação formal proposta . . . 43

Figura 7 Etapa de Transformac¸˜ao . . . 44

Figura 8 Bloco de Verificac¸˜ao Formal . . . 45

Figura 9 Estrutura b´asica de um CLP (WEBB; REIS, 1998) . . . 52

Figura 10 Ciclo de execucc¸˜ao de um CLP . . . 52

Figura 11 Contatos e Bobinas do diagrama Ladder (IEC 61131, 2003) . . . . 54

Figura 12 Programa em Diagrama Ladder, contendo contatos, bobinas e blocos funcionais . . . 55

Figura 13 Bloco de votac¸˜ao 2oo3 . . . 56

Figura 14 Arquitetura do programa de CLP em FIACRE proposta por (SOUZA; FARINES; QUEIROZ, 2010) . . . 60

Figura 15 Arquitetura do programa de CLP em FIACRE . . . 61

Figura 16 Component PLC em FIACRE do programa em Ladder, ilustrado na figura 12 . . . 62

Figura 17 Representac¸˜ao do process scan cycle do programa Ladder da figura12 . . . 64

Figura 18 Elementos b´asicos em um rung (SOUZA, 2010) . . . 65

Figura 19 Rung que cont´em a sa´ıda Q 03 representado em FIACRE . . . . 66

Figura 20 Bloco Funcional temporizado em um rung em Ladder . . . 66

Figura 21 Rung que contém a sa´ıda Q 01 com bloco de função tempori-zado em FIACRE . . . 67

Figura 22 Bloco Funcional sem temporizac¸˜ao em um rung em Ladder . . 68

Figura 23 Rung que contém a sa´ıda Q 04 com bloco de função sem temporização em FIACRE . . . 68

Figura 24 Comportamento do processo bloco temporizador TON (SOUZA; FARINES; QUEIROZ, 2010) . . . 69

(18)

Figura 25 Comportamento do processo bloco temporizador TOF (SOUZA;

FARINES; QUEIROZ, 2010) . . . 71

Figura 26 Sa´ıda Q 04 que apresenta um bloco funcional sem temporizac¸˜ao 72 Figura 27 Estrutura de uma probe Causa e Efeito . . . 76

Figura 28 Contador temporal para entradas temporizadas . . . 80

Figura 29 Cone de Influˆencia . . . 85

Figura 30 Cone de Influˆencia para a sa´ıda Q 02 . . . 90

Figura 31 Segunda etapa de reduc¸˜ao na propriedade safe failure free para a sa´ıda Q 02 . . . 91

Figura 32 Segunda etapa de reduc¸˜ao na propriedade dangerous failure freepara a sa´ıda Q 02 . . . 92

Figura 33 Cadeia de verificação genérica (SOUZA, 2010) . . . 92

Figura 34 Processo de traduc¸˜ao do contraexemplo . . . 94

Figura 35 Contraexemplo na forma de diagrama de sinais para a causa Q 02 . . . 95

Figura 36 Contraexemplo na forma de diagrama de sinais para a causa Q 04 . . . 96

Figura 37 Contraexemplo na ferramenta de simulac¸˜ao e teste . . . 97

Figura 38 Erros inseridos no Diagrama Ladder da figura 12 . . . 99

(19)

Tabela 1 Exemplo de probe Causa e Efeito . . . 78 Tabela 2 Resultados do exemplo didático sem a etapa de redução por COI . . . 100 Tabela 3 Resultados do exemplo didático reduzidos por COI . . . 101 Tabela 4 Resultados das sa´ıdas Q 01, Q 03 e Q 04 reduzidos por COI e por redução baseada nas propriedades em LTL . . . 101 Tabela 5 dangerous failure freepara a sa´ıda Q 02 reduzida por COI e por redução baseada nas propriedades em LTL . . . 102 Tabela 6 safe failure free para a sa´ıda Q 02 reduzida por COI e por redução baseada nas propriedades em LTL . . . 102 Tabela 7 Resultados das 6 MCEs . . . 103 Tabela 8 Resultados da Matriz 7 reduzida por COI e por redução baseada nas propriedades em LTL . . . 105

(20)

(21)

BPCS Basic Process Control System CLP Controlador L´ogico Program´avel COI Cone of Influence

CPU Central Processing Unit CTL Computation Tree Logic FBD Function Block Diagram IL Instructions List

IP&G Indústria de Petróleo e Gás

LD Ladder Diagram

LTL Linear Temporal Logics MCE Matriz de Causa e Efeito MDE Model Driven Engineering MSS Mecatronic Standard System SFC Sequential Function Chart SIF safety instrumented function SIL safety integrated level

SIS Sistemas Instrumentados de Seguranc¸a ST Structured Text

TAF Factory Acceptance Test

TCTL Temporal Computation Tree Logic TON Timer on-delay

TOF Timer off-delay TPN Temporal Petri Net TTS Time Transition Systems

(22)

(23)

1 INTRODUC¸ ˜AO . . . 23 1.1 OBJETIVOS . . . 26 1.2 ESTRUTURA DO TRABALHO . . . 27

2 METODOLOGIA DE DESENVOLVIMENTO DE

SISTE-MAS INSTRUMENTADOS DE SEGURANÇ A NA IND ÚSTRIA DE PETR ÓLEO E G ÁS . . . 29 2.1 SISTEMA INSTRUMENTADO DE SEGURANÇ A . . . 29 2.2 METODOLOGIA DE DESENVOLVIMENTO ATUAL . . . 33 2.3 M ÉTODOS DE VALIDAÇ ÃO DE CLP . . . 37 2.3.1 Model Checking e Lógicas Temporais . . . 38 2.4 M ÉTODO PROPOSTO . . . 41 2.5 TRABALHOS RELACIONADOS . . . 45 3 TRANSFORMAÇ ÕES DE MODELO . . . 51 3.1 CONTROLADOR L ÓGICO PROGRAM ÁVEL (CLP) . . . 51 3.2 DIAGRAMA LADDER . . . 53 3.2.1 Elementos básicos do Ladder . . . 54 3.2.2 Blocos funcionais . . . 54 3.2.3 Exemplo didático . . . 55 3.3 FIACRE . . . 56 3.4 TRANSFORMAÇ ÃO DIAGRAMA LADDER PARA FIACRE 60 3.4.1 Modelo do ciclo de execução . . . 62 3.4.2 Representaçaõ dos rungs em FIACRE . . . 64 3.4.3 Blocos de função . . . 68 4 TRANSFORMAÇ ÃO DE PROPRIEDADES PARA LTL . . 75 4.1 MATRIZ DE CAUSA EFEITO . . . 75 4.2 TRANSFORMAÇ ÃO DAS PROPRIEDADES EXPRESSAS

NA MCE EM REGRAS LTL . . . 77 5 CADEIA DE VERIFICAÇ ÃO FORMAL . . . 83 5.1 M ÉTODO DE DECOMPOSIÇ ÃO DO MODELO . . . 83 5.1.1 Cone de Influência - COI . . . 83 5.1.2 Redução baseada nas propriedades em LTL . . . 86 5.2 AMBIENTE DE VERIFICAÇ ÃO . . . 91 5.3 APRESENTAÇ ÃO DO CONTRAEXEMPLO . . . 94 6 RESULTADOS . . . 99 6.1 RESULTADOS DA VERIFICAÇ ÃO FORMAL NO

EXEM-PLO

(24)

6.2 RESULTADO DA VERIFICAÇ ÃO FORMAL EM APLICAÇ ÕES REAIS . . . 102 7 CONCLUS ÃO . . . 107 REFER ÊNCIAS . . . 111 AP ÊNDICE A -- C ÓDIGO EM FIACRE DO EXEMPLO DID ÁTICO . . . 117 AP ÊNDICE B -- PROPRIEDADES EM LTL EXTRAÍDAS NA MATRIZ CAUSA E EFEITO DA TABELA 1 . . . 121 AP ÊNDICE C -- C ÓDIGO FIACRE DA SAÍDA Q 01 RE-DUZIDO . . . 125 AP ÊNDICE D -- C ÓDIGO EM FIACRE dA MATRIZ CAUSA E EFEITO N ÚMERO 1 . . . 129 AP ÊNDICE E -- C ÓDIGO EM FIACRE dA MATRIZ CAUSA E EFEITO N ÚMERO 6 . . . 135

(25)

1 INTRODUC¸ ˜AO

A descoberta do pré-sal, anunciada em 2007, é fruto de longos anos da evolução e da especificidade da atividade exploratória offshore no Brasil. Os reservatórios do pré-sal estão a 7.000 metros de profundidade em relação ao n´ıvel do mar e mais de 300 quilômetros da costa, o que revela um contexto repleto de desafios tecnológicos a serem superados. Conforme o Instituto Brasileiro do Petróleo, Gás e Biocombust´ıveis (IBP, 2016), os investimentos em áreas já descobertas no pré-sal podem chegar a US$ 120 bilhões. Todo este investimento em exploração e pesquisa visa à identificação das principais caracter´ısticas geológicas das bacias e reservatórios de petróleo, possibili-tando, assim, diferentes e progressivas escalas de produção e, principalmente, o crescente aperfeiçoamento de requisitos tecnológicos e de infraestrutura. Tendo em vista a complexidade e desafios para explorar esta nova reserva de petróleo, segurança e confiabilidade tornaram-se parâmetros essenciais nos projetos para extração de petróleo e gás natural. Preocupações acerca de fato-res como segurança de pessoal, proteção das instalações e do meio ambiente têm influenciado, de forma cada vez mais significativa, as especificações dos novos processos industriais. As vantagens econômicas de um sistema seguro e confiável incluem menores perdas de produção, maior qualidade dos produtos, redução de custos com seguros, redução dos gastos com manutenção e custos associados.

Haja vista a crescente preocupação com a segurança dos processos industriais, a norma IEC 61508 (IEC 61508, 1998) padroniza os Sistemas Ins-trumentados de Segurança (SIS) que configuram em uma camada de proteção independente do controle de processos industriais. São sistemas passivos, com-postos por sensores, atuadores e resolvedores lógicos, cuja responsabilidade é levar a planta a um estado seguro sempre que for detectada alguma situação de risco no processo (GRUHN; CHEDDIE, 2006). Falhas no funcionamento do SIS podem acarretar acidentes graves com desastres ambientais e morte de pessoas, além de preju´ızo financeiro e à imagem da empresa. Como por exemplo, um SIS responsável por assistir a pressão dentro de uma torre de fracionamento de petróleo. Neste caso, se a pressão atingir n´ıveis alarmantes e o SIS, por alguma falha, não entrar em ação, ocorre uma explosão da torre, causando enorme preju´ızo financeiro e a imagem da empresa e principalmente pondo em risco a vida de trabalhadores.

Antes da popularização dos microprocessadores, os sistemas de con-trole de processos eram constitu´ıdos por grandes painéis de relés elétricos, porém, a partir da década de 70 esses sistemas passaram a ser compostos por um hardware especializado que emula a lógica de relés. Este

(26)

hard-24

waredenominado Controlador Lógico Programável (CLP) trouxe maior facili-dade de programação e reprogramação, permitiu também a possibilifacili-dade de manutenção e reparo por intermédio de blocos de entrada e sa´ıda modulares, reduziu consideravelmente o tamanho dos sistemas de controle em comparação ao sistema tradicional, possibilita expansões sem grandes alterações no sis-tema e também por possuir estações de operação com interface mais amigável (BOLTON, 2015).

Os CLPs se relacionam com a planta através de elementos de interface conectados ao meio f´ısico, onde os sensores são os responsáveis por suprir o CLP com as informações do processo, os atuadores são responsáveis pelas ações do CLP sobre o processo e a tomada de decisão de controle é reali-zada por intermédio da execução c´ıclica do programa de controle que fica armazenado na memória do CLP. Estes programas podem ser escritos em 5 linguagens distintas, estipuladas pela norma IEC 61131-1. Cada lingua-gem tem suas vantagens e desvantagens, sendo umas mais textuais e outras mais gráficas (IEC, 2003). O método de verificação formal proposto nesta dissertação aprofunda-se na linguagem de programação de CLP que emula a antiga lógica de relés denominada Ladder; essa linguagem em espec´ıfico é detalhada por se tratar da linguagem principal, escolhida pela indústria de petróleo e gás natural para programar os CLPs que controlam os SIS em suas operações. Porém o método pode ser expandido e adaptado para as 4 outras linguagens de programação de CLP.

Na Indústria de Petróleo e Gás (IP&G), o desenvolvimento de pro-gramas de CLP segue uma metodologia rigorosa, baseada em normas para especificação, implementação e testes de SIS. Estas normas gerais podem ser vistas em (N-1883, 2002) e (N-2595, 2012). Segundo as normas, esta metodolo-gia é baseada na criação de um conjunto de documentos organizados em uma ordem espec´ıfica, onde cada documento provê informações importantes para o progresso do projeto. Dentre os documentos, pode-se destacar o Teste de Aceitação de Fábrica (TAF), documento este que apresenta de forma textual como os testes devem ser realizados para que o programa de intertravamento implementado no CLP seja aprovado e o documento Matriz de Causa e Efeito que está presente nas etapas de desenvolvimento do SIS e é responsável por representar as especificações de segurança deste tipo de sistema.

Para se validar um programa de CLP, existem algumas abordagens, destacando entre elas as técnicas de modelagem e simulação, testes de sistemas e verificação formal (GERGELY; COROIU; POPENTIU-VLADICESCU, 2011). Cada método de validação possui vantagens e desvantagens, sendo assim, a escolha do método a ser utilizado em cada sistema depende de uma série de fatores, como a complexidade do sistema, disponibilidade de ferramentas de teste, conhecimento dos engenheiros envolvidos na etapa de teste, entre outros.

(27)

Na IP&G, a técnica adotada é o método de teste de sistema. Método este que consiste em simular a execução do programa testando o acionamento de algumas entradas e observando o comportamento das sa´ıdas produzidas pelo sistema. A aceitação ou rejeição das sa´ıdas determina se o programa está aprovado ou tem que retornar para etapa de programação para correção de erros. Este tipo de teste não é exaustivo, ou seja, pode ser realizada apenas para uma quantidade limitada de cenários. Com o número crescente de variáveis de entrada e com a possibilidade do programa ser alterado durante a etapa de programação, o número de cenários a serem testados cresce rapidamente.

Métodos formais de verificação permitem a validação automática do programa de CLP, esse tipo de verificação é desenvolvida a partir da mode-lagem matemática do sistema e da formalização dos requisitos (FREY; LITZ, 2000). Os algoritmos de verificação por model-checking se baseiam em busca exaustiva no espaço de estados do modelo por inconformidades com os requi-sitos (CLARKE; GRUMBERG; PELED, 1999). Quando erros são encontrados, os algoritmos geram contraexemplos que podem auxiliar o engenheiro a corrigir o programa. Entretanto métodos formais são pouco utilizados em programas de-senvolvidos em linguagens de alto n´ıvel, também conhecida como linguagens a n´ıveis de usuários. Isso ocorre devido á complexidade de transformar progra-mas e especificações escritas em alto n´ıvel em linguagem formal. Tendo em vista este fator, diversos trabalhos propõem soluções para adicionar verificação formal no desenvolvimento de programas para diversas linguagens como ( OLI-VEIRA, 2006), (MOKADEM et al., 2005) e (ZOUBEK; ROUSSEL; KWIATKOWSKA, 2003).

Em (FARINES et al., 2011) e (BERTHOMIEU et al., 2008), o objetivo é desenvolver soluções para que desenvolvedores possam realizar a verificação formal, utilizando apenas as linguagens de usuário. Nesses trabalhos, o modelo escrito em linguagem de usuário passa por sucessivas transformações até ser representado por um modelo formal que sirva de entrada para ferramentas de verificação. Esta sequência de transformações, é denominada cadeia de verificação formal. No trabalho de (FARINES et al., 2011), a cadeia de verificação inicia com a linguagem intermediária FIACRE. A utilização dessa linguagem intermediária é vantajosa, pois o FIACRE é uma linguagem de alto n´ıvel e possui ferramentas automáticas que o transformam em uma série de linguagens formais.

Tendo em vista as limitações dos métodos de validação de CLP através de testes, da crescente complexidade dos programas de controle de sistemas de segurança e da importância do funcionamento sem erros dos SIS. É desen-volvido, neste trabalho, um método de verificação formal para validar os CLPs que controlam os SIS da IP&G a n´ıvel de linguagem de usuário. Logo, para realizar a verificação, o programa de segurança escrito em Ladder passa por

(28)

26

uma cadeia de verificação formal até ser representado em linguagem formal. A cadeia proposta nesta dissertação, assim como a cadeia proposta por (FARINES et al., 2011), inicia com a transformação da linguagem Ladder para a linguagem intermediária FIACRE.Os SIS que protegem os os sitemas automáticos na IP&G são sistemas de grande complexidade, ou seja, com um grande número de entradas e sa´ıdas. Sendo assim as regras de tradução (Ladder para FIACRE) foram desenvolvidas de maneira a minimizar o máximo poss´ıvel o numero de estados na linguagem FIACRE e por conseguinte minimizar o tamanho do modelo formal. Ainda com o intuito de simplificar o modelo formal, foi adicionada à cadeia de verificação uma etapa de redução do modelo formal pelo método de Cone de Influência, está técnica analisa todos os elementos quem influenciam na verificação da propriedade e abstrai todos os elementos que não realizam influência. A próxima etapa da cadeia é a transformação do modelo em linguagem intermediária em modelo formal pela ferramenta FRAC (BERTHOMIEU et al., 2008) e a verificação formal é feita através do software open sourceTINA/SELT (BERTHOMIEU; VERNADAT, 2006). As propriedades de segurança são escritas em lógica temporal do tipo LTL de forma automática a partir da Matriz de Causa e Efeito e o contraexemplo resultante da verificação é traduzido para ser apresentado de maneira gráfica.

1.1 OBJETIVOS

O presente trabalho de mestrado objetiva desenvolver um método de verificação formal para os programas de CLP que controlam os sistemas instrumentados de segurança na indústria de petróleo e gás. O método proposto deve se enquadrar na atual metodologia de desenvolvimento de programas de CLP da IP&G, de forma a ser um complemento à atual metodologia de simulação e testes.

Aplicar métodos formais em sistemas reais apresenta uma série de desafios, como a dificuldade de representar o programa e as propriedades em linguagens formais, a explosão de estados nos modelos formais devido a com-plexidade do sistema, o pouco hábito de engenheiros projetistas com métodos formais, entre outros. Sendo assim, para realizar a verificação formal em n´ıvel de usuário de ponta a ponta do processo de verificação o desenvolvimento do método de verificação formal proposto neste trabalho estabeleceu uma série de objetivos espec´ıficos a serem trabalhados:

• Criar regras de tradução do programa escrito em Diagrama Ladder, para linguagem intermediária FIACRE;

(29)

Matriz de Causa e Efeito, em lógica temporal do tipo LTL e desenvolver um script que realize esta tradução de forma automática;

• Desenvolver uma técnica de redução ao programa FIACRE, com intuito de resolver o problema de explosão combinacional no modelo formal; • Apresentar o contraexemplo gerado pelo SELT de forma compreens´ıvel

aos engenheiros projetistas dos SIS;

• Aplicar o m´etodo proposto a exemplos reais da IP&G.

1.2 ESTRUTURA DO TRABALHO

A dissertação está dividida em sete cap´ıtulos, que são descritos a seguir. No Cap´ıtulo 2, é realizado, inicialmente, uma breve revisão bibliográfica sobre sistemas instrumentados de segurança e métodos de validação de CLP, dando enfoque a model checking e lógicas temporais. Ainda no Cap´ıtulo 2, é apre-sentada a atual metodologia de desenvolvimento de sistemas instrumentados de segurança na indústria de petróleo e gás e o método verificação formal pro-posta nesta dissertação. Finalizando o cap´ıtulo, são apresentados os trabalhos relacionados.

No Cap´ıtulo 3, é apresentada a primeira etapa da cadeia de verificação formal que são as regras de transformação de Diagrama Ladder para a lingua-gem FIACRE. Também é realizada uma fundamentação teórica sobre CLPs, Diagrama Ladder e a linguagem intermediária FIACRE. Neste cap´ıtulo, é apresentado um exemplo didático que será utilizado para ilustrar todas as etapas da cadeia de verificação formal.

No Cap´ıtulo 4, é apresentada a segunda etapa da cadeia de verificação formal, inicialmente é detalhada o funcionamento da Matriz de Causa e efeito e, posteriormente, as regras de transformação das propriedades expressas na MCE em regras temporais do tipo LTL.

No Cap´ıtulo 5, é detalhada a cadeia de verificação FIACRE/TINA/-SELT, em seguida é realizado um estudo sobre métodos de redução e são apresentados os métodos de redução cone de influência e por simplificação da regra LTL , métodos esses utilizados nesta dissertação. Ainda neste ca-pitulo, são explicadas as regras para apresentação do contraexemplo para os engenheiros projetistas de SIS.

No Cap´ıtulo 6, são apresentados os resultados da aplicação do método no programa didático e nos programas de CLP que controlam os sistemas ins-trumentados de segurança de uma plataforma offshore real.. Para finalizar, no cap´ıtulo 7, é feita uma conclusão e são apresentadas sugestões para trabalhos futuros.

(30)

(31)

2 METODOLOGIA DE DESENVOLVIMENTO DE SISTEMAS INSTRUMENTADOS DE SEGURANÇ A NA IND ÚSTRIA DE PETR ÓLEO E G ÁS

Neste cap´ıtulo, inicialmente, são abordados os conceitos básicos sobre sistemas instrumentados de segurança e métodos de validação de CLP, dando um enfoque em métodos formais como o model checking. Posteriormente, são detalhados a atual metodologia de desenvolvimento de programas de CLP pelo IP&G e o método de verificação formal proposto nesta dissertação que tem como objetivo se adaptar à metodologia vigente. Finalizando o cap´ıtulo, são apresentados os trabalhos relacionados a esta dissertação.

2.1 SISTEMA INSTRUMENTADO DE SEGURANC¸ A

Sistema Instrumentado de Segurança (SIS - Safety Instrumented Sys-tem) é uma classe de sistema, padronizado pela norma IEC 615111 (IEC 61511, 2003), utilizado para garantir maior segurança operacional das unidades, equi-pamentos e funcionários de uma indústria. O SIS tem como objetivo evitar uma condição insegura de operação do processo. Para que isto ocorra, esse tipo de sistema pode provocar uma parada no processo, impedir a partida da unidade ou encaminhar o processo a um estado seguro caso não sejam atendidas as condições limites estabelecidas como seguras para a operação da planta industrial (GRUHN; CHEDDIE, 2006).

Para tornar a produção o mais segura poss´ıvel, na indústria são utili-zadas diversas camadas de proteção para salvaguardar o processo. A técnica denominada LOPA (Layers of Protection Analysis) avalia o risco de acidente da operação e a partir desta analise e define o número de camadas de proteção necessárias, dependendo da complexidade do processo e do potencial de de-sastres quando um cenário de exceção é atingido. Cada camada de proteção é projetada de maneira independente das outras camadas da planta, tendo como finalidade evitar a ocorrência ou reduzir as consequências de um evento espec´ıfico. Camadas de proteção podem ser desde equipamentos e procedi-mentos operacionais a ações planejadas em resposta a condições adversas do processo (SUMMERS, 2003). Na Figura 1, encontram-se ilustrados alguns exem-plos de camadas de proteção presentes em diversos processos industriais. As camadas são apresentadas por ordem de ativação esperada, dada a ocorrência de uma condição de perigo.

Em um processo industrial, a primeira camada de seguranc¸a ´e execu-tada pelo sistema de controle do processo (BPCS - Basic Process Control

(32)

30

Figura 1 – Exemplo de camadas de protec¸˜ao adaptado de (SUMMERS, 2003)

System), que objetiva manter as variáveis do processo dentro do limite es-tabelecido como ideal para as condições de produção. Caso o controle do processo não consiga manter estas condições, a próxima camada acionada é a de “intervenção do operador”, camada constitu´ıda de alarmes e indicadores que são utilizados como aux´ılio aos operadores para informá-los das condições do processo, para que estes possam intervir diretamente no processo, evitando uma condição perigosa.

Se nenhuma destas camadas for suficiente para controlar a variável pe-rigosa, entra em ação o sistema instrumentado de segurança, que atua de forma operacional, por exemplo, desligando um motor com problema e ligando outro que tenha a função de redundância, ou simplesmente provocando a parada segura da unidade. O SIS pode também impedir a partida de equipamentos, se as condições não forem satisfeitas. Até a camada do SIS, temos as camadas de prevenção, entretanto quando no processo há grandes riscos ambientais e/ou a vida humana, pode(m) haver mais camadas de mitigação de danos. Estas camadas são camadas de resposta a falha grave, como dispositivos de proteção adicional ou até mesmo planos para evacuação da planta e em casos extremos da comunidade no entorno da instalação industrial.

(33)

O Sistema Instrumentado de Segurança deve ter prioridade e ser inde-pendente do sistema de controle do processo, ou de qualquer outro sistema da unidade, ele deve agir como uma camada superior, agindo caso nenhuma outra alternativa para o controle das variáveis do processo tenha tido sucesso. Esta camada tem total prioridade sobre a ação de operadores ou a ação de qualquer sistema de controle de processo. O objetivo principal do SIS é levar o processo para um estado seguro. Não necessariamente o processo deve ser interrompido, ou todos os sistemas devam ser desligados. Embora um sistema de segurança seja semelhante a um sistema de controle do processo estrutural-mente, estes sistemas são consideravelmente diferentes. As diferenças residem nos rigorosos requisitos de projeto, manutenção e integridade f´ısica do SIS. Como este sistema atua somente em situações de exceção, o mesmo requer um n´ıvel de confiabilidade e diagnóstico superior ao normalmente solicitado para um BPCS (LUNDTEIGEN; RAUSAND, 2008).

Na figura 2, pode-se observar a separação entre o sistema de segurança e o sistema de controle. Nela é poss´ıvel observar um tanque controlado por um sistema de controle que contém um sensor responsável por monitorar a variável pressão, dois sensores para monitorar a temperatura e uma válvula responsável por alimentar o tanque. Neste sistema, a abertura da válvula é controlada a partir das informações obtidas pelos sensores. Na figura também se observa que o SIS atua em separado do sistema de controle. Nele temos dois sensores que monitoram a pressão e um sensor responsável por monitorar a temperatura. O SIS recebe informação dos sensores em tempo integral, porém só entra em ação quando uma situação de risco é detectada. No caso da figura 2, podemos observar que o sistema de proteção possui duas válvulas capazes de interromper o abastecimento do tanque; esta redundância ocorre por motivos de segurança, caso uma válvula falhe, existe outra capaz de realizar o mesmo efeito. Este tipo de redundância é muito comum em SIS.

Um SIS é composto pelo conjunto de uma ou mais funções instru-mentadas de segurança (safety instrumented function - SIF), implantadas em uma unidade de processo. Para cada evento gerador de risco é aplicada uma função de segurança, projetada para reduzir a possibilidade de acidentes a um n´ıvel considerado como aceitável, ou seja, para que venha a ser atingida uma probabilidade e estat´ıstica calculada de falha. Para isso, é necessário identificar os eventos geradores de acidentes e estimar adequadamente o “risco inerente” ao processo (CRUZ-CAMPA; CRUZ-G ÓMEZ, 2010).

O n´ıvel de integridade de segurança (safety integrated level - SIL), definido na norma IEC 61508 (IEC 61508, 1998) é a medida de segurança esperada de um SIF quando for solicitado. Ou seja, o n´ıvel de confiabilidade necessário a ser implementado de forma a reduzir o risco do processo a n´ıveis aceitáveis. Consequentemente, quanto maior o SIL mais seguros os

(34)

32

Figura 2 – Separac¸˜ao entre um SIS e o sistema de controle do processo adaptado de (LUNDTEIGEN; RAUSAND, 2008)

equipamentos utilizados no SIF, em consequˆencia muito mais caros.

Existe duas maneiras de cada SIF falhar, uma delas é quando for necessário levar o processo a um estado seguro e isto não acontecer (Dangerous Failure). Como por exemplo, na figura 2, ocorreria uma Dangerous Failure caso a pressão no tanque alcançasse valores cr´ıticos e as válvulas responsáveis por interromper a alimentação do tanque não entrassem em ação, podendo, assim, causar uma explosão no tanque.

A outra falha poss´ıvel ocorre quando o sistema de intertravamento atua sem necessidade (Safe Failure). Podemos exemplificar novamente com o exemplo da figura 2, neste exemplo seria detectado um Safe Failure caso o sistema esteja em condições normais de funcionamento, mas mesmo assim o SIS acionasse as válvulas responsáveis por interromper a alimentação do tanque, parando o sistema sem motivo real para isto. O SIL é tabulado considerando apenas a Dangerous Faliure.

Para melhorar sua confiabilidade e disponibilidade, é comum a impleme-ntação de um certo n´ıvel de redundância de hardware e/ou software em projeto de SIS. Isso possibilita a determinação de uma solução que atenda os requisitos operacionais do processo.

A notação MooN (M-out-of-N) é utilizada na literatura para denotar as diferentes arquiteturas de redundância existentes. Tais esquemas são popu-larmente chamados de votação. As votações podem ser aplicadas tanto nos

(35)

elementos de entrada do sistema (sensores) quanto nos elementos finais (atua-dores). A votação entre os sensores de entrada são arquiteturas comumente encontradas em SIS.

Na votação denominada 1oo1, a medição da variável a ser observada é realizada apenas por um equipamento sensor. Já na votação 1oo2, são utilizados dois sensores para a medição da mesma variável do processo e o atuador entre em ação caso uma condição perigosa seja detectada por qualquer um dos dois sensores. A votação 2oo3 é utilizada quando se deseja comparar a medição realizada por três sensores, pois o atuador é acionado quando ao menos dois dos três sensores detectam uma condição perigosa. A votação 2oo3 proporciona maior proteção contra desligamentos desnecessários, decorrentes de falsas indicações de falha por parte dos sensores.

2.2 METODOLOGIA DE DESENVOLVIMENTO ATUAL

A metodologia de desenvolvimento de projetos de automação, atu-almente utilizada em empresas de petróleo e gás, é realizada por múltiplas equipes que são responsáveis pela criação de um conjunto de documentos or-ganizados em uma ordem espec´ıfica, onde cada documento provê informações importantes para o progresso do projeto.

Para o melhor entendimento desta metodologia, inicialmente, serão apresentados os documentos adotados em um projeto de automação na Pe-trobras , assim como as informações contidas em cada um, ressaltando os documentos diretamente relacionados com o desenvolvimento do programa do CLP. De acordo com normas internas da Petrobras (N-1883, 2002) e (N-2595, 2012), os documentos considerados essenciais para criação de um projeto de automação são:

• Fluxograma de processo: Contém uma representação simplificada das malhas de controle, informando a localização e a variável das válvulas de controle, segurança e al´ıvio. A figura 3 exemplifica um fluxograma de um forno industrial (N-1883, 2002);

• Folhas de dados de processo: Contém as informações de correlação e dimensionamento dos instrumentos;

• Matriz de Causa e Efeito: Este documento, detalhado na seção 4.1, mostra o inter-relacionamento entre as entradas e sa´ıdas do sistema, representando as propriedades de segurança com intuito de diagramar os eventos anormais poss´ıveis de ocorrer durante o funcionamento diário da planta. Representa, também, as ações que devem ser tomadas pelo sistema de segurança, como também manobras operacionais espec´ıficas;

(36)

34

Figura 3 – Exemplo de um fluxograma de forno industrial (PRATI, 2014)

• Lista de instrumentos preliminar: Fluxograma que contém todos os instrumentos presentes na planta com informações sobre sua situação f´ısica (campo, painel, função em sistema digital, etc.);

• Fluxograma de engenharia preliminar: Malhas de controle, explici-tando as funções dos instrumentos, sua identificação preliminar e a sua localização na planta. Pode conter, também, notas com recomendações e exigências quanto à instalação e locação de instrumentos na planta; • Memorial descritivo: Documento com informações básicas que

permi-tam a completa especificac¸˜ao de equipamentos e instrumentos assim como o sequenciamentos destes na planta;

• Diagrama lógico: Documento constru´ıdo conforme definido na ISA 5.1, utilizando álgebra booleana baseado nos memoriais descritivos para os sistemas de proteção, intertravamento e sinalização e alarme. Este documento representa toda a lógica de intertravamento do projeto e pode ser pensado como uma prévia do programa final do CLP;

• Arranjo preliminar do painel de controle: Identifica a distribuição dos instrumentos, alarmes, chaves, lâmpadas, espaços reservados e demais dispositivos instalados no painel de controle;

(37)

• Arquitetura de instrumentação; • Lista de variáveis (entradas e sa´ıdas); • Diagramas de controle avançado;

• Descritivos das malhas de controle avançado: Deve conter explicações sobre o objetivo e a forma de funcionamento das malhas de controle avançado, bem como explicitar as equações e parâmetros a serem ajus-tados nas funções envolvidas nestas malhas;

• Lista de vari´aveis calculadas.

Dentre os documentos listados, aqueles que estão intimamente relacio-nados à criação do programa de CLP são o fluxograma de processos, Matriz de Causa Efeito, memorial descritivo e diagrama lógico.

Tão importante quanto listar os documentos utilizados na elaboração de um projeto de automação pela IP&G é entender como eles se organizam hierar-quicamente. De foma simplificada, o processo de elaboração do programa de CLP se divide em algumas etapas, como se pode observar na figura 4, onde os documentos de uma etapa são entradas para se elaborar os documentos da etapa seguinte. O primeiro documento a ser desenvolvido é o fluxograma de proces-sos, contendo as especificações gerais da planta. Com base nas informações contidas neste documento, são criados a Matriz de Causa e Efeito (relação entre equipamentos destinados à segurança e sinais de sensores que devem ativar ou desativar tais equipamentos) e o memorial descritivo (especificações de equipamentos e sequenciamentos para a planta). A informação conjunta dos dois últimos documentos permite a criação do diagrama Lógico. Este documento contém as lógicas de intertravamento contidas no futuro programa de CLP. Sendo assim, a partir deste diagrama é realizada a programação do CLP na linguagem Ladder.

Dentre os documentos relacionados com a criação do programa de CLP, existe um documento denominado TAF - Teste de Aceitação de Fábrica. Criado com base nas informações contidas no memorial descritivo e na Matriz de Causa e Efeito, o TAF apresenta em forma textual como os testes devem ser realizados para que o programa de intertravamento seja aprovado.

Após a etapa de programação, a próxima etapa do processo é a etapa de teste. Nesta etapa, o CLP programado é submetido a um conjunto de situações descritas no teste de aceitação de fábrica e é observada a atuação do CLP sobre elas, caso seja detectado algum erro, o programa retorna para etapa de programação para ser corrigido. O tempo de execução dos testes é proporcional à quantidade de testes presente no TAF. O CLP aprovado segue para a planta para etapa de instalação.

(38)

36

Figura 4 – Metodologia de desenvolvimento de um SIS

Sistemas instrumentados de segurança são sistemas dormentes. Para este tipo de sistema a realização de testes deve ser muito rigorosa e conter uma quantidade minima de teste para que se possa garantir o bom funcionamento do programa. O TAF, apesar de conter uma grande quantidade de teste dis-criminado em seu documento, não garante a exaustividade de testes. Tendo em vista a não exaustividade deste tipo de teste, o presente trabalho propõe a criação de um método de verificação formal que se adeque à atual metodologia de desenvolvimento de CLP na IP&G, tendo em vista que métodos formais são exaustivos e mais seguros.

(39)

2.3 M ÉTODOS DE VALIDAÇ ÃO DE CLP

No processo de desenvolvimento de um programa de CLP, a etapa de teste é de fundamental importância, pois nesta etapa são detectados poss´ıveis erros de programação que somente seriam encontrados na partida da planta a ser controlada, causando, assim, problemas e atrasos na etapa de instalação. Ou no pior cenário, esse erros só se manifestariam em situações de exceção, colocando em risco a operação da planta. Na prática, existem vários métodos para realizar a validação do CLP: revisão por pares, modelagem e simulação, teste e verificação formal.

Pesquisas recentes mostram que cerca de 80% dos programas ainda são validados por revisão por pares. Esse método, feito manualmente, significa que a verificação do projeto (ou de parte dele) é realizada por uma equipe de especialistas que não estavam envolvidos na concepção do projeto (GERGELY; COROIU; POPENTIU-VLADICESCU, 2011). Apesar deste ser o método mais utilizado para validar programas de CLP, por ser totalmente manual e não exaustivo, é o método mais propenso a ocorrer falhas humanas.

Uma técnica de validação de CLP que vem se popularizando é a técnica de modelagem e simulação do sistema. Essa técnica baseia-se na contrução de um modelo que descreve os poss´ıveis comportamentos do sistema. Esse modelo, geralmente, é executado em um software (chamado simulador) com in-tuito de determinar o comportamento do sistema com base em vários cenários. Esse cenário pode ser fornecido pelo usuário, ou por um software (como um gerador de cenário aleatório). Geralmente, a simulação é usada para uma primeira avaliação rápida da qualidade de um projeto. É menos adequado para a detecção de erros sutis porque, em geral, é imposs´ıvel simular todo o cenário representativo (GERGELY; COROIU; POPENTIU-VLADICESCU, 2011).

Como visto na seção anterior, a validação de programas de CLP é realizada na IP&G por intermédio de testes. Essa técnica de validação consiste em alimentar o sistema com valores de entrada e observar as sa´ıdas produzidas pelo sistema, realizando, assim, uma análise dinâmica do programa produzido, objetivando a identificação e eliminação de poss´ıveis erros contidos no pro-grama. Por se tratar de uma abordagem muito natural para avaliar o correto funcionamento de um programa, essa técnica é muito utilizada na indústria como última etapa de desenvolvimento de um projeto de automação (PRATI, 2014).

A realização de testes em um programa de CLP, além de ser uma técnica demorada, possui algumas desvantagens como: nunca podem ser considerados exaustivos, necessitar de uma análise minuciosa nos resultados para que um erro não seja interpretado como comportamento correto de programa e o conjunto de testes realizados pode ser parcial e dependente daquele que escolhe

(40)

38

a rotina de testes. Em perdas de vidas humanas e desastres ambientais há grande preju´ızo financeiro e a imagem de uma empresa. Por conseguinte, para esses sistemas, a validação de programas através de teste não é o método mais adequado.

A validação de programas de CLP através de métodos de verificação formal são mais adequados a sistemas cr´ıticos, pois, além de se tratar de um método exaustivo, a norma IEC 61580 (IEC 61580, 1995) prevê a utilização de métodos formais, pois este confere à verificação de programas de CLP uma base matemática para sua execução. Ou seja, nestes métodos é criado um modelo representativo do programa como objetivo de garantir que certas propriedades sejam testadas exaustivamente com intuito de validar o programa. Dentre os métodos para realizar verificação formal, na subseção seguinte, será abordado o método de model checking (FREY; LITZ, 2000).

2.3.1 Model Checking e L´ogicas Temporais

Model Checking é uma técnica automática de verificação formal de sistemas de estados finitos. Esta técnica explora todos os poss´ıveis cenários de execução de um sistema, de um modo ordenado. Sendo assim, por in-termédio dessa técnica, é poss´ıvel demonstrar que um sistema satisfaz certas propriedades em todos os cenários, ela também tem o potencial de revelar erros que passam despercebidos em emulações, testes e simulações (CLARKE; GRUMBERG; PELED, 1999).

Para realizar a verificação em um programa pelo método model chec-king, é necessário seguir algumas etapas (CLARKE; GRUMBERG; PELED, 1999): • Modelagem: Nesta etapa, o programa a ser verificado deve ser modelado em linguagem formal. Existe uma gama de linguagens que podem re-presentar o programa como um modelo formal; a escolha da linguagem utilizada na verificação é baseada na linguagem utilizada pela ferra-menta verificadora escolhida. Ainda nesta etapa, deve-se formalizar a propriedade a ser verificada na linguagem de descrição de propriedades que a ferramenta verificadora pode interpretar;

• Verificação: Realizar a verificação, executando a ferramenta verificadora com intu´ıdo de averiguar a validade das propriedades sobre o modelo; • Análise: Quando a propriedade é satisfeita, o verificador retorna um

OK. Porém, se a propriedade falhar, deve-se analisar o contraexemplo para encontrar a origem do erro para, em seguida, fazer as modificações necessárias no projeto e executar novamente a verificação.

(41)

O modelo formal mais utilizado em model checking para representar o sistema a ser verificado é o sistema de transição denominado “Estrutura de Kripke”. Uma estrutura de Kripke é definida por um conjunto finito de estados e relações de transição entre estados. Dado um conjunto finito de propriedades associadas ao modelo, é poss´ıvel definir, para cada um dos estados, um subconjunto das propriedades que sejam verdadeiras naquele estado. Essas propriedades são denominadas proposições atômicas e definem cada um dos estados de maneira única, já que dois estados diferentes não podem obedecer a exatamente o mesmo conjunto de proposições atômicas (BROWNE; CLARKE; GR ÜMBERG, 1988).

O model checking possui duas vantagens claras em relação aos métodos tradicionais. Em primeiro, o processo é totalmente automatizado. Em segundo, quando uma determinada propriedade é detectada falsa, a ferramenta gera, automaticamente, um contraexemplo que indica o caminho que o verificador realizou para alcançar o estado onde a propriedade não é satisfeita; este contraexemplo auxilia o engenheiro projetista a encontrar o erro e realizar as modificações necessárias no programa.

Um dos principais problemas do model checking é a explosão de es-tados. Esse problema ocorre quando o espaço de estados do sistema possui um tamanho maior do que é poss´ıvel representar com a memória dispon´ıvel no sistema computacional responsável por realizar a verificação. Existem várias alternativas que podem ser utilizadas para contornar o problema, dentre elas os métodos de redução. Esses métodos aplicam uma sequência de regras determinadas com o objetivo abstrair do modelo formal todas os estados e transições irrelevantes a propriedade verificada (CLARKE et al., 2000).

Dentre as linguagens de descrição de propriedades existente, a represen-tação por intermédio de lógica temporal é um formalismo adequado para representar propriedades para sistemas de transições. A lógica temporal é uma extensão da lógica proposicional ou lógica de predicado, adicionando operadores que permitem se referir ao comportamento infinito desses sistemas. As lógicas temporais dispõem de uma notação axiomática e precisa para expressar propriedades sobre relações entre estados em uma execução.

A representação do tempo em lógica temporal pode ser tanto linear quanto ramificada. Na prática, isso significa que quando representado linear-mente, a cada momento no tempo existe somente um momento sucessor. Por outro lado, quando representado de maneira ramificada, cada momento possui uma ramificação onde o tempo pode se dividir em percursos alternativos. A lógica temporal CTL (Computation Tree Logic) (CLARKE; EMERSON; SISTLA, 1986) adota a abordagem ramificada, enquanto que a lógica LTL (Linear Tem-poral Logics) (PNUELI, 1977) adota a perspectiva linear. Nesse trabalho, as propriedades foram descritas em lógica LTL para realizar o model checking,

(42)

40

portanto essa linguagem ter´a destaque.

A lógica temporal linear (LTL) é um complemento da lógica tradi-cional com modalidades referindo-se ao tempo. O LTL assume o tempo como uma sequencia de execução de um sistema onde cada poss´ıvel cami-nho de computação é considerado separadamente, raciocinando sobre uma única sequencia de execução. Ao invés de ser interpretado sobre árvores de computação, as fórmulas LTL são interpretadas com respeito a caminhos indi-viduais de computação. Em outras palavras, a lógica temporal linear expressa propriedades sobre uma sequencia linear de execução do sistema (PNUELI, 1977).

Apesar do termo “temporal”, neste tipo de lógica o tempo não é repre-sentado de forma expl´ıcita, ele é reprerepre-sentado de forma impl´ıcita, permitindo somente a especificação da ordem relativa entre eventos. Na prática, as lógicas temporais não suportam de nenhum modo se referir ao tempo preciso de acontecimento dos eventos . As lógicas temporais permitem especificar a or-dem na qual determinadas proposições atômicas são verdadeiras durante uma execução, ou afirmar que certas proposições são verdadeiras com frequência infinita em uma (ou todas) execuções do sistema (MARQUES, ).

A estrutura de uma propriedade descrita com fórmula LTL é definida por: Combinação de preposições atômicas, constantes (verdadeiro ou falso), conectores booleanos e operadores temporais.

As proposições atômicas fazem afirmações sobre os estados, onde cada proposição é uma relação elementar e cada estado possui um valor verda-deiro bem definido. Os conectores booleanos são: conjunção (∧), disjunção (∨), negação (¬), implicação (→) e dupla implicação (↔). Os operadores temporais são os responsáveis por construir expressões representativas ao sequenciamento dos estados ao longo de uma execução. Os operadores tem-porais presentes no LTL e representados na figura 5 são (considerando p e q como proposições atômicas):

• NEXT ( ): _p(define que p é válido no próximo estado);

• FUTURE (♦): ♦p(define que p ´e eventualmente v´alido no futuro ou no

estado atual);

• GLOBALLY (): p(define que p ´e v´alido sempre);

(43)

Figura 5 – Sequência de estados para fórmulas ltl básicas adaptado de (CLARKE; GRUMBERG; PELED, 1999)

2.4 M ´ETODO PROPOSTO

Na seção 2.2, foi apresentada a atual metodologia de desenvolvimento e validação de programas de CLP adotada pela IP&G. Tendo em vista que o método corrente não é exaustivo, este trabalho apresenta um nova método para validação baseada em métodos formais. Nesta seção, o método será explicada a partir de uma visão geral e, nos cap´ıtulos seguintes, os passos envolvidos neste método serão detalhados.

O método proposto nesta dissertação tem, como propósito, integrar-se à metodologia de projetos vigentes nas indústrias petrol´ıferas, adicionando uma fase de verificação anterior à etapa de simulação e teste. A etapa de teste na planta por intermédio do documento TAF (teste de aceitação de fábrica) não é exaustiva, é muito demorada e depende puramente da expertise dos engenheiros projetistas. Desta maneira, a adição de uma etapa anterior de verificação baseada em métodos formais se faz importante, pois com ela, erros importantes são verificados exaustivamente de forma automática e rápida; logo, erros são descobertos precocemente.

A introdução de uma nova fase a uma metodologia já consolidada apresenta uma série de desafios, como a aceitação dos engenheiros projetistas e mudanças de hábitos antigos. Desta forma, para facilitar a integração, o método proposto utiliza como entrada da etapa de verificação documentos já existentes no projeto de um programa de CLP, não aumentando, assim, o

(44)

42

tempo de projeto. O método é automatizável e apresenta os resultados de formal facilmente entend´ıvel.

Como mostrado anteriormente, a metodologia atual, de desenvolvi-mento e velidação de programas de CLP, segue a ordem de desenvolvidesenvolvi-mento demonstrada na figura 4. o método de verificação formal proposto nesta dissertação é uma adição ao atual método e encontra-se ilustrada na região selecionada da figura 6. Ele adiciona uma cadeia de verificação formal à metodologia vigente e o método de verificação escolhido é o model checking.

Para realizar o model checking, é necessário que o código em linguagem Ladder seja traduzido para um modelo formal de semântica conhecida e as propriedades sejam descritas por fórmulas de lógica temporal. O código e as propriedades de segurança expressas na Matriz de Causa e Efeito passam por uma etapa de transformação, onde são transformados em Sistema de Transição Temporizada -TTS e lógica temporal do tipo LTL respectivamente.

Com o programa e as propriedades representadas por modelos formais, a próxima etapa da cadeia é a etapa de verificação formal, onde nos softwares TINA/SELT (BERTHOMIEU; VERNADAT, 2006) é realizado o model checking. Erros encontrados são apresentados através de um contraexemplo na forma de um diagrama temporal, que auxilia o programador na detecção do erro e que também serve de entrada para o simulador implementado na etapa de testes.

A tradução do código para um modelo formal é uma etapa complicada, pois é dif´ıcil associar a variação de uma entrada com uma mudança de esta-dos no modelo formal. Tendo em vista este problema, no método proposto o processo de model checking acontece por intermédio de uma “cadeia de verificação formal”, ou seja, uma sequência de transformações e ferramentas necessárias para realizar o processo de verificação formal em linguagem de usuário. A primeira etapa desta cadeia é a etapa de transformação ilustrada na figura 7; nela, os programas em linguagens de usuários sofrem sucessivas transformações para serem escritos em linguagens formais.

O primeiro passo da etapa de transformação é a tradução do código Lad-der em modelo formal. Foi definida a utilização da linguagem intermediária FIACRE (BERTHOMIEU et al., 2008). A utilização desta linguagem é vanta-josa, pois a mesma é de alto n´ıvel, capaz de representar tanto os aspectos comportamentais quanto os aspectos temporais de um sistema e possui ferra-mentas automáticas que o transformam em uma série de linguagens formais. A linguagem FIACRE foi desenvolvida no âmbito de projetos relacionados

à engenharia dirigida a modelos. Ela foi arquitetada, objetivando ser uma linguagem intermediária formal entre linguagens de modelagem de alto n´ıvel e ferramentas de verificação que trabalham com linguagens baseadas em formalismos matemáticos (autômatos, redes de Petri, sistemas de transição temporizados).

(45)

Figura 6 – Método de verificação formal proposta

Para evitar falhas no processo de transformação, o programa em Ladder é traduzido para FIACRE, seguindo uma série de regras (Ladder-Fiacre) expli-cadas ano cap´ıtulo 3. O arquivo traduzido que representa o comportamento do programa Ladder em linguagem intermediária é chamado de FIACRE comportamento.

O próximo passo na etapa de transformação é a transformação das propriedades de seguranças expressas na Matriz de Causa e Efeito em lógica temporal do tipo LTL. Para realizar a verificação ao n´ıvel de usuário, foi criado um script que traduz de forma automática para lógica temporal as propriedades escritas no editor de Matriz de Causa e Efeito. As regras de tradução MCE-FIACRE são apresentadas no cap´ıtulo 4.

(46)

44

Figura 7 – Etapa de Transformac¸˜ao

Sistemas Instrumentados de Segurança são sistemas grandes, contendo centenas de entradas e sa´ıdas. Portanto, para evitar explosão combinacional no modelo formal, foi adicionada à cadeia de verificação formal na etapa de transformação um método para reduzir o programa. O método de redução escolhido, apresentado detalhadamente no cap´ıtulo 5, é o método cone de influência (CLARKE; GRUMBERG; PELED, 1999). Sua principal ideia é identificar qual parte do modelo é relevante para o model checking. As partes desne-cessárias do modelo podem ser abstra´ıdas sem afetar o resultado. A abstração agrupa eventos e estados não observáveis, para a propriedade verificadas, e as retira do programa. Isso pode ajudar a lidar com o problema de explosão combinacional de estados no modelo formal.

Para realizar este método, foi decidido que as sa´ıdas do programa Ladder serão verificadas individualmente, ou seja, para cada sa´ıda da Matriz de Causa e Efeito será gerado um código FIACRE distinto, contendo as entradas, blocos de função, contadores temporais e propriedades relevantes para cada sa´ıda. As informações que não são relevantes para sa´ıda a ser verificada são abstra´ıdas sem afetar o resultado da verificação. Após a etapa de redução, temos um único arquivo denominado FIACRE reduzido, que contém tanto o modelo quanto as propriedades reduzidas.

O código reduzido é transformado de forma automática pelo compilador FRAC em Sistema de Transição Temporizada -TTS e na lógica LTL. Após estas transformações, o TTS é transformado pelo programa TINA em uma estrutura de Kripke (BIERE et al., 1999). Este grafo com as propriedades formuladas em LTL encaminham-se para o verificador SELT, que pertence ao ambiente TINA (BERTHOMIEU; VERNADAT, 2006). Caso as propriedades não sejam satisfeitas, o sistema retorna um contraexemplo. A figura 8 ilustra o bloco de verificação formal.

O contraexemplo tem como função ajudar o programador a encontrar o erro no programa Ladder, mostrando o caminho que o sistema levou até chegar

(47)

Figura 8 – Bloco de Verificac¸˜ao Formal

a um estado de erro. Porém, o contraexemplo fornecido pelo SELT é de dif´ıcil entendimento para programadores que não estão acostumados a trabalhar com métodos formais devido à complexidade de se associar às alterações de valores das variáveis do código Ladder com as transições de estado do modelo formal. Para manter a sa´ıda do processo de verificação em n´ıvel de usuário, é criada na cadeia de verificação formal uma etapa que transforma o contraexemplo fornecido pelo SELT em um contraexemplo compreens´ıvel para o usuário. Para isso foi programado um filtro que retira todas as informações desnecessárias do contraexemplo e, posteriormente, organiza em sequência as entradas para o simulador de CLP. O contraexemplo também é apresentado na forma de diagrama de sinais digitais que facilita o entendimento do erro pelo programador. A etapa de verificação formal é detalhada no cap´ıtulo 5.

Após a correção dos erros encontrados, a nova versão do código Lad-der é submetida novamente à verificação. Caso nenhum erro seja detectado (nenhum contraexemplo gerado), então as propriedades são todas satisfeitas e o programa segue para as etapas subsequentes do projeto.

2.5 TRABALHOS RELACIONADOS

Na literatura, há vários trabalhos com o objetivo de modelar e aplicar verificação formal em programas de CLP. Estes trabalhos diferem pela lin-guagem de CLP utilizada para programar os sistemas, pelas especificações aceitas e pelas ferramentas utilizadas para realizar a verificação formal e sua aplicação.

Em (MOKADEM et al., 2005) é aplicado model checking no programa de CLP escrito em Ladder que controla a estação 2 da plataforma MSS (Me-catronic Standard System)do Bosch Group. Esse método formal é utilizado com intuito de verificar requisitos de segurança e de tempo da plataforma.

(48)

46

Com intuito de representar as propriedades temporais do sistema, o programa Ladder é modelado como autômatos temporizados e as fórmulas gerais são escritas em TCTL, lógica esta que é uma extensão da lógica CTL utilizada em sistemas de tempo real, pois estende os operadores temporais, permitindo um tratamento temporal quantitativo. Com o sistema modelado e as regras defi-nidas, realiza-se o model checking com a ferramenta UPPAAL desenvolvida para sistemas de tempo real (LARSEN; PETTERSSON; YI, 1997). Para reduzir o número de estados e o tempo de verificação, os autômatos temporizados foram constru´ıdos como programas multitarefas, realizando, desta forma, a verificação com tempos inferiores a 1 minuto.

Autômatos temporizados e UPAAL também são usados para validação de blocos de função de segurança em (SOLIMAN; FREY, 2009). Neste trabalho, os autômatos temporizados representam os blocos de função de segurança, constru´ıdos em Ladder a partir das especificações semi-formais. Ou seja, as regras para modelagem dos blocos de função em um modelo formal são apresentadas de forma sistemática, entretanto ela se apresenta em uma lingua-gem mais precisa que a lingualingua-gem informal, porém não apresenta o grau de formalismo exigido para as linguagens formais. As regras de validação para este bloco são escritas em lógica temporal LTL e CTL. Para validar o método, o programa é submetido a uma etapa de simulação e teste e os resultados dos métodos de verificação são comparados.

A vantagem de se utilizar autômatos temporizados como modelo de alto n´ıvel é a possibilidade de se garantir por construção que o código gerado respeite as propriedades desejáveis e verificadas para o programa de CLP. A desvantagem desse método é a necessidade do usuário ter conhecimento de autômatos temporizados, além de que a construção de modelos complexos nesse formalismo é bastante trabalhosa e de dif´ıcil manutenção. Tendo em vista este problema (ZOUBEK; ROUSSEL; KWIATKOWSKA, 2003), também utiliza autômatos temporizados e UPAAL para verificar propriedades temporais de programas Ladder que controlam processos industriais automatizados, porém ele cria um algor´ıtimo que permite a tradução automática do programa em Diagrama Ladder para autômatos temporizados e as propriedades também são escritas em lógica temporal LTL e CTL.

Para realizar model checking em programas de CLP escrito em Ladder, com propriedades escritas em l´ogica temporal LTL e CTL e com a ferramenta Cadence SMV. O trabalho de (ROSSI; SCHNOEBELEN, 2000) adota autˆomatos

simples como a semântica formal para representar programas Ladder. A utilização de autômatos simples em detrimento dos autômatos temporizados confere ao modelo uma simplificação computacional extramente significativa, entretanto este modelo é aplicável a um número restrito de programas que se enquadram em uma série de restrições.

(49)

Em (MADER et al., 2001), os programas de CLP que controlam os proces-sos do tipo batelada passam pelo processo de verificação formal pelo método model cheking. Para realizar a verificação, o programa que representa um processo é modelado com a linguagem Promela. A linguagem Promela é uma linguagem de alto n´ıvel, baseado na sintaxe da linguagem C e comumente uti-lizada para descrever sistema concorrente, pois permite a criação de modelos dinâmicos, descreve protocolos de comunicação via canais de mensagens e utiliza processos que se comunicam através de variáveis compartilhadas e/ou mensagens s´ıncronas ou ass´ıncronas. A modelagem do programa no modelo formal é realizada de forma incremental, usando um formalismo lógico em tempo real. Isto é feito através do fortalecimento sistemático da premissa de uma implicação cuja conclusão representa o comportamento exigido da planta. A validação do modelo é realizada com a ajuda do model-checker SPIN, que é uma ferramenta de análise de programas descritos em PROMELA que se destina a verificação formal de sistemas concorrentes e utiliza Linear Temporal Logic (LTL) como linguagem de especificação de propriedades. A definição das propriedades é feita, utilizando a prova de teorema PVS (OWRE et al., 1996).

Os programas de CLP apesentados em (GOURCUFF; SMET; FAURE, 2008) e em (DARVAS et al., 2014) realizam o controle de sistemas cr´ıticos e são progra-mados em ST. No Primeiro trabalho, o programa é modelado em sistema geral de transição. No segundo trabalho, os programas responsáveis pelo sistema de segurança do acelerador de part´ıculas CERN são transformados em autômatos. Em ambos, as propriedades conhecidas do sistemas foram expressas em lógica booleana e posteriormente traduzidas em CTL e LTL para realizar o model chekingpelo software NuSVM. Nestes trabalhos, por trabalharem com siste-mas grandes, houve o problema de explosão combinatória de estados. Tendo em vista este fato, estes trabalhos implementaram técnicas de redução em seus modelos. A técnica escolhida por ambos foi a técnica do cone de influência. A principal ideia desta técnica é identificar qual parte do modelo é relevante para a avaliação do requisito dado. As partes desnecessárias do modelo podem ser abstra´ıdas sem afetar o resultado. A abstração agrupa eventos e estados não observáveis, para a propriedade verificadas, e as retira do programa. Au-xiliando assim o problema de explosão combinacional de estados no modelo formal.

Trabalhando com SIS da IP&G e utilizando como base o sistema industrial automatizado por CLPs que controla um aquecedor de chamas, (OLIVEIRA, 2006) define uma metodologia sistematizada para a verificação de modelos, criando um procedimento de tradução de programas escritos em Diagramas de Blocos Funcionais (DBF) para a linguagem reconhecida pela ferramenta de verificação SMV. Descreve, também, um padrão para escrever especificações baseadas no conhecimento do sistema e na Matriz de Causa e