UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

INSTITUTO DE INFORMTICA
CURSO DE CINCIA DA COMPUTAO





DIEGO COSTANTIN BANDEIRA




Aplicao da Norma IEC 61508 em Sistemas Crticos






Trabalho de Graduao





Prof. Dra. Taisy Weber
Orientadora











Porto Alegre, dezembro de 2011
2









































UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
Reitor: Prof. Carlos Alexandre Netto
Vice-Reitor: Prof. Rui Vicente Oppermann
Pr-Reitoria de Graduao: Prof. Valquria Linck Bassani
Diretor do Instituto de Informtica: Prof. Lus da Cunha Lamb
Coordenador do CIC: Prof. Raul Fernando Weber
Bibliotecria-Chefe do Instituto de Informtica: Beatriz Regina Bastos Haro


3

AGRADECIMENTOS
Agradeo primeiramente aos meus pais, Elito e Marlene, por sempre incentivar e
apoiar os meus estudos.
Agradeo minha orientadora, Prof. Dra. Taisy Weber, pela disponibilidade e
pacincia, bem como o incentivo realizao deste trabalho.
Agradeo UFRGS e em especial ao Instituto de Informtica pelo ensino de alta
qualidade do qual pude usufruir.
Agradeo aos meus amigos e amigas, sejam de longa data ou conhecidos
recentemente, pois estiveram sempre presentes compartilhando a alegria dos bons
momentos e dando apoio nas horas difceis.
4

SUMRIO
LISTA DE ABREVIATURAS E SIGLAS ................................................................... 6
LISTA DE FIGURAS ..................................................................................................... 7
LISTA DE TABELAS .................................................................................................... 8
RESUMO ......................................................................................................................... 9
ABSTRACT .................................................................................................................. 10
1 INTRODUO .................................................................................................... 11
2 DEFINIES GERAIS SOBRE SEGURANA .............................................. 12
2.1 Avaliao com base em riscos .......................................................................... 12
2.2 Definindo segurana e segurana funcional ................................................... 14
2.3 Nvel de Integridade de Segurana (SIL) ....................................................... 15
2.4 Exemplos de sistemas relativos segurana .................................................. 17
2.5 Componentes bsicos de sistemas relacionados segurana ....................... 17
2.5.1 Aplicao .................................................................................................... 17
2.5.2 Operador ..................................................................................................... 17
2.5.3 Sensor ......................................................................................................... 17
2.5.4 Computador ................................................................................................ 18
2.5.5 Atuador ....................................................................................................... 18
3 A NORMA INTERNACIONAL IEC 61508 ...................................................... 19
3.1 Subdivises da norma ....................................................................................... 19
3.2 Objetivos da norma IEC 61508 ....................................................................... 19
3.3 Particularidades e caracterizao ................................................................... 20
3.4 Consideraes sobre a IEC 61508 ................................................................... 20
4 SEGURANA DE SOFTWARE ........................................................................ 22
4.1 Ciclo de vida de segurana funcional .............................................................. 22
4.1.1 Conceito ...................................................................................................... 23
4.1.2 Definio geral do escopo .......................................................................... 23
4.1.3 Anlise de hazards e riscos ......................................................................... 23
4.1.4 Requisitos gerais de segurana ................................................................... 23
4.1.5 Alocao aos requisitos de segurana ........................................................ 23
4.1.6 Planejamento de operao e manuteno ................................................... 23
4.1.7 Planejamento de validao de segurana.................................................... 23
4.1.8 Planejamento de instalao e inicializao ................................................. 23
4.1.9 Realizao ................................................................................................... 23
4.1.10 Sistemas de segurana outras tecnologias ............................................... 24
4.1.11 Sistema externo de reduo de risco........................................................... 24
4.1.12 Instalao e inicializao geral ................................................................... 24
4.1.13 Validao geral de segurana ..................................................................... 24
4.1.14 Operao, manuteno e reparo geral......................................................... 24
4.1.15 Modificao e modernizao ...................................................................... 24
5

4.1.16 Retirada de operao .................................................................................. 24
4.2 Ciclo de vida de segurana de software .......................................................... 24
4.2.1 Especificao dos requisitos de segurana de software .............................. 25
4.2.2 Plano de validao de segurana de software ............................................. 25
4.2.3 Projeto e desenvolvimento de software ...................................................... 25
4.2.4 Integrao (hardware/software) .................................................................. 26
4.2.5 Procedimentos de operao e manuteno de software .............................. 26
4.2.6 Validao de segurana de software ........................................................... 26
4.3 Fases de projeto e desenvolvimento de software............................................ 26
4.3.1 Arquitetura .................................................................................................. 27
4.3.2 Suporte a ferramentas e linguagens de programao ................................. 27
4.3.3 Projeto de sistema ....................................................................................... 27
4.3.4 Projeto de mdulos ..................................................................................... 27
4.3.5 Codificao ................................................................................................. 27
4.3.6 Teste de mdulos ........................................................................................ 27
4.3.7 Teste de integrao ..................................................................................... 27
4.4 Documentao e sua importncia ................................................................... 28
5 IMPLEMENTAO: SOFTWARE VALIDATION ASSISTANT ................ 29
5.1 Embasamento tcnico ....................................................................................... 29
5.2 Funcionalidades e caractersticas .................................................................... 30
5.3 Particularidades do desenvolvimento ............................................................. 33
5.4 Trabalhos futuros ............................................................................................. 36
CONCLUSO ............................................................................................................... 37
REFERNCIAS ........................................................................................................... 38

6

LISTA DE ABREVIATURAS E SIGLAS
E/E/EP Eltrico(s) / Eletrnico(s) / Eletrnico(s) Programvel(eis)
HR Highly Recommended
IEC International Electrotechnical Comission
NR Not Recommended
SIL Safety Integrity Levels























7

LISTA DE FIGURAS
Figura 2.1: Causas primrias, por fase, de falhas no sistema de controle ...................... 14
Figura 4.1: Ciclo de vida de segurana funcional .......................................................... 22
Figura 4.2: Ciclo de vida de segurana de software ....................................................... 25
Figura 4.3: Fases do projeto e desenvolvimento de software ......................................... 26
Figura 5.1: Tela inicial do sistema.................................................................................. 30
Figura 5.2: Resultados de pesquisa de eventos............................................................... 30
Figura 5.3: Resultados de pesquisa de links ................................................................... 31
Figura 5.4: Resultados de pesquisa de usurios ............................................................. 31
Figura 5.5: Tela de cadastro de projetos ......................................................................... 32
Figura 5.6: Exemplo de tela de validao para SIL 1 ..................................................... 32
Figura 5.7: Diagrama de classes do sistema ................................................................... 34
Figura 5.8: Permisso dos usurios do sistema em relao aos casos de uso................. 35


8

LISTA DE TABELAS
Tabela 2.1: Medidas de taxa de falhas em relao ao SIL e modo de operao ............ 16
Tabela 3.1: Sees da norma IEC 61508 e seus respectivos contedos ......................... 19
9

RESUMO
A crescente demanda na utilizao de componentes eletrnicos em questes de
segurana faz com que aumente tambm a necessidade de se obter garantias sobre quo
seguros so os componentes envolvidos. Uma das formas de assegurar a qualidade dos
dispositivos utilizados a verificao de que estes apresentam riscos baixos
segurana, atravs da obteno de certificaes de segurana.
O presente trabalho apresenta um estudo geral da norma internacional IEC 61508, a
qual amplamente empregada na tentativa de obter a comprovao de qualidade dos
componentes utilizados em sistemas crticos. So esclarecidos tambm alguns conceitos
inerentes segurana, visando auxiliar na compreenso de pontos importantes da
norma. A parte 61508-3 da norma, a qual apresenta aspectos relacionados diretamente
parte de software, recebe maior enfoque. Nela esto presentes os requisitos de software
para dispositivos e sistemas relativos segurana. Este estudo tem como objetivo
principal proporcionar um entendimento sobre a norma e conceitos fundamentais
relacionados, alm de apresentar crticas sobre a IEC 61508, e tambm servir como
apoio bsico na aplicao da norma IEC 61508-3.

















Palavras-chave: IEC 61508, norma, requisitos, risco, segurana, software.





10

Implementation of IEC 61508 in Critical Systems
ABSTRACT
The growing demand in the use of electronics in safety systems increases also the
need to obtain assurances about how safe are the involved components. One way
to ensure the quality of the used devices is to verify that they present low safety
risks, by obtaining safety certifications.
This work presents a general study about international standard IEC 61508, which is
widely used in the attempt to obtain quality evidences around components that are
used in critical systems. Also, this work intends to clarify some concepts inherent to
safety, to assist in understanding some important aspects related to the standard. The
part 61508-3 of the standard, which has it main point based on software
aspects, receives greater focus. It contains the software requirements for devices
and systems related to safety. This studys main objective is to provide
some understanding about IEC 61508 fundamental related concepts, besides
presenting criticism of the IEC 61508, and also helps as basic support in implementing
the standard IEC 61508-3.


















Keywords: IEC 61508, standard, requirements, risk, security, software.
11

1 INTRODUO
Durante a dcada de 80, houve uma ascenso no uso de sistemas computadorizados
nas tarefas relacionadas a funes de segurana. Este fato fez com que vrias empresas,
de diversos setores, elaborassem normas de segurana de software. No segundo
semestre de 1985, foi criada pela IEC (International Electrotechnical Commission) a
norma IEC 61508. Esta norma consiste em padres internacionais genricos de
segurana funcional voltada a dispositivos eltricos, eletrnicos ou eletrnicos
programveis. Ao longo deste trabalho, ser dado enfoque para a IEC 61508-3 da
verso 1.0, que corresponde parcela da norma dedicada a requisitos de software.
O aumento na utilizao de componentes eletrnicos em questes de segurana, e
por consequncia a necessidade de se obter garantias sobre quo seguros so estes
componentes, foi o que ocasionou a criao da norma. Quando levamos em
considerao a parte relativa ao software, a complexidade torna invivel o teste de todas
as falhas em todos os cenrios possveis. No entanto, a aplicao de diferentes
avaliaes e testes englobados pela norma, seguindo mtricas especificadas, possibilita
a obteno de taxas muito baixas de riscos de falhas. No possvel a eliminao
completa do risco de que uma falha acontea, porm estas so consideradas ento taxas
de risco aceitveis, uma vez que so de rara ocorrncia.
A norma tem a sua aplicao difundida entre vrias reas, dentre as quais podemos
destacar a de dispositivos embarcados com funes crticas de segurana. Exemplos de
algumas aplicaes destes sistemas:
- em automveis, nos controles de trao e freios ABS;
- sistemas de parada emergencial em equipamentos e maquinrios;
- em aeronaves, nos sistemas de controle de vo e orientadores de msseis;
- urnas eletrnicas;
- em hospitais, nos aparelhos de suporte a vida;
Sistemas que envolvem estes dispositivos devem ter um nvel de segurana
comprovadamente alto, tendo em vista que a sua aplicao tende a envolver situaes
em que uma falha poderia ocasionar incidentes de grande impacto.
Ao longo deste trabalho alguns conceitos so mencionados e a compreenso destes
importante para possibilitar a avaliao da segurana dos sistemas E / E / EP. A
concepo de segurana se origina da palavra safety, que segundo Siqueira (2006)
representa a segurana de funcionamento em situaes crticas. Outro relevante
conceito a definio de dano, originado da palavra harm. Dano tem, ento, como
12

significado o dano sade ou leses fsicas causadas a um indivduo por avarias
propriedade ou meio ambiente, seja direta ou indiretamente (LADKIN, 2008).
Para avaliar a segurana de um determinado sistema crtico, realizada uma anlise
com base na documentao fornecida, a qual deve conter a especificao dos resultados
que foram obtidos. Considera-se um sistema seguro quando este atinge na totalidade os
requisitos necessrios, ou seja, cumprindo as exigncias mtricas do nvel de
integridade de segurana (safety integrity level - SIL) que exigido para um
determinado tipo de aplicao.
No primeiro semestre de 2010 foi lanada a verso 2.0 da IEC 61508, a qual foi
adquirida pela instituio de ensino recentemente. Desta forma, este trabalho tem por
base ainda a verso 1.0, com alguns comentrios sobre alteraes pontuais apresentados
na concluso.
A demanda crescente na rea de segurana impulsiona a busca por certificaes, que
visam assegurar a qualidade dos sistemas de segurana. Ao contrrio do hardware, que
tem seus mtodos de avaliao mais concretamente definidos, o software no dispe de
mtodos de avaliao de segurana que sejam considerados como consenso universal.
Assim, o enfoque deste trabalho direcionado parte 3 da norma, a qual responsvel
pela especificao de requisitos para software de segurana.
13

2 DEFINIES GERAIS SOBRE SEGURANA
A norma relativamente extensa, abrangendo o ciclo de vida completo de
segurana. Inerente norma, temos alguns conceitos de grande relevncia, sendo alguns
destes os seguintes:
- avaliao com base em riscos;
- segurana e segurana funcional;
- nveis de integridade de segurana;
Ao longo deste captulo sero feitos esclarecimentos a respeito dos conceitos
supracitados, a fim de proporcionar uma compreenso mais adequada de como funciona
a norma IEC 61508.
2.1 Avaliao com base em riscos
A finalidade da anlise de riscos assegurar que uma determinada funo de
segurana cumpra eficientemente o seu papel. Em outras palavras, significa obter
garantias de que no haja a exposio de nenhum indivduo a riscos que possam ser
considerados inaceitveis, associados ocorrncia de um evento perigoso.
O fator que liga a ocorrncia de uma avaria no sistema a uma fatalidade que
acontea em razo desta falha o que chamamos de perigo (ou hazard). Pode ser
definido mais concretamente como uma determinada situao, seja ela potencial ou real,
que ocasione:
- prejuzos ao meio ambiente;
- doenas, leses ou morte;
- prejuzos ou perda de equipamentos, sistemas ou patrimnios.
De uma forma geral, a avaliao do perigo tem como principal foco apontar quais os
fatores que podem levar um componente de determinada aplicao a falhar. Os
componentes podem ter suas falhas originadas das mais diversas formas, as quais
incluem:
- estresse ambiental;
- defeitos no processo de fabricao;
- equvocos no projeto;
- erros de programao;
- falhas randmicas no hardware;
14

- manuteno malfeita.
A anlise das fontes de problemas nos componentes o que fornece informao para
possibilitar a ligao das falhas nos componentes com eventuais acidentes. (DUNN,
2003).
As principais causas de falhas por fase variam conforme o setor e complexidade da
aplicao. Estudos apontam que grande parte das falhas so incorporadas nos sistemas
relacionados segurana antes mesmo que estes sejam colocados em funcionamento, ou
seja, ainda nas fases iniciais. A figura 2.1 ilustra essa questo:

Figura 2.1 Causas primrias, por fase, de falhas no sistema de controle (BELL, 2005).
Na maior parte dos casos, determinado um risco admissvel para um dado tipo de
acidente, atravs de um consenso geral. Isso ocorre em casos em que estes eventos
prejudiciais no ocorrem freqentemente. Duas preocupaes so essencialmente
levadas em considerao nestes casos: a probabilidade de ocorrer e sua virtual
gravidade.
Muitas normas de segurana fazem uso das tcnicas de avaliao com base em risco
para definir o que pode ser considerado como risco aceitvel. No caso especfico da
norma IEC 61508, empregado o nvel de integridade de segurana (SIL), que ser
detalhado mais adiante neste captulo.
2.2 Definindo segurana e segurana funcional
Sistemas podem executar uma determinada funo, ou ainda um conjunto de
funes que visam assegurar a manuteno dos riscos dentro de um limite tolervel.
Estas funes so denominadas funes de segurana, e o termo segurana est ligado
diretamente descrio desses sistemas.
A definio de sistema seguro, na viso da norma IEC 61508, representa
basicamente um sistema que no apresenta riscos considerados inaceitveis. Como
citado anteriormente, esses riscos envolvem danos ou prejuzos para a sade dos
15

indivduos. Podem ser originados de forma direta ou ainda indireta de prejuzos
propriedade ou meio ambiente.
O grupo de determinadas funes de segurana de um sistema o que se pode
chamar de segurana funcional. A segurana funcional representa uma parcela da
segurana na sua integralidade, e depende de um mecanismo ou sistema que opere
apropriadamente de acordo com as entradas fornecidas. Para Bell (2005), no possvel
definir segurana ou segurana funcional sem levar em conta o sistema como um todo e
a interao deste com o ambiente.
As falhas na segurana esto diretamente ligadas aos usurios e criadores dos
sistemas (DUNN, 2003). Na prtica, podem ser mencionados como os trs motivos
fundamentais:
- falta de compreenso completa sobre o que torna um sistema seguro;
- desconsiderar pontos nicos de falha, o que na prtica acaba por fazer com que o
conceito de segurana no seja mais garantidamente seguro;
- no dar ateno ao contexto maior em que o conceito implantado venha a ser
embarcado.
Na busca por atingir a segurana funcional de um sistema, necessrio que sejam
observados e cumpridos alguns requisitos fundamentais, que so:
- de integridade de segurana;
- da funo de segurana.
Aos requisitos de integridade, originados da anlise de riscos, est relacionada
probabilidade de uma dada funo de segurana operar de maneira correta. Em outras
palavras, o nvel de certeza de execuo satisfatria de uma funo de segurana. A
probabilidade de ocorrncia de uma falha considerada perigosa diminui medida que
aumenta o nvel de integridade de segurana. Quanto aos requisitos da funo,
destacam-se as operaes e quais as finalidades da funo de segurana. Estes requisitos
derivam-se essencialmente da avaliao de perigo.
importante ressaltar que a segurana funcional somente uma dentre vrias
medidas disponveis para enfrentar as situaes que envolvem perigo. Riscos podem ser
eliminados ou reduzidos atravs da elaborao de um projeto consistente, detalhado e
bem estruturado.
Habitualmente, a exigncia e rigorosidade da engenharia de um sistema voltado
segurana crescem proporcionalmente em relao ao nvel de integridade de segurana.
Um sistema que tenha dentre as suas atribuies a execuo de funes de segurana
considerado sistema ligado segurana, independentemente da tecnologia em que esteja
implantado. Este sistema pode estar ou no embutido em um equipamento de controle,
ou mesmo como parte de outro sistema de controle.
2.3 Nvel de Integridade de Segurana (SIL)
As funes de segurana esto relacionadas a uma quantidade considervel de
fatores. Nveis que representem a especificao de uma meta de diminuio de riscos,
ou um nvel relativo atenuao de riscos proporcionados por uma dada funo de
segurana, so conceitos que definem os nveis de integridade de segurana (SIL). No
16

contexto da norma IEC 61508, o SIL definido com uma mtrica para avaliao de
desempenho de segurana para a obteno da certificao. Essa medida varia conforme
o nvel de segurana almejado pela aplicao.
Dentre as exigncias, o nvel de integridade de segurana correlacionado a uma
determinada funo de segurana deve ser suficiente para assegurar que os sistemas
alterem eventos conseqentes de falhas, de forma a atingir um patamar de risco
aceitvel. Alm disso, a repetio sistemtica de falhas deve ser pequena a fim de
manter a quantidade de ocorrncia de eventos perigosos inferior a um nvel no
aceitvel.
No contexto da norma IEC 61508, so definidos quatro nveis possveis de
integridade de segurana. O SIL 4 o nvel mais alto de integridade e,
conseqentemente, acarreta em um nmero maior de exigncias, enquanto o nvel
menos exigente o SIL 1.
Dentre os aspectos analisados nos clculos de probabilidade de falhas encontra-se o
modo de operao, que pode ser:
- de baixa demanda, onde a probabilidade representa a taxa mdia de falhas ao
realizar uma funo prevista sob demanda;
- de alta demanda, onde a probabilidade expressa a taxa de defeitos perigosos por
hora.
A tabela 2.1 mostra algumas medidas probabilsticas de taxas de defeitos:
Tabela 2.1: Medidas de taxa de falhas em relao ao SIL e modo de operao.
SIL
Modo de Operao
Baixa Demanda (funes sob demanda) Alta Demanda (contnuo)
1 10
-2
a <10
-1
10
-6
a <10
-5

2 10
-3
a <10
-2
10
-7
a <10
-6

3 10
-4
a <10
-3
10
-8
a <10
-7

4 10
-5
a <10
-4
10
-9
a <10
-8


Os requisitos so analisados mediante o emprego de mtricas pr-determinadas, e
variam conforme o SIL almejado. A IEC 61508 traz um detalhamento dos requisitos
essncias para a obteno de um nvel de integridade de segurana estipulado. Para um
nvel SIL mais alto, os requisitos tornam-se mais rigorosos visando atingir a
probabilidade mnima requerida de falhas perigosas.
A norma define trs classificaes mais relevantes na aplicao das mtricas, que
so:
- no recomendado (NR);
- recomendado (R);
- altamente recomendado (HR).
17

importante ressaltar que, ao no empregar uma mtrica considerada HR,
necessrio fazer uso de uma justificativa. No entanto, no so fornecidos modelos ou
exemplos do que aceito como justificativa vlida.
2.4 Exemplos de sistemas relativos segurana
Um determinado sistema que apresente a capacidade de cumprir os requisitos
determinados de cada funo de segurana e de executar estes requisitos conforme o
nvel de integridade de segurana requerido considerado um sistema relacionado
segurana (BELL, 2005).
Alguns exemplos comuns de sistemas ligados segurana so:
- mecanismos de controle de dosagem de exposio e bloqueio para equipamentos
utilizados em radioterapia;
- mostradores de carga de segurana para guindastes e similares;
- sistemas de controle de vo nas aeronaves;
- mecanismos para sinalizao em ferrovias;
- sistemas de posicionamento dinmico;
- controle de parada emergencial em indstrias de processos qumicos danosos;
- ferramentas de auxlio decises, com base em informaes onde aes
equivocadas acarretam em reduo da segurana;
- parada emergencial e bloqueio preventivo em maquinrios pesados.
- sinais luminosos de alerta e de antitravamento dos freios em automveis.
2.5 Componentes bsicos de sistemas relacionados segurana
Segundo Dunn (2003), teoricamente qualquer sistema de computador envolvido em
alguma de funo relacionada segurana engloba cinco elementos bsicos,
independente do tipo de funo de segurana que o sistema executa. Estes elementos
so:
2.5.1 Aplicao
A entidade material sobre a qual o sistema exerce operaes de controle e
monitoramento o que chamamos de aplicao (ou processo). Dentre os exemplos de
aplicao esto o brao mecnico de um rob, o freio de um veculo, uma aeronave
durante o vo, a refrigerao em reatores nucleares.
2.5.2 Operador
O indivduo que realiza o acompanhamento e ativao de um sistema de computador
em tempo real denominado operador. Exemplos clssicos de operadores incluem
operadores de usinas nucleares, tcnicos da rea da sade, pilotos de avio.
2.5.3 Sensor
Sensor a designao dada a um elemento que efetua a converso de uma medida
ou caracterstica fsica da aplicao para um sinal eltrico utilizado como entrada em
18

um computador. Aparelhos que medem a tenso, transdutores de presso e
acelermetros so exemplos tpicos de sensores.
2.5.4 Computador
O componente que utiliza atuadores e sensores para exercer funes de controle e
monitoramento em tempo real da aplicao, constitudo de software e hardware
denominado computador. Como exemplos das inmeras formas de computadores
podem ser citados os controladores lgicos programveis, computadores de bordo em
aeronaves e sistema-em-um-chip.
2.5.5 Atuador
Atuador o componente que transmuta o sinal eltrico correspondente sada do
computador em uma ao fsica que efetua o controle de alguma funo da aplicao.
Vlvulas, dispositivos de freio e motores so tipos comuns de atuadores.
19

3 A NORMA INTERNACIONAL IEC 61508
3.1 Subdivises da norma
A IEC 61508 traz um conjunto de regras e especificaes de segurana funcional
para sistemas dos tipos E / E / EP. Sua composio dividida em 7 segmentos, que so
mostrados na tabela 3.1:
Tabela 3.1: Sees da norma IEC 61508 e seus respectivos contedos.
Norma Internacional IEC 61508
Seo Contedo
IEC 61508-1 Requisitos globais
IEC 61508-2 Requisitos para sistemas E / E / EP ligados segurana
IEC 61508-3 Requisitos para a parte de software
IEC 61508-4 Abreviaturas e definies de conceitos
IEC 61508-5
Exemplos de processos de avaliao de nveis de integridade de
segurana
IEC 61508-6 Diretrizes para a aplicao das partes IEC 61508-2 e IEC 61508-3
IEC 61508-7 Viso global de tcnicas e mtricas utilizadas

3.2 Objetivos da norma IEC 61508
A IEC 61508 foi criada no intuito de atender s necessidades relacionadas
segurana, inerentes ao aumento na demanda de tecnologia e produtividade por parte de
diversos setores industriais. Tem como objetivos principais:
- fornecer uma abordagem que tem por base a analisa dos riscos, visando definir e
estruturar as exigncias de desempenho dos sistemas relativos segurana;
- dar enfoque para a segurana, incentivando o crescimento das tecnologias a ela
relacionadas;
- estabelecimento de modelos universais, com finalidade de aplicao direta pelo
setor industrial, bem como incentivo a elaborao de normas mais especficas para
diversos segmentos e produtos;
- prover uma abordagem sistemtica que seja flexvel para adaptaes futuras,
fazendo uso de tcnicas bem fundamentadas;
20

- elevar os ganhos em questes de economia e segurana, atravs do
aperfeioamento das tecnologias empregadas;
- aumentar a confiabilidade de operadores e usurios para com as tecnologias e
sistemas computadorizados;
- facilitar a criao de mtodos para a avaliao de adequao aos requisitos;
- definir requisitos tendo por base conceitos genricos, tendo em vista proporcionar
uma rede eficiente de fornecimento aos provedores de componentes e subsistemas em
diversas reas.
3.3 Particularidades e caracterizao
A norma apresenta uma srie de caractersticas, dentre as quais esto:
- definio de mtricas e tcnicas a serem empregadas para alcanar os nveis
necessrios de integridade de segurana;
- exemplificao de como efetuar a abordagem com base em riscos, visando
estabelecer os requisitos necessrios de integridade de segurana para diversos
dispositivos E / E / EP;
- cobertura total das prticas de segurana pertencentes ao ciclo de vida. As etapas
envolvem desde a concepo inicial, passando pela anlise de riscos e perigos,
elaborao das prescries de segurana, fase de especificao, arquitetura e
implementao, operao e eventuais manutenes, alteraes no sistema, at a sua
inativao;
- abrangncia de requisitos visando prevenir a ocorrncia de falhas, assim como
requisitos voltados manuteno da segurana mesmo em casos de ocorrncia de
falhas;
- abordagem dos mecanismos de falha, como hardwares com comportamento
sistemtico ou randmico. Abrange tambm caractersticas do sistema, englobando os
subsistemas que desempenham alguma funo de segurana, sejam eles compostos por
software e/ou hardware;
- utilizao de um padro de ciclo de vida na totalidade, na forma de um conjunto de
definies tcnicas, com o objetivo de que as necessidades para garantia da segurana
funcional sejam satisfeitas pelos dispositivos E / E / EP.
3.4 Consideraes sobre a IEC 61508
Em geral, a IEC 61508 recebe crticas em relao a vrios aspectos. A assimilao
da norma muitas vezes no ocorre facilmente, em grande parte devido sua vasta
extenso. Muitas vezes isto acarreta numa interpretao dbia, reduzindo sua
confiabilidade. Alm disso, alguns pontos so considerados excessivamente formais, o
que eventualmente acaba dificultando uma compreenso precisa para pessoas que no
tenham um nvel avanado de conhecimento na rea.
Caso sejam apresentadas justificativas, a norma permite a utilizao de mtodos que
no constem como recomendados. Todavia, no h uma determinao ou consenso
sobre o que seria uma justificativa considerada aceitvel num eventual processo de
avaliao.
21

Em relao programao, a norma apresenta algumas consideraes que acabam
por limitar as escolhas do desenvolvedor. Dentre elas, a recomendao para utilizao
de linguagens que sejam consideradas fortemente tipadas, alm de no aconselhar o
paradigma de orientao a objetos.
Algumas crticas so direcionadas ao fato de que, apesar de apresentar orientaes
pertinentes e importantes, a norma por vezes parece no correlacionar as mtricas e
especificaes definidas com conceitos intrnsecos de segurana (MCDERMID, 2001).
Outro ponto muitas vezes criticado diz respeito quanto ao emprego dos nveis de
integridade de segurana. A complexidade que envolve os sistemas muitas vezes
dificulta ou praticamente impossibilita uma estimativa precisa de SIL. Alia-se a isso o
fato de que a interpretao do SIL apresenta divergncias entre normas, alm dos
clculos estimativos serem feitos baseados em consideraes sobre confiabilidade.
No escopo da norma IEC 61508, h uma relao direta da taxa de ocorrncia de
falhas consideradas como perigosas com a definio de SIL. Muitas vezes, os processos
e conceitos relacionados no so considerados da maneira mais adequada. Esta
impreciso de interpretao pode acarretar em asseres incorretas sobre qual o nvel de
integridade de segurana de um dado sistema.
Por ltimo, a utilizao da norma encontra-se basicamente concentrada no mbito de
grandes empresas, uma vez que considerada de difcil adequao para projetos de
pequenas propores. Isto acaba por encarecer o processo fazendo com que empresas
menores no invistam tanto nesta rea da segurana funcional.
22

4 SEGURANA DE SOFTWARE
A norma IEC 61508 apresenta a definio de ciclos de vida, entre eles os ciclos de
vida de segurana funcional e ciclo de vida de segurana de software. Ao longo deste
captulo sero apresentadas algumas caractersticas referentes a estes ciclos.
4.1 Ciclo de vida da segurana funcional
Em relao ao ciclo de vida de segurana funcional, a norma IEC 61508 apresenta
um ciclo formado por 16 fases, que so ilustradas na figura 4.1:

Figura 4.1: Ciclo de vida da segurana funcional (WEBER).
23

Uma breve descrio sobre cada etapa do ciclo de vida apresentada nas sees
4.1.1 a 4.1.16.
4.1.1 Conceito
A fase inicial visa obter um entendimento geral do sistema e do ambiente
relacionado. Deve ser satisfatrio a ponto de possibilitar a execuo correta das
prximas fases do ciclo de vida.
4.1.2 Definio geral do escopo
A fase de definio de escopo tem por finalidade estabelecer a limitao do sistema
de controle, bem como do sistema que estar sendo controlado. Auxilia na especificao
do escopo das anlises de risco e de perigo.
4.1.3 Anlise de hazards e riscos
A etapa de anlise de perigos (hazards) e riscos visa definir quais os riscos e eventos
perigosos que possam ocorrer em determinado sistema. Isto se aplica em todas as
situaes passveis de previso e para os diversos modos de operao.
4.1.4 Requisitos gerais de segurana
Nesta parte do ciclo de vida devem ser especificados e desenvolvidos os requisitos
gerais de segurana. Inclui os requisitos ligados integridade de segurana e funes de
segurana.
4.1.5 Alocao aos requisitos de segurana
Fase em que so feitas as alocaes necessrias das funes de segurana, definidas
nos requisitos gerais de segurana, para atingir o nvel desejado de segurana funcional.
As funes so alocadas aos sistemas de controle, sistemas externos de reduo de risco
e sistemas com outras tecnologias que estejam relacionadas segurana.
4.1.6 Planejamento de operao e manuteno
Fase voltada ao planejamento dos processos de operao e manuteno de um
sistema, visando assegurar a conservao das condies gerais de segurana ao longo d
destes processos.
4.1.7 Planejamento de validao de segurana
Esta etapa tem como finalidade a elaborao de uma estratgia que auxilie na
aprovao da segurana do sistema como um todo.
4.1.8 Planejamento de instalao e inicializao
Esta fase tem como objetivo formular um plano para que tanto a instalao quanto a
inicializao do sistema ocorram de forma controlada, para assegurar que sejam
atingidas as metas de segurana funcional.
24

4.1.9 Realizao
A fase de realizao tem por finalidade a elaborao do sistema responsvel por
efetuar o controle, de acordo com os requisitos levantados tanto com relao
integridade de segurana, quanto para as funes de segurana.
4.1.10 Sistemas de segurana outras tecnologias
Etapa referente aplicao de outras tecnologias aos sistemas, com o intuito de
ajudar no cumprimento dos requisitos de segurana estabelecidos.
4.1.11 Sistema externo de reduo de risco
Fase que tem como meta a incluso de sistemas externos que atuem na reduo de
riscos (no pertence ao escopo da IEC 61508).
4.1.12 Instalao e inicializao geral
Fase onde realizada a instalao e inicializao do sistema, seguindo os processos
definidos anteriormente.
4.1.13 Validao geral de segurana
Nesta fase executada a verificao do sistema de controle, para assegurar que esta
satisfaa as especificaes globais de segurana (nvel de integridade de segurana e
funes de segurana). Considera a alocao, anteriormente estabelecida, para os
requisitos de segurana.
4.1.14 Operao, manuteno e reparo geral
Fase que tem por objetivo assegurar que a segurana funcional do sistema se
mantenha durante os processos de operao, manuteno e reparos eventuais do
sistema.
4.1.15 Modificao e modernizao
Esta etapa tem como responsabilidade assegurar a manuteno da segurana
funcional, seja antes ou depois de modificaes feitas no sistema.
4.1.16 Retirada de operao
Etapa que tem como foco assegurar que as atribuies de segurana funcional sejam
satisfatrias ao longo do processo de retirada de operao do sistema, bem como ao
trmino deste processo.
4.2 Ciclo de vida de segurana do software
O ciclo de vida de segurana de software um modelo que tem por finalidade
organizar e distribuir o processo de desenvolvimento de software em etapas e prticas
bem determinadas. As fases do ciclo de vida de segurana do software dividem-se de
acordo com a figura 4.2:
25


Figura 4.2: Ciclo de vida da segurana de software (WEBER).
Este ciclo de vida representa a figura 3 da IEC 61508-3. As fases sero descritas
resumidamente nos itens 4.2.1 at 4.2.6 deste trabalho.
4.2.1 Especificao dos requisitos de segurana de software
A especificao de requisitos de segurana do software deve abranger a definio de
quais as funes de segurana sero executadas, assim como o modo de operao e
quais os nveis de integridade de cada uma das funes de segurana.
4.2.2 Plano de validao de segurana de software
O plano de validao de segurana do software deve apresentar a estruturao do
gerenciamento de segurana, as atividades relativas segurana e tambm os marcos de
aprovao presentes no ciclo de vida. Deve ser elaborado no incio do ciclo de vida,
sofrendo revises caso sejam feitas mudanas no sistema inicial.
4.2.3 Projeto e desenvolvimento de software
A fase de projeto e desenvolvimento de software contm vrias etapas, que sero
abordadas sucintamente na seo 4.3.
26

4.2.4 Integrao (hardware/software)
A etapa de integrao visa comprovar que a interao entre hardware e software
durante o desempenho de determinada funo ocorre de forma correta. No caso de
softwares com SIL superior a zero, necessria a elaborao de um plano de teste de
integrao entre software e hardware no comeo do ciclo de desenvolvimento.
4.2.5 Procedimentos de operao e manuteno de software
Esta fase tem como objetivo definir procedimentos para assegurar a conservao da
segurana funcional ao longo dos processos de operao e manuteno do software.
Devem-se estabelecer condutas a serem seguidas quando da ocorrncia de falhas de
software, bem como procedimentos para diagnosticar os defeitos. Igualmente,
necessrio a definir processos para revalidao e quais os requisitos do relatrio de
manuteno.
4.2.6 Validao de segurana de software
Consiste em verificar se cada fase do ciclo satisfaz seus requisitos especficos de
segurana, identificado nas fases anteriores. Ou seja, a validao do software contra
sua especificao de requisitos de segurana.
A anlise de segurana e os testes adequados devem ser executados e documentados,
com as evidncias de que o software cumpre os requisitos apresentadas em um
documento de justificativa de segurana.
4.3 Fases de projeto e desenvolvimento de software
A IEC 61508-3 prev as fases de projeto e desenvolvimento representadas na figura
4.3:

Figura 4.3: Fases do projeto e desenvolvimento de software (WEBER).
27

4.3.1 Arquitetura
A fase de arquitetura tem por objetivo elaborar a arquitetura de software visando
cumprir os requisitos de segurana definidos, de acordo com o nvel de integridade de
segurana solicitado. Tambm leva em considerao requisitos que tenham sido
inseridos no software atravs da arquitetura do hardware e as interaes
software/hardware que possam ocorrer.
4.3.2 Suporte a ferramentas e linguagens de programao
O objetivo desta etapa apurar um grupo de ferramentas que iro assessorar os
processos de avaliao, validao, verificao e modificao do software. Estas
ferramentas, dentre as quais esto os compiladores e linguagens de programao, devem
ser apropriadas para o nvel de integridade de segurana desejado.
4.3.3 Projeto de sistema
A meta desta etapa elaborar o projeto de um software que seja passvel de
verificao, anlise e que mantenha a segurana durante processos de modificao.
Alm disso, deve satisfazer os requisitos de segurana de software especificados para o
nvel de integridade de segurana exigido.
4.3.4 Projeto de mdulos
Esta fase tem como finalidade a anlise e diviso do software em mdulos,
refinando o projeto de arquitetura inicial de acordo com os subsistemas identificados.
Da mesma forma, deve ser especificado o projeto de cada mdulo individualmente, bem
como os testes a serem efetuados em um determinado mdulo do software.
4.3.5 Codificao
Ao longo da etapa de codificao, devem ser utilizadas normas que contenham boas
prticas de codificao, especificando regras que restringem o uso de estruturas da
linguagem, quando empregadas em mdulos com requisitos de segurana. Ainda,
devem ser usadas ferramentas que detenham um certificado de validao com
reconhecimento internacional.
A linguagem de programao deve ser compatvel com os mtodos de
desenvolvimento e possuir mecanismos que auxiliem na identificao de incorrees no
programa.
4.3.6 Teste de mdulos
Esta etapa responsvel pelo teste de cada mdulo do software, visando verificar se
cada um destes executa as funes para as quais foram projetados e que satisfazem as
definies exigidas de integridade e funes de segurana.
4.3.7 Teste de integrao
Esta fase tem como finalidade verificar o cumprimento dos requisitos de segurana
estabelecidos para o software. A validao feita atravs de procedimentos que
comprovem a interao correta e adequada entre os mdulos, subsistemas e seus
componentes. As atividades de teste de integrao devem ser elaboradas
concorrentemente ao longo das etapas de projeto e desenvolvimento.
28

4.4 Documentao e sua importncia
Nos processos de avaliao, importante que sejam evidenciadas as precaues
adotadas por todos os membros envolvidos, bem como a segurana operacional e
capacidade do sistema relacionado segurana. Desta forma, essencial que a
documentao receba ateno especial, visando assegurar a verificao dos aspectos de
segurana evidenciados e enfatizar a prudncia adotada no desenvolvimento.
No contexto da norma IEC 61508, o objetivo geral relacionado documentao
prevenir falhas e auxiliar na avaliao dos nveis de segurana do sistema, atravs da
documentao de todas as fases relativas ao processo de desenvolvimento. De uma
maneira mais formal, a documentao tem por objetivo definir as informaes
necessrias que devem ser documentadas de forma que:
- seja possvel a realizao de todas as etapas de todo o processo, E / E / EP e do
ciclo de vida de segurana de software;
- seja possvel efetivamente realizar os processos de verificao e avaliao da
segurana funcional, bem como a gesto de segurana funcional como um todo.
A norma geralmente no demanda a apresentao de documentos fsicos, salvo
quando indicado claramente nas subsees pertinentes. A documentao pode ser
exibida de vrias maneiras, desde papel impresso, filmes ou outra forma qualquer de
apresentao em displays.
Devido grande quantidade de artefatos envolvidos, a utilizao de guias e
ferramentas digitais de auxlio so medidas importantes para tentar amenizar o custo de
gerenciamento da documentao.
29

5 IMPLEMENTAO: SOFTWARE VALIDATION
ASSISTANT
Este captulo aborda descries tcnicas e o funcionamento do software
desenvolvido Software Validation Assistant (SVA). O objetivo do SVA servir como
ferramenta de apoio na busca pela certificao de dispositivos relacionados segurana,
e tem como base a norma IEC61508-3, que referente parte de software. importante
ressaltar que, no entanto, a utilizao desta ferramenta se restringe a auxiliar o processo.
A opo por elaborar uma ferramenta de apoio para a parte de software se deve ao fato
de que uma rea que apresenta tcnicas e medidas que nem sempre representam um
consenso geral, o que aumenta a complexidade na interpretao. Alm disso, as
ferramentas disponveis no mercado so na grande maioria ferramentas proprietrias e
caras. O SVA, que no tem fins comerciais, tem o intuito de servir como alternativa a
estas ferramentas. A garantia de certificao no est assegurada mesmo quando do
seguimento de todos os passos corretamente, uma vez que no existem meios
determinsticos para se avaliar determinada documentao.
5.1 Embasamento tcnico
A base de referncias tcnicas para o software encontra-se na IEC 61508-3. Esta
seo da norma contm em anexo as tabelas A.1 at A.10 (Anexo A), representando as
fases do ciclo de vida de segurana de software, alm das tabelas B.1 at B.9 (Anexo B)
que podem ser referenciadas por tcnicas presentes nas tabelas do anexo A. Estas
tcnicas carregam nveis de recomendao de sua utilizao, que variam de acordo com
o SIL almejado. A classificao das tcnicas e medidas a seguinte:
- NR (Not Recommended): no recomendada a utilizao desta tcnica;
- -----: a utilizao da tcnica indiferente, no possui recomendaes a favor ou
contra;
- R (Recommended): recomenda-se a aplicao desta tcnica;
- HR (Higly Recommended): o uso desta tcnica ou medida fortemente
recomendado.
O uso de uma tcnica NR, bem com a ausncia de utilizao de uma tcnica HR,
implica na necessidade de uma justificativa. So apresentadas, tambm, tcnicas que so
consideradas alternativas entre si, identificadas com o nmero referente tcnica
sucedido por uma letra. Assim, o uso de apenas uma das tcnicas alternativas o
suficiente, pois so consideradas similares. As descries de cada tcnica esto
presentes na IEC 61508-7, sendo referenciadas nas tabelas da IEC61508-3 pela coluna
Ref.
30

5.2 Funcionalidades e caractersticas
O software SVA apresenta uma tela inicial (figura 5.1), na qual aparece o logo do
sistema e os menus, que ao serem clicados expandem revelando os subitens do menu
selecionado. A seguir sero ilustradas algumas telas do sistema, alm de explicaes
gerais sobre as funcionalidades.

Figura 5.1: Tela inicial do sistema.
Um dos itens do menu rea Administrativa o cadastro de eventos. Esta tela
permite a incluso de eventos com suas respectivas datas e horas de ocorrncia. Tem
por objetivo auxiliar os usurios a manterem-se atualizados sobre os eventos
importantes. A figura 5.2 ilustra resultados de pesquisa de eventos:

Figura 5.2: Resultados de pesquisa de eventos.
31

De maneira geral, as telas de pesquisa oferecem a possibilidade de edio de um
registro existente. Para tanto, basta clicar na linha que contm as informaes do
registro desejado.
O menu Base de Conhecimento apresenta as seguintes funcionalidades:
- Tpicos: permite cadastro, edio e consulta de tpicos importantes diretamente na
tela, na forma de texto;
- Documentos Gerais: funcionalidade que possibilita a gravao e consulta de
arquivos que contenham contedo tcnico relevante;
- Links teis: utilizada para cadastrar e manter links (url) que sejam considerados
interessantes. A figura 5.3 ilustra um resultado de pesquisa na tela de pesquisa de links:

Figura 5.3: Resultados de pesquisa de links.
Dentre as outras funcionalidades do menu rea Administrativa esto as referentes ao
gerenciamento de usurios e de projetos. A figura 5.4 mostra os resultados de uma
busca de usurios:

Figura 5.4: Resultados de pesquisa de usurios.
A tela de cadastro de projetos permite ao usurio do sistema cadastrar um projeto
onde informado o nome do projeto, a empresa para a qual o projeto est sendo
32

desenvolvido, o SIL pretendido, alm do gerente e responsvel tcnico. Os dois ltimos
so preenchidos atravs de uma popup de busca de usurios j cadastrados, que
mostrada quando do clique no boto ... do campo desejado.

Figura 5.5: Tela de cadastro de projetos.
Ao clicar no menu Validao, so apresentados 4 submenus (SIL 1, SIL 2, SIL 3 e
SIL 4). Ao selecionar o SIL desejado, o sistema carrega uma tela com os ciclos de vida
e as tcnicas a ele relacionadas, bem como o ndice de referncia da tcnica e o nvel de
recomendao para o SIL selecionado. As informaes sobre as fases do ciclo de vida
de segurana de software, bem como suas respectivas tcnicas, encontram-se ao longo
das tabelas A.1 at A.10 do Anexo A da IEC 61508-3. O cdigo do ciclo de vida
representa a qual tabela de tcnicas da norma ele est associado. No caso de uma
tcnica, representa o prprio cdigo da tcnica dentro da tabela da fase do ciclo de vida
a qual pertence. Para efetuar a verificao, o usurio seleciona as tcnicas que esto
sendo utilizadas atravs da checkbox associada a cada tcnica. Ao acionar o boto
Validar, o sistema verifica se alguma tcnica HR no foi marcada, e/ou se alguma
tcnica NR foi selecionada. Caso acontea, o sistema avisa que em ambos os casos h a
necessidade de apresentar uma justificativa.

Figura 5.6: Exemplo de tela de validao para SIL 1.
Alm das funcionalidades j citadas, no menu rea Tcnica esto presentes as
funcionalidades que permitem o gerenciamento dos ciclos de vida, bem como das
tcnicas/medidas presentes nas tabelas dos anexos A e B da IEC 61508-3, alm das
respectivas referncias. Tem por objetivo proporcionar flexibilidade aplicao, para
torn-la adaptvel a eventuais mudanas.
33

5.3 Particularidades do desenvolvimento
Para a implementao do software SVA a linguagem de programao utilizada foi o
Java, que tem como paradigma a orientao a objetos. Diferentemente das linguagens
convencionais, que so compiladas para cdigo nativo, a linguagem Java compilada
para um bytecode, o qual ento executado por uma mquina virtual.
O sistema roda em um servidor Apache Tomcat, que um servidor web Java, ou
mais especificamente um container de servlets. Permite acesso remoto, tendo suas
pginas web desenvolvidas com a tecnologia JSP (Java Server Pages), que uma
tecnologia utilizada no desenvolvimento de aplicaes web, semelhante s tecnologias
ASP ou PHP. Permite ao desenvolvedor produzir aplicaes que acessem o banco de
dados, manipulem arquivos no formato texto, capturem informaes a partir de
formulrios e captem informaes sobre o visitante e sobre o servidor.
Quanto ao banco de dados, utilizada uma instncia de banco de dados relacional
Apache Derby para efetuar o armazenamento e manipulao dos dados.
As classes do sistema (figura 5.1) dividem-se entre 11 classes e 3 enumeraes,
totalizando 14 classes:
- EventoAgenda: classe que representa eventos da agenda, com os atributos data,
hora, nomeEvento e infoEvento (descrio);
- DocumentoConhecimento: responsvel por abstrair objetos que contm o arquivo,
o nome informado pelo usurio (nomeDoc), descrio do arquivo e o nome do arquivo
no sistema (docName);
- LinkConteudo: representa os objetos formados pelo nome, assunto e endereo url;
- Topico: abstrai objetos que contm nomeTopico, assuntoTopico e conteudoTopico,
todos no formato String;
- DocumentoProjeto: semelhante classe DocumentoConhecimento, com a adio
de um atributo que faz referncia a um projeto;
- Usuario, que representa a abstrao dos dados de usurios, com os atributos email,
nome, perfil e username;
- Projeto: representa os objetos que contm nomeProjeto, nomeEmpresa,
silPretendido, gerenteProjeto e responsavelTecnico (sendo os 2 ltimos instncias da
classe Usuario);
- CicloVida: define os atributos dos objetos que representam as fases do ciclo de
vida, dentre eles cdigo, nome descricao e uma lista de tcnicas que so referenciadas;
- TecnicaMedidaA: representa as tcnicas e medidas atravs dos atributos codigo,
nome, cicloVida (referncia a qual fase do ciclo de vida a tcnica pertence), sil1, sil2,
sil3, sil4, alm de uma lista de tcnicas das tabelas do anexo B as quais referencia;
- TecnicaMedidaB: representa objetos parecidos com os da classe TecnicaMedidaA,
diferindo destes pois tem ligao com um objeto do tipo TecnicaMedidaA ao invs de
um objeto do tipo CicloVida;
- Referencia: objetos que possuem os atributos codigo, nome, descricao e objetivo,
alm de listas de tcnicas (das tabelas dos anexos A ou B da IEC 61503-3) pelas quais
so referenciadas;
34

- As enumeraes PerfilUsuario, Sil e NivelRecomendacao, cujos valores
representam um conjunto finito de identificadores previamente definidos.
A figura 5.1 ilustra o diagrama de classes do sistema implementado, apresentando as
classes do sistema, bem como seus atributos e a relao entre elas:

Figura 5.7: Diagrama de classes do sistema.
O diagrama de classes uma representao da estrutura e relaes das classes que
servem de modelo para objetos. Define as classes que o sistema necessita possuir e
serve como base para a construo de outros elementos da documentao.
35

A figura 5.8 ilustra os tipos de usurio do sistema e as funcionalidades (ou Use
Cases - UC) que cada perfil tem acesso:

Figura 5.8: Permisso dos usurios do sistema em relao aos casos de uso.
Os perfis de usurio so: gerente (ou administrador), tcnico e usurio comum. A
hierarquia entre os perfis ocorre da seguinte forma (como apresentado na figura 5.8):
- um usurio comum possui acesso apenas s funcionalidades UC09 a UC15;
36

- usurio com perfil tcnico tem acesso s funcionalidades de um usurio comum,
acrescentando-se as funcionalidades de perfil tcnico. So representadas pelos UC01,
UC02 e UC05 a UC08;
- um usurio administrador (ou gerente) tem acesso pleno ao sistema.
5.4 Trabalhos futuros
A norma internacional IEC 61508 bastante abrangente. Uma opo para dar
continuidade ao trabalho seria desenvolver uma extenso ao SVA, onde o foco seria um
tutorial interativo, exemplificando e ilustrando as etapas funcionais para a aplicao das
normas de software e hardware. Outra forma de estender a aplicao seria atravs da
implantao de um mecanismo de envio de email automtico aos envolvidos em um
projeto. Este envio seria acionado quando da alterao de datas, documentao,
participantes ou qualquer informao relevante para o projeto.
37

CONCLUSO
Ao longo deste trabalho, vrias caractersticas da norma internacional IEC 61508
foram abordadas, visando fornecer uma viso geral sobre o seu funcionamento e
importncia. A IEC 61508 estabelece os requisitos necessrios para assegurar que os
sistemas sejam projetados, implementados e operados para suprir as exigncias do nvel
de integridade de segurana (SIL) requerido. A norma define tambm um processo a ser
seguido por todas as partes envolvidas, com o objetivo de uniformizar a terminologia e
os parmetros do sistema.
Embora elogiada por sua adaptabilidade a vrios setores e por fornecer uma srie de
tcnicas e medidas interessantes, a norma recebe tambm vrias crticas. A IEC 61508
peca ao deixar muitos pontos vagos em relao documentao, sem apresentar
exemplos consistentes de prottipos de documentos ou justificavas para a adoo de
tcnicas alternativas. Da mesma forma, muitas vezes necessrio recorrer a outras
normas para complementar o conhecimento requerido para o processo de certificao.
No Brasil, a crescente demanda por componentes certificados para questes de
segurana faz com que este ramo de software para segurana seja igualmente
impulsionado. O software SVA elaborado ao longo deste trabalho tem o intuito de
esclarecer vrios aspectos relacionados norma. Igualmente, tem por objetivo servir
como uma alternativa de ferramenta de apoio aplicao das padronizaes em
sistemas relacionadas segurana, uma vez que as ferramentas existentes no so, na
sua maioria, gratuitas.
O SVA foi planejado e implementado em Java, linguagem de programao que tem
como paradigma a orientao a objetos. Tem por caractersitca a compilao do cdigo
fonte para um bytecode, o qual executado por uma mquina virtual, permitindo a
portabilidade entre sistemas. O SVA abrange todas as fases do ciclo de vida de
segurana de software, permitindo desde a incluso de novas fases, como tambm a
alterao das fases existentes. Isto se mostra muito til no intuito de tornar o sistema
adaptvel a eventuais mudanas na norma, mesmo que estas no ocorram com grande
frequncia. O mesmo comportamento apresentado para as tcnicas relacionadas s
fases do ciclo de vida, o que proporciona flexibilidade aplicao. Alm de auxiliar na
verificao da utilizao das tcnicas pertinentes, o SVA permite a manuteno de
registros de usurios, projetos e eventos. Oferece apoio tambm para a criao de uma
espcie de base de conhecimento, atravs de funcionalidades de cadastro e busca de
links, tpicos e documentos. Isto possibilita a criao de um banco de informaes que
sejam relevantes ao contexto e que estejam disponveis para consulta e acesso rpido
pelos usurios do sistema.
38

REFERNCIAS
SMITH D.J.; SIMPSON, K.G.L.; Functional Safety: a straightforward guide to
applying IEC 61508 and related standards, Elsevier, Butterworth-Heinemann, U.K.
2edio, 2004.
BELL, R. Introduction to IEC 61508 ACS Workshop on Tools and Standards,
Conference in Research and Practice in Information Technology, Vol. N 55, 2005.
BROWN, S. Overview of IEC 61508 Design of electrical/electronic/programmable
electronic safety-related systems IEEE Computing and Control, Engineering Journal,
fevereiro 2000.
BLACK, W.S. IEC 61508 what it doesn't tell you IEEE Computing and Control,
Engineering Journal, fevereiro 2000.
DUNN, W. R. (2003). Designing safety-critical computer systems. IEEE Computer,
36(11):40 46. ISSN 0018-9162, novembro 2003.
FALLER, R. Project Experience with IEC 61508 and Its Consequences U. Voges
(Ed.): SAFECOMP 2001, LNCS 2187, v. 2187 p. 200214, 2001.
INTERNATIONAL ELECTROTECHNICAL COMISSION. IEC 61508: functional
safety of eletrical/eletronic/programmable eletronic safety-related systems. Geneva,
2000-05.
LADKIN, P. B.; An Overview of IEC 61508 on E/E/PE Functional Safety, Bielefeld,
2008, disponvel em: <http://www.causalis.com/IEC61508FunctionalSafety.pdf>,
acesso em: out. 2011.
MCDERMID, J.A. Software Safety: Wheres the Evidence? Proc. 6th Australian
Workshop on Industrial Experience, v.3, 2001.
SIQUEIRA T. F.; MENEGOTTO, C.C.; WEBER, T. S.; NETTO, J.C.; WAGNER, F.R.
Desenvolvimento de Sistemas Embarcados para Aplicaes Crticas IV Escola
Regional de Redes de Computadores, Passo Fundo, setembro 2006.
WEBER, T.S. Norma IEC 61508 Parte 3: Software, slides de curso ministrado.

Pginas na internet (acessadas entre setembro e novembro de 2011):
Wikipedia: The Free Encyclopedia IEC 61508
http://en.wikipedia.org/wiki/IEC_61508

Functional Safety and IEC 61508
http://www.iec.ch/functionalsafety/
39


ISO, International Organization for Standardization
http://www.iso.org/

The 61508 Association
http://www.61508.org/

Inside Functional Safety - IEC 61508:2010 Terms and definitions
http://www.insidefunctionalsafety.com/knowledge/glossary.html?letter=All&glossid=8