Este trabalho de Livre-Docência tem como objetivo apresentar uma Metodologia de Análise de Risco aplicada a sistemas computacionais críticos quanto à segurança, ou seja, sistemas que podem provocar perdas ou danos a vidas humanas, prejuízos ao meio ambiente ou grandes perdas materiais. Este tema está englobado em diversos projetos de pesquisa em andamento, sob orientação do docente, dentro do Grupo de Pesquisa que coordena, Grupo de Análise de Segurança - GAS. Este trabalho está organizado em seis capítulos. O capítulo 1 tem o objetivo de apresentar os aspectos motivadores, um breve histórico da área de segurança e sua complexidade envolvida. O capítulo 2 apresenta conceitos relevantes em sistemas de segurança, destacando o papel do ser humano nesses sistemas e apresentando, também, uma sugestão de padronização de terminologia discutida e utilizada no GAS. O capítulo 3 apresenta uma Metodologia de Análise de Risco, envolvendo as etapas de Definição e Descrição do Sistema, Análise de Perigo ("Hazard"), Qualificação do Risco Residual, Redução da Severidade dos Acidentes e Realimentação e Avaliação da Experiência Operacional. A etapa de Análise de Perigo é apresentada em mais detalhes, por constituir-se numa etapa fundamental dentro do processo de Análise de Risco. O conjunto do Gerenciamento da Segurança com a Análise de Risco constitui-se num processo mais amplo, denominado Análise de Segurança. Neste capítulo é também realizada uma breve apresentação dosaspectos gerenciais da segurança. No capítulo 4 são apresentados dois estudos de casos. A primeira aplicação refere-se a um sistema metroviário, onde são destacados diversos resultados já obtidos ao longo da aplicação da metodologia de análise de risco. A segunda aplicação diz respeito ao sistema de controle de tráfego aéreo. Esta atividade está em processo de iniciação e de definição das pesquisas a serem realizadas pelo GAS. ) Neste sentido, o objetivo desse item é o de apresentar a forma com que a metodologia de análise de risco pretende ser aplicada a uma outra área de aplicação, além de serem apresentados alguns resultados preliminares das pesquisas em andamento. No capítulo 5 são apresentadas as conclusões e considerações finais desta tese, além de serem apontadas futuras atividades de pesquisa que se mostram promissoras na área de análise de risco. No capítulo 6 são apresentadas as referências bibliográficas. 1.1 Motivação - Ao longo dos últimos 15 anos o autor desta tese vem se dedicando a trabalhos de pesquisa que se enquadram na área de confiabilidade e segurança de sistemas computacionais. Dentro desta linha de pesquisa, os diversos projetos de pesquisa e extensão, em andamento, estão relacionados com sistemas críticos, ou seja, sistemas em que uma falha pode provocar perdas de vidas humanas, danos ao meio ambiente ou grandes perdas materiais. Um grande desafio em relação aos sistemas críticos, que envolvem técnicas computacionais, está napesquisa de metodologias, métodos e ferramentas a serem utilizadas na avaliação da segurança desses sistemas, permitindo sua relação com os níveis de risco aceitáveis pela sociedade. Através das pesquisas realizadas, dentro do GAS, conclui-se que há grandes discussões com relação à padronização de metodologias a serem aplicadas aos sistemas críticos, discussões sobre avaliações quantitativas e qualitativas, além de debates sobre quais métodos de análise de perigo devem ser usados em função de uma maior criticidade dos sistemas sendo avaliados. ) 1.2 Histórico e Complexidade do Problema - Sistemas computacionais têm sido utilizados praticamente em diversos sistemas atualmente projetados, muitas vezes substituindo, ou então controlando intertravamentos vitais, até então projetados e implementados exclusivamente por intermédio de circuitos eletro-mecânicos, válvulas, relês mecânicos entre outros. Um computador pode desempenhar diversos papéis dentro de um sistema crítico quanto à segurança. Ele pode, por exemplo, ser utilizado simplesmente fornecendo informações sobre o processo a um controlador humano. Em um segundo estágio, o computador pode fornecer algum tipo de interpretação sobre os dados coletados, ou finalmente comandar todo o processo, sem o auxílio de um operador. Pode-se imaginar que o primeiro caso seja o mais seguro, o que nem sempre é verdade. Se o computador apresentar alguma informação de forma incorreta, irá induzir o operador a agirincorretamente. O motivo pelo qual a utilização de computadores é cada vez maior em sistemas dos mais diversos tipos é que eles propiciam capacidade de controle, velocidade de resposta e desempenho amplamente superiores a qualquer outro meio até então utilizado. Outro aspecto valorizado nos computadores é a flexibilidade em se realizar alterações no software. Realmente, a alteração em si é extremamente simples de ser efetivada. No entanto, uma mudança no software pode introduzir erros não previsíveis, sendo, portanto, necessária uma avaliação completa do software modificado. Também no que se refere à confiabilidade obtida com a utilização de computadores, pode-se pensar que seja maior do que àquela obtida com o uso de componentes convencionais. No entanto, os modos de falha do hardware que compõe um computador são extremamente complexos e difíceis de se prever. ) Há ainda o componente software que, embora não apresente desgaste, pode conter erros ou alguma combinação inadequada com falhas de hardware, cujas conseqüências nem sempre são imediatamente compreendidas ou avaliadas. Não há atualmente uma metodologia amplamente aceita que avalie a segurança de um software, de modo a se poder compará-la com a de um hardware com características equivalentes. Uma possibilidade seria produzir um software completamente livre de falhas, o que até hoje tem se mostrado uma tarefa de enorme dificuldade, principalmente considerando-se o tamanho e a complexidade dosprogramas de controle de sistemas existentes. Há ainda a saída de se testar exaustivamente um software de maneira a se verificar seu comportamento em todos os caminhos possíveis, o que é inviável na prática, devido ao enorme número de estados que um software, mesmo não muito sofisticado, pode assumir. Também podem ser citados os métodos formais, que exigem que as especificações sejam feitas através de linguagens formais, tais como Z e VDM. Um problema com esta abordagem é que muitas das falhas devidas ao software não têm como origem desvios em relação à sua especificação, mas esta última pode conter omissões, incompletezas ou erros. Vale ressaltar também que a propriedade de segurança não é uma propriedade inerente ao software considerado isoladamente, mas fundamentalmente do sistema e do ambiente no qual ele é utilizado. Dessa forma, a reutilização de um software considerado seguro em um sistema não significa, necessariamente, que será segura em outro sistema e ambiente. ) Muito esforço tem sido investido, envolvendo tempo e recursos na busca de um software perfeito, enquanto que pouco tem sido investido em outra direção, que seria a de se obter sistemas robustos e seguros mesmo na presença de erros no software ou qualquer outro tipo de erro. Nesse sentido, o desenvolvimento de metodologias para avaliação da segurança e da robustez de um sistema constituem-se em promissores campos de pesquisa na área de sistemas computacionais críticos.

No Abstract