Nesta etapa elabora-se a análise de risco do sistema considerando-se os requisitos de segurança já elicitados nas atividades anteriores. Essa análise é baseada na Análise de Árvore de Falhas – FTA (figura 3.11) e na Análise de Perigos e Operabilidade - HAZOP (tabela 3.5).
O objetivo dessa atividade é realizar uma Avaliação Probabilística de Risco- PRA que permita identificar os principais riscos relacionados aos objetivos de segurança do sistema, considerando-se os vários pontos de vista de arquitetura do sistema. Entretanto, na primeira iteração do processo de desenvolvimento a elaboração de uma PRA é dificultada pela alto nível de abstração em que se encontra o detalhamento do sistema, assim, neste primeiro ciclo de desenvolvimento esta atividade consiste da identificação dos principais riscos do sistema, de modo a permitir a focalização da análise de segurança nos aspectos mais críticos.
Uma análise de risco, realizada com precisão, para uma subestação de extra- alta tensão exige uma análise completa dos perigos e riscos do Sistema Interligado Nacional como um todo, considerando as possíveis influências das outras subestações interconectadas à subestação sob análise.
Figura 3.12: Grafo GRL e UCM para verificação entre requisitos e cenários de segurança do SSC-STE OGS01 Requisitos de Segura RSA02 RSA03 RSA01 CN02
Cenários de Segurança/Casos de Uso
RSA05 RSA07 RSA06 RSA10 RSA09 RSA04 RSA08 CN03 CN07 UC09 CNS04 CNS03 CNS07 CNS02 CNS01 CNS05 CNS06 CNS08 UC02
Não existem referências de que uma análise desse tipo tenha sido realizada no Sistema Interligado Nacional, além do mais, mesmo que uma análise tivesse sido executada dificilmente esta teria considerado a influência de eventos iniciadores do tipo falha provocada por operadores maliciosos ou por intrusos externos à rede do sistema elétrico, uma vez que o nível de digitalização e integração dos sistemas digitais de supervisão, proteção e controle de ainda é limitado (a maioria das informações recebidas atualmente pelo ONS são provenientes de unidades terminais remotas ligadas diretamente ao controle central e ainda existe um grande número de relês de proteção convencionais sem tecnologia digital). Adicionalmente, os projetos dos sistemas de supervisão e controle existentes nas subestações sempre foram voltados para o conceito de alta confiabilidade e, principalmente, alta disponibilidade em função do modelo de comercialização e administração do fluxo de energia adotado pelo Ministério de Minas e Energia para o sistema elétrico brasileiro (MME, 2003).
A precisão de uma análise de risco também depende de dados de falha dos componentes, acidentes e incidentes operacionais (ativação de eventos iniciadores inseguros) da subestação. Esses dados, juntamente com os atributos de qualidade dos componentes computacionais (tais como confiabilidade, disponibilidade, segurança de acesso) também não estão disponíveis. Os dados de falha de componentes utilizados em sistemas de supervisão e controle baseados em relês convencionais não são adequados. Para uma estimativa grosseira de taxa de ocorrência de falhas podem ser utilizadas referências internacionais, entretanto, essa consideração apresenta uma série de limitações, especialmente com relação aos aspectos culturais brasileiros que influenciam desde as decisões de concepção de projeto desses sistemas, assim como o comportamento dos operadores e o perfil de ataques exteriores que devem ser considerados.
Em função dessas limitações, o autor deste trabalho optou por realizar a análise de risco considerando apenas aspectos qualitativos dos riscos, permitindo uma comparação relativa entre os riscos considerados. Para essa análise adotou-se o conceito da norma IEC1508-5:1997, que define a necessidade da redução do risco
identificado para um valor tolerável, dentro de uma situação específica e o seu relacionamento com os níveis de integridade de segurança. A aceitação do risco como tolerável é baseada no princípio ALARP (As Low As Reasonably Practicable), levando-se em consideração aspectos de custo/benefício da redução do mesmo (IEC- 1508-5, 1997).
A norma IEC1508-5:1997 estabelece quatro classes de risco:
• Classe I: risco intolerável e devem ser adotadas todas as medidas necessárias para sua mitigação;
• Classe II: risco indesejável, porém tolerável somente se a redução do risco é impraticável ou se os custos para essa redução são desproporcionais à melhoria obtida;
• Classe III: risco tolerável se o custo da redução exceder à melhoria obtida; • Classe IV: risco desprezível.
A classificação de cada evento de segurança numa dessas classes de risco depende da conseqüência do evento (catastrófico, crítico, marginal ou desprezível), bem como da freqüência de sua ocorrência (freqüente, provável, ocasional, remoto, improvável ou desprezível), sendo essa classificação específica por área de aplicação. Conforme citado anteriormente, no setor elétrico brasileiro (e mesmo a nível internacional) ainda não existe uma padronização para caracterização da conseqüência do evento de segurança, bem como não existem parâmetros para a definição da freqüência de ocorrência desses eventos. Entretanto, como o objetivo desta análise é uma comparação relativa da criticidade dos vários cenários de segurança dotou-se uma classificação intuitiva (em função da experiência do autor) para a definição das conseqüências dos eventos (conforme discutido na etapa de elicitação dos requisitos globais e cenários de segurança e representado na tabela 3.5). Com relação a sua freqüência de ocorrência os cenários de segurança foram classificados, também intuitivamente e em função de discussão com especialistas da área, sendo o resultado apresentado na tabela 3.8.
Tabela 3.8: Freqüência dos cenários de segurança do SSC-STE Cenário de Segurança
(CNS) Freqüência Justificativa
CNS01: Abertura indevida das
seccionadoras S11, S12, S13 com carga na linha (atores: operadores locais, intrusos internos, intrusos externos)
Remota Ocorrência rara devido a existência de intertravamento local convencional e a atual inexistência de comando externo a subestação
CNS02: Fechamento indevido das
lâminas de terra LT11, LT12, LT13 com linha viva ou barra viva (atores: operadores locais, intrusos internos, intrusos externos)
Ocasional Ocorrência rara, porém geralmente realizada no modo local para manutenção, onde existe a possibilidade de desativação do
intertravamento local convencional.
CNS03: Fechamento indevido das
seccionadoras S11, S12, S13 com lâminas de terra fechadas e linha viva ou barra viva (atores:
operadores locais, intrusos internos, intrusos externos)
Remota Ocorrência rara devido a existência de intertravamento local convencional e a atual inexistência de comando externo a subestação
CNS04: Fechamento indevido do
disjuntor Q11 com lâminas de terra fechadas e linha viva ou barra viva (atores: operadores, intrusos internos, intrusos externos)
Remota Ocorrência rara devido a existência de intertravamento local convencional e a atual inexistência de comando externo a subestação
CNS05: Abertura indevida do
disjuntor Q11 com carga na linha, em vários nós da rede (atores: intrusos externos)
Ocasional Ocorrência individual provável devido a ausência de intertravamentos e a sua origem que pode ser a partir dos relês digitais; mas considerada ocasional pois é insegura apenas se ocorrerem comandos simultâneos em vários sistemas (ataque externo)
CNS06: Abertura indevida do
disjuntor Q21 com carga na linha, em vários nós da rede (atores: intrusos externos)
Ocasional Ocorrência individual provável devido a ausência de intertravamentos e a sua origem que pode ser a partir dos relês digitais; mas considerada ocasional pois é insegura apenas se ocorrerem comandos simultâneos em vários sistemas (ataque externo)
CNS07: Comutação indevida da
posição do Tap do auto-
transformador ATR1 com carga na linha, em vários nós da rede (atores: intrusos externos)
Ocasional Ocorrência individual provável devido a ausência de intertravamentos e a sua origem que pode ser a partir dos relês digitais; mas considerada ocasional pois é insegura apenas se ocorrerem comandos simultâneos em vários sistemas (ataque externo)
CNS08: Abertura indevida do
disjuntor QR1 com carga na linha, em vários nós da rede (atores: intrusos externos)
Ocasional Ocorrência individual provável devido a ausência de intertravamentos e a sua origem que pode ser a partir dos relês digitais; mas considerada ocasional pois é insegura apenas se ocorrerem comandos simultâneos em vários sistemas (ataque externo)
Como resultado final para cada um dos oito cenários de segurança foi atribuída uma classificação de risco, utilizando-se a tabela B.1 da norma IEC1508-5:1997 como referência, resultando na classificação de risco apresentada na tabela 3.9 (IEC- 1508-5, 1997).
Tabela 3.9: Classificação de risco dos cenários de segurança do SSC-STE Conseqüência
Freqüência
Catastrófica Crítica Marginal Desprezível
Freqüente
Classe I Classe I Classe I Classe II
Provável
Classe I Classe I Classe II Classe III
Ocasional Classe I CNS02 CNS05 CNS06 Classe II CNS07 CNS08
Classe III Classe III
Remota Classe II CNS01 CNS03 Classe III CNS04
Classe III Classe IV
Improvável
Classe III Classe III Classe IV Classe IV
Desprezível
Classe IV Classe IV Classe IV Classe IV
Analisando-se a classificação apresentada na tabela 3.9 pode-se verificar que os cenários de segurança que devem ser prioritariamente tratados são CNS02, CNS05 e
CNS06, sendo estes dois últimos associados a características de security; em seguida
devem ser priorizados os cenários CNS01 e CNS03, seguidos pelos cenários CNS07,
CNS08 e finalmente CNS04.
Essa priorização pode ser levada em consideração na análise conjunta dos requisitos, onde tipicamente emergem os conflitos entre requisitos.