Mi|hoes de

~ lnstru9oes no C6digo 40 objeto so 90 lO$S 1970 197$ 1990 Pode-Se observer,na Figura 1, um crescimento exponencial do empregode software no programa Aeroespacial norte-americano.

A crescente utiliza5o dos softwares Ctfticos Embarcados nos Sistemas Aeroespaciais devese, principalmente,ao desenvolvimentoda tecnologia digital, ao controle computadorizadode tarefas, reusabilidadedo software, it miniaturizano, ixreduAo de custos e itfacilidade de integraKOdos Sistemas computadorizados.

0 emprego de computadores para apoio aos processos de controle e decisAo de Sistemas Aeroespaciais salienta a necessidade de se desenvolver ou adapter novas tecnologias, compostas de m6todos, tecnicas, ferramentas e mdtricas, para garantir a Segurana dos mesmos. Busca-se assim evitar que uma falha do computador venha a comprometer o funcionamentoou desempenho de todo o sistema. Considera-Seo software como o componentede um computadormais passivel izocorr8nciade falhas,exigindo a realiza5o de sen desenvolvimentocom Garantiade Segnrana, ou seja, garsUndo que.o mesmo,i funionar em um szstemasem resuJtarem rxscosznacextavezsb.sse tipo de estudofaz parte da area de Segurana de software (software Safety).

Neste artigopropoee..Sae definio de uma Sisternatica para a realizao de uma Analise de Segurana de um software CrfticoEmbarcadoAeroespacial (SCEA), deterrninando-seas restriJes de Seguranqade software para este tipo de aplica20. 2. Seguran

de Software De acordo com o que foi apresentadoanteriormente,a Segurana de software envolve estudos paragarantirQue o software execute suas funJes sem acarretarisco inaceitdvelpara a Segurana do sistema,dos usuariOse do meio arnbienteem Queo sistema estdinserido.

Portanto,pode-Se considerera Segurana de software como um fatorexplfcito de Qualidade,uma vez que, caso eta no se verifiquepara um software ele ago atenderd expectativas do usuo [Lovisi e Cunha,1999]. A Garantiade Segurangade software comp5e-Sede uma seqO8nciade atividadesplanejadasque visam assegurara imunidadeda aplicaAo de software em rela5o a possibilidade de ocasionar acidentesque comprometarna Vidahumana,o meio ambiente, ou a propriedade[ Moura 1996 ].

Define-se EstrateSiade Segurana de software como um conjunto de atividadesque visam garantirque a Segurana de software e devidamentetratadano desenvolvimentoou manuten(;:2doo mesmo. O padrAo MIL-STD498 recomendaa definiAo de urna Sisterndticade Segurana como estraregiade Segurana de software [ Santellanoet aI, 1998 ].

Neste artigoserdapresentadauma Sistem5ticapara Anise de Segurana, que Se aplica somente duranteo desenvolvimentodo software Critico.Dessa forma, procura-seatestarnfveis mais adequadosde Segurana ao processo de desenvolvimentode software, desde as primeiraslases de sua concep20.

Parao desenvolvimentodeste estudo, d accessario apresentaralgumas definiJes relacionadasit Segurana de software[P6rtoe De Bortoli, 1997; Ippolito e Wallace, 1995]: . Acidente (Mishap) e um evento n5o planejadoqua causaperdas humanas,danos ao meio ambienteou danos aos equipamentos; . Defeito (Fault) uma imperfeio existenteno co<ligoroute do programaQue,ao ser ativada,pode produzirerro; . Erro(Error) a rnanifestaAofisica de um defeito que pode gerarfalha; * Falha (Failure) a inabilidadedo software em cumpriralgum requisito operacionalde sua responsabilidade,ou ainda,a produAo de um efeito indesejado do software; - EstadosInsegurosou Perigos (Hazards) o os estadosdo sistema que, combinadosa certas condiJes extemas, podem levar a acidentes; * Um Sistema Critico (CriticalSystem) apresenta restriJes relacionadasa um determinadofator, como por exemplo: financeiro,tempo, capacidade do equipamentoe segurana. Abordam-Seaqui apenasos Sistemas Crfticosquantoa Segurana, ou seja, no contextodeste artigoqualquer refer8nciaa Sistemas Criticosrelaciona-se somente a SistemasCriticos quanto k Segurana; e * Risco (Risk)para esta dreado conhecimento deflnido em fun&o dos seguintes fatores: . da probabilidadede ocorrencia de Estados

Inseguros; * da probabilidadedos EstadosInseguros

acarretaremacidentes; e * pior perdapossfvel associada a esse

acidente. 3 Desenvolvinlento

Define-se software como: urns seqnHncia de instruJes que, quando executadas,produzem a fun5o e o desempenho desejados; as estruturas de dados necessarias para a realiza80 destas instruJes; e toda a documentaAo que descreve a operaAo e o desenvolvimentodo mesmo [ Pressman,1995 ].

0 ciclo de desenvolvimento de um software compreendetodas as fases, que v5o desde a concepo ate sens ensaios ou testes.

Os autoresprop6em a inclus&ode um procedimentopara a Analise de Segurana de software ao ciclo de desenvolvimento, visando trataro problems da Segurana de software desde o inicio de sua implementa&o. Nessa lase busca-se determinere availer as falhas do softwareque possam levar o Sistema, que ele faz pane, a um Estado Inseguro.A Analise de Segurana de software possui grandeimpolnlncia, principalmenteparasoftwares componentes de Sistemas Criticos.Essa amilise6 desenvolvida a partirdas informaJes obtidas naAnalise de Sisternas.

Enquantoa lase de Andlise de Sistemasde uma metodologia visa a identificago das fung6es que o software deve executer, a 'Amiusede SeguranVa concentra-Seem qua o softwaremio deve executar veson, 199 I)Pararealizaresta aruilisecom sucesso necessitase tambem de uma sisterndticahem defmida,composts de mtodos e tecnicas, objetivandoa identificaq&oe a avaliaV5odos Estados Inseguros.

No pr6ximo item, apresenta-seas atividadesQue constituema An;nise de Segurana de software, de acordo com Osestudos publicados nas refer8ncias[ leveson, 1991 ; Leveson e Harvey, 1983 ; Moura, 1996 ). 4 Antilise de Segumn Como apresentado anteriormente, a Analise de Segurana de software baseia-se em determiner quais situsJes podem levar o Sistema a um Estado Inseguro. Esta anise possui diversas atividades, visando: identificar os Estados Inseguros e as falhas que os originaram; determinar o Fator Cntico (Criticality) dos mesmos; e ainda, av&liara aceitabilidade dos niveis de Seguran do Sistema. A Figura 2 a seguir apresenta codas as atividades componentes da Analise de Segurana de software, hem como as informa6es de entrada e de saids de cada uma destas atividades Caum

Riscos

R<!sulmdo Figura 2: ProcedimenW para Ane de Segnran

CabeASistemdticaparaAndIlsede Segurana, determinar as t6cnicas a serem aplicadase a seqn8nciade utiliza&o dasmesmas, de acordo com as caracteristicasda aplica50" Ap6s a identificao dos EstadosInsegnros,realiza-se urnaavalia80 dos mesmos quanto ao sen Fator Critico, considerandofatorescomo Severidadedo acidente ativadopelo EstadoInseguroe sna Probabilidadede ocorr8ncia[ Leveson, 1991 1.

A determina&odo FatorCritico dos Estados Inseguros consisteem classificar Osmesmos, de acordocom a Severidade(Severity) do acidentecausadopor eles (Catastr6fico,Crltico, Marginale Menor) e a Probabilidade(Probability)de ocorr6nciadeste acidente (Freqacute,Provdvel, Ocasional,Remote e Improvvel). A Tabela I mostraa classificaSo dos Estados Inseguros quantoao Fator Criticopropostano padr5obritAnicoInt Def Stan 00-56 [Ministryof Defense, 19971.

Faixa de Probabihdad Freqiiente PrOvgvel OCaSiOS2I Remom Improvvel

Fator Critic.

Tipo de Severidade Camstr6 fica

CIib"Ca Marginal Desprezivet T4 T4 T3 T3 T2

T4 T3 T3 T2 T2

T3 T3 T2 T2 Tl

T2 T2 T2 Tl Tl Tabela 2 - Cla[ssificao do Acidente quanto ao Pater

Critico [Ministry of Defense 19971 Cadanfvel de FatorCritico exige nm tratamento diferenciadoparagarantira Segurana do software. Por exemplo,um estado do nine!T4 necessita de atenAo especial exigindo a utilize50 de estrnturasde program&o para evitar,controlaron recuperarsua ocorr&nciaa, o passoque, um estado do nivel Tl pode nAo dernandatrantoscnidados.

Dene-se observarlamb6mQue,devidoit falta de dados num6ricospara o software,geralmente desconsidera-sea sua classificaAo qnantok probabilidade.

Ap6s o t6rminoda determina8o do Fator Critico, avaliam-seos Estados InsegnrosnAoevitados, control&dosou recnperadoscomp3etamentep,ara determinerse os mesmos realmenten5o representamuma ameaa itSegurana de software,garantindoassim, Queo mesmo apresentaurnnivel aceinivel de risco. 5 Software Crifico Embarcado Aeroespacial SCEA As consider&Jes realizadasat6 ennlo, nAose relacionarn a nenhnmtipo peculiar de software.A partirdeste ponto, aborda-seneste artigo, apenasos softwares Criticos EmbarcadosAeroespaciais (SCEA`s)" Denornina-sesoftware Critico,aquele utilizadoem compntadorescomponentesde Sistemas Criticos.Este tipo de software exige urndesenvolvimento cuidadoso para garantira Segurana de software necessa, pois, uma falha na sua execuBo pode originarum acidente com grandes perdashumanas,econ6micas e ambientaisUm software Critico EmbarcadoAeroespacial (SCEA) e empregado em computadoresEmbarcadosem Sistemas Aeroespaciais. E importanteressaltarque essa classe engloba, tantoo software componentede computadores Embarcadosnas Aeronaves, quanto queles utilizadosnos equipamentOsde solo [Mourae Santellano, 1999]. Essa aplicao particulardo software Critico Embarcado, exerce as mats diversasfunV6esem Sistemas Aeroespaciais, principalmente,o apoio ixtomadade decis5es e controle de outroscomponentes.

Dene-Se aquiressaltara diferena entreum software para aplicago civil, onde 6 necessdrioevitar a ocorr8nciade acidentes que possam causarperdas de vidas, de um software paraaplica5o militar, onde 6 necessario garantir que o Sistema ir:icompletersua miss&ocom xito.

Embarcado Aeroespacz-al- SCEA

O software Crftico Embarcado Aeroespacial (SCEA), atualmente, Vernsendo empregado em novas funV6espara o software, em substituiilo a componentes eletr6nicos Que apresentam aka Confiabilidade e Segurana. Como os Sistemas Aeroespaciais possuem alto Fator Critico, os sens componentes de software possuem algumas caracteristicas peculiares, de acordo com [ Parnas, 1986 ; Moura et al, 1996 ], Que devem ser observadas para o sen desenvolvimento.

Esse tipo de software possui algumas restriJes em reJao ao tamanf o do c6digo, ixcapacidade da mem6ria e ao uso do processador. Ele deve iamb6m, implementer tcnicas qne permitam a recupera5o de dados perdidos ou danificados por interferncia eletromagn6dca no hardwareA utilizao do software Critico Embarcado em Sistemas Aeroespaciais, geralmente, objetiva: a execuAo de complexos cdlculos materndticos, mnitos dos quais mio podem ser realizados por seres hnmanos em tempo hdbil; a realiza2o de opera6es de auxilio e monitoramento do controle de todo o Sistema; a entrada de dados no Sistema; e a implementaV5odo controle das funJes bdsicas do Sistema.

O software deve ter alta qualidade, confiabilidade, segurana e toleriincia a falhas, pois qualquer erro em sua execu5o pode levar a um acidente com grandes perdas.

Cno Devido ixscaracterfsticas do software CxiticoEmbarcado Aeroespacial, algumas recomendaJes principais devem ser observadas para o sen desenvolvimento, a saber: a utiliza5o de um enfoque metodol6gico para o desenvolvimento do software; a adoV:5oe adaptaAo de padr5es Queprovm consideraJes sobre segurana; o uso de ferramentas CASE para apoio ao desenvolvimento; e uma documenta5o Clara e abrangente de todo projeto [ Parnas, 1985 ; Parnas, 1986 ; Leveson e Harvey, 1983 ; Moura et al, 1996 ]AI6m disso, a ad5o de procedimentos de testes sistemdticos com uso de simuladores de software e de estrat6Bias de certifica50, uma avalia5o quantitativa do software e a utiliza5o de m6todos formais podem ser necessariOs, de acordo com o grau de Confiabilidade e de SegnranVaexigidos do software.

Um estudo das interdependncias entre software e hardware, levando em consideraAo as caracteristicas da aplicaV5o,e tamb6m uma investigaAo dos acidentes envolvendo softwares semelhantes podem ser importantes fontes de informaV5o,permitindo a identifica20 das fraquezas e prioridades do processo de desenvolvimento. A abordagem desse trabalho de pesquisa concentra-Se exclusivamente, na Andlise de urn SCEA, visando observer a Carantia de sua Segurana- Para isso, deve-se utilizar uma Sistemdtica para Andlise Quepropicie a identifica e a avalia50 dos Estados Inseguros. auxiliando assim na garantia de niveis apropriados de Segurana aplicaV5o. 6 Sisteroanca para Anse de Segurana de Software Critico Embarcado Aeroespacial A partir das caractensticas do SCEA apresentadas no item anterior, desenvolveu-se a Sistexmiticapara realizaBo da Analise de Segurana deste tipo de software. Esta sistemdtica determine as t6cnicas mais adequadas para a realizaAo da amilise e a sequencia de utilizao das mesmas.

Como citada anteriormente, a Anise de Segurana de software inicia-se com a prepara5o de uma Lists Preliminar de Inseguranas. Esta lista tamb6m pode ser elaborada na lase de AmiIlse de Requisitos, integrando as restriV6es de Segurana aos requisitos do Sistema. A partir da Lista Preliminar de Inseguranas, realiza-se a Anise Preliminar de InseguranVa,visando distinguir Os Subsistemas Criticos. 0 produto dessa andlise 6 uma lista, contendo os componentes criticos do Sistema e sens possfveis Estados Inseguros.

A Analise de Insegurana de Subsistemas busca identificar novos Estados Inseguros nos Subsistemas Criticos, utilizando para isso as t6cnicas: Andlise de Modos de Falhas, Efeitos e Fatores Cn-ticos(Failure Modes, Effects and CriticalityAnalysis - FMECA); Analise de ore de Falhas(software Fault Tree Analysis - SFTA); e Redes Petri Ternrais. 0 emprego daT6cnica de AnldIlsede Arvore de Falhasde software (software FaultTree Analysis - SFTA) envolve a constru80 de um diagramal6gico, mostrandoa provavel seq"d6nciade falhas Queleva a um determinadoEstado Inseguro [Ippolitoe Wallace, 19951.

A T6cnica de Analise de Modos de Falha, Efeitos e Fator Critico (FailureMode, Effects and CriticalityAnalysis FMECA) envolve a utiliza5o do raciocfnio indutivopara determinaro efeito no Sistema da falha de um componente em particular,incluindo instruJes de software [Ippolito e Wallace, 1995], Pode tarnb6mutihzar-se a t6cnica Andlise de Rede PetriTemporal[ Leveson e Stolzy, 1987 ], k qual cria uma representaAo grfica do Sistema Quepode ser inspecionada paraa determinaViiode fa\basrelacionadas a tempo.

Identificao dos Estados Inseguros e suas Falhas | ! [ ~

ListaPrelirninarde Insegurancas As atividades pertencentes ixAn:Uisede Insegurana de Sistema visam identificar Estados Inseguros relacionados k interno do computador com outros componentes do Sistema. Para tanto, prop6e-se o desenvolvimento de uma SMFE, para integrar os resultados das t6cnicas FMECA e SFTA.

A utilizaRo conjugada de SFTA e 'FMECA perrnite analisar as causas e os efeitos de cada falha do software, armazenando essas informaJes em uma tabela denominada Sumario de Modos de Falhas e Efeitos (SMFE) [ Moura, 1996 ].

Finalmente, realiza-Se a Andlise de Insegnrana na OperaAo e Suporte para identificar os Estados Inseguros, o uso e a rnanuten2o do Sistema. NAoprop6e-Se nenhurna t6cnica especffica para esta AndIlse, podendo rea)iza-la a partir da investigaSo do SMFE.

Ap6s a identifica20 dos Estados Insegnros, deve-Se avalid-los e classificlos de acordo com o sen Fator Critico. Para tanto, considera-se fatores como Severidade e Probabilidade de ocorrencia do acidente associada a cada Estado Inseguro, como exposto no Item 4.

No final deste procedimento, deve-se avaliar OsEstados Inseguros n5o evitados, controlados on recuperados completamente, visando garantir Queos mesmos n5o representem uma ameaa a Segurana de software. A Figura 3, a seguir, mostra uma sintese da Sistematica para Anlise de Segurana de software.

Deterrninaco do FatorCritico dos EstadosInseguros Resnltado FigIra 3: Sistenldtica para Andlise de Seguran de Software. A figura acimasumarizaa SistermiticaparaAnalise de Segurana de SCEA, apresentandotoda seqO8nciade atividadese t6cnicasconstituintesdesta antilise.RessaltaSe que a realizaAo destas andlises d iterativa,reavaliando sens resultadosixmedida que as informaJes sobreo sistema aumentarn. Apesar da crescenteimportSnciados computadoresna sociedade modernae de sua integra20 aos Sistemas Aeroespaciais.ainda n5o Se tinhanoticia da existencia de uma Siscemziticaeficaz para a AnaZisede softwares CriticosEmbarcadosAeroespaciais,capaz de auxiliarna obten8o de niveis apropriadosde Segurana de software. A falta de umaSistematica deste tipo, vinha aumentando a complexidade,o custoe o tempo de desenvolvimento destes softwares.

Neste artigo, apresentou-Seuma propostade Sistematica paraAnlise de Segurana de software Cntico Embarcado Aeroespacial (SCEA). Esta nova Sistexmiticapossui diferentesatividadesparaidentificado de Escudos Inseguros e das falhas quo Osoriginaram,determinaq5o do Fator Critico,e ainda, avaliao da aceitabilidadedos niveis de Segurana do Sistema.

Dessa forrnabusca-Seauxi2iarno incrementodo nine/ de SeguranVade softwareexigida para este tipo de aplica20 , desde as primeiraslases de sen desenvolvimento. A realiza&o criteriosadeste procedimento de Andlise de Segurana de software, pode reduziro esforo de detec5o e corr80 de defeitos,reduzindotamb6m,o esforo parao desenvolvimento do SCEA.

Pode-Seconsiderero uso da tecnica Ar[dlisede Rede Petri Temporalfacultativo, ulna vez Que,a mesma s6 apresenta rosultadossigniflcativos em softwarescom restri6es severas em relao ao tempo e a sincroniza5o, e nem todos os SCEA possuem estas caracteristicas.

Recomenda-setamb6m, o aprimoramentodasferramentas CASE e das tecnicas paraAntj2isede Segurana de software, permitindomelhorobservera interaVo do softwarecom os outroscomponentes do Sistema. Dene-se tamb6m, desenvolverSistemtitleascomo a deste artigo, quo Se apliquem ao Projeto e ixImplementa&odo SCEA. Busca-Seassim, abrangertodo o ciclo de desenvolvimento do software.

A curtoe mddioprazos, pretende-Seaplicaresta SisterDxaflepaaraAnalise de Segurana de SCEA em projetos do ITA (Instituto Tecnol6gico de Aerondutica), visando fornecermeios que possibilitem o acr6scimonos mveis de Segurana no desenvolvimento de SCEAs nesta institui80.

Posteriormente,pode-Se utilizar a Sistematicaproposta neste trabalhoem disciplinas relacionadasa Engenharia de software e Qualidadede software, visando qualificar um ndmerovalor de profxssionaisparao desenvolvimento de SCEA.