=Paper=
{{Paper
|id=Vol-1284/paper18
|storemode=property
|title=Uma Proposta de Sistemática para a Análise de Segurança de Software Crítico Embarcado Aeroespacial
|pdfUrl=https://ceur-ws.org/Vol-1284/paper18.pdf
|volume=Vol-1284
}}
==Uma Proposta de Sistemática para a Análise de Segurança de Software Crítico Embarcado Aeroespacial==
<pdf width="1500px">https://ceur-ws.org/Vol-1284/paper18.pdf</pdf>
<pre>
          Uma Proposta de Sistem;iiticapara a Anse de Segurana de soRware
                           Crftico Embarcado Aeroespacial

                                                          Elio Lovisi Filho
                                               ^PPI InforrI:iaticaLtda Rio de Janeiro- RJ
                                                         (021) 540 9100 elio@appi.comb

                                                    Adilson Marquesda Cunha
                  Divis2o de Ci8ncia da CompsSo Instituto Tecnol6gico de Aeronautic&S&oJose dos Campos - SP
                                             (012) 347 5896 cunha@comp.itacta br




                          Abstract                                          1 Introduo
In spz"teof the increasing "mtegran"on  of Computers into                   Atualmente, observa-se uma crescente incorporaAo dos
Aerospace Systems, rhere is no evidence of existing effectz"ve              computadcres aos Sistemas Aeroespaciais, utilizado-se o
Systematic for real"Izethe Analysis of Aerospace Embedded                   mesmo para a realizao das mais diversas funV6es.Uma
Cntical sofhvare, able to aid in obtain appropr"zazelevels of               importante aplica50 do computador nesses sistemas e o
softWareSafe1y"   The lack of this kind of SystemaLz"c
                                                     besides
                                                                            apoio aos processos de controle e tomada de deciso,
increasz"ngsofiware compLexz`ty,cost and deveLopmenttime
has caused considerable waste of resources. This article                    proporcionando considerdveis ganhos tanto no
presents the nzain ideas being investigated to compose a new                desempenho quanto na eficcia dos Sistemas
Systemalic for Analysis, that attends sojtware Safety                       Aeroespaciais.
requz"rements.The authors believe that acceptable levels for                    0 emprego dos computadores para auxnio ao controle
the Safezy ofAerospace Embedded Critical soare         can be               de Sistemas Aeroespaciais exige uma aten80 especial em
only obtained if.new solutions arefoundfor soare        Safety              rela5o   Segurana, uma vez que estes sistemas sAo
problems. The Systematicfor Analysz.sproposed in this                       considerados como Crfticos, pois uma falha no sen
article z"ntendszo represent an added value eOrr into this                  funcionamento pode lever a grandes perdas, tanto de
direction"                                                                  ordem econ6mica. como ambiental ou humana.
                                                                                A Figura 1, a seguir, apresenta o crescimento do uso
                                                                            de software Embarcado em um import&ate tipo de
                                                                            Sistema Crftico-

      Figura 1: Utiliza8o de Software Embarcado no Program&Espacial Norte-Arnericano.[Moura e Santellano, 19991


                                                   90




                                        Mi|hoes de
                                               ~ so
                                        lnstru9oes
                                        no C6digo 40
                                          objeto




                                                    10




                                                      1990    lO$S   1970   197$   1990   1999   1990   199$

                                                                               AnO




                                                                                                                QuaTIC'2001/ 147
Pode-Se observer,na Figura 1, um crescimento                desenvolvimento do software Critico. Dessa forma,
exponencial do emprego de software no programa              procura-seatestarnfveis mais adequadosde Segurana ao
Aeroespacial norte-americano.                               processo de desenvolvimento de software, desde as
A crescente utiliza5o dos softwares Ctfticos Embarcados     primeiraslases de sua concep20.
nos Sistemas Aeroespaciais devese, principalmente,ao        Para o desenvolvimento deste estudo, d accessario
desenvolvimento da tecnologia digital, ao controle          apresentaralgumas definiJes relacionadasit Segurana
computadorizadode tarefas, reusabilidadedo software,        de software [P6rto e De Bortoli, 1997; Ippolito e
it miniaturizano, ixreduAo de custos e it facilidade de     Wallace, 1995]:
integraKOdos Sistemas computadorizados.                       . Acidente (Mishap) e um evento n5o planejadoqua
         0 emprego de computadores para apoio aos                  causaperdas humanas,danos ao meio ambiente ou
processos de controle e decisAo de Sistemas                        danos aos equipamentos;
Aeroespaciais salienta a necessidade de se desenvolver ou     . Defeito (Fault) uma imperfeio existente no
adapter novas tecnologias, compostas de m6todos,                   co<ligoroute do programaQue,ao ser ativada,pode
tecnicas, ferramentas e mdtricas, para garantir a                  produzirerro;
Segurana dos mesmos. Busca-se assim evitar que uma              . Erro(Error) a rnanifestaAo fisica de um defeito
falha do computador venha a comprometer o                          que pode gerar falha;
funcionamentoou desempenho de todo o sistema.                   * Falha (Failure) a inabilidadedo software em
Considera-Seo software como o componente de um                     cumpriralgum requisito operacionalde sua
computadormais passivel iz ocorr8nciade falhas, exigindo           responsabilidade,ou ainda, a produAo de um
a realiza5o de sen desenvolvimento com Garantiade                  efeito indesejado do software;
Segnrana, ou seja, garsUndo que.o mesmo,i funionar              - Estados Inseguros ou Perigos (Hazards) o os
em um szstemasem resuJtarem rxscos znacextavezs.    bsse           estados do sistema que, combinados a certas
tipo de estudofaz parte da area de Segurana de software            condiJes extemas, podem levar a acidentes;
(software Safety).                                              * Um Sistema Critico (Critical System) apresenta
Neste artigo propoee..Sea definio de uma Sisternatica              restriJes relacionadasa um determinadofator,
para a realizao de uma Analise de Segurana de um                   como por exemplo: financeiro,tempo, capacidade
software Crftico EmbarcadoAeroespacial (SCEA),                     do equipamento e segurana. Abordam-Seaqui
deterrninando-seas restriJes de Seguranqade software               apenasos Sistemas Crfticos quantoa Segurana,
para este tipo de aplica20.                                        ou seja, no contexto deste artigo qualquer
                                                                   refer8nciaa Sistemas Criticosrelaciona-se
2. Seguran      de Software                                        somente a Sistemas Criticos quanto k Segurana;
                                                                   e
De acordo com o que foi apresentadoanteriormente,a              * Risco (Risk) para esta drea do conhecimento
Segurana de software envolve estudos paragarantirQue               deflnido em fun&o dos seguintes fatores:
o software execute suas funJes sem acarretarrisco                  . da probabilidadede ocorrencia de Estados
inaceitdvel para a Segurana do sistema, dos usuariOse do               Inseguros;
meio arnbienteem Queo sistema estd inserido.                       * da probabilidadedos Estados Inseguros
Portanto,pode-Se considerera Segurana de software                      acarretaremacidentes; e
como um fator explfcito de Qualidade,uma vez que, caso             * pior perdapossfvel associada a esse
eta no se verifique para um software ele ago atenderd                acidente.
expectativas do usuo [Lovisi e Cunha, 1999].
A Garantiade Seguranga de software comp5e-Sede uma
seqO8nciade atividadesplanejadasque visam assegurara        3 Desenvolvinlento     de Software
imunidade da aplicaAo de software em rela5o a
possibilidade de ocasionar acidentesque comprometarna               Define-se software como: urns seqnHncia de
Vida humana,o meio ambiente, ou a propriedade[Moura         instruJes que, quando executadas, produzem a fun5o e
1996].                                                      o desempenho desejados; as estruturas de dados
Define-se EstrateSiade Segurana de software como um         necessarias para a realiza80 destas instruJes; e toda a
conjunto de atividades que visam garantirque a              documentaAo que descreve a operaAo e o
Segurana de software e devidamentetratadano                 desenvolvimento do mesmo [Pressman, 1995].
desenvolvimento ou manuten(;:2o   do mesmo. O padrAo                0 ciclo de desenvolvimento de um software
MIL-STD498 recomenda a definiAo de urna                     compreendetodas as fases, que v5o desde a concepo ate
Sisterndticade Segurana como estraregiade Segurana          sens ensaios ou testes.
de software [Santellano et aI, 1998].                       Os autoresprop6em a inclus&ode um procedimentopara
Neste artigo serd apresentadauma Sistem5ticapara            a Analise de Segurana de software ao ciclo de
Anise de Segurana, que Se aplica somente duranteo




148 / QuaTlC'2001
desenvolvimento, visando trataro problems da Segurana         No pr6ximo item, apresenta-seas atividades Que
de software desde o inicio de sua implementa&o.               constituem a An;nise de Segurana de software, de acordo
Nessa lase busca-se determinere availer as falhas do          com Os estudos publicados nas refer8ncias[leveson,
software que possam levar o Sistema, que ele faz pane, a      1991; Leveson e Harvey, 1983; Moura, 1996).
um Estado Inseguro. A Analise de Segurana de software
possui grandeimpolnlncia, principalmenteparasoftwares         4 Antilise de Segumn           de Software
componentes de Sistemas Criticos. Essa amilise6
desenvolvida a partirdas informaJes obtidas na Analise
de Sisternas.                                                 Como apresentado anteriormente, a Analise de Segurana
                                                              de software baseia-se em determiner quais situsJes
Enquantoa lase de Andlise de Sistemas de uma
metodologia visa a identificago das fung6es que o             podem levar o Sistema a um Estado Inseguro. Esta anise
                                                              possui diversas atividades, visando: identificar os Estados
software deve executer, a 'Amiusede SeguranVa
                                                              Inseguros e as falhas que os originaram; determinar o
concentra-Seem qua o software mio deve executar
                                                              Fator Cntico (Criticality) dos mesmos; e ainda, av&liara
    veson, 199 I)-
                                                              aceitabilidade dos niveis de Seguran do Sistema.
Para realizar esta aruilisecom sucesso necessitase
                                                              A Figura 2 a seguir apresenta codas as atividades
tambem de uma sisterndticahem defmida, composts de
                                                              componentes da Analise de Segurana de software, hem
mtodos e tecnicas, objetivando a identificaq&oe a
                                                              como as informa6es de entrada e de saids de cada uma
avaliaV5odos Estados Inseguros.
                                                              destas atividades




                                              Caum




                                                     Riscos




                                                              R<!sulmdo




                              Figura 2: ProcedimenW para Ane        de Segnran     de Software




                                                                                                     QuaTIC`2OOI
                                                                                                              / 149
                                                            CabeA SistemdticaparaAndIlse de Segurana, determinar
 As atividades da Analise de Segnrana de software devem     as t6cnicas a serem aplicadase a seqn8ncia de utiliza&o
se repetir k medida Quea quantidadede inform&Bes            das mesmas, de acordo com as caracteristicasda
 aumenta;logo, o se pode esperarQueas mesmas,               aplica50"
 obedeam a nma rigid&ordemcronol6gica, devendoSe            Ap6s a identificao dos Estados Insegnros, realiza-se
reviser estas anuses a cadamodifies&o no projeto do         urnaavalia80 dos mesmos quanto ao sen Fator Critico,
 sistema.                                                   considerandofatores como Severidade do acidente
No inicio do desenvolvimentode um software Cn"dco           ativado pelo Estado Inseguroe sna Probabilidadede
Embarcado,elabora-se a Lista Preliruinarde                  ocorr8ncia[Leveson, 19911.
Insegnranas, contendo as possiveis falhas paraeste tipo     A determina&o do FatorCritico dos Estados Inseguros
 de software. Esta Esta6 desenvolvida a partirde            consiste em classificar Osmesmos, de acordo com a
inform&6es existentes sobre Analises de Segurana de         Severidade(Severity) do acidente causado por eles
software sirnilares.                                        (Catastr6fico,Crltico, Marginale Menor) e a
A medida que o desenvolvimento avanga realizam-se           Probabilidade(Probability)de ocorr6nciadeste acidente
 ontrasanlises tamb6mparaa identificao dos Estados          (Freqacute,Provdvel, Ocasional,Remote e Improvvel).
Inseguros e de suas falhas causadoras:                      A Tabela I mostraa classificaSo dos Estados Inseguros
     *         A Andlise Prelirninarde Insegurana           quantoao Fator Criticopropostano padr5o britAnicoInt
        (PreliminaryHazardsAnalisysis), Quevisa             Def Stan 00-56 [Ministry of Defense, 19971.
        determinaros snbsistemas criticos e Se possivel
        proporalternativasde controle. Baseia-Se nos                         Fator Critic.
        dados existentes e na experi&nciados analistas                    Tipo de Severidade
        paradesenvolver urns andlise em alto nine) das      Faixa de      Camstr6    CIib"Ca   Marginal Desprezi-
        principalsfunJes e interfaces;                      Probabihdad     fica                            vet
                                                            Freqiiente
     *        A Analise de Insegurana de Subsistemas                        T4         T4        T3        T2
        (SubsystemHazardsAnalisysis) objetiva a             PrOvgvel        T4         T3        T3        T2
        identificaAo dos Estados Inseguros e suas falhas    OCaSiOS2I
        no projeto de cada snbsistema e de sna interface.                   T3         T3        T2        T2
                                                            Remom                      T2
        Concentra-sebasicamenteem aspectos tais como:                       T3                   T2        Tl
        desempenho,degradaAo no funcionamentoe              Improvvel       T2         T2        Tl        Tl
        falhas funcionais, procurandodetermineros modos
        de falhas e sens efeitos;                           Tabela 2 - Cla[ssificao do Acidente quanto ao Pater
     *        A Arui1isede Insegurana de Sistema                       Critico [Ministry of Defense 19971
        (System HazardsAnalysis) identifica os Estados      Cadanfvel de FatorCritico exige nm tratamento
        Insegnros e suas falhas, associados as interfaces   diferenciadoparagarantira Segurana do software. Por
        entreos subsistemas,incluindo errospotenciais       exemplo, um estado do nine! T4 necessita de atenAo
        humanos;e                                           especial exigindo a utilize50 de estrnturasde
     *        A An~ise de Insegurana na Operao e            program&o para evitar,controlaron recuperarsua
        Suporte (Operationand SupportHazardAnalysis)        ocorr&ncia,ao passo que, um estado do nivel Tl pode nAo
        avails os Estados Inseguros ocorridos dnranteas     dernandartantos cnidados.
        etapas de nso e manutenAo do sistema,               Dene-se observarlamb6mQue, devido it falta de dados
        especialmente aqueles provenientes da intera50      num6ricospara o software, geralmente desconsidera-se a
        do homem com o Sistema.                             sua classificaAo qnantok probabilidade.
Para realizerestas anaUses,6 necessa a utiliza50 de         Ap6s o t6rmino da determina8o do Fator Critico,
algumas t6crlicaspara identificaVAode Estados Inseguros,    avaliam-se os Estados Insegnros nAoevitados,
tms como: Hazop; SFTA;FIvfECAe Redes Petri                  control&dosou recnperadoscomp3etamente,para
Temporals [Ippolito e Wallace, 1995].                       determinerse os mesmos realmenten5o representamuma
Como as t6cnicas para Anise de Segnrana de software         ameaa it Segurana de software, garantindoassim, Queo
SADadaptadasde outras reas da tecnologia, geralmente6       mesmo apresentaurn nivel aceinivel de risco.
necessaria a utilizeo conjugada das mesmas, para a
identifica80 apropriadados Estados Inseguros.               5 Software Crifico Embarcado Aeroespacial -
Dene-se lamb6mconhecer as caracteristicaspecnliares do      SCEA
tipo de aplica80 em desenvolvimento, para determinaras
tnicas mais adeqnadasa Seternutilizadas nas anauses de
segurana, observandose tamb6m,as potencialidades e          As consider&Jes realizadasat6 ennlo, nAose relacionarn
restri6es das mesmas.                                       a nenhnmtipo peculiar de software. A partirdeste ponto,
aborda-seneste artigo, apenas os softwares Criticos           5.2 0 Desenvolvz-mentodo soare         Cno
EmbarcadosAeroespaciais (SCEA`s)"                             Embarcado Aeroespacial - SCEA
Denornina-se software Critico, aquele utilizado em
compntadorescomponentes de Sistemas Criticos. Este            Devido ixs caracterfsticas do software Cxitico Embarcado
tipo de software exige urn desenvolvimento cuidadoso          Aeroespacial, algumas recomendaJes principais devem
para garantira Segurana de software necessa, pois,            ser observadas para o sen desenvolvimento, a saber: a
uma falha na sua execuBo pode originarum acidente             utiliza5o de um enfoque metodol6gico para o
com grandes perdashumanas, econ6micas e ambientais-           desenvolvimento do software; a adoV:5oe adaptaAo de
Um software Critico EmbarcadoAeroespacial (SCEA) e            padr5es Que provm consideraJes sobre segurana; o
empregado em computadoresEmbarcadosem Sistemas                uso de ferramentas CASE para apoio ao desenvolvimento;
Aeroespaciais. E importanteressaltarque essa classe           e uma documenta5o Clara e abrangente de todo projeto
engloba, tanto o software componente de computadores          [Parnas, 1985; Parnas, 1986; Leveson e Harvey, 1983;
Embarcadosnas Aeronaves, quanto queles utilizadosnos          Moura et al, 1996]-
 equipamentOsde solo [Mourae Santellano, 1999].               AI6m disso, a ad5o de procedimentos de testes
Essa aplicao particulardo software Critico Embarcado,         sistemdticos com uso de simuladores de software e de
 exerce as mats diversasfunV6esem Sistemas                    estrat6Bias de certifica50, uma avalia5o quantitativa do
 Aeroespaciais, principalmente,o apoio ixtomada de            software e a utiliza5o de m6todos formais podem ser
 decis5es e controle de outros componentes.                   necessariOs, de acordo com o grau de Confiabilidade e de
 Dene-Se aquiressaltara diferena entre um software para       SegnranVa exigidos do software.
 aplicago civil, onde 6 necessdrio evitar a ocorr8nciade      Um estudo das interdependncias entre software e
 acidentes que possam causarperdas de vidas, de um            hardware, levando em consideraAo as caracteristicas da
 software paraaplica5o militar, onde 6 necessario garantir    aplicaV5o, e tamb6m uma investigaAo dos acidentes
 que o Sistema ir:icompletersua miss&ocom xito.               envolvendo softwares semelhantes podem ser importantes
                                                              fontes de informaV5o, permitindo a identifica20 das
5.1 As Caractensticas do Soare Cntz"co                        fraquezas e prioridades do processo de desenvolvimento.
Embarcado Aeroespacz-al- SCEA                                 A abordagem desse trabalho de pesquisa concentra-Se
                                                               exclusivamente, na Andlise de urn SCEA, visando
O software Crftico Embarcado Aeroespacial (SCEA),              observer a Carantia de sua Segurana- Para isso, deve-se
atualmente, Vernsendo empregado em novas funV6espara           utilizar uma Sistemdtica para Andlise Que propicie a
o software, em substituiilo a componentes eletr6nicos          identifica    e a avalia50 dos Estados Inseguros.
Que apresentam aka Confiabilidade e Segurana.                  auxiliando assim na garantia de niveis apropriados de
Como os Sistemas Aeroespaciais possuem alto Fator              Segurana aplicaV5o.
Critico, os sens componentes de software possuem
algumas caracteristicas peculiares, de acordo com             6 Sisteroanca para Anse de Segurana de
[Parnas, 1986; Moura et al, 1996], Que devem ser              Software Critico Embarcado Aeroespacial
observadas para o sen desenvolvimento.
Esse tipo de software possui algumas restriJes em
                                                              A partir das caractensticas do SCEA apresentadas no item
reJao ao tamanf o do c6digo, ixcapacidade da mem6ria e        anterior, desenvolveu-se a Sistexmiticapara realizaBo da
ao uso do processador. Ele deve iamb6m, implementer
                                                              Analise de Segurana deste tipo de software. Esta
tcnicas qne permitam a recupera5o de dados perdidos           sistemdtica determine as t6cnicas mais adequadas para a
ou danificados por interferncia eletromagn6dca no             realizaAo da amilise e a sequencia de utilizao das
hardware-                                                     mesmas.
A utilizao do software Critico Embarcado em Sistemas          Como citada anteriormente, a Anise de Segurana de
Aeroespaciais, geralmente, objetiva: a execuAo de
                                                              software inicia-se com a prepara5o de uma Lists
complexos cdlculos materndticos, mnitos dos quais mio         Preliminar de Inseguranas. Esta lista tamb6m pode ser
podem ser realizados por seres hnmanos em tempo hdbil;        elaborada na lase de AmiIlse de Requisitos, integrando as
 a realiza2o de opera6es de auxilio e monitoramento do        restriV6es de Segurana aos requisitos do Sistema.
 controle de todo o Sistema; a entrada de dados no            A partir da Lista Preliminar de Inseguranas, realiza-se a
 Sistema; e a implementaV5o do controle das funJes            Anise Preliminar de InseguranVa, visando distinguir Os
 bdsicas do Sistema.                                          Subsistemas Criticos. 0 produto dessa andlise 6 uma lista,
 O software deve ter alta qualidade, confiabilidade,          contendo os componentes criticos do Sistema e sens
 segurana e toleriincia a falhas, pois qualquer erro em sua
                                                              possfveis Estados Inseguros.
 execu5o pode levar a um acidente com grandes perdas.         A Analise de Insegurana de Subsistemas busca
                                                               identificar novos Estados Inseguros nos Subsistemas
                                                               Criticos, utilizando para isso as t6cnicas: Andlise de




                                                                                                    QuaTIC,2001 ! 151
Modos de Falhas, Efeitos e Fatores Cn-ticos(Failure             As atividades pertencentes ixAn:Uise de Insegurana de
Modes, Effects and CriticalityAnalysis - FMECA);                Sistema visam identificar Estados Inseguros relacionados
Analise de     ore de Falhas (software Fault Tree               k interno do computador com outros componentes do
Analysis - SFTA); e Redes Petri Ternrais.                       Sistema. Para tanto, prop6e-se o desenvolvimento de uma
0 emprego da T6cnica de AnldIlsede Arvore de Falhas de          SMFE, para integrar os resultados das t6cnicas FMECA e
software (software FaultTree Analysis - SFTA) envolve a         SFTA.
constru80 de um diagramal6gico, mostrandoa provavel             A utilizaRo conjugada de SFTA e 'FMECA perrnite
seq"d6nciade falhas Queleva a um determinadoEstado              analisar as causas e os efeitos de cada falha do software,
Inseguro [Ippolito e Wallace, 19951.                            armazenando essas informaJes em uma tabela
A T6cnica de Analise de Modos de Falha, Efeitos e Fator         denominada Sumario de Modos de Falhas e Efeitos
Critico (Failure Mode, Effects and CriticalityAnalysis -        (SMFE) [Moura, 1996].
FMECA) envolve a utiliza5o do raciocfnio indutivo para          Finalmente, realiza-Se a Andlise de Insegnrana na
determinaro efeito no Sistema da falha de um                    OperaAo e Suporte para identificar os Estados Inseguros,
componente em particular,incluindo instruJes de                 o uso e a rnanuten2o do Sistema. NAo prop6e-Se
software [Ippolito e Wallace, 1995],                            nenhurna t6cnica especffica para esta AndIlse, podendo
Pode tarnb6mutihzar-se a t6cnica Andlise de Rede Petri-         rea)iza-la a partir da investigaSo do SMFE.
Temporal[Leveson e Stolzy, 1987], k qual cria uma               Ap6s a identifica20 dos Estados Insegnros, deve-Se
representaAo grfica do Sistema Quepode ser                      avalid-los e classificlos de acordo com o sen Fator
inspecionada paraa determinaViiode fa\bas relacionadas a        Critico. Para tanto, considera-se fatores como Severidade
tempo.                                                          e Probabilidade de ocorrencia do acidente associada a
                                                                cada Estado Inseguro, como exposto no Item 4.
                                                                No final deste procedimento, deve-se avaliar OsEstados
                                                                Inseguros n5o evitados, controlados on recuperados
                                                                completamente, visando garantir Que os mesmos n5o
                                                                representem uma ameaa a Segurana de software.
                                                                A Figura 3, a seguir, mostra uma sintese da Sistematica
                                                                para Anlise de Segurana de software.




                             Lista Prelirninarde Insegurancas



           Identificao   |
           dos Estados   !
           Inseguros e   [
           suas Falhas   ~




                                                         Deterrninaco
                                                          et          do FatorCritico dos Estados Inseguros




                                                                    Resnltado


                                 FigIra 3: Sistenldtica para Andlise de Seguran     de Software.




152 / QuaTlC':2001
A figura acima sumariza a SistermiticaparaAnalise de
Segurana de SCEA, apresentandotoda seqO8nciade
atividades e t6cnicas constituintesdesta antilise.Ressalta-   FERNANDES       A. A. Ger&nciade sofrware Atravks de Mer"rzcas,
Se que a realizaAo destas andlises d iterativa,reavaliando       Garantx.ndo  a qualidadedo Projeto,processo e produto.
sens resultadosixmedida que as informaJes sobre o                Atlas Ed., Sa-oPaulo, 1995.
sistema aumentarn.                                            GHEZZI C., JAZAYERIM.. MANDRIOLI D. Fundamentals of
                                                                 software Enginee.rxng-Prentice-HallInc.. New Jersey , 1991.
                                                              IPPOLITOL"M. , WALLACE D. R. A Study on Hrd
7. Conclus6es e Recomenda6es                                     Analysz.sin High Integrity sofrware Standards and
                                                                  Guidelines. National Instituteof Standardsand Technology.
Apesar da crescente importSnciados computadoresna                Disponivelpor meio da www no endereo
sociedade modernae de sua integra20 aos Sistemas                 http://bissancsl.Dist.govt
Aeroespaciais. ainda n5o Se tinha noticia da existencia de       HHRFdata/Artifacts/lTLdoc/5589/hazard.htrnl.   Janeiro de
                                                                  1995.
uma Siscemziticaeficaz para a AnaZisede softwares
                                                              LEVESON N. G. sofhvare Safety in Embedded Computer
CriticosEmbarcadosAeroespaciais, capaz de auxiliar na            Systems. Comunicationsof the ACM, Fevereiro de 1991, p,
obten8o de niveis apropriadosde Segurana de software.             35 - 45.
A falta de umaSistematica deste tipo, vinha aumentando        LEVESO N. G. , HARVEY P. R. Analyzing so.fi-Ware      Safety.
a complexidade, o custo e o tempo de desenvolvimento             IEEE Transactx`ons  on softwareEngineering , Setembro de
destes softwares.                                                 1983. Vol- SE-9, no 5.
Neste artigo, apresentou-Seuma propostade Sistematica         LEVESON N. G., $7012 Y J. L. Safety Analysis Using Petri
paraAnlise de Segurana de software Cntico Embarcado               Nets. IEEE Transactionson software Engineering, Maro
Aeroespacial (SCEA). Esta nova Sistexmiticapossui                 de 1987, Vol. SE- 13, no 3.
                                                              LOVISI FllflO E., CUNHA A. M- Uma Abordagem para o
diferentes atividadesparaidentificado de Escudos
                                                                  Desenvolvimento de so.fhvare Cr&LeoEmbarcado
Inseguros e das falhas quo Osoriginaram,determinaq5o             Aeroespacial com Garantia de Segurana. S. Jose~dos
do Fator Critico, e ainda, avaliao da aceitabilidadedos           Campos, In: Anais do Simp6sio sobre Seoouranaem
niveis de Segurana do Sistema.                                    Informatx.ca,1999. p. 57-67.
Dessa forrnabusca-Seauxi2iarno incremento do nine/ de          MlNlSfRY OF DEFENSE, Safety Management Requirements
SeguranVade software exigida para este tipo de aplica20          for Defense System.London. 1997. (Defence StandardOO-
, desde as primeiraslases de sen desenvolvimento.                 56). Dispom"velpor rnex.oda www no endereo http`,1/www-
A realiza&o criteriosadeste procedimento de Andlise de            scm.tees.ac"ukIhazoplhtmll56.htrn.
Segurana de software, pode reduziro esforo de                  MONTALK J. P. P. Computer sofiware in Civil Aircraft.
detec5o e corr80 de defeitos, reduzindo tamb6m,o                  Lond_on.. Butterworth-Heine,mann.1993. volume 17, no I . p.
                                                                  17-23.
esforo parao desenvolvimento do SCEA.                          MOURA C A, T. e SANTELLANOJ. ..softwareAeroespaciaL
Pode-Se considerero uso da tecnica Ar[dlisede Rede Petri          no Brasil: Um pequeno Balarxo e perspectinasparao
Temporalfacultativo, ulna vez Que,a mesma s6 apresenta            Setor".A publx"car, 1999.
rosultadossigniflcativos em softwares com restri6es            MOURA C. A. T. . SANTELLANO J. . NETO A. A- sofhvare e
severas em relao ao tempo e a sincroniza5o, e nem                 SeguranVade Sz.stemasAeroespaciaz.s.In: Anais do encontro
todos os SCEA possuem estas caracteristicas.                      de Im.cia-o Cx.endfxca  e P6s Graduaa-o,Outubrode 1996,
Recomenda-se tamb6m, o aprimoramentodas ferramentas               p. 166 170.
CASE e das tecnicas paraAntj2isede Segurana de                 MOURA C. A. T. Uma Estraz6gia de Analise de SeguranVade
software, permitindomelhor observer a interaVo do                 soliware para aplicao-es Cntz"cas.S~ Jose"dos Campos..
                                                                  ITA, 1996. Tese de Mestrado.
 software com os outros componentes do Sistema.                PARNAS D. L. Can software for the Strategz`cDefense ever be
Dene-se tamb6m, desenvolver Sistemtitleascomo a deste             error free?. Computer,Novembro de 1986, p. 61 - 67.
 artigo, quo Se apliquem ao Projeto e ixImplementa&odo         PARNAS D. L. sofrWareAspects of Strategic Defense Systems.
 SCEA. Busca-Seassim, abrangertodo o ciclo de                     Amen'canScientist, Setembro/Outubrode 1985, vol. 73. p
 desenvolvimento do software.                                     437- - 440.
 A curtoe mddioprazos, pretende-Seaplicaresta                  PORTOL J., DE BORTOLIL. A"Sistemas Tole,antes a
 SisterDxafleaparaAnalise de Segurana de SCEA em                  Falhas. Disponx'velpor mex.oda www no endereo
 projetos do ITA (Instituto Tecnol6gico de Aerondutica),          http..llwww"inf.ufgrs.brl
 visando fornecermeios que possibilitem o acr6scimonos            =opesqux~sa/tflportugueslensinoll.xsangelalsegsoft.
                                                                                                                 htrnl,Julho
                                                                   de 1997.
 mveis de Segurana no desenvolvimento de SCEAs nesta           PRESSMAN R. S. Engenharz.ade so.ftware. QuartaEdia-o,
 institui80.                                                       MaIu"on Books, New Jersey..1995.
 Posteriormente,pode-Se utilizar a Sistematicaproposta         SANTELLANO J. . MOURA C. A. T. ~LIMA A. C. cc al.
 neste trabalho em disciplinas relacionadasa Engenharia            Estrate~giasde Segurana de sofiware.. A Abordagemdo
 de software e Qualidadede software, visando qualificar            Padra-oMIL STO_498"A pubh-car,1998.
 um ndmerovalor de profxssionaisparao
 desenvolvimento de SCEA.




                                                                                                     QuaTIC"2001/ 153

</pre>