See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/267243001

Desenvolvimento de Sistemas de Controle para Sistemas Instrumentados de

Segurança

Article

CITATIONS READS

0 203

5 authors, including:

Reinaldo Squillante Júnior Diolino J Santos Filho

Federal Institute of Education, Science and Technology of São Paulo University of São Paulo
15 PUBLICATIONS   32 CITATIONS    148 PUBLICATIONS   631 CITATIONS   

SEE PROFILE SEE PROFILE

Fabrício Junqueira Paulo Eigi Miyagi

University of São Paulo University of São Paulo
107 PUBLICATIONS   539 CITATIONS    251 PUBLICATIONS   1,324 CITATIONS   

SEE PROFILE SEE PROFILE

Some of the authors of this publication are also working on these related projects:

A Arteterapia como Dispositivo Terapêutico nas Toxicomanias View project

Safety-related control system: an integrated approach of accident models, defense-in-depth and safe diagnosability View project

All content following this page was uploaded by Diolino J Santos Filho on 03 November 2014.

The user has requested enhancement of the downloaded file.

 Desenvolvimento de Sistemas de Controle para Sistemas
Instrumentados de Segurança
Reinaldo Squillante Júnior, Diolino J. dos Santos Filho, Fabrício Junqueira, Paulo E. Miyagi
Escola Politécnica da Universidade de São Paulo - Brasil
reinaldo.squillante@poli.usp.br, diolino.santos@poli.usp.br, fabri@usp.br, pemiyagi@usp.br
Resumo- Sistemas instrumentados de segurança são projetados
para prevenir e/ou mitigar acidentes, evitando cenários
indesejáveis, com alto potencial de riscos, assegurando a
proteção de pessoas, meio-ambiente e reduzindo custos com
problemas em equipamentos industriais. Estes projetos
demandam métodos formais para assegurar as especificações de
segurança, mas não se identifica ainda um procedimento
consolidado para conduzir esta tarefa. Neste sentido, este artigo
introduz uma sistemática para modelagem de diagnóstico e
tratamento de falhas críticas baseada em rede Bayesiana (BN) e
rede de Petri (PN). Esta abordagem considera falhas críticas
obtidas a partir do estudo de riscos e operacionalidade (Hazop -
hazard and operability) do(s) equipamento(s) ou sistema sob
controle, que define cada função instrumentada de segurança
(SIF), assim como, o nível de integridade de segurança para
cada SIF. A presente abordagem usa a BN para diagnóstico e
tomada de decisões, e a PN para a síntese e modelagem do
controle com propósito de implementação em controlador
programável de segurança. Um exemplo de aplicação
considerando o diagnóstico e tratamento de falhas críticas é
apresentado e que ilustra a sistemática desenvolvida.
Palavras-chave: sistema instrumentado de segurança;
diagnóstico de falha; tratamento de falha; rede Bayesiana; rede
de Petri.
I. INTRODUÇÃO
Atualmente, novas estratégias de controle necessitam ser
consideradas para que o sistema industrial permaneça
competitivo num mercado globalizado, considerando aspectos
como custos, qualidade, tempos de entrega, flexibilidade na
produção, entre outros. Tendo em vista o grau crescente desta
complexidade, aumentou-se também a dificuldade em
modelar tais sistemas de forma a prever todos os estados
alcançáveis durante a execução dos processos, considerando o
ciclo de vida desses sistemas. Dessa forma, pode-se dizer que
em qualquer sistema industrial, por mais moderno que seja,
existem riscos inerentes de ocorrer um acidente. Portanto,
nenhuma estratégia de controle pode ser efetivamente
implementada se a mesma desconsidera a ocorrência de
falhas no sistema industrial. Adicionalmente, estas falhas
podem representar um sério risco com relação à integridade
física das pessoas, do meio-ambiente e perdas econômicas,
caso as mesmas não sejam diagnosticadas e tratadas
corretamente [1]. Neste sentido, embora muitos trabalhos
tenham sido propostos, tanto para o diagnóstico [2], [3] como
para o tratamento de falhas [4], ainda os acidentes continuam
ocorrendo sem a devida reação por parte do sistema. Os
especialistas indicam que a solução envolve o
estabelecimento de uma camada de controle com a finalidade
de prevenção de riscos ou para levar o processo a um estado
seguro, a qual é chamada de sistema instrumentado de
segurança (SIS) [5]. O termo “risco” define aqui uma métrica
para quantificar as lesões corporais, danos ambientais ou
perdas econômicas em referência tanto à probabilidade do
incidente acontecer como à magnitude da lesão, dano ou
perda [6]. Neste contexto, as normas de segurança, tais como:
[7], [8], [9], entre outras, orientam as diferentes atividades
relacionadas ao SIS, tais como: projeto, instalação, operação,
manutenção, testes, entre outros.
De acordo com a norma IEC 61508, as falhas são definidas
a partir da identificação das funções instrumentadas de
segurança (SIF). Logo, uma SIF representa uma falha crítica
que deve ser diagnosticada e tratada pelo SIS. Um SIS
implementa suas SIFs por meio de (a) coleta de sinais do
processo por um ou mais sensores, (b) processamento de
informações por um ou mais dispositivos de realização de
controle (ex.: equipamentos elétricos, eletrônicos ou
eletrônicos programáveis onde o mais comum são os
controladores programáveis de segurança) e (c) envio de
sinais para um ou mais atuadores. Adicionalmente para cada
SIF é definido um parâmetro chamado de nível de integridade
de segurança (SIL) [10]. Este parâmetro é a medida de
segurança de componentes / sistemas. O SIL reflete o que os
usuários finais podem esperar de um dispositivo ou sistema
na sua função de segurança e, em caso de falha, que esta afete
o sistema de maneira segura [11]. Entretanto, identifica-se
uma lacuna no desenvolvimento dos algoritmos de controle
de um SIS. Segundo as considerações das normas, uma
abordagem formal é recomendada para o desenvolvimento do
programa de controle [8]. Em [12], é apresentada uma
abordagem utilizando rede de Petri colorida e rede Bayesiana
para a definição do SIL. Em [13] é apresentada uma análise
de custos baseada na definição do SIL. Adicionalmente, em
[14] é apresentada uma abordagem híbrida envolvendo a rede
de Petri e técnica Monte-Carlo de simulação, para a
quantificação da confiabilidade do SIS. Isto é, não se
identifica ainda um procedimento consolidado para conduzir
a tarefa de desenvolvimento dos algoritmos de controle de um
SIS. Assim, o presente trabalho apresenta uma sistemática
para a implementação do programa de controle de um SIS a
partir de modelos baseados em rede Bayesiana e rede de
Petri.
 Este trabalho está organizado da seguinte forma. Na seção
II, são apresentados os conceitos fundamentais sobre rede
Bayesiana e rede de Petri. Na seção III, é introduzida uma
sistemática para diagnóstico e tratamento de falhas em SIS.
Na seção IV, é apresentado um exemplo de aplicação da
sistemática proposta. Finalmente na seção V são apresentados
os comentários finais.
II. REDE BAYESIANA E REDE DE PETRI
Esta seção introduz conceitos gerais sobre rede Bayesiana e
rede de Petri.
A. Rede Bayesiana (BN)
A rede Bayesiana (BN) fornece um método de raciocínio
usado para representar crenças parciais sob condições de
incerteza [15]. Adicionalmente a BN é uma estrutura que
graficamente modela as relações de probabilidades de
dependência de causa - efeito dentro de um grupo de
variáveis. BN tem sido extensivamente aplicada para
diagnóstico de falhas [16], [17], [18], [19]. A BN permite a
combinação de conhecimento especialista humano de um
processo e teoria de probabilidade para a construção da
estrutura de diagnóstico; sendo que ambas são recomendadas
para a construção de uma “boa” rede Bayesiana. Vários
algoritmos podem ser encontrados para a construção e
diagnóstico das redes Bayesianas, [18], [19], [20], [21].
A rede Bayesiana B = (G, CP) é composta por uma
estrutura de rede G e probabilidades condicionais CP. Um
grafo acíclico orientado representa a estrutura gráfica G, onde
cada nó do grafo (círculo) é associado a uma variável Xi, e
cada nó tem um conjunto de pais pa(Xi). Esta associação ou
CP é dada por Pr(Xi | pa(Xi)). A associação entre as variáveis
e pais (através de arcos) representa as relações de causa-
efeito. Normalmente, tais relações são fornecidas em formato
de tabela, as quais são chamadas de tabelas de CPs [21].
As CPs, numericamente quantificam a relação causa-efeito
[18]. A construção da BN pode ser realizada através dos
• baseada em conhecimento elícito sobre o sistema,
seguintes métodos:
• baseada em manuais, catálogos e conhecimento
onde as relações entre as variáveis são estabelecidas;
• baseada
humano sobre o processo;
em métodos probabilísticos de
aprendizagem usando banco de dados armazenados
de operações anteriores.
Neste trabalho, o primeiro método foi considerado.
Uma das motivações do uso da BN é que ela é útil para
propósitos de inferência. Em geral, a inferência probabilística
em BN é um processo de cálculo Pr(X=x | E=e) o qual
representa a probabilidade que a variável X assumirá o valor
x, quando um conjunto de observações E assumir o valor e.
Existem diferentes algoritmos para cálculo de inferências
em BN. Neste trabalho foi implementado o algoritmo
Bayesian-score (K2), desenvolvido por Cooper e Herskovits
[21]. Este algoritmo é um método exato de inferência e
geralmente pode ser aplicado a qualquer estrutura de BN [18].
B. Rede de Petri (PN)
A rede de Petri (PN) é uma 5-tupla PN=(P,T,F,W,M0) [22],
[23], [24], com P e T como conjuntos finitos, não nulos e
disjuntos. P é o conjunto de lugares e T é o conjunto de
transições. F é o conjunto dos relacionamentos entre lugares e
transições e é também chamado de conjunto de arcos
orientados. W é um conjunto de números naturais não nulos
que representam os pesos de cada arco orientado. M0 é um
conjunto de números naturais que representa a quantidade
inicial de marcas nos lugares, que também é conhecido como
marcação da PN. O número de marcas num lugar específico p é
denotado por M(p). A marcação da rede é indicada por M
[22], [23], [25], [26], [27], [28], [29], [30].
A estrutura da PN independe de uma marcação inicial
Uma estrutura de PN é chamada de ordinária se ∀f∈F,
específica, e é uma 4-tupla N=(P,T,F,W).
W(f)=1 e, por isso, é denotada como N = (P,T,F).
isto é, ∃/ (x,y)∈(P×T)∪(T×P), (x,y)∈F ∧ (y,x)∈F.
N = (P,T,F,W) é dita pura se, e somente se, não há loops,
A dinâmica de um sistema indica a forma de mudança de
estados do mesmo e as regras de mudança de estados da PN
são à base do sucesso dessa ferramenta na modelagem de
sistemas dinâmicos.
Em uma estrutura N=(P,T,F,W) o pré-conjunto x∈P∪T é
definido como •x=y∈P∪T(y,x)∈F. O pós-conjunto x∈P∪T
é definido como x•=y∈P∪T(x,y)∈F. Os pré-conjuntos (pós-
conjuntos) de um conjunto de elementos são definidos como
a união dos pré-conjuntos (pós-conjuntos) desses elementos.
Numa PN ordinária, uma transição t∈T está habilitada em
uma marcação qualquer M (simbolicamente M[t>) se, e
somente se, para ∀p∈•t, M(p)>0. Uma transição t∈T habilitada
em M pode ser disparada e, como resultado de seu disparo
tem-se uma nova marcação M’ que é denotado por M[t>M’,
com M’(p)=M(p)−1 se p∈•t\t•; M’(p)=M(p)+1 se p∈t•\•t; e
M’(p)=M(p) nos demais casos para todo p∈P [29].
se, ∃k∈N N+, ∀M∈R(N,M0) e para ∀p∈P, M(p)≤k, onde
A PN é chamada de rede marcada e limitada se, e somente
R(N,M0) é o conjunto das marcações na PN alcançáveis a
partir de M0. No caso particular de k=1 a PN é chamada de
segura.
Outra representação formal da PN é por meio de matriz de
incidência e equações de estados. A matriz de incidência
N=[cij] indexada por P e T tal que pi∈P, tj∈T e
numa rede de Petri N=(P,T,F,W,M0) é representada por
fij⊆(P×T)∪(T×P) com fij indicando o arco orientado que liga o
lugar pi à transição tj ou a transição tj ao lugar pi, sendo
cij=W(fij).
que cij=1 se tj∈•pi\pi•; cij= −1 se tj∈pi•\•pi e cij=0 nos demais
No caso de uma PN ordinária e pura, a matriz N=[cij] é tal
casos.
Desta forma, uma PN devidamente interpretada é usada
neste trabalho, onde os elementos estruturais como, transições,
lugares e arcos são associados com os componentes do
sistema produtivo (SP), tais como: sensores, atuadores entre
outros [23]. Neste trabalho é usada também uma extensão da
PN, chamada de rede de Petri comportamental (BPN) [31],
que é uma PN ordinária, pura, marcada e segura, com regras
de interpretação e de composição de seus elementos próprios
para a representação de operações lógicas de primeira ordem.
Assim, como será observado posteriormente, na BPN tem
uma representação especial que foi introduzida para a
descrição da operação de “OU inclusivo”.
III. SISTEMÁTICA PROPOSTA
O procedimento proposto para diagnóstico e tratamento de
falhas da camada SIS utilizando a BN e a PN de acordo com
a Fig. 1, cuja idéia geral foi introduzida em [32].
Figura 1. Procedimento para o diagnóstico e tratamento de falhas na camada
SIS.
A sistemática define quatro etapas a seguir descritas
genericamente e cujos detalhes de aplicação estão
apresentados na seção IV.
A. Modelagem do Diagnóstico de Falhas
O modelo de diagnóstico envolve inicialmente (passo A.1)
a elaboração de uma matriz causa-efeito, e que é a base para
uma BN que pode ser obtida (passo A.2) com o auxílio do
algoritmo K2 [21]. Esta rede é a seguir convertida (passo A.3)
em uma rede de Petri comportamental (BPN).
B. Modelagem do Tratamento de Falhas
A modelagem do tratamento de falhas implica em,
inicialmente, (passo B.1) proceder a uma análise de riscos por
Hazop (hazard and operability) [8] para se obter funções
instrumentadas de segurança (SIF), assim como, o nível de
integridade de segurança (SIL) para cada SIF, e os eventos
inicializadores (de acordo com o modelo de diagnóstico) e os
atuadores concernentes à cada SIF. A seguir (passo B.2) é
construído um modelo para tratamento de falhas de cada SIF
usando PN interpretada. Depois que cada um destes modelos
é desenvolvido, deriva-se (passo B.3) o modelo em PN da
atividade de coordenação das SIFs. Isto é, uma vez que a
causa de um problema é diagnosticada pelo modelo de
diagnóstico, o coordenador é responsável pela chamada do
modelo de tratamento respectivo para mitigação e/ou
prevenção do acidente.
C. Análise dos Modelos
Inicialmente se faz uma análise estrutural do modelo de
diagnóstico que é uma BPN. A seguir analisa-se o
comportamento dos modelos de tratamento de falhas que não
devem atingir nenhum estado indesejado, isto é, verifica-se se
a PN não apresenta estados mortos (marcações onde nenhuma
transição está habilitada, deadlocks). Para isto pode-se utilizar
como ferramentas de edição e simulação de PN como, por
exemplo, o HPSim [33].
D. Geração dos Algoritmos de Controle
O controlador programável (CP) é um equipamento
essencial na implementação de sistemas de controle
industriais e normas têm sido definidas (IEC 61131) para uso
deste equipamento. Estas normas representam um passo
relevante para o desenvolvimento do sistema de controle,
entretanto, elas são insuficientes para a verificação e
validação de estratégias de controle. Neste contexto, em [34]
são apresentadas várias razões para a aplicação de métodos
adequados para o desenvolvimento de algoritmos de controle
• a crescente complexidade do problema de controle;
de CPs, tais como:
• a demanda pela redução do tempo de desenvolvimento;
• a demanda pela possibilidade de reutilização de módulos
• a demanda por soluções de alta qualidade,
de software existentes;
especialmente para condições de segurança que
necessitam de procedimentos de verificação e validação.
Assim, os seguintes passos são introduzidos para esta
• Passo D.1: Geração do programa de controle numa
tarefa:
linguagem de programação IEC 61131-3 - Neste passo, o
modelo de diagnóstico desenvolvido em BPN é
convertido num programa de controle em uma linguagem
de programação IEC 61131-3. As linguagens de
programação definidas na norma IEC 61131-3 e aceitas
para a programação de CPs de segurança, de acordo com a
IEC 61508 podem ser: (a) Diagrama Ladder, (b) Bloco de
Funções, (c) SFC (Sequential Function Chart). Os
modelos em BPN são aqui mapeados em modelos SFC
em virtude da identidade existente entre estes modelos,
isto é, o SFC pode ser entendido como uma interpretação
de PN. A única ressalva é quanto à modelagem do
elemento “transição OU inclusivo” da BPN, e que implica na
representação das três condições possíveis a cada par de
variáveis, de acordo com a Fig. 2.
Figura 2. Representação de uma “transição OU inclusivo” em BPN e em SFC.
• Passo D.2: Geração dos programas de tratamento de
falhas e coordenação em linguagem de programação IEC
61131-3 - Neste passo, os modelos de tratamento e
coordenação em PN devem ser mapeados para um
programa de controle em linguagem de programação IEC
61131-3, de modo análogo ao passo anterior.
 Por fim, estes algoritmos de controle são implementados • Passo A.2: Modelagem em BN - A seguir, os dados da
em CPs de segurança. Tabela 1 são introduzidos como entrada no algoritmo K2
IV. EXEMPLO DE APLICAÇÃO (Bayesian-score) para a obtenção da estrutura inicial desta
relação causa
efeito. O algoritmo K2 é executado em
Para ilustrar a aplicação da sistemática proposta, um MatLab e a Fig. 4 mostra o resultado obtido.
sistema produtivo (SP) baseado num sistema flexível de
montagem existente e em operação, foi utilizado. A função
principal deste SP é a montagem de diferentes produtos. Este
SP é dividido em 04 células: (a) alimentação, (b) inspeção, (c)
montagem e (d) transporte. A célula de montagem é
constituída por um robô manipulador de 03 eixos (x, y e z)
que executa o procedimento de montagem das peças, Fig. 3.

Figura 4. Resultado da aplicação do algoritmo K2 para “falha de movimento

do eixo x”.

• Passo A.3: Modelagem em BPN - A partir da BN obtida

no passo anterior, é construída a BPN (Fig. 5, Tabela 2)

• inserção das transições para cada arco de

Figura 3. Célula de montagem de produtos do SP. usando o seguinte procedimento:

• inversão no sentido dos arcos, uma vez que o

Cada produto é constituído pelas seguintes peças: um corpo relacionamento entre as variáveis da BN;
cilíndrico, um êmbolo, uma mola e uma tampa.
Um sistema de controle para uma camada SIS deste SP foi raciocínio diagnóstico é uma relação dos efeitos para
desenvolvido considerando os algoritmos de controle para as causas (efeitos
causas);
diagnóstico e tratamento de falhas críticas na célula de
montagem deste SP.
A. Modelagem do Diagnóstico de Falhas
Passo A.1: Elaboração da matriz causa-efeito - Inicialmente é
elaborada a matriz de causa-efeito a partir do conhecimento
sobre a relação entre as variáveis. Neste exemplo, foram
considerados 15 casos de “falha de movimento do eixo x” do
robô manipulador. Para cada caso, foi considerada uma
combinação dos sinais dos 04 sensores relacionados com este
tipo de falha, conforme Tabela 1.

TABELA 1. MATRIZ CAUSA-EFEITO “FALHA DE MOVIMENTO DO EIXO X”

Figura 5. Modelo de diagnóstico em BPN para “falha de movimento do eixo

x”.

TABELA 2. INTERPRETAÇÃO DOS ELEMENTOS DA BPN NA FIG. 5

onde:
FALHA_EIXO_X= falha no movimento do eixo x;
S9_1= sensor de limite extremo 1;

• Passo B.1 Definição das SIFs - A partir de uma análise de

S9_2= sensor de limite extremo 2; B. Modelagem do Tratamento de Falhas
FALHA_ENCOD_X= falha no encoder;
B9_2= sensor de posição inicial. riscos por Hazop [8], é determinada a função
instrumentada de segurança (SIF-01) para o eixo x do
robô manipulador, assim como, o respectivo nível de
 integridade de segurança (SIL), a qual é descrita na PN) obtidas apresentam o comportamento especificado. Para
Tabela 3. isto utilizou-se como ferramenta o HPSim [33].

TABELA 3. DEFINIÇÃO DA SIF – CÉLULA DE MONTAGEM

Assim, a SIF-01, definida por uma perda de

movimentação do robô no eixo x, é classificada com um
SIL 2, o que indica um risco que pode acarretar em
ferimento de pessoas, destruição do equipamento e perda Figura 7. Modelo do coordenador da SIF-01 em PN.
de produção.

• Passo B.2 Construção dos modelos em PN de cada SIF –

TABELA 5. ELEMENTOS DO MODELO DO COORDENADOR

No presente caso, o modelo é o de tratamento da SIF-01

(Fig. 6, Tabela 4). A ação do SIS mediante o diagnóstico
de falha no eixo x, é de “cortar” a alimentação do servo-
motor M9 que aciona o próprio eixo x do robô e sinalizar
alarme de “falha no eixo x” em um dispositivo de
monitoração IHM (interface homem máquina).

• Passo D.1: Geração do programa de controle em SFC -

D. Geração dos Algoritmos de Controle

Nesta etapa, o modelo de diagnostico é convertido para

SFC e o grafo resultante é utilizado para programar o CP
de segurança (Fig. 8).

Figura 6. Modelo de tratamento da SIF-01 em PN. Figura 8. Algoritmo de controle de diagnóstico em SFC.

TABELA 4. ELEMENTOS DA PN DA SIF-01 • Passo D.2: Geração dos programas de tratamento de

falhas e coordenação em SFC - Nesta etapa, os modelos
em PN tanto para o tratamento da SIF-01 (Fig. 9a), como
para a coordenação (Fig. 9b), são convertidos para um
SFC e o grafo resultante é utilizado parta programar um
CP de segurança.

• Passo B.3 Construção de um modelo de coordenação das

SIFs - O modelo do coordenador (Fig. 7, Tabela 5)
determina qual o algoritmo de tratamento de falha a ser
executado em função do diagnóstico inferido.

C. Análise dos Modelos

Os modelos de tratamento de falha e da atividade de (a) (b)
coordenação são analisados para verificar se as redes (BPN e Figura 9. SFC do (a) algoritmo de controle de tratamento da SIF-01; e (b)
algoritmo de controle do coordenador.

V. COMENTÁRIOS FINAIS
Uma nova abordagem para o desenvolvimento de sistemas
de controle para sistemas instrumentados de segurança (SIS),
considerando o diagnóstico e tratamento de falhas críticas
usando métodos formais foi introduzida. A sistemática
considera a construção de modelos de diagnósticos a partir
das redes Bayesianas (BN) e posterior conversão para uma
extensão da rede de Petri comportamental (BPN) concebida
para diagnóstico de sistemas e, a construção dos modelos de
coordenação e tratamento de falhas críticas em PN. Desta
forma, além de se ter um único tipo de formalismo para os
modelos a serem analisados e validados com relação às suas
especificações técnicas de segurança, os mesmos permitem a
conversão para uma das linguagens IEC 61131-3 e aceitas
pela norma IEC 61508 para futura implementação em CP de
segurança.
O exemplo de aplicação apresentado comprova que a
sistemática proposta é efetiva para o desenvolvimento da
camada SIS de um sistema flexível de montagem existente e
em operação.
AGRADECIMENTOS
Os autores agradecem o suporte financeiro das agências
governamentais brasileiras, CNPq, FAPESP e ao programa
MEC/CAPES/PET.
REFERÊNCIAS BIBLIOGRÁFICAS
[1] M. Sallak, C. Simon, and J. Aubry. “A fuzzy probabilistic approach for
etermining safety integrity level”, IEEE Trans. on Fuzzy Systems,
vol.16, no.1,pp. 239-248, 2008
[2] Y. Ru, and C. Hadjicostis. “Fault diagnosis in discrete event systems
modeled by Petri nets with outputs”. In: Proc. of the 9th
Intern.Workshop on Discrete Event Systems (WODES), Göteborg,
Sweden, 2008
[3] X. Wang et al. “Fault detection and diagnosis based on time Petri net”.
In: Proc. of 8th Intern. Conf. on Electronic Measurement and
Instruments, Beijing, China, 2007
[4] R.A.G. Morales, J.I. Garcia Melo, and P.E. Miyagi. “Diagnosis and
treatment of faults in productive systems based on Bayesian networks
and Petri net”. In: Proc. of IEEE Inter. Conf. on Automation Science
and Engineering (CASE), pp 357-362, 2007
[5] A. Summers, and G. Raney. “Common cause and common sense,
designing failure out of your safety instrumented systems (SIS)”, ISA
Transactions, vol. 38, pp 291-299, 1999
[6] R. Bell. “Introduction to IEC 61508”. In: Proc. of ACS Workshop on
Tools and Standards, Sydney, Australia, 2005
[7] ISA, “Application of Safety Instrumented Systems for the Process
Industries”, ANSI/ISA-SP 84.01-1996, ISA, Research Triangle Park,
NC, 1996.
[8] IEC, “Functional Safety of Electrical/Electronic/Programmable
Electronic Safety-related Systems” (IEC 61508), IEC, Geneva,
Switzerland, 1998. Available at http://www.iec.org.ch
[9] IEC, “Functional Safety - Safety Instrumented Systems for the Process
Industry Sector” - Part 1 (IEC 61511), IEC, Geneva, Switzerland, 2003.
Available at http://www.iec.org.ch
[10] P. Stavrianidis, and K. Bhimavarapu. “Safety instrumented functions
and safety integrity levels (SIL)”, ISA Transactions, vol. 37, pp 337-
351, 1998
[11] R. Faller. “Project Experience with IEC 61508 and Its Consequences”,
Springer Berlin/Heidelberg, Vol.2187, pp. 200-210, 2001
[12] A. Bobbio et al. “Comparison of methodologies for the safety and
dependability assessment of an industrial programmable logic
View publication stats
controller”. In: N. Piccinini and E. Zio, eds., European Safety
Dependability Conf. (ESREL), pp. 411-418, 2001
[13] L. Seixas de Oliveira. “Lifecycle cost analysis of alternatives for
complying with required safety integrity level (SIL) at a petrochemical
plant”. In: Proc. of CCPS Health and Safety Conf., Buenos Aires,
Argentina, 2008
[14] Y. Dutuit , A. Rauzy, and J. Signore. “A snapshot of methods and tools
to assess safety integrity levels of high-integrity protection systems”,
Proc. of IMechE, vol. 222, 2008
[15] J. Pearl, “Causality: Models Reasoning and Inference”, Cambridge
University Press, 2000
[16] U. Lerner et al. “Monitoring a complex physical system using a hybrid
dynamic Bayes net”. In: Proc. 18th Conf. on Uncertainty in AI (UAI),
Edmonton, Canada, pp. 301–310, 2002.
[17] C.F. Chien, S.L. Chen, and Y.S. Lin,” Using Bayesian network for fault
location on distribution feeder”, IEEE Trans. Power Deliv., vol.17, n.3,
pp.785–793, 2002.
[18] K. Murphy. “Bayes Net Toolbox for Matlab”, 2007. Available at
http://bnt.sourceforge.net/.
[19] F.G. Cozman. “JavaBayes: Bayesian Networks in Java”, 2001.
Available at http://www-2.cs.cmu.edu/~javabayes/
[20] D.M. Chickering. “Optimal structure identification with greedy search”,
J. Machine Learning Research, vol.3 pp.507-554
[21] G.F. Cooper, and E. Herskovits, “A Bayesian method for the induction
of probabilistic networks from data”, Machine Learning, vol.9, pp. 309-
347, 1992.
[22] T. Murata. “Petri nets: Properties, analysis and applications”,
Proceedings of IEEE, vol. 77, pp. 541–580, 1989.
[23] R. Zurawski, and M. Zhou. “Petri nets and industrial applications: a
tutorial”, IEEE Trans. on Industrial Eletronics, vol. 41, pp. 567–583,
1994.
[24] N.R. Adam, V. Atluri, and W.K. Huang, “Modeling and analysis of
workflows using Petri nets”, J. of Intelligent Information System, vol.
10, pp. 131–158, 1998.
[25] Z. Li, and M. Zhou.” Control of elementary and dependent siphons in
Petri nets and their application”, IEEE Trans. on Systems, Man and
Cybernetics, Part A: Systems and Humans, vol. 38, pp. 133–148, 2008.
[26] T. Yoo, B. Jeong, and H. Cho.” A Petri nets based functional validation
for services composition”, Expert Systems with Applications, vol. 37,
pp. 3768–3776, 2010.
[27] R. Han et al. “A Petri net theory-based method for modeling web
service-based systems”. In: Proc. of 4th Intern. Conf. on Wireless
Communications, Networking and Mobile Computing (WiCOM), pp.
1–7, 2008.
[28] X. Xu et al. “A novel modeling design method for automated storage
and retrieval system based on Petri nets”. In: Proc. of the IEEE Intern.
Conf. on Automation and Logistics, Jinan, China, pp.2046–2051, 2007.
[29] Z. Li, and M. Zhou. “Elementary siphons of Petri nets and their
application to deadlock prevention in flexible manufacturing systems,”
IEEE Trans. on Systems, Man and Cybernetics, Part A: Systems and
Humans, vol. 34, pp. 38–51, 2004.
[30] R. David, and H. Alla. “Petri nets for modeling of dynamic systems” - a
survey, Automatica, vol. 30, pp. 175–202, 1994.
[31] L. Portinale. “Behavioral Petri nets: a model for diagnostic knowledge
representation and reasoning”, IEEE Trans. on Systems, Man, and
Cybernetics, Part: C - Cybernetics, vol. 27, no. 2 ,1997
[32] R. Squillante et al. “Safety instrumented system designed based on
Bayesian network and Petri net”, 8th Intern. Conf. on Mathematical
problems in Engineering, Aerospace and Sciences (ICNPAA), Sao Jose
dos Campos, Brazil, 2010.
[33] H. Anschuetz. HPSim . Available at, http://www.winpesim.de/3.html
[34] G. Frey, and L. Litz.” Formal methods in PLC programming”. In: Proc.
of the IEEE Intern. Conf. on Systems, Man and Cybernetics (SMC),
Nashville, pp. 2431–2436, 2000.