Escolar Documentos
Profissional Documentos
Cultura Documentos
EXÉRCITO BRASILEIRO
DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA
INSTITUTO MILITAR DE ENGENHARIA
PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA NUCLEAR
Rio de Janeiro
2019
PEDRO MACIEL RODRIGUES DOS SANTOS
Rio de Janeiro
2019
©2019
196 f.:
Ten. Cel. Profo. João Claudio Batista Fiel – D. Sc. do IME – Presidente
Rio de Janeiro
2019
À minha família, aos bravos cientistas e entusiastas
que lutaram e desenvolveram este tema, apesar das
dificuldades.
AGRADECIMENTOS
Willliam Shakespeare
RESUMO
This study describes the analysis of a nuclear security project, which includes its three
areas: physical protection, information security and nuclear material accounting and
control. This analysis was done through a performance-based approach, that uses
probabilistic parameters for threat, equipment, systems and also the response forces
used to prevent, dissuade and deter malicious acts against the integrity of nuclear
facilities and its materials contained therein. Once the plans and systems that currently
exist in real facilities must remain confidential, a hypothetical facility was developed,
contemplating a small modular reactor, an iPWR. Nowadays, the world uses an
approach that covers only Physical Protection, which is not integrated with cyber-
security and nuclear material accounting and control. The use of the performance-
based approach made it possible to identify vulnerabilities of the model itself, due to
the interferences of each of the areas of Nuclear Security. From the results obtained
by this study, it was possible to observe that the influence of the other areas of nuclear
security needs to be considered, in order for a project to be efficient.
ABREVIATURAS
AP - Área Protegida
AVt - Área Vital
AVg - Área Vigiada
CCMN - Contabilidade e Controle de Material Nuclear
no - Número
RAMPeM - Reator Avançado Modular de Pequeno porte de Morobi
SisCCMN - Sistema de Contabilidade e Controle de Material Nuclear
SÍMBOLOS
BM Balanço Material
GV Gerador de Vapor
TI Tecnologia da Informação
1 INTRODUÇÃO ....................................................................................................... 20
1.1 Panorama Atual ................................................................................................. 20
1.2 Objetivos ........................................................................................................... 22
1.3 Metodologia ....................................................................................................... 23
1.4 Justificativa........................................................................................................ 23
1.5 Organização do Trabalho ................................................................................. 23
1 INTRODUÇÃO
1.2 Objetivos
1.3 Metodologia
1.4 Justificativa
O Brasil por suas dimensões exige grandes desafios no tocante à sua segurança.
Soma-se a isto o destaque internacional, especialmente por ter sediado grandes
eventos, além de receber delegações de países que são alvos frequentes de ataques
terroristas.
Apesar de o Brasil não possuir histórico de eventos de segurança nuclear, o país
tem assistido nos últimos anos a uma crescente escalada da crise na segurança
pública, com destaque para o aumento do poderio do crime organizado. Outro ponto
relevante é o fato de que todas as atividades relacionadas à área nuclear são de
competência exclusiva da União (TAVARES, 2005). Desta forma, o estudo aqui
desenvolvido pode prover medidas eficazes e flexíveis em termos de sistemas de
segurança física, a fim de que estas melhorias propostas possam ser justificadas junto
ao contribuinte brasileiro.
2 FUNDAMENTAÇÃO TEÓRICA
qualquer atividade nuclear que não seja permitida, impedindo o seu controle ou que
seu controle seja adquirido incorretamente (IAEA, 2016).
As áreas de safety e security têm em comum o objetivo de proteger as pessoas,
a sociedade, as propriedades (públicas e/ou privadas) e o meio ambiente. As medidas
promovidas por ambas as áreas devem ser desenhadas e implementadas de forma
integrada, no sentido de promover uma sinergia entre ambas as áreas (IAEA, 2013).
A sinergia destas áreas pode ser observada quando da infraestrutura reguladora,
as disposições de engenharia na concepção e construção de instalações nucleares,
no controle de acesso a instalações nucleares e outras instalações, na categorização
de fontes radioativas, dentre outros inúmeros exemplos (IAEA, 2016).
Num primeiro momento, para fins de nomenclatura, seria possível traduzir “safety”
como “segurança tecnológica” e “security” como “segurança física” e esta será a
tradução adotada neste trabalho.
Antes de nos debruçarmos sobre a estrutura, cabe aqui uma elucidação sobre
alguns termos.
O termo “fora do controle regulatório” é usado para descrever uma situação na
qual os materiais nucleares e/ou radioativos estão presentes seja sem autorização
apropriada, seja em quantidade suficiente, de tal forma que deveriam estar sobre
controle regulatório, mas tal controle está ausente – ou por falha do controle
regulatório ou porque este jamais existiu (IAEA, 2010).
Neste mesmo escopo, existe ainda o termo “material fora do controle regulatório”
que refere-se à ausência do controle direto sobre um material pelo titular que é – ou
deveria ser – responsável pelo controle regulatório para tal material (IAEA, 2010). Aqui
entende-se por “titular” (do inglês, “authorized person”, “licensee” ou “operator”) (IAEA,
2012), o responsável legal pela instituição ou instalação para a qual a CNEN outorgue
uma licença, autorização ou qualquer outro ato administrativo de natureza semelhante
(CNEN, 2015).
O material pode, portanto, ser designado como “fora do controle regulatório”,
mesmo quando alguns aspectos do controle regulatório estão em vigor (IAEA, 2010).
Em relação à área não-regulatória, a AIEA divide-a em quatro grandes grupos,
específicos para materiais nucleares e radiológicos e suas atividades associadas. São
eles:
Arquitetura de detecção: é necessário um planejamento para detecção de um
material suspeito ou localização de material desaparecido
Arquitetura de resposta: é necessário um planejamento conjunto das agências
para responder a um eventual ataque.
Gerenciamento da cena do crime: caso um ataque tenha ocorrido, o local deve
ser gerenciado por agências especializadas.
Eventos de Grande Público: é necessária segurança reforçada em grandes
eventos públicos, uma vez que a densidade de pessoas é alta
29
2.2.1.1 Ameaças
financeira;
pessoal;
psicológica;
política;
ideológica;
coercitiva.
Podemos dividir as intenções em (IAEA, 2016):
causar dano ao público ou indivíduo específico;
causar dano ao meio ambiente;
causar prejuízos à economia;
publicidade;
ganhos pessoais (em geral, financeiros);
perturbar a ordem política e/ou social.
No tocante às capacidades do adversário, temos (IAEA, 2016):
recursos humanos;
o habilidades técnicas – tais como conhecimentos de engenharia, uso de
explosivos, experiências paramilitares, dentre outros;
o habilidades cibernéticas – utilizando, por exemplo, computadores e
sistemas automatizados para facilitar os ataques físicos;
o conhecimento – alvos potenciais, planos e procedimentos da instalação,
materiais nucleares e radiológicos com potencial para uso, dentre outros.
organizacionais;
o tamanho do grupo – força de ataque, capacidade de coordenação e tipos
de suporte;
o táticas – para se evadir ou se evidenciar;
o organização estrutural – cadeia de comando e/ou se age em células
únicas ou múltiplas.
financeira;
o fonte, quantidade e disponibilidade.
equipamentos;
o armas – tipos, números, disponibilidade e improvisação;
o ferramentas – mecânicas, térmicas, manuais, eletrônicas, dentre outras.
32
acesso ao alvo.
o transporte – público, privado, terrestre, marítimo, aéreo, quantidade,
disponibilidade, dentre outros;
o existência ou não de adversários internos;
o estrutura de apoio – simpatizantes locais, organização de apoio e
logística.
Adversários são classificados (GARCIA, 2008) em três grandes grupos:
externos (do inglês, “outsiders”);
internos (do inglês, “insiders”);
externos em conluio com internos.
Adversários externos podem incluir terroristas, criminosos comuns, extremistas ou
hackers. Já os adversários internos são definidos como qualquer pessoa que tenha
conhecimento das operações ou dos sistemas de segurança física e que tenha acesso
livre à instalação ou às áreas de interesse.
estudos que indicam que adversários internos são os responsáveis pela maior parte
das brechas encontradas nos sistemas físicos e computacionais de segurança
nuclear.
Adversários internos podem ter motivações diferentes e podem ser classificados
em passivos ou ativos, violentos ou não-violentos, conforme o diagrama exibido na
figura 2.1 (IAEA, 2008).
2.2.1.2 Táticas
2.2.1.3 Alvos
2.2.2.1 Prevenção
2.2.2.2 Detecção
2.2.2.3 Resposta
o evento ocorre com a severidade do mesmo. Tal modelo pode ser enunciado pela
seguinte equação (SNL, 2018):
R = F∙S (2.1)
Onde:
R é o risco;
F é a frequência de ocorrência do evento e;
S é a severidade deste mesmo evento.
O resultado deste trabalho foi o desenvolvimento de um método conhecido como
Avaliação de Risco Probabilístico (ARP), largamente utilizado hoje em Segurança de
Processos.
Para a Segurança Física Nuclear, entretanto, utiliza-se um modelo numérico
bastante similar ao apresentado. Ele pode ser enunciado da seguinte forma (SNL,
2018):
R = P∙C (2.2)
Onde:
R é o risco;
P é a probabilidade de ocorrência de um dado evento de segurança física nuclear
e;
C é a consequência deste mesmo evento.
A probabilidade de ocorrência de um evento de segurança física nuclear depende,
segundo este modelo, da seguinte equação (SNL, 2018):
P = PA ∙ PS (2.3)
Onde:
P é a probabilidade de ocorrência de um dado evento de segurança física nuclear;
PA é a probabilidade de ocorrência de um ataque em uma instalação nuclear e;
PS é a probabilidade do ataque ser bem sucedido.
Na prática, este modelo nos indica que a probabilidade de um evento de
segurança física nuclear é, na verdade, a combinação de duas ocorrências.
Primeiramente, o ataque precisa acontecer (referente à variável P A). Se tal ato mal
intencionado ocorrer, este precisa ser bem-sucedido (referente à variável PS).
Agora, substituindo a equação 2.3 na equação 2.2, teremos que:
R = PA ∙ PS ∙ C (2.4)
45
2.3.3.4.1 Detecção
2.3.3.4.2 Retardo
2.3.3.4.3 Resposta
A função de resposta consiste nas ações tomadas pela força de resposta para
impedir o sucesso do adversário (GARCIA, 2008). Num SisPF, responder a um ato
mal-intencionado consiste em três etapas: implantação, interrupção e neutralização
48
Na linha do tempo apresentada, temos nos eixos das abcissas intervalos de tempo
que são essenciais para entender os conceitos das funções de um SisPF, a saber:
T0 ou tempo inicial de atuação do SisPF: representa o momento em que o
adversário é detectado (primeiro sensor acionado);
TD ou tempo de detecção e certificação de intrusão: marca o intervalo de tempo
entre o momento em que o adversário é detectado, o alarme é avaliado e a intrusão
certificada (pode variar de segundos até minutos);
TI ou tempo de interrupção do adversário pela força de resposta: uma vez que
a detecção ocorreu e o alarme foi avaliado, a resposta inicia seu trabalho interrupção
do adversário;
TC ou tempo de conclusão do ato mal-intencionado: representa o tempo que o
adversário leva para completar sua tarefa.
O adversário começa sua tarefa em algum momento antes da ocorrência do
primeiro alarme, rotulado no diagrama como T 0. Como antes de T0 não há detecção,
este período de tempo é indeterminado.
Pela linha do tempo apresentada, vemos que o tempo total de um SisPF é dado
pelo intervalo de tempo entre T0 e TI. Desta forma, sabemos que para aumentar a
eficácia de um SisPF é colocar o valor de T0 o mais à esquerda possível no eixo das
abcissas, onde será possível detectar a ameaça mais cedo. Ainda em relação à
eficiência, também se faz necessário reduzir o intervalo de tempo entre T0 e TD, o que
implica que as forças de resposta terão sido comunicadas mais cedo. Outra medida
que aumenta a eficácia é a redução do intervalo entre TD e TI, que representa, na
prática, uma diminuição entre o tempo de mobilização da força de resposta e o tempo
de interrupção do adversário. Outra medida é dilatar ao máximo o intervalo entre TI e
TC, o que significa que o adversário foi neutralizado muito antes de levar a cabo seu
ato mal-intencionado.
inglês, SDAs, acrônimo para Sensitive Digital Assets (IAEA, 2016). É importante
destacar que nem todas as informações são iguais em termos de sensibilidade e de
potencial de impacto para a segurança nuclear. Como exemplo de informações
sensíveis temos aquelas referentes a sistemas e planos de segurança física, à
movimentação de material nuclear durante o transporte e ao inventário de material
nuclear.
Os ataques cibernéticos dividem-se em três gradações. Estas gradações crescem
em termos de consequência, mas decrescem em termos de probabilidade de
ocorrência, conforme se verá a seguir.
A primeira gradação refere-se aos chamados ataques genéricos ou ataques não-
direcionados. Esses tipos de ataques incluem worms, denial, entre outros. Estes são
ataques cibernéticos genéricos e não são muito bem estruturados, nem são
necessariamente direcionados ao titular. Como resultado, eles resultam em
consequências muito pequenas, apesar de terem uma alta frequência de ocorrência
(IAEA, 2016).
O segundo tipo de ataque cibernético são os ataques direcionados, onde aqueles
em que indivíduos ou organizações são, de fato, o alvo pretendido. Para o público em
geral esse tipo de ataque tem, em geral, menor probabilidade de ocorrência. No
entanto, no tocante, à Segurança Física Nuclear, os funcionários e suas respectivas
organizações estão na linha de fogo direta para tais ataques (IAEA, 2016). Estes
ataques tem como atores mais comuns organizações criminosas que objetivam ganho
monetário, funcionários insatisfeitos motivados por vingança e também grupos
extremistas com motivações políticas. É menos provável que esses tipos de ataques
tenham um grande impacto e normalmente sejam evitados com soluções de TI, como
sistemas antivírus (IAEA, 2016).
Por último, temos a chamada operação cibernética estratégica ou ataques
persistentes avançadas. Este nível de ataque é, em geral, o menos provável de
ocorrer, mas tem o potencial de em termos de consequência. Normalmente, é
planejada por grupos de adversários que têm interesse no comprometimento
específico de uma organização ou instalação. Suas motivações podem ser ganho
econômico, o roubo contínuo de tecnologia (ou informações sensíveis) ou causar
perturbações em grande escala (IAEA, 2016). Tais ataques são normalmente
perpetrados por organizações com bons recursos que têm capacidade técnica e
56
ataques começa com a compreensão dos alvos e sua importância para os SisPF e
instalações nucleares (SNL, 2018).
Sistemas computacionais podem ter associados a eles funções operacionais de
engenharia e de contabilidade, o que pode incluir criação, armazenamento,
processamento e/ou transmissão de informações sensíveis. De acordo com a AIEA
(2016), o impacto potencial da perda (ou manipulação) de informações sensíveis é
que estas podem ser utilizadas para dar suporte a um ataque cibernético ou um ataque
composto.
Outro alvo potencial são os sistemas de segurança física, que integram sistemas
de controles, monitoramento e alarmes. A perda ou manipulação destas funções de
segurança podem ter um grande impacto, na medida em que podem permitir que uma
ameaça ganhe acesso não-autorizado a uma instalação ou leve a cabo uma
sabotagem (IAEA, 2011).
Também configura um alvo potencial os sistemas de processos em uma planta,
responsáveis por monitorar, controlar e avaliar os processos da planta que poderiam
ser alvos de um ataque cibernético, tais como turbinas e a água de alimentação, por
exemplo. O impacto potencial da manipulação desses sistemas é que estes podem
dar apoio (direto ou indireto) à eventos de sabotagem (IAEA, 2011).
Por fim, também é apontado pela AIEA (2016) como alvo potencial os sistemas
de segurança tecnológica – aqueles ligados aos sistemas de instrumentação e
controle –, na medida em que estes tem papel significativo em funções, por exemplo,
como o resfriamento de emergência do núcleo, na remoção de calor, no isolamento
da contenção, na ventilação de emergência e no fornecimento emergencial de
energia. A manipulação desses sistemas tem alto impacto, na medida em que eles
podem dar apoio direto ou indireto a sabotagens (IAEA, 2016).
É possível ainda que um ataque cibernético seja direcionado à um funcionário da
instalação, a fim de ganhar um nível qualquer de acesso ou de informação. Neste
caso, temos os chamados “alvos humanos” ou “vetores humanos” e a metodologia se
dá através de engenharia social (IAEA, 2016).
59
hábil qualquer remoção não autorizada de material nuclear e fornece dissuasão contra
estas ações (IAEA, 2015).
Um SisPF é projetado principalmente para impedir o acesso a uma instalação
nuclear e seu material nuclear por pessoas não autorizadas, adversários externos
neste caso (IAEA, 2016). O Sistema de CCMN (SisCCMN) ajuda a deter e também
detectar possíveis remoções ou uso indevido de materiais nucleares por pessoas
autorizadas, adversários internos neste caso (IAEA, 2016). Assim, ambos os sistemas
– SisCCMN e SisPF – necessitam ser implementados, operados de forma eficiente e
concomitantemente.
O documento Nuclear Security Series No 25-G (IAEA, 2015) estabelece quais são
os objetivos primários de um Sistema de Contabilidade e Controle de Material Nuclear.
O primeiro deles é manter e relatar informações que sejam precisas, oportunas,
completas e confiáveis sobre os locais, quantidades e características do material
nuclear que estejam sob posse da instalação. Também compete ao SisCCMN manter
o controle sobre o material nuclear para garantir a gestão do conhecimento, para,
desta forma, aumentar a capacidade de impedir e detectar uma remoção não
autorizada. Também é objetivo estabelecido pela AIEA que um SisCCMN forneça uma
base de investigação que permita solucionar sem demora quaisquer irregularidades.
Por fim, um sistema de CCMN deve fornecer informações úteis a fim de recuperar o
material nuclear perdido.
Para que um SisCCMN forneça uma detecção oportuna é necessário que este
seja capaz de auxiliar na detecção do uso indevido de um equipamento de
manipulação ou manuseio de material nuclear da instalação. Além disso, é preciso
também que seja capaz de detectar atividades de adversários internos que estejam
relacionadas ao material nuclear presente.
61
3 METODOLOGIA DO TRABALHO
3.1 Introdução
Cada uma dessas macroetapas é dividida em etapas bem definidas, onde juntas
compõem o processo DEPO. Cada uma dessas etapas, bem como seu
sequenciamento estão no diagrama presente na figura 3.2. Nas subseções a seguir
exploraremos mais a fundo cada uma das etapas e suas respectivas macroetapas.
68
Identificar alvos é, na prática, avaliar o que deve ser protegido sem levar em conta
a ameaça ou a dificuldade em realizar a proteção física. No entanto, não é nem um
pouco prático – e às vezes sequer é possível – proteger todos os ativos de uma
instalação. Um sistema de segurança física efetivo é aquele que contempla um
número mínimo, porém completo, de ativos (GARCIA, 2008).
Para instalações nucleares, a identificação de alvos inclui quatro etapas, na ordem
em que se segue (SNL, 2018):
compreender as políticas de segurança aplicáveis;
identificar materiais e sistemas que devem ser protegidos contra roubo ou
sabotagem;
identificar níveis de categorização (consequências);
e listar os alvos.
A AIEA sugere que, ao selecionar os alvos potenciais, que os critérios desta
seleção se baseiem nas consequências indesejáveis que se querem evitar (IAEA,
2016).
Garcia (2008) lista algumas destas consequências supracitadas:
perda de vidas;
roubo de material ou informações sensíveis (espionagem industrial);
danos ambientais decorrentes da liberação de material perigoso – seja este
material roubado ou sabotado;
interrupção no fornecimento de infraestrutura crítica, como água, energia ou
telecomunicações;
prejuízo no desempenho operacional;
ambiente de trabalho sujeito à violência, extorsão ou chantagem;
danos estruturais às edificações;
danos à imagem, reputação ou confiabilidade;
responsabilidade legal.
A AIEA estabelece que a identificação de materiais e sistemas deve ser o primeiro
fator ao determinarmos medidas de proteção física contra remoção não-autorizada.
Os materiais presentes em uma instalação nuclear podem ser classificados de acordo
com as normativas da Agência Internacional de Energia Atômica, conforme disposto
70
Os materiais de categoria I devem, por fim, estar dentro de uma terceira área de
segurança interna à uma AP, chamada de Área Vital (AVt). Uma Área Vital deve
fornecer uma camada adicional à AP no tocante à detecção, controle de acesso e
retardo contra uma intrusão. As AVt devem ser adequadamente protegidas e
equipadas com alarmes.
Além disso, devem estar dentro de uma ou mais AVt todo e qualquer material
nuclear cuja quantidade que, se dispersada, poderia levar a “altas consequências
radiológicas” – termo conhecido em inglês como HRC, acrônimo para “high
radiological consequences”.
Com efeito, ressalta-se que o termo “alta consequência radiológica” (ACR) indica
uma gama de consequências radiológicas relativamente severas resultantes de
grandes instalações nucleares, tais como usinas nucleares (IAEA, 2012). O nível de
proteção para áreas vitais especificado é semelhante ao exigido na NSS no 13 para
impedir o roubo de materiais nucleares de categoria I.
Dentro de uma área vital devem estar – além de materiais de categoria I e os ACR
– um conjunto mínimo de equipamentos, sistemas, ou dispositivos necessários para
impedir os ACR. Todas as medidas que forem projetadas na instalação para fins de
segurança devem ser levadas em conta ao identificar áreas vitais (IAEA, 2012).
3.2.3.1 Detecção
inputs do operador. Por fim, estes sistemas devem ser responsáveis pelo suporte de
comunicação para os guardas, forças de resposta e para pessoal de emergência.
3.2.3.2 Retardo
3.2.3.3 Resposta
SNL (2018) distingue os papéis das forças de guarda e das forças de resposta.
Guardas são definidos como pessoas que executam tarefas rotineiras relacionadas à
segurança: controle de acesso a áreas de segurança, patrulhamento de rotina,
avaliação de alarmes, operação de uma central de alarmes, escolta de material
79
Área Protegida
Interior do Edifício
Área Vital
Alvo de sabotagem:
bomba de resfriamento
Figura 3.5 - Exemplo de caminho do adversário.
Adaptado de SNL (2018)
Figura 3.7 - Sistema de Proteção Física não atua a tempo e o adversário completa sua
missão.
Adaptado de SNL (2018).
Garcia (2008) define que o Ponto Crítico de Detecção é aquele onde há um retardo
ao longo do caminho do adversário imediatamente maior ou igual ao tempo da força
de resposta, o que permite a ela atuar em tempo suficiente para interromper e
neutralizar um adversário.
84
Onde:
PI é a Probabilidade de Interrupção em um dado caminho;
𝑚 é o número total de elementos de detecção ao longo do caminho de interesse
e;
PD𝑖 é a probabilidade de detecção fornecida pelo 𝑖-ésimo elemento anterior ao
PCD.
Após o PCD outros níveis de detecção não são relevantes, porque não contribuem
para a eficiência do SisPF. No entanto, os tempos de retardo fornecidos por pelas
barreiras físicas é de extrema importância, posto que aumenta o tempo disponível
para atuação da força de resposta. Assim sendo, a soma dos valores de retardo após
o PCD deve ser superior ao tempo de atuação da força de resposta (SNL, 2018).
Garcia (2008) enuncia este somatório pela equação 3.2:
𝑚
TR = ∑ T𝑖 > TG (3.2)
𝑖=1
Onde:
TR é o Tempo de Retardo restante após o PCD;
𝑚 é o número total de elementos de detecção ao longo do caminho de interesse;
T𝑖 é tempo de retardo fornecido pelo 𝑖-ésimo elemento e;
TG é o tempo de atuação da força de resposta.
SNL (2018) conclui que, para que seja possível calcular a Probabilidade de
Interrupção (PI) de um determinado caminho, é necessário que se calcule
primeiramente o tempo de resposta da força de segurança (T G). A seguir – partindo-
se do alvo –, deve-se somar todos os tempos de retardo (T𝑖 ), até que este valor seja
maior ou igual a TG. Com isso, o PCD se localizará na oportunidade de detecção
85
imediatamente após o ponto onde TR excede TG. Por fim, sabendo-se onde está o
PCD, é possível calcular o valor de PI.
Anos até
1 A A Décadas
Centenas A A A
Dezenas
Anos até
2 A A Décadas
de M A M
dezenas
Dezenas
Meses até
3 A A Anos
de A M M
dezenas
Semanas
4 M A até Meses
Décadas A M M
Semanas
5 A M até Meses
Décadas M M B
Semanas
6 M M até Meses
Alguns M M B
Meses até
7 M M Anos
Dezenas B B B
Dias até
8 B B Semanas
Alguns B B B
Adaptado de SNL (2018)
Perda de disponibilidade e
integridade dos sistemas de acesso
Controle de acesso da
à instalação 2
Proteção Física
Perda de confidencialidade
dos dados de acesso à instalação
Autorização de
Perda de integridade de dados e da
funcionamento e ordem 4
disponibilidade do sistema.
de funcionamento
Perda de confidencialidade,
Gerenciamento de
disponibilidade e integridade de 4
dados
dados
Perda de confidencialidade,
E-mail 5
integridade e disponibilidade
Adaptado de IAEA (2011)
93
Desta forma, SNL (2018) enuncia a Equação de Balanço Material, dada por:
Inventário Inventário Transferências Transferências
BM = ( )−( )+( )−( ) (3.3)
Inicial Final de Entrada de Saída
Onde BM significa Balanço Material.
O termo BM também é referenciado como Diferença de Inventário – do inglês,
Inventory Difference (ID) – ou também Material Não-Contabilizado – do inglês,
Material Unaccounted For (MUF). Em língua inglesa, o termo mais utilizado é este
último (MUF) (SNL, 2018).
O Material Não Contabilizado (MNC) é, na prática, a diferença entre a quantidade
de material que deve estar na Área de Balanço Material (com base nos registros
contábeis) e a que está lá de fato, conforme estabelecido pela Tomada de Inventário
Físico. O valor de MNC deve ser igual a zero (SNL, 2018).
Um valor de MNC diferente de zero – seja ele positivo ou negativo –, portanto,
deve ser investigado a fim de determinar tal desvio. Em termos práticos, um MNC
diferente de zero pode ser a primeira indicação de que houve remoção não autorizada
por parte de um adversário interno. Quando uma Tomada de Inventário Físico não
programada é realizada, devido a uma condição de alarme, os resultados do cálculo
do valor de Material Não-Contabilizado fornecem informações sobre se ocorreu ou
não tal remoção.
95
4.1 Introdução
4.2.1.2.1 Topografia
ficar enterrado abaixo do nível do solo, como forma de elevar sua segurança
tecnológica em casos de emergência (IAEA, 2018). A capacidade elétrica dele é de,
aproximadamente, 30 MW(e), suficiente para os objetivos já descritos.
Possui ainda sistema primário integrado, circulação natural e é autopressurizado,
com sistemas de segurança passiva e ciclo de operação com duração de dezoito
meses, em média. Por sistemas de segurança passiva, entende-se o conjunto
formado por sistema de desligamento seguro, sistema de desligamento diverso, o
edifício de contenção, o sistema de injeção de média pressão, o sistema de
decaimento de calor de remoção, a válvula de alívio do vaso de pressão e o
equalizador de pressão de contenção.
O prédio da contenção do reator assemelha-se a outros SMRs em
desenvolvimento, como o CAREM (Argentina) e o NuScale (EUA). Em recentes
publicações da AIEA (IAEA, 2018) relativas a novas configurações de reatores
modulares, o prédio da contenção abriga – ao mesmo tempo – o vaso do reator e a
piscina de combustível usado, o que traz economia de espaço. O RAMPeM segue
este modelo.
A fim de aumentar a segurança tecnológica do RAMPeM, este também possuirá
2 (dois) conjuntos de bombas a diesel – ativadas em casos de emergência –, com
duplo circuito de refrigeração, totalizando 4 (quatro) bombas. O projeto do RAMPeM
determina que estas bombas ficarão acondicionadas dentro da área vital da
instalação.
Uma vez que o combustível é usado no reator, ele produz altos níveis de radiação
e calor devido à deterioração dos produtos de fissão. Uma sabotagem no reator
poderia causar a ruptura de um número significativo de barras de combustível no
núcleo ou na piscina de combustível queimado. Tal evento poderia causar a liberação
de material radioativo de tal forma que excedesse os limites de ACRs estabelecidos
pela CNEN.
O controle do reator e do gerador de turbina pode ser feito a partir da Sala de
Controle (SC), que contém todos os equipamentos de instrumentação e controle
necessários para a inicialização, operação e desligamento em condições normais e
de acidentes.
O acesso à sala de controle é feito através de uma antessala, aqui chamada de
Entrada da Sala de Controle (ESC). Essa antessala tem o objetivo de controlar a
entrada no ambiente da sala de controle. Ao lado da ESC existe uma sala contígua, a
Sala de Guarda (SG). Nela está posicionado um soldado – armado com uma pistola
– que pode acompanhar, em monitores, as câmeras de CFTV dos corredores que
103
levam à Sala de Controle e outras áreas sensíveis. A SG possui janelas – com vidros
à prova de balas – que dão para o corredor de entrada, para o interior da ESC e para
o interior da Sala de Controle. A SG se assimila à uma “caixa de vidro”, conforme
exibido na figura 4.5.
Figura 4.5 - Vista lateral das Salas de Guarda e Entrada da Sala de Controle
Existe ainda uma sala de treinamento e uma sala de gerenciamento de crise, além
do Laboratório de Análise de Material Físsil.
A Sala de Baterias (SB) é a que fornece instrumentação de backup e poder de
controle. A Sala de Bombas de Emergência é a que hospeda os dois circuitos de
bombas a diesel, utilizados em casos emergenciais.
A Sala de Distribuição de Cabos (SDC), onde os cabos de instrumentação e
controle da sala de controle são direcionados para os instrumentos apropriados,
centros de controle de motores e outros equipamentos de controle.
A Sala de Relés SCRAM (SR), que abriga os componentes eletrônicos que
controlam o sistema de proteção do reator. Este sistema inclui o painel de
desligamento auxiliar, do qual o reator pode ser monitorado, controlado e desligado
com segurança, caso a sala de controle seja danificada ou indisponível.
Cabe aqui uma elucidação: o termo “SCRAM” quer dizer, em português,
“transiente esperado sem desligamento rápido” (CNEN, 2015). De acordo com o
Glossário de Segurança Nuclear (CNEN, 2015), um SCRAM é rotulado como um dos
“piores casos” de acidente – já previsto no projeto da instalação – e ocorre quando o
sistema de desligamento do reator falha durante um transiente esperado.
104
Desta forma, é possível demarcar, na cor vermelha (figura 4.6), as áreas vitais no
interior do prédio do reator, conforme discutido nesta seção.
106
É importante ressaltar que cada uma dessas áreas vitais pode estar envolvida em
muitos cenários de sabotagem. Isso quer dizer, na prática, que um adversário pode
danificar mais de um equipamento ou componente na área vital, dependendo das
outras áreas atacadas. Logo, é pouco prático determinar tempos de sabotagem para
cada uma as áreas vitais.
Assim, o SisPF precisa ser projetado de forma a impedir que um adversário
externo tenha acesso a qualquer uma das áreas vitais e impedir também que
adversários internos abusem de seu acesso a áreas vitais para cometer sabotagem.
107
A área protegida está destacada na cor vermelha, sendo a área cercada em torno
dos três prédios do complexo RAMPeM, com acesso somente pelos portões P2 e P4.
108
Números de
4 10 >100 6
adversários
Arma longa
automática, Portáteis,
Armas Arma branca Fuzil, pistola
pistola, automáticas
granadas
Habilidades
Médio Alto Baixo Alto
técnicas
Habilidades
Nível 3 Nível 4 Nível 8 Nível 3
Cibernéticas
Conluio com
Sim Sim Não Sim
agentes internos
Estrutura de
Médio Médio Médio Médio
apoio
Dispostos a
Sim Não Não Sim
matar ou morrer
No perímetro que concerne à Área Vigiada são realizadas rondas pelos guardas
da força de segurança. Estas rondas são realizadas a intervalos regulares e tem por
função identificar visualmente alguma anormalidade nas barreiras físicas, no caso as
111
cercas de Área Vigiada e Protegida. A Norma CNEN NE-2.01 (CNEN, 2011) determina
que devem haver sinais e avisos adequados informando que se trata de uma área de
segurança, item este que é cumprido na instalação.
No interior da Área Protegida foram instalados sensores de infravermelho, na
parte interna da cerca dupla que envolve a referida área. Os sensores de
infravermelho foram posicionados de forma a não haver área sem cobertura, como
indica a Figura 4.8.
Na Área Protegida, o CFTV é composto por um total de treze câmeras, onde dez
são fixas e três são PTZ, conforme a figura 4.10 exibe. As três câmeras PTZ estão
instaladas na frente da portaria do prédio de serviços PR1, na frente da ponte rolante
e à frente do portão de carga do prédio das turbinas PT1.
Para que a avaliação de alarmes seja satisfatória em períodos de baixa
luminosidade – em dias nublados ou à noite –, o projeto do SisPF deve garantir um
mínimo de 15 lux nas proximidades da cerca, da forma mais uniforme quanto possível
(SNL, 2018). Para tal, a iluminação foi instalada partindo do interior para o exterior,
como forma de criar junto a isso uma espécie de dissuasão para o adversário
(GARCIA, 2008). O arranjo da iluminação pode ser observado na figura 4.11.
114
A portaria serve como uma outra área de controle de acesso. Dentro desta área,
se o indivíduo for um visitante, precisa se dirigir a um balcão onde existem dois
guardas (armados) dentro de uma sala envidraçada, que checarão novamente sua
credencial e seus dados. O vidro transforma esta sala em um “aquário” e permite aos
guardas que eles observem a movimentação tanto dos indivíduos que chegam, quanto
os que passam pelo scanner de raio-X e portal de detector de metais.
Se o indivíduo for um funcionário, ele não precisa passar pelo “aquário”. Em
seguida, o indivíduo deve passar seus pertences pelo detector de raio-X – operado
por um guarda armado – e passar por um detector de metais do tipo portal, controlado
por outro guarda armado. Se autorizado por ambos os guardas presentes, este pode
proceder ao torniquete TQ3.
Aqui cabe frisar que todos os torniquetes da instalação possuem controlador onde
é preciso que o funcionário passe o crachá e digite seu PIN, para que ele seja liberado.
Os crachás de visitante não exigem que o indivíduo digite um PIN, mas não dá direito
ao acesso à áreas além das administrativas, presentes no prédio de serviços. Para
exceções – onde é necessária a manutenção de equipamentos da instalação ou
fiscalização de órgãos competentes –, os crachás possuirão acesso diferenciado, a
ser programado na etapa do “aquário” e precisam ter a visita avisada e autorizada
previamente.
Tanto na Área Vigiada quanto na Área Protegida, a instalação dispõe uma cerca
de arame alambrado de 4mm com malha de 50mm, com estabilizadores, fixadas em
escoras e mourões curvos de concreto, com concertina na parte curva superior do
mourão (figura 4.16). Estas cercas são o que nos referimos como barreiras físicas.
119
Supervisor 1
1
(Comandante da Guarda)
ECA
Força de Resposta 3
Guardas 2
Supervisor 2
1
(Comandante da Força de Resposta)
ESA
Força de Resposta 3
Guardas 2
Entrada de pedestres no
Guardas 4
prédio de serviços (PR1)
Entrada da Sala de
Força de Resposta 1
Controle (ESC)
Total de respondedores 9
Logo, é possível depreender da tabela 4.4 que o tempo para ação da força de
resposta (TG) nesta instalação é de 294 segundos (TG = 294s).
completar sua ação significa, na prática, maior tempo de retardo e, por conseguinte,
maior tempo para a força de resposta interrompê-lo e neutralizá-lo.
A figura 4.4 nos mostra que a primeira sala possível de ser atacada é a Sala de
Controle. Isso implica, portanto, que montar um DSA para as outras áreas vitais –mais
distantes que a Sala de Controle – resultaria num esforço de cálculo desnecessário.
Neste sentido, é necessário descartar ainda a contenção do reator em si – que
abriga a piscina e o núcleo – pelo fato de estarem muitos andares abaixo do nível do
solo, assim como a sala de bombas de emergência. Devido ao fato de o adversário
se ver forçado a utilizar escadas ou elevadores para vários metros abaixo da
superfície, o tempo de retardo já se elevaria de forma exorbitante e recairíamos, mais
uma vez, em esforço de cálculo perdido.
Todavia, temos que uma análise mais atenta das plantas da instalação nos revela
que, se um adversário chegar ao complexo do RAMPeM, pode penetrar nele por dois
caminhos: através do prédio das turbinas ou via prédio de serviços.
Ambos os caminhos possuirão o mesmo número de pontos de detecção, quando
consideramos que o adversário pode explodir a parede S 1 – que divide os prédios da
turbina e do reator (figura 4.3) –, evitando assim os torniquetes que aumentariam seu
tempo de conclusão. Esta tática adversária é chamada por SNL (2018) de “salto” – do
inglês, “jump” – e deve ser prevista nos DSAs formulados pelo titular da instalação.
Vale frisar que a Ameaça Base de Projeto postulada na subseção 4.4.1 prevê que
o adversário está de posse de explosivos. Assim, não é possível descartar nenhum
dos caminhos.
Diante dessas considerações, é possível montar o Diagrama de Sequência do
Adversário para um ataque de sabotagem na Sala de Controle, conforme segue na
figura 4.18.
O Diagrama de Sequência do Adversário (DSA) foi completado com base nos os
dados de projeto formulados nas subseções anteriores e, onde os dados aplicáveis
foram buscados nos Anexos B e C.
Uma análise dos caminhos possíveis dos DSA nos mostra um total de dezoito
caminhos distintos.
124
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,90 PD = 0,94
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,90 Torniquete PD = 0,90
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,90 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,90
11 TQ6 TD = 18
PD = 0,90
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,90
13 TQ7 TD = 18
PD = 0,90
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
A partir do tempo para ação da força de resposta (TG = 294 segundos) é possível
calcular o Ponto Crítico de Detecção (PCD), conforme exposto na equação 3.2. Em
resumo, os valores acumulados – partindo-se do alvo – dos tempos de retardo (TD)
encontrarão seu PCD no momento em que esse somatório ultrapassar o valor de TG.
Os resultados para os valores de PCD em cada um dos dezoito caminhos
encontrados está na tabela 4.5.
[a1 ,b1,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a1 ,b2,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a1 ,b3,c 1,d1 ,e1,f1,g1,h1] 507 462 339 325 182 179 161 158 140 116 98 93 75 70 0 4
via [a2 ,b1,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
Prédio de [a2 ,b2,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
Serviços [a ,b ,c ,d ,e ,f ,g ,h ] 507 462 339 325 182 179 161 158 140 116 98 93 75 70 0 4
2 3 1 1 1 1 1 1
[a3 ,b1,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a3 ,b2,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a3 ,b3,c 1,d1 ,e1,f1,g1,h1] 507 462 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a1 ,b1,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a1 ,b2,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a1 ,b3,c 2,d2 ,e2,f1,g1,h1] 624 579 456 442 328 303 285 260 122 98 98 93 75 70 0 6
via [a2 ,b1,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
Prédio da [a2 ,b2,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
Turbina [a ,b ,c ,d ,e ,f ,g ,h ] 624 579 456 442 328 303 285 260 122 98 98 93 75 70 0 6
2 3 2 2 2 1 1 1
[a3 ,b1,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a3 ,b2,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a3 ,b3,c 2,d2 ,e2,f1,g1,h1] 624 579 456 442 328 303 285 260 122 98 98 93 75 70 0 6
De forma geral, temos que o PCD de cada um dos caminhos difere somente em
função de apenas um dos processos decisórios do adversário: se este vai optar por
seguir via prédio de serviços ou via prédio da turbina. Para a força de resposta, a
melhor opção seria que o adversário optasse pelo caminho através do prédio das
turbinas, na medida em que o número de oportunidades de detecção é maior.
Assim sendo, é possível partir para o cálculo das probabilidades de interrupção
(PI) de cada um dos dezoito caminhos. Conforme já discutido, as probabilidades de
126
Neste trabalho, postularemos que esta modificação do local onde está a ESA
ocorre sem prejuízo ou modificação aos sistemas já projetados até aqui – tais como
os sistemas de sensores externos, iluminação e CFTV.
O principal impacto desta melhoria é no valor de TG, conforme observado na
tabela 4.6.
Agora, o tempo para a força de resposta na ESA chegar à Área Protegida (AP)
sob ataque cai de 105 segundos para zero, na medida em que esta parte do time já
se encontra dentro de AP. Desta forma, o valor de T G cai de 194 segundos para 189s.
Esta mudança no tempo de ação da força de resposta (T G) afetará o valor do Ponto
Crítico de Detecção, conforme mostra a tabela 4.7.
128
É possível constatar, portanto, que para os caminhos que passam pelo prédio da
turbina, agora existem mais oportunidades de detecção, na medida em que o PCD
saiu do ponto 6 para o 8. Na prática, isso implica em uma diminuição do tempo
disponível para que o adversário complete sua missão.
Sendo assim, precisamos calcular agora os novos valores de PI após esta
melhoria. O Apêndice B exibe as memórias de cálculo para obtenção dos valores de
PI. Os resultados da análise multicaminhos após a primeira melhoria podem ser
visualizados na figura 4.21.
b1 Verificação do crachá e
Verificação do crachá 0,10 0,60
(portão P2) PIN
b2 Apresentar formulário
Checagem visual do
0,15 de autorização, além 0,70
(portão P4) logotipo e/ou matrícula
da checagem existente
b3 Instalar sensores de
Torre de observação e
0,07 vibração e campo 0,53
(cerca de AP) patrulhamento a pé
elétrico
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,90 PD = 0,94
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,90 Torniquete PD = 0,90
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,90 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,90
11 TQ6 TD = 18
PD = 0,90
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,90
13 TQ7 TD = 18
PD = 0,90
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
5.1 Introdução
Vale frisar que a classificação de SNL (2018) nos diz que os componentes de
vibração e campo elétrico são classificados como elementos dos chamados “sensores
de cerca”. Somente os sensores de infravermelho constituem os elementos
nominados “sensores externos”.
Entretanto, estes sensores estão localizados na parte externa dos prédios que
formam o complexo RAMPeM. Assim, esta zona cibernética foi agrega todos estes
sensores e é chamada de “sistema de sensores externos”. Este sistema – tal como o
sistema de sensores de posição – está ligado, em rede, às estações central e
secundária de alarmes.
Por fim, o último dos sistemas cibernéticos do RAMPeM é onde estão ligadas as
câmeras do Circuito Fechado de Televisão (CFTV). Cabe aqui ressaltar que a
classificação de SNL (2018) nos diz que os componentes de vídeo em uma instalação
podem ser classificados como “sensores internos” ou “sensores externos”, a depender
de onde estas câmeras se localizam.
No entanto, conforme discutido na seção 3.2.3.1.3, os elementos de CFTV –
juntamente com os de iluminação – compõem a avaliação de alarmes. Logo, são parte
importante da segurança de uma instalação, na medida em que permitirão comunicar
corretamente se a localidade está sob ataque ou não.
Assim, esta zona cibernética unifica estes sensores e é nomeada “sistema de
CFTV”. Este sistema está ligado, em rede, às estações central e secundária de
alarmes, além da Sala de Guarda – contígua à entrada da sala de controle, conforme
mostrado na figura 4.5.
Intensidade: alta
Discrição: alta
Tempo: meses até anos
Organização: dezenas de dezenas
Conhecimento Cibernético: alto
Conhecimento em Segurança Física: médio
Acesso: médio
De acordo com a ABP postulada neste trabalho, o adversário planeja sabotar a
instalação. Assim, o adversário terá como tática o chamado “ataque composto” – já
conceituado na subseção 2.3.4.3 deste trabalho – onde ataques cibernéticos podem
ser combinados com ataques físicos.
Para um cenário de sabotagem, o adversário cibernético atacará os sistemas,
sabotando-os, de forma a dificultar a detecção do outro time de adversários que
pretende sabotar as áreas vitais físicas da instalação.
O processo DEPO pode nos fornecer uma boa avaliação de quais sistemas tem
maior impacto na Segurança Física se um adversário intendesse sabotar um sistema,
a fim de viabilizar uma sabotagem em uma área vital física da instalação. Através da
abordagem por desempenho, podemos observar como os sistemas cibernéticos
sabotados impactam diretamente na detecção dos sensores e, consequentemente,
137
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,80
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,80 PD = 0,80
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,00 PD = 0,00
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,80 Torniquete PD = 0,80
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,00 PD = 0,00
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,80 PD = 0,00
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,00
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,80
11 TQ6 TD = 18
PD = 0,80
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,80
13 TQ7 TD = 18
PD = 0,80
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,00
15 de Controle TD = 70
não foi alterado e nem houve remoção de quaisquer elementos de retardo, então os
valores de PCD se mantém, conforme exibido na tabela 4.7. A tabela do Apêndice D
exibe as memórias de cálculo para obtenção dos valores de PI. Os resultados da
análise multicaminhos podem ser visualizados graficamente na figura 5.2.
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,50 PD = 0,70
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,50 Torniquete PD = 0,50
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,50 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,50
11 TQ6 TD = 18
PD = 0,50
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,50
13 TQ7 TD = 18
PD = 0,50
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,07
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,80
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,90 PD = 0,94
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,90 Torniquete PD = 0,90
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,90 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,90
11 TQ6 TD = 18
PD = 0,90
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,90
13 TQ7 TD = 18
PD = 0,90
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
Mais uma vez, o tempo de resposta da força de segurança (TG) não foi alterado e
nem houve remoção de quaisquer elementos de retardo, mantendo os valores de PCD
conforme a tabela 4.7. A tabela do Apêndice F exibe as memórias de cálculo para
144
obtenção dos valores de PI. Os resultados da análise multicaminhos podem ser vistos
na figura 5.6.
Neste novo ataque, temos que a menor probabilidade de interrupção (PI) é 0,84,
referente ao caminho [a3,b3,c1]. Multiplicando-se este valor pela probabilidade de
neutralização (PN = 0,91), teremos uma probabilidade global de eficácia do SisPF de
76% (PE = 0,76), o que nos possibilita concluir que o sistema de Proteção Física já
não atende mais à meta de 85% para o valor de PE.
É importante recordar que o SisPF, antes das quatro melhorias propostas no
capítulo anterior, tinha uma probabilidade global de eficácia igual à 84%, valor
insuficiente junto à meta, porém superior à atual situação. Na prática, isto implica, que
diante deste apagamento, o sistema de proteção física – mesmo melhorado – torna-
se ainda menos eficiente do que no projeto original.
Por conseguinte, é possível colocar que o sistema de sensores externos funciona
como uma área vital cibernética que, no entanto, exigirá um nível de segurança mais
reforçado do que os sistemas atingidos no primeiro e segundo ataques.
145
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,99
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,90 PD = 0,94
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,90 Torniquete PD = 0,90
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,90 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,90
11 TQ6 TD = 18
PD = 0,90
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,90
13 TQ7 TD = 18
PD = 0,90
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,80 PD = 0,80
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,00 PD = 0,00
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,80 Torniquete PD = 0,80
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,00 PD = 0,00
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,80 PD = 0,00
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,00
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,80
11 TQ6 TD = 18
PD = 0,80
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,80
13 TQ7 TD = 18
PD = 0,80
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,00
15 de Controle TD = 70
Mais uma vez, o tempo de resposta da força de segurança (TG) não foi alterado e
nem houve remoção de quaisquer elementos de retardo, mantendo os valores de PCD
conforme a tabela 4.7. A tabela do Apêndice H exibe as memórias de cálculo para
150
obtenção dos valores de PI. Os resultados da análise multicaminhos podem ser vistos
na figura 5.10.
Neste quarto ataque, temos que a menor probabilidade de interrupção (PI) é 0,96,
referente ao caminho [a3,b3,c1]. Multiplicando-se este valor pela probabilidade de
neutralização (PN = 0,91), teremos uma probabilidade global de eficácia do SisPF de
76% (PE = 0,76), o que nos possibilita concluir que o sistema de Proteção Física já
não atende mais à meta de 87% para o valor de PE.
É importante recordar que o SisPF, após das quatro melhorias propostas no
capítulo 4, tinha uma probabilidade global de eficácia igual à 87%, tal qual observa-se
na atual situação. Na prática, isto implica que, diante deste apagamento, o SisPF com
sensor complementar tornou-se tão robusto quanto era antes, ao contrário do
observado no primeiro ataque.
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,30
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,90 PD = 0,94
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,90 Torniquete PD = 0,90
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
8 SV Prédio de Serviços
TD = 8
TB Prédio da Turbina
TD = 19
e1 e2
Torniquete PD = 0,90 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,90
11 TQ6 TD = 18
PD = 0,90
12 AVt Interior da Área Vital
TD = 5
g1
Torniquete PD = 0,90
13 TQ7 TD = 18
PD = 0,90
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
6.1 Introdução
indivíduo a esta área, é necessário que dois funcionários apresentem este crachá e
PIN neste torniquete, seguindo também a regra das duas pessoas.
Dentro da área de estocagem do material há uma bancada de trabalho, um
armário, um notebook, uma balança de precisão e um espectrômetro de massa. É
dentro do armário que se encontra o material físsil para análise e controle de
qualidade, todos dentro de blindagens apropriadas, conforme exibido na figura 6.5.
Ponto de
Detecção
PD = 0,50
1 AEM Área de Estocagem do Material
TD = 60
a1
PD = 0,00
2 TQ9 Torniquete 9
TD = 3
PD = 0,00
3 AAM Área de Análise do Material
TD = 10
b1
PD = 0,90
4 TQ8 Torniquete 8 & Detectores de Metal e Radiação
TD = 65
PD = 0,00
5 AVt Corredor da Área Vital
TD = 24
c1
PD = 0,00
6 TQ6 Torniquete 6
TD = 3
PD = 0,00
7 RT Corredor do Prédio do Reator
TD = 24
d1
PD = 0,00
8 TQ5 Torniquete 5
TD = 3
PD = 0,00
9 SV Corredor do Prédio de Serviços
TD = 10
e1
PD = 0,00
10 TQ4 Torniquete 4
TD = 3
PD = 0,00
11 SV Prédio de Serviços
TD = 5
f1
PD = 0,00
12 TQ3 Torniquete 3
TD = 3
PD = 0,90
13 PR1 Portaria PR1
TD = 60
Exterior
Ponto de
Detecção
PD = 0,50
1 AEM Área de Estocagem do Material
TD = 60
a1
PD = 0,00
2 TQ9 Torniquete 9
TD = 3
PD = 0,00
3 AAM Área de Análise do Material
TD = 10
b1
PD = 0,00
4 TQ8 Torniquete 8 & Detectores de Metal e Radiação
TD = 65
PD = 0,00
5 AVt Corredor da Área Vital
TD = 24
c1
PD = 0,00
6 TQ6 Torniquete 6
TD = 3
PD = 0,00
7 RT Corredor do Prédio do Reator
TD = 24
d1
PD = 0,00
8 TQ5 Torniquete 5
TD = 3
PD = 0,00
9 SV Corredor do Prédio de Serviços
TD = 10
e1
PD = 0,00
10 TQ4 Torniquete 4
TD = 3
PD = 0,00
11 SV Prédio de Serviços
TD = 5
f1
PD = 0,00
12 TQ3 Torniquete 3
TD = 3
PD = 0,00
13 PR1 Portaria PR1
TD = 60
Exterior
7.2 Sugestões
REFERÊNCIAS BIBLIOGRÁFICAS
IAEA. Preventive and Protective Measures against Insider Threats. IAEA Nuclear
Security Series No. 8, Viena, p. 25, 2008.
IAEA. Development, Use and Maintenance of the Design Basis Threat. IAEA
Nuclear Security Series No. 10, Viena, p. 30, 2009.
IAEA. Nuclear Security Series Glossary. IAEA Nuclear Security Series, Viena, p.
33, 2010. Disponivel em:
http://elearning.iaea.org/m2/mod/glossary/view.php?id=7312. Acesso em: 09 dez.
2017.
IAEA. Computer Security at Nuclear Facilities. IAEA Nuclear Security Series No.
17, Viena, p. 69, 2011.
IAEA. Nuclear Security Systems and Measures for Major Public Events. IAEA
Nuclear Security Series No. 18, Viena, p. 56, 2012.
IAEA. Objective and Essential Elements of a State's Nuclear Security Regime. IAEA
Nuclear Security Series No. 20, Viena, p. 15, 2013.
IAEA. Security of Nuclear Material in Transport. IAEA Nuclear Security Series No.
26-G, Viena, p. 104, 2015.
IAEA. Use of Nuclear Material Accounting and Control for Nuclear Security Purposes
at Facilities. IAEA Nuclear Security Series No. 25-G, Viena, p. 63, 2015.
169
IAEA. IAEA Incident and Trafficking Database (ITDB). International Atomic Energy
Agency. Viena, p. 7. 2016.
IAEA. IAEA Safety Glossary: Terminology Used in Nuclear Safety and Radiation
Protection. International Atomic Energy Agency. Viena, p. 203. 2016.
ONU. Resolution 1540. UN Security Council Resolution 1540. Nova Iorque: [s.n.]. p.
4. 2004.
US LEGAL. Two Person Rule Law and Legal Definition. US Legal, 2016. Disponivel
em: https://definitions.uslegal.com/t/two-person-rule/. Acesso em: 16 dez. 2018.
170
APÊNDICES
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92305
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,92733
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9204
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92733
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,93136
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,92482
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9204
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,92482
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,91766
a AVg b c
[a1,b1,c2,d2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99769
a AVg b c
[a1,b2,c2,d2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99782
a AVg b c
[a1,b3,c2,d2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99761
a AVg b c
[a2,b1,c2,d2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99782
a AVg b c
[a2,b2,c2,d2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99794
a AVg b c
[a2,b3,c2,d2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99774
a AVg b c
[a3,b1,c2,d2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99761
a AVg b c
[a3,b2,c2,d2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99774
a AVg b c
[a3,b3,c2,d2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99753
171
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92305
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,92733
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9204
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92733
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,93136
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,92482
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9204
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,92482
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,91766
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99988
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99989
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99988
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99989
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,9999
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99989
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99988
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99989
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99988
172
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9658
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97402
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9602
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9677
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97546
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,96241
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,96462
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97312
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,95883
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99995
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99996
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99994
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99995
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99996
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99994
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99995
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99996
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99994
173
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9316
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,94804
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9204
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9354
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,95092
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,92482
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92924
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,94625
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,91766
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99726
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99792
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99682
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99742
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99804
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99699
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99717
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99785
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99671
174
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9658
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97402
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9602
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9677
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97546
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,96241
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,96462
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97312
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,95883
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99872
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99903
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99851
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99879
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99908
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99859
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99867
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99899
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99846
175
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9316
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,94804
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,8408
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9354
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,95092
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,84964
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92924
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,94625
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,83532
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,9999
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99992
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99976
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,9999
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99993
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99977
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99989
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99992
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99975
176
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,99658
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,9974
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,99602
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,99677
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,99755
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,99624
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,99646
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,99731
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,99588
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99999
177
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9658
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97402
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9602
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9677
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97546
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,96241
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,96462
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97312
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,95883
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99863
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99896
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99841
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99871
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99902
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,9985
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99858
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99892
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99835
178
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9658
a AVg b
[a1,b2,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97402
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9403
a AVg b
[a2,b1,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,9677
a AVg b
[a2,b2,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97546
a AVg b
[a2,b3,c1] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,94362
a AVg b
[a3,b1,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,96462
a AVg b
[a3,b2,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP )] 0,97312
a AVg b
[a3,b3,c1] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP )] 0,93824
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99995
a AVg b c d
[a1,b2,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99996
a AVg b c d
[a1,b3,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99991
a AVg b c d
[a2,b1,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99995
a AVg b c d
[a2,b2,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99996
a AVg b c d
[a2,b3,c2,d2,e2] PI = 1 − [(1 − PD 2 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99992
a AVg b c d
[a3,b1,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99995
a AVg b c d
[a3,b2,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 2 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99996
a AVg b c d
[a3,b3,c2,d2,e2] PI = 1 − [(1 − PD 3 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99991
179
ANEXOS
Tabela A-1 - Limites para categorização de material nuclear conforme isótopo e massa
(Extraída da NSS-13).
181
Tabela A-2 - Limites para categorização de material nuclear conforme isótopo e massa
(Extraída da Norma CNEN NE-2.01).
182
Tabela C-7 - Taxas de corte em barras metálicas de grades com alicate de corte padrão de
1m.
193
Tabela C-8 - Tempo necessário para montar pacotes de explosivos em função da massa do
pacote.
194
Tabela C-9 - Taxas de corrida para diferentes tipos de pisos e diferentes tipos de cargas.
195