• Save
2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen
Upcoming SlideShare
Loading in...5
×
 

2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen

on

  • 506 views

Presentation about the risks associated with complex embedded systems, and how to manage the reliability and safety of these systems.

Presentation about the risks associated with complex embedded systems, and how to manage the reliability and safety of these systems.

Statistics

Views

Total Views
506
Views on SlideShare
500
Embed Views
6

Actions

Likes
0
Downloads
0
Comments
0

4 Embeds 6

http://www.linkedin.com 2
https://www.linkedin.com 2
http://www.slashdocs.com 1
http://www.docshut.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Copyright CIBIT Adviseurs|Opleiders 2005 Jaap van Ekris, Veiligheidskritische systemen Werkveld: Kerncentrales Luchtverkeersleiding Stormvloedkeringen Fouten kosten veel mensenlevens
  • Voordeel van Glen was dat het maar 1 keer hoefde te werken...... Bron: http://www.historicwings.com/features98/mercury/seven-left-bottom.html
  • Je hebt de neiging in bed te liggen Is erg dom: daar overlijden de meeste mensen!
  • Als raket het niet zou doen dan zou John teleurgesteld zijn Als raket het wel deed, maar halverwege zich niet helemaal aan zijn plan hield door naar de maan te gaan had hij echt een probleem
  • Een van de vele voorbeelden, maar ik wil voorkomen dat mensen uit angst niet meer op straat durven komen 15 maart 1995, bij Heathrow, vlucht van Tokyo Japan naar London.
  • Brainstormsessie achtige aanpakken leiden soms tot de meest wilde risico’s Voor je het weet is de Mexicaanse griep een risico voor je software.....
  • Je pakt elke component en elk bericht, en vraagt je af wat er fout kan gaan, en wat voor ellende het oplevert.
  • Vliegtuig: linkermotor valt uit: niets aan de hand, we hebben de rechter nog rechtermotor valt uit: niets aan de hand, we hebben de linker nog
  • Doel: mag maar eens in de 10.000 jaar
  • Je begint met je primary concern Proces is simpel: je hakt je probleem zover op todat je die 2 miljoen onderdelen hebt, en je weet wat de bijdrage is van elke component Je pakt de belangrijkste 10, of 100 en neemt gericht maatregelen
  • Je hebt nog steeds meetfouten, kabelbreuken en schakelfouten: maar de kans is veel kleiner !!
  • Je hebt nog steeds meetfouten, kabelbreuken en schakelfouten: maar de kans is veel kleiner !!
  • IEC61508, SIL-4
  • Servers die uiteenvallen in de individuele CPU’s, moederboards, memory cards en fans. Als common mode failure krijg je dan vaak dat de roetvorming bij een grote brand de fans verstopt (is dat dan je grootste probleem??)
  • FTA en FMEA zijn tegenpolen, goede controlemechanismen van elkaar (NASA) Alhoewel NASA geen feilloos trackrecord heeft….
  • Three mile island heeft dat aangetoond
  • Zaken die gebeuren tijdens bouwen/installatie beinvloeden wat je weet van de omgeving . Bij Eurontrol bijvoorbeeld bleek dat een masale herstart van alle stations wel eens een stroomstoring kan veroorzaken. Nieuwe soorten risico’s : Spontaan kunnen zaken veiligheidskritisch blijken. Een voorbeeld: tot 11 september 2001 was seperatie van vliegtuigen het enige dat veiligheidskritisch was. Na 11 september was deviatie van de route ineens ook veiligheidskritisch.
  • Punt 2: FAA doet dit bewust, zonder repressailles!! Punt 3: IAEA beschouwt dit als de kern van een veiligheidscultuur!

2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen 2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen Presentation Transcript

  • Voordat het water je aan de lippen staat Praktisch IT risicomanagement Jaap van Ekris ( [email_address] ) 19 mei 2009
  • Jaap van Ekris
  • Onderwerpen Risico-analyse Product-falen FME(C)A FTA Waterkeringen Kerncentrales Luchtverkeersleiding
  • IT is cruciaal voor economie en veiligheid
    • IT houdt vliegtuigen uit elkaar
    • IT houdt treinen uit elkaar
    • IT houdt vliegtuigen in de lucht
    • IT houdt kerncentrales veilig
    • IT laat elektriciteitscentrales energie produceren
    • IT houdt onze voeten droog
    • IT zorgt voor al onze betalingen
  • Risico…
    • How would you feel if you were getting ready to launch and knew you were sitting on top of two million parts -- all built by the lowest bidder on a government contract.
    • John Glenn over de veiligheid van de Atlas raket
  • John Glenn wist ook...
    • No Risk
    • No Glory
  • Risico: systeem doet zijn trucje niet
  • Side-effects gebeuren echt…
    • Airbus 340 net voor de landing op Heathrow
    • Software fout in fuel management, leidde tot een cascade :
      • Beide besturingspanelen vielen uit met de mededeling: “Please wait ...”.
      • Vliegtuig draaide naar rechts als er naar links gestuurd werd.
      • Vliegtuig daalde met 9 graden in plaats van de aangegeven 3 graden.
  • Wat zijn mogelijke oorzaken van falen?
    • Als je beren op je weg zoekt,
    • zul je ze ook vinden,
    • hoe irrelevant ook
  • Structurele identificatie oorzaken van falen
    • Hoe schep je orde in de chaos?
    • Bottom-up: begin met een grote bak componenten en uitvinden wat er fout kan gaan op een hoger niveau (FMEA)
    • Top-down: begin met je grootste angst en zie wat er aan bijdraagt (FTA)
  • Besturing van een waterkering Relais ( €10,00 /stuk) Waterdetector ( €17,50) Design documentation (Sponsored by Heineken)
  • FMEA: bottom-up denken
    • Failure Mode and Effect Analysis
    • Redeneren vanuit falen van componenten, toewerken naar gevolgen
    • Je begint bij de bouwstenen en kijkt voor elke component wat zijn impact op het geheel is als het:
      • Helemaal niets doet
      • Erg traag is
      • De verkeerde dingen doet
      • Spontaan begint te handelen
  • Quick and dirty FMEA Schakelfout relais Kans : klein Oorzaken : ouderdom Effect : Catastophic Waterdetector kapot Kans : zeer groot Oorzaken : Roest, drijfhout, meeuwen (uitwerpselen, nestgedrag) Effect : Catastophic Meetfouten Kans : aanzienlijk Oorzaken : golfslag Effect : False Positive Kabelbreuk Kans : matig Oorzaken : graafwerk, meeuwen Effect : Catastophic
  • Gestructureerde FMEA aanpak Function Failure Mode Causes Local Effects System Effects Criticality Detection Mitigating Measures Inwin Verkeerde output Logische fout Onterecht open Sluiting blijft uit Catastrophic None Multiprogramming Vertraagde output PLC error delayed sluit Sluiting vertraagd Beperkt None Geen output Hangen applicatie Geen sluiting Sluiting blijft uit Catastrophic None Deadlock detectie   Spontane output Schakelfout onterecht sluiten Onterechtesluit False Positive None     Process Verkeerde output Logische fout Onterecht open Sluiting blijft uit Catastrophic None Multiprogramming Vertraagde output PLC error delayed sluit Sluiting vertraagd Beperkt None Geen output Hangen applicatie Geen sluiting Sluiting blijft uit Catastrophic None Deadlock detectie   Spontane output Schakelfout onterecht sluiten Onterechtesluit False Positive None     … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
  • Nadelen FMEA
      • Vaststellen overall faalkans is onmogelijk
    • Samenhang ontbreekt tussen risico’s
      • Onderliggende common mode failures worden niet eenvoudig waargenomen
    • Scenario’s zijn moeilijk te modelleren
      • Meervoudig falen ontbreekt
      • Zijn er realistische scenario’s die invulling geven aan specifieke gebeurtenissen?
    • Leidt soms tot benoemen overbodige risico’s
  • Het risico bij falen…
  • Fault-tree-analysis: top-down denken
  • Een ontwerprichting Software falen Kans: 1/1.000 jaar Software falen Kans: 1/ 1.000.000 jaar Software falen Kans: 1/1.000 jaar Info Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Meetfouten Kans: (1/1.000.000 jaar) 3
  • Een gezonder alternatief Software falen Kans: 1/10.000 jaar Software falen Kans: 1/100 jaar Software falen Kans: 1/ 10.000 jaar Info Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Meetfouten Kans: (1/1.000.000 jaar) 3
  • Een werkproces voor de kritieke delen Funct. Specs en Progr. van Eisen Detailontwerp (Formeel: Z en Promela ) Globaal ontwerp (traceerbaarheid  en  ) Faalkansanalyse Simulatie specs (simulatiesysteem) Formele testspecs (traceerbaar naar FS/PVE)
  • Denken over scenario’s
  • Nadelen FTA
    • Heeft de neiging compleetheid te suggereren
    • Leidt soms tot tunnelvisie bij opstellen daarvan
    • Wanneer hou je op met opsplitsen? Veel kleine risico’s
      • leiden tot verlies van zicht op hoofdzaken
      • grotere kans op het vergeten van zaken
      • heeft een verlammend effect op het nemen van maatregelen
  • FMEA of FTA, wat is het beste?
    • Beide methoden leiden tot hun eigen soorten omissies
    • Beide leiden tot hun eigen soorten overbodige risico’s
  • Acceptatie test Globaal Ontwerp Detail Ontwerp Coding Integratie test Unit test Systeem test FTA en FMEA samen! FTA FMEA FTA FMEA Specificaties FMEA FTA
  • Risicoanalyse eindigt niet bij de techniek
    • Begrijpbaarheid van de gebruikersinterface
    • Reactiesnelheid van het systeem
    • Tolerantie tegen gebruikersfouten
    • Accuraatheid van gepresenteerde gegevens
    Filedetectie faalt OR Detectie faalt Verwerking faalt Signalering faalt OR AND Lus faalt Detectorstat faalt Onderstation faalt Verwerking via VICNet faalt Verwerking via Partylijn faalt OR Inkomende Partylijn faalt Inkomende FEP faalt TOP faalt Uitgaande FEP faalt Uitgaande Partylijn faalt AND Beeldstand Onderstation 1 faalt Beeldstand Onderstation 2 faalt Beeldstand Onderstation 3 faalt OR Matrixbord faalt Onderstation faalt OR Matrixbord faalt Onderstation faalt OR Matrixbord faalt Onderstation faalt
  • Risico-identificatie is een continue proces
    • Risico’s veranderen:
    • Je leert van je omgeving
    • De omgeving en de oplossing beïnvloeden en wijzigen elkaar
    • Er worden nieuwe soorten risico’s ontdekt
  • Wat is de inspiratiebron voor risico’s?
    • Gerapporteerde ongelukken
      • In eigen systemen
      • Bij conculega’s
      • In andere industrieen
    • Near-accidents
    • Een zeer scherpe risico-bewuste werkcultuur
  • Restrisico
    • Hoe goed je de risico’s ook managed:
    • Er worden altijd risico’s gemist
    • Er zijn altijd risico’s die te duur zijn om te voorkomen
      • Bewust accepteren
      • Communiceren