Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Voordat het water je aan de lippen staat Praktisch IT risicomanagement Jaap van Ekris ( [email_address] )  19 mei 2009
Jaap van Ekris
Onderwerpen Risico-analyse Product-falen FME(C)A FTA Waterkeringen Kerncentrales Luchtverkeersleiding
IT is cruciaal voor economie en veiligheid <ul><li>IT houdt vliegtuigen uit elkaar </li></ul><ul><li>IT houdt treinen uit ...
Risico… <ul><li>How would you feel if you were getting ready to launch and knew you were sitting on top of two million par...
John Glenn wist ook... <ul><li>No Risk </li></ul><ul><li>No Glory </li></ul>
Risico: systeem doet zijn trucje niet
Side-effects gebeuren echt… <ul><li>Airbus 340 net voor de landing op Heathrow </li></ul><ul><li>Software fout in fuel man...
Wat zijn mogelijke oorzaken van falen? <ul><li>Als je beren op je weg zoekt, </li></ul><ul><li>zul je ze ook vinden, </li>...
Structurele identificatie oorzaken van falen <ul><li>Hoe schep je orde in de chaos? </li></ul><ul><li>Bottom-up: begin met...
Besturing van een waterkering Relais ( €10,00 /stuk) Waterdetector ( €17,50) Design documentation (Sponsored by Heineken)
FMEA: bottom-up denken <ul><li>Failure Mode and Effect  Analysis </li></ul><ul><li>Redeneren vanuit falen van componenten,...
Quick and dirty FMEA Schakelfout relais Kans : klein Oorzaken : ouderdom Effect : Catastophic Waterdetector kapot Kans : z...
Gestructureerde FMEA aanpak Function Failure Mode Causes Local Effects System Effects Criticality  Detection Mitigating Me...
Nadelen FMEA <ul><ul><li>Vaststellen overall faalkans is onmogelijk </li></ul></ul><ul><li>Samenhang ontbreekt tussen risi...
Het risico bij falen…
Fault-tree-analysis: top-down denken
Een ontwerprichting Software falen Kans:  1/1.000 jaar Software falen Kans: 1/ 1.000.000 jaar Software falen Kans:  1/1.00...
Een gezonder alternatief Software falen Kans:  1/10.000 jaar Software falen Kans:  1/100 jaar   Software falen Kans: 1/ 10...
Een werkproces voor de kritieke delen Funct. Specs en Progr. van Eisen Detailontwerp (Formeel: Z en Promela ) Globaal ontw...
Denken over scenario’s
Nadelen FTA <ul><li>Heeft de neiging compleetheid te suggereren </li></ul><ul><li>Leidt soms tot tunnelvisie bij opstellen...
FMEA of FTA, wat is het beste? <ul><li>Beide methoden leiden tot hun eigen soorten omissies </li></ul><ul><li>Beide leiden...
Acceptatie test Globaal Ontwerp Detail Ontwerp Coding Integratie test Unit test Systeem test FTA en FMEA samen! FTA FMEA F...
Risicoanalyse eindigt niet bij de techniek <ul><li>Begrijpbaarheid van de gebruikersinterface </li></ul><ul><li>Reactiesne...
Risico-identificatie is een continue proces <ul><li>Risico’s veranderen: </li></ul><ul><li>Je leert van je omgeving </li><...
Wat is de inspiratiebron voor risico’s? <ul><li>Gerapporteerde ongelukken </li></ul><ul><ul><li>In eigen systemen </li></u...
Restrisico <ul><li>Hoe goed je de risico’s ook managed: </li></ul><ul><li>Er worden altijd risico’s gemist </li></ul><ul><...
Upcoming SlideShare
Loading in …5
×

2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen

761 views

Published on

Presentation about the risks associated with complex embedded systems, and how to manage the reliability and safety of these systems.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen

  1. 1. Voordat het water je aan de lippen staat Praktisch IT risicomanagement Jaap van Ekris ( [email_address] ) 19 mei 2009
  2. 2. Jaap van Ekris
  3. 3. Onderwerpen Risico-analyse Product-falen FME(C)A FTA Waterkeringen Kerncentrales Luchtverkeersleiding
  4. 4. IT is cruciaal voor economie en veiligheid <ul><li>IT houdt vliegtuigen uit elkaar </li></ul><ul><li>IT houdt treinen uit elkaar </li></ul><ul><li>IT houdt vliegtuigen in de lucht </li></ul><ul><li>IT houdt kerncentrales veilig </li></ul><ul><li>IT laat elektriciteitscentrales energie produceren </li></ul><ul><li>IT houdt onze voeten droog </li></ul><ul><li>IT zorgt voor al onze betalingen </li></ul>
  5. 5. Risico… <ul><li>How would you feel if you were getting ready to launch and knew you were sitting on top of two million parts -- all built by the lowest bidder on a government contract. </li></ul><ul><li>John Glenn over de veiligheid van de Atlas raket </li></ul>
  6. 6. John Glenn wist ook... <ul><li>No Risk </li></ul><ul><li>No Glory </li></ul>
  7. 7. Risico: systeem doet zijn trucje niet
  8. 8. Side-effects gebeuren echt… <ul><li>Airbus 340 net voor de landing op Heathrow </li></ul><ul><li>Software fout in fuel management, leidde tot een cascade : </li></ul><ul><ul><li>Beide besturingspanelen vielen uit met de mededeling: “Please wait ...”. </li></ul></ul><ul><ul><li>Vliegtuig draaide naar rechts als er naar links gestuurd werd. </li></ul></ul><ul><ul><li>Vliegtuig daalde met 9 graden in plaats van de aangegeven 3 graden. </li></ul></ul>
  9. 9. Wat zijn mogelijke oorzaken van falen? <ul><li>Als je beren op je weg zoekt, </li></ul><ul><li>zul je ze ook vinden, </li></ul><ul><li>hoe irrelevant ook </li></ul>
  10. 10. Structurele identificatie oorzaken van falen <ul><li>Hoe schep je orde in de chaos? </li></ul><ul><li>Bottom-up: begin met een grote bak componenten en uitvinden wat er fout kan gaan op een hoger niveau (FMEA) </li></ul><ul><li>Top-down: begin met je grootste angst en zie wat er aan bijdraagt (FTA) </li></ul>
  11. 11. Besturing van een waterkering Relais ( €10,00 /stuk) Waterdetector ( €17,50) Design documentation (Sponsored by Heineken)
  12. 12. FMEA: bottom-up denken <ul><li>Failure Mode and Effect Analysis </li></ul><ul><li>Redeneren vanuit falen van componenten, toewerken naar gevolgen </li></ul><ul><li>Je begint bij de bouwstenen en kijkt voor elke component wat zijn impact op het geheel is als het: </li></ul><ul><ul><li>Helemaal niets doet </li></ul></ul><ul><ul><li>Erg traag is </li></ul></ul><ul><ul><li>De verkeerde dingen doet </li></ul></ul><ul><ul><li>Spontaan begint te handelen </li></ul></ul>
  13. 13. Quick and dirty FMEA Schakelfout relais Kans : klein Oorzaken : ouderdom Effect : Catastophic Waterdetector kapot Kans : zeer groot Oorzaken : Roest, drijfhout, meeuwen (uitwerpselen, nestgedrag) Effect : Catastophic Meetfouten Kans : aanzienlijk Oorzaken : golfslag Effect : False Positive Kabelbreuk Kans : matig Oorzaken : graafwerk, meeuwen Effect : Catastophic
  14. 14. Gestructureerde FMEA aanpak Function Failure Mode Causes Local Effects System Effects Criticality Detection Mitigating Measures Inwin Verkeerde output Logische fout Onterecht open Sluiting blijft uit Catastrophic None Multiprogramming Vertraagde output PLC error delayed sluit Sluiting vertraagd Beperkt None Geen output Hangen applicatie Geen sluiting Sluiting blijft uit Catastrophic None Deadlock detectie   Spontane output Schakelfout onterecht sluiten Onterechtesluit False Positive None     Process Verkeerde output Logische fout Onterecht open Sluiting blijft uit Catastrophic None Multiprogramming Vertraagde output PLC error delayed sluit Sluiting vertraagd Beperkt None Geen output Hangen applicatie Geen sluiting Sluiting blijft uit Catastrophic None Deadlock detectie   Spontane output Schakelfout onterecht sluiten Onterechtesluit False Positive None     … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
  15. 15. Nadelen FMEA <ul><ul><li>Vaststellen overall faalkans is onmogelijk </li></ul></ul><ul><li>Samenhang ontbreekt tussen risico’s </li></ul><ul><ul><li>Onderliggende common mode failures worden niet eenvoudig waargenomen </li></ul></ul><ul><li>Scenario’s zijn moeilijk te modelleren </li></ul><ul><ul><li>Meervoudig falen ontbreekt </li></ul></ul><ul><ul><li>Zijn er realistische scenario’s die invulling geven aan specifieke gebeurtenissen? </li></ul></ul><ul><li>Leidt soms tot benoemen overbodige risico’s </li></ul>
  16. 16. Het risico bij falen…
  17. 17. Fault-tree-analysis: top-down denken
  18. 18. Een ontwerprichting Software falen Kans: 1/1.000 jaar Software falen Kans: 1/ 1.000.000 jaar Software falen Kans: 1/1.000 jaar Info Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Meetfouten Kans: (1/1.000.000 jaar) 3
  19. 19. Een gezonder alternatief Software falen Kans: 1/10.000 jaar Software falen Kans: 1/100 jaar Software falen Kans: 1/ 10.000 jaar Info Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Meetfouten Kans: (1/1.000.000 jaar) 3
  20. 20. Een werkproces voor de kritieke delen Funct. Specs en Progr. van Eisen Detailontwerp (Formeel: Z en Promela ) Globaal ontwerp (traceerbaarheid  en  ) Faalkansanalyse Simulatie specs (simulatiesysteem) Formele testspecs (traceerbaar naar FS/PVE)
  21. 21. Denken over scenario’s
  22. 22. Nadelen FTA <ul><li>Heeft de neiging compleetheid te suggereren </li></ul><ul><li>Leidt soms tot tunnelvisie bij opstellen daarvan </li></ul><ul><li>Wanneer hou je op met opsplitsen? Veel kleine risico’s </li></ul><ul><ul><li>leiden tot verlies van zicht op hoofdzaken </li></ul></ul><ul><ul><li>grotere kans op het vergeten van zaken </li></ul></ul><ul><ul><li>heeft een verlammend effect op het nemen van maatregelen </li></ul></ul>
  23. 23. FMEA of FTA, wat is het beste? <ul><li>Beide methoden leiden tot hun eigen soorten omissies </li></ul><ul><li>Beide leiden tot hun eigen soorten overbodige risico’s </li></ul>
  24. 24. Acceptatie test Globaal Ontwerp Detail Ontwerp Coding Integratie test Unit test Systeem test FTA en FMEA samen! FTA FMEA FTA FMEA Specificaties FMEA FTA
  25. 25. Risicoanalyse eindigt niet bij de techniek <ul><li>Begrijpbaarheid van de gebruikersinterface </li></ul><ul><li>Reactiesnelheid van het systeem </li></ul><ul><li>Tolerantie tegen gebruikersfouten </li></ul><ul><li>Accuraatheid van gepresenteerde gegevens </li></ul>Filedetectie faalt OR Detectie faalt Verwerking faalt Signalering faalt OR AND Lus faalt Detectorstat faalt Onderstation faalt Verwerking via VICNet faalt Verwerking via Partylijn faalt OR Inkomende Partylijn faalt Inkomende FEP faalt TOP faalt Uitgaande FEP faalt Uitgaande Partylijn faalt AND Beeldstand Onderstation 1 faalt Beeldstand Onderstation 2 faalt Beeldstand Onderstation 3 faalt OR Matrixbord faalt Onderstation faalt OR Matrixbord faalt Onderstation faalt OR Matrixbord faalt Onderstation faalt
  26. 26. Risico-identificatie is een continue proces <ul><li>Risico’s veranderen: </li></ul><ul><li>Je leert van je omgeving </li></ul><ul><li>De omgeving en de oplossing beïnvloeden en wijzigen elkaar </li></ul><ul><li>Er worden nieuwe soorten risico’s ontdekt </li></ul>
  27. 27. Wat is de inspiratiebron voor risico’s? <ul><li>Gerapporteerde ongelukken </li></ul><ul><ul><li>In eigen systemen </li></ul></ul><ul><ul><li>Bij conculega’s </li></ul></ul><ul><ul><li>In andere industrieen </li></ul></ul><ul><li>Near-accidents </li></ul><ul><li>Een zeer scherpe risico-bewuste werkcultuur </li></ul>
  28. 28. Restrisico <ul><li>Hoe goed je de risico’s ook managed: </li></ul><ul><li>Er worden altijd risico’s gemist </li></ul><ul><li>Er zijn altijd risico’s die te duur zijn om te voorkomen </li></ul><ul><ul><li>Bewust accepteren </li></ul></ul><ul><ul><li>Communiceren </li></ul></ul>

×