A presentation debating whether software can be flawless, and what we should do as society when it fails.

1. Asset
owner
van weer software 
naar softweerbaarheid ☺
Wat mogen we als kwetsbare burger verwachten van - de
omgang met – software in bedrijfskritische toepassingen?
Met Ivan Reijnen in de rol van en Jaap van Ekris als en u als
8 november 2018
Burger Expert
Maat
schapp
ij

2. 21 november: NVRB Symposium i.s.m. Honeywell over
de toekomst van risico- en veiligheidsmananagement.
Gratis deelname, voor details & inschrijven zie www.nvrb.nl!

3. Zegt u het maar!
Wat mogen we verwachten van software
in bedrijfskritische toepassingen?
Maat
schapp
ij

4. inhoud
• weer Software 
• Amsterdam CS
• VUMC
• Software in bedrijfskritische toepassingen 
• Softweerbaarheid ☺
• Wat mag je van software verwachten?
• Wat mag je van de processen / mensen verwachten?

5. Software en bedrijfszekerheid:
geen gelukkig huwelijk …
Burger

6. … het komt vaker voor …
Burger

7. … in allerlei situaties …
Burger

8. … overal …
Burger

9. … (steeds) weer software 
: had dit moeten worden voorkomen?
Burger
Maat
schapp
ij

10. … (steeds) weer software 
: had dit kunnen worden voorkomen?
Burger
Maat
schapp
ij

11. Jaap van Ekris
Expert

12. software zal
nooit foutloos
worden!
Expert

13. Bugs zijn van alle tijden …
Expert

14. … en testen vindt maar
een deel van de issues …
Expert

15. … de industrie weet dit…
Expert

16. … en zelfs de vliegtuigindustrie
accepteert dit..
Expert

17. … dat software niet foutloos is
Dronkenpiloot
(10-2pervlucht)
Jezelfverwondenmeteen
kettingzaag(10-3perkeer)
Uitgaanmeteensupermodel
(10-5perleven)
Verdrinkeninbad
(10-7perleven)
Geraaktwordendoor
vliegtuigonderdelen
(10-8perleven)
Doodgaandoorbliksem
(10-9perleven)
Deloterijwinnen
(10-10perleven)
Geraaktwordendooreen
meteoriet(10-15perleven)
Deloterij2keerwinnen
(10-20perleven)
Software
Expert

18. … er is dus altijd een restrisico!
Expert

19. Maar hoe verklaar je dit dan? …
Burger

20. Hoe te falen is een keuze…
Beschikbaarheid opofferen? Een veiligheidsrisico nemen?
of
Expert

21. veilige software
bestaat
dus wel!
Expert

22. … alhoewel het niet altijd goed gaat…
• Altimeter gaf verkeerde
hoogte aan
• Autothrottle ging
automatisch op “retard”
modus
• Softwarefout of
bedieningsfout?
Expert

23. Goede eisen stellen is noodzaak!
Expert

24. Kun je niet gewoon dubbel uitvoeren?
Burger

25. Nut redundantie is zeer beperkt …
Software is a deterministic
algorithm, the hardware
doesn’t matter
Alan Turing
Expert

26. … en redundantie maakt het moeilijker ...
Toestand synchroniseren:
• Seinbeeld
• Wisselstanden
• Treinposities
• Geplande bewegingen
• Wijzigingen planning
Expert

27. Avoid duplication of volatile
information
Edsger W. Dijkstra
Expert

28. Simplicity is prerequisite for reliability
Edsger W. Dijkstra
If a machine is expected to be infallible,
it cannot also be intelligent
Alan Turing
Expert

29. Dus Redundantie …
• Helpt tegen
hardware falen
• Helpt vaak niet
tegen falen
software zelf
• Introduceert
complexiteit
(verlaagt de
bedrijfszekerheid?!)
ExpertBurger

30. Wat mag je van de processen en
mensen rondom software verwachten?
• Context bewust specificeren van – software - functionaliteit
• Ontwikkelen van software functionaliteit
• Testen van software functionaliteit
• Accepteren en Overdragen van software functionaliteit
• Produceren met software functionaliteit
• Uitwijken (bij falen van software functionaliteit)
(van OTAP naar COTAPU …)
Expliciet
zijn over
omgang
met
risico’s
en HILPS
Asset
owner

31. Blijven we desondanks aan
grillen van software overgeleverd?
Asset
owner

32. Ja! Dus nadenken over
Graceful Degradation
• Het proces (beperkt)
door laten gaan
• De echt kritieke
functionaliteit
• Minder efficiënt
Asset
owner

33. Met een goede voorbereiding…
Asset
owner

34. kan het blijkbaar wel !
Asset
owner

35. Maar is niet geheel vrij van risico …
Expert

36. Graceful degradation ook in het spoor ..
• “Op zicht rijden”
(40 km/uur)
• Kan alleen als je weet
dat het niet fout gaat
Asset
owner

37. … inclusief alternatieven buiten
het reguliere proces. Goed bezig toch?!
Asset
owner

38. Ja maar ..
graceful degradation:
– je moet het oefenen
– je moet het testen
– je moet afspraken maken met leveranciers
– Je moet kijken of leveranciers er aan voldoen
(staan die bussen er altijd na 1 uur?)
Expert

39. “Graceful degradation”,
Ik word er niet blij van …
Burger

40. Kortom:
Werk maken van Softweerbaarheid
Softweerbaarheid
• de mate waarin software falen wordt
voorkomen dan wel de objectieve en
subjectieve effecten van software falen
worden beperkt
Expert

41. Softweerbaarheid:
Kun je daarbij alles voorzien en voor zijn?
• Nee
• Nu nog te veel focus op mooi weer scenario’s
• Ga meer Ontwikkelen vanuit risico’s (falen en
faalgedrag) en niet alleen vanuit ontwerpprincipes
Expert

42. Softweerbaarheid:
Kun je de effecten tot nul reduceren?
• Nee
• Wel meer proactief maatregelen treffen en
operationaliseren om effecten te reduceren
• Meer en beter communiceren consequenties van
falen van software falen
• Managen van de verwachtingen: Maatschappij
accepteert software non performance niet als ie
optreedt ondanks ‘voldoen aan SLA afspraken’ ?!
Expert

43. Take away’s
• Houd rekening met dat software kan falen
• Hoe meer veilige software hoe minder bedrijfszekere
bedrijfsvoering
• Ontwikkel software voor de ‘echte wereld’ i.p.v. de
‘ideale wereld’
• Adresseer Risico’s en Hilps tijdig
• Heb aandacht voor het minimaliseren van objectieve
en subjectieve effecten van software falen
• Houd het eenvoudig
Asset
owner
Expert

44. Maak werk van softweerbaarheid!
• Softweerbaarheid: de mate waarin software falen
wordt voorkomen dan wel de objectieve en
subjectieve effecten van software falen worden
beperkt
• Stelling: over 10 jaar is ‘softweerbaarheid’ een
gevleugelde kreet die inhoud heeft gekregen
• Ter info: nu 1 hit op google ☺
Delta
Pi