2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen
•
0 j'aime•618 vues
Presentation about the risks associated with complex embedded systems, and how to manage the reliability and safety of these systems.
![Voordat het water je aan de lippen staat Praktisch IT risicomanagement Jaap van Ekris ( [email_address] ) 19 mei 2009](https://image.slidesharecdn.com/2009-07-09-dnv-risicoenbetrouwbaarheidvanictsystemen-110610135550-phpapp02/85/20090709-dnv-risico-en-betrouwbaarheid-van-ict-systemen-1-320.jpg)
Recommandé
Recommandé
Contenu connexe
Plus de Jaap van Ekris
Plus de Jaap van Ekris (20)
2009-07-09 - DNV - Risico en betrouwbaarheid van ICT systemen
- 1. Voordat het water je aan de lippen staat Praktisch IT risicomanagement Jaap van Ekris ( [email_address] ) 19 mei 2009
- 3. Onderwerpen Risico-analyse Product-falen FME(C)A FTA Waterkeringen Kerncentrales Luchtverkeersleiding
- 7. Risico: systeem doet zijn trucje niet
- 11. Besturing van een waterkering Relais ( €10,00 /stuk) Waterdetector ( €17,50) Design documentation (Sponsored by Heineken)
- 13. Quick and dirty FMEA Schakelfout relais Kans : klein Oorzaken : ouderdom Effect : Catastophic Waterdetector kapot Kans : zeer groot Oorzaken : Roest, drijfhout, meeuwen (uitwerpselen, nestgedrag) Effect : Catastophic Meetfouten Kans : aanzienlijk Oorzaken : golfslag Effect : False Positive Kabelbreuk Kans : matig Oorzaken : graafwerk, meeuwen Effect : Catastophic
- 14. Gestructureerde FMEA aanpak Function Failure Mode Causes Local Effects System Effects Criticality Detection Mitigating Measures Inwin Verkeerde output Logische fout Onterecht open Sluiting blijft uit Catastrophic None Multiprogramming Vertraagde output PLC error delayed sluit Sluiting vertraagd Beperkt None Geen output Hangen applicatie Geen sluiting Sluiting blijft uit Catastrophic None Deadlock detectie Spontane output Schakelfout onterecht sluiten Onterechtesluit False Positive None Process Verkeerde output Logische fout Onterecht open Sluiting blijft uit Catastrophic None Multiprogramming Vertraagde output PLC error delayed sluit Sluiting vertraagd Beperkt None Geen output Hangen applicatie Geen sluiting Sluiting blijft uit Catastrophic None Deadlock detectie Spontane output Schakelfout onterecht sluiten Onterechtesluit False Positive None … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
- 16. Het risico bij falen…
- 18. Een ontwerprichting Software falen Kans: 1/1.000 jaar Software falen Kans: 1/ 1.000.000 jaar Software falen Kans: 1/1.000 jaar Info Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Meetfouten Kans: (1/1.000.000 jaar) 3
- 19. Een gezonder alternatief Software falen Kans: 1/10.000 jaar Software falen Kans: 1/100 jaar Software falen Kans: 1/ 10.000 jaar Info Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Meetfouten Kans: (1/1.000.000 jaar) 3
- 20. Een werkproces voor de kritieke delen Funct. Specs en Progr. van Eisen Detailontwerp (Formeel: Z en Promela ) Globaal ontwerp (traceerbaarheid en ) Faalkansanalyse Simulatie specs (simulatiesysteem) Formele testspecs (traceerbaar naar FS/PVE)
- 24. Acceptatie test Globaal Ontwerp Detail Ontwerp Coding Integratie test Unit test Systeem test FTA en FMEA samen! FTA FMEA FTA FMEA Specificaties FMEA FTA
Notes de l'éditeur
- Copyright CIBIT Adviseurs|Opleiders 2005 Jaap van Ekris, Veiligheidskritische systemen Werkveld: Kerncentrales Luchtverkeersleiding Stormvloedkeringen Fouten kosten veel mensenlevens
- Voordeel van Glen was dat het maar 1 keer hoefde te werken...... Bron: http://www.historicwings.com/features98/mercury/seven-left-bottom.html
- Je hebt de neiging in bed te liggen Is erg dom: daar overlijden de meeste mensen!
- Als raket het niet zou doen dan zou John teleurgesteld zijn Als raket het wel deed, maar halverwege zich niet helemaal aan zijn plan hield door naar de maan te gaan had hij echt een probleem
- Een van de vele voorbeelden, maar ik wil voorkomen dat mensen uit angst niet meer op straat durven komen 15 maart 1995, bij Heathrow, vlucht van Tokyo Japan naar London.
- Brainstormsessie achtige aanpakken leiden soms tot de meest wilde risico’s Voor je het weet is de Mexicaanse griep een risico voor je software.....
- Je pakt elke component en elk bericht, en vraagt je af wat er fout kan gaan, en wat voor ellende het oplevert.
- Vliegtuig: linkermotor valt uit: niets aan de hand, we hebben de rechter nog rechtermotor valt uit: niets aan de hand, we hebben de linker nog
- Doel: mag maar eens in de 10.000 jaar
- Je begint met je primary concern Proces is simpel: je hakt je probleem zover op todat je die 2 miljoen onderdelen hebt, en je weet wat de bijdrage is van elke component Je pakt de belangrijkste 10, of 100 en neemt gericht maatregelen
- Je hebt nog steeds meetfouten, kabelbreuken en schakelfouten: maar de kans is veel kleiner !!
- Je hebt nog steeds meetfouten, kabelbreuken en schakelfouten: maar de kans is veel kleiner !!
- IEC61508, SIL-4
- Servers die uiteenvallen in de individuele CPU’s, moederboards, memory cards en fans. Als common mode failure krijg je dan vaak dat de roetvorming bij een grote brand de fans verstopt (is dat dan je grootste probleem??)
- FTA en FMEA zijn tegenpolen, goede controlemechanismen van elkaar (NASA) Alhoewel NASA geen feilloos trackrecord heeft….
- Three mile island heeft dat aangetoond
- Zaken die gebeuren tijdens bouwen/installatie beinvloeden wat je weet van de omgeving . Bij Eurontrol bijvoorbeeld bleek dat een masale herstart van alle stations wel eens een stroomstoring kan veroorzaken. Nieuwe soorten risico’s : Spontaan kunnen zaken veiligheidskritisch blijken. Een voorbeeld: tot 11 september 2001 was seperatie van vliegtuigen het enige dat veiligheidskritisch was. Na 11 september was deviatie van de route ineens ook veiligheidskritisch.
- Punt 2: FAA doet dit bewust, zonder repressailles!! Punt 3: IAEA beschouwt dit als de kern van een veiligheidscultuur!