Analiza systemw informatycznych Wykad 7 Analiza systemw krytycznych

Analiza systemów informatycznych Wykład 7 Analiza systemów krytycznych Jerzy. Nawrocki@put. poznan. pl www. cs. put. poznan. pl/jnawrocki/w sb-asi/ Copyright, 2005 Jerzy R.

Therac-25 AECL (Atomic Energy Canada Limited) Naświetlanie rentgenowskie – leczenie raka 1983 -87 6 poparzeń (niektóre ze skutkiem śmiertelnym)

Therac-25

Therac-25

Therac-25 Przyczyny tych wypadków: • Personel AECL początkowo zaprzeczał błędom • Brak niezależnej inspekcji oprogramowania • Brak zabezpieczeń sprzętowych • Beztroskie powtórne użycie kodu • Założono, że sensory zawsze dobrze działają • Błąd programistyczny

Klasyfikacja dobrych praktyk Dokument SRS Zbieranie wymagań Analiza i negocjacja wymag. Opisywanie wymagań Modelowanie systemu Walidacja wymagań Zarządzanie wymaganiami IW dla systemów krytycznych Podst. Pośre Zaaw 36 21 9 d. . 8 6 5 4 3 6 2 1 3 1 1 - 4 4 2 3 3 3 1 2 4

IW dla systemów krytycznych Praktyki podstawowe l Utwórz listę kontrolną dla wymagań dot. bezpieczeństwa Czy system startuje w stanie bezpiecznym? Czy ważne zmienne mają nadane war pocz? Co się dzieje, gdy system jest odłączony? Co się dzieje, gdy reakcja jest spóźniona?

IW dla systemów krytycznych Praktyki podstawowe l l Utwórz listę kontrolną dla wymagań dot. bezpieczeństwa Włącz do procesu walidacji zewnętrznych ekspertów

IW dla systemów krytycznych Praktyki pośrednie l l l Identyfikuj i analizuj hazardy Na podstawie analizy hazardów formułuj wymagania dot. bezpieczeństwa Konfrontuj wymagania funkcjonalne i operacyjne z wymaganiami dot. bezpieczeństwa

IW dla systemów krytycznych Praktyki zaawansowane l l Specyfikuj systemy korzystając z metod formalnych Zbieraj informację o incydentach Wyciągaj wnioski z incydentów Ustanów w organizacji kulturę bezpieczeństwa

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03].

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. Instalacja Urządzenie grzewcza naświetlające Akcelerat or elektrono wy

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. System ster. Przejazd kolejowy samolotem

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. Nowych Istniejący ch

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. Instalacja Urządzenie grzewcza o naświetlające do 50 C Akcelerat ~ 200 or rad elektrono wy

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. Instalacja Therac-25 [Leveson 93] grzewcza o A-ła! 90 C Akcelerat 15 000 or rad elektrono wy

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych i H. = Zb. warunków mogących prowadzić do jaki wypadku istniejących instalacji’ [Lihou 03]. [Leveson 91] Instalacja Urządzenie grzewcza o naświetlające 90 C Akcelerat 15 000 or rad elektrono wy

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. O kurcze!

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. WC nie działa!

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘ 70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou 03]. Zespół ekspertów z różnych dziedzin. Strukturalna burza mózgów.

Wprowadzenie do HAZOP-u Jak mogą powstać odchylenia? Czy wpływają na bezpieczeństwo i operacyjność? Jakie akcje są konieczne? Opis procesu

Zaleta HAZOP-u. . zachęca zespół do zastanowienia się nad mniej oczywistymi sposobami wystąpienia dewiacji (. . ) W ten sposób analiza staje się czymś więcej niż mechanicznym przeglądem w oparciu o listę kontrolną. [Lihou 03]

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Słowa kluczowe Główne słowa kluczowe: szczególny aspekt zamierzenia projektowego (parametr procesu). UML: State, Action, Bezpieczeństwo: Operacyjność: Transition, Response Flow Temperature up Pressure Level Corrode Absorb. . . Isolate Start. Shutdown Maintain Inspect Drain Purge

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Zbiór ten jest raczej stały. No: No Dany aspekt jest prawie wyeliminowany (zablokowany) lub nieosiągalny. Przykłady: Flow/No Isolate/No Response/ No No Less More Reverse Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Less: Less Wartość parametru jest mniejsza od oczekiwanej. No Less More Reverse Przykłady: Also Flow/Less Other Temperature/Le ss Fluctuati on Throughput/Le ss Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) More: More Wartość parametru jest większa od oczekiwanej. Przykłady: Pressure/More Transaction Rate/More No Less More Reverse Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Reverse: Reverse Przeciwny kierunek. No Less More Reverse Przykłady: Flow/Reverse ? ? ? / Reverse Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Also: Also Główne słowo kluczowe jest OK. , ale jest coś dodatkowego. Przykłady: No Less More Reverse Also Flow/Also = zanieczyszczenie Other Action/Also = efekt uboczny Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Other: Other Parametr występuje ale w inny sposób. Przykłady: Composition/Other = Nieoczekiwane proporcje Flow/Other = Przepływ do nieprzewidzianego miejsca Value/Other = Przepełnienie No Less More Reverse Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Fluctuation: Fluctuation Właściwe zachowanie osiągane tylko czasami. Przykłady: No Less More Reverse Also Other Flow/Fluctuation = Czasami płynie, czasami nie. Fluctuati on Temperature/Fluctuation = Czasami zimne. Early Throughput/Fluctuation = Czasami za Late niska.

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Early: Early Za wcześnie. No Less More Reverse Przykłady: Flow/Early = Produkt płynie za wcześnie. Temperature/Early = Temperatura jest osiągana za wcześnie. State/Early = Za wczesne przejście do stanu Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Late: Late Za późno. No Less More Reverse Przykłady: Level/Late = Poziom w zbiorniku osiągnięty za późno. Activity/Late = Czynność wykonana za późno Also Other Fluctuati on Early Late

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Czy wszystkie kombinacje słów mają sens? No Less More Reverse Also Temperature/No ? ? ? Other Corrode/Reverse ? ? ? Fluctuati on State/Reverse ? ? ? Early Late

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Formularz HAZOP-u Dewiacja Przyczyn a Skutki Zabezpiec z. Akcja Potencjal Konsekwenc Istniejące E. g. Akcje na je State/N urządzenia jakie przyczyna wystąpienia zabezpiec o należy dewiacji za-jące podjąć, przed aby wystąpieusunąć niem przyczynę przyczyny lub złagodzić łagodzące

Proces analizy Dewiacja Przyczyn a State/ Problem. . . No Skutki Zabezpiec z. Akcja Wybierz fragment instalacji Dla każdego głównego słowa kluczowego: Dla każdego pomocniczego słowa kluczowego: Dla każdej wykrytej przyczyny dewiacji Pomyśl o skutkach i zapisz je; Zapisz zidentyfikowane zabezpieczenia; Pomyśl o koniecznych akcjach i zapisz je;

Zespół HAZOP-u Optimum: 6 osób Maksimum: 9 osób Równa reprezentacja klienta i dostawcy Eksperci z różnych dyscyplin Skład zespołu: Natychmiasto-we odpowiedzi na pytania zadawane w trakcie Przewodniczący i spotkania. sekretarz

Przygotowanie 1. Zbierz dane 2. Przestudiuj temat 3. Podziel instalację na części 4. Oznacz diagramy 5. Ustal listę odpowiednich słów kluczowych 6. Przygotuj formularz HAZOP-u i agendę 7. Przygotuj harmonogram 8. Wyznacz zespół

Raport • Zakres analizy • Krótki opis przeanalizowanego procesu • Kombinacje słów kluczowych i ich znaczenie • Opis Action File (zawiera Action Response Sheets mówiące o czynnościach wykonanych z myślą o zredukowaniu ryzyka; początkowo pusty) • Ogólny komentarz (co było niedostępne lub nieanalizowane, o czym zapewniano zespół)

Podsumowanie l l HAZOP jest strukturalną formą burzy mózgów zorientowaną na analizę ryzyka technicznego. HAZOP ma różne zastosowania (np. UMLHAZOP) Można uzupełniać innymi metodami analizy, np. analizą drzew błędów (AND/OR drzewa błędów) Stosowana przez: UK Ministry of Defence, Motorola, firmy chemiczne, etc.

Literatura l l l [Lihou 03] Mike Lihou, Hazard & Operability Studies, Lihou Technical & Software Services, www. lihoutech. com/hzp 1 frm. htm, 3. 06. 2003. Bardzo dobre wprowadzenie do HAZOP-u. [Leveson 91] N. Leveson, S. Cha, T. Shimeall, Safety verification of Ada programs using software fault trees, IEEE Software, July 1991, 48 -59. Szablony FTA dla Ady. [Leveson 93] N. Leveson, C. Turner, An investigation of the Therac-25

Bibliography l l F. Redmill, M. Chudleigh, J. Catmur, System Safety: HAZOP and Software HAZOP, John Wiley & Sons, 1999, (Amazon. com: $135!) J. Górski, A. Jarzębowicz, Wykrywanie anomalii w modelach obiektowych za pomocą metody UML-HAZOP, IV KKIO, Best Paper Award

Pytania?

Ocena wykładu l l 1. Wrażenie ogólne (1 - 6) 2. Za szybko czy za wolno? 3. Czy dowiedziałeś się czegoś ważnego? 4. Co i jak poprawić?