Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Analiza systemów krytycznych Analiza systemów informatycznych Wykład 7 Copyright,

Podobne prezentacje


Prezentacja na temat: "Analiza systemów krytycznych Analiza systemów informatycznych Wykład 7 Copyright,"— Zapis prezentacji:

1 Analiza systemów krytycznych Analiza systemów informatycznych Wykład 7 Copyright, 2005 Jerzy R. Nawrocki

2 Therac-25 AECL (Atomic Energy Canada Limited) Naświetlanie rentgenowskie – leczenie raka poparzeń (niektóre ze skutkiem śmiertelnym)

3 Therac-25

4 Therac-25

5 Therac-25 Przyczyny tych wypadków: Personel AECL początkowo zaprzeczał błędom Brak niezależnej inspekcji oprogramowania Brak zabezpieczeń sprzętowych Beztroskie powtórne użycie kodu Założono, że sensory zawsze dobrze działają Błąd programistyczny

6 Klasyfikacja dobrych praktyk Dokument SRS Zbieranie wymagań Analiza i negocjacja wymag. Opisywanie wymagań Modelowanie systemu Walidacja wymagań Zarządzanie wymaganiami IW dla systemów krytycznych Podst.Pośred.Zaaw

7 IW dla systemów krytycznych Praktyki podstawowe Utwórz listę kontrolną dla wymagań dot. bezpieczeństwa Czy system startuje w stanie bezpiecznym? Czy ważne zmienne mają nadane wart. pocz? Co się dzieje, gdy system jest odłączony? Co się dzieje, gdy reakcja jest spóźniona? Jaki wpływ mają nieoczekiwane wejścia? Jak można wycofać komendę operatora? Jak przechodzi się do stanu fail-safe ?

8 IW dla systemów krytycznych Praktyki podstawowe Utwórz listę kontrolną dla wymagań dot. bezpieczeństwa Włącz do procesu walidacji zewnętrznych ekspertów

9 IW dla systemów krytycznych Praktyki pośrednie Identyfikuj i analizuj hazardy Na podstawie analizy hazardów formułuj wymagania dot. bezpieczeństwa Konfrontuj wymagania funkcjonalne i operacyjne z wymaganiami dot. bezpieczeństwa

10 IW dla systemów krytycznych Praktyki zaawansowane Specyfikuj systemy korzystając z metod formalnych Zbieraj informację o incydentach Wyciągaj wnioski z incydentów Ustanów w organizacji kulturę bezpieczeństwa

11 Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

12 Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

13 Wprowadzenie do HAZOP-u HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

14 Wprowadzenie do HAZOP-u Instalacja grzewcza Urządzenie naświetlające Akcelerator elektronowy HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

15 Wprowadzenie do HAZOP-u Przejazd kolejowy System ster. samolotem HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

16 Wprowadzenie do HAZOP-u IstniejącychNowych HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

17 Wprowadzenie do HAZOP-u Instalacja grzewcza Urządzenie naświetlające Akcelerator elektronowy ~ 200 rad do 50 o C HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

18 Wprowadzenie do HAZOP-u Therac-25 [Leveson93] Akcelerator elektronowy rad Instalacja grzewcza 90 o C A-ła! HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

19 Wprowadzenie do HAZOP-u Instalacja grzewcza 90 o C Akcelerator elektronowy rad Urządzenie naświetlające H.= Zb. warunków mogących prowadzić do wypadku [Leveson91] HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

20 Wprowadzenie do HAZOP-u O kurcze! HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

21 Wprowadzenie do HAZOP-u WC nie działa! HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

22 Wprowadzenie do HAZOP-u Zespół ekspertów z różnych dziedzin. Strukturalna burza mózgów. HAZOP : HAZ ard and OP erability study; ICI Chemicals, UK, 70 Cel: wykrycie potencjalnych hazardów i problemów opera- cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji [Lihou03].

23 Wprowadzenie do HAZOP-u Opis procesu Jak mogą powstać odchylenia ? Czy wpływają na bezpieczeństwo i operacyjność? Jakie akcje są konieczne?

24 Zaleta HAZOP-u.. zachęca zespół do zastanowienia się nad mniej oczywistymi sposobami wystąpienia dewiacji (..) W ten sposób analiza staje się czymś więcej niż mechanicznym przeglądem w oparciu o listę kontrolną. [Lihou03]

25 Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

26 Słowa kluczowe Główne słowa kluczowe : szczególny aspekt zamierzenia projektowego (parametr procesu). Bezpieczeństwo:Operacyjność: Flow Isolate Temperature Start-up Pressure Shutdown Level Maintain Corrode Inspect Absorb Drain... Purge... UML: State, Action, Transition, Response

27 Słowa kluczowe No Less More Reverse Also Other Fluctuation Early Late Zbiór ten jest raczej stały. No No : Dany aspekt jest prawie wyeliminowany (zablokowany) lub nieosiągalny. Przykłady : Flow/No Isolate/NoResponse/No Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

28 Słowa kluczowe NoLess More Reverse Also Other Fluctuation Early Late Less Less : Wartość parametru jest mniejsza od oczekiwanej. Przykłady : Flow/Less Temperature/LessThroughput/Less Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

29 Słowa kluczowe No LessMore Reverse Also Other Fluctuation Early Late More More : Wartość parametru jest większa od oczekiwanej. Przykłady : Pressure/More Transaction Rate/More Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

30 Słowa kluczowe No Less MoreReverse Also Other Fluctuation Early Late Reverse Reverse : Przeciwny kierunek. Przykłady : Flow/Reverse ??? / Reverse Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

31 Słowa kluczowe No Less More ReverseAlso Other Fluctuation Early Late Also Also : Główne słowo kluczowe jest OK., ale jest coś dodatkowego. Przykłady : Flow/Also = zanieczyszczenie Action/Also = efekt uboczny Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

32 Słowa kluczowe No Less More ReverseAlso Other Fluctuation Early Late Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

33 Słowa kluczowe No Less More Reverse AlsoOther Fluctuation Early Late Other Other : Parametr występuje ale w inny sposób. Przykłady : Composition/Other = Nieoczekiwane proporcje Flow/Other = Przepływ do nieprzewidzianego miejsca Value/Other = Przepełnienie Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

34 Słowa kluczowe No Less More Reverse Also OtherFluctuation Early Late Fluctuation Fluctuation : Właściwe zachowanie osiągane tylko czasami. Przykłady : Flow/Fluctuation = Czasami płynie, czasami nie. Temperature/Fluctuation = Czasami zimne. Throughput/Fluctuation = Czasami za niska. Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

35 Słowa kluczowe No Less More Reverse Also Other FluctuationEarly Late Early Early : Za wcześnie. Przykłady : Flow/Early = Produkt płynie za wcześnie. Temperature/Early = Temperatura jest osiągana za wcześnie. State/Early = Za wczesne przejście do stanu Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

36 Słowa kluczowe No Less More Reverse Also Other Fluctuation EarlyLate Late Late : Za późno. Przykłady : Level/Late = Poziom w zbiorniku osiągnięty za późno. Activity/Late = Czynność wykonana za późno Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

37 Słowa kluczowe No Less More Reverse Also Other Fluctuation Early Late Czy wszystkie kombinacje słów mają sens? Temperature/No??? Corrode/Reverse??? State/Reverse ??? Pomoc. słowa kluczowe : możliwe dewiacje (problemy)

38 Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

39 Formularz HAZOP-u DewiacjaPrzyczynaSkutkiZabezpiecz.Akcja E.g. State/No Potencjalna przyczyna dewiacji Konsekwencje wystąpienia dewiacji Istniejące urządzenia zabezpiecza- jące przed wystąpie- niem przyczyny lub łagodzące skutki Akcje jakie należy podjąć, aby usunąć przyczynę lub złagodzić skutki

40 Proces analizy Wybierz fragment instalacji Dla każdego głównego słowa kluczowego: Dla każdego pomocniczego słowa kluczowego: Pomyśl o skutkach i zapisz je; Zapisz zidentyfikowane zabezpieczenia; Pomyśl o koniecznych akcjach i zapisz je; Pomyśl o skutkach i zapisz je; Zapisz zidentyfikowane zabezpieczenia; Pomyśl o koniecznych akcjach i zapisz je; Dla każdej wykrytej przyczyny dewiacji DewiacjaPrzyczynaSkutkiZabezpiecz.Akcja State/No Problem...

41 Zespół HAZOP-u Optimum : 6 osób Maksimum : 9 osób Równa reprezentacja klienta i dostawcy Eksperci z różnych dyscyplin Skład zespołu : Natychmiasto- we odpowiedzi na pytania zadawane w trakcie spotkania. Przewodniczący i sekretarz

42 Przygotowanie 1.Zbierz dane 2.Przestudiuj temat 3.Podziel instalację na części 4.Oznacz diagramy 5.Ustal listę odpowiednich słów kluczowych 6.Przygotuj formularz HAZOP-u i agendę 7.Przygotuj harmonogram 8.Wyznacz zespół

43 Raport Zakres analizy Krótki opis przeanalizowanego procesu Kombinacje słów kluczowych i ich znaczenie Opis Action File (zawiera Action Response Sheets mówiące o czynnościach wykonanych z myślą o zredukowaniu ryzyka; początkowo pusty) Ogólny komentarz (co było niedostępne lub nieanalizowane, o czym zapewniano zespół) Wyniki (rekomendowane działania)

44 Podsumowanie HAZOP jest strukturalną formą burzy mózgów zorientowaną na analizę ryzyka technicznego. HAZOP jest strukturalną formą burzy mózgów zorientowaną na analizę ryzyka technicznego. HAZOP ma różne zastosowania (np. UML-HAZOP) HAZOP ma różne zastosowania (np. UML-HAZOP) Można uzupełniać innymi metodami analizy, np. analizą drzew błędów (AND/OR drzewa błędów) Można uzupełniać innymi metodami analizy, np. analizą drzew błędów (AND/OR drzewa błędów) Stosowana przez: UK Ministry of Defence, Motorola, firmy chemiczne, etc. Stosowana przez: UK Ministry of Defence, Motorola, firmy chemiczne, etc.

45 Literatura [Lihou03] Mike Lihou, Hazard & Operability Studies, Lihou Technical & Software Services, [Lihou03] Mike Lihou, Hazard & Operability Studies, Lihou Technical & Software Services, Bardzo dobre wprowadzenie do HAZOP-u. Bardzo dobre wprowadzenie do HAZOP-u. [Leveson91] N. Leveson, S.Cha, T.Shimeall, Safety verification of Ada programs using software fault trees, IEEE Software, July 1991, [Leveson91] N. Leveson, S.Cha, T.Shimeall, Safety verification of Ada programs using software fault trees, IEEE Software, July 1991, Szablony FTA dla Ady. Szablony FTA dla Ady. [Leveson93] N. Leveson, C. Turner, An investigation of the Therac-25 Accidents, Computer, July 1993, [Leveson93] N. Leveson, C. Turner, An investigation of the Therac-25 Accidents, Computer, July 1993,

46 Bibliography F. Redmill, M. Chudleigh, J.Catmur, System Safety: HAZOP and Software HAZOP, John Wiley & Sons, 1999, (Amazon.com: $135!) F. Redmill, M. Chudleigh, J.Catmur, System Safety: HAZOP and Software HAZOP, John Wiley & Sons, 1999, (Amazon.com: $135!) J.Górski, A.Jarzębowicz, Wykrywanie anomalii w modelach obiektowych za pomocą metody UML- HAZOP, IV KKIO, Best Paper Award

47 Pytania?

48 Ocena wykładu 1. Wrażenie ogólne (1 - 6) 2. Za szybko czy za wolno? 3. Czy dowiedziałeś się czegoś ważnego? 4. Co i jak poprawić?


Pobierz ppt "Analiza systemów krytycznych Analiza systemów informatycznych Wykład 7 Copyright,"

Podobne prezentacje


Reklamy Google