Analiza systemów krytycznych (c) J. Nawrocki Requirements Eng., Lec. 13 Analiza systemów informatycznych Wykład 7 Analiza systemów krytycznych Jerzy.Nawrocki@put.poznan.pl www.cs.put.poznan.pl/jnawrocki/wsb-asi/ Copyright, 2005  Jerzy R. Nawrocki HAZOP: Hazard and Operability Study

Therac-25 AECL (Atomic Energy Canada Limited) Naświetlanie rentgenowskie – leczenie raka 1983-87 6 poparzeń (niektóre ze skutkiem śmiertelnym)

Therac-25

Therac-25

Therac-25 Przyczyny tych wypadków: Personel AECL początkowo zaprzeczał błędom Brak niezależnej inspekcji oprogramowania Brak zabezpieczeń sprzętowych Beztroskie powtórne użycie kodu Założono, że sensory zawsze dobrze działają Błąd programistyczny

Klasyfikacja dobrych praktyk Podst. Pośred. Zaaw. 8 6 5 4 3 2 36 - 6 2 1 3 21 - 1 2 4 9 Dokument SRS Zbieranie wymagań Analiza i negocjacja wymag. Opisywanie wymagań Modelowanie systemu Walidacja wymagań Zarządzanie wymaganiami IW dla systemów krytycznych

IW dla systemów krytycznych Praktyki podstawowe Utwórz listę kontrolną dla wymagań dot. bezpieczeństwa Czy system startuje w stanie bezpiecznym? Czy ważne zmienne mają nadane wart. pocz? Co się dzieje, gdy system jest odłączony? Co się dzieje, gdy reakcja jest spóźniona? Jaki wpływ mają nieoczekiwane wejścia? Jak można wycofać komendę operatora? Jak przechodzi się do stanu fail-safe?

IW dla systemów krytycznych Praktyki podstawowe Utwórz listę kontrolną dla wymagań dot. bezpieczeństwa Włącz do procesu walidacji zewnętrznych ekspertów HAZOP

IW dla systemów krytycznych Praktyki pośrednie Identyfikuj i analizuj hazardy Na podstawie analizy hazardów formułuj wymagania dot. bezpieczeństwa Konfrontuj wymagania funkcjonalne i operacyjne z wymaganiami dot. bezpieczeństwa

IW dla systemów krytycznych Praktyki zaawansowane Specyfikuj systemy korzystając z metod formalnych Zbieraj informację o incydentach Wyciągaj wnioski z incydentów Ustanów w organizacji kulturę bezpieczeństwa

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Wprowadzenie do HAZOP-u Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03].

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. Urządzenie naświetlające Akcelerator elektronowy Instalacja grzewcza

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. Przejazd kolejowy System ster. samolotem

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. Istniejących Nowych

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. Urządzenie naświetlające Akcelerator elektronowy ~ 200 rad Instalacja grzewcza do 50 oC

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. Therac-25 [Leveson93] Akcelerator elektronowy 15 000 rad Instalacja grzewcza 90 oC A-ła!

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. H.= Zb. warunków mogących prowadzić do wypadku [Leveson91] Akcelerator elektronowy 15 000 rad Urządzenie naświetlające Instalacja grzewcza 90 oC

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. O kurcze!

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. WC nie działa!

Wprowadzenie do HAZOP-u HAZOP: HAZard and OPerability study; ICI Chemicals, UK, ‘70 Cel: ‘wykrycie potencjalnych hazardów i problemów opera-cyjnych wynikających z odchyleń od zamierzeń projektowych zarówno nowych jaki i istniejących instalacji’ [Lihou03]. Zespół ekspertów z różnych dziedzin. Strukturalna burza mózgów.

Wprowadzenie do HAZOP-u Jak mogą powstać odchylenia? Czy wpływają na bezpieczeństwo i operacyjność? Jakie akcje są konieczne? Opis procesu

Zaleta HAZOP-u .. zachęca zespół do zastanowienia się nad mniej oczywistymi sposobami wystąpienia dewiacji (..) W ten sposób analiza staje się czymś więcej niż mechanicznym przeglądem w oparciu o listę kontrolną. [Lihou03]

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Słowa kluczowe Główne słowa kluczowe: szczególny aspekt zamierzenia projektowego (parametr procesu). UML: State, Action, Transition, Response Bezpieczeństwo: Operacyjność: Flow Isolate Temperature Start-up Pressure Shutdown Level Maintain Corrode Inspect Absorb Drain ... Purge ...

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Zbiór ten jest raczej stały. No: Dany aspekt jest prawie wyeliminowany (zablokowany) lub nieosiągalny. Przykłady: Flow/No Isolate/No Response/No

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Less: Wartość parametru jest mniejsza od oczekiwanej. Przykłady: Flow/Less Temperature/Less Throughput/Less

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) More: Wartość parametru jest większa od oczekiwanej. Przykłady: Pressure/More Transaction Rate/More

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Reverse: Przeciwny kierunek. Przykłady: Flow/Reverse ??? / Reverse

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Also: Główne słowo kluczowe jest OK., ale jest coś dodatkowego. Przykłady: Flow/Also = zanieczyszczenie Action/Also = efekt uboczny

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy)

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Other: Parametr występuje ale w inny sposób. Przykłady: Composition/Other = Nieoczekiwane proporcje Flow/Other = Przepływ do nieprzewidzianego miejsca Value/Other = Przepełnienie

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Fluctuation: Właściwe zachowanie osiągane tylko czasami. Przykłady: Flow/Fluctuation = Czasami płynie, czasami nie. Temperature/Fluctuation = Czasami zimne. Throughput/Fluctuation = Czasami za niska.

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Early: Za wcześnie. Przykłady: Flow/Early = Produkt płynie za wcześnie. Temperature/Early = Temperatura jest osiągana za wcześnie. State/Early = Za wczesne przejście do stanu

Słowa kluczowe Pomoc. słowa kluczowe: możliwe dewiacje (problemy) No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Late: Za późno. Przykłady: Level/Late = Poziom w zbiorniku osiągnięty za późno. Activity/Late = Czynność wykonana za późno

Czy wszystkie kombinacje Słowa kluczowe No Less More Reverse Also Other Fluctuation Early Late Pomoc. słowa kluczowe: możliwe dewiacje (problemy) Czy wszystkie kombinacje słów mają sens? Temperature/No ??? Corrode/Reverse ??? State/Reverse ???

Agenda Wprowadzenie do HAZOP-u Słowa kluczowe Procedura

Formularz HAZOP-u Dewiacja Przyczyna Skutki Zabezpiecz. Akcja E.g. State/No Potencjalna przyczyna dewiacji Konsekwencje wystąpienia dewiacji Istniejące urządzenia zabezpiecza-jące przed wystąpie-niem przyczyny lub łagodzące skutki Akcje jakie należy podjąć, aby usunąć przyczynę lub złagodzić skutki

Proces analizy Dewiacja Przyczyna Skutki Zabezpiecz. Akcja State/No Problem... Wybierz fragment instalacji Dla każdego głównego słowa kluczowego: Dla każdego pomocniczego słowa kluczowego: Dla każdej wykrytej przyczyny dewiacji Pomyśl o skutkach i zapisz je; Zapisz zidentyfikowane zabezpieczenia; Pomyśl o koniecznych akcjach i zapisz je;

Zespół HAZOP-u Optimum: 6 osób Maksimum: 9 osób Równa reprezentacja klienta i dostawcy Eksperci z różnych dyscyplin Skład zespołu: Natychmiasto-we odpowiedzi na pytania zadawane w trakcie spotkania. Przewodniczący i sekretarz

Przygotowanie Zbierz dane Przestudiuj temat Podziel instalację na części Oznacz diagramy Ustal listę odpowiednich słów kluczowych Przygotuj formularz HAZOP-u i agendę Przygotuj harmonogram Wyznacz zespół

Raport Zakres analizy Krótki opis przeanalizowanego procesu Kombinacje słów kluczowych i ich znaczenie Opis Action File (zawiera Action Response Sheets mówiące o czynnościach wykonanych z myślą o zredukowaniu ryzyka; początkowo pusty) Ogólny komentarz (co było niedostępne lub nieanalizowane, o czym zapewniano zespół) Wyniki (rekomendowane działania)

Podsumowanie HAZOP jest strukturalną formą burzy mózgów zorientowaną na analizę ryzyka technicznego. HAZOP ma różne zastosowania (np. UML-HAZOP) Można uzupełniać innymi metodami analizy, np. analizą drzew błędów (AND/OR drzewa błędów) Stosowana przez: UK Ministry of Defence, Motorola, firmy chemiczne, etc. At last!

Literatura [Lihou03] Mike Lihou, Hazard & Operability Studies, Lihou Technical & Software Services, www.lihoutech.com/hzp1frm.htm, 3.06.2003. Bardzo dobre wprowadzenie do HAZOP-u. [Leveson91] N. Leveson, S.Cha, T.Shimeall, Safety verification of Ada programs using software fault trees, IEEE Software, July 1991, 48-59. Szablony FTA dla Ady. [Leveson93] N. Leveson, C. Turner, An investigation of the Therac-25 Accidents, Computer, July 1993, 18-41. 

Bibliography F. Redmill, M. Chudleigh, J.Catmur, System Safety: HAZOP and Software HAZOP, John Wiley & Sons, 1999, (Amazon.com: $135!) J.Górski, A.Jarzębowicz, Wykrywanie anomalii w modelach obiektowych za pomocą metody UML-HAZOP, IV KKIO, Best Paper Award 

? Pytania? (c) J. Nawrocki Requirements Eng., Lec. 13 HAZOP: Hazard and Operability Study

Ocena wykładu 1. Wrażenie ogólne (1 - 6) 2. Za szybko czy za wolno? 3. Czy dowiedziałeś się czegoś ważnego? 4. Co i jak poprawić?