Systemy krytyczne i HAZOP

1
Systemy krytyczne i HAZOP
Koncepcja wykladu Slajdy/Lektor/Montaz
Jerzy Nawrocki Lukasz Olek
2
Plan wykladów
Standardy serii ISO 9000 Model dojrzalosci
CMMI Zarzadzanie przedsiewzieciami i PRINCE2, cz.
I Zarzadzanie przedsiewzieciami i PRINCE2, cz.
II Personal Software Process, cz. I Personal
Software Process, cz. II Metodyki programowania
TSP i RUP Pozyskiwanie i dokumentowanie wymagan
(IEEE 830) Wymagania pozafunkcyjne i ISO
9126 Zarzadzanie ryzykiem Systemy krytyczne i
HAZOP Szacowanie rozmiaru oprogramowania Szacowani
e pracochlonnosci
3
Wprowadzenie

• System krytyczny?
• system, którego awaria lub niewlasciwe
  funkcjonowanie moze spowodowac
• strate zycia, lub powazny uszczerbek na zdrowiu
• duze straty materialne
• zanieczyszczenie srodowiska
• life/safety-critical
• zródlo Wikipedia (Safety Critical System)

4
Wprowadzenie - przyklady systemów krytycznych

• Sztuczne pluco-serce

zródlo Wikipedia
5
Wprowadzenie - przyklady systemów krytycznych

• Reaktor nuklearne - systemy sterowania

zródlo Wikipedia
6
Wprowadzenie - przyklady systemów krytycznych

• Poduszka powietrzna

zródlo Wikipedia
7
Wprowadzenie

• Paris Air Show 1989
• zawiódl system krytyczny w samolocie
• na szczescie system krytyczny katapulty zadzialal

8
Plan wykladu

• Wprowadzenie
• Dobre praktyki IW dla systemów krytycznych
• HAZOP
• Wprowadzenie do metody
• Slowa kluczowe
• Procedura

9
Dobre praktyki inzynierii wymagan
Obszar Podst. 36 Posred. 21 Zaaw. 9
Dokument wymagan 8 - -
Zbieranie wymagan 6 6 1
Analiza i negocjacja wym. 5 2 1
Opisywanie wymagan 4 1 -
Modelowanie systemu 3 3 -
Walidacja wymagan 4 3 1
Zarzadzanie wymaganiami 4 3 2
IW dla systemów krytycznych 2 3 4
10
Czy to jest oplacalne?
IW dla systemów krytycznych 2 3 4

• Wiekszosc to praktyki posrednie i zaawansowane gt
  kosztowne
• Czy to sie oplaca?
• paliwo dla elektrowni jadrowej (1000MW) kosztuje
  120 mln zl/rok
• 20 osób 12 miesiecy 10 tys. zl 2,4 mln zl

11
IW dla systemów krytycznych

• Dobre praktyki - podstawowe
• Wlacz do procesu walidacji zewnetrznych ekspertów
• Utwórz liste kontrolna dla wymagan dotyczacych
  bezpieczenstwa

HAZOP
12
Przykladowa lista kontrolna

• Czy system startuje w stanie bezpiecznym?
• Czy wazne zmienne maja nadane wart. pocz?
• Co sie dzieje, gdy system jest odlaczony?
• Co sie dzieje, gdy reakcja jest spózniona?
• Jaki wplyw maja nieoczekiwane wejscia?
• Jak mozna wycofac komende operatora?
• Jak przechodzi sie do stanu fail-safe?

13
IW dla systemów krytycznych

• Dobre praktyki - posrednie
• Zidentyfikuj i zanalizuj hazardy
• Na podstawie analizy hazardów formuluj wymagania
  dot. bezpieczenstwa
• Konfrontuj wymagania funkcjonalne i operacyjne z
  wymaganiami dot. bezpieczenstwa

14
IW dla systemów krytycznych

• Dobre praktyki - posrednie
• Zidentyfikuj i zanalizuj hazardy
• Na podstawie analizy hazardów formuluj wymagania
  dot. bezpieczenstwa
• Konfrontuj wymagania funkcjonalne i operacyjne z
  wymaganiami dot. bezpieczenstwa

15
Cel formulowania wymagan

• System jest tak zaprojektowany, ze
• zidentyfikowane hazardy nie wystapia podczas
  normalnego korzystania z systemu
• hazardy zostana wykryte, zanim spowoduja wypadek
  i zostanie wykonana akcja, która przeciwdziala
  wypadkowi
• jezeli wystapi wypadek, wtedy niebezpieczne
  konsekwencje wypadku sa minimalizowane

16
IW dla systemów krytycznych

• Dobre praktyki - posrednie
• Zidentyfikuj i zanalizuj hazardy
• Na podstawie analizy hazardów formuluj wymagania
  dot. bezpieczenstwa
• Konfrontuj wymagania funkcjonalne i operacyjne z
  wymaganiami dot. bezpieczenstwa

17
IW dla systemów krytycznych

• Dobre praktyki - zaawansowane
• Specyfikuj systemy korzystajac z metod formalnych
• Zbieraj informacje o incydentach
• Wyciagaj wnioski z incydentów
• Ustanów w organizacji kulture bezpieczenstwa

18
IW dla systemów krytycznych

• Dobre praktyki - zaawansowane
• Specyfikuj systemy korzystajac z metod formalnych
• Zbieraj informacje o incydentach
• Wyciagaj wnioski z incydentów
• Ustanów w organizacji kulture bezpieczenstwa

19
IW dla systemów krytycznych

• Dobre praktyki - zaawansowane
• Specyfikuj systemy korzystajac z metod formalnych
• Zbieraj informacje o incydentach
• Wyciagaj wnioski z incydentów
• Ustanów w organizacji kulture bezpieczenstwa

20
IW dla systemów krytycznych

• Dobre praktyki - zaawansowane
• Specyfikuj systemy korzystajac z metod formalnych
• Zbieraj informacje o incydentach
• Wyciagaj wnioski z incydentów
• Ustanów w organizacji kulture bezpieczenstwa

21
Plan wykladu

• Wprowadzenie
• Dobre praktyki IW dla systemów krytycznych
• HAZOP
• Wprowadzenie do metody
• Slowa kluczowe
• Procedura

22
Wprowadzenie do metody HAZOP
HAZOP HAZard and OPerability study ICI
Chemicals, UK, 70 Cel wykrycie potencjalnych
hazardów i problemów operacyjnych wynikacjacych
z odchylen od zamierzen projektowych zarówno
nowych jak i istniejacych instalacji Mike Lihou,
Hazard Operability Studies.
23
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Instalacja grzewcza
Urzadzenie naswietlajace
Akcelerator elektronowy
24
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
System sterowania samolotem
Przejazd kolejowy
25
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Istniejace
Nowe
26
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Instalacja grzewcza
Urzadzenie naswietlajace
do 50?
Akcelerator elektronowy
200 rad
27
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Instalacja grzewcza
Awaria Therac-25
90?
Auch!
Akcelerator elektronowy
15000 rad
28
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Hazard zbiór warunków, które moga prowadzic do
wypadku
90?
Akcelerator elektronowy
15000 rad
29
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
O kurcze!
30
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Wysokosciomierz przestal dzialac!
31
Wprowadzenie do metody HAZOP
Cel wykrycie potencjalnych hazardów i
problemów operacyjnych wynikacjacych z odchylen
od zamierzen projektowych zarówno nowych jak i
istniejacych instalacji.
Przeprowadzona przez zespól ekspertów z róznych
dziedzin.
Strukturalna burza mózgów
32
Wprowadzenie do metody HAZOP
Jakie odchylenia moga powstac? Jak moga
wplynac na bezpieczenstwo i operacyjnosc? Jakie
akcje sa konieczne?
Opis procesu
33
Wprowadzenie do metody HAZOP
... zacheca zespól do zastanowienia sie nad mniej
oczywistymi sposobami wystapienia dewiacji ()
Dzieki temu analiza staje sie czyms wiecej, niz
tylko mechanicznym przegladem w oparciu o liste
kontrolna. Mike Lihou, Hazard Operability
Studies
34
Plan wykladu

• Wprowadzenie
• Dobre praktyki IW dla systemów krytycznych
• HAZOP
• Wprowadzenie do metody
• Slowa kluczowe
• Procedura

35
Slowa kluczowe
Slowa kluczowe
Glówne
Pomocnicze
Przyczyna dewiacji
Temperatura
Brak
Za duze
Cisnienie
Za male
Odwrotne
Przeplyw


36
Slowa kluczowe
Glówne slowa kluczowe szczególny aspekt
zamierzenia projektowego (parametr procesu).
Bezpieczenstwo Operacyjnosc Flow Start-up Temp
erature Shutdown Pressure Drain Level Maintain
Corrode Inspect Absorb Purge ...
Isolate ...
W jaki sposób korozja wplywa na zamierzenia
projektowe?
37
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Zbiór ten jest raczej staly.
No Dany aspekt jest prawie wyeliminowany
(zablokowany) lub nieosiagalny.
Przyklady Flow/No Isolate/No Response/No
38
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Less Wartosc parametru jest mniejsza od
oczekiwanej.
Przyklady Flow/Less Temperature/Less Throughput/L
ess
39
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
More Wartosc parametru jest wieksza od
oczekiwanej.
Przyklady Pressure/More Transaction Rate/More
40
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Reverse Przeciwny kierunek.
Przyklady Flow/Reverse ??? / Reverse
41
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Also Glówne slowo kluczowe jest OK., ale jest
cos dodatkowego.
Przyklady Flow/Also zanieczyszczenie Action/Als
o efekt uboczny
42
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Other Parametr wystepuje ale w inny sposób.
Przyklady Flow/Other Przeplyw do
nieprzewidzianego miejsca Value/Other
Przepelnienie
43
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje
Fluctuation Wlasciwe zachowanie osiagane tylko
czasami.
Przyklady Flow/Fluctuation Czasami plynie,
czasami nie. Temperature/Fluctuation Czasami
zimne. Throughput/Fluctuation Czasami za niska.
44
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Early Za wczesnie.
Przyklady Flow/Early plynie za
wczesnie. Temperature/Early Temperatura jest
osiagana za wczesnie. State/Early Za wczesne
przejscie do stanu
45
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Late Za pózno.
Przyklady Level/Late Poziom w zbiorniku
osiagniety za pózno. Activity/Late Czynnosc
wykonana za pózno
46
Slowa kluczowe
No Less More Reverse Also Other Fluctuation Early
Late
Pomoc. slowa kluczowe mozliwe dewiacje (problemy)
Czy wszystkie kombinacje slów maja sens?
Temperature/No ??? Corrode/Reverse ??? State/Rever
se ???
47
Formularz HAZOP-u
Dewiacja Przyczyna Skutki Zabezpiecz. Akcja

E.g. State/No
Potencjalna przyczyna dewiacji
Konsekwencje wystapienia dewiacji
Istniejace urzadzenia zabezpieczajace przed
wystapie-niem przyczyny lub lagodzace skutki
Akcje jakie nalezy podjac, aby usunac przyczyne
lub zlagodzic skutki
48
Proces analizy
Dewiacja Przyczyna Skutki Zabezpiecz. Akcja
State/No Problem
Wybierz fragment instalacji
Dla kazdego glównego slowa kluczowego
Dla kazdego pomocniczego slowa kluczowego
Dla kazdej wykrytej przyczyny dewiacji
Pomysl o skutkach i zapisz je Zapisz
zidentyfikowane zabezpieczenia Pomysl o
koniecznych akcjach i zapisz je
49
Zespól HAZOP-u
Optimum 6 osób Maksimum 9 osób
Równa reprezentacja klienta i dostawcy
Eksperci z róznych dyscyplin
Sklad zespolu Natychmiasto-we odpowiedzi na
pytania zadawane w trakcie spotkania.
Przewodniczacy i sekretarz
50
Podsumowanie

• Systemy krytyczne to szczególny rodzaj systemów,
  który ma szczególnie wysrubowane wymagania
  bezpieczenstwa
• HAZOP jest strukturalna forma burzy mózgów
  zorientowana na analize ryzyka technicznego
• HAZOP ma rózne zastosowania (np. UML-HAZOP)
• Stosowana przez UK Ministry of Defence,
  Motorola, firmy chemiczne, etc.

51
Literatura

• Mike Lihou, Hazard Operability Studies, Lihou
  Technical Software Services, www.lihoutech.com/h
  zp1frm.htm, 3.06.2003.
• N. Leveson, C. Turner, An investigation of the
  Therac-25 Accidents, Computer, July 1993
• F. Redmill, M. Chudleigh, J.Catmur, System
  Safety HAZOP and Software HAZOP, John Wiley
  Sons, 1999
• J.Górski, A.Jarzebowicz, Wykrywanie anomalii w
  modelach obiektowych za pomoca metody UML-HAZOP,
  IV KKIO