2003-05-07 - TU/e p-colloqium - Ontwikkeling van betrouwbare software
•
0 recomendaciones•439 vistas
Presentation for future Software Engineers about the complexity of developping safety critical systems.
![Betrouwbare Software Hoe een simpel systeem toch veel werk kan opleveren Ir. Jaap van Ekris Senior Advisor Software Engineering Research Centre [email_address]](https://image.slidesharecdn.com/2003-05-xx-tuep-colloqium-betrouwbaresoftwareontwikkeling-110609080453-phpapp02/85/2003-05-07-TU-e-p-colloqium-Ontwikkeling-van-betrouwbare-software-1-320.jpg)
![Agenda ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recomendados
Recomendados
Más contenido relacionado
Más de Jaap van Ekris
Más de Jaap van Ekris (20)
2003-05-07 - TU/e p-colloqium - Ontwikkeling van betrouwbare software
- 1. Betrouwbare Software Hoe een simpel systeem toch veel werk kan opleveren Ir. Jaap van Ekris Senior Advisor Software Engineering Research Centre [email_address]
- 6. Mijn werkveld: Safety Critical Systems
- 10. Goedkope (snelle) oplossing Relais ( €10,00 p/s bij de Handyman) Waterverklikker ( €17,50 bij de Gamma) Ontwerpdocumentatie (gesponsord door Dommelsch Bier)
- 12. Redden we dat ? Relais blijft hangen/kapot ( Kans is groot: 1 x per 30 jaar) Meetfouten ( Kans is zeer groot: golven, zeemeeuwen) Waterverklikker kapot ( Kans is zeer groot: roestvorming !) Draden kapot ( Kans is redelijk groot: opgraven, mollen)
- 14. Het ontwerp Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b
- 15. Faalkansen Hoogtebepaling Aansturing Hoogtemeting Waterkering Diesels Meet a Meet b Stuur a Stuur b Schakelfouten Kans: (10 -4 ) 2 + (10 -4 ) 2 Meetfouten Kans: (10 -3 ) 3 Meter kapot Kans: (10 -5 ) 3 Kabelbreuk Kans: (10 -4 ) 12 Kabelbreuk Kans: (10 -4 ) 4 Kabelbreuk Kans: 3 * (10 -4 ) 2
- 18. Meet x : Hoofdontwerp Ruwe metingen Meetpunt 1 Meetpunt 2 Meetpunt 3 Minuut gemiddelden } } } } Waterstand
- 20. Stuur x : Interne werking Init Start_D “ Start” signaal Diesels Wacht Waterstand < 3 meter Waterstand > 3 meter Waterstand W_O_D “ Diesels gereed” Waterstand > 3 meter Sluit_? Waterstand < 3 meter Waterstand “ Sluit kering”
- 21. Stuur x : Redundantie… Wacht Waterstand < 3 meter Waterstand > 3 meter Waterstand Waterstand a Waterstand b Waterstand a < 3 meter EN Waterstand b < 3 meter Waterstand a > 3 meter Waterstand b > 3 meter Waterstanden ontbreken
- 22. Stuur x : Redundantie… StartD W_O_D Stuur b StartD2 “ OK” van Stuur b “ OK” StartD1 “ Start_D” naar Stuur b > 1 minuut StartD1’ Stuur b geeft “Start_D” “ OK” naar Stuur b “ Sent” StartD3 “ Sent” naar Stuur b “ Start” naar Diesels > 1 minuut StartD4 “ Sent” van Stuur b
- 23. Stuur x : Fail Safe… W_O_D StartD3 StartD2 Stuur b “ OK” > 1 minuut “ Sent” Failed Onverwacht signaal
- 24. Stuur x : Een overzichtsplaatje… StartD2 Stuur b “ OK” StartD StartD1 “ Start_D” naar Stuur b W_O_D Stuur b > 1 minuut StartD1’ Stuur b geeft “Start_D” “ OK” naar Stuur b “ Sent” StartD3 “ Sent” naar Stuur b “ Start” naar Diesels Init2 Waterstand b Init1 “ Init” naar Stuur b Wacht > 1 minuut “ Wacht” Init Waterstanda < 3 meter EN Waterstandb < 3 meter Waterstand b “ Stuur b Waterstanda > 3 Waterstandb > 3 Geen waterstand “ StartD” W_O_D1 “ Ready” via Stuur b “ Ready” van Diesels “ Ready” naar Stuur b Sluit2 Stuur b “ OK” Sluit_? Sluit1 “ SluitS” naar Stuur b Stuur b > 1 minuut Sluit1’ Stuur b geeft “Sluit” “ Sent” Sluit3 “ SentS” naar Stuur b “ Sluitt” naar Kering Finished Waterstanda < 3 meter EN Waterstandb < 3 meter Failed “ OKS” naar Stuur b StartD4 > 1 minuut “ Sent” van Stuur b Sluit4 “ Sent” van Stuur b
Notas del editor
- Wat doen we echt: Beoordelen ontwerpen Beoordelen gekozen methoden en technieken Beoordelen werkwijzen Beoordelen testprocessen
- Werkveld: Kerncentrales Luchtverkeersleiding Stormvloedkeringen Fouten kosten veel mensenlevens
- Let op: Meet/a en Meet/b zijn gesynced: tijd moet hetzelfde zijn !
- Je hebt nog steeds meetfouten, kabelbreuken en schakelfouten: maar de kans is veel kleiner !!
- Wat is eigenlijk 3 meter ??
- Wat is eigenlijk 3 meter ?? Golfgedrag is zeer vervelend Fouten in het omderhoud (5 cm is bepaald door metingen over 50 jaar) Hoe combineer je de drie metingen Maximaal 5 centimeter verschil Afwijkingen hiervan worden afgestraft op de reserve bank Je wilt echt zeker zijn dat het een waterstand is
- Als het goed is komen die overeen
- Zoals we al eerder in het ontwerp zagen krijgen we 2 waterstanden binnen….
- Wie heeft wel eens een auto proberen te starten terwijl hij al liep geen prettige situatie ! Je moet voorkomen dat de diesels twee keer gestart worden, of algemener: dat signalen twee maal gegeven worden Probleem: Wachten op de buurman introduceert DEADLOCK ! Introduceert een single point of failure Nu kan het ook zijn dat we signalen gemist hebben, en StuurB ons toch voor was….
- Maar wat doe je als je signalen krijgt die je niet verwacht ??? In theorie kan dit niet, maar in theorie kon de Titanic ook niet zinken….
- Als we rekening gaan houden met deadlocks en redundantie ziet ons plaatje er zo uit: niet echt simpel meer……
- Er ontbreken wat controles: bijvoorbeeld of signalen ook echt doen wat ze moeten doen, en of redundante eenheden echt doen wat ze beloven In werkelijkheid let het noodsluitsysteem ook op de stroomrichting van het water ! Grootste risico’s: stroomuitval, brand Kering kan ook automatisch gesloten worden