Das Software

Aspecteisen bijten elkaar per definitie.  Daarom
moet je ze in samenhang analyseren en integraal
ontwerpen.  De ezelsbrug voor belangrijke
aspecteisen heet RAMS SHEEP: Reliability,
Availability, Maintainability, Safety, Security,
Health, Environment, Economics & Politics.  Vaak
wordt geoptimaliseerd naar een bepaalde aspecteis,
meestal is dat het geld: zo goedkoop mogelijk.
Daar leiden alle andere aspecteisen---impliciet of
expliciet aanwezig---dan onder, alleen dat is
zorg voor later.

Een recent voorbeeld van elkaar bijtende
aspecteisen zit in Das Software: hoge performance
versus lage uitstoot.  In 2009 schreef ik over
het nieuwe opvoeren, waar fabrikanten de software
zo parametrizeren dat hun auto's aan de
emissierichtlijnen voldoen.  Bijvoorbeeld: bij
bepaalde snelheden rijdt het ding als een
aardappelschrapmachine, maar goed de lage uitstoot
wordt op de rollenbanktest gehaald.  Via
chiptuning kun je je auto weer beter laten
presteren: of te wel, de parameters worden op
standje vervuilen gezet.  De auto industrie
reageerde daar op door de garantie in te trekken
bij softwarematig opgevoerde auto's.  De
digituners riposteerden dat door met de PowerBox
te komen: ``Easy to remove for those sensitive
dealer visits''.

Het extern via de diagnosestekker te plaatsen
kastje laat geen sporen na en is volgens de
producent helemaal in orde: ``Quality and safety
for you and your vehicle. The PowerBox units have
been TÜV-certified (MOT) since 2009; and adhere to
ISO 9001 standards''.  De TÜV had zeker geld
nodig?

Onoordeelkundig aanpassen van veiligheidskritische
software of de parametrizering ervan kan
levensgevaarlijk zijn.  De crash van de opvolger
van het Hercules transportvliegtuig (de A400M) in
Spanje liet dat weer eens zien: paramaters waren
overschreven waardoor het ding tijdens een
testvlucht neerstortte.

Nu blijkt dat Volkswagen het digitunen tot hogere
kunst heeft verheven.  Zij schijnen via de
achterwielsensoren te bepalen of de auto op de
rollenbank staat of op de weg rijdt.  Daarmee
vinken ze aan de ene kant de aspecteisen aangaande
milieu en politiek af en aan de andere kant de
aspecteis van hoge performance voor de gebruiker.
Tevens is er synergie met de aspecteis economics:
het kan allemaal op een koopje.  Tot, natuurlijk,
deze fraude aan het licht kwam: in twee dagen tijd
daalde de koers met 37% en werd het bedrijf 27
miljard minder waard.  Dat krijg je er van als je
aspecteisen onvoldoende integraal ontwerpt.

Aspecteisen bijten elkaar per definitie.  Hoe zit
het bijvoorbeeld met de safety van Das Auto?  Waar
zijn achterwielsensoren namelijk voor?  Niet om te
bepalen of je wel of niet op de rollenbank staat,
maar om de ABS bij een noodstop optimaal te laten
functioneren zodat de remmen niet blokkeren
waardoor je zo spoedig als doende tot stilstand
komt zonder te spinnen als de remdruk op het
linkerachterwiel anders moet zijn dan bij de
andere drie wielen, bijvoorbeeld als je half in de
berm stuurt terwijl je vol op de rem staat.

Ik stel me zo voor dat het rollenbank feature niet
breed is uitgemeten in de ontwerpdocumenten,
immers dan zou iedereen zien dat hier vals
gespeeld wordt.  We mogen gerust aannemen dat in
het Master Test Plan geen scenario's zijn
opgenomen om het gedrag van het rollenbank feature
te toetsen in samenhang met de ABS of Airbag.  Als
die zaken het echt moeten doen mag er niet ineens
van software of parametrizering geswitched worden
met de kans dat de ABS faalt, of---ook geen
wenkend perspectief---dat de Airbags falen.

Bij blokkering van de achteras door een fikse
kop-staart botsing telt elke seconde, en die
seconde mag niet worden besteed aan een analyse of
we wellicht ineens op de rollenbank beland
zijn.  Wat denk je van een tankwagen gevuld met
LPG waarvan de achteras breekt?  Einfach Das
Software wechseln in plaats remmen om een BLEVE
plus VCE te voorkomen.  Een BLEVE is een Boiling
liquid expanding vapor explosion als gevolg van
een gescheurde tank, en als de zaak brandbaar is
volgt kort daarop een Vapor Cloud Explosion.

Das Software wordt gratis gerepareerd.  In
vliegtuigen mag veiligheidskritische software geen
niet te zake doende functionaliteit bezitten.  Dat
zit wel degelijk in Das Software.  Ik vermoed
zomaar dat er onvoldoende rekening is gehouden met
de veiligheid van de bestuurder en de omgeving,
ten faveure van het uitstellen van echte
innovaties om de emissie werkelijk omlaag te
brengen.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in de AG.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.