IT

– Det har vært mange nestenulykker

Oljebransjen har ikke innsett hvordan feil i programvare kan gi alvorlige konsekvenser, mener professor.

Deepwater Horizon-riggen var full av datafeil. Det skal unngås gjennom forskning på pålitelig IT i energisektoren.
Deepwater Horizon-riggen var full av datafeil. Det skal unngås gjennom forskning på pålitelig IT i energisektoren.
Kristin S. Grønli, VERDIKTKristin S. Grønli, VERDIKT
3. okt. 2012 - 20:44

Seksjonen Fra forskning består av saker som er skrevet av ansatte i Sintef, NTNU, Universitetet i Oslo, Oslo Met, Universitetet i Agder, UiT Norges arktiske universitet, Universitetet i Sørøst-Norge og NMBU.

Vis mer

– Olje- og gassektoren har vært seint ute med å innse hvordan feil i programvare kan gi alvorlige konsekvenser, sier professor Torbjørn Skramstad.

Dårlig designet programvare

Ukontrollert nedstenging av en oljeplattform forårsakes av mye datatrafikk og dårlig robusthet i styringssystemene. Hendelsen fører til økonomiske tap på 5-10 millioner kroner, men ingen videre skade. Under ekstreme værforhold kunne det blitt alvorlig.

En feil i programinnstillinger gjør at et skip mister fremdriften. Skipet ligger i åpent hav, og ingen skade skjer. I trangere farvann ville hendelsen vært farlig.

Nok en feil i programvare gjør at en løftekran feiler. Den mister lasten, som faller rett ned i plattformen. Ingen liv går tapt. En intern rapport konkluderer med at programvaredesignet var uakseptabelt.

Les også: 

Nå skal oljeriggene software-testes

Transoceans rigg full av datafeil  

Ikke rapportert

– Det har vært mange nestenulykker, sier Skramstad.

Han er professor ved NTNU og har ledet et nylig avsluttet forskningsprosjekt om pålitelig IKT for energisektoren ved Det Norske Veritas (DNV).

I en kartlegging fikk forskerne høre om over 50 hendelser av denne typen. Omtrent halvparten var tilknyttet olje- og gassvirksomhet. Rundt 10 skjedde på norsk sokkel.

Skramstad kan ikke fortelle mer om hvor de fant sted. Det var industripartnernes forutsetning for at forskerne fikk gjennomføre undersøkelsen i 2008.

– Eksemplene viser muligheten for alvorlige ulykker forårsaket av problemer med programvare, sier Skramstad.

Ingen av hendelsene fra olje- og gassvirksomheten ble rapportert til Petroleumstilsynet.

– Her er det helt opplagt en underrapportering, sier NTNU-professoren.

Torleif Husebø, fagleder i Petroleumstilsynet, bekrefter at de har fått veldig få rapporter om alvorlige hendelser der svikt i IKT-systemer utgjør en sentral faktor.

– Det kan være en underrapportering, men vi har ingen spesifikke indikasjoner på det, kommenterer han.

Husebø kjenner ikke til hendelsene som den norske forskningen refererer til, og vil derfor ikke kommentere dem. Alvorlige hendelser som setter helse, miljø og sikkerhet på spill, skal rapporteres.

Les også: 

It-gransking av oljeselskapene: Varsler ikke om datafeil

NASA lærer av norsk oljeindustri

Høstet fra andre bransjer

– Olje- og gassbransjen har ikke tatt inn over seg hvor viktig stabil og robust programvare er. Det har vært for lite fokus på å utvikle sikker programvare. Andre bransjer, som luftfart, romfart og jernbane, har vært mye tidligere ute med å etablere standarder og retningslinjer. I forskningsprosjektet har vi høstet erfaringer fra slike bransjer, sier Skramstad.

Målet har vært å utvikle metoder og retningslinjer for å sikre at programvare ikke forårsaker feil eller problemer. Forskerne har jobbet mest med såkalte integrerte operasjoner. Enkelt forklart betyr det at IKT blir tatt i bruk for å fjernstyre installasjoner fra land.

For eksempel har de sett på operasjoner i arktiske strøk, hvor automatisering er sentralt, og man snakker om systemer som nærmest er selvgående. Dette har vært et samarbeid med prosjektet Integrated Operations in the High North.

– Det finnes allerede installasjoner som styres fra land. Datasystemene blir mer og mer sentrale, og er kjent for å være sårbare. Dersom man ikke griper tak i dette, øker også sårbarheten og problemene, sier Skramstad.

Les også: Her gjør Statoil noe ingen andre har gjort før

Reduserer risikoen

Reduksjon av risiko handler både om å øke sikkerhet mot ytre fiender, og redusere feil. Et typisk problem er programvare som ikke er helt koordinert med hardware.

Dersom en elektronisk komponent går i stykker, er det viktig at programvaren oppdager dette, så den ikke tolker signaler feil.

En annen problemstilling er integrering. Oljeplattformer kjøper komponenter fra mange leverandører, og de skal virke sammen. Dette er krevende og kostbart å få til.

Nok et stikkord er robusthet, som innebærer å bygge opp barrierer dersom noe uventet skulle skje.

– Retningslinjene vi har utviklet reduserer sannsynligheten for ulykker, sier Skramstad.

Ett av forskningsresultatene som virkelig har fått fart på seg, er et spesifikt sett med retningslinjer som skal bidra til sikrere programvareutvikling. Det tilbys nå som tjenester fra DNV, hvor Skramstad var tilknyttet mens han ledet prosjektet som ble støttet av VERDIKT i Forskningsrådet.

– Det handler ikke bare om programmering, men også om feil og uklarheter i kravspesifikasjoner, som ofte er årsak til senere problemer, sier han.

Les også:  Nå får plattformene bedre datanett

Vil ha ut mer olje med nytt forskningssenter

– Har tatt tak på noen områder

Det ble også gjort en kartlegging av datasikkerhet i prosesstyringssystemer integrert med IKT-systemer i 2008. Den ble utført på alle 46 offshore oljeinstallasjoner i Nordsjøen.

Resultatene viste at bare noen få av installasjonene hadde gjort risikoanalyser, og at det var lite bevissthet rundt datasikkerhet.

Seniorforsker Stig Ole Johnsen ved SINTEF var sentral i denne delen av forskningsprosjektet.

– Siden den gang har interesseorganisasjonen Norsk olje og gass (tidligere Oljeindustriens Landsforening) innført en retningslinje kalt OLF-104, som tar for seg sikkerhet for datasystemer og prosesstyring. Her har de viktigste sårbarheter blitt påpekt, og bransjen har vært flink til å fokusere på dette, sier han.

For dette fikk organisasjonen Rosing-prisen for IT-sikkerhet i 2008. Det er en pris som deles ut av Den norske dataforening.

Johnsen mener aktørene kan være enda mye flinkere, spesielt på systematisk undervisning og kompetanseheving, men understreker at Norge ligger langt framme internasjonalt når det gjelder datasikkerhet for prosesstyringssystemer integrert med IKT-systemer.

Les også:  Skal følge boreoperasjoner fra smarttelefonen

Professor kjøpte motorsag for å sage på 2000 meters dyp

– Lovende samspill

– Regelverket OLF 104 er obligatorisk for alle medlemmer i Norge. I USA har Obama og Det hvite hus prøvd å innføre et slikt regelverk, uten å få det skikkelig til. Når Petroleumstilsynet følger opp med tilsyn av datasikkerheten, er dette et lovende samspill i Norge, mener Johnsen.

Retningslinjene sier blant annet at risikoanalyser skal utføres på alle installasjoner, men så langt er det ikke kartlagt om dette faktisk er tilfelle.

– Jeg skulle gjerne gjort en ny kartlegging av dette nå i 2012, sier SINTEF-forskeren.

– Vi er i ferd med å gjennomføre tilsynsserier som blant annet handler om IKT-sikkerhet og uavhengighet mellom sikkerhetssystemer, men det er for tidlig å si hva resultatene vil bli, sier Husebø i Petroleumstilsynet.

Han understreker at IKT-sikkerhet står høyt på tilsynets prioriteringslister, og at forskningen på dette har vært viktig for å få mer robust kompetanse på området.

– Forskningsprosjektet har bidratt til en modning av tilnærmingen til bruk av datasystemer på olje- og gassinstallasjoner, sier Husebø.

Denne artikkelen er levert av VERDIKT (Kjernekompetanse og verdiskaping i IKT), som er Forskningsrådets store program for IKT-forskning.

Les også:

Slik kan du se gjennom vegger

Super-wifi rekker mange kilometer

Nå får du mye bedre mobillyd

Denne dingsen finner olje ved å lage lyn

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.