Industrial Survey on Robustness Testing In Cyber Physical Systems

Dit artikel presenteert de resultaten van een industriële enquête in Wallonië die de huidige praktijk, uitdagingen en kennislacunes rondom robuustheidstesten van Cyberfysieke Systemen (CPS) in kaart brengt en vergelijkt met de staat van de techniek.

De kern

Hier is een uitleg van het onderzoek, vertaald naar gewoon Nederlands, met behulp van een paar verhelderende vergelijkingen.

De Kern van het Onderzoek: "Is je auto ook veilig als de weg eruit valt?"

Stel je voor dat je een Cyber-Physical System (CPS) bouwt. Dat klinkt als een ingewikkelde term, maar denk gewoon aan een slimme auto, een robot in een fabriek, of een slimme thermostaat in een ziekenhuis. Dit zijn systemen waar de digitale wereld (software) en de fysieke wereld (hardware) samenkomen.

De onderzoekers van CETIC in Wallonië (België) wilden weten: Hoe goed zijn deze systemen voorbereid op het ergste scenario? Kunnen ze het hoofd bieden als er iets misgaat, zoals een storing, een hack, of een rare sensorwaarde? Dit noemen ze robustheid (weerbaarheid).

Om dit te ontdekken, hebben ze een "peiling" gehouden bij 10 bedrijven (voornamelijk kleine en middelgrote bedrijven, of KMO's). Ze hebben hen niet alleen gevraagd wat ze doen, maar ook hoe ze het doen.

Hier zijn de belangrijkste bevindingen, vertaald naar alledaagse beelden:

1. Wat betekent "Robuust" eigenlijk?

Voor de bedrijven betekent robuustheid: "Als er iets raars gebeurt, blijft het systeem niet hangen of crasht het niet."

• De Analogie: Stel je een boot voor. Een niet-robuuste boot zinkt als er een klein golfje op komt. Een robuuste boot heeft noodsystemen: als de motor uitvalt, heeft hij een noodstroomgenerator. Als het water binnenkomt, heeft hij waterdichte compartimenten.
• De bevinding: Alle bedrijven zijn het erover eens dat cyberveiligheid (bescherming tegen hackers) nu een enorm groot deel uitmaakt van robuustheid. Ze willen niet alleen dat de machine werkt, maar ook dat niemand hem kan kapen.

2. Hoe bereiden ze zich voor? (De Ontwerp-fase)

De bedrijven kijken naar wat klanten eisen (bijvoorbeeld: "De trein moet binnen 100 milliseconden reageren") en wat ze zelf weten.

• De Analogie: Het is alsof je een huis bouwt. Je kijkt niet alleen of de muren recht staan, maar je denkt ook na: "Wat als het stormt? Wat als de stroom uitvalt?"
• De praktijk: Sommige bedrijven hebben een "degradatiemodus". Dat is als een auto die, als de motor kapot gaat, automatisch overgaat op een noodstand zodat je nog wel veilig de kant op kunt rijden, ook al is de snelheid lager.

3. Het Testen: De "Stress-test"

Dit is het spannendste deel. Hoe test je of iets robuust is?

• De Analogie: Je kunt een nieuwe auto niet alleen testen op een rustige parkeerplaats. Je moet hem op een racecircuit duwen tot de banden roken, of hem in een modderpoel gooien.
• De bevinding:
  • De bedrijven testen vaak pas aan het einde van het project, als de basisfuncties wel werken.
  • Ze gebruiken vaak een gemengde omgeving: een stukje echte hardware (de motor) gekoppeld aan een computer die de rest simuleert (de weg, het weer).
  • Het probleem: Het is heel duur om een perfecte simulatie te bouwen. Daarom doen ze veel tests in het lab, maar de allerlaatste tests moeten vaak toch "in het veld" (bij de klant), wat duur en lastig is.
  • Er is geen speciale "robustheid-tester". Iedereen in het team doet het, maar het vereist veel kennis van het systeem.

4. Als het misgaat: De "Autopsie"

Wat gebeurt er als het systeem crasht?

• De Analogie: Als een huis in brand staat, wil je weten: Was het een kortsluiting? Een blikseminslag? Of een brandstichter?
• De bevinding:
  • Ze gebruiken een indeling voor fouten: van "catastrofaal" (alles crasht) tot "stil" (het systeem doet alsof er niets aan de hand is, maar werkt niet goed).
  • Het lastigste is het vinden van fouten die niet reproduceerbaar zijn. Alsof je auto soms plotseling stopt, maar als je er met een monteur naar kijkt, doet hij het weer perfect. Dat noemen ze "Hinderende" fouten.
  • De oorzaak ligt vaak in onduidelijke instructies, slechte software, of hackers.

5. De Gereedschapskist

Welke tools gebruiken ze?

• De Analogie: Het is alsof je een timmerman bent die een kast bouwt. Je hebt een hamer en een zaag, maar je hebt geen speciale "kast-mak-machine" die alles voor je doet.
• De bevinding:
  • Er is geen één speciale tool die alles doet. Bedrijven gebruiken een mix van bestaande software, eigen scripts en logboeken (zoals een dagboek van de machine).
  • Ze missen vaak geautomatiseerde tools die het hele proces kunnen regelen: van het bedenken van de test, het uitvoeren, tot het analyseren van de resultaten.

6. Wat leren we van andere onderzoekers?

De onderzoekers hebben hun resultaten vergeleken met eerdere studies (o.a. uit Zweden).

• De overeenkomst: Overal is het lastig om robuustheid te testen. Het is duur, tijdrovend en moeilijk om de juiste omgeving te simuleren.
• Het verschil: In onze tijd is cyberveiligheid veel belangrijker geworden dan vroeger. Hackers zijn nu een reëel gevaar dat meegenomen moet worden in de robuustheidstests.

Conclusie: De Weg Vooruit

Het onderzoek concludeert dat bedrijven het goed bedoelen, maar dat het testen van robuustheid vaak nog te handmatig en te lastig is.

De oplossing?
De onderzoekers willen een "toolbox" ontwikkelen voor deze bedrijven, gebaseerd op een methode die in de cloud-wereld al populair is: Chaos Engineering.

• De Analogie: In plaats van te hopen dat je huis niet in brand vliegt, steek je opzettelijk een klein kaarsje aan in een veilig gebied om te zien of de brandblussers werken en of de bewoners weten wat ze moeten doen.
• Ze willen dus systematisch fouten inbrengen in de systemen om te zien hoe ze reageren, en dit zo veel mogelijk automatiseren.

Kortom: We bouwen steeds slimmere systemen, maar we moeten leren om ze niet alleen te testen op "wat als het goed gaat", maar vooral op "wat als alles misgaat". En dat is een uitdaging waar deze bedrijven graag hulp bij willen.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Industrial Survey on Robustness Testing In Cyber Physical Systems" in het Nederlands.

Titel: Industriële Enquête over Robuustheidstesten in Cyber-Fysieke Systemen (CPS)

Auteurs: Christophe Ponsard, Abiola Paterne Chokki, en Jean-François Daune (CETIC Research Centre, België)

---

1. Probleemstelling

Cyber-Fysieke Systemen (CPS) spelen een cruciale rol in moderne industriële domeinen zoals productie, energie, vervoer en gezondheidszorg. Deze systemen, die hardware, software en netwerken integreren, moeten robuust functioneren in open en dynamische omgevingen, vaak blootgesteld aan kwaadwillende actoren.

• De uitdaging: Falen van CPS kan leiden tot aanzienlijke economische, operationele en veiligheidsconsequenties.
• Huidige staat: Robuustheid wordt vaak ad hoc behandeld met zeer variabele praktijken. Er is een kloof tussen industriële praktijken en geavanceerde methodologieën (zoals model-gebaseerd testen, fuzzing en chaos engineering).
• Specifiek doel: Het project richt zich op het helpen van KMO's (Kleine en Middelgrote Ondernemingen) in Wallonië om de robuustheid van hun software-intensieve producten te verhogen, met een focus op een agile aanpak en DevSecOps.

2. Methodologie

De auteurs voerden een industriële enquête uit om de huidige stand van zaken in kaart te brengen.

• Ontwerp: De enquête was gebaseerd op een bestaand Zweeds onderzoek (Shah et al., 2016) om vergelijkbaarheid te garanderen. Het questionnaire dekte de volledige levenscyclus af: van requirements en ontwerp tot testen, monitoring en tooling.
• Proces:
  • Deelnemers: 10 bedrijven werden geïnterviewd (voornamelijk KMO's, één groot bedrijf).
  • Sectoren: Vervoer/logistiek, productie/Industry 4.0, en enkele digitale diensten (met gezondheidszorg als klant).
  • Format: Semi-gestructureerde interviews van ongeveer 1,5 uur, ondersteund door een online formulier.
  • Focus: Het onderzoek keek naar hoe robuustheid wordt gedefinieerd, hoe requirements worden vastgesteld, welke testpraktijken worden gehanteerd, hoe fouten worden gediagnosticeerd en welke tools worden gebruikt.

3. Belangrijkste Bijdragen en Resultaten

A. Definities en Requirements

• Definitie: Alle bedrijven waren het eens met de IEEE-definitie van robuustheid (correct functioneren bij ongeldige inputs of stressvolle omgevingen).
• Cybersecurity: Dit werd unaniem en spontaan genoemd als een grote zorg. Robuustheid omvat nu ook weerstand tegen kwaadwillende aanvallen.
• Requirements: Robuustheidsrequirements komen voornamelijk van klanten (SLA's over beschikbaarheid, reactietijd) en interne praktijken. Normen worden minder vaak expliciet genoemd, tenzij in veiligheidskritieke sectoren (zoals spoorwegen).
• Ontwerppraktijken: Veelgebruikte maatregelen zijn redundantie, micro-services architectuur, prioritering van kritieke functies en back-upplannen.

B. Testpraktijken

• Timing: Robuustheidstesten vinden meestal plaats aan het einde van de ontwikkeling, na functionele validatie, maar voor de implementatie. In agile omgevingen worden ze soms elke 2-3 sprints uitgevoerd.
• Testomgeving: De meeste bedrijven gebruiken een hybride omgeving (gesimuleerde componenten + echte hardware). Het doel is realisme met gecontroleerde kosten; tests op locatie worden geminimaliseerd vanwege de hoge kosten.
• Testtypes: Langdurige tests, belastingstests, simulatie van hardwarefouten, failover-tests en onderbrekings-/hersteltests.
• Verantwoordelijkheid: Er is geen specifiek profiel voor een "robuustheidstester". Het is vaak een gedeelde verantwoordelijkheid binnen het ontwikkelteam of een multi-vaardige tester.

C. Foutanalyse en Diagnose

• Classificatie: Fouten worden geclassificeerd volgens de CRASH-terminologie (Catastrophic, Restart, Abort, Silent/unobservable, Hindering).
  • Observatie: Catastrophic fouten zijn zeldzaam in de praktijk. De grootste uitdaging ligt bij Hinderende (moeilijk reproduceerbaar) en Stille fouten.
• Oorzaken: Gebrekkige specificaties, niet-robuste architectuur, slechte uitzonderingsbehandeling en cyberveiligheidsproblemen.
• Diagnose: Voornamelijk via loganalyse, dependency-analyse en het proberen te reproduceren van de fout. Het diagnosticeren van niet-reproduceerbare fouten is een grote pijnpunt.

D. Tooling

• Huidige situatie: Er is geen specifieke tool voor robuustheidsontwerp. Bedrijven gebruiken generieke tools, vaak zelf gebouwd (in-house) met open-source componenten.
• Behoeften: Er is een sterke vraag naar:
  • Automatisering van testscenario's (combinatorisch management).
  • Geïntegreerde monitoring en loganalyse (unificatie van timestamps).
  • Tools voor fault injection en chaos engineering.
  • Potentieel gebruik van AI voor het genereren van testcases.

4. Vergelijking met Andere Studies

De resultaten werden vergeleken met eerdere studies (o.a. Shah et al., 2016; Ericsson-studie; Gunes et al., 2014):

• Overeenkomsten: De nadruk op herstelmechanismen, beschikbaarheid en de complexiteit van testomgevingen komt overeen met eerdere bevindingen.
• Verschillen: Cybersecurity is in deze studie veel prominenter geworden. Ook is de organisatiestructuur voor testen minder gespecialiseerd in KMO's (geen dedicated staff voor robuustheidstesten).
• Gemeenschappelijke uitdagingen: De manuele aard van het maken van testcases, het creëren van representatieve verkeerslasten en het bepalen van de stabiliteit van een systeemversie voor robuustheidstesten.

5. Betekenis en Toekomstperspectief

• Conclusie: De belangrijkste knelpunten voor KMO's zijn de complexiteit van het te testen CPS-systeem, onvolledige documentatie, de hoge kosten van het opzetten van realistische testomgevingen en de moeilijkheid om de root-cause van niet-reproduceerbare fouten te vinden.
• Toekomstig werk: Het onderzoek zal zich richten op het toepassen van Chaos Engineering-praktijken (gepopulariseerd in Cloud-native omgevingen) op CPS. Dit omvat:
  • Het systematisch identificeren van aannames.
  • Het uitvoeren van fault injection experimenten.
  • Het automatiseren van monitoring en verbetering.
  • Het aanpassen van deze methoden voor de specifieke eisen van Cyber-Fysieke Systemen.

Samenvattend: Dit papier biedt een waardevol inzicht in de huidige staat van robuustheidstesten in de Belgische industrie. Het benadrukt dat hoewel de concepten bekend zijn, de praktische uitvoering vaak ad hoc is en dat er een grote behoefte bestaat aan gestructureerde, geautomatiseerde methoden (zoals Chaos Engineering) die specifiek zijn afgestemd op de complexiteit van CPS.