Why Because Analysis - Metode Analisis Sistem Kompleks Avinanta Tarigan, I Made Wiryana, Peter B. Ladkin Network and Distributed System Working Group (RVS) Faculty of Technology Bielefeld University - Germany http://www.rvs.uni-bielefeld.de 26 Juni 2002 Ringkasan Manusia menciptakan sesuatu benda (artifact) seperti penanak nasi, sistem komputer di Bank, dan pesawat luar angkasa, adalah untuk mencapai suatu tujuan [1]. Sebagian besar penelitian dan pengembangan ditujukan untuk mempelajari cara mencapai tujuan tersebut. Tetapi sangatlah jarang penelitian yang ditujukan untuk menganalisis kegagalannya. Why Because Analysis (WBA) yang termasuk dalam kerangka kerja Analisis Kausal (Causal Analysis) merupakan metode formal untuk menganalisis kegagalan sistem kompleks secara menyeluruh. WBA mencakup metode penjelasan dengan WBA-Graph dan metode verifikasi untuk membuktikan secara detail bahwa suatu WBA-Graph memenuhi penjelasan kausal terhadap suatu kejadian yang dianalisis. Kata Kunci : sistem, kompleks, WBA, kausal, metode, formal, logika
1
Pendahuluan
Ledakan bunga api yang mengakhiri penerbangan roket Ariane-5 pada tanggal 4 Juni 1996, mendorong kita untuk lebih memikirkan permasalahan atau bahaya yang diakibatkan suatu kesalahan. Disebabkan adanya kesalahan dalam program, setelah 40 detik mengudara, Ariane berbelok dari arah yang direncanakan. Ariane terpaksa diledakkan dan dihancurkan dengan alasan keselamatan (safety). Barang bawaan berupa 4 buah satelit juga terpaksa dihancurkan dan mengakibatkan kerugian lebih dari 600 juta dollar US. Sistem untuk misi amat penting (mission-critical system) sepatutnya didisain agar dapat menangani kecacatan (fault) yang menyebabkan kesalahan (error ) dan membuat kegagalan (failure) sistem. Untuk mencegah adanya celah kelemahan tersebut, suatu sistem hendaknya didisain dan dibuat dengan mengikutsertakan langkah-langkah untuk memprediksikan adanya kecacatan (fault 1
world
environment
system
Gambar 1: The world of Objects forecasting), mencegah terjadinya kecacatan (fault prevention), menghilangkan kecacatan (fault removal ), dan membuat sistem kebal terhadap kecacatan (fault tolerance) [2]. Analisis resiko yang mencakup keadaan lampau, keadaan saat ini, serta pengetahuan atas kesalahan-kesalahan yang telah terjadi, patut menjadi bahan pertimbangan untuk memprediksikan kegagalan sistem di masa yang akan datang, atau melakukan penilaian apakah suatu sistem telah aman untuk dapat dioperasikan. Jadi diperlukan suatu logika formal untuk memformulasikan kegagalan sistem dan penyimpulan (reasoning) tingkat keselamatannya [3]. Why Because Analysis (WBA) merupakan metode yang memberikan kerangka analisis secara menyeluruh dan lengkap terhadap kegagalan sistem dan penyimpulan tingkat keselamatan sistem. Terutama pada sistem yang kompleks, terbuka, dan heterogen. Tulisan ini mengetengahkan pengenalan WBA, ontologi, contoh aplikasi WBA, serta arah pengembangannya.
2
Ontologi
2.1
Sistem dan Faktor Kausal
Dalam ontologi analisis kausal, sistem dipandang dalam terminologi world of objects: sistem mengandung obyek-obyek yang beraksi (engage) dengan perilaku (behaviour ) masing-masing dan berinteraksi satu sama lain. Di luar sistem terdapat obyek lain yang dapat mempengaruhi sistem. Obyek-obyek tersebut membentuk lingkungan (environment) dimana sistem tersebut bekerja. Obyekobyek lainnya yang tidak mempengaruhi sistem dikatakan berada di dalam dunia (world ) [3]. Untuk membedakan dan merepresentasikan setiap faktor yang signifikan dalam sebuah kejadian, ada beberapa jenis faktor kausal dalam WBA: 1. State merupakan suatu keadaan dalam sistem yang dibentuk oleh struktur dan perilakunya dalam suatu durasi waktu. 2
2. Event merupakan sesuatu yang menyebabkan terjadinya perubahan dalam state. 3. Proses merupakan gabungan antara state dengan event yang terikat dalam durasi waktu tertentu dan menjelaskan suatu tindakan. 4. Non-Events merupakan event yang tidak terjadi tetapi yang sepatutnya terjadi. Faktor-faktor kausal ini disebut sebagai simpul (node) dan terhubung satu sama lain dengan relasi kausalitas.
2.2
Relasi Kausalitas
Dalam WBA, Eksplanatory Logic (EL) digunakan untuk memformulasikan penjelasan suatu kejadian. Dengan menggunakan relasi kausalitas dibentuklah sebuah rantai paparan fakta yang berisi event dan state sebagai simpul-simpul yang terkait satu sama lain. Untuk menyusun fakta tersebut, urutan waktu (temporal order ) merupakan hal yang sangat penting, karena kausalitas mempunyai konsistensi dengan urutan waktu: A A
⇒∗ ,→
B B
(1)
Jika A kausalitas dari B, maka A terjadi sebelum B terjadi. Relasi kausal dalam WBA didasarkan pada formal semantik kausalitas oleh David Lewis [4, 5]. Lewis mendefinisikan faktor kausal sebagai counterfactuals: A ¬A A
2→ 2→ ⇒
B ¬B B
(2)
A faktor kausal dari B, jika dan hanya jika : A terjadi maka B terjadi DAN jika A tidak terjadi maka B tidak terjadi. Semantik dari 2→ adalah semantik possible-worlds, sehingga A merupakan possible-worlds dari B. Possible-worlds diartikan sebagai kemungkinan alternatif yang menyebabkan suatu situasi. Hal ini memudahkan kita untuk mengembangkan fakta-fakta dalam menganalisis atau memprediksi suatu kejadian. Relasi ⇒ ∗ “kausalitas” merupakan klosur transitif dari relasi ⇒ “faktor kausal dari”. Dalam [3] dibuktikan bahwa relasi dari kausalitas bersifat transitif: A B A
⇒∗ ⇒∗ ⇒∗
B C C
Jika A kausalitas dari B dan B kausalitas dari C, maka A juga kausalitas dari C. 3
(3)
3
Why Because Analysis
WBA merupakan metode untuk menganalisis kegagalan yang terjadi dalam sistem yang kompleks, terbuka, dan heterogen. Terbuka berarti bahwa perilaku sistem dipengaruhi oleh lingkungannya. Heterogen berarti bahwa sistem mempunyai beragam tipe komponen / obyek yang bekerja bersama seperti : sirkuit digital , mekanik / fisik, manusia, serta prosedur dan regulasi.
3.1
Langkah Pertama - metode WB-Graph
WB-Graph merupakan gambaran skenario kegagalan yang merupakan pernyataan lengkap relasi kausal dari semua event dan state yang signifikan untuk menjelaskan skenario kegagalan. Secara umum WB-Graph mempunyai dua langkah: • List. Membuat daftar dari semua event dan state sebagai kandidat faktor kausal yang signifikan meyebabkan suatu kejadian. • Menentukan Relasi Kausal dari semua event dan state dengan menggunakan test semantik faktor kausal yang telah difinisikan pada persamaan (1).
3.2
Langkah Kedua - Verifikasi
Untuk membuktikan bahwa WB-Graph yang dihasilkan tidak menggandung kesalahan maka diperlukan pembuktian formal yang memungkinkan pembuktian secara menyeluruh bahwa: 1. relasi kausal yang dijabarkan satu persatu (assertation) dalam WB-Graph adalah benar 2. faktor kausal yang telah teridentifikasi cukup untuk memberikan penjelasan kaussal bahwa setiap fakta bukan merupakan faktor kausal utama (root causal factor ) Pembuktian formal dalam WBA didasarkan pada metode hierarchical proof oleh Lamport yang merupakan dasar pembuktian pada metode verifikasi TLA (Temporal Logic Action) [6]. WBA menggunakan semua jenis pembuktian formal secara teknis maupun matematik. Teknik pembuktian ini memerlukan latihan khusus dan dipaparkan dalam [6, 3, 7].
3.3
Method of Difference (MD)
Untuk mengetahui apakah fakta yang teridentifikasi telah dapat menjelaskan kegagalan yang terjadi dalam suatu sistem, WBA menggunakan “Method of Difference” (MD) yang dikembangkan oleh Mill [8].
4
3.4
Menangani Ketidakpastian
Dalam mempelajari suatu kejadian, banyak terjadi ketidakpastian (uncertainty) dalam menentukan faktor kausal dan relasi kausal antara faktor-faktor tersebut. WBA menyediakan deskripsi alternatif (alternative-description), yaitu sebuah metode untuk menyediakan dan merepresentasikan kemungkinan alternativ sebagai suatu Predicate-Action Diagram (PAD).
3.5
Faktor Manusia - Klasifikasi PARDIA
Untuk menganalisis perilaku manusia sebagai faktor kausal, WBA menggunakan information processing classification PARDIA. PARDIA terdiri dari langkahlangkah berurutan yang merepresentasikan respon situasional pada manusia: Perception - Attention - Reasoning - Decision - Intention -Action Klasifikasi ini berdasarkan pemikiran bahwa manusia berperilaku sebagai automata PARDIA. Dalam suatu keadaan manusia menerima input dari dari obyek lain di dalam sistem melalui indera, memprosesnya, dan mengeluarkan output yang mempengaruhi obyek lain di dalam sistem melalui sebuah aksi.
3.6
Spesifikasi Prosedur Formal dan Regulasi
Dalam WBA, spesifikasi prosedur formal manusia sebagai operator dalam sistem serta aturan yang mengaturnya dapat dispesifikasikan seperti perilaku komponen sistem lain di dalam sistem. Prosedur formal, regulasi, serta PARDIA dispesifikasikan dengan menggunakan bahasa formal yang sama di dalam sistem pembuktian formal WBA. Oleh karena itu WBA menggunakan “wide-spectrum language” untuk dapat mencakup semua spefisikasi dalam WBA.
3.7
Perangkat Bantu WBA
Beberapa perangkat bantu untuk menganalisis kejadian dengan menggunakan WBA telah disediakan di dalam homepage WBA [9]. Perangkat bantu ini meliputi beberapa skrip untuk membuat WB-Graph dan fault tree (cid2dot, ciedit, cid2ft, wb2dot), serta modul Emacs dan LATEX style untuk menuliskan spesifikasi dan pembuktian formal.
4 4.1
Aplikasi WBA Analisis kecelakaan pesawat terbang
WBA telah banyak diaplikasikan untuk menganalisis kegagalan sistem kompleks seperti kecelakaan pesawat terbang, kecelakaan kereta api, dan kecelakaan pesawat ruang angkasa. Beberapa diantaranya adalah : kecelakaan PX-31 dan Boeing A320 di Warsawa, kecelakaan American Airlines Flight 965 Boing 757 di Cali, kecelakaan kereta api di Ladbroke Grove, dan kecelakaan roket Ariane-5 5
pada tanggal 4 Juni 1996. Hasil analisis ini telah dibuat dalam bentuk paper maupun laporan yang tersedia di [9].
4.2
Contoh kasus: Buffer Overflow
Sebagian besar kasus pelanggaran sistem sekuriti komputer disebabkan oleh eksploitasi kelemahan program (vulnerability) yang disebabkan oleh buffer overflow. Hal ini disebabkan oleh suatu kekurangan kemampuan penanganan data masukan di memori (pada umumnya dalam bahasa C ). Sebuah string diumpankan sebagai masukan dengan panjang melebihi suatu tempat di memori menyebabkan bagian lebih dari string tersebut menimpa opcode pada stack program. Dengan memanfaatkan kelemahan ini, penyerang menyusupkan kode tertentu dalam string yang panjangnya melebihi kapasitas buffer sehingga “menginfeksi” stack program di memori. Ketika kode tersebut dijalankan oleh mesin dengan kemampuan seorang superuser, kode tersebut dapat memberikan akses setara superuser kepada penyerang. Sebuah analisis kausal terhadap buffer overflow diketengahkan sebagai WBGraph pada gambar 2. Dalam analisis ini, selain pertimbangan teknis, pertimbangan sosiologi perlu diikutsertakan dalam penentuan faktor kausal. Secara garis besar faktor kausal terjadinya buffer overflow adalah: • masukan string yang terlalu panjang {1.1} • adanya akses ke mesin {1.2} • kesempatan kelebihan string untuk menimpa opcode {1.3} • kode yang tidak aman di dalam program yang diserang {4} String masukan yang telalu panjang sebagai masukan {1.1} dapat dipastikan disebabkan oleh adanya program khusus (malware) yang diluncurkan oleh penyerang {1.1.1}. Faktor kausal adanya akses ke mesin serta peluncuran program malware ini disebabkan oleh adanya niatan (intention) penyerang. Sedangkan terjadinya penimpaan opcode oleh kode penyerang {1.3} disebabkan karena kegagalan manajemen memori dalam sistem operasi {1.3.1}. Kode yang tidak aman {1.4} menyebabkan kelemahan dalam program sehingga penyerang dapat mengeksploitasi kelemahan tersebut. Hal ini disebabkan oleh dua faktor: • implementasi program yang kurang baik {1.4.1} • tidak adanya pemeriksaan setiap batas string input pada program {1.4.2}. Seperti yang disebutkan sebelumnnya, pemeriksaan batas string input ini tidak didisain dan dispesifikasikan pada beberapa kompiler bahasa pemrograman seperti bahasa C {1.4.2.1} dan implementasi program yang kurang baik disebabkan oleh: • disain program memang kurang baik {1.4.1.1} 6
1.1 String yang terlalu panjang
1 Buffer overflow dan akibatnya
1.1.1 Malware
1.1.1.1 Niatan untuk menyerang
1.2 Akses ke mesin 1.3 Kesempatan untuk menimpa Opcode
1.4 Kode yang tidak aman
1.3.1.1 Desain dan implementasi sistem operasi yang kurang baik
1.3.1 Kegagalan dalam menajemen memori
1.4.1.1 Desain yang kurang baik
1.4.1 Implementasi program yang kurang baik
1.4.1.2 Standar pemrograman yang kurang baik - atau - standar pemrograman yang tidak dipatuhi
1.4.1.1.1 Tidak ada kemauan untuk mengimplementasikan pemeriksaan batas string
1.4.1.1.1.1 Kultur / kebiasaan pemrograman
1.4.2 Tidak ada pemeriksaan batas string di kompiler
1.4.2.1 Disain dan spesifikasi kompiler
Gambar 2: WB-Graph - Buffer Overflow
7
• adanya standar pemograman yang tidak mengeliminasi adanya kemungkinan buffer overflow, atau telah ada standar pemrograman tetapi tidak digunakan secara tepat pada saat proses pengembangan program {1.4.1.2} Selain dari sisi kompiler, pemeriksaan batas string seharusnya menjadi bahan pertimbangan dalam desain program {1.4.1.1.1} sehingga setiap string masukan selalu diperiksa validitasnya. Kejadian ini bersumber dari suatu kultur pemrogaman yang mengabaikan pertimbangan sekuriti dalam mendisain dan mengembangkan program {1.4.1.1.1.2}. Berdasarkan hasil analisis ini, diharapkan siklus pengembangan program dan sistem operasi akan menjadi lebih baik dan programmer sadar akan faktor-faktor penyebab terjadinya buffer overflow sehingga kecacatan yang menyebabkan terjadinya buffer overflow dapat dideteksi, dicegah, dan dihilangkan, serta sistem dibuat kebal terhadapnya.
4.3
Contoh kasus : Quality of Service
Internet awalnya memiliki konsep layanan yang sangat sederhana. Dikembangkan hanya untuk menyediakan data-data atau publikasi ilmiah antar ilmuwan. Kini Internet telah berkembang dan menyediakan berbagai model layanan. Komunitas Internet yang tadinya merupakan komunitas sejenis (para ilmuwan) yang berdasarkan rasa percaya dan keinginan berkolaborasi, kini menjadi komunitas yang majemuk. Pengguna yang semula terdiri dari dunia akademik kini ke dunia bisnis. Sehingga penilaian dan pengharapan terhadap layanan Internet menjadi berbeda pula. Pada dasarnya Quality of Service (QoS) digunakan sebagai ukuran formal untuk menentukan seberapa baiknya suatu layanan. Pada suatu layanan jaringan (misal layanan Internet), lazim digunakan parameter berikut ini : 1. Ketersediaan service (Service availability ). Yaitu keandalan koneksi yang disediakan untuk user. Diharapkan ketersediaan ini selalu mendekati 100%. Hal ini berkaitan erat dengan downtime dari penyedia jasa tersebut. 2. Throughput. Kecepatan efektif transfer data di jaringan, yang biasanya diukur dengan bit per detik. Ini tidak sama dengan kapasitas maksimum dari jaringan, atau kecepatan link. 3. Packet loss. Peralatan seperti router, swicht kadang-kadang memiliki kegagalan penangangan paket. Misal disebabkan karena link macet, dan buffer terpaksa menampung paket yang terlalu banyak. 4. Latency atau tundaan (delay ). Waktu yang dibutuhkan paket untuk mencapai tujuan dari asal.
8
5. Jitter . Variasi dari waktu tundaan yang dialami suatu paket yang sama ketika melewati route yang sama pada jaringan. Dengan kata lain variasi dari latency. Permasalahan pemenuhan QoS menjadi makin kompleks dengan diintegrasikannya layanan pada Internet. Pemenuhan QoS mensyaratkan bahwa tiap jenis layanan harus ditangani secara berbeda, karena memiliki kebutuhan yang berbeda. Dengan demikian metode layanan, pengukuran, harga dan kontrak harus dapat mengakomodir kondisi ini. Setiap jenis layanan membutuhkan parameter pengukuran dan metode pengukuran yang berbeda. Masalah pemenuhan QoS timbul karena : • Pengirim paket (end user ) menginginkan mengirim paket sebarang waktu, dengan beban tinggi, dan burstiness (lonjakan data) tinggi • Penerima (end user ) mengharapkan waktu tundaan rendah, dan thoughput yang tinggi • Penyedia jasa (provider ) menginginkan meminimalkan infrastruktur, sehingga kapasitas diiinginkan serendah mungkin Penyelenggaraan layanan di Internet melibatkan beberapa pihak. Sebagai contoh, pendisain layanan, penyedia jaringan, penyedia iklan, ataupun perusahaan yang menyediakan barang secara online. Pihak tersebut didefinisikan sebagai : • Penyedia layanan. Sistem/entitas yang menyediakan layanan, seperti ISP, web hosting, layanan sertifikasi digital dan sebagainya. • Penyewa atau pemilik layanan. Orang atau perusahaan yang memiliki layanan. Penyewa langganan ini dapat menyediakan layanan sendiri atau menyewa dari Penyedia layanan. • Pengguna layanan. Pengguna yang mengkases atau menggunakan layanan yang dimiliki oleh Penyewa layanan. Pada perkembangan industri Internet saat ini sudah umum menerapkan Service Level Agreement (SLA), yaitu suatu kontrak yang menjamin tingkat layanan yang diberikan. Penyedia layanan mengikuti SLA ini dan pengguna menilai apakah penyedia layanan memberikan layanan dengan baik berdasarkan SLA. Dokumen SLA ini akan menspesifikasikan layanan yang diberikan kepada para penerima layanan. Ikatan ini terjadi misal antar, penyedia layanan leased line dengan ISP, penyedia layanan ISP terhadap pelanggannya, penyedia layanan VoIP terhadap pelanggannya, penyedia layanan lainnya (misal web hosting, bank online) dengan pelanggannya. Dalam dokumen SLA ini dinyatakan juga mengenai pengukuran kualitas layanan. Setiap pihak memiliki tujuan pengukuran yang berbeda sehingga menyebabkan parameter yang penting di dalam pengukuran itu menjadi berbeda 9
PENYEDIA LAYANAN
SLA
LAPORAN
Pihak ke−3
PENGUKURAN
ANALISIS Konflik QoS
LAPORAN
(WBA)
PENYEWA KLAIM PENGGUNA
Contoh : Kasus sekuriti Spam Kualitas link dll.
Aturan−aturan Standard Operating Procedure (SOP) Kode etik
Gambar 3: WBA dalam SLA dan konflik pula. Terkadang antara penyedia layanan dan pengguna tidak sepakat dalam menginterpretasikan hasil pengukuran. Oleh karena itu perlu adanya suatu kerangka kerja antara semua pihak yang terlibat dalam layanan untuk menilai suatu layanan. Biasanya pada pengukuran yang lazim dilakukan adalah di level jaringan atau infrastruktur jaringan. Sedangkan dari sisi user (persepsi ) biasanya belum diterapkan sehingga sering timbul kesalah pahaman. Di samping itu, faktor lainnya yang berpengaruh adalah kepuasaan pengguna (user satisfaction) yang perlu dipertimbangkan di dalam penentuan QoS. Untuk itulah SLA perlu lebih ditail menerangkan tentang hal tersebut. Dengan adanya SLA ini maka bila terjadi konflik di masa mendatang, maka akan lebih mudah diselesaikan karena akan digunakan sebagai dokumen acuan. WBA dapat dimanfaatkan sebagai suatu metode analisis ketika terjadi konflik dalam penyediaan layanan. Pada Gambar 3 disajikan bagaimana proses pemecahan konflik QoS dengan memanfaatkan WBA. Pada kerangka ini, maka berdasarkan dokumen dan laporan utama antara lain: penyedia layanan dan pengguna (SLA), standar pelaksanaan layanan (SOP), aturan, regulasi, laporan pengukuran, klaim pengukuran; dapat dilakukan analisis secara menyeluruh tentang layanan yang diberikan oleh suatu penyedia layanan. Sebagai contoh bila terjadi konflik kasus sekuriti pada suatu Internet Banking, maka dengan metode ini dapat dilakukan analisis yang menyeluruh untuk mengetahui kesalahan, dan bukan saja yang terjadi pada tingkat teknis (seperti pemrograman) tetapi juga di tingkat organisasi ataupun mekanisme pelaksana aturan. Tentu saja untuk memudahkan proses analisis tersebut, maka perangkat bantu perlu dikembangkan.
10
5
Penutup
Dalam paper ini telah diketengahkan pengenalan Why Because Analysis (WBA) sebagai metode untuk menganalisis secara menyeluruh kegagalan sistem dan pertimbangan keselamatan/keamanan sistem yang kompleks, terbuka, dan heterogen. WBA telah diaplikasikan untuk menganalisa penyebab utama kecelakaan pesawat terbang, kereta api, dan pesawat luar angkasa. Selain itu juga dikembangkan untuk menganalisis permasalahan dalam komputer sekuriti dan QoS layanan Internet, seperti yang telah dicontohkan pada kasus buffer overflow dan kerangka kerja analisis konflik dalam SLA. Dalam kerangka kerja Analisis Kausal, analisis secara menyeluruh dilakukan dengan hal yang mudah, simpel dan mendasar. Kemudian analisis tersebut dapat dikembangkan ke dalam jenjang yang lebih kompleks dengan ruang lingkup yang lebih luas dan mendetail. Hal ini memungkinkan analisis memasukkan aspek teknis, sosial, hukum, dan bisnis sebagai faktor kausal.
Pustaka [1] J. R. Searle, The Construction of Social Reality. The Free Press, 1995. [2] J. C. Laprie, Dependability : Basic Concepts and Terminology. SpringerVerlag, 1992. [3] P. B. Ladkin, Causal System Analysis Formal Reasoning About Safety and Failure. Draft Version 2.0. To be published, RVS-Bk-01-01, 2001. [4] D. Lewis, “Causation,” in Journal of Philosophy, vol. 70, pp. 556–567, 1973. [5] D. Lewis, “Causal explanation,” in Philosophical Papers, vol. ii, pp. 214–240, Oxford University Press, 1986. [6] L. Lamport, “The tla tp://www.research.digital.com/SRC/tla.
homepage.”
ht-
[7] K. Loer, “Towards why because analysis of failures,” Master’s thesis, Technise Fakult¨ at - Universit¨at Bielefeld, February 1998. [8] J. S. Mill, A System of Logic. Longmans, London, 8th ed., 1873. [9] RVS, “The wba homepage at rvs.” http://www.rvs.uni-bielefeld.de.
11
Daftar Istilah intention niatan
alternative description penjelasan alternatif
jitter jitter artifact benda karya manusia malware program perusak
availability ketersediaan
mission critical system sistem untuk misi amat penting
burstiness lonjakan buffer overflow peluapan di penyangga
node simpul behaviour perilaku opcode opkode
counter factuals fakta pembantahan
possible worlds kemungkinan alternatif yang menyebabkan suatu situasi
delay tundaan error kesalahan
packet loss derajat paket hilang
engage bekerja / beraksi provider penyedia layanan environment lingkungan QoS kualitas layanan
end user pengguna
reasoning penyimpulan
fault kecacatan failure kegagalan
root causal factor faktor penyebab utama
fault forecasting memprediksikan kecacatan
stack stak safety keselamatan
fault prevention mencegah terjadinya kecacatan
temporal order urutan waktu
fault removal menghilangkan kecacatan
throughput laju keluaran
fault tolerance membuat sistem kebal terhadap kecacatan
uncertainty ketidakpastian
fault tree pohon kecacatan
vulnerability kelemahan
hierarchical proof pembuktian secara hirarki
wide spectrum language bahasa kup luas
12
berca-