home *** CD-ROM | disk | FTP | other *** search
/ Black Box 4 / BlackBox.cdr / textinfo / risks8d.arj / RISKS868.TXT < prev    next >
Encoding:
Text File  |  1989-05-09  |  23.3 KB  |  481 lines
  1. RISKS-LIST: RISKS-FORUM Digest  Monday 8 May 1989   Volume 8 : Issue 68
  2.  
  3.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS
  4.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
  5.  
  6. Contents:
  7.   Low-Probability / High-Consequence Accidents -- and the Midland 737? (PGN)
  8.   "Probing Boeing's crossed Connections" (Werner Uhrig)
  9.   An Atlantis spacecraft computer problem resolved nicely (PGN)
  10.   "Life's Risks: Balancing Fear Against Reality of Statistics"
  11.     (Marc Rotenberg, Jerry Leichter)
  12.   Hear No Evil (Kevin Driscoll)
  13.   Computer Ethics Course/Resource Volunteers Wanted (long)  (Bob Barger)
  14.  
  15. ----------------------------------------------------------------------
  16.  
  17. Date: Mon, 8 May 1989 8:34:12 PDT
  18. From: Peter Neumann <neumann@csl.sri.com>
  19. Subject: Low-Probability / High-Consequence Accidents -- and the Midland 737?
  20.  
  21. I would like to consider here a class of problems that has not been addressed
  22. specifically in RISKS, although its components are familiar.  The RISKS Forum
  23. has addressed alarm systems that could not adequately be debugged under truly
  24. real circumstances.  There was also the example of the earliest Antarctic ozone
  25. depletion data, which was systematically rejected by the analysis program for
  26. being *too* anomalous.  The potential for a combination of these two types of
  27. problems might occur in aircraft monitoring during flight, as follows.
  28.  
  29.    Sensitive sensors in hostile environments (such as engines) sometimes
  30.    report unrealistic or off-scale readings due to noise or interference.
  31.    Consequently software monitoring the sensor may be programmed to ignore
  32.    values beyond a certain threshold, on the grounds that such extreme
  33.    readings must be the results of extraneous events.  If the ignored sensor
  34.    reading was "real", however, other more remote sensors might pick up -- and
  35.    accept -- less extreme readings.  This appears to be a potential problem in
  36.    a variety of control systems.
  37.  
  38. In the absence of any definitive information about the British Midland 737
  39. crash, such a hypothesis seems just as plausible as any other.  The *left*
  40. engine was reportedly vibrating wildly (possibly due to a broken fan blade),
  41. but the pilots for some reason(s) shut off the (good) right engine.  The
  42. extreme vibration in the left engine might indeed have produced hitherto
  43. unexperienced sensor readings that designers -- or the software folks -- felt
  44. would have to be impossible.  The vibration from the left engine would have
  45. been transmitted -- much attenuated -- through the entire airframe, and might
  46. have been reported at a much more "reasonable" intensity by the vibration
  47. sensors of the right-hand engine.  It does not take much of a leap in
  48. imagination for the computer program to conclude that it was the *right* engine
  49. that was malfunctioning.
  50.  
  51. In any event, this possible fault mode represents another case of
  52. LOW-PROBABILITY / HIGH-CONSEQUENCE ACCIDENTS [1], and thus deserves explicit
  53. attention.  Unfortunately it is just one more such combinatory fault mode.
  54.  
  55.  
  56.   [1] See Koshland's editorial (title above, in CAPS) in Science, vol 244 no
  57. 4903, 28 April 1989, p. 405, discussing the Exxon Valdez spill and conclusions
  58. that should be drawn from it.
  59.  
  60. ------------------------------
  61.  
  62. Date: Mon, 8 May 1989 4:53:45 CDT
  63. From: Werner Uhrig <werner@rascal.ics.UTEXAS.EDU>
  64. Subject: ``Probing Boeing's crossed connections''
  65.  
  66. [The title is that of an article in IEEE Spectrum, May 1989, pp. 30-35,
  67. subtitled ``Misconnected circuits and hoses found on 94 in-service Boeing
  68. aircraft raise concern about design, test, and maintenance of aircraft
  69. safety systems''.  Author is Karen Fitzgerald.]
  70.  
  71. At the very end of the article is a further reference of interest to this
  72. group:
  73.  
  74.   For a minute-by-minute account of the British Midland crash from knowledge
  75.   gathered to date, see Special Bulletin S2/89 of the Air Accidents
  76.   Investigation Branch of the Department of Transport in Farnborough, England,
  77.   March 20, 1989.
  78.                                          [I recommend the Spectrum article, and
  79.                                          would like to see the Bulletin.  PGN]
  80.  
  81. ------------------------------
  82.  
  83. Date: Mon, 8 May 1989 12:13:25 PDT
  84. From: Peter Neumann <neumann@csl.sri.com>
  85. Subject: An Atlantis spacecraft computer problem resolved nicely
  86.  
  87. One of Atlantis' main computers (one of the processors in the two pairs of the
  88. 2x2 + 1 backup architecture) failed on 7 May.  For the first time ever the
  89. astronauts made repairs -- in this case by substituting a spare processor.  It
  90. took them about 3.5 hours to gain access to the computer systems by removing a
  91. row of lockers on the shuttle mid-deck, and another 1.5 hours to check out the
  92. replacement computer.
  93.  
  94. It is ironic that such a replacement was so difficult, but not surprising.  My
  95. old friend Al Hopkins, who at MIT Instrumentation Lab (now Draper Lab) designed
  96. the Apollo on-board guidance computer, told me years ago how carefully they had
  97. planned the packaging so that the astronauts would be able to make repairs on
  98. the fly (as it were).  NASA officials would have none of it, and buried the
  99. computer several layers underneath other equipment.  Apparently that tradition
  100. has continued.  Perhaps the success of the Atlantis crew will change things.
  101.  
  102. During STS-9, Nov-Dec 83, multiple primary computers on the Columbia failed at
  103. the same time, and delayed the return to earth.  On one hand, the calculations
  104. say that losing three processors would be a rare event.  However, here we have
  105. another example of a low-probability / high-consequence accident -- especially
  106. if it involved the backup and one of each of the pairs.  Furthermore, since the
  107. software is the same in all four of 2x2 the main processors, they would all
  108. have failed consistently, and been deemed correct.  (And we just reported the
  109. serious problem in the Magellan software caught before Atlantis' launch, noted
  110. in RISKS-8.67!) In the case of pairwise disagreement among both pairs, there is
  111. always the fifth, backup, computer, separately programmed.  As far as I know,
  112. the shuttles have never had to rely on the backup computer software, so it
  113. might be preferable to make processor replacements among the main four rather
  114. than resort to the backup...
  115.  
  116. ------------------------------
  117.  
  118. Date: Mon, 8 May 89 12:14:37 -0700
  119. From: mrotenberg@cdp.uucp [Marc Rotenberg]
  120. Subject: "Life's Risks: Balancing Fear Against Reality of Statistics"
  121.  
  122. Excerpted from today's New York Times:
  123.  
  124.   Is the slight risk of contracting cancer from Alar too high a price to pay
  125. for crisper apples?  Is the dramatic increase in milk production available
  126. through genetically engineered growth hormones worth the unknown risk to
  127. children's health?  If a few aging aircraft suffer explosive decompressions,
  128. should all old airlines be grounded?
  129.  
  130.   Risks to health and safety and the complex questions of public policy they
  131. create are seemingly everywhere these days.  And while there is little
  132. statistical evidence that the hazards of daily life are on the rise, a wide
  133. range of academic and business experts believe that American's perception of
  134. increased peril is stifling technology, wasting billions of dollars, and,
  135. ironically, making it more difficult to contain the most serious risks.
  136.  
  137.   ... by broad statistical measures, Americans have never been safer ...
  138.  
  139.   Even the high-profile threats have not changed the risks of untimely death or
  140. injury.  The skies may be crowded, the planes aging and the pilots
  141. inexperienced, but the trend in aircraft fatalities is downward. ...
  142.  
  143.   Life-saving medicines have been less dramatically affected, but even here,
  144. the measures to compensate for risk can radically change the economic of
  145. distribution ...
  146.  
  147.   The Environmental Protection Agency also regards itself as handicapped by
  148. Congressional and public misperception of relative risk. ...
  149.  
  150.   What explains the public's decreasing tolerance of some risks and apparent
  151. indifference to others? ... perceived risk is not always related to the
  152. probability of injury.
  153.  
  154.   Easily tolerated risks include ones that people can choose to avoid (chain
  155. saws, skiing), that are familiar to those exposed (smoking), or that have been
  156. around for a long term (fireworks).  Poorly tolerated risks are involuntary
  157. (exposure to nuclear waste), have long delayed effects (pesticides), or unknown
  158. effects (genetic engineering).
  159.  
  160.   ... nuclear and chemical technologies fare especially badly in such
  161. subjective rankings.  Indeed the general acceleration of technical change and
  162. integration of new technology in products helps to explain the increase in
  163. public anxiety about risk.  ...
  164.  
  165. ------------------------------
  166.  
  167. Date: Mon, 8 May 89 17:17 EDT
  168. From: "Jerry Leichter (LEICHTER-JERRY@CS.YALE.EDU)"
  169. Subject: Life's Risks ...
  170.  
  171. Today's New York Times (Monday 8 May) has a front-page article title "Life's
  172. Risks:  Balancing Fear Against Reality of Statistics".  It's the first of two
  173. articles on "risk and public policy".
  174.  
  175. The article is ... well worth reading.  Here's an interesting quotation:
  176.  
  177.   Peter W. Huber, and engineer, lawyer and author of "The Legal Revolution and
  178.   its Consequences" notes that ... "safety taxes" [extra costs charged by
  179.   suppliers to pay for potential lawsuits] are added to the price of thousands
  180.   of ... goods and services, distorting production and reducing living
  181.   standards.  By Mr. Huber's reckoning, the safety tax represents 30 percent of
  182.   the cost of a step ladder, one-third the cost of a ride on a Long Island tour
  183.   bus and $300 of the cost of giving birth in New York City.
  184.                                          -- Jerry
  185.  
  186. ------------------------------
  187.  
  188. Date: 7 May 89 22:44:01 GMT
  189. From: driscoll@draco.src.honeywell.com (Kevin Driscoll)
  190. Subject: Hear No Evil
  191.  
  192. On a recent flight, the cabin crew was a bit late in starting the in-flight
  193. movie.  The flight took less time than expected, so the movie's climactic
  194. showdown scene began just after plane touched down.  Many of the passengers
  195. became noticeably irritated at the flight attendants pre- and post-landing
  196. announcements which interrupted the movie's audio.  This was a tow-in gate
  197. so the engines were shut down well before arriving at the gate.  Without
  198. engine power, an APU supplies electrical power.  On the switch-over,
  199. however, the power glitch reset the audio channel controllers to the default
  200. channel (8) which is silent.  It is common on commercial aircraft to have
  201. "unimportant" control systems (such as the individual seat lighting and
  202. audio) reset on power glitches.  This is not a safety problem.  Is it?
  203.  
  204. When the audio went dead on this flight, most of the passengers didn't know
  205. what happened and pushed their flight attendant call buttons.  Same of the
  206. more irate passengers repeatedly pushed it, causing the alert tone to sound
  207. almost continuously.  (This was what I could see in first class. I can only
  208. imagine what was happening in the coach cabin where passengers had to
  209. explicitly pay extra for headsets and where there were more passengers.)
  210.  
  211. I would suspect that the official justification for the flight attendant
  212. call button system is to alert the crew to emergencies.  During this
  213. incident, any signaling of an emergency would not have been noticed.  I also
  214. suspect that a failure analysis of the audio system did not foresee the
  215. implications of a power glitch reseting the channel.  This is an example of
  216. the most common reason for safety problems; the designers don't see all the
  217. possible circumstances that the design will face, particularly where people
  218. are involved.
  219.  
  220. The fix to this problem is trivial; make the default channel one with some
  221. material on it, preferably one of the movie channels (1 through 4).  I
  222. wonder if the current design was to save some small amount of power.
  223.  
  224. Another disconcerting observation was that the cabin crew did not seem to
  225. understand what had happened either.  They seemed unable to help the
  226. passengers.  They made repeated visits to the passengers who contined to
  227. re-press their call buttons.  All that had to be done was to switch the channel
  228. back to where it had been.
  229.  
  230. Disclaimer:  I don't represent Honeywell, neither should Don Dodgen.
  231.  
  232. Kevin R. Driscoll, Principal Research Scientist  (612) 782-7263  FAX: -7438
  233. POST:  Honeywell M/S MN65-2500; 3660 Technology Drive; Mpls, MN 55418-1006
  234.  
  235. ------------------------------
  236.  
  237. Date:     Wed 03 May 1989 13:51 CDT
  238. From: Bob Barger <CFRNB@ECNCDC.BITNET>
  239. Subject:  Computer Ethics Course/Resource Volunteers Wanted
  240.  
  241. Two drafts of the following course were previously printed in RISKS digests.
  242. These brought a host of suggestions from readers. Almost all these suggestions
  243. were incorporated into the final version below. Volunteers are now being sought
  244. to participate in the course this Fall (see Section 3. b. 2. below). These
  245. volunteers could contribute items relating to computer ethics for posting on the
  246. class bulletin board, correspond by e-mail with individual students on course
  247. topics, and/or comment on students' postings on the class bulletin board.
  248. The course will run from late August to early December. No money is presently
  249. available as compensation for this service, but I will gladly contribute
  250. letters of appropriate recognition for those who participate as resource persons
  251. in all or part of the course. If interested, send a brief "vita" to Bob Barger
  252. at CFRNB@ECNCDC.BITNET.
  253.  
  254.  
  255.                           SENIOR SEMINAR
  256.                    EASTERN ILLINOIS UNIVERSITY
  257.  
  258. 1.  Catalog Description
  259.  
  260.    a. Course Number: EIU 4050
  261.  
  262.    b. Title: Computer Ethics
  263.  
  264.    c. Credit: 2-0-2    [2 hrs per week/one semester]
  265.  
  266.    d. Term to be offered: On Demand
  267.  
  268.    e. Short title: Computer Ethics
  269.  
  270.    f. Course Description: The course will investigate current
  271. ethical issues involving computers.  While it is not a "computer
  272. course," students will make frequent use of postings on the
  273. electronic bulletin board of the ECN mainframe computer to
  274. research and discuss ethical issues.
  275.  
  276.    g. Prerequisites: 75 Semester Hours and previous experience
  277. with computers. [Class size limit = 15 students for Fall, 1989,
  278. semester].
  279.  
  280.    h. Exclusions: None.
  281.  
  282. 2.  Outline of topics :
  283.  
  284.     Week        Topic
  285.  
  286.      1         Orientation to the course (introduction,
  287.                explanation of course content, class procedures,
  288.                and evaluation methodology). Consideration of
  289.                ethical theory: examination of the metaphysical
  290.                bases and resultant ethical norms of the idealist
  291.                and naturalist theories.
  292.  
  293.      2         Consideration of ethical theory (continued):
  294.                examination of the metaphysical bases and
  295.                resultant ethical norms of the consequentialist
  296.                and existentialist theories.
  297.  
  298.      3         On-line reading of the "Discussion of Ethics in
  299.                Computing" list, the "Forum on Risks to the Public
  300.                in Computers and Related Systems" digest, and the
  301.                "Computers and Society" list (all are available on
  302.                the ECN bulletin board); written reactions to
  303.                these readings, and written commentary on other
  304.                students' reactions. [The instructor will insure
  305.                that these activities equate to the activities of
  306.                a traditional two hour class meeting].
  307.  
  308.      4         Consideration of professional ethics:
  309.                responsibilities between employer/employee,
  310.                client/professional, professional/peer, and
  311.                professional/society.
  312.  
  313.      5         On-line reading of the "Discussion of Ethics in
  314.                Computing" list, the "Forum on Risks to the Public
  315.                in Computers and Related Systems" digest, and the
  316.                "Computers and Society" list (all are available on
  317.                the ECN bulletin board); written reactions to
  318.                these readings, and written commentary on other
  319.                students' reactions. [The instructor will insure
  320.                that these activities equate to the activities of
  321.                a traditional two hour class meeting].
  322.  
  323.      6         Consideration of liability for software design,
  324.                manufacture, and use: legal liability; truth-in-
  325.                advertising; contracts; warranties; software as
  326.                product or service?
  327.  
  328.      7         On-line reading of the "Discussion of Ethics in
  329.                Computing" list, the "Forum on Risks to the Public
  330.                in Computers and Related Systems" digest, and the
  331.                "Computers and Society" list (all are available on
  332.                the ECN bulletin board); written reactions to
  333.                these readings, and written commentary on other
  334.                students' reactions. [The instructor will insure
  335.                that these activities equate to the activities of
  336.                a traditional two hour class meeting].
  337.  
  338.      8         Consideration of privacy issues: individual
  339.                privacy rights; institutional "right-to-know"
  340.                concerns; system security concerns; data-banking
  341.                concerns.
  342.  
  343.      9         On-line reading of the "Discussion of Ethics in
  344.                Computing" list, the "Forum on Risks to the Public
  345.                in Computers and Related Systems" digest, and the
  346.                "Computers and Society" list (all are available on
  347.                the ECN bulletin board); written reactions to
  348.                these readings, and written commentary on other
  349.                students' reactions. [The instructor will insure
  350.                that these activities equate to the activities of
  351.                a traditional two hour class meeting].
  352.  
  353.      10        Consideration of power/control issues: the
  354.                computer as agent of centralization or
  355.                decentralization? the computer as agent of
  356.                conservation or change? the computer as agent of
  357.                alienation?
  358.  
  359.      11        On-line reading of the "Discussion of Ethics in
  360.                Computing" list, the "Forum on Risks to the Public
  361.                in Computers and Related Systems" digest, and the
  362.                "Computers and Society" list (all are available on
  363.                the ECN bulletin board); written reactions to
  364.                these readings, and written commentary on other
  365.                students' reactions. [The instructor will insure
  366.                that these activities equate to the activities of
  367.                a traditional two hour class meeting].
  368.  
  369.      12        Consideration of ownership and theft issues:
  370.                copyrights; fair usage; patents; trade secrecy and
  371.                competition; considerations unique to the computer
  372.                market.
  373.  
  374.      13        On-line reading of the "Discussion of Ethics in
  375.                Computing" list, the "Forum on Risks to the Public
  376.                in Computers and Related Systems" digest, and the
  377.                "Computers and Society" list (all are available on
  378.                the ECN bulletin board); written reactions to
  379.                these readings, and written commentary on other
  380.                students' reactions. [The instructor will insure
  381.                that these activities equate to the activities of
  382.                a traditional two hour class meeting].
  383.  
  384.      14        On-line reading of the "Discussion of Ethics in
  385.                Computing" list, the "Forum on Risks to the Public
  386.                in Computers and Related Systems" digest, and the
  387.                "Computers and Society" list (all are available on
  388.                the ECN bulletin board); written reactions to
  389.                these readings, and written commentary on other
  390.                students' reactions. [The instructor will insure
  391.                that these activities equate to the activities of
  392.                a traditional two hour class meeting].
  393.  
  394.      15        Seminar members will reconvene as a group for the
  395.                last meeting to allow for group reflection on the
  396.                seminar experience and course evaluation.
  397.  
  398.    Exam week   Final examination
  399.  
  400.     Writing component
  401.  
  402.    Students will type thirteen 30-to-50 line (i.e., one-to-two
  403.    page) reactions to the on-line electronic bulletin board
  404.    readings. Students will "post" these reactions (i.e.,
  405.    electronically send them to the mainframe computer bulletin
  406.    board set aside for members of this seminar). In their
  407.    reactions, students will: 1) identify the particular
  408.    publication or publications to which they are reacting, 2)
  409.    identify the particular issue or issues raised in the
  410.    publication(s), 3) identify the ethical implications of the
  411.    issue or issues, 4) identify the ethical paradigm used by the
  412.    author, 5) add their own reasons for agreement or disagreement
  413.    with the viewpoint of the publication's author, 6) and,
  414.    finally, offer an alternative solution or viewpoint to that
  415.    presented by the author, or present other appropriate
  416.    considerations not raised by the author or covered in their
  417.    own (i.e., the student's own) previous comments. The
  418.    instructor will send weekly, by confidential electronic mail,
  419.    a grade on the student's posted reaction, together with
  420.    whatever comments the instructor thinks helpful. The student's
  421.    original posted reaction will also be open to public comment
  422.    by the other students in the seminar [this is accomplished by
  423.    posting notes to the bulletin board, referencing the original
  424.    posted reaction]. These latter comments by the other students
  425.    in the seminar will be considered along with classroom
  426.    discussion in computing the "participation" factor of the
  427.    student's semester grade.
  428.  
  429.     Evaluation
  430.  
  431.    Each student's semester grade for the seminar will be
  432.    calculated according to the following weighted formula:
  433.  
  434.       - 13 posted reactions (at 5% each)    = 65%
  435.  
  436.       - Participation (based on class
  437.         discussion and posted comments
  438.         on other students' reactions)       = 20%
  439.  
  440.       - Final Exam                          = 15%
  441.  
  442. 3.  Implementation :
  443.  
  444.    a. This course will be taught by: Robert N. Barger, Ph.D.
  445.  
  446.    b. Materials in the course will include:
  447.  
  448.       1) Texts:
  449.          a) Deborah Johnson,  Computer Ethics  (Englewood
  450.             Cliffs, NJ: Prentice Hall, 1985)
  451.          b) Notes on Systematic Philosophies from Dr. Barger's
  452.             Philosophy 1800 class (furnished without charge to
  453.             seminar members)
  454.          c) Postings on the above-mentioned ECN electronic
  455.             bulletin board lists.
  456.  
  457.       2) Resource people: Computer professionals (e.g.,
  458.       administrators, systems analysts, programmers, etc.) will
  459.       be utilized as guest contributors to the class. This will
  460.       be accomplished by personal appearances, as well as by
  461.       electronically mediated conferencing (e.g., postings, e-
  462.       mail, relay round-tables, etc.).
  463.  
  464.    c. Exceptional costs: None, unless the student wishes to use a
  465.       modem to access the computer. In this case the student will
  466.       be responsible for any personal equipment costs and/or long
  467.       distance phone charges.
  468.  
  469.    d. Effective date: Fall, 1989.
  470.  
  471.  
  472.  Date approved by Senior Seminar Committee:  February 24, 1989.
  473.  
  474.  Date approved by Council on Academic Affairs:  April 20, 1989.
  475.  
  476. ------------------------------
  477.  
  478. End of RISKS-FORUM Digest 8.68
  479. ************************
  480. -------
  481.