Betrouwbaarheid is ontworpen wantrouwen
Complexe systemen falen altijd. Dat is geen pessimisme. Het is een natuurwet. Reliability Engineering is geboren in de luchtvaart, defensie en ruimtevaart — niet uit academische nieuwsgierigheid, maar uit noodzaak. Wanneer mensenlevens afhankelijk zijn van elektronica, software en hydraulica, wordt optimisme gevaarlijk.
Mijn carrière in de storage-industrie leerde mij dat dezelfde wetmatigheid geldt wanneer niet alleen levens, maar ook data en bedrijfscontinuïteit op het spel staan. Availability is geen feature. Het is een randvoorwaarde. Net als in de luchtvaart werd in de wereld van data-opslag redundantie doctrine. Net als bij fly-by-wire systemen — digitale besturing in plaats van mechanische kabels — worden signalen meervoudig uitgevoerd. Communicatiepaden zijn dubbel uitgevoerd. Controllers controleren elkaar continu. Vertoont één kanaal afwijkend gedrag, dan wordt het geïsoleerd. Niet na een crash. Tijdens operatie.
Een moderne storage-omgeving is geen systeem dat simpelweg “werkt”. Het is een systeem dat zichzelf permanent verifieert. Replicatie, failover, checksums en logging bestaan om afwijkingen zichtbaar te maken. Testen is geen fase. Het is een permanente toestand.
Beschikbaarheid is niet genoeg
Maar beschikbaarheid alleen is niet voldoende. Data moet niet alleen toegankelijk zijn — ze moet ook integer zijn. Ongewijzigd, onaangetast en vertrouwbaar. Soms is het onderscheid tussen data en leven kunstmatig. Wanneer tijdens een medische operatie de data-voorziening uitvalt, wordt onbeschikbaarheid direct levensbedreigend. Wanneer hulpdiensten onverwacht de toegang tot essentiële informatie verliezen, kan dat mensenlevens kosten. Maar wanneer data wél beschikbaar is en ongemerkt gemanipuleerd blijkt, kan de schade minstens zo groot zijn. Wat niet beschikbaar is, verlamt. Wat niet integer is, misleidt.
In moderne oorlogsvoering moet defensie continu beschikken over betrouwbare, integere data. Niet alleen toegang, maar zekerheid. Ook daar is falen geen vraag of. Alleen wanneer. En daar wordt betrouwbaarheid strategisch. Wanneer kritieke data-infrastructuren afhankelijk zijn van externe leveranciers, ondoorzichtige ketens of gecentraliseerde controle, zijn zowel beschikbaarheid als integriteit kwetsbaar. Een systeem dat zijn eigen continuïteit én betrouwbaarheid niet kan garanderen, kan zijn autonomie niet waarborgen.
Betrouwbaarheid is dan geen optimalisatie. Het is een voorwaarde voor soevereiniteit.
De digitale wereld dacht dat ze anders was
In cyberspace zijn we minder streng geweest. We hebben infrastructuren gebouwd op snelheid, schaal en efficiëntie. Cloudplatforms groeiden sneller dan governance kon bijbenen. Software werd continu uitgerold, maar zelden continu getest op systeemniveau. Logging werd een bijzaak — terwijl het in feite de black box van onze digitale wereld had moeten zijn. We hebben uptime verward met betrouwbaarheid.
En ondertussen zijn we een digitale oorlog ingerold zonder een eigen digitale oorlogsindustrie te bezitten. Kritieke infrastructuur draait op buitenlandse hyperscalers. Hardwareproductie is uitbesteed. Kernsoftware is afhankelijk van mondiale ketens. Digitale soevereiniteit blijkt een kwetsbare constructie. Betrouwbaarheid is daarmee geen technische optimalisatie meer. Het is een geopolitieke voorwaarde.
Dat betekent ook: kunnen terugvallen. Op eenvoudiger systemen. Op gescheiden netwerken. Op een tweede of derde laag van zekerheid wanneer het primaire systeem uitvalt — of doelbewust wordt afgesloten. Getrapte zekerheid in plaats van binaire afhankelijkheid. Een volwassen infrastructuur kent altijd een fall-back. Desnoods analoog. Niet uit nostalgie, maar uit strategisch realisme. Fail-safe is geen eigenschap van één systeem, maar van een architectuur die meerdere werkelijkheden kan dragen — digitaal waar mogelijk, eenvoudiger waar noodzakelijk.
Testen als permanente parallelle realiteit
Echte reliability betekent dat je systeem nooit “af” is. Het bevindt zich permanent in een parallelle testfase. Dat idee is in de ICT-wereld teruggekeerd onder nieuwe namen: observability, continuous monitoring, chaos engineering. Maar de principes zijn oud. In aerospace en defensie weet men al decennia dat logging essentieel is. De flight data recorder — de black box — registreert niet alleen wat misgaat, maar ook wat goed gaat. Juist om afwijkingen vroegtijdig te detecteren en te weten dat iets niet (meer) klopt.
Wanneer logging intelligent wordt — wanneer AI patronen herkent die voor mensen onzichtbaar blijven — ontstaat iets fundamenteel nieuws: ‘continuous testing’ op systeemniveau. Niet alleen controleren of een functie werkt. Maar controleren of het systeem zich nog gedraagt zoals ontworpen. Inclusief de fouten. De kern van procesgerichte kwaliteitsborging. Meten van non-kwaliteit. Immers als kwaliteit de norm en dus vanzelfsprekend is, kun je alleen nog maar de afwijkingen, de fouten, de non-kwaliteit meten.
Dat laatste is cruciaal. Een goed ontworpen systeem bevat expliciet gedefinieerde foutcondities. Als een gebruiker iets verkeerds doet, moet een voorspelbare fout optreden. Als die fout níet optreedt, is dat een alarmsignaal. Want dan wijkt het systeem af van zijn ontwerp. AI maakt het mogelijk om dit continu te toetsen. Parallel. Op schaal. Zonder dat het primaire proces wordt stilgelegd. Je systeem draait dan feitelijk in twee werkelijkheden tegelijk: de operationele realiteit en de verificatierealiteit. Als een digital twin, maar dan beiden digitaal.
Gecontroleerd falen als strategie
Chaos engineering klinkt modern, maar het principe is oud. In defensiesystemen worden red teams ingezet om kwetsbaarheden bloot te leggen. In ruimtevaartprogramma’s worden subsystemen getest tot ze breken — op de grond, niet in de lucht. Gecontroleerd falen is geen zwaktebod. Het is een vorm van strategisch realisme. Het sluit naadloos aan bij het idee van antifragiliteit waar ik eerder over schreef: systemen die sterker worden door blootstelling aan stress. Maar antifragiliteit zonder reliability is roekeloosheid. Eerst moet het systeem zijn faalgrenzen kennen. Pas daarna kan het gecontroleerd worden belast. Dat betekent: verstoren om te leren. Simuleren om te begrijpen. Testen om soeverein te blijven.
Reliability Engineering is een discipline binnen systems engineering. Het kijkt niet naar losse componenten, maar naar interacties, afhankelijkheden en keteneffecten. In onze digitale infrastructuur zijn single points of failure eerder regel dan uitzondering. Centrale identity-providers. Monoculturen in software. Globale updates die wereldwijd identieke kwetsbaarheden introduceren. Wanneer we digitale soevereiniteit serieus nemen, moeten we reliability positioneren als kerncompetentie. Niet als compliance-checklist. Niet als IT-bijlage. Maar als strategisch ontwerpprincipe.
Complexiteit vraagt volwassenheid
Complexe systemen falen altijd. Maar volwassen systemen falen gecontroleerd. Ze loggen. Ze testen. Ze simuleren hun eigen ondergang — om die te voorkomen. Misschien is dat de echte les uit de ruimtevaart, de luchtvaart en de storage wereld. Niet dat techniek onfeilbaar kan worden. Maar dat betrouwbaarheid voortkomt uit georganiseerd wantrouwen. Vindt de minimale non-kwaliteit die ergens altijd nog aanwezig zal zijn.
In een wereld waarin digitale infrastructuur een slagveld is geworden, kunnen we ons geen naïviteit meer permitteren. Zelfs de kleinste systeemfout zal gevonden worden, dus moeten we hem zelf vinden. Betrouwbaarheid is geen luxe. Het is geen optimalisatie. Het is de voorwaarde voor autonomie. En misschien zelfs voor vrijheid.
Door: Hans Timmerman (foto)
