Mötesanteckningar ordf Inga-Lill Bratteby-Ribbing, FMV: KC Ledstöd (018-120263, inga-lill.bratteby-ribbing@fmv.se)

IG Programvarusäkerhet: Möte # 11, 05-04-27

Antal mötesdeltagare: 10 (se medlemslista).

1 MMI-inventeringarna: a) Koberstein: En designstrategi tillämpbar på varningssystem för att undvika att operatör överlastas av en kaskad sekundärlarm (dvs varsel om sekundärfel som följd av annan, primär felkälla): Gradering o prioritering av felhändelser samt åtföljande varningar efter allvarlighetsgrad. Skärmlayout med ’svart skärm’ i normalläge. Vid kritisk händelse understöd av rätt åtgärdsordning genom indikering av huvudfelkälla o maskering av följdfel tills op åtgärdat + kvitterat huvudfelet. b) Kompletterande redovisningar från Arnmark, Nilsson, Persson o Strandberg lämnas vid nästa möte. c) Ordf har sammanställt en mikroprojektplan för MMI-studierna, vilken sänds till deltagarna för godkännande före vidarebefordran till Curt Merkell.
2
Pågående mikroprojekt: Högström redogjorde för upplägget av ett mikroprojekt för automatisk kodgenerering av kritiska system bl a genom jämförelser mellan Rhasody i Ada (baserad på UML)och SCADE (med bl a plug-ins för formell verifiering). Även andra verktyg, t ex Matrix X/SystemBuild övervägs (ev. fler förslag från tillkommande deltagare i projektet). Här finns möjlighet att till en relativt liten insats från varje enskild deltagare kunna genomföra mer omfattande jämförelser o få fram intressanta resultat. Inledning genom litteraturstudier, översikt o prov, för att finna styrkor, svagheter etc. Ordf påminde även om SESAM:s övriga mikroprojekt.
3 Hur mappa programvarans kritikalitet i systemets riskmatris?
a)
Persson inledde denna diskussionspunkt genom att visa några olika angreppssätt: Ett var att mappa programvarans kritikalitet (t ex H, M, L) 1-dimensionellt, dvs enbart på systemmatrisens konsekvenser (i stället för på kombinationer av konsekvens + frekvens klassade som ej-tolerabla, begränsat-tolerabla, resp tolerabla). Detta innebär i princip att frånhända sig möjligheten att genomföra en kostnadseffektiv riskreducering genom att i första hand reducera de mest frekventa katastrofala kombinationerna (i stället för samtliga katastrofala oavsett inträffandefrekvens). Ett annat angreppssätt är inspirerat av tabell 8 i föreg utgåva av 00-56 (senaste utgåva har helt övergivit SIL-begreppet). Detta tillåter att viss funktionalitet kan implementeras av flera komponenter av lägre kritikalitetsgrad. Principerna bakom detta är något som framgår av FMV:s heldags-seminarier i Sw Safety (samt H ProgSäk). b) Koberstein visade exempel på de problem som uppstår vid försök att jämföra/ bedöma/ mappa systemdelar utvecklade efter olika systemsäkerhetsstandarder (+ tidigare versioner av samma std) o dess skilda kritikalitetsbegrepp, något som drabbar såväl kund (med leverantörer från olika länder) som leverantör (med kunder i olika länder). I realiteten kan man tvingas ta till någon slags jämförelse även om detta egentligen inte är möjlig, vilket ofta leder till diskussioner o oenighet om vilken kritikalitet enskilda systemdelar egentligen har. c) Diskussionspunkten fortsätter nästa möte med synpunkter från fler gruppmedlemmar samt med urval från FMV-sem.
4 Kritikalitetsbegrepp i Def(Aust)5679: Denna punkt tas upp vid nästa möte (p g a återbud).
5 Ett samlat säkerhetsbegrepp: Ahlenius redogjorde för en ansats till ett gemensamt betraktelsesätt för projektsäkerhet, systemsäkerhet samt IT- o informationssäkerhet framlagd vid Imentums o Syntells aprilseminarium med bl a en generisk säkerhetscykel (snarlik Shewharts/Demmings cykliska Plan-Do-Check-Act diagram), hotanalyser etc. Ordf tipsade om tidigare ansatser (t ex EU:s Squale-projekt) samt pågående forskning inom Dependability (Safety, Security, Availability, Reliability).
6 Kommande standarder: Ordf gav en översikt över några tongivande systemsäkerhetsstandarder, hur dessa skiljer sig betr säkerhetsinriktning, kritikalitetsbeteckningar, begreppsinnebörd, knytningar till nationella förordningar, vilka standarder som nyligen uppgraderats (DS 00-56 utg. 3 som även ersätter DS 00-55) samt vilka som är under översyn (Mil Std 882E, ISO/IEC 61508, Do-178C). Dessa skillnader innebär problem i och med att det inte går att jämföra eller upprätta konverteringstabeller mellan de olika standardernas kritikalitetsmått (illustrerat av Koberstein, se 3 ovan).
7 Mot nästa flygstandard: Mikael Thorvaldsson berättade om Eurocae/RTCA:s uppgradering av flygstandarden DO-178, vilken även kommer att inkludera markbundna anläggningar, dvs DO-248/278. Arbetet utförs i 7 undergrup-per om totalt 300 pers, där Mikael ingår i SG7: Safety related considerations, CNS/ATM, COTS etc. Klart 2008.
8 Övrigt: Säkerhetskritiska data, infokällor, informationscentraler: Datadrivna säkerhetskritiska system bygger på data vars relevans kan vara avgörande för systemsäkerheten, ofta framtagna vid sidan av koden o utan samma krav på stringens när det gäller konsistenskontroller, granskningar, VoV etc. som säkerhetskritisk kod (DO-178 har fokus enbart på kod). Det kan vara frågan om system konfigurerade för aktuell kund/uppdrag/omgivning m h a skriptfiler på tusentals parametervärden eller specificering av den regionala terrängen (minimal flyghöjd, inflygningssektorer, landningsbanor, etc) m h a hundratals tabeller på 5-6 tusen värden var. Ordf refererade den forskning Dr J Knight bedriver i formell data-specifiering (med informell tolkning för ökad förståelse) vilket möjliggör formell verifiering. Området har betydelse bl a för olika lednings- o insatssystem o skulle därför kunna utgöra ett lämpligt studieområde för gruppen.
Kurser/ Nätseminarier: Human Factors in Flight Safety and Accident Investigation 6/6-11/6, Video-seminarium av Sidney Dekker www.eframe.se/kunder/flygtorget/pptsidney.htm.
TTG-ILS-Systsäk: Lars Fransson förestår denna nybildade undergrupp inom Saab-företagens interna kompetensnätverk o har inlett arbetet med att ta fram en koncerngenerisk systemsäkerhetspolicy.
Nästa möte: 05-09-01 kl 9:30-17:00 på WTC, Saab Corporate, Kungsbron 1, Plan 6 (VIP-rummet), Sthlm. Forts av punkt 1,3,4 ovan. Ny diskussionspunkt: Organisationsaspekter Systemsäkerhet-Programvarusäkerhet (Eliasson), m.m. Anmälan till Ingemar Johansson senast må 29/8 med cc till Ordf.
Speciellt tack riktades till mötets inbjudna gäster, Mikael Thorvaldsson samt Lars Fransson.
Aktivitetslista IG Programvarusäkerhet
Nr
Klar till
Ansvarig
Mötesnotiser senaste möte (#11) 10.1 050515 Ordf
Microprojektförslag till Curt Merkell 10.2 050215 Högström resp Ordf
Extrakt ur FMV:s Sw Safety seminarium 10.3 050901 Ordf
Förberedelser av diskussionspunkter 10.4 050901 Persson, Eliasson, Nummert
Sammanställn av inkomna enkätsvar 8.4 041014 I Johansson+ Ordf
Kontakt med Dekker 8.6 050228 Ordf
Inventering av företagets MMI-metodik (papper till Johansson)
6.3
050331
Medl (se mikroprojektplan)