Mötesanteckningar ordf Inga-Lill Bratteby-Ribbing, FMV: KC Ledsyst (018-120263, inga-lill.bratteby-ribbing@fmv.se)

IG Programvarusäkerhet: Möte # 16, 06-05-23

Antal mötesdeltagare: 7 (se aktuell medlemslista)

1
Mikroprojektet SäkAnalysMetoder:
a)
Underlag HAZOP-studie: Ordf sände ut följande material före mötet: Historik Räddningssyst, Funktionsbeskrivning ’Ejection system’ + Felhanteringssyst, Systbeskrivning (RaketstolEnvelop), Faktablad (HAZOP, Guidewords, GenHz-Checklist, GenSwHzList) samt Analysresultat (PHL_Eject, PHA_Eject).
b) HAZOP-inledning: Initiering, analysförutsättningar, analysgruppens roller, ingångsmaterial etc presenterades av Ordf: Med de begränsade insatser som en SESAM-studie innebär är det inte möjligt att uppfylla alla förutsättningar för en fram-gångsrik HAZOP, men övningen förväntades ändå ge en uppfattning om ingående aktiviteter, arbetsinsats, detaljeringsnivå, bruket av Guidewords etc. HAZOP bygger på en systematisk genomgång av systemets studienoder o detaljgranskning av dess parameterar för att (med hjälp av givna nyckelord) finna avvikelser från avsedd konstruktion och drift. Syftet med detta snabbprov (här utfört under ett enstaka mötestillfälle) var att se på vilket vis en HAZOP kan bidraga till att identifiera ytterligare riskkällor att infoga i den riskkällelista, som upprättades under PHL och kompletterades under PHA (den preliminära riskkälleanalysfasen). I detta fall begränsades provet till interaktionen mellan Ejection_System (här med automatisk utskjutning) samt systemets felhanteringssystem och lagringspool. Vi beslöt att studera dataflöde #7 (se bild i Felhanteringsystemet) och bygga upp (som del av de förberedande HAZOP-aktiviteterna) en specifik nyckelordstabell för detta flöde med utgångspunkt från den utdelade allmänna nyckelordslistan (se Guidewords). Vid nedbrytning av dataflödet tog vi även fram motsvarande tabell för parametergruppen ’Markvinkel, Höjd, Rollvinkel AntalPiloter’ etc samt specifikt för ett av flödesparametrarna, ’Höjd över mark’ (fil Guidew_EjectSyst_1). De förutsättningar vi antog under analysen tecknades ned i nyckelordsfilen före tabellerna. Därmed var manegen sopad för ett HAZOP-prov.
c) HAZOP-prov: Gruppen hann lagom inleda studien med att nyttja de specialtolkade nyckelordstabellerna och börja föra in identifierade avvikelser för parametern ’Höjd över mark’ i HAZOP-faktabladets tabell (HAZOP_Eject_1). Tanken är att de avvikelser som kan betraktas som riskkällor sedan förs över i PHA-listans riskkällelog. Vi beslöt att Ordf skriver rent de resultat som presterats under mötet för ytterligare kompletteringar bland mötesdeltagarna i en mailstafett.
d) Mailstafett: HAZOP-tabellen (HAZOP_Eject_2) sänds ut efter mötet för komplettering i följande ordning: Ordf, Forsell, Nummert, Koberstein, Pettersson, Persson. Då detta klart överförs nyidentifierade riskkällor till PHA:s riskkällelista.
2 Gripen MMI _ Systemsäkerhet: Johan Holmberg från Saab Aerosystems avd Human Machine Interaction redogjorde för JAS MMI ur två perspektiv; dels dess säkerhetskritiska aspekter, dels hur detta utformats för att övervaka säkerhetskritiska delar. MMI:t har en hel del redundans inbyggd: förutom systemdatorn, ytterligare 2 datorer med 2 skärmar vardera. Varje skärm har dessutom en egen dator. Flygdata visas på minst 1 display, där informationens kvalité indikeras (hög tillförlitlighet hos höjddata anges på ett sätt _ sämre på ett annat: t ex med blink). I nödnivå intar skärmarna (som har dag o nattinställning) nattläge. Varningstablåerna är kategoriserade efter funktion, där allvarlighetsnivå framgår. Svarta yta: inga varningar, grått: normalläge. Rött visar vad som är ur funktion, grönt vad som självläkt, följdfel undertrycks/gråas ut etc (jfr notis 1a från möte #11), icke-tillgängliga val döljs. Inprogrammerade checklistor ställer motfrågor till pilot vid onormala reglageinställningar (’Skall verkligen markkollisionsvarningen vara avstängd?’), Spärrar eller audiovisuella varningar vid farliga åtgärder (fällning av landställ i hög fart). Hjälp ges i riskfyllda situationer: Prator, fasta/blinkande varningar. Förarinstruktioner i realtid informerar om vad som är degraderat, ger direkta anvisningar (’Öka höjden’ är klarare än ’Du flyger på för låg höjd’). Pilar visar bästa förflyttning ur farlig situation osv. Ett väldokumenterad, ensat bruk av färger, symboler, placering (fart-attityd-höjd-kurs), felindikationer, varningshantering (prioritering-maskering-klassificering-förarkvittens) osv blir speciellt angeläget med tanke på de olika underleverantörerna. Givetvis görs viss kundanpassning, men i och med den tidiga realiseringen har man ej följt STANAG:s standarder. Som stöd för MMI-utformningen används ett 25-tal simulatorer, olika systemsäkerhetsanalyser, granskningar, tester, kabin-mockups/ systemriggar, pilotprov, operationell återmatning etc. Programvarutekniskt: flera steg/moment vid farlig aktivitet (spärr/ skyddslock + knapptryckning), delar av olika kritikalitet läggs i olika datorer (idag inga logiska partitioneringar, typ IMA).
3 Övrigt:
a) Lars Forsell, S&T, hälsades välkommen som ny medlem.
b) Nästa gruppmöte: 06-08-22 kl 9:00-16.30 på WTC, Saab Corporate, Kungsbron 1, Plan 6, Sthlm. Anmälan till grupp-mötet via mail till Ingemar Johansson senast fre 06-08-18 (cc till Ordf). Vi kommer att prova FMECA på ovan beskrivna Felhanteringssystem. Lars Forsell tar fram en lämplig modul som övningsobjekt och Ordf distribuerar nya faktablad inför mötet. Vi försöker även få med Thorvaldsson för senaste status betr flygstandarderna (DO 178C m fl).
c) Tack för ett bra möte!
Aktivitetslista IG Programvarusäkerhet
Nr
Klar till
Ansvarig
Mötesnotiser senaste möte (#15) 16.1 060531 Ordf
Bokning lokal nästa möte 16.2 060531 P Nummert
Agenda för nästa möte 16.3 060815 Ordf
Uppdatera studieunderlag (detaljer inför FMECA) 16.4 060509 Forsell, Ordf
Kompletteringar av HAZOP-tabell 16:5 060616 Se mötesanteckn:pkt 1c
Kontakta Mikael Thorvaldsson ang DO-178C-status etc 16:6 060630 Ordf
       
Riskkällelista över HW 15:6 060430 Strandberg
Transformera Event-tree-tabell till graf 15:7 060430 Strandberg
Kontakta Redmill om HAZOP-Oh till hemsida 15:9 060430 Ordf
Förteckn över innehåll i nödutrustning 15:11 060430 I Johansson
Förslag till kompletteringar av faktablad 15:12 060520 Alla
       
Studiematerial till hemsidan
14.5 060331 Ordf
Förslag på typexempel för STPA/STAMP-analys 14.8 06xxxx Alla
Kontakt med J Knight 14.9 06xxxx Ordf
       
Sammanställn av inkomna enkätsvar 8.4 041014 I Johansson+ Ordf
Kontakt med Dekker (1:a den 31/8, förnyad i januari) 8.6 060128 Ordf
Inventering av företagets MMI-metodik (papper till Johansson)
6.3
050331
Medl (se mikroprojektplan MMI-safety)