Mötesanteckningar ordf Inga-Lill Bratteby-Ribbing, FMV: KC Ledsyst (018-120263, inga-lill.bratteby-ribbing@fmv.se)

IG Programvarusäkerhet: Möte # 18, 06-10-03

Antal mötesdeltagare: 6 (se aktuell medlemslista)

1
Mikroprojektet SäkAnalysMetoder:
a) Resumé föreg analysmöte: Se mötesanteckningar #17 + Självstudiematerial.
b) Hemläxa: Ordf:s botanisering bland rapporterade FMECA-tillämpningar på renodlad programvara diskuterades. FMEA går att utföra såväl top-down som bottom-up. För programvara betonas, att det som går att analysera är programvarans (fel)beteende. Vidare att det är den funktionella FMEA-varianten som är tillämpbar. De exempel som återfanns rörde dock mest övergripande funktioner (före uppdelning i mjuk- resp hårdvara). Typiska felmod för programvara: stoppad exekvering/ systemkrasch, överskriden resursförbrukning, uppstartsproblem. Gruppen konstaterade, att dessa felmod är av generell karaktär, där programvarutekniken erbjuder andra, mer specifika o effektiva analysmetoder. Andra felmod kan vara, att utförd/överförd funktion/kommando/meddelande sker inte-alls, felaktigt,vid-fel-tidpunkt. I dessa fall ifrågasattes om FMEA tillför något utöver vad som går att få fram med HAZOP på olika interaktionsdelar.
c) Underlag FTA-studie: Ordf sände ut följande material före mötet: Faktablad FTA (ny), Riskkällelista PHA_Eject6_3 (där ytterligare riskkällor från HAZOP- resp FMECA-tabellerna lagts in). Under mötet: Artikel om Retrenchment (se 4a3).
d) FTA-inledning: Nummert presenterade metodiken utgående från en 2-dagarskurs (LinPro) samt H ProgSäk. Kursen fokuserade bl a matematiken o teorierna bakom FTA med exempel företrädesvis från kärnkraftssektorn och införde (som logiskt komplement till ett FT o dess CutSets1) begreppen SuccessTree (ST) o PathSets _det målträd analysen strävar att bringa designen mot. Diskussion visade att ingen tidigare stött på ST-begreppet i FT-sammanhang. Begreppet har ej heller påträffats hos gängse FTA-verktyg o –metodbeskrivningar (även koll efter mötet gav negativt resultat). Hemuppgiften att ta fram en ST ur identifierad FT enl 1e nedan befanns därmed ej meningsfull och har utgått.
e) FTA-Prov: Ett logiskt felträd/(vådahändelse _ systemmod) är nödvändig. Här begränsade vi oss till:
(e1) Topphändelse ’Oavsiktlig utskjutning’ vid systemmod ’Underhåll’ (Haz-27 i riskkällelista enl. 1c),
(e2) Fastlagd systemgräns (Ejection system).
(e3) Analysomfattning: (i) Stoppkriterium: där sannolikhetsbidraget försumbart, (ii) Minsta detaljeringsnivå:ej källkod.
Processen att bygga upp felträdet ledde till klargörande diskussioner o därmed ökad insikt om vilka delar som stod för de största riskbidragen i raketstolens utskjutningssystem. En grov skattning av nodhändelsernas sannolikheter (p) gjordes. Provet illustrerade en del av FTA:s styrkor även för programvara:
(i) utvärdering av dess bidrag till topphändelsen (t ex genom känslighetsanalys med ansatserna p=0 resp =1),
(ii) identifiering av de mest kritiska delarna (där designändringar nödvändiga),
(iii) indikation av var/hur risklindring kan åstadkommas (för CutSets _händelsekedjor mot toppen_ en strävan mot att ersätta eller-grindar med &-grindar o därmed en summa av sannolikheter med en produkt _givet oberoende delhändelser). Att införa diversitet (vilket motsvaras av &-grindar) är m a o ett effektivt sätt att minska riskbidraget från en kritisk programvarudel.
FTA-provet genomfördes ned till programvarunivå och bör ev. drivas vidare ned i programvarustrukturen vid ett senare tillfälle (givet tillräckligt detaljerat underlag kan tas fram). Ex där FTA tillämpats på programvara finns liksom mallar för vanliga språkelement (tilldelning, if, while, proceduranrop etc). Koberstein åtog sig att snygga till felträdet efter mötet.
2 Planering inför SESAM-genomgångar 06-10-25: Ett 2h-pass skisserades. Prel. fördelning av uppgifterna: Inledn 30 min (Ordf) + 5 st 15-min presentationer av PHL (Nummert), PHA (Pettersson), HAZOP (Persson), FMECA (Johansson), FTA (Nummert). Lämpligt stöd: årets mötesanteckn + självstudiematerial. Den som får förhinder ordnar en ersättare.
4 Övrigt:
a) SafeComp’06: Ordf gav ett smakprov från föreg veckas konferens:
(a1) ERCIM:s (European Research Consortium) arbetsgrupp DECOS (pålitliga inbyggda system) har nu en plattform för integrering av inbyggda, distribuerade realtidssystem med bl a ett OS som stödjer partitionering m a p olika kritikalitet (jfr ARINC 653 ) och tidsstyrd arkitektur/ kommunikation (TTA/TTP) med feltolerant meddelandehantering (felisolering, klocksynkronisering, kvittering, hälsokontroll etc). Tekniken används redan inom fordons-/järnvägssektorn och planeras för flyg (Airbus). Se uppdaterad hemsida (4c).
(a2) UML-HAZOP för generering av HAZOP-tabeller/-checklistor ur UML.
(a3) Retrenchment: en ny teknik för generering av felträd ur formella modeller av system samt felkällor.
(a4) Nästa års konferens: Nürnberg 18-21 sept (http://www11.informatik.uni-erlangen.de/safecomp2007).
b) Nästa gruppmöte: 06-10-25 kl 9:00-12.00 på WTC, Saab Corporate, Kungsbron 1, Plan 6, Sthlm.
Vi kommer att följa upp dagens FTA-prov samt köra en dry-run på e.m.-presentationerna. Därefter förflyttning till hotell Birger Jarl för SESAM:s gruppredovisningar kl 13-17, varefter deltagarna bjuds på middag.
Anmälan till förmiddagsgruppmötet via mail till Ingemar Johansson senast må 06-10-23 (cc till Ordf).
Anmälan till SESAM-e.m.-möte senast fre 06-10-25 till Anna Kåsjö.
c) Hemsidan: De uppdateringar Ordf färdigställt kommer att läggas ut 06-10-05.
d) OH:n visade under mötet finns som vanligt länkade till motsv dagordningspunkt (givet godkännande från författaren).
e) Tack för ett möte med givande diskussioner!
  Fotnot 1: CutSet, hindermängd: bashändelser som leder till att topphändelsen inträffar.
Aktivitetslista IG Programvarusäkerhet
Nr
Klar till
Ansvarig
Mötesnotiser senaste möte (#18) 18.1 061010 Ordf
Bokning lokal nästa möte 18.2 061010 I Johansson
Presentationsmaterial till SESAM:s gruppredovisningar 18.3 061024 Se mötespunkt #2
Uppdatering av självstudiematerial och medlemslista 18.4 061010 Ordf
Resulterande felträd i powerpoint 18:5 061010 Koberstein
Synpunkter på svenska SW Safety aktiviteter inför ISSC´07 17:6 061002 Samtliga
Riskkällelista över HW 15:6 060430 Strandberg
Transformera Event-tree-tabell till graf 15:7 060430 Strandberg
Kontakta Redmill om HAZOP-Oh till hemsida 15:9 060430 Ordf
Förteckn över innehåll i nödutrustning 15:11 060430 I Johansson
Förslag till kompletteringar av faktablad 15:12 060520 Alla
Studiematerial till hemsidan
14.5 060331 Ordf
Förslag på typexempel för STPA/STAMP-analys 14.8 06xxxx Alla
Kontakt med J Knight 14.9 06xxxx Ordf
Sammanställn av inkomna enkätsvar 8.4 041014 I Johansson+ Ordf
Kontakt med Dekker (1:a den 31/8, förnyad i januari) 8.6 060128 Ordf
Inventering av företagets MMI-metodik (papper till Johansson)
6.3
050331
Medl (se mikroprojektplan MMI-safety)