Mötesanteckningar ordf Inga-Lill Bratteby-Ribbing, FMV: GenProdstöd (018-120263, inga-lill.bratteby-ribbing@fmv.se)

IG Programvarusäkerhet: Möte # 21, 07-10-12
Antal mötesdeltagare: 8 (se aktuell medlemslista)
1
Nya medlemmar: Lena Kinell o Per-Olof Jern (BAE Systems) samt Maria Torvad (Saab Microwave Systems) hälsades speciellt välkomna. Malin Fransson (Saab Aerosystems) avser också inträda efter avslutad studieperiod.
2 Mikroprojektet SäkAnalysMetoder:
a) Genomgång av STPA/STAMP: Sedan STAMP introducerades 2002 som ny teknik vid olycksutredningar har metoden vidareutvecklats till att även kunna användas proaktivt genom STPA, en riskkälleanalys att tillämpa under design. I den introduktion till metoden som gavs vid möte 4 o 5 (hösten 2003) illustrerades dess styrka vid utredning av bl a friendly-fire-olyckan i Irak 1994 samt Ontario:s vattenförgiftning 2000 (se länkar från motsv dagordning, http://sesam.smartlab.se: ’Arbetsgrupper: Programvarusäkerhet: Möten). Tekniken har sedan dess strukturerats upp betydligt o Ordf drog denna gång en snabbvariant av Leveson’s 1-dagstutorial (222 bilder på 56 Mb, se http://sunnyday.mit.edu/issc ). Dessa bilder får användas, om bruket enbart avser ’any non-commercial (non-profit) activity’, givet att copyright respekteras. Ovanst länk leder även till Leveson´s nya bok , ’A new Approach to System Safety Engineering’ med beskrivning över bl a STPA (obs 310 sid). Förutom detta finns det faktablad med tillhörande mall, som Ordf sammanställde o distribuerade före mötet. Ytterligare studiematerial finns från Leveson’s egna kurser fritt tillgängligt på http://ocw.mit.edu/OcwWeb/Aeronautics-and-Astronautics/16-358JSpring-2005/CourseHome/index.htm.

b) Presentation av typexemplet: Koberstein gick igenom tidigare utsänt underlag ang konventionella resp adaptiva fart-hållare (se http://auto.howstuffworks.com/cruise-control.htm samt Levesons ‘Adaptive Cruise Control, System Overview’) samt de bilder han sammanställt över ACC-tillämpningen (länkad från dagordningen på SESAM:s hemsida).

c) Analysprov av STPA på ACC: Med utgångspunkt från faktabladet inleddes en STPA-analys på ACC för inmatning i framtagen STPA-mall. Gruppen konstaterade, att de inledande punkterna (identifiering av ACC-krav, identifiering av riskkällor samt omformulering av framtagna riskkällebeskrivningar till nya säkerhetsrestriktioner) är tämligen ordinära i så måtto, att de även ingår i de traditionella systemsäkerhetsanalysmetoderna. Mer specifik är genomgången av designen för varje komponent m a p dess styrmekanismer, för att identifiera ev. brister hos dessa (missad feedback, styråtgärd utövad vid fel tidpunkt etc). Tekniken avslöjar därmed andra typer av riskkällor än de, som kan identifieras med övriga analys-metoder och resulterar följaktligen i andra typer av designförändringar. Tiden medgav inte någon fullständig analys. Dock märktes snabbt, att valt tillämpningsexempel inte ger en rättvisande bild över metodens verkliga styrkor o särdrag. Framför allt gäller detta system-av-system o de olika typer av reglerloopar (styrning o återmatning), som varje nivå i en systemhierarki utövar på den närmast underliggande nivån (jfr friendly-fire-exemplet) samt möjligheten att även adressera organisatoriska aspekter o driftsmässiga föreskrifter (jfr Ontario-fallet). Gruppen beslöt därför att påföljande gång prova tekniken på ett lämpligare exempel; flygolyckan i Überlingen 2002, förorsakad av motstridiga order från flygtrafikledning resp TCAS (planens antikollisionssystem). En skiss finns i Levesons tutorial (bild 125) över involverade instanser (ATC:er, flyg etc) med grundläggande styrmekanismer för kommunikation mellan dessa. Ett omfattande material finns även på weben (BFU-rapport, Wikipedia, osv). Nummert o Koberstein lovade bistå i urval, komplettering o distribution av underlag inför nästa mötes STAMP-analys.
3 Övrigt:
a) Kurser:
07-10-30 –31: ’Produktansvar & produktsäkerhet’ (IBC) ,07-11-08:’Teknikläget idag för NBF i en interoperabel miljö’ (SESAM), 07-12-05: ’Programvarusäkerhet & H ProgSäk’ (FMV), 08-01-20 –25: ’System Safety Methods’ (Syntell), våren -08: Leveson-seminarium (SNSS), ’Safety-critical certification with Model Driven Development (Telelogic webkurs). Mer info om dessa går i regel att googla fram på weben.

b) MIL-STD-882E (enl Trish Huheey 07-08-14): 882 skall integreras som del av ESOH (Environment Safety and Occu-pational Health), en mer övergripande standard som brottas med div. problem (t ex att reducera användningen av volfram). Till draften 882E DoD acq ASOH av den 6 jan erhölls > 400 kommentarer. 882D skall utgöra baseline, där man avser lägga tillbaka en del tasks från 882C. Senaste 882E var på 114 sid (mot baseline’s 26). IPT 882 jobbar på App A+B. Ett problem, som nämndes, var att risksummeringen inte är tillräckligt mogen. Någon tidsplan kunde T.H. ej ge.

c) DO-178C: Läget för arbetet med 178C, 248C samt 278A framgår av www.rtca.org under RTCA Committees, SC-205 Software Considerations.

d) Nästa möte: 07-11-07 kl 8.30-13.00 WTC: STAMP på Überlingenkollisionen. Fortsättning på hotell Birger Jarl för gruppredovisning kl 14.30-17.30, därefter middag (gratis). Det här blir ett gyllene tillfälle för den som inte kunde deltaga i dagens prov av STPA för riskanalys under designutveckling. För de som kunde deltaga, ger detta möjlighet att prova STAMP, denna gång som haveriutredningsteknik på en ny tillämpning. F.m.-mötet anmäls till Ingemar Johansson senast 5/11, e.m.-mötet till Kåsjö med uppgift om kaffe och/eller middag senast 31/10.

e) Planering SESAM-redovisning: Allmän genomgång av STPA (Ordf), presentation av tillämpningsex:et ACC/ATC (Koberstein) samt STPA-analys (upprepning från något av proven 12/10+7/11), där samtliga (även övriga åhörare) del-tar/diskuterar. Intressant blir att se i vilken mån analysresultaten förändras i ett nytt, större forum.

f) Självstudiematerial: Nyframtagna faktablad läggs i vanlig ordning ut på http://sesam.smartlab.se: ’Arbetsgrupper: Programvarusäkerhet: Teknik/Metodik. En sammanfattning av utförda analysprov inom mikroprojektet ’SäkAnalysMeto-der’ finns under ’Utbildning och Kurser: Självstudiematerial: Systemsäkerhetsanalysmetoder’.

g) Ordf tackade för ett intressant möte: lärorikt o spännande inte minst p g a oväntade resultat!
Aktivitetslista IG Programvarusäkerhet
Nr
Klar till
Ansvarig
Mötesnotiser senaste möte (#21) 21.1 071028 Ordf
Uppdatering av självstudiematerial och medlemslista (v 1.6) 21.2 071028 Ordf
Underlag + nytt tillämpnex (Uberlingen) till STPA-prov 7/11-07 21.3 071031 Nummert, Koberstein, (Ordf)
Uppdatering av STPA/STAMP-faktablad o mall. 21:4 071028 Ordf
Riskkällelista över HW 15:6 060430 Strandberg
Transformera Event-tree-tabell till graf 15:7 060430 Strandberg
Kontakta Redmill om HAZOP-Oh till hemsida 15:9 060430 Ordf
Förteckn över innehåll i nödutrustning 15:11 060430 I Johansson
Förslag till kompletteringar av faktablad 15:12 060520 Alla
Kontakt med J Knight 14.9 06xxxx Ordf
Sammanställn av inkomna MMI-enkätsvar 8.4 041014 I Johansson+ Ordf
Kontakt med Dekker (1:a den 31/8, förnyad i januari) 8.6 060128 Ordf
Inventering av företagets MMI-metodik (papper till Johansson)
6.3
050331
Medl (se mikroprojektplan MMI-safety)