Mötesanteckningar ordf Inga-Lill Bratteby-Ribbing, FMV: GenProdstöd (018-120263, inga-lill.bratteby-ribbing@fmv.se)

IG Programvarusäkerhet: Möte # 22, 08-02-14
Antal mötesdeltagare: 7 (se aktuell medlemslista)
1
Nya medlemmar: Eva Jacobson från Sjöfart o marin teknik (Human Factors), Chalmers, hälsades välkommen.
2

Mikroprojektet SäkAnalysMetoder:
a) STPA/STAMP-metoden: Följande material hade sänts ut före mötet (ursprungligen planerat till 7 nov 2007):
i) Uppdaterade versioner av faktablad + mall för STAMP/STPA, ii) En sammanställning av olika haverirapporter över flygolyckan i Überlingen (19 s), iii) BFU:s haveriutredning (114 s), Grafer över händelseförlopp, aktörer o bakomliggande faktorer (4 bilder). Ordf gav en snabb presentation av tekniken. Till skillnad mot de klassiska analysmetoderna, som vid identifiering av riskkällor o olyckor fokuserar på gränssnitt, händelsekedjor resp komponenter, inriktar sig STPA mot de styr- o återmatningsloopar som förekommer i en systemhierarki – både på programvarunivå (i form av styr- o regler-loopar) och på organisatorisk nivå (såsom reglementen, ordergivning, bekräftelser, kvitteringar). Sambandet riskkälla-säkerhetskrav-säkerhetsrestriktioner, grundläggande styrmekanismer samt STAMPs 3 olika modelleringsvarianter illustrerades. Distinktionen mellan olika typer av återmatningsloopar (positiv, negativ resp fördröjd) samt effekten av dessa klargjordes. Medan STPA föreg gång provades som en riskkälleanalysmetod under systemuppbyggnad, var avsikten denna gång att tillämpa STAMP renodlat på en verklig olyckshändelse i en s k orsaksanalys (root cause analysis).

b) Händelseförloppet över Überlingen: Nummert redogjorde för omständigheterna den sista kvarten före olyckan, då två transitflyg i de övre luftlagren bringades in på kollisionskurs: Praxis betr arbetsfördelningen vid ATC Zürichs nattskift, innebar i princip en hopslagning av 5 roller till en (RP, RE, DL, ARFA, SYMA). Genomförandet av en sektoromläggning av de övre luftrummen den aktuella natten, gjorde att enbart vissa, funktionellt degraderade back-up-system var tillgängliga. Kunskapen om detta saknades delvis på ATC Zurich o helt i närliggande ATCer. Tillkomst av felfunktion hos kvarvarande telefonlina. Stressen i att trafikleda transitflyg i det egna, övre luftrummet samtidigt med att från annan konsol ta ned försenat flyg i den närliggande ARFAsektorn parat med tekniska, distraherande kommunikationsproblem. ATCOs okunskap om existensen av stödperson o extra mobiltelefon, vilken ledde till onödig fokusering på de tekniska problemen. Trafikledning av transitflygen utan vetskap om vilka TCAS-råd, som gavs i resp plan.

c) Interaktionen mellan stödsystem-flygplan-flygledarcentraler-organisationer/myndigheter: Koberstein gick igenom det analysunderlag han tagit fram före mötet med utgångspunkt från tillgängliga haveriutredningar: Timelines, Basic control structure, Detailed control structure ACC Zürich, Orsak-verkan graph.

d) Analysprov av STPA på exemplet: Inledningsvis kompletterades grafen ’Basic Control structure’ m a p styrmekanismerna mellan berörda myndigheter/organisationer, flygplanstillverkare, operatörer, piloter, stödsystem (antikollisions-systemet TCAS), ATCO, ATC-ledning. Här identifierades bristande samordning av rekommendationerna från normgivande internationella organisationer som ICAO o EUROCAE samt nationella luftfartsmyndigheter, framförallt beträffande motstridiga råd från TCAS o ATCO. Likaså att TCAS ej automatiskt delger berörd ATCO de råd TCAS ger i resp cockpit.
En styr- o återmatningsgraf upprättades även m a p de 5 roller, som ATCO Zürich påtog sig. I och med att dessa roller förenades i en o samma individ kom den säkerhetshöjande feed-back som en kontrollperson är tänkt att utöva på en utförande person att utebli. Dessutom provades den STAMP-variant, som avspeglar det driftsatta systemets dynamiska förändring i form av säkerhetsdegenererade beteendeförändringar hos organisation o personal samt de bakomliggande orsaker till dessa. En bra hjälp blev tidigare framtagen Orsak-verkan-bild (se punkt 1a) med olika färger/aspekt. Levesons olika exempel på denna typ av modellering antydde möjligheten av ett närmast schablonartat tillvägagångssätt. Angreppssättet under mötet blev därför, att utifrån Dulacs dynamiska modell över Columbia-olyckan se, om bakomliggande faktorer kunde omtolkas för Überlingenfallet. Detta visade sig framgångsrikt. Som typiska faktorer, giltiga för alla typer av olycks-scenarier, identifierades bl a complacency, performance pressure, oversight, budget, system safety effort, priority of safety programs etc. Ytterligare några faktorer identifierades, t ex situation awareness, quality of traning, competence, prestige, shortage of ATCOs, comfort. Mission success omtolkades till separation maintained (ytterligare framgångsfaktorer finns givetvis m a p ATCOs uppgifter). Ur denna dynamiska modellering över systemets tidsmässiga förändringar framkom, att kompletterande säkerhetsåtgärder och saknade feed-back-loopar skulle kunna identifieras. Ett antal frågeställningar till Leveson identifierades. Gruppen fick därför i uppgift att maila över ytterligare frågeställningar till Ordf, vilken samman-ställer dessa fvb Levesons i mitten av mars. Beslut fattades att fortsätta STAMP-proven nästa gång. Koberstein åtog sig att sammanställa dagens analysresultat i bildform.

3 Övrigt:
a) Nästa möte:
08-04-03 kl 09.00-17.00 WTC: forts STAMP på Überlingenkollisionen (utred hur förbättra).

b) Självstudiematerial: Ordf lägger i vanlig ordning ut uppdaterade faktablad på http://sesam.smartlab.se: ’Arbetsgrupper: Programvarusäkerhet: Teknik/Metodik. Sammanfattningen av utförda analysprov inom mikroprojektet ’SäkAnalys-Metoder’ under ’Utbildning och Kurser: Självstudiematerial: Systemsäkerhetsanalysmetoder’ kompletteras.

c) Återigen visade det sig, att med väl förberett material kan även en begränsad övning ge nya insikter!
Aktivitetslista IG Programvarusäkerhet
Nr
Klar till
Ansvarig
Mötesnotiser senaste möte (#22) 22.1 080307 Ordf
Uppdatering av självstudiematerial och medlemslista (v 1.7) 22.2 080307 Ordf
Analysresultat i bildform 22.3 080229 Koberstein, (Ordf)
STPA/STAMP-frågor 22:4 080314 Alla
Sammanställning o vidarebefordran till Leveson 22:5 080314 Ordf
       
Riskkällelista över HW 15:6 060430 Strandberg
Transformera Event-tree-tabell till graf 15:7 060430 Strandberg
Kontakta Redmill om HAZOP-Oh till hemsida 15:9 060430 Ordf
Förteckn över innehåll i nödutrustning 15:11 060430 I Johansson
Förslag till kompletteringar av faktablad 15:12 060520 Alla
Kontakt med J Knight 14.9 06xxxx Ordf
Sammanställn av inkomna MMI-enkätsvar 8.4 041014 I Johansson+ Ordf
Kontakt med Dekker (1:a den 31/8, förnyad i januari) 8.6 060128 Ordf
Inventering av företagets MMI-metodik (papper till Johansson)
6.3
050331
Medl (se mikroprojektplan MMI-safety)