Mötesanteckningar ordf Inga-Lill Bratteby-Ribbing, FMV: GenProdstöd (018-120263, inga-lill.bratteby-ribbing@fmv.se)

IG Programvarusäkerhet: Möte # 23, 08-05-13
Antal mötesdeltagare: 6 (se aktuell medlemslista)
1
Dagordning: De mötesanteckningar o självstudiematerial, som getts ut, tar visserligen tid att sammanställa, men fyller en bra funktion. Därför önskade deltagarna att dessa tas fram även i fortsättningen. Ny ’Övrig’-punkt: ’Success Case’.
2

Mikroprojektet SäkAnalysMetoder: Ingångsmaterial till detta möte var resultat från föreg. analysmöte (utsänt två månader före). Ordf, Koberstein o Nummert gav en resumé av STAMP/STPA-metoderna, skillnaden mellan dessa, Überlingenolyckans händelseförlopp/ aktörer / bakomliggande faktorer, analysresultat samt frågor översända till Leveson.

a) Fortsatt analysprov: Kompletteringar av resultat från föreg analysmöte: (a1) Bild ’Static Control Structure’: Tekniska supportgruppen tillagd. Poängtering av den bristande samordningen i styrningen från de normgivande (inter)nationella organisationerna (typ: ICAO, EuroControl). Tillägg av den återmatning som sker till dessa o till stödsystemstillverkare (t ex TCAS-fabrikanten) från berörda flygoperatörer, flygledarcentraler, etc. Den ’balanseringsloop med fördröjd verkan’ som hör till STAMP-varianten ’Behavioural Dynamics’ befanns här användbar för att visa att den styrning o återmatning som sker mellan normgivare-stödsystemstillverkare och berörda ATC(O):s är en ytterst långsam loop.
(a2) Bild ’Dynamic Control Structure’: Förtydligande betr styrningen från SYMA (no briefings) samt utebliven begäran om stöd tillbaka (no consultation). (a3) Bild ’Behavioural Dynamics’: Diverse omstruktureringar: Faktorn ’Comfort’ som effekt av ’Complacency’ med verkan på ’#Active persons/night’ samt vidare till ’Performance pressure’. Exemplifiering av ’External pressure’. Omtolkning av ’Mission success’ (riskkällans motsats) till ’Separation maintained’, ’Safe approach’, ’Situation awareness’ osv. Betydelsen av CoC:s uteblivna riskanalys m a p SMOP (av tidsskäl avstod mötet från att identifiera ytterligare brister hos CoC). De resulterande graferna användes till att påbörja en tabell över Riskkälla–Säkerhetskrav–Designrestriktioner–Risklindringar (endast 1:a o sista kolumnen fylldes i).

b) Bra STAMP-underlag: Givetvis intervjuer, haveriutredningar etc, men även Cause-effect grafer, Timelines för kartläggning av förloppet strax före en olycka etc (vilka i egentlig mening ej är ingredienser i STAMP-metodiken).

c) Nytta/fördelar med STAMP/STPA: (c1)
Gemensamt för samliga STAMP-varianter (se faktablad) är, att de genom sin analys av styrmekanismerna på olika nivåer, leder till att en ny typ av riskkällor lyfts fram. (c2) Tekniken kan med fördel kombineras med andra grafer (se 2b) o skall ses som ett komplement till de traditionella systemsäkerhetsanalysmetoderna. (c3) Behavioural Dynamics: erbjuder möjlighet att uttrycka vilka förändringar över tiden som kan påverka säkerheten (bl a genom den praxis, som kan ha utvecklats). (c4) De förstärknings-, dämpnings- resp. fördröjningsloopar, som tillhör denna variant, kan i vissa fall vara väldigt illustrativa även i STAMPs mer statiska varianter (se 2a1 ovan). (c5) Förutom att nyttja kunskapen om bidragande faktorer till ett olycksförlopp vid förslag till risklindrande åtgärder, kan denna graf även användas som underlag vid konstruktion av träningssystem (för att simulera stresshöjande och oönskade situationer).

d) Brister med STAMP/STPA: (d1) Trots att de tre olika varianterna på STAMP/STPA-teknik är väldigt åskådliga, krävs en hel del förklaringar till de resulterande grafer, som kommer fram ur analysen. (d2) Behavioural Dynamics: Även om det går att finna ett bra angreppssätt på hur denna typ av graf kan tas fram (se anteckningar från möte 22), kan valet av faktorer bli tämligen subjektivt. (d3) Vissa identifierade faktorer platsar egentligen på flera ställen i grafen: att försöka avspegla detta skulle dock leda till försämrad översikt/strukturering.

e) Oklara punkter/ Levesonfrågor: Vilka tillämpningar finns inom industrin av STAMP/STPA? Hur avgör man att en analys är komplett o korrekt? Vilken styrmekanism är mest angelägen att i första hand åtgärda? Vilket verktygsstöd finns? Hur kan graferna förfinas/detaljeras?

3 Övrigt:
a)
Tips, kurser, seminarier: (a1) Strandbergs lästips: länken till artikeln ’The Cost of Safety’. (a2) Närliggande kurser: SESAMs Leveson-seminarium 21-22/5, Human Factors in Flight Safety 2-7/6. (a3) Genomgångna kurser: Perssons intryck från Syntells januarikurs i komplexa säkerhetskritiska programvarusystem: Bra när det gäller systemsäkerhet i allmänhet, men eftersom programvarusystem ej berördes specifikt, blev kurstiteln missvisande. Nummerts referat av Eurocontrols lansering av Success Case (en motvikt till Failure Case): en Safety-case-inspirerad argumentation med syfte visa att en ny systemlösning (ACDM) är minst lika säker som tidigare lösning (preCDM).

b) SESAMs fortsatta verksamhet: Denna grupp är den enda av de 3 ursprungliga, som återstår inom SESAM (hemsidan nu också anpassad därefter). Vid SESAMs strategimöte den 13/3 diskuterades därför hur SESAM bör drivas vidare. Det framkom att medlemsföretag/-org värdesätter den verksamhet som hittills bedrivits o önskar en fortsättning. Problem är att hitta o finna finansiering för gruppledarskapet. Som nya temagrupper utöver Programvarusäkerhet förslogs: Info-säkerhet, Arkitektur, MoS (inkl inbyggda simuleringar), ModellBaseradUtveckling, Återanvändning. Dessutom förordades framtagandet av en gemensam exjobskatalog.

c) Gruppens fortsatta verksamhet: (c1) Uppslag: Säkerhetskritiska patterns (t ex betr handskakning, time-out). Säker-hetsorienterad DDS (Data Distribution Service). Säkerhetsaspekter på SESAMS nya teman (säkerhetsinriktad arkitektur, återanvändning, osv). (c2) Frågan om gruppledarskapet den dag Ordf går i pension (t v uppskjuten 1 år till 09-08-31).

d) Nästa möte: hösten 2008 (början av oktober m a a Ordfs kontorsflytt). Brainstorming för att finna nya studieobjekt.

e) Hemsidan: Nätversionen av faktabladet STAMP/STPA saknar vissa fotnotstexter (#12,13).

f) Självstudiematerial: Ordf lägger i vanlig ordning ut uppdaterade faktablad på http://sesam.smart-lab.se: ’Arbetsgrupper: Programvarusäkerhet: Teknik/Metodik. Sammanfattningen av utförda analysprov inom mikroprojektet ’SäkAnalys-Metoder’ under ’Utbildning och Kurser: Självstudiematerial: Systemsäkerhetsanalysmetoder’ kompletteras.

g) Återigen visade det sig, att med ett väl förberett material kan även en begränsad övning ge nya insikter!
Aktivitetslista IG Programvarusäkerhet
Nr
Klar till
Ansvarig
Mötesnotiser senaste möte (#23) 23.1 080531 Ordf
Uppdatering av självstudiematerial och medlemslista (v 1.8) 23.2 080531 Ordf
Analysresultat i bildform 23.3 080531 Koberstein, (Ordf)
Material till SESAMs hemsida. 23:4 080531 Ordf
       
Riskkällelista över HW 15:6 060430 Strandberg
Transformera Event-tree-tabell till graf 15:7 060430 Strandberg
Kontakta Redmill om HAZOP-Oh till hemsida 15:9 060430 Ordf
Förteckn över innehåll i nödutrustning 15:11 060430 I Johansson
Förslag till kompletteringar av faktablad 15:12 060520 Alla
Kontakt med J Knight 14.9 06xxxx Ordf
Sammanställn av inkomna MMI-enkätsvar 8.4 041014 I Johansson+ Ordf
Kontakt med Dekker (1:a den 31/8, förnyad i januari) 8.6 060128 Ordf
Inventering av företagets MMI-metodik (papper till Johansson)
6.3
050331
Medl (se mikroprojektplan MMI-safety)