Felträdsanalys FTA. SESAM-gruppen i programvarusäkerhet Mikroprojekt Säkanalysmetoder FTA på Ejection system

Relevanta dokument
Felträdsanalys FTA

Ejection system, Konceptuell design

Ejection system, Konceptuell design

Programvara FMECA? Saab Group Presentation

Risk som 2-dimensionellt begrepp

REGELVERK & HANDBÖCKER

FMEA. FMEA - historik FMEA. Fördelar med FMEA

Säkerhetsstandarder: Säkerhetsinriktning

Presentation av H ProgSäk 2018

Skapa systemarkitektur

Conventional Cruise control / Adaptive Cruise Control

Quine McCluskys algoritm

FMEA Failure Mode and Effect Analysis. Antti Salonen

Systemsäkerhetsverksamhet

Leica mojo3d start första gången

Fönsterbeteende. Mike McBride Jost Schenck Översättare: Stefan Asserhäll

SESAM Försvarssektors användargrupp för Sofware Engineering

1(15) Bilaga 1. Av Projekt Neuronnätverk, ABB Industrigymnasium, Västerås Vt-05

Vad kan hända? Hur troligt är det? Hur stor blir skadan? Hur kan detta mätas? Hur hanteras osäkerheterna? Utbildning i riskanalyser Riskanalysmetoder

Experimentell verifiering av feldetektering och feltolerans

Swing-Gate. ECO B/S Installation av Swing Gate

n-abler är lämplig för alla åldersgrupper med motoriska svårigheter och för dem som arbetar långa perioder vid datorn.

BAS STRÖMFÖRSÖRJNING Slingövervakningsmodul-EXT/Kretskort

BESKRIVNING AV DISPLAY

PM Kvalitativ Risklogg till stöd för leverantörer

Processinriktning i ISO 9001:2015

Företagsmodellering i UML

Swedavia Dokumenttyp Diarienummer Sida

Hur får man en kommunal RSA att funka? Tankar och erfarenheter från utvecklingsarbete i Malmö stad

IE1205 Digital Design: F10: Synkrona tillståndsautomater del 2

Installationsmanual 501 GPS Tracker

Följddiagram för händelsestyrda rörelser

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

PARALLELL OCH SEKVENTIELL DATABEHANDLING. Innehåll

Vanligaste anmärkningarna vid VK

Laboration i digitalteknik Introduktion till digitalteknik

IE1204/IE1205 Digital Design

Återkoppling Steg

Cargolog Impact Recorder System

Rev 2. Manual för handterminal

Inklusiv Design Design för Alla

n-abler PRO STYRKULA Handledning

Exempeluppgift i Logikstyrning. 1 Inledning. 2 Insignaler och utsignaler

7.1.1 Modulindelning. Delsystem: Pneumatiskt system. Elmotor för rotation. Axel. Lager. Chuck. Ram. Kylsystem. Sensorer

Metodbeskrivning - Riskbedömning av lyftanordningar och lyftredskap enligt AFS 2006:6

Grunderna i programmering loopar (lektion 2 av 5)

Användarmanual Field-IQ med CFX-750

Upplägg. Binära träd. Träd. Binära träd. Binära träd. Antal löv på ett träd. Binära träd (9) Binära sökträd (10.1)

Hantering av CCF vid beräkningar i PSA och PSA-tillämpningar

FÖR MAC. Snabbstartsguide. Klicka här för att hämta den senaste versionen av detta dokument

Från systemsäkerhet till kritikalitet i programvara

Hur allokera riskerna till SIL? Annie Svensson Manager / Senior Consultant Scandpower AB

Metodbeskrivning - Riskbedömning av lyftanordningar och lyftredskap enligt AFS 2006:6

STANDESSE Comfort (VCS4..)

Instruktionsbok SILA TRAFIKLJUSSYSTEM

SIL i praktiken i processindustrin

MyDiagnostick 1001R - Manual till enheten UI FINAL Revision 1. MyDiagnostick 1001R. Manual till enheten. Sid. 1 av 10

Introduktion. Temperatursändarens finesser

Antivirus: Identifierar och inaktiverar proaktivt mer känd och till och med okänd skadlig kod än många andra säkerhetsprodukter.

Modeller och simulering av språkprocessning

Sirius II Installation och Bruksanvisning

ANVÄNDARMANUAL ROSTRA BACKSENSOR SYSTEM ROSS

FLEXIT SPIRIT. Monteringsinstruktion

M7005 och IBR Användarhandbok

Fjärrstyrd flygtrafikledning. Transportstyrelsens granskning av fjärrstyrd flygtrafikledning

exma.se Användarmanual Duo Code Det svensktillverkade låssystemet

Föreläsning 11 Tisdag 6/6 2000

Provverktyget i Fronter för lärare

Mintermer. SP-form med tre mintermer. William Sandqvist

535 Installationsmanual

Olycka med segelflygplanet SE-UBX på Hosjöns is i Rättviks, W län, den 6/ SHK Dnr L-01/07

Sekvensnät Som Du kommer ihåg

Startskärm. Kartskärm

Koncept 1- Planteringsborr Koncept 2 - Hacka Koncept 3 - Planteringsrör Koncept 4 - Kapselplanterare

LABORATIONSINSTRUKTION

CHUBBSAFES EVOLVE BRUKSANVISNING

Operatördialog. Harmony

TDDC74 Programmering: Abstraktion och modellering Tentamen, lördag 27 augusti 2016, kl 8 12

Dokumentnummer D FLYGVÄGS- OCH FLYGBULLERKONTROLL STOCKHOLM ARLANDA AIRPORT

Introduktion till logik

TrendCon 1. utgåvan, S. TrendCon. Instruktionsbok

Dokumentnummer D FLYGVÄGS- OCH FLYGBULLERKONTROLL STOCKHOLM ARLANDA AIRPORT

Grundorsaksanalys. Mathias Elofsson Kvalitetssamordnare Sjö- och luftfart

IE1205 Digital Design: F4 : Karnaugh-diagrammet, två- och fler-nivå minimering

n-abler STYRKULA Handbok Underhåll Avfallshantering Förbrukad produkt ska hanteras som elektronikavfall

DPR-34+ Svensk Bruksanvisning. Läs igenom denna bruksanvisning innan användning av produkten och spara bruksanvisningen för framtida användning.

ANVÄNDARMANUAL. VELA Tango 300 & 300EL VARIANT: Manual nr VELA Tango 300. VELA Tango 300El

DRIFT & SKÖTSELINSTRUKTIONER RP 50

ANVISNINGAR TILL INLÄMNINGSUPPGIFTER I TILLFÖRLITLIGHETSTEORI. På inlämningsuppgiften ska alltid namn och elevnummer finnas med.

FMCK Malmö Boris Magnusson. Markering av Endurobana

för raka trappor Användarmanual Modellnummer 420 Svenska

RollerMouse Free3 Wireless. Användarhandbok

Bruks och monteringsanvisning NX-M. Rörelsedetektor till NX-4 Personliga säkerhetssystem Alarm för Gas, Rök och Rörelse

Med den här boken får du: Författaren:

6 ACS-Systemet (Advanced Control System)

Inlärning utan övervakning

Algoritmer, datastrukturer och komplexitet

Ontech Control för Iphone Användarmanual Svenska

Vad är RTCA DO-178C? och: Hur arbetar Saab med dessa krav? Lars Ljungberg, Saab AB, Avionics Systems

Transkript:

Felträdsanalys FTA SESAM-gruppen i programvarusäkerhet Mikroprojekt Säkanalysmetoder FTA på Ejection system Peter Nummert 1

FTA Fault Tree Analysis FTA utgår från en för systemet oönskad vådahändelse, även kallad topphändelse vilken undersöks m a p möjliga orsaker först de omedelbart föregående, därefter de näst föregående osv ned till löven, bas- eller primärhändelserna. Ett logiskt träd med start på systemnivå ritas. Samverkande, oberoende orsaker uttrycks med OCH -grindar, alternativa med ELLER -grindar. Kvantitativa mått på olyckssannolikhet och exponeringsgrad kan införas i varje nod. Vid analys av programvara görs i stället en rent kvalitativ bedömning av rimlighet för olycka, för att finna var konstruktionsändringar är nödvändiga. Källa: H ProgSäk 2001 2

FTA FTAs styrka ligger i ett strukturerat sökande efter orsaker till en viss händelse i syfte att i första hand eliminera säkerhetshot, i andra hand att bemästra resterande hot. Analysen erbjuder ett annat betraktelsesätt än det gängse under konstruktion: en koncentration på vad programvaran ej får göra, snarare än vad den skall utföra. Källa: H ProgSäk 2001 3

Arbetsgång Identifiera felträdsanalysens syfte och mål Bestäm topphändelse att analysera Fastlägg omfattningen av analysen, gränserna för analysobjektet Bestäm regler för analysen (detaljeringsnivå, stoppkriterier, kvantitativ och/eller kvalitativ analys) Konstruera felträdet Utgå från en funktionell struktur av systemet som analyseras (se exempelvis SIS-EN 61346 Struktureringsprinciper) Gör klar varje nod innan nästa påbörjas Förenkla tidigt genom att eliminera noder med mycket låg sannolikhet (exempelvis som resultat av många OCH-villkor) Iterera tills resultatet blir tillfredsställande Värdera och validera felträdet Behövs fler iterationer? Tolka och presentera resultatet 4

Cut Sets - Hindermängd Cut Set : mängden av alla de bashändelser som krävs, för att en topphändelse skall inträffa. Minimal Cut Set : den minsta mängden bashändelser, som måste inträffa, för att topphändelsen skall inträffa (dvs. en logisk förenkling av det aktuella felträdet) Cut Set analysen är ett måste i stora felträd och visar på samband som är svåra att se på andra sätt Verktyg på marknaden har denna funktion 5

Händelser Bashändelser eller fel som inte kräver vidare analys Conditioning Event Förutsättning eller restriktion i logisk grind Undeveloped Event Ej vidare analyserad händelse Hushändelse Händelse som normalt förväntas hända Länk Används rittekniskt för att länka delar av ritade felträd 6

Logik OCH ELLER n KOMBINATION sant om n input är sanna EXLUSIVE ELLER PRIORITY OCH Sant om sekvens av input inträffar (från vänster till höger) INHIBIT Sant om input är sant och Condition Event har inträffat (ritat till höger) 7

FTA-verktyg FTA-verktyg använder boolsk algebra, binary decision diagrams, sannolikhetsteorier etc. för att beräkna resultat Input Sannolikhet för komponentfel (MTBF) Komponentotillgänglighet (inkluderar reservdelar, MTBR, etc) Sannolikhet för bashändelser Human error data Common cause failure data Tids och sekvensberoenden Riskspectrum Output Sannolikhet för topphändelse Känslighetsanalys, Fussell-Vesely Importance, Risk Reduction Worth, Risk Achievement Worth, Birnbaum s Importance Measure Osäkerhetsanalys 8

FTA - SW Programfel i funktioner, moduler, etc. läggs in som händelser i felträdet tillsammans med hårdvaruhändelser Felfrekvenser på SW kan inte anges annat än som 0 eller 1 Gemensamma felorsaker kan anges 9

FTA SW Designhjälpmedel för programvara Felträdsanalys kan användas för att visa att programvaran INTE genererar otillåtna resultat I kontrast till verifiering som syftar till att visa att programvaran genererar förväntat resultat För robusta programvarusystem kan FTA peka ut kritiska programvarudelar och därmed användas för att reducera mängden kostsamt arbete. Omdesign kan reducera mängden kritisk programvara och därmed leda till Minskat arbete i o m färre kritiska delar, som fordrar en högre grad av stringens i termer av formell analys, test, felhantering, redundanta funktioner etc 10

FTA på Ejection System Input Riskkällelista från tidigare systemsäkerhetsanalyser Detaljerade designbeskrivningar över aktuellt system Output Logiska felträd för alla vådahändelser och systemtillstånd/-konfigurationer Riskreducerande ändringsförslag 11

FTA Input Utdrag ur riskkällelista Riskkälla (ard): System- Konsekvens (Effekt/Olycksutfall) Bidragande faktorer Kommentar (Åtgärder) Status Nr Olycksorsak (P h ) del mod Värsta / Samtliga möjliga Värsta troliga 19 Låssprint ej i vid UH - Uh Personförlust * (P e =0,1) sannolikhet för utlösning 3 Otydlig procedur/ instruktion. En oavsiktlig utlösning förhindras ej av låssprinten 20 Låssprint kvar vid -flygn:utskjutn ej möjlig Alla Uh Personförlust 1 Enligt förutsättningarna fungerar inte utskjutningssystemet så ger det effekten personförlust. 21 Utskjutn hög höjd: -låg temp Flygn Pilot förfryser 1 22 Utskjutn hög höjd: -tryckskillnad Flygn Pilot medvetslös 1-2 23 Utskjutn hög höjd+ -lång tid på hög höjd Flygn Syrebrist 1 Syrgas bort vid stolseparering fr pilot. 24 Utskjutn hög höjd+ -syreslang rycks ur Flygn Syrebrist 1 Syrgas bort vid stolseparering fr pilot. 25 Utskjutn hög höjd + -över berg Flygn Personförlust pga skärm ej ut 1 26 Fartvind: Utskjutn i -hög fart Flygn Personförlust 1 Bara ryska stolar klarar farter > Mach 1. 27 Oavsiktlig -utskjutning Alla Personförlust vid Uh 1 Öppe n 28 Krutladdningar i -stol Alla -28-13a (undergrupp till -13) Stäng d 29 Stolen har ingen - markhöjd Övervak n /styrn stol Alla Uh Personförlust HAZOP-1 i HAZOP-tabell 14910:31524/2006 12

FTA Input: Beskrivning av räddningssystem flygplan Felaktiga data: position, hastighet, vinklar audio Filnamn: FMV:KCFlygsystem/KEFlygA (C) FMV 2006 utg 2,0 2006-10-20 Björn Koberstein GPS/ tröghetsnavigering Navigation visuellt Varning position över mark fart, höjd, vinkel mot mark, rollvinkel, rollhastighet, vindhastighet Terrängdatabas Terrängdata Beräkningsenhet i stolen Varning till piloten Signal till styrsystemet att styra undan från hinder Styrautomat Felaktighet: lyckas ej styra undan från hinder Felaktiga data: felaktiga terränghöjder felaktiga hinder Tidsberäkning 1) Tid att varna piloten för markhinder, piloten ska hinna reagera 2) Tid för piloten att styra flygplanet bort från hindret 3) Tid för flygplanets styrsystem att styra bort från hindret 4) Tid att hinna skjuta ut flygföraren automatiskt Skjut ut piloten automatiskt. Signal från programvaran Felaktiga data: felaktiga tider se sid FTA HAZ-27 13

FTA Resultat 1 SW se röd ruta Oavsiktlig utskjutning vid systemmod Underhåll (Uh) -27 Felaktig utskjutningsprocess & Felaktig kruttändning & Batteri monterat i stolen Elsäkringsvred osäkrat i kabin 10-2 Utskjutn. aktiverad Mekanisk låspinne EJ monterad 10-2 Spontan kruttändning Manuellt osäkrad Trasig Manuell utskjutning aktiverad Automatisk utskjutning aktiverad & Utskjutningshandtag aktiverad Utskjutningshandtag felar i aktivt läge Hårdvarufel Mellan 0 och 1 Signal från sidan 2 Programvarufel Fel på microswitch "Flygplanet i luften" (microswitch på landställ) Förhindra oavsiktlig aktivering av raketstol på marken 14

FTA Resultat 2: Programvara (en första variant) Programvarufel & BE har mod EJ UH BE ger felaktig utskjutningssignal BE = Beräkningsenhet UH = Underhåll T4 = tid till automatisk utskjutning BE i Sim-mod BE i skarp mod Fei i algoritm i BE, så tid T4 uppnådd BE får felaktiga indata så T4 = sant Felaktig hastighet Felaktigt avstånd Felaktig acceleration 15

FTA Resultat 3: Programvara (en andra variant) Programvarufel & Felaktig utskjutning Fel i BE-algoritm Fel i indata till BE Felaktiga terrängdata till BE Felaktiga NAV-data till BE Fel i terrängdatabas Fel i Position över marken Felaktig NAVberäkning BE = Beräkningsenhet TN = Tröghetsnavigering (Lasergyron) Felaktiga indata till NAV Felaktiga data från GPS / TN 16

FTA för programvara Sammanfattning + Utvärdering av programvarans bidrag till topphändelsen + Identifiering av de mest kritiska programdelarna och programfunktionerna + Indikation på var/hur risklindring kan åstadkommas 17

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss