I-L Bratteby-Ribbing, FMV Datum 2007-10-29 14910:46684/2007 1 (7) Ver 1.1 Detta dokument sammanfattar ett enklare prov av STAMP/STPA på en Adaptiv farthållare enl[1]-[3] och är baserat på en egen-framtagen mall, STPA-mall, FMV-dokument 14910:44138/200 Provet utfödes under några få timmar och gör på intet vis anspråk på att vara fullständigt eller fritt från felaktigheter. Detta innebär t ex att listade krav under avsnitt 5 ej formulerats med den stringens som erfordras, bl a behöver vissa kravsatser delas upp i flera krav, kravnumreringen ersättas av läsbara, unika mnemonics, nyckelord lyftas fram st i kravmening o säkerhetsrestriktion ( att undvika flera satser med samma inledning, t ex ACC skall ). 1 Analysutsättningar Systemets omfattning: Se [1]. Analysens syfte: Att via en enklad provanalys ge analytikerna en uppfattning om potentialen hos STPA som metod. 2 Analysgrupp 2007-10-12: I-L Bratteby-Ribbing, P-O Jern, L Kinell, B Koberstein, P Nummert, M Persson, S Pettersson, M Torvad. 3 Ingångsmaterial Dokumentation över aktuellt system 1 : Se [1]-[3] CIL 2 : Tidigare framtagna riskkällelistor systemet: 4 Arbets- o mötesplan Mötesnr Systemkonfiguration Analysobjekt Datum 1 1 ACC 2007-10-12 (Infoflöde mellan) Subsystem/komponenter/funktioner/driftspersonal samt grundläggande styrstrukturer inom o mellan det tekniska systemet, involverad personal o organisation. Operationell använd vid olika systemmod o omgivningar angivna systemkonfigurationer. Critical Item List: en teckning över kritiska systemelement ( upprättad vid tidigare analys eller med annan analysmetod).
14910:46684/2007 2 (7) 5 Analysresultat (1) Generella krav: (1a) Generella systemkrav ACC (extraherade ur[1] ): ACC_1. Fordonets hastighet skall kunna anpassas till trafikomgivningen utan ingripande från aren. ACC_2. Ett radarsystem applicerat i bilens framände skall ingå detektering av fordon/hinder i bilens färdriktning med långsammare hastighet. ACC_3. Om framvarande fordon befinns ha lägre hastighet, skall ACC sakta ned eget fordon samt övervaka att avstånd i rum (clearance) eller tid (time gap) mellan AC fordon och framvarande fordon ej underskrids. ACC_4. Om ACC upptäcker att framvarande bil ej längre finns i ACC-fordonets färdriktning, skall ACC accelerera upp fordonet till senast inmatad maxfart. ACC_5. ACCs reglering av fordonets hastighet verkställs via gaspedal samt genom begränsad inbromsning ACC_6. Time Gap+ -kommandot skall öka tidsavståndet till framvarande fordon. ACC_7. Time Gap -kommandot skall minska tidsavståndet till framvarande fordon. ACC_8. ACC:s maximala bromskraft är 0,2 g. ACC_9. Maximal acceleration initierad av Engine Controle är 0,2 g. ACC_10. Aktivt mod är möjlig endast om inte ngn av de två Brake Switch -arna är aktiverade samt hastigheten är 25 mph såvida inte en extrem fartminskning registrerats ett framliggande fordon. ACC_11. Deaktivering av ACC kan utlösas av nedtryckt bromspedal eller Off -knapp, vid hastighet < 25 mph eller om ettacc-systemfel upptäcks. ACC_12. Ljud och textmeddelande ges då ACC lämnar aktivt mod, att varna aren om att endast manuell operation är möjlig. ACC_13. Om bromsarna är tillslagna då ACC lämnar aktivt mod, frigörs dessa långsamt o aren måste ta över kontrollen. Utöver detta skall ingå krav giltiga traditionella farthållare (CCC: Conventional Cruise Control), dvs kommandon med motsvarande systemrespons, vilka med att fordo kan hållas i konstant fart oavsett fordonslast, vägtopologi samt omgivande trafik. Dessa krav (extraherade ur[1]-[2] )har nedan ej listats fullt ut. CCC_1. On -knappen skall övera ACC från avstängt läge till standby-mod samt göra ACC redo Set resp Coast -kommandon. CCC_2. Off -knappen skall övera ACC från standby eller aktivt mod till avstängt-läge. CCC_3. Set + -knappen skall övera ACC från standby till aktivt mod samt om aktuell fart 25 mph vid 1:a tryckning hålla denna hastighet, vid efterföljande tryck aktivt mod accelerera med 1 mph. CCC_4. Coast -knappen skall minska hastigheten då ACC i aktivt mod, genom att vid intryckning sluta aktivera gaspedalen eller vid snabbtryck minska med 1 mph. CCC_5. Resume -knappen skall övera ACC i aktivt mod (såvida detta ej redan gäller) samt accelerera fordonet till senast inmatad maxfart. CCC_6. Föraraktiverad bromspedal skall även vid lätt tryckning övera ACC till avstängt läge. CCC_7. Föraraktiverad kopplingspedal skall även vid lätt tryckning övera ACC till avstängt läge. (1b) Systemomgivningsrestriktioner (ACC-utsättningar): Env_1. Framvarande fordon utsätts röra sig i samma riktning och i samma fil som ACC-fordonet. Env_2.
(2) Systemgraf 3 : Adaptive Cruise Control Funktion / Reglering 14910:46684/2007 3 (7) Sound speaker Display On Off Set/Accel+ Coast Resume Time Gap+ Instrument Cluster Time Gap- Brake Switch 1 Brake pedal Engine Control Engine throttle Accelerator C A N Radar Target Vehicle Distance ACC- B U S Brake Control Brake Pedal Cmd (0-100%) Wheel Speed Brake Actuator Cmd Brake Lights Cmd 3 Systemet på toppnivå med ingående delar o grundläggande styrmekanismer (basic control loops). Detaljeras underliggande nivåer allt eftersom systemdesignen fortskrider (se efterföljande bild Processmodell på komponentnivå ).
14910:46684/2007 4 (7) (3) Riskkälleanalys (systemnivå) : Löpnr Analysobjekt Systemkonfi- Systemmod/fas <Hazarguration _id> Kom mentarer STPA- 1 2 3 4 5 6 7 ACCsystemet Turbovarianten Riskkälla (3a) (4) Identifiering av objekt som ej finns i bilens färdriktning. Tappad radarkontakt med framvarande Oönskad radarsignal CAN-bus lägger av under färd Objekt in från sidan mot/ fram ACCbil ACC kopplar ej ur vid pedalbromsning Orsak / Bidragande faktorer 4 (3b) Kurvigt vägavsnitt + objekt på korsandeväg/ närliggande fil/ P-plats etc Kurva/ backkrön Väder/ Fåglar/ Felfunktion hos radar Fukt från biltvätt/annan felorsak Omkörande bil in från ytterfil/ sidoväg, älg etc Låsning/ häng hos delkomponent Konsekvens Åtgärd = Säkerhetsrestriktioner (3c,5) Omotiverad SC1, SC2 fartsäkning ökad risk påkörning bakifrån. Irritation. ACC ökar till satt värde ökad kollisionsrisk efter kurva/ backkrön SC3, SC4 SC5 SC6, SC7, SC8 SC9 SC10, SC11 SC12 4 Causal factors/asumptions: Beskrivning av situationer där/när riskkällan kan eligga.
14910:46684/2007 5 (7) (3c) Säkerhetsrestriktioner (systemnivå) 5 : Löpnr Säkerhetsrestriktion (3c) Motiveringar 6 Motverkad riskkälla SC1 ACC skall ge röst- o ljudvarning in avstängning STPA-1 SC2 ACC skall stänga av sig efter varning. STPA-1 SC3 ACC skall fortsätta hålla aktuell fart STPA-2 SC4 ACC skall ge röst- o ljudvarning om tappad radarkontakt STPA-2 SC5 Filtrerad radar skall användas För att ACC ej skall reagera på stillastående, 3 mindre objekt SC6 ACC skall ge röst- o ljudvarning om tappad STPA-4 CAN-bussfunktion SC7 CAN-bussen skall ha en Alive -funktion Möjliggör att SC6 kan aktiveras när Alivefunktionen STPA-4 ej hör av sig SC8 ACC skall ha hårdkopplad CAN-buss Redundans i form av diversitet STPA-4 SC9 ACC skall bromsa 5 SC10 ACC skall ge röst- o ljudvarning om bromsning 5 SC11 ACC skall vid pedalbromsning > 0,2g varna 5 kraftig arbromsning samt stänga av sig. SC12 Föraren skall koppla ur ACC via Off-knappen Eftersom ACC ej stängde av sig vid pedalbromsning, 6 är detta en nödvändig åtgärd att möjliggöra arens pedalbromsning. SC13 Radar skall ej sända då ACC-fordonet står still eller vid låg fart (precisering av låg fart följer här). För att undvika personskador. 5 SafetyConstraint (System Safety Design Constraint): Detaljer ang krav- o designrestriktioner i separat tabell bl a där att en säkerhetsrestriktion kan vara motmedel till flera riskkällor. 6 Rationale: Förklaringar till på vilket sätt denna restriktion bemöter angiven riskkälla.
14910:46684/2007 6 (7) (5a) Processmodell (komponentnivå): Adaptive Cruise Control Funktion / Reglering, CAN-data-trafik Sound speaker Display On Off Set/Accel+ Coast Resume Time Gap+ Time Gap- Brake pedal Instrument Cluster Brake Switch 1 Cruise Switch Request Brake Switch 1 ACC Driver info Messages ACC State & Target speed Vehicle Speed Engine Control Engine throttle Accelerator ACC- ACC Driver info Messages Cruise Switch Request Brake Switch 1 Radar Target Vehicle Distance ACC State & Target speed Brake Control Brake Pedal Cmd (0-100%) Vehicle Speed Wheel Speed Brake Actuator Cmd ACC State & Brake Decel Request Brake Lights Cmd Under provanalysen konstaterades, att st i o m steg 5 i metodbeskrivningen ( STAMP/STPA, Faktablad Grundorsaks- & Riskkälleanalys mha STAMP-metoden, FMV-dokument 14910:44132/2007 ), kommer det specifika med STPA/STAMP-analysen fram. Vid granskning av ovanst graf eslogs följ kompletteringar (ej utritade ovan): (a) styrkommandon från styrmodulerna motor resp broms går från utpilarna ovan vidare till det fysisk fordonet, där motsv. respons återmatas till aren via instrumentpanel och/ eller via observation av verkligt beteende hos fordonet, (b)för varje meddelande till ACC- bör avdelas uppsättning bitar, att ange huruvida sändande dator är alive (exekverar). Samma sak gäller meddelanden från ACC- till Engine Control, (c) En hårdkopplad återmatning av bromssignal från Brake Control till ACC- (som alt till SC12 att bemöta riskälla 6), (d) Ett styrkommando från ACC- till Radar (en till- /frånkoppling av radarn att kunna realisera säkerhetsrestriktion SC13). Det visade sig svårt att identifiera ytterligare brister i styrstrukturen ovan utan tillgång till mer detaljerade beskrivningar (utöver de refererade i nedanstående avsnitt 6), trots exempel på typiska blottor enl faktabladets punkt 6. Analysen avbröts där,med avsikt att fortsätta vid ett senare analysmöte med nytt prov på ett mer rättvisande exempel (denna gång med STAMP s haveriutredningsteknik, root cause analysis). Inga analysresultat finns där att redovisa i efterföljande tabellmall.
14910:46684/2007 7 (7) Komponent_1 (5b-c, 6) Säkerhetsrestriktioner (komponentnivå): Kom-ponent_id Komponentkrav/ -åtagande (5b) 1. xxx 2. yyy Säkerhetsrestriktioner (5c) SC1.1:<text> SC2.1:<text> SC3.1:<text> Styrmekanism 7 (6), (6b1) Styrflöde_1: Uppgift Styrflöde_2: Uppgift Identifierade brister 8 (6a), (6b2), (6b4) (6a1_i): (6a1_ii): (6a1_iii): (6a1_iv): (6a1_v): (6a2_i): (6a2_ii): (6a2_iii): (6a2_iv): Bidragande faktorer (6b) Åtgärd: ref till risklindring & styrmekanism i utökad processmodell (6b3) <dvs utöka med nya säkerhetsrestriktioner i (5c)> 6 Referenser [1] Adaptive Cruise Control System Overview, Leveson, Apr 2005. [2] How Cruise Control Systems Work, http://auto.howstuffworks.com/cruise-control.htm [3] Descriptions of ACC (.ppt-filer), Koberstein, Aug 2007. 7 Dokumenthistorik Version Datum Beskrivning 1.0 07-10-12 Första STPA-analysmötet 1.1 07-10-29 Komplettering av bortglömda slutsatser efter graf under avsnitt Processmodell 7 Control action: Namngivna styrflöden med riktning (slagsvis <Source> to <Destination_1> to <Destination_2> to <Destination_3>, t ex Styrmodul Bromsar till Bromsljus till Bakomliggande bil till Föra til Accelerator ) efterföljt av text beskrivande flödets uppgift (t ex Signalövering tändning av bromsljus som varning till bakomvarande are ) 8 Inadequate/hazardous control action:fyll i identifierade brister enl punkt 7a i faktabladet.