Socio-technical approaches for Safety STAMP/STPA Ricardo Moraes dos Santos Product Development Engineer – Embraer S/A. 25.08.2014 AGENDA • Introduction • Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT • Embraer Experience • Conclusions Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. THREE BASIC APPROACHES TO SAFETY ENGINEERING Nuclear Power Civil Aviation Defense Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. SYSTEM THEORY • Developed for biology (von Bertalanffy) and engineering (Norbert Weiner). • Basis of systems system safety. Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. engineering and SYSTEM THEORY • • Focuses on systems taken as a whole, not on parts taken separately – Some properties can only be treated adequately in their entirety, taking into account all social and technical aspects – These properties derive from relationships among the parts of the system How they interact and fit together Pairs of ideas 1. Hierarchy and emergence 2. Communication and control Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. Failures are often System Emergence • What is the formal structure? • What is the functional interaction? • How did failure emerge? Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. AGENDA • Introduction • Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT • Embraer Experience • Conclusions Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. STAMP (System-Theoretic Accident Model and Processes) – Nancy Leveson View Point Vs Powerful Systems Theory Reliability Theory Dynamic Control Problem Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. Vs STAMP (System-Theoretic Accident Model and Processes) – Nancy Leveson View Point Includes Entire socio-technical system (not just technical part) Component Interaction Error Software and Systems Design Error Human Error Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. STAMP VS. TRADITIONAL APPROACHES Nancy Leveson View Point • A systems engineering (top-down) approach to safety • A more comprehensive view of causality – Examines inter-relationships rather than just linear cause-effect chains. – Includes what do now but more • Treats accidents as dynamic processes – Looks at the processes behind the events • Includes organizational, social, and cultural aspects of risk Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. STAMP VS. TRADITIONAL APPROACHES Nancy Leveson View Point • Includes software and system design errors • Includes human error and human decision-making • Includes behavioral dynamics (changes over time) – Want to understand why controls drift toward ineffectiveness over time and • Change those factors if possible • Detect the drift before accidents occur • Handles much more complex systems traditional safety analysis approaches Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. than Processes System Engineering (e.g., Specification, Safety-Guided Design, Design Principles) *Nancy Leveson View Point Risk Management Management Principles/ Organizational Design Operations Regulation Tools Accident/Event Analysis CAST Hazard Analysis STPA Organizational/Cultural Risk Analysis Identifying Leading Indicators STAMP: Theoretical Causality Model Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. Specification Tools SpecTRM Security Analysis AGENDA • Introduction • Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT • Embraer Experience • Conclusions Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. EMBRAER EXPERIENCE Embraer is evaluating if STAMP is a viable methodology to be used as a complementary or alternative means to the current methodologies used in the Aerospace Industry. Particulary for Highly Integrated, complex and Software based systems. Another point is that STAMP is now starting to address the Cybersecurity issues. Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. EMBRAER EXPERIENCE LANDING GEAR Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. EMBRAER EXPERIENCE Accident Concept: STAMP MODEL An accident is an undesired and unplanned event that results in a loss, including a loss of human life or human injury, property damage, environmental pollution, mission loss, financial loss, etc Hazard Concept: A system state or set of conditions that together with a worst-case set of environmental conditions, will lead to an accident (loss). Concept: The requirements and constraints are derived from an analysis of the potential failure modes, dysfunctional interactions or unhandled environmental conditions in the controlled system that could lead to the hazard. *Nancy Leveson definitions Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. CONTROL STRUCTURE: Landing Gear – Bird Strike Analysis – E2 LG-CONTROL STRUCTURE CONTROL STRUCTURE: Landing Gear – Bird Strike Analysis – E2 LG- CONTROL STRUCTURE FORMAL PROCEDURES TO SUPPORT STPA Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. Context Tables: Provide Table context Context Variables EMBRAER EXPERIENCE S1 Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. EMBRAER EXPERIENCE S1 Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. EMBRAER EXPERIENCE S1 Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. AGENDA • Introduction • Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT • Embraer Experience • Conclusions Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. CONCLUSIONS Embraer is just starting this evaluation. The initial cases are very simple, but the results are promissing. Next step is to apply this methodology for the Fly By Wire Systems (FBW). ERJ 145 FCS LEGACY 500 FCS Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. Think about it: • How the software affects the traditional Safety Methodologies?. • How to consider the increase of the Integration an Complexty of the Systems? • Cybersecurity? Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito. Contact: [email protected] Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
Download
