Säkerhetsanalyser Händelsekedjor Tillståndsmodeller Gränssnitt Komponent Induktiv & Deduktiv Induktiv analys (framåt i tiden) Deduktiv analys (bakåt i tiden) HAZOP CHAZOP FFA SDA FMEA FMECA CCA SMHA FTA ETA Flera av de analysmetoder som ingår inom systsäk-området är också tillämpbara på programvarusystem. Dessa fokuserar på gränssnitt, händelsekedjor resp komponenter för att id riskkällor o olyckor. Resultaten från dessa säkanalyser används för att a) få fram villkor o situationer att undvika (visar var nödv med konstr-ändr, var införa design-restriktioner) och ger möjlighet till att b) identifiera säkerhetskrav specifika för aktuell tillämpning (ett komplement till HB:s generella säkerhetskrav). (((Olika metoder finns för analysering både framåt o bakåt i tiden a) Deduktiv analys Analys bakåt i tiden, från en olyckshändelse b) Induktiv analys Analys framåt i tiden, från en riskkälla (annan initial händelse) CCA Cause-Consequence Analysis CCA Common Cause Analysis ETA Identifiera en utlösande händelse och spåra den gm systemets komponenter för att finna vilka success/failure-alternativ denna utmynnar i. Har bla använts för analysera de hur pass täckande de olika skyddssystemen i ett kärnkraftsverk är vid en initial allvarlig händelse (rörbrott, elavbrott). ( I stället för analys så gjordes ett väldigt drastiskt prov med en Tjernobylreaktorn) Riskkälla RiskkällaOlycka RiskkällaOlycka FelkällaFelyttring Felmod/Feleffekt Traditionella systemsäkerhetsmetoder
Säkerhetsanalyser Händelsekedjor Tillståndsmodeller Gränssnitt Komponent Styrflöde Induktiv & Deduktiv Induktiv analys (framåt i tiden) Deduktiv analys (bakåt i tiden) HAZOP CHAZOP FFA SDA FMEA FMECA STAMP CCA SMHA FTA ETA Flera av de analysmetoder som ingår inom systsäk-området är också tillämpbara på programvarusystem. Dessa fokuserar på gränssnitt, händelsekedjor resp komponenter för att id riskkällor o olyckor. Resultaten från dessa säkanalyser används för att a) få fram villkor o situationer att undvika (visar var nödv med konstr-ändr, var införa design-restriktioner) och ger möjlighet till att b) identifiera säkerhetskrav specifika för aktuell tillämpning (ett komplement till HB:s generella säkerhetskrav). (((Olika metoder finns för analysering både framåt o bakåt i tiden a) Deduktiv analys Analys bakåt i tiden, från en olyckshändelse b) Induktiv analys Analys framåt i tiden, från en riskkälla (annan initial händelse) CCA Cause-Consequence Analysis CCA Common Cause Analysis ETA Identifiera en utlösande händelse och spåra den gm systemets komponenter för att finna vilka success/failure-alternativ denna utmynnar i. Har bla använts för analysera de hur pass täckande de olika skyddssystemen i ett kärnkraftsverk är vid en initial allvarlig händelse (rörbrott, elavbrott). ( I stället för analys så gjordes ett väldigt drastiskt prov med en Tjernobylreaktorn) BidrFaktor Riskkälla RiskkällaOlycka RiskkällaOlycka FelkällaFelyttring Felmod/Feleffekt Ny analysmetod: STAMP
STAMP i jämförelse med traditionella metoder för säkerhetanalys Top-down (ej bottom-up som FMECA) Baserad på styrflöde (ej händelsekedjor) Mer generell än HAZOP (baserad på info-flöden i systemet, systemvariabler) Belyser fler aspekter än komponentbrister o olycksförlopp (brister i interaktion, pgmvara, administrativa hanteringen) Vägleder därmed var djupare analys kan vara befogad. Konkretiserar faktorer som annars ligger fördolt i huvudet.
Fig 4 ur Leveson: Model-based Analysis of Socio-Technical Risk
Ontario Water System Safety Control Structure Fig 12 ur Leveson: Model-based Analysis of Socio-Technical Risk
Hierarchical Control Structure Joint Chiefs of Staff Communication Channel Control Channel Commander in Chief of Europe OPC Command (Combined Task Force) Air Force Army Combined Forces Air Component (CFAC) Military Coordination Center Mission Director AWACS Fig 1 ur Leveson: The Analysis of a Friendly Fire Accident … Staff Controllers MCC ACE Serier Director Surv. NFZ Controller Enroute Controllers F-15 lead pilot Black Hawk pilot F-15 wing pilot