27
Socio-technical approaches for Safet Socio-technical approaches for Safet STAMP/STPA STAMP/STPA 25.08.2014 Ricardo Moraes dos Santos Product Development Engineer – Embraer S/A.
Socio-technical approaches for SafetySocio-technical approaches for SafetySTAMP/STPASTAMP/STPA
25.08.2014
Ricardo Moraes dos SantosProduct Development Engineer – Embraer S/A.
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
AGENDAAGENDA
• Introduction
• Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT
• Embraer Experience
• Conclusions
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
THREE BASIC APPROACHES TO THREE BASIC APPROACHES TO SAFETY ENGINEERINGSAFETY ENGINEERING
Civil Aviation Nuclear Power
Defense
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
SYSTEM THEORYSYSTEM THEORY
• Developed for biology (von Bertalanffy) and engineering (Norbert Weiner).
• Basis of systems engineering and system safety.
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
• Focuses on systems taken as a whole, not on parts taken separately
– Some properties can only be treated adequately in their entirety, taking into account all social and technical aspects
– These properties derive from relationships among the parts of the system How they interact and fit together
• Pairs of ideas
1. Hierarchy and emergence2. Communication and control
SYSTEM THEORYSYSTEM THEORY
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
Failures are often Failures are often System EmergenceSystem Emergence
• What is the formal structure?• What is the functional interaction?
• How did failure emerge?
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
• Introduction
• Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT
• Embraer Experience
• Conclusions
AGENDAAGENDA
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
STAMP (System-Theoretic Accident STAMP (System-Theoretic Accident Model and Processes) – Nancy Leveson Model and Processes) – Nancy Leveson
View PointView Point
Vs
Systems Theory
Reliability Theory
Powerful
Dynamic Control Problem
Vs
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
Includes
Human Error
Software and Systems Design Error
Component Interaction Error
Entire socio-technical system (not just technical part)
STAMP (System-Theoretic Accident STAMP (System-Theoretic Accident Model and Processes) – Nancy Leveson Model and Processes) – Nancy Leveson
View PointView Point
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
STAMP VS. TRADITIONAL APPROACHES STAMP VS. TRADITIONAL APPROACHES Nancy Leveson View PointNancy Leveson View Point
• A systems engineering (top-down) approach to safety
• A more comprehensive view of causality
– Examines inter-relationships rather than just linear cause-effect chains.
– Includes what do now but more
• Treats accidents as dynamic processes
– Looks at the processes behind the events
• Includes organizational, social, and cultural aspects of risk
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
• Includes software and system design errors
• Includes human error and human decision-making
• Includes behavioral dynamics (changes over time)
– Want to understand why controls drift toward ineffectiveness over time and
• Change those factors if possible
• Detect the drift before accidents occur
• Handles much more complex systems than traditional safety analysis approaches
STAMP VS. TRADITIONAL APPROACHES STAMP VS. TRADITIONAL APPROACHES
Nancy Leveson View PointNancy Leveson View Point
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
STAMP: Theoretical Causality Model
Hazard AnalysisSTPA
Specification ToolsSpecTRM
Security Analysis
Accident/Event AnalysisCAST
System Engineering(e.g., Specification,
Safety-Guided Design, Design Principles)
Risk Management
Operations
Management Principles/Organizational Design
Identifying LeadingIndicators
Organizational/CulturalRisk Analysis
Tools
Processes
Regulation
*Nancy Leveson View Point*Nancy Leveson View Point
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
• Introduction
• Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT
• Embraer Experience
• Conclusions
AGENDAAGENDA
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
Embraer is evaluating if STAMP is a viable methodology to be used as a complementary or alternative means to the current methodologies used in the Aerospace Industry. Particulary for Highly Integrated, complex and Software based systems.
Another point is that STAMP is now starting to address the Cybersecurity issues.
EMBRAER EXPERIENCEEMBRAER EXPERIENCE
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
EMBRAER EXPERIENCEEMBRAER EXPERIENCE
LANDING GEAR
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
EMBRAER EXPERIENCEEMBRAER EXPERIENCE
Accident Concept: STAMP MODEL An accidentis an undesired and unplanned event that resultsin a loss, including a loss of human life or humaninjury, property damage, environmental pollution,mission loss, financial loss, etc
Hazard Concept: A system state or set ofconditions that together with a worst-case set of environmental conditions, will lead to an accident (loss).
Concept: The requirements and constraints are derived from ananalysis of the potential failure modes, dysfunctional interactionsor unhandled environmental conditions in the controlled systemthat could lead to the hazard.
*Nancy Leveson definitions*Nancy Leveson definitions
L
G-C
ON
TR
OL
ST
RU
CT
UR
E
LG
-CO
NT
RO
L S
TR
UC
TU
RE
CONTROL STRUCTURE: CONTROL STRUCTURE: Landing Landing GearGear – Bird Strike Analysis– Bird Strike Analysis – E – E22
LG
- CO
NT
RO
L S
TR
UC
TU
RE
CONTROL STRUCTURE: Landing Gear – Bird Strike Analysis – E2
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
FORMAL PROCEDURES TO SUPPORT STPA
Context Tables: Provide Table
context
Context Variables
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
EMBRAER EXPERIENCEEMBRAER EXPERIENCE
S1
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
EMBRAER EXPERIENCEEMBRAER EXPERIENCE
S1
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
EMBRAER EXPERIENCEEMBRAER EXPERIENCE
S1
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
• Introduction
• Stamp (System-Theoretic Accident Model and Processes) By Nancy Leveson - MIT
• Embraer Experience
• Conclusions
AGENDAAGENDA
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
CONCLUSIONSCONCLUSIONS
Embraer is just starting this evaluation. The initial cases are very simple, but the results are promissing.Next step is to apply this methodology for the Fly By Wire Systems (FBW).
ERJ 145 FCS
LEGACY 500 FCS
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
Think about it:Think about it:
• How the software affects the traditional Safety Methodologies?.
• How to consider the increase of the Integration an Complexty of the Systems?
• Cybersecurity?
Esta informação é propriedade da Embraer e não pode ser usada ou reproduzida sem autorização por escrito.
Contact:Contact:[email protected]
