Академический Документы
Профессиональный Документы
Культура Документы
Nancy G. Leveson
c
Copyright by the author, November 2004.
Accident with No Component Failures c
�
VENT
LA GEARBOX
LC
CONDENSER
CATALYST
VAPOR COOLING
WATER
REFLUX
REACTOR
COMPUTER
c
�
Types of Accidents
System Accidents
Arise in interactions among components
No components may have "failed"
. .
Safety Reliability
. .
c !
All failures are faults but not all faults are failures.
c ! %
c ! (
Software−Related Accidents
c # -
+
� ) * *
A Possible Solution
Enforce discipline and control complexity
Limits have changed from structural integrity and physical
constraints of materials to intellectual limits
c
,
c
# !
+
� ) * *
.
c
' !
+
� ) * *
c ' #
+
� ) * *
System Safety
A planned, disciplined, and systematic approach to
preventing or reducing accidents throughout the life
cycle of a system.
MIL−STD−882
c
'
Hazard identification
Hazard resolution
Verification
Change analysis
Operational feedback
c '
+
� ) * *
Process Steps
+
� ) * *
c ' '
+
� ) * *
+
� ) * *
c ' ,
+
� ) * *
0 1 3 5 7 7 9 : ; < 1
System
Human Factors System Safety
Engineering
L F Q A P ? g O N O N P Q R G V C N V A F
]
V P Q N O N P Q R V A F
Fault Tree Analysis
Task Allocation Principles X
_ Q
]
V P ?
X
A V C
]
Q d E ?
]
Q R Q A P N
X
A N P
]
V ? A P N
Training Requirements
System Hazard Analysis
j
C C
X
B V P Q P V N W N V A F
Completeness/Consistency
G Q A Q
]
V P Q N O N P Q R F Q N ? G A
Analysis
> ? A B C E F ? A G H J L M
Simulation/Experiments J
X
F Q C V A F Q \ V C E V P Q
X
_ Q
]
V P
X ]
X
R _
X
A Q A P
Analysis
C V B W Q [ V \ ?
U U X Y U X ]
h X ]
X X X ] X
F ? N _ C V O N b P
]
V ? A ? A G R V P Q
]
? V C N b
X ] X ]
Safety Verification
f
Q
]
? g ? B V P ?
X
A
Safety Testing
Software FTA
Operational Analysis a
? Q C F P Q N P ? A G b ? A N P V C C V P ?
X
A b
Operational Analysis
Performance Monitoring
V A F P
]
V ? A ? A G
Change Analysis
Incident and accident analysis
Periodic audits
c _ Q
]
V P ?
X
A N
Periodic audits
Change Analysis
Performance Monitoring
c
(
.
z
y { )
.
.
c ,
z
y { )
c -
z
y { )
The cruise control system operates only when the engine is running.
When the driver turns the system on, the speed at which the car is
traveling at that instant is maintained. The system monitors the car’s
speed by sensing the rate at which the wheels are turning, and it
maintains desired speed by controlling the throttle position. After the
system has been turned on, the driver may tell it to start increasing
speed, wait a period of time, and then tell it to stop increasing speed.
Throughout the time period, the system will increase the speed at a
fixed rate, and then will maintain the final speed reached.
The driver may turn off the system at any time. The system will turn
off if it senses that the accelerator has been depressed far enough to
override the throttle control. If the system is on and senses that the
brake has been depressed, it will cease maintaining speed but will not
turn off. The driver may tell the system to resume speed, whereupon
it will return to the speed it was maintaining before braking and resume
maintenance of that speed.
c
!
z
y { )
Door opens while train is in motion. Doors must remain closed while train is in
motion.
Door opens while improperly aligned Door must be capable of opening only after
with station platform. train is stopped and properly aligned with
platform unless emergency exists (see below).
Door closes while someone is in Door areas must be clear before door
doorway. closing begins.
HAZARDS REQUIREMENTS/CONSTRAINTS
2. A controlled aircraft enters an 2a. ATC must not issue advisories that
unsafe atmospheric region. direct aircraft into areas with unsafe
atmospheric conditions.
(icing conditions, windshear
areas, thunderstorm cells) 2b. ATC shall provide weather advisories
and alerts to flight crews.
2c. ATC shall warn aircraft that enter an
unsafe atmospheric region.
c
#
z
y { )
HAZARDS REQUIREMENTS/CONSTRAINTS
3. A controlled aircraft enters 3a. ATC must not issue advisories that
restricted airspace without direct an aircraft into restricted airspace
authorization. unless avoiding a greater hazard.
3b. ATC shall provide timely warnings to
aircraft to prevent their incursion into
restricted airspace.
HAZARDS REQUIREMENTS/CONSTRAINTS
6. Loss of controlled flight or loss 6a. ATC must not issue advisories outside
of airframe integrity. the safe performance envelope of the
aircraft.
6b. ATC advisories must not distract
or disrupt the crew from maintaining
safety of flight.
µ
z
¶
µ
{
· ¸
)
¹
º
»
¼ ¾
SEVERITY
I II III IV
Catastrophic Critical Marginal Negligible
c ´ µ ¶ µ · ¸ ¹ º » ¼ ½
z
y { )
© ¡ ¢ ¢ ¥
¡ ¨ ¡ ¥ ¡ ¨ ¡ ¥ ¡ ¨ ¡ ¥
Catastrophic ¢ § ¡ ¢ § ¡ ¢ § ¡
¡ £ ¤ ¡ ¥
¡ © © ¢ «
I
ª
¡ ¢ £ ¤ ¡ ¥ ¡ ¢ £ ¤ ¡ ¥ ¡ ¢ £ ¤ ¡ ¥
¡ ¥ ¨ ¥
1 2 3 4 9 12
¦ ¤ ¡ ¥ § ¨ | } ~ }
© ¡ ¢ ¢ ¥
}
¡ ¨ ¡ ¥ ¡ ¨ ¡ ¥
Critical
¯ ¨ § ° ¢ ¢ ® § © ¢
¡ £ ¤ ¡ ¥
¢ § ¡ ¢ § ¡
¨ ¡
¡ © © ¢ « ¨ ¡ ¡
¡ ¢ £ ¤ ¡ ¥ ¡ ¢ £ ¤ ¡ ¥
II ¡ ¥ ¨ ¥
3 4 6 7 12 12
| } ~ } | } ~ }
¬ ¡ § ¢ ¢ «
}
² ² ³
Marginal
} ~ }
}
}
} ~ }
III
5 6 8 10 12 12
Negligible ¬ ¢ © ¢ £ ¤ ¡ ¥
IV
10 11 12 12 12 12
c ´ µ ¶ µ · ¸ ¹ º » » ¾
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
c ´ µ ¶ µ · ¸ ¹ º » » ½
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
A W nonhazard A W nonhazard
B X HAZARD B X HAZARD
C Y nonhazard C Y nonhazard
D Z nonhazard D Z nonhazard
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
c ´ µ ¶ µ · ¸ ¹ º » » Í
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
and
or and
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
ò Ù Û Ô Ñ Þ Ý Ñ Ö Ð Ô Ñ à à â ì Ù Û Ô Ý Ô Ù Þ Ð õ Û Ñ à Ù Ð â
ã Û Ö Û ã á ã ç â ò Ù Ô Ù Ð Û Ñ Ö ç Ð Ù Ö ì Ù Ô ì ç
è é
Û Ñ à Ù Ð Û Ñ Ö Ñ Þ ã Û Ö Û ã á ã Û Ñ à Ù Ð Û Ñ Ö Ñ Þ ì Û ç Ð Ù Ö Ý â Ñ Ô Ð Û ã â Û Ñ à Ù Ð Û Ñ Ö Ñ Þ ã Û Ö Û ã á ã ç â ò Ù Ô Ù Ð Û Ñ Ö
Û Ö Ð Ô Ù Û à ç â ò Ù Ô Ù Ð Û Ñ Ö Ò ð Û à â ç â ò Ù Ô Ù Ð Û Ñ Ö ô â Ð Ò â â Ö ç Ð Ô â Ù ã ç ô â Ð Ò â â Ö Ù Ô Ô Û õ Ù à Ð Ô Ù Þ Þ Û Ý Ù Ö ì
Ñ Ö Þ Û Ö Ù à Ù ò ò Ô Ñ Ù Ý ð Ð Ñ Ñ Þ Ù Û Ô Ý Ô Ù Þ Ð à Ù Ö ì Û Ö Ø Ñ Ö ì Û Þ Þ â Ô â Ö Ð ì â ò Ù Ô Ð á Ô â Ð Ô Ù Þ Þ Û Ý Þ Ô Ñ ã Ö â Ù Ô ô î
ç Ù ã â Ô á Ö Ò Ù î Ô á Ö Ò Ù î ç Þ â â ì â Ô Ù Û Ô ò Ñ Ô Ð ç �
è é
ü ü
Ò Ñ Ù Û Ô Ý Ô Ù Þ Ð Ñ Ö Þ Û Ö Ù à Ò Ñ Ù Û Ô Ý Ô Ù Þ Ð à Ù Ö ì Û Ö Ø Ö Ù Û Ô Ý Ô Ù Þ Ð õ Û Ñ à Ù Ð â ç Ð ð â Ö Ù Û Ô Ý Ô Ù Þ Ð Þ Ù Û à ç
Ù ò ò Ô Ñ Ù Ý ð Ð Ñ ò Ù Ô Ù à à â à Ý Ñ Ö ç â Ý á Ð Û õ â à î Ñ Ö ì Û Þ Þ â Ô â Ö Ð Ö Ñ Ö Ð Ô Ù Ö ç Ø Ô â ç ç Û Ñ Ö Ñ Ö â Ð Ñ ã Ù ù â Ð á Ô Ö
Ô á Ö Ò Ù î ç Ö Ñ Ð ç ò Ù Ð Û Ù à à î Ô á Ö Ò Ù î ç Û Ö Û Ö Ð â Ô ç â Ý Ð Û Ö Ø Ñ Ô Ò ð Û à â Ù Û Ô ò Ñ Ô Ð Û ç Ý Ñ Ö ì á Ý Ð Û Ö Ø Þ Ô Ñ ã ô Ù ç â Ð Ñ
ç Ð Ù Ø Ø â Ô â ì � Ý Ñ Ö õ â Ô Ø Û Ö Ø Ñ ò â Ô Ù Ð Û Ñ Ö ç õ Û Ñ à Ù Ð â Û Ö ì â ò â Ö ì â Ö Ð
ó Ù ò ò Ô Ñ Ù Ý ð â ç Þ Û Ö Ù à Ù ò ò Ô Ñ Ù Ý ð �
ã Û Ö Û ã á ã ì Û Þ Þ â Ô â Ö Ý â Û Ö Ð Ñ ò Ù Ô Ù à à â à Ô á Ö Ò Ù î ç �
Ð ð Ô â ç ð Ñ à ì Ý Ô Ñ ç ç Û Ö Ø Ð Û ã â �
c ´ µ ¶ µ · ¸ ¹ º » » ý
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Ñ Ö Ð Ô Ñ à à â Ô Û Ö ç Ð Ô á Ý Ð Û Ñ Ö ç ì Ñ Ö Ñ Ð Ý Ù á ç â
Ù Û Ô Ý Ô Ù Þ Ð Ð Ñ ã Ù ù â Ö â Ý â ç ç Ù Ô î ç ò â â ì Ý ð Ù Ö Ø â
è é
æ æ æ æ æ
Ñ Ö Ð Ô Ñ à à â Ô ì Ñ â ç Ñ Ö Ð Ô Ñ à à â Ô Û ç ç á â ç Ñ Ö Ð Ô Ñ à à â Ô Û ç ç á â ç Ñ Ö Ð Ô Ñ à à â Ô Û ç ç á â ç Ñ Ö Ð Ô Ñ à à â Ô Û ç ç á â ç
Ö Ñ Ð Û ç ç á â ç ò â â ì Ù ò ò Ô Ñ ò Ô Û Ù Ð â ç ò â â ì Ù ò ò Ô Ñ ò Ô Û Ù Ð â ç ò â â ì ç ò â â ì Ù ì õ Û ç Ñ Ô î ç ò â â ì Ù ì õ Û ç Ñ Ô î
Ù ì õ Û ç Ñ Ô î Ù ì õ Û ç Ñ Ô î ô á Ð ò Û à Ñ Ð Ù ì õ Û ç Ñ Ô î Ù Ö ì ò Û à Ñ Ð Ð ð Ù Ð ì Ñ â ç Ö Ñ Ð Ð Ñ Ñ à Ù Ð â Ð Ñ Ù õ Ñ Û ì
ì Ñ â ç Ö Ñ Ð Ô â Ý â Û õ â Û Ð � Ô â Ý â Û õ â ç Û Ð ô á Ð ì Ñ â ç Ù õ Ñ Û ì ç â ò Ù Ô Ù Ð Û Ñ Ö ç â ò Ù Ô Ù Ð Û Ñ Ö
Ö Ñ Ð Þ Ñ à à Ñ Ò Û Ð � õ Û Ñ à Ù Ð Û Ñ Ö õ Û Ñ à Ù Ð Û Ñ Ö �
è é
æ
ï ö
ð î ç Û Ý Ù à á ã Ù Ö Ñ Ö Ð Ô Ñ à à â Ô Û ç ç á â ç
Ý Ñ ã ã á Ö Û Ý Ù Ð Û Ñ Ö Ý Ñ ã ã á Ö Û Ý Ù Ð Û Ñ Ö ç ò â â ì Ù ì õ Û ç Ñ Ô î
Þ Ù Û à á Ô â Þ Ù Û à á Ô â Ð Ñ Ò Ô Ñ Ö Ø Ù Û Ô Ý Ô Ù Þ Ð
è é è é
é é
ï þ
Ù ì Û Ñ Þ Ù Û à á Ô â Ù ì Û Ñ Ñ Ö Ò Ô Ñ Ö Ø ç î Ý ð Ñ à Ñ Ø Û Ý Ù à ç à Û ò Ô Ñ Ö Ø à Ù ô â à ó Ù ô â à Û Ö
Þ Ô â í á â Ö Ý î Ù ç ç Ñ Ý Û Ù Ð â ì Ò Û Ð ð ã Û ç à â Ù ì Û Ö Ø
Ù Û Ô Ý Ô Ù Þ Ð Ñ Ö ò à Ù Ý â Ñ Ö
ò à Ù Ö õ Û â Ò ì Û ç ò à Ù î ç Ý Ô â â Ö
c ´ µ ¶ µ · ¸ ¹ º » Î Î
¿ À
¸ Á Å Ç µ Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Requirements Completeness
c ´ µ ¶ µ · ¸ ¹ º » Î Í
¿ À
¸ Á Å Ç µ Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
I/O
I/O
À
µ Ë Ç µ Â µ ¹ Á · É ¹ Å Ê · Ë ·
Human−computer interface
c ´ µ ¶ µ · ¸ ¹ º » Î ¾
¿ À
¸ Á Å Ç µ Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Requirements Analysis
Completeness
c ´ µ ¶ µ · ¸ ¹ º » Î ½
¿ À
¸ Á Å Ç µ Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
µ · Ë ¹
c ´ µ ¶ µ · ¸ ¹ º Î ¼
µ · Ë ¹
HAZARD ELIMINATION
Substitution
Simplification
Decoupling
Elimination of human errors
Reduction of hazardous materials or conditions Decreasing cost
HAZARD REDUCTION Increasing effectiveness
Design for controllability
Barriers
Lockins, Lockouts, Interlocks
Failure Minimization
Safety Factors and Margins
Redundancy
HAZARD CONTROL
Reducing exposure
Isolation and containment
Protection systems and fail−safe design
DAMAGE REDUCTION
..
c ´ µ ¶ µ · ¸ ¹ º » »
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
STAMP
(Systems Theory Accident Modeling and Processes)
c ´ µ ¶ µ · ¸ ¹ º » ¼
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Preventing accidents
Hazard analysis
Design for safety
¿ ¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Chain−of−Events Models
c ´ µ ¶ µ · ¸ ¹ º »
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Chain−of−Events Example
Equipment
Operating damaged
pressure .
/ 1 , # , 1 + 5 1 6 1 7
! # % & ' ) ! # + ,
# = & / # ) # 8 8 & #
J
1 8 , 1 + 5 1 F # 8 >
AND OR
? ?
& , , 1 + 5 > ) C 1 , # / 1 E + / 8 ' + 6 ' C C + , = # 8 L ) # # + , ' + F ! # ) 8 8 ' E C # 1 F ! # + , 8 > ' , ' 8 ) # 8 8 & ' < # = >
8 , # # C , ) # # + , # = & / # 8 , # + F , A , # K , # + 8 ' # = 1 ! 1 F #
? ?
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
c ´ µ ¶ µ · ¸ ¹ º » ½
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
P R e T ` l n T e T Y e Y b T o ` R ` n c f P c z Y { Y R R j Y i Y R ` S Y j R ` o n z Y } ` ] Y e T Y
Z b X Y o b Y Y f Y ] n Y Z _ q i Y ] R c X o n Y i Y ] c e Y b T o X b P R ` ] b X i X R Z c Z e Y f X Z P
Z ` b X P R Z c Z e Y f e T P e S ] ` i X j Y Z S l ] S ` Z Y m n ` P R Z m P o j j Y b X Z X ` o b ] X e Y ] X P _
O P R S T V X R Y Z [ ] _
System accidents
Software error
c ´ µ ¶ µ · ¸ ¹ º » Î
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Human error
Deviation from normative procedure vs. established practice
Adaptation
Major accidents involve systematic migration of organizational
behavior under pressure toward cost effectiveness in an
aggressive, competitive environment.
c ´ µ ¶ µ · ¸ ¹ º » Í
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Design
Vessel Stability Analysis
Design
Shipyard
Equipment Impaired
load added stability
Harbor
Design Truck companies
Excess load routines
Passenger management
Cargo Excess numbers
Management
Berth design
Calais
Time pressure
Accident Analysis:
Operational Decision Making:
Combinatorial structure
Decision makers from separate of possible accidents
departments in operational context can easily be identified.
very likely will not see the forest
for the trees.
c ´ µ ¶ µ · ¸ ¹ º » ÿ
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
c ´ µ ¶ µ · ¸ ¹ º » ý
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Statistics
Treat as a structureless mass with interchangeable parts.
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
c ´ µ ¶ µ · ¸ ¹ º » ¾ ¼
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
Systems Theory
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
c ´ µ ¶ µ · ¸ ¹ º » ¾
¿ À À
· Á µ Â Ã Å Æ Å Ç È É ¹ Å Ê · Ë ·
¿
É
¿
É
c ´ µ ¶ µ · ¸ ¹ º » ½
¿
É
c ´ µ ¶ µ · ¸ ¹ º » Î ¼
¿
É
STAMP (2)
Views accidents as a control problem
e.g., O−ring did not control propellant gas release by
sealing gap in field joint
¿
É
Note:
Does not imply need for a "controller"
Component failures may be controlled through design
e.g., redundancy, interlocks, fail−safe design
or through process
manufacturing processes and procedures
maintenance procedures
c ´ µ ¶ µ · ¸ ¹ º » Î ¾
¿
É
Controller 1 Process 1
Controller 2 Process 2
Process Models ¿
É
Measured
variables
Sensors Process
inputs
Process
outputs
Actuators
Controlled
variables
c ´ µ ¶ µ · ¸ ¹ º » Î Î
¿
É
¿
µ
· ¸
É
¹
º
» Î Í
development process
physical laws
etc.
c ´ µ ¶ µ · ¸ ¹ º » Î ÿ
¿
É
Is it useful?
In preventing accidents
Hazard analysis
¿
É
c ´ µ ¶ µ · ¸ ¹ º » Î
¿
É
2. Dynamic structure
Shows how the safety control structure changed over time
3. Behavioral dynamics
Dynamic processes behind the changes, i.e., why the
system changes
c
ARIANE 5 LAUNCHER
OBC
Nozzle Booster
Executes flight program; A command Nozzles
Controls nozzles of solid
boosters and Vulcain Main engine
B command Main engine
cryogenic engine
Nozzle
Ariane 5: A rapid change in attitude and high aerodynamic loads stemming from a
high angle of attack create aerodynamic forces that cause the launcher
to disintegrate at 39 seconds after command for main engine ignition (H0).
Nozzles: Full nozzle deflections of solid boosters and main engine lead to angle
of attack of more than 20 degrees.
Unsafe Behavior: Control command sent to booster nozzles and later to main engine
nozzle to make a large correction for an attitude deviation that had not occurred.
Process Model: Model of the current launch attitude is incorrect, i.e., it contains
an attitude deviation that had not occurred. Results in incorrect commands
being sent to nozzles.
Control Algorithm Flaw: Interprets diagnostic information from SRI as flight data and
uses it for flight control calculations. With both SRI and backup SRI shut down
and therefore no possibility of getting correct guidance and attitude information,
loss was inevitable.
c
ARIANE 5 LAUNCHER
OBC
Nozzle Booster
Executes flight program; A command Nozzles
Controls nozzles of solid
boosters and Vulcain Main engine
B command Main engine
cryogenic engine
Nozzle
c á â ã â ä å æ ç è é ê
LMA System
Engineering IV&V Third Space Launch
Analex Squadron (3SLS)
LMA Quality (Responsible for ground
Software Design
Assurance Analex−Cleveland operations management)
and Development
verify design
LMA
Flight Control Software Analex Denver
IV&V of flight software
Honeywell Ground Operations
Aerospace IMS software (CCAS)
Monitor software
development and test
LMA FAST Lab
System test of INU Titan/Centaur/Milstar
Ø Ù Ú Û Ü Ý Þ ß à ß
Ì ¿ Í Î · Ï ³ ´ ¶ Á · ¹ ¿ Ð ¶ · Â
¥ ¦ § ¦ É ² ¬ Ê ¨ © Å ª © É ¢ ª ¡ ¬ ® £ Ç Å ± ª È ¡ Æ ¬ É
à ± ± £ Å ¬ Æ Ç « © ¬ « £ ± ¢ £ ¬ £ £ ¡ ¢ ª Å ¬ È £ © É ² ¬ Ê ¡ « ± ² ¢ ¢
³ ´ ¶ · ¹ ´ » ½ » ¿ À Á Â
¡ ¢ £ ¡ ¥ ¦ § ¦ ¨ © ª « ¬ ® £ ¬ ¢ ¢ ¡ ª ¬ ¡ « ± ² ¢ ± ª £ ¢ ¬ £ ¨
Ò ¢ ¢ Å £ ² ± ¬ Ó £ ± ² Å ª © ¬ ¬ ¡ ª Å ¬ È £ © É ¨ ± É ¡ ¬ £ ¬ ª ¡
¦ £ ± ¢ £ ¬ ¢ ¢ ¡ « ª ¡ ¬ £ ¡ ¬ Ê ² ¬ ¡ ª ¬ £ « ¬ ² £ ± « ª ¡ ¬ £ ¡ ¬
Î ¶ · ¿ » ´ × Î » ½ » ¿ À Á Â
Ö Ö
Õ ² ¡ ¢ © ¬ £ ¡ ¢ ¡ £ Ê ª ² ¬ È ® £ ¬ « ª ² ± ¢ Ê ¬ ¬ ¢
Õ ² ¡ ¢ © ¬ £ ¡ ¢ ¡ ª Å ± ª £ ¢ ¬ £ ¨ « © £ ¬ ª ¡ ¨ © ª «
. .
5 a E P ì O ì î 0 c V ò î 0 N ï ò 0 W O ò P ì ò ð ò ï S 0 ð S 0 D P ï S d ð 0 P D ï 0 N O ò í ï D 1 ì í D í ï î ï S ð ò a B S N ð ì í ] ì í B e D ï 0 ð W
System Hazard:
S 0 î D ó 0 ï ñ O ò í ï ð ò P î ï ð a O ï a ð 0 1 a î ï V ð 0 . 0 í ï 0 c V ò î a ð 0 ò ó ï S 0 V a E P ì O ï ò O ò í ï D 1 ì í D ï 0 N e D ï 0 ð W
c
System Safety Constraints:
á â ã â ä å æ ç è é n
f g h
4 D ï 0 ð i a D P ì ï ñ 1 a î ï í ò ï E 0 O ò 1 V ð ò 1 ì î 0 N W
f l h f h
5 a E P ì O S 0 D P ï S 1 0 D î a ð 0 î 1 a î ï ð 0 N a O 0 ð ì î ] ò ó 0 c V ò î a ð 0 ì ó e D ï 0 ð i a D P ì ï ñ ì î O ò 1 V ð ò 1 ì î 0 N 0 W B W m í ò ï ì ó ì O D ï ì ò í D í N V ð ò O 0 N a ð 0 î ï ò ó ò P P ò e
å ä ÷ â å ÷ ä æ ÷ å â å æ
ù ö õ ú ù ö ù ö ø ø õ ú ø ø ö
÷ â å ÷ ä ÷ â å ÷ ä
ù ö ù ö
M
^ 9 _
- L M
K ë 0 N ì O D P
? F
æ ä â å æ
ù ö
ë ì í ì î ï ð ñ ò ó
÷ â å ÷ ä ã ä å ÷ â ä ÷ æ æ ä
ù ö ô õ
R 0 D P ï S T 0 V ï W ò ó R 0 D P ï S
Q â ä ä
þ ü
ý
ö ú õ ô
÷ â å æ ä
ú õ ö
÷ â å ÷ å
ú õ ö ù ú
÷ â å ÷ ä
ù ö
ä ä
ö õ ö
â ÷ ä â ä
ô õ ö õ ø ù ú
÷ â + â ä ä
G â â ÷
õ ú
-
ò . 0 ð í 1 0 í ï
æ
5 ð ò . ì í O ì D P
â æ â ä ÷ â å ÷ ä ÷ â å ÷
ú ù ö ù ö
0 î ï ì í B C D E
-
ò . 0 ð í 1 0 í ï
@
÷ â å ÷ ä åå ææ ææ ææ ää
ù ö öö õõ øø õõ öö
â ÷ ä â ä
ô õ ö õ ø ù ú
æ ä â å æ æ å â ÷ ÷ â å ÷ ä
ù ö õ ö ù ö
Q â ä ä
ö ú õ ô
å ÷ æ â ÷ â ä â ä ÷ â â æ
ú õ ú ø õ ø ö
÷ â å ÷ å
ûû üü ý þ ÿ � � ý þ
ú õ ö ù ú
ë ì í ì î ï ð ñ ò ó
? Y Z ?
\ å ÷ æ å æ = â æ
ú õ ö ú ú ö
ï S 0 _ í . ì ð ò í 1 0 í ï
\ â ÷ â ä å ÷ å ã
ö õ ö ù ù õ ú
?
÷ â å ÷ ä â ÷ å ÷ â ÷ å æ
ù ö ù õ ö ö õ ö
â ÷
ô õ ö
4 D P ] 0 ð ï ò í 5 7 9
å ÷ æ å æ
ú õ ö
ë ì í ì î ï ð ñ ò ó ò V 0 ð D ï ì ò í î # $ % % ' # $ % % )
å â ä
ú
^ B ð ì O a P ï a ð 0 m 4 5 7 9 9 ò 1 1 ì î î ì ò í 0 ð î
Z
â
ä â â å æ
q ò ò N m D í N
Q â ä ä
ö ú õ ô
o a ð D P ^ ó ó D ì ð î
å æ ä
Porous bedrock
ø ù ú õ ö
?
ã â ÷ ä
ö
÷ â + â ä ä å ÷ æ å
Minimal overburden
ö
Heavy rains
4 D P ] 0 ð ï ò í
o 0 î ì N 0 í ï î
!
. .
c á â ã â ä å æ ç è é é
Dynamic Structure
å ä ÷ â å ÷ ä æ ÷ å â å æ
ù ö õ ú ù ö ù ö ø ø õ ú ø ø ö
÷ â å ÷ ä ÷ â å ÷ ä
ù ö ù ö
M
^ 9 _
- L M
K ë 0 N ì O D P
? F
æ ä â å æ
ù ö
ë ì í ì î ï ð ñ ò ó
÷ â å ÷ ä ã ä å ÷ â ä ÷ æ æ ä
ù ö ô õ
R 0 D P ï S T 0 V ï W ò ó R 0 D P ï S
Q â ä ä
þþ üü
ýý
ö ú õ ô
÷ â å æ ä
ú õ ö
3
÷ â å ÷ å â æ â ä
ú õ ö ù ú ú
÷ â å ÷ ä
ù ö
ä ä
ö õ ö
â ÷ ä â ä
ô õ ö õ ø ù ú
÷ â + â ä ä
G â â ÷
õ ú
-
ò . 0 ð í 1 0 í ï
æ
5 ð ò . ì í O ì D P
â æ â ä ÷ â å ÷ ä ÷ â å ÷
ú ù ö ù ö
0 î ï ì í B C D E
-
ò . 0 ð í 1 0 í ï
÷ â å ÷ ä @ åå ææ ææ ææ ää
ù ö öö õõ øø õõ öö
â ÷ ä â ä
ô õ ö õ ø ù ú
æ ä â å æ æ å â ÷ ÷ â å ÷ ä
ù ö õ ö ù ö
Q â ä ä
ö ú õ ô
å ÷ æ â ÷ â ä â ä ÷ â â æ
ú õ ú ø õ ø ö
÷ â å ÷ å
û ü ý þ ÿ � � ý þ
ú õ ö ù ú
ë ì í ì î ï ð ñ ò ó
? Y Z ?
\ å ÷ æ å æ = â æ
ú õ ö ú ú ö
ï S 0 _ í . ì ð ò í 1 0 í ï
\ â ÷ â ä å ÷ å ã
ö õ ö ù ù õ ú
?
÷ â å ÷ ä â ÷ å ÷ â ÷ å æ
ù ö ù õ ö ö õ ö
â ÷
ô õ ö
4 D P ] 0 ð ï ò í 5 7 9
å ÷ æ å æ
ú õ ö
ë ì í ì î ï ð ñ ò ó ò V 0 ð D ï ì ò í î # $ % % ' # $ % % )
å â ä
ú
^ B ð ì O a P ï a ð 0 m 4 5 7 9 9 ò 1 1 ì î î ì ò í 0 ð î
Z
â
= â ä â â å æ
q ò ò N m D í N
Q â ä ä
ö ú õ ô
o a ð D P ^ ó ó D ì ð î
?
ã â ÷ ä
ö
G æ
õ
æ
õ ú H
æ
å J
Porous bedrock
Minimal overburden
Heavy rains
4 D P ] 0 ð ï ò í 5 ð ì . D ï 0
o 0 î ì N 0 í ï î 0 î ï ì í B C D E
!
@
c } }
r s t u w
w
~
y z { | } ~
u
} | ~
} ~
{ } }
z ~ } ~ } { z ~
t s r
} | } { ¡ ~ }
} ~ } }
~ } { }
¥ z } ~
u
~ } }
} ~ } }
r
|
}
u t
z ~ ¨ ~ }
} | ~
u
w
} }
} | ~
} ~ ~
u u
} ~ { }
} ~
w
}
} ~ } }
} ~
}
} ~ } }
~ } } ~ } }
y } ~ } } ¨ ~ z
~ } { ¡ ~ } } ~ } }
r t r
z ~ ~ ~ } z ~ ~ z ~ {
r
} ~ ¦ } ~ }
w
z } ~
w
} } }
£
} ¥ z } } ~
© } ~ ~ ~
r r
z ~ { ~ }
} ~ ~ } ¤ } } « £ | ¡ ~ }
w
¨ } } ~ | ~ ~ £
w
} } }
¨ } ~ |
¦ ~ ~ }
¤ } ~ z ~ ¡ }
r
y
u u
} ~ { }
w
}
u
u u
} ~ { }
w
}
u
z ~ £
} ~ } }
u u
} ~ { } ¤ } ~
r t
y { }
w
} ~ } } }
¤ } ~ £
u
u u
} ~ { }
w
} z ¨
w
}
t t
¨ } } }
} z }
r
¨ y
} ~ } }
~ }
u r
y } ~ } } z ~ y
c á â ã â ä å æ ç è é Î
¹ Â » Í · Â ¹
Ë ° ¾ À À
Budget
cuts
Budget cuts
directed toward
safety
Safety
System Rate of
safety safety increase
efforts
Priority of
safety programs ³ ´
º » Á Â Ã º
¼ ½ ¾ ¿ À ±
º º Ä Å º Ç
¿ ° Æ
³ µ
¯ ° ± ° ² ² ¾
¶ · ¹ ¹ º » »
Complacency
External
Rate of increase
Pressure
in complacency
Performance
Pressure
Perceived
È µ
¼ ° ²
³ µ
¯ ° ± ° ²
Launch Rate
Success
Success Rate
Accident Rate
c
Steps in a STAMP analysis:
á â ã â ä å æ ç è Ï Ñ
1. Identify
System hazards
System safety constraints and requirements
Control structure in place to enforce constraints
c á â ã â ä å æ ç è Ï è
Hazard Analysis
Safety Metrics and Performance Auditing
Risk Assessment
c á â ã â ä å æ ç è Ï Ò
â
ä å
æ
ç
è Ï Ó
TCAS Hazards
1. A near mid−air collision (NMAC)
(a pair of controlled aircraft violate minimum separation
standards)
c á â ã â ä å æ ç è Ï n
Displays
Aural Alerts
Own and Other
Airline Aircraft Information
Ops
Operating
Mgmt. Mode TCAS
Pilot
Advisories
Aircraft
Operating TCAS
Airline Mode
Ops
Own and Other
Flight Data Mgmt. Aural Alerts Aircraft Information
Displays
Processor
Radar
c á â ã â ä å æ ç è Ï é
In general:
c á â ã â ä å æ ç è Ï Ï
Pilot:
1. The pilot does not follow the resolution advisory provided
by TCAS (does not respond to the RA)
2. The pilot incorrectly executes the TCAS resolution advisory.
3. The pilot applies the RA but too late to avoid the NMAC
4. The pilot stops the RA maneuver too soon.
c á â ã â ä å æ ç è Ï Ô
In general:
c á â ã â ä å æ ç è Ï Î
Step 4a: Augment control structure with process models for each
control component
Step 4c: Consider how designed controls could degrade over time
INPUTS FROM OWN AIRCRAFT c Ú Û Ü Û Ý Þ ß à á â ã
Radio Altitude
Radio Altitude Status Aircraft Altitude Limit Õ Ö × Ø Ù
c Ú Û Ü Û Ý Þ ß à á â á
Measured Õ Ö × Ø Ù
variables
Sensors Process
inputs
Process
outputs
Actuators
Controlled
variables
STPA − Step 4b: Examine control loop for potential to cause c Ú Û Ü Û Ý Þ ß à á â ä
c Ú Û Ü Û Ý Þ ß à á â å
over time.
Õ Ö × Ø Ù