EP7 - STPA (System Theoretical Process Analysis) - Thoughts from Dr. Nancy Leveson (Part 1)
Flight Test Safety Channel
Deep Dive
What inspired Dr. Nancy Leveson to develop STAMP and STPA?
Dr. Leveson was initially approached to address software safety in a Navy torpedo project in the 1980s. She realized that traditional safety and hazard analysis methods, developed for electromechanical systems, were inadequate for software-intensive systems. This led her to develop a new causality model that treats accidents as control problems rather than failures.
How does STAMP differ from traditional safety analysis methods?
STAMP shifts the focus from component failures to control problems. It considers unsafe interactions between components, human behavior, and other factors, providing a more comprehensive approach to accident prevention.
Which industries have widely adopted STAMP and STPA?
The automotive and aviation industries have embraced STAMP and STPA the most. Automobiles, especially autonomous vehicles, contain vast amounts of software, making STAMP crucial. Aviation companies like Embraer and defense sectors are also using it extensively.
What was a significant early success of STAMP in a real-world application?
STAMP was used in the U.S. missile defense system before deployment in 2004. It identified numerous paths to inadvertent launch, delaying deployment by six months and costing several hundred million dollars to fix, demonstrating its effectiveness.
What is the 'On the Web' segment about?
The 'On the Web' segment highlights resources available on the Flight Test Safety Committee's website, such as the updated Airshow Display Flight Guidance, which combines historical and contemporary airshow planning information.
What upcoming events are mentioned in the podcast?
The 2020 AIAA Aviation Forum will be a virtual event from June 15-19. The SATP Annual Symposium is planned for September 23-26 in Anaheim, California, with a paper submission deadline of June 15. The European Flight Test Safety Workshop is scheduled for October 13-16 in London, with a paper submission deadline of July 31.
- Dr. Leveson's initial involvement stemmed from a request for help with software safety in a Navy torpedo project.
- Existing safety analysis methods were inadequate for software-intensive systems due to their focus on component failures.
- STAMP treats accidents as control problems rather than simply component failures, encompassing unsafe interactions and human behavior.
- Real-world applications demonstrated STAMP's effectiveness in identifying hazards and reducing costs.
Shownotes Transcript
在本集中,您将听到与麻省理工学院的 Nancy Leveson 博士进行的关于 STPA 和 STAMP 的两部分访谈的第一部分。我们介绍了一个名为“网络上”的新环节,提供了我们关于即将举行的活动的最新信息以及本月飞行测试安全事实的亮点。 以下是 Leveson 博士主页的链接:麻省理工学院 Nancy Leveson 的主页 本播客由 Time2climb 培训和咨询赞助:www.time2climb.com </context> <raw_text>0 大家好,我是 Art Tomasetti,这是我们六月份播客的版本。在这个充满挑战的时代,我们将继续每月发布《飞行测试安全事实》通讯和本播客。由于这些新的挑战不仅影响着我们在飞行测试中的工作,也影响着我们的日常生活,我们必须继续保持警惕、适应并创新地管理风险和确保安全。与以往一样,我们希望听到您的反馈,请告诉我们您的想法以及您想了解的内容。
您可以通过您的播客下载网站提供评论,或发送电子邮件至 flighttestsafety.org 上的 FTSC。对于本月的重点主题,我很幸运地能够与 Nancy Levison 博士进行电话采访。她是航空航天学教授,也是麻省理工学院工程系统学教授。
Levinson 教授的研究课题包括系统安全、软件安全、软件和系统工程以及人机交互。本次访谈将分为两部分,本月和下个月各一部分。在第一部分中,Levinson 博士与我们分享了她对 STAMP(系统理论事故建模和过程)的看法,以及是什么激励她开发这个过程的。♪
感谢 Levison 博士今天加入我们。我想请问您能否简要描述一下是什么激励您开发 STAMP 和 STPA 的。
实际上,我的学位是……我拥有计算机科学博士学位,但当我第一次获得学位时,那是 40 年前的事了,我接到一个大型地面系统(当时被称为)的电话,他们当时正在为海军建造鱼雷。那是 1980 年,他们……
他们真的很担心。他们称之为软件安全问题,我说我从未听说过这样的事情。他们说,如果你能帮助我们,我们将不胜感激。我说,好吧,我不了解这方面的情况,但我可以试试。
这就是我开始参与这件事并意识到,并且我在这里学到了很多关于系统安全的知识,我意识到我们正在做的事情并不适用。
对于像这样的软件密集型系统。我们所有关于安全和危害分析的方法以及风险评估方法都是在 20 世纪 60 年代或之前开发的,当时我们所有的系统都是由机电组件组成的。事故中的问题是这些组件中的一个会发生故障。
但这并不是……突然之间,在 20 世纪 80 年代及以后,我们现在正在构建所有组件都存在灾难性风险的系统,系统的复杂性呈指数级增长,人类在系统中的作用正在发生变化,事故的原因也发生了变化。所以我决定我必须想出某种方法
好吧,我的第一种方法是尝试将软件和经过认证的人为因素添加到旧技术中,我意识到这永远行不通。
问题是旧技术的假设是事故是由组件故障引起的。但这不再是发生的事情了。事故的原因已经改变了。所以那时我开发了这个新的因果模型 SAMS。
SAMP 与其他方法的不同之处在于,它不是将事故视为由故障引起的,而是将其视为不是故障问题,而是一个控制问题。我们没有充分控制系统的行为。这包括组件故障,因为我们必须控制组件故障,但也包括其他事情,例如:
组件之间的不安全交互、不安全的人为行为以及其他事情,因此它是一个更通用的事故因果模型。因此,我们能够识别和防止更多数量的组件。
我第一次尝试这个方法时,当我第一次提出这个方法时,它与众不同。我真的很担心每个人都会认为我疯了。所以我确实谈到了它。但第一天,我们开始在一些项目上悄悄地尝试它。
但后来我的一个朋友在没有告诉我之前就知道我在做什么,在 2004 年部署和测试之前,它在美国(当时)新的美国导弹防御系统上进行了尝试。结果发现危险是不小心发射。结果发现,这两个在五个月内
一开始对系统一无所知的人发现了许多意外发射的途径,以至于发射部署被推迟了六个月,并且修复这两个发现的问题花费了数亿美元。所以我决定这会奏效。不仅效果很好,而且现在每次我们进行比较时,它都比旧技术好得多。
但事实证明它也更便宜。而且可以在更早的时候完成,我认为您可能在会议期间已经听说过,您可以利用这一点将安全性设计到系统中,而不是试图稍后再更改。
太好了,谢谢。那么,多年来以及今天,当您观察整个工业领域时,您看到哪些行业正在采用这个过程,以及它如何能够为他们提供更好、更安全的整体设计或安全流程?
首先,现在已有数百家公司在使用它。这可能是您可能从未听说过的最广泛使用的方法之一。它被广泛使用。它可能最常用于汽车和自动驾驶汽车,因为它们现在包含惊人的软件量。您今天驾驶的汽车包含 1 亿行软件代码。
可能已经翻了一番。它
我们说的是巨大的数量。您知道,想想 F-35,最新的、最棒的军用飞机,它可能拥有,我不知道,也许有 2500 万行代码。想想您的汽车有 1 亿行代码。因此,基本上,几乎每家汽车公司现在都在使用它,大多数自动驾驶汽车公司也是如此。但特斯拉除外,出于某种原因。
似乎认为他们比其他人更了解自己在做什么。第二大使用该技术的行业是航空业。
Embraer 正在使用他们的许多系统。国防航空业也在使用它。我们现在正在与陆军合作,参与未来的垂直起降项目,以帮助他们为未来设计更安全的飞行器,无论是有人驾驶还是无人驾驶。
其他行业的使用可能少于这三个行业,即航空、国防和汽车。我们下个月将继续进行与 Levinson 博士的访谈第二部分,届时她将继续分享她对 STAMP 和 STPA 的见解,并告诉我们她如何在她的过程中处理人为因素。
我们本月推出了一项名为“网络上”的新功能。这将重点介绍您可以在飞行测试安全委员会网页 www.flighttestsafety.org 上访问的信息。本月,我们重点介绍了网站“推荐实践”选项卡中最近更新的航展飞行指导。1987 年,SCTP 成立了一个航展安全委员会,成员包括 Joe Jordan、Bruce Peterson、Frank Sanders 和 Roy Marten。
他们的任务是记录来自经验丰富的航展飞行员的 SCTP 成员的经验教训。该委员会工作的成果是 Roy Martin 和 Frank Sanders 于 1989 年撰写的一篇题为《航展执行》的论文。2019 年,飞行测试安全委员会开始研究可以在飞行测试安全委员会网站“推荐实践”页面上共享的航展飞行推荐实践和参考资料。这些资源旨在帮助规划、准备和展示执行方面的考虑。
原始 1989 年 SETP 论文的要素已与当代航展规划信息相结合,以扩展早期论文中的概念。在本期《飞行测试安全事实》中,我们将发现欧洲航空安全局发布了垂直起降符合性提案,这肯定会成为一个讨论的焦点。
虚拟飞行测试安全研讨会行程报告。是的,我们知道这是一个虚拟活动,但由于我们都知道行程报告是什么,Pete Donath 先生与我们分享了他的笔记。最后,在主席专栏中,Tom Huff 提供了关于飞行测试安全的非凡见解。如果您目前没有收到《飞行测试安全事实》,您可以在我们的网站 www.flighttestsafety.org 上找到它。只需点击网页顶部的“新闻”即可。以下是我们目前了解的即将举行的活动。
提醒:由于团体活动的指南仍在不断变化和发展,请直接与主办方联系以获取最新的信息。2020 年 AIAA 航空论坛项目将是一个 100% 的虚拟活动,将于 6 月 15 日至 19 日举行。请查看 AIAA 网站以获取最新的信息和详细信息。
加利福尼亚州阿纳海姆市将于 9 月 23 日至 26 日举行的 SATP 年度研讨会和宴会继续推进。征文截止日期为 6 月 15 日。最后,定于 10 月 13 日至 16 日在英国伦敦举行的欧洲飞行测试安全研讨会。今年的主题是“通过增强的安全风险管理来提高飞行测试安全”。征文截止日期为 7 月 31 日。
本月就到这里。请下个月加入我们,收听与 Levinson 博士访谈的第二部分。我们一如既往地欢迎您的反馈,并请您与您认为会从中受益的团队和朋友分享。直到下次,请注意安全,保持聪明,做好准备。再见,各位。