TTK2 Design og analyse for funksjonell sikkerhet

(Modulen ble første gang gjennomført høsten 2019)

Ansvarlig: Professor Mary Ann Lundteigen, mary.a.lundteigen@ntnu.no

Utstyr og systemer som skal beskytte mennesker, miljø, eller kritisk infrastruktur mot skade defineres som sikkerhetskritisk. Eksempler er systemer for brann og gassdeteksjon, systemer for nødavstengning og systemer som skal koble til eller fra nødkraft. Utstyr som i utgangspunktet er bygget for å ivareta styring og ikke bare sikkerhet, men som ved feil kan resultere i alvorlige ulykker, kan også falle inn i denne kategorien. Eksempler her er «adaptiv cruise control» og «lane assist» (i biler) og en del funksjonalitet i autonome fartøyer. Dersom du er involvert i å utvikle, bygge, eller drifte slike systemer, er det viktig å kjenne til aktuelle regelverk og standarder. Disse stiller krav og føringer til hvordan man skal gå frem for å sikre at systemet blir trygt nok. Eksempler på føringer kan være bruke spesielle metoder for å avdekke måter systemet kan feile på og effekten av tiltak for å redusere disse.

Innenfor kybernetikk er det spesielt relevant å forstå betydningen av «funksjonell sikkerhet». Dette er den delen av sikkerheten som ivaretas av elektroniske og programmerbare systemer. Dette inkluderer sensorer, kontrollere, pådragsorgan og tilhørende utstyr for kommunikasjon og brukergrensesnitt. Fordi tap av sikkerhet, inkludert tap av funksjonell sikkerhet, kan medføre både lidelser og skade, er det i regelverk og standarder gitt strengere krav til utviklingsarbeid og valg av utstyr enn det som er tilfelle for utvikling av andre (ikke-kritiske) styringssystemer. For å ivareta funksjonell sikkerhet, benyttes ofte IEC 61508 av utstyrsprodusenter som leverer utstyr til sikkerhetssystemer i ulike bransjer. Det finnes også bransjestandarder for funksjonell sikkerhet (for biler, for maskiner, for prosessindustrien, etc), men disse bygger på krav og prinsipper fra IEC 61508.

Formålet med denne fordypningsmodulen er å bli kjent med metoder, krav og føringer som funksjonell sikkerhet gir til design av et system, med utgangspunkt i IEC 61508. Dette inkluderer å bruke risikovurdering til å utvikle designkrav og sette krav til pålitelighet, å utføre feilidentifisering for en teknisk løsning (hardware og software), og kunne identifisere nøkkelparametere som har betydning for å forbedre påliteligheten. Vi vil også kort adressere cybersikkerhet og koblingen mellom cybersikkerhet og funksjonell sikkerhet.

Etter å ha tatt denne fordypningsmodulen, skal studenter være i stand til å koble metoder og begreper diskutert i emnet til et valgt system som 1-2 studenter velger som «case».

Oppstart (august) Det blir i august sendt ut en epost med litt praktisk informasjon og link til litteratur som inngår i emnet og som studentene kan starte med å gjøre seg kjent med. Her vil også bli bedt om å velge ut et system som case for å anvende teori og metoder som diskuteres i samlingene. Her kan enten studenter velge å jobbe alene eller i grupper av 2 personer.

Gjennomføring (sept-nov) Seminarer av 2-3 timer ca hver 2-3 uker for diskusjon/gjennomgang tema (i plenum).I forbindelse med hvert seminar utarbeides spørsmål/oppgaver som skal jobbes med i forbindelse med valgt case. Her må litteratur som er delt ut brukes som støtte til arbeidet. Resultatet skal ende ut i en presentasjon (powerpoint eller lignende) som presenterer løsning/utdrag til løsning på spørsmål/oppgaver tatt opp i seminarene.

Eksamen: Muntlig eksamen. Studenten bringer med presentasjonen utarbeidet underveis i semesteret og sensor vil velge ut noen få tema under eksamineringen som presenteres og diskuteres av studenten.

Foreløpig utkast til seminarplan (mer nytt rom pga antall deltagere!):

• Seminar 1: Oppstart og IEC 61508 (Torsdag 3.9 kl 13-16. F2)
  • Praktisk om TTK2
  • Betydningen vi legger i funksjonell sikkerhet
  • Livssyklus og utviklingsprosess (steg og faser)
  • Første fem faser: Formål med en risikoanalyse
  • Begrepet SIL - safety integrity level
  • Sikkerhetsssystem vs sikkerhetsfunksjon(er)

• Initiere prosess valg av case i gruppearbeid

• Seminar 2: Systembeskrivelse og feilanalyse (Fredag 11.9 kl 9:15-12. F2)
  • Systembeskrivelse
    • Funksjonelt blokkdiagram
    • System dekomponering
    • System layout
  • Feilklassifisering
    • Hvorfor viktig
    • Årsak vs konsekvens
    • IEC 61508
  • Feilanalyse - FMECA:
    • Betydning generelt og for funksjonell sikkerhet
    • FMECA tabell
    • Trinn for gjennomføring av FMECA
    • Topdown vs bottom up
    • Eksempler
    • FMEDA - en variant av FMECA

• Seminar 3: Modeller for systempålitelighet (Fredag 25.9 kl 9:15-12. F2)
  • Pålitelighetsnettverk
    • Prinsipp
    • Strukturfunksjon - serie, parallel
    • Pålitelighetsfunksjon
  • Feiltreanalyse
    • Prinsipp
    • Struktur: Topphendelse, porter (AND/OR), «basic events»
    • Minimale cutset
    • Feilfunksjon
  • Markov-analyse:
    • Gjennomgås ikke i detalj, blir bare nevnt i forhold til RBD og FTA

• Seminar 4: Metoder for å avdekke systemiske feil (Fredag 9.10 kl 9:15-12. F2)
  • Systemisk feil
  • STPA (systems theoretic process analysis) (se merknad)

• Seminar 5: Strukturkrav og fellesfeil (Fredag 23.10 kl 10:15-13. F2)
  • Utforming hardwareløsning (strukturkrav)
  • Systematic capability
  • Unngå/håndtere fellesfeil

• Seminar 6: Beregning av pålitelighet (Fredag 6.11 kl 9:15-12. F2)
  • Reptisjon pålitelighetsberegning
  • Fokus fellesfeil

• Seminar 7: Studentpresentasjoner (Fredag 13.11. kl 9:15-12:00. Digitalt/Zoom)
  • Hensikten er at gruppene presenterer og får tilbakemelding på presentasjonenr (så langt de er kommet)

• Seminar 8: Oppsummering og refleksjon (Fredag 20.11* kl 10:15-12. Digitalt/Zoom)
  • Diskusjon/spørsmål om studentenes case
  • NB: Kanskje flytter vi frem dette seminaret, så det ikke kommer så tett opp i eksamen!

• Muntlig eksamen: 26.11 (se tidspunkt angitt i plan). Digitalt/Zoom.

Merknad: STPA er ikke en metode som nevnes i IEC 61508, men da IEC 61508 ikke er så konkret på valg av metoder for avdekke mulige logiske feil i samspillet mellom logikk/styring og sensorer/pådragsorgan.

• Notat om IEC 61508 (lastet opp på teams som opprettes)
• Kapittel 1-3 + 5 (5.2, 5.3.1-5.3.4) i boka Reliability of Safety-Critical Systems (M. Rausand)
• Kapittel 1-3 i boka Systems reliability theory (M. Rausand)
• STPA håndbok STPA handbook
• STPA paper: STPA anvendt på bil
• Oppslag i IEC 61508 (etter behov)
• Artikkel: Architectural constraints in IEC 61508: Do they have the intended effects
• Slides om pålitelighetsnettverk (RBD)
• Slides om feiltre og feiltreanalyse (FTA)

Det er ikke regneøvinger i denne fordypningsmodulen, men studentene forventes å jobbe med spørsmål/tema knyttet til case og bruke dette til å forberede en presentasjon der deler brukes under muntlig eksamen.

Muntlig. Utgangspunkt for utspørring er spørsmålene studentene har jobbet med.