Sicherheit mit STAMP-Framework, STPA und CAST
January 22, 2024 | 8:00 am
CST
Das Systems-Theoretic Accident Model and Processes (STAMP) Framework ist ein auf der Systemtheorie basierendes Unfallkausalitätsmodell, das von Nancy Leveson entwickelt wurde. Sie ist Professorin für Luft- und Raumfahrt am MIT und arbeitet seit 37 Jahren auf dem Gebiet des Safety Engineering in verschiedenen Bereichen (Luft- und Raumfahrt, Verteidigung, Kernenergie, Gesundheitswesen, petrochemische Anlagen usw.). STAMP stellt ein neues Paradigma für System Safety Engineering dar und wird zunehmend überall im Verkehrssektor eingesetzt. Im Folgenden geben wir eine kurze Einführung in STAMP und die damit verbundenen Verfahren Systems-Theoretic Process Analysis (STPA) und Causal Analysis Using System Theory (CAST).
Hintergrund zur System- und Kontrolltheorie
Zwischen Systemtheorie und Systems Engineering gibt es eine wichtige Unterscheidung, die dabei hilft, STAMP zu verstehen. Die Systemtheorie ist eine komplexe, interdisziplinäre Wissenschaft bei der es darum geht, jede Einheit als System zu untersuchen, um ihre Struktur vollständig zu verstehen.
Die Kontrolltheorie befasst sich mit der Steuerung dynamischer Systeme in technischen Prozessen und Maschinen. Modellierung, Rückkopplung, Steuerung und Beobachtbarkeit sind Schlüsselkonzepte, die in STAMP häufig verwendet werden. STAMP führt die beiden theoretischen Modelle auf strukturierte Weise zusammen, um Unfallursachen und mangelhafte Steuerung zu identifizieren, die zu Schäden führen.
Im Internet finden sich umfangreiche Informationen zu STAMP. Zwar finden sich viele der Prinzipien von STAMP bereits in früheren Arbeiten von Dr. Nancy G. Leveson, doch wurde die Benennung STAMP erst in dem 2004 veröffentlichten Artikel „A New Accident Model for Engineering Safer Systems“ eingeführt, in dem die Grundlagen und Grundprinzipien von STAMP erläutert wurden.
STAMP ist keine Methode und kein Tool, sondern ein Framework. STAMP beinhaltet derzeit zwei verwandte Methoden:
- Systems-Theoretic Process Analysis – STPA
- Causal Analysis Using System Theory – CAST
STPA-Grundlagen
STPA ist eine Methode zur Erkennung von Gefahren, die sich aus unsicheren Kontrollaktionen ergeben können. Um solche Gefahren erkennen zu können, entwickelte Dr. Leveson einen strukturierten Ansatz, der aus vier wichtigen Schritten besteht. Unsere Experten verwenden STPA, um die Analyse der funktionalen Sicherheit in verschiedenen Phasen der Produktentwicklung zu unterstützen. Sie haben festgestellt, dass das Kontrollmodell vor allem für komplexere Systeme wie etwa autonome Systeme und Cybersecurity nützlich ist.
CAST-Grundlagen
CAST ist eine Methode zur Erkennung unzureichender Steuerung, die zu einem Unfall führen könnte. Mithilfe einer CAST-Analyse vergangener Unfälle kann man anhand eines ähnlich strukturierten kontrolltheoretischen Ansatzes weitere Erkenntnisse darüber gewinnen, was schief gelaufen ist. Im Folgenden werden die grundlegenden Schritte beschrieben:
Das von STPA und CAST verwendete Framework basiert auf einem ähnlich strukturierten Ansatz: Erfassung der Eingabedaten, Modellierung einer Kontrollstruktur, Analyse der unsicheren Kontrollaktionen/-fehler und anschließende Schadensbegrenzung. Dieser Ansatz beruht auf einer Denkweise, die sich auf die Beziehungen oder Interaktionen zwischen Steuerungselementen innerhalb eines Steuerungssystems konzentriert. Das kann ungewohnt sein, wenn man mit traditionellen Sicherheitsansätzen vertraut ist. Dr. Leveson führte auch eine neue Terminologie und ein neues Framework ein, die in Kombination mit herkömmlichen Techniken eine ganzheitlichere und umfassendere Erkennung potenzieller Ursachen und entsprechender Abhilfemaßnahmen ermöglichen. Die Vorteile sind auf viele sicherheitsrelevante Branchen und Sektoren anwendbar.
Vergleich von STAMP mit anderen Ansätzen
Unsere Experten verwenden für die Sicherheitsanalyse verschiedene Frameworks, darunter die Fehlermöglichkeits- und Einflussanalyse &(FMEA), die STPA und die Fehlerbaumanalyse (FTA). Je nach System, Betriebsumgebung, Umfang der Analyse und Anwendung hat jedes Framework seine Vor- und Nachteile. Beim Vergleich der Systeme konnten wir keinen klaren Favoriten feststellen. STAMP bietet jedoch einen ergänzenden Analyseansatz zur traditionellen Sicherheitsanalyse: Es modelliert Unfälle anhand eines kontrolltheoretischen Modells anstelle eines Fehlermanagementmodells. Ein wesentlicher Vorteil von STAMP ist, dass man damit Interaktionen innerhalb der Kontrollstruktur aufzeigen kann, um Schwachstellen zu identifizieren, die zu Unfällen oder, wie STPA es nennt, zu Verlusten führen können. Die Kombination traditioneller Ansätze mit STAMP bei der Gefahrenanalyse erlaubt einen umfassenden Sicherheitsnachweis, der die Implementierung in Advanced Driver Assistance Systems (ADAS) und Automated Driving Systems (ADS) stark begünstigt.
| Ähnlichkeiten | Unterschiede |
| Iterative systematische Analyseverfahren | STAMP basiert auf der Systemtheorie und nicht auf der Zuverlässigkeitstheorie |
| Abhängig von Dokumentation und Traceability | STAMP hat eine stark hierarchische Struktur |
| Flexibel, kann in jedem Entwicklungsstadium eingesetzt werden | STAMP konzentriert sich auf Kontrollaktionen und nicht auf Fehler oder Störungen |
| Erkennung potenzieller Gefahrenursachen | STAMP-Ausgaben sind qualitativer |
| In zahlreichen Branchen eingesetzt | STAMP überzeugt durch höhere Komplexität |
*UL Solutions steht in keiner Verbindung zu Dr. Leveson. Alle Meinungen und Analysen in diesem Artikel sind ausschließlich die von UL Solutions.