1 / 32

Dipl.-Ing. Bernhard Kaiser Hasso-Plattner-Institut für Softwaresystemtechnik Tel. (0331) 5509-158

Berliner Arbeitskreis Sicherheit 27.08.03. Neue Ideen zur Fehlerbaumanalyse. Dipl.-Ing. Bernhard Kaiser Hasso-Plattner-Institut für Softwaresystemtechnik Tel. (0331) 5509-158 e-mail:bernhard.kaiser@hpi.uni-potsdam.de. Integration Entwicklung + Sicherheitsanalyse Component Fault Trees

jereni
Télécharger la présentation

Dipl.-Ing. Bernhard Kaiser Hasso-Plattner-Institut für Softwaresystemtechnik Tel. (0331) 5509-158

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Berliner Arbeitskreis Sicherheit 27.08.03 Neue Ideen zur Fehlerbaumanalyse Dipl.-Ing. Bernhard Kaiser Hasso-Plattner-Institut für Softwaresystemtechnik Tel. (0331) 5509-158 e-mail:bernhard.kaiser@hpi.uni-potsdam.de

  2. Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion Übersicht

  3. Konstruktion vs. Sicherheitsanalyse Risk Analysis konstruktiv: Anforderungsanalyse, Spezifikation analytisch: Validation konstruktiv: Entwurf Implementierung analytisch: Verifikation Hazard Analysis +

  4. Integration von Modellen • Die Techniken für Systemmodellierung und für Sicherheitsanalyse von eingebetteten Systemen sind bislang noch nicht konsistent verbunden. 2. Bedarf für automatisierbare Integration verschiedener Beschreibungstechniken besteht, da die Komplexität heutiger Systeme eine manuelle Durchführung der Sicherheits/Zuverlässigkeitsanalyse unmöglich macht. Arbeitsansatz: Integration vorhandener Techniken über ein durchgängiges Framework (formale "Universal"-Sprache + Toolsuite)

  5. Integration, z.B. Fehlerbaum/Zustandsdiagramm

  6. Anforderungen an Sprache für Framework • Systemaufbau und -verhalten • Korrektes und unkorrektes Verhalten • ausreichende Ausdrucksmächtigkeit (Zeitaussagen, Wahrscheinlichkeiten, Kausalfolgen, Annahmen) • Verschiedene Modelle pro Komponente • Qualifier • z.B. Severity: functional / degraded / safe-failed / safety-critical • Globale Referenzierung aller Betrachtungseinheiten • z.B. Filename.xml:Component3.FTAModel.Event7 • Abhängigkeiten für Analyse verfolgen • Separierung von Tool-Spezifika (z.B. Graphik)

  7. Gerichtete azyklische Graphen statt Bäume bereits in der Vergangenheit vorgeschlagen Neues Komponentenkonzept 2003 veröffentlicht und in UWG3 realisiert Temporale Aussagen, State/Event-Semantik Untersuchung der stochastischen Gesetzmäßigkeiten Sichtung verwandter Arbeiten Abbildung auf Markovketten, Automaten oder Petri-Netze Behandlung von mehr als zwei Zuständen wichtig für Einbindung von Automatenmodellen Idee: Multi-valued Decision Diagrams Erweiterung des Fehlerbaummodells

  8. Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion Übersicht

  9. Classical Module Concept = + Modules are Independent Subtrees. Modules allow decomposing the Fault Tree.

  10. Analysis by Modules Each Modul can be evaluated independently. The output of a Module is like a Basic event.

  11. Deficiencies of Classical Module Concept Technical Components often influence each other => Technical Components need not be Modules!

  12. Deficiencies of Classical Module Concept • Module Borders may be orthogonal to Component Borders • Attachment of (partial) Fault Trees to Components is not possible, if Components have external influences • Division of Labour (e.g Supplier / OEM) is not possible • Modelling of some Component by other models than Fault Trees is not possible

  13. New Component Concept + = "Component" means Technical Unit. Components may have Interfaces (Ports).

  14. Analysis by Components out1 = in1 & e1 => P(out1) = P(in1) * P(e1) Components are Boolean Formulas. Quantitative Analysis is possible after all Formulas have been integrated.

  15. Directed Acyclic Graphs Repeated Event Unique Event

  16. Components are Directed Acyclic Graphs • Directed Acyclic Graphs extend Trees • Explicit Repeated Events become Obsolete • Globally unique IDs distinguish Events • Each Component is an ID Namespace

  17. Component Reuse • Same Type of Component can be referenced several times • All internal events are independent ... contains 2 instances of ...

  18. Component Reuse File BrkSys.xml File WhlBrk.xml • Components may be developped independently • Components may be stored in different files or repositories • Division of Labour is possible

  19. Traditional FTA Downward Hierarchy Modules must be independent Modules <-> technical units Modules are like Basic Events Modules have a Probability Tree Structure Repeated Events No hierarchical Name Structure New Component Concept Inward Hierarchy Components with input ports Components = technical units Components are Formulas Modules have associated BDD Directed Acyclic Graph Unique Events Component = Name Space Differences

  20. Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion Übersicht

  21. Related Work • Dugan, Coppit, Sullivan: Dynamic Fault Trees (Dynamic Parts analyzed by Markov Models) • Thums, Reif, Schellhorn: FTs with Interval Timed Logic • Górski, Wardzinski: FTA with timed Gates (Specified in Z) • Buchacker: FTA + Stochastic Petri Nets • Hura, Atwood: FTA + Petri Nets • McDermid: FTA + Finite State Machines, autom. Generation • Leveson: Software Fault Trees • Segala et al: Probab. Automata • Liggesmeyer, Rothfelder: Automatic Generation of FTs

  22. Motivation: Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion Übersicht

  23. Zustands-/Ereignis-Semantik • Im Gegensatz zu existierenden Ansätzen hier Unterscheidung: • Zustand (dauert an) • Ereignis (Punktuelles Ereignis) • Erweiterte FT-Gates mit typisierten Eingängen/Ausgängen • Zustände/Ereignisse finden sich auch in anderen Modellen wieder • Grundlage für gemeinsame formale Modellierungssprache

  24. Neue Gates: Beispiele für AND Es gibt kein simples AND zwischen zwei Events!

  25. Formal Language for Integration

  26. Integration of Fault Trees traditional: proposed: States and Events become distinguishable. Typed Gates provide correct calculation rules.

  27. Integration of Markov Chains traditional: proposed: Transitions are displayed as probabilistic events. Events can be referenced by causal edges.

  28. Integration of StateCharts for Software traditional: proposed: Transition are displayed as events. Causal relations become visible.

  29. Software with Faults Additional states and transitions mark faulty behaviour. Need for manual techniques such as FMEA / HAZOP.

  30. Safety Analysis • Manual Steps: • Enrichment of Design Models by faulty behaviour • Safety modelling by traditional techniques (FTA, Markov Chain) • Translation of models into Formal Framework Language • Combination of Component Models at their Ports • Recursive resolution and analysis of required properties • Transformation to BDDs, MDDs, Stochastic Petri Nets, Markov Chains • Probabilistic Analysis by traditional techniques

  31. Motivation: Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion Übersicht

  32. Zusammenfassung und Diskussion • Integration von Beschreibungstechniken und Sicherheitsanalysetechniken für eingebettete Systeme • Formale Sprache vermittelt zwischen Modellen • Etablierte Modelle bedürfen teilweise der Formalisierung • Komponentenkonzept für Fehlerbäume ist eingeführt • Vorschlag: Zustands-/Ereignissemantik für Fehlerbäume • Werkzeug UWG soll Konzept realisieren (Sprache: XML)

More Related