dipl.-ing. bernhard kaiser hasso-plattner-institut für softwaresystemtechnik tel. (0331) 5509-158
Post on 17-Jan-2016
32 Views
Preview:
DESCRIPTION
TRANSCRIPT
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard KaiserHasso-Plattner-Institut für Softwaresystemtechnik
Tel. (0331) 5509-158e-mail:bernhard.kaiser@hpi.uni-
potsdam.de
Neue Ideen zur Fehlerbaumanalyse
Berliner Arbeitskreis Sicherheit 27.08.03
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 2Sicherheitskreis
27.08.03
Übersicht
Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der
Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 3Sicherheitskreis
27.08.03
Idee
+
konstruktiv:Anforderungsanalyse,
Spezifikation
konstruktiv:Entwurf
Implementierung
analytisch:Validation
analytisch:Verifikation
Konstruktion vs. Sicherheitsanalyse
RiskAnalysis
HazardAnalysis
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 4Sicherheitskreis
27.08.03
Integration von Modellen
Arbeitsansatz: Integration vorhandener Techniken über ein durchgängiges Framework
(formale "Universal"-Sprache + Toolsuite)
1. Die Techniken für Systemmodellierung und für Sicherheitsanalyse von eingebetteten Systemen sind bislang noch nicht konsistent verbunden.
2. Bedarf für automatisierbare Integration verschiedener Beschreibungstechniken besteht, da die Komplexität heutiger Systeme eine manuelle Durchführung der Sicherheits/Zuverlässigkeitsanalyse unmöglich macht.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 5Sicherheitskreis
27.08.03
Boiler
Valve
&"while"
boltbreaks
operating defective
springbreaks
initiation
explodes
Pressureexceeds
5MPa
Komponenten
Ereignisse
Zustände
kausale Folge
zeitliche Abfolge
logische Verknüpfung
Integration, z.B. Fehlerbaum/Zustandsdiagramm
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 6Sicherheitskreis
27.08.03
Anforderungen an Sprache für Framework Systemaufbau und -verhalten Korrektes und unkorrektes Verhalten ausreichende Ausdrucksmächtigkeit (Zeitaussagen,
Wahrscheinlichkeiten, Kausalfolgen, Annahmen) Verschiedene Modelle pro Komponente Qualifier
z.B. Severity: functional / degraded / safe-failed / safety-critical
Globale Referenzierung aller Betrachtungseinheiten z.B. Filename.xml:Component3.FTAModel.Event7
Abhängigkeiten für Analyse verfolgen Separierung von Tool-Spezifika (z.B. Graphik)
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 7Sicherheitskreis
27.08.03
Erweiterung des Fehlerbaummodells
Gerichtete azyklische Graphen statt Bäume bereits in der Vergangenheit vorgeschlagen
Neues Komponentenkonzept 2003 veröffentlicht und in UWG3 realisiert
Temporale Aussagen, State/Event-Semantik Untersuchung der stochastischen Gesetzmäßigkeiten
Sichtung verwandter Arbeiten
Abbildung auf Markovketten, Automaten oder Petri-Netze
Behandlung von mehr als zwei Zuständen wichtig für Einbindung von Automatenmodellen Idee: Multi-valued Decision Diagrams
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 8Sicherheitskreis
27.08.03
Übersicht
Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der
Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 9Sicherheitskreis
27.08.03
Classical Module Concept
=&
&
&
e1
e2
e3 e4
+&
e1transfer 1
&
&
e2
e4
transfer 1
e3
Modules are Independent Subtrees.Modules allow decomposing the Fault Tree.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 10Sicherheitskreis
27.08.03
Analysis by Modules
&
&e2
P=0.3
e3P=0.1
e4p=0.2
&
e1p=0.4
transfer1 ->virtual event
p=0.006
top-eventp=0.0024
transfer1 ->virtual event
p=0.006
Each Modul can be evaluated independently.The output of a Module is like a Basic event.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 11Sicherheitskreis
27.08.03
Deficiencies of Classical Module Concept
Technical Components often
influence each other
=>
Technical Componentsneed not be
Modules!
e1&
&
&e2
e3 e4
System
Sub-Component1
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 12Sicherheitskreis
27.08.03
Deficiencies of Classical Module Concept
Module Borders may be orthogonal to Component Borders
Attachment of (partial) Fault Trees to Components is not possible, if Components have external influences
Division of Labour (e.g Supplier / OEM) is not possible
Modelling of some Component by other models than Fault Trees is not possible
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 13Sicherheitskreis
27.08.03
New Component Concept
System Component1
&
&
System.e1p=0.4
System.e2P=0.1
System.e3p=0.2
&
Comp1.e1P=0.3
Sub-Component1 :Component1
Comp1.in1
Comp1.out1
System.out1
+=
"Component" means Technical Unit.Components may have Interfaces (Ports).
&
&
&
e1p=0.4
e2P=0.3
e3P=0.1
e4p=0.2
Sub-Component1
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 14Sicherheitskreis
27.08.03
Analysis by Components
Component1
&
Comp1.e1P=0.3
Comp1.in1
Comp1.out1
out1 = in1 & e1
=>
P(out1) = P(in1) * P(e1)
Components are Boolean Formulas.
Quantitative Analysis is possible after all Formulas have been
integrated.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 15Sicherheitskreis
27.08.03
Directed Acyclic Graphs
&
>=1
hose broken
>=1
hose broken
pressure supply failure pressure supply failure
&
>=1
hose broken
>=1
hose broken
pressure supply failure
Repeated Event Unique Event
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 16Sicherheitskreis
27.08.03
Components are Directed Acyclic Graphs
Directed Acyclic Graphs extend Trees Explicit Repeated Events become Obsolete Globally unique IDs distinguish Events Each Component is an ID Namespace
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 17Sicherheitskreis
27.08.03
Component Reuse
Braking System
&
FrontWheelBrk :WheelBrake
RearWheelBrk :WheelBrake
Pressure Supply Failure
WheelBrake
>=1
hose brokenin1
... contains2
instancesof ...
Same Type of Component can be referenced several times All internal events are independent
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 18Sicherheitskreis
27.08.03
Component Reuse
Braking System
&
FrontWheelBrk :WheelBrake
RearWheelBrk :WheelBrake
Pressure Supply Failure
WheelBrake
>=1
hose brokenin1
File BrkSys.xml File WhlBrk.xml
Components may be developped independently Components may be stored in different files or repositories Division of Labour is possible
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 19Sicherheitskreis
27.08.03
Differences
Traditional FTA Downward Hierarchy Modules must be
independent Modules <-> technical units Modules are like Basic
Events Modules have a Probability
Tree Structure Repeated Events No hierarchical Name
Structure
New Component Concept Inward Hierarchy Components with input ports Components = technical
units Components are Formulas Modules have associated
BDD
Directed Acyclic Graph Unique Events Component = Name Space
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 20Sicherheitskreis
27.08.03
Übersicht
Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen:
Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 21Sicherheitskreis
27.08.03
Related Work
Dugan, Coppit, Sullivan: Dynamic Fault Trees (Dynamic Parts analyzed by Markov Models)
Thums, Reif, Schellhorn: FTs with Interval Timed Logic Górski, Wardzinski: FTA with timed Gates (Specified in
Z) Buchacker: FTA + Stochastic Petri Nets Hura, Atwood: FTA + Petri Nets McDermid: FTA + Finite State Machines, autom.
Generation Leveson: Software Fault Trees Segala et al: Probab. Automata Liggesmeyer, Rothfelder: Automatic Generation of FTs
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 22Sicherheitskreis
27.08.03
Übersicht
Motivation: Integration Entwicklung + Sicherheitsanalyse
Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der
Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 23Sicherheitskreis
27.08.03
Zustands-/Ereignis-Semantik
Im Gegensatz zu existierenden Ansätzen hier Unterscheidung: Zustand (dauert an) Ereignis (Punktuelles Ereignis)
Erweiterte FT-Gates mit typisierten Eingängen/Ausgängen
Zustände/Ereignisse finden sich auch in anderen Modellen wieder
Grundlage für gemeinsame formale Modellierungssprache
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 24Sicherheitskreis
27.08.03
Neue Gates: Beispiele für AND
&
Battery isempty
Power Supplyis defective
Laptop isunavailable
&(SEQ)
Beamer isswitched
off
Beamer isshaken
Light bulbbreaks
1 2
3 min&
(H)
Leftbolt
breaks
Rightbolt
breaks
Metal platefalls down
Bolts arerepaired
R
&
Pressureexceeds
5MPaSafety Valve is
defective
Boiler explodes
Es gibt kein simples AND zwischen zwei Events!
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 25Sicherheitskreis
27.08.03
Formal Language for Integration
&
Basic Entities
Component State Event
Relations and Propositions
Logical JunctionTemporal Order
(Predecessor/Succesor Relation)Causal Order
(Trigger-Relation)
Component
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 26Sicherheitskreis
27.08.03
&
Boilerexplodes
Pressureexceeds
critical level
Safety Valve isdefective
&
Boilerexplodes
Pressureexceeds
critical levelSafety Valve is
defective
Integration of Fault Trees
traditional: proposed:
States and Events become distinguishable.Typed Gates provide correct calculation rules.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 27Sicherheitskreis
27.08.03
Integration of Markov Chains
bothunits ok
firstfailed
secondfailed
bothunitsfailed
bothunits ok
secondfailed
firstfailed
bothfailed
traditional: proposed:
Transitions are displayed as probabilistic events.
Events can be referenced by causal edges.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 28Sicherheitskreis
27.08.03
Integration of StateCharts for Software
gateopen
gateclosed
train detected /motor := down
train passed /motor := up
gateopen
gateclosed
GateController
train detected train passed
motor down motor up
traditional: proposed:
Transition are displayed as events.Causal relations become visible.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 29Sicherheitskreis
27.08.03
Software with Faults
gateopen
gateclosed
GateController
train detected train passed
motor down motor up
undefstate
distortedsensor signal
Additional states and transitions
mark faulty behaviour.
Need for manual techniques such as
FMEA / HAZOP.
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 30Sicherheitskreis
27.08.03
Safety Analysis
Manual Steps: Enrichment of Design Models by faulty behaviour Safety modelling by traditional techniques (FTA, Markov
Chain) Translation of models into Formal Framework
Language Combination of Component Models at their Ports Recursive resolution and analysis of required
properties Transformation to BDDs, MDDs, Stochastic Petri Nets,
Markov Chains Probabilistic Analysis by traditional techniques
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 31Sicherheitskreis
27.08.03
Übersicht
Motivation: Integration Entwicklung + Sicherheitsanalyse
Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der
Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion
Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer
Dipl.-Ing. Bernhard Kaiser, 32Sicherheitskreis
27.08.03
Zusammenfassung und Diskussion
Integration von Beschreibungstechniken und Sicherheitsanalysetechniken für eingebettete Systeme
Formale Sprache vermittelt zwischen Modellen Etablierte Modelle bedürfen teilweise der
Formalisierung Komponentenkonzept für Fehlerbäume ist eingeführt Vorschlag: Zustands-/Ereignissemantik für
Fehlerbäume Werkzeug UWG soll Konzept realisieren (Sprache:
XML)
top related