dipl.-ing. bernhard kaiser hasso-plattner-institut für softwaresystemtechnik tel. (0331) 5509-158

Fachgebiet: SoftwaretechnikProf. Dr.-Ing. habil. Peter Liggesmeyer

Dipl.-Ing. Bernhard KaiserHasso-Plattner-Institut für Softwaresystemtechnik

Tel. (0331) 5509-158e-mail:[email protected]

potsdam.de

Neue Ideen zur Fehlerbaumanalyse

Berliner Arbeitskreis Sicherheit 27.08.03

http://www.hpi.uni-potsdam.de/index.html


Dipl.-Ing. Bernhard Kaiser, 2Sicherheitskreis

27.08.03

Übersicht

Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der

Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion




27.08.03

Idee

+

konstruktiv:Anforderungsanalyse,

Spezifikation

konstruktiv:Entwurf

Implementierung

analytisch:Validation

analytisch:Verifikation

Konstruktion vs. Sicherheitsanalyse

RiskAnalysis

HazardAnalysis




27.08.03

Integration von Modellen

Arbeitsansatz: Integration vorhandener Techniken über ein durchgängiges Framework

(formale "Universal"-Sprache + Toolsuite)

1. Die Techniken für Systemmodellierung und für Sicherheitsanalyse von eingebetteten Systemen sind bislang noch nicht konsistent verbunden.

2. Bedarf für automatisierbare Integration verschiedener Beschreibungstechniken besteht, da die Komplexität heutiger Systeme eine manuelle Durchführung der Sicherheits/Zuverlässigkeitsanalyse unmöglich macht.




27.08.03

Boiler

Valve

&"while"

boltbreaks

operating defective

springbreaks

initiation

explodes

Pressureexceeds

5MPa

Komponenten

Ereignisse

Zustände

kausale Folge

zeitliche Abfolge

logische Verknüpfung

Integration, z.B. Fehlerbaum/Zustandsdiagramm




27.08.03

Anforderungen an Sprache für Framework Systemaufbau und -verhalten Korrektes und unkorrektes Verhalten ausreichende Ausdrucksmächtigkeit (Zeitaussagen,

Wahrscheinlichkeiten, Kausalfolgen, Annahmen) Verschiedene Modelle pro Komponente Qualifier

z.B. Severity: functional / degraded / safe-failed / safety-critical

Globale Referenzierung aller Betrachtungseinheiten z.B. Filename.xml:Component3.FTAModel.Event7

Abhängigkeiten für Analyse verfolgen Separierung von Tool-Spezifika (z.B. Graphik)




27.08.03

Erweiterung des Fehlerbaummodells

Gerichtete azyklische Graphen statt Bäume bereits in der Vergangenheit vorgeschlagen

Neues Komponentenkonzept 2003 veröffentlicht und in UWG3 realisiert

Temporale Aussagen, State/Event-Semantik Untersuchung der stochastischen Gesetzmäßigkeiten

Sichtung verwandter Arbeiten

Abbildung auf Markovketten, Automaten oder Petri-Netze

Behandlung von mehr als zwei Zuständen wichtig für Einbindung von Automatenmodellen Idee: Multi-valued Decision Diagrams




27.08.03

Übersicht

Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der





27.08.03

Classical Module Concept

=&

&

&

e1

e2

e3 e4

+&

e1transfer 1

&

&

e2

e4

transfer 1

e3

Modules are Independent Subtrees.Modules allow decomposing the Fault Tree.




27.08.03

Analysis by Modules

&

&e2

P=0.3

e3P=0.1

e4p=0.2

&

e1p=0.4

transfer1 ->virtual event

p=0.006

top-eventp=0.0024

transfer1 ->virtual event

p=0.006

Each Modul can be evaluated independently.The output of a Module is like a Basic event.




27.08.03

Deficiencies of Classical Module Concept

Technical Components often

influence each other

=>

Technical Componentsneed not be

Modules!

e1&

&

&e2

e3 e4

System

Sub-Component1




27.08.03

Deficiencies of Classical Module Concept

Module Borders may be orthogonal to Component Borders

Attachment of (partial) Fault Trees to Components is not possible, if Components have external influences

Division of Labour (e.g Supplier / OEM) is not possible

Modelling of some Component by other models than Fault Trees is not possible




27.08.03

New Component Concept

System Component1

&

&

System.e1p=0.4

System.e2P=0.1

System.e3p=0.2

&

Comp1.e1P=0.3

Sub-Component1 :Component1

Comp1.in1

Comp1.out1

System.out1

+=

"Component" means Technical Unit.Components may have Interfaces (Ports).

&

&

&

e1p=0.4

e2P=0.3

e3P=0.1

e4p=0.2

Sub-Component1




27.08.03

Analysis by Components

Component1

&

Comp1.e1P=0.3

Comp1.in1

Comp1.out1

out1 = in1 & e1

=>

P(out1) = P(in1) * P(e1)

Components are Boolean Formulas.

Quantitative Analysis is possible after all Formulas have been

integrated.




27.08.03

Directed Acyclic Graphs

&

>=1

hose broken

>=1

hose broken

pressure supply failure pressure supply failure

&

>=1

hose broken

>=1

hose broken

pressure supply failure

Repeated Event Unique Event




27.08.03

Components are Directed Acyclic Graphs

Directed Acyclic Graphs extend Trees Explicit Repeated Events become Obsolete Globally unique IDs distinguish Events Each Component is an ID Namespace




27.08.03

Component Reuse

Braking System

&

FrontWheelBrk :WheelBrake

RearWheelBrk :WheelBrake

Pressure Supply Failure

WheelBrake

>=1

hose brokenin1

... contains2

instancesof ...

Same Type of Component can be referenced several times All internal events are independent




27.08.03

Component Reuse

Braking System

&

FrontWheelBrk :WheelBrake

RearWheelBrk :WheelBrake

Pressure Supply Failure

WheelBrake

>=1

hose brokenin1

File BrkSys.xml File WhlBrk.xml

Components may be developped independently Components may be stored in different files or repositories Division of Labour is possible




27.08.03

Differences

Traditional FTA Downward Hierarchy Modules must be

independent Modules <-> technical units Modules are like Basic

Events Modules have a Probability

Tree Structure Repeated Events No hierarchical Name

Structure

New Component Concept Inward Hierarchy Components with input ports Components = technical

units Components are Formulas Modules have associated

BDD

Directed Acyclic Graph Unique Events Component = Name Space




27.08.03

Übersicht

Integration Entwicklung + Sicherheitsanalyse Component Fault Trees Temporale Semantik von Fehlerbäumen:

Stand der Technik Eigener Vorschlag: Zustand vs. Ereignis Zusammenfassung und Diskussion




27.08.03

Related Work

Dugan, Coppit, Sullivan: Dynamic Fault Trees (Dynamic Parts analyzed by Markov Models)

Thums, Reif, Schellhorn: FTs with Interval Timed Logic Górski, Wardzinski: FTA with timed Gates (Specified in

Z) Buchacker: FTA + Stochastic Petri Nets Hura, Atwood: FTA + Petri Nets McDermid: FTA + Finite State Machines, autom.

Generation Leveson: Software Fault Trees Segala et al: Probab. Automata Liggesmeyer, Rothfelder: Automatic Generation of FTs




27.08.03

Übersicht

Motivation: Integration Entwicklung + Sicherheitsanalyse

Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der





27.08.03

Zustands-/Ereignis-Semantik

Im Gegensatz zu existierenden Ansätzen hier Unterscheidung: Zustand (dauert an) Ereignis (Punktuelles Ereignis)

Erweiterte FT-Gates mit typisierten Eingängen/Ausgängen

Zustände/Ereignisse finden sich auch in anderen Modellen wieder

Grundlage für gemeinsame formale Modellierungssprache




27.08.03

Neue Gates: Beispiele für AND

&

Battery isempty

Power Supplyis defective

Laptop isunavailable

&(SEQ)

Beamer isswitched

off

Beamer isshaken

Light bulbbreaks

1 2

3 min&

(H)

Leftbolt

breaks

Rightbolt

breaks

Metal platefalls down

Bolts arerepaired

R

&

Pressureexceeds

5MPaSafety Valve is

defective

Boiler explodes

Es gibt kein simples AND zwischen zwei Events!




27.08.03

Formal Language for Integration

&

Basic Entities

Component State Event

Relations and Propositions

Logical JunctionTemporal Order

(Predecessor/Succesor Relation)Causal Order

(Trigger-Relation)

Component




27.08.03

&

Boilerexplodes

Pressureexceeds

critical level

Safety Valve isdefective

&

Boilerexplodes

Pressureexceeds

critical levelSafety Valve is

defective

Integration of Fault Trees

traditional: proposed:

States and Events become distinguishable.Typed Gates provide correct calculation rules.




27.08.03

Integration of Markov Chains

bothunits ok

firstfailed

secondfailed

bothunitsfailed

bothunits ok

secondfailed

firstfailed

bothfailed


Transitions are displayed as probabilistic events.

Events can be referenced by causal edges.




27.08.03

Integration of StateCharts for Software

gateopen

gateclosed

train detected /motor := down

train passed /motor := up

gateopen

gateclosed

GateController

train detected train passed

motor down motor up


Transition are displayed as events.Causal relations become visible.




27.08.03

Software with Faults

gateopen

gateclosed

GateController

train detected train passed

motor down motor up

undefstate

distortedsensor signal

Additional states and transitions

mark faulty behaviour.

Need for manual techniques such as

FMEA / HAZOP.




27.08.03

Safety Analysis

Manual Steps: Enrichment of Design Models by faulty behaviour Safety modelling by traditional techniques (FTA, Markov

Chain) Translation of models into Formal Framework

Language Combination of Component Models at their Ports Recursive resolution and analysis of required

properties Transformation to BDDs, MDDs, Stochastic Petri Nets,

Markov Chains Probabilistic Analysis by traditional techniques




27.08.03

Übersicht

Motivation: Integration Entwicklung + Sicherheitsanalyse

Component Fault Trees Temporale Semantik von Fehlerbäumen: Stand der





27.08.03

Zusammenfassung und Diskussion

Integration von Beschreibungstechniken und Sicherheitsanalysetechniken für eingebettete Systeme

Formale Sprache vermittelt zwischen Modellen Etablierte Modelle bedürfen teilweise der

Formalisierung Komponentenkonzept für Fehlerbäume ist eingeführt Vorschlag: Zustands-/Ereignissemantik für

Fehlerbäume Werkzeug UWG soll Konzept realisieren (Sprache:

XML)


dipl.-ing. bernhard kaiser hasso-plattner-institut für softwaresystemtechnik tel. (0331) 5509-158

Documents