14.7.2009 eingebettete systeme qualität und produktivität prof. dr. holger schlingloff institut...
TRANSCRIPT
14.7.2009
Eingebettete SystemeQualität und Produktivität
Prof. Dr. Holger SchlingloffInstitut für Informatik der Humboldt Universität
und
Fraunhofer Institut für Rechnerarchitektur und Softwaretechnik
14.7.2009 Folie 2H. Schlingloff, Eingebettete Systeme
War wir bislang hatten
1. Einführungsbeispiel (Mars Polar Lander)2. Automotive Software Engineering3. Anforderungsdefinition und -artefakte4. Modellierung
• physikalische Modellierung• Anwendungs- und Verhaltensmodellierung• Berechnungsmodelle, zeitabhängige & hybride Automaten• Datenflussmodelle (Katze und Maus)
5. Regelungstechnik• PID-Regelung• HW für Regelungsaufgaben• speicherprogrammierbare Steuerungen
6. Fehler und Fehlertoleranz7. Qualitätsnormen
14.7.2009 Folie 3H. Schlingloff, Eingebettete Systeme
Sicherheits-Lebenszyklus
• Analyse der Bedrohung durch das EUC
• Ableitung von Sicherheitsanforderungen
• Planung und Realisierung von Sicherheitsmechanismen
• Validierung und Betrieb der Systeme
14.7.2009 Folie 4H. Schlingloff, Eingebettete Systeme
Gefährdungs- und Risikoanalyse
• Gefährdung: potentielle Schadensquelle• Risiko: Verbindung / Kombination der Auftretenswahrscheinlichkeit
eines Schadens und des zugehörigen Schadensausmaßes
• Auftretenswahrscheinlichkeit: der Parameter des Risikos, der Auskunft über die Wahrscheinlichkeit gibt, mit der eine identifizierte Gefährdung bzw. ihre Ursache in der Praxis tatsächlich auftreten könnte. Eintrittswahrscheinlichkeit Entdeckungswahrscheinlichkeit Möglichkeit zur Gefahrenabwendung
• Schadensausmaß: quantitatives Maß für die möglichen Folgen / Konsequenzen einer Gefährdung
• Sicherheit: Freiheit von nicht akzeptablen Risiken
Risiko = Eintrittswahrscheinlichkeit * Schadensausmaß
14.7.2009 Folie 5H. Schlingloff, Eingebettete Systeme
IEC 61508 Prozess
14.7.2009 Folie 6H. Schlingloff, Eingebettete Systeme
Risikoanalyse
• Risiko = Eintrittswahrscheinlichkeit * Schadensausmaß z.B. Aktienkursverlust
• Problem bei sehr kleinen und sehr großen Zahlen sehr großer Schaden bei sehr geringer Wahrscheinlichkeit
• Problem der numerischen Einschätzung Kosten bei Personenschaden? Wahrscheinlichkeit von
Katastrophen?
• akzeptabeles Risiko? abhängig vom
persönlichen Einfluss
14.7.2009 Folie 7H. Schlingloff, Eingebettete Systeme
ALARP
• ALARP-Prinzip: „As Low As Reasonably Possible“ Wenn ein Risiko mit vertretbarem Aufwand reduziert
werden kann, sollte dies getan werden Oft auch: Wenn das Risiko nicht reduziert werden
kann, muss der Nutzen des Systems (Nutzungsdauer * Gewinn) den Schaden übersteigen
• “Cost per life saved”
14.7.2009 Folie 8H. Schlingloff, Eingebettete Systeme
Automobil- versus Luftfahrtsicherheit
• Katastrophen werden subjektiv höher gewichtet
14.7.2009 Folie 9H. Schlingloff, Eingebettete Systeme
Planes, Trains and Automobiles
E. Schnieder: 4. Bieleschweig Workshop, 14.-15.9.04: NEUE UND HERKÖMMLICHE MAßE ZUR QUANTIFIZIERUNG DES RISIKOS IM EISENBAHNVERKEHR
Quelle: http://www.ifev.bau.tu-bs.de/Workshops_Tagungen/Bieleschweig/bieleschweig4/pdf/Bieleschweig4_Folien_Schnieder.pdf
14.7.2009 Folie 10H. Schlingloff, Eingebettete Systeme
quantitative Abschätzung
• Eintrittswahrscheinlichkeitsklassen
• Schadensauswirkungsklassen
14.7.2009 Folie 11H. Schlingloff, Eingebettete Systeme
Risikomatrix
I: UnakzeptabelII:Unerwünscht; nur tolerierbar falls Risikoverminderung nicht
oder nicht mit vertretbarem Aufwand möglichIII: Tolerierbar falls die Kosten die Verbesserungen übersteigenIV: Akzeptierbar, sollte möglicherweise überwacht werden
14.7.2009 Folie 12H. Schlingloff, Eingebettete Systeme
14.7.2009 Folie 13H. Schlingloff, Eingebettete Systeme
Sicherheitsanforderungsstufen
•SIL: Safety Integrity Level
14.7.2009 Folie 14H. Schlingloff, Eingebettete Systeme
Beispiel
•Sicherheitsanforderung: When the hinged cover is lifted by 5 mm or
more, the motor shall be de-energised and the brake activated so that the blade is stopped within 1 second. The safety integrity level of this safety function shall be SIL2.
•Trennung von sicherheitsgerichteten und nicht sicherheitsrelevanten Forderungen! Architekturprinzip! Einfluss auf die SW-Architektur
14.7.2009 Folie 15H. Schlingloff, Eingebettete Systeme
IEC Software safety lifecycle requirements
• 7.1.2.1 A safety lifecycle for the development of software shall be selected and specified during safety planning NOTE – A safety lifecycle model which satisfies the requirements of
clause 7 of IEC 61508-1 may be suitably customised for the particular needs of the project or organisation
• 7.2.2.2 The specification of the requirements for software safety shall be derived from the specified safety requirements of the E/E/PE safety-related system, and any requirements of safety planning (see clause 6). This information shall be made available to the software developer.
• 7.2.2.8 The software safety requirements specification shall specify and document any safetyrelated or relevant constraints between the hardware and the software.
• 7.3.2.1 Planning shall be carried out to specify the steps, both procedural and technical, that will be used to demonstrate that the software satisfies its safety requirements
14.7.2009 Folie 16H. Schlingloff, Eingebettete Systeme
14.7.2009 Folie 17H. Schlingloff, Eingebettete Systeme
Software design and development
• 7.4.2.2 In accordance with the required safety integrity level, the design method chosen shall possess features that facilitate:a) abstraction, modularity and other features which control
complexity;b) the expression of:
– functionality,– information flow between components,– sequencing and time related information,– timing constraints,– concurrency,– data structures and their properties,– design assumptions and their dependencies;
c) comprehension by developers and others who need to understand the design;
d) verification and validation.
14.7.2009 Folie 18H. Schlingloff, Eingebettete Systeme
Softwarearchitektur-Forderungen
• muss explizit dargestellt werden• muss in den Entwicklungszyklus eingebunden sein• muss zu den einzelnen Komponenten Erklärungen
liefern neu, reimplementiert, verifiziert, sicherheitsrelevant etc.
• muss alle Schnittstellen enthalten• muss beschreiben wie die Datenintegrität gesichert
wird• muss Integrationstests spezifizieren• kann werkzeugunterstützt verwaltet werden
(„To the extent required by the safety integrity level, …“)
14.7.2009 Folie 19H. Schlingloff, Eingebettete Systeme
weiterer Aufbau der Forderungen
7 Software safety lifecycle requirements .......................................... 237.1 General ................................................................................... 237.2 Software safety requirements specification ................................ 357.3 Software safety validation planning ........................................... 397.4 Software design and development ............................................. 437.5 Programmable electronics integration (hardware and software) ... 557.6 Software operation and modification procedures.......................... 577.7 Software safety validation ......................................................... 577.8 Software modification................................................................ 617.9 Software verification ................................................................. 65
• Anforderungsklassen M = mandatory HR = highly recommended R = recommended -- = no recommendation NR= not recommended
14.7.2009 Folie 20H. Schlingloff, Eingebettete Systeme
14.7.2009 Folie 21H. Schlingloff, Eingebettete Systeme
14.7.2009 Folie 22H. Schlingloff, Eingebettete Systeme
14.7.2009 Folie 23H. Schlingloff, Eingebettete Systeme
Wrap-Up
• Eingebettete Systeme als gesellschaftlich enorm bedeutend wirtschaftlich spannend Motor der aktuellen Informatik-Entwicklung
• Forschungsfragen Multi-Core, Many-Core, SoC, NoC neue Sensorik, Aktuatorik, Kommunikationswege
(Zigbee) Designprozesse, MBD, MBT, UML, OCL Validierung, MBT, Analyse, Debugging Zulassung & Zertifizierung, Reengineering, Security,
gesellschaftliche Verantwortung