performanceverlust bei der integration von ... fileairbus a380 ¾gesteuert durch ein...
TRANSCRIPT
Performanceverlust bei der Integration von Sicherheitsmechanismen in Echtzeitsysteme
Hauptseminar: Fabrik- und Gebäudeautomation
Vortragender: Alexander Mroß
Gliederung1. Motivation2. Sicherheit
a. Definitionenb. Beispiele für Sicherheitsklassen
3. Echtzeita. Definitionb. Komponenten eines Echtzeitsystemsc. Arten von Echtzeitsystemend. Merkmale von Echtzeitsystemen
4. Redundanz5. Maßnahmen zur Sicherheit6. Fazit7. Literatur
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 3
Motivation
1) Bsp.: Airbus A380
gesteuert durch ein „Fly-by-Wire“-System (Befehle des Piloten digital an Steuerkomponenten weitergegeben)
kritisch: Steuerungssoftware muss in festen Zeitschranken arbeiten Entscheidung über Leben der Crew und der Passagiere
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 4
Motivation
2) Bsp.: Automobilbereich
Airbag als Sicherheitsmaßnahme:
• expandiert nach Kollision
zu welchem Zeitpunkt?
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 5
Motivation
3) Bsp.: Webshop
Betreiber Verfügbarkeit wichtig welche Maßnahmen?
Einfachster Fall: 2. Webserver-Hardware
Sicherheit durch Redundanz
Gliederung1. Motivation2. Sicherheit
a. Definitionb. Beispiele für Sicherheitsklassen
3. Echtzeita. Definitionb. Komponenten eines Echtzeitsystemsc. Arten von Echtzeitsystemend. Merkmale von Echtzeitsystemen
4. Redundanz5. Maßnahmen zur Sicherheit6. Fazit7. Literatur
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 7
Sicherheit und Risiko
Risiko : Wahrscheinlichkeit des Eintretens * Schwere der Folgen
Grenzrisiko : größte, noch vertretbare Risiko
Gefahr : Sachlage, bei der Risiko > Grenzrisiko.
Sicherheit ( DIN/VDE 31000 Teil 2 ): Sachlage, bei der Risiko ≤Grenzrisiko.
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 8
Sicherheit
Definition nach VDI/VDE-Richtlinie 3542:
Ist die Fähigkeit einer Einrichtung,innerhalb vorgegebener Grenzen für eine gegebene Zeitdauer
keine Gefahr zu bewirken.
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 9
Sicherheitsklassen IEC 62304 CD
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 10
Sicherheitsklassen RTCA/DO-178B
Gliederung1. Motivation2. Sicherheit
a. Definitionb. Beispiele für Sicherheitsklassen
3. Echtzeita. Definitionb. Komponenten eines Echtzeitsystemsc. Arten von Echtzeitsystemend. Merkmale von Echtzeitsystemen
4. Redundanz5. Maßnahmen zur Sicherheit6. Fazit7. Literatur
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 12
Echtzeit
Definition nach DIN 44300:
Ein Betrieb eines Rechensystems, bei dem Programme zur Verarbeitung anfallender Daten ständig betriebsbereit sind , derart, dass die Verarbeitungsergebnisse innerhalb einer vorgegebenen Zeitspanne verfügbar sind.Die Daten können je nach Anwendungsfall nach einer zeitlich zufälligen Verteilung oder zu vorherbestimmten Zeitpunkten anfallen.
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 13
Komponenten eines Echtzeitsystems
Echtzeitsystem muss auf Stimuli innerhalb vonvorgegebenen Zeitspannen reagieren
Zeitpunkt des Vorliegens des Ergebnisses wirdTermin oder Frist (deadline) genannt
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 14
Arten von Echtzeitsystemen
weich (engl. soft) auch „schwach“• das Ergebnis einer zu einem vorgegebenen Termin
nicht geleisteten Arbeit ist weiterhin von Nutzen• Terminverletzung ist tolerierbar
fest (engl. firm) auch „stark“• das Ergebnis einer zu einem vorgegebenen Termin
nicht geleisteten Arbeit ist wertlos und wird verworfen• Terminverletzung ist tolerierbar, führt zum
Arbeitsabbruchhart (engl. hard) auch „strikt“
• das Versäumnis eines fest vorgegebenen Termins kann eine „Katastrophe“ hervorrufen
• Terminverletzung ist keinesfalls tolerierbar
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 15
Merkmale von Echtzeitsystemen
Klassifikation nach äußeren Faktorenhard/soft real-timefail safe/operational
Klassifikation nach inneren Faktorenguaranteed response/best effortresource adequate/inadequateevent/time triggered
Gliederung1. Motivation2. Sicherheit
a. Definitionb. Beispiele für Sicherheitsklassen
3. Echtzeita. Definitionb. Komponenten eines Echtzeitsystemsc. Arten von Echtzeitsystemend. Merkmale von Echtzeitsystemen
4. Redundanz5. Maßnahmen zur Sicherheit6. Fazit7. Literatur
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 17
Redundanz
zusätzliche parallele Komponenten
Unterscheidung statische, dynamische undhybride Redundanz
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 18
Redundanz
Statische Redundanz• mitlaufende Reserve (hot standby)
- redundante, aktive (mitlaufende) Komponenten- bei Ausfall sofortige Umschaltung
• fehlermaskierende Struktur- N Komponenten arbeiten parallel- 1 Voter (selten redundant)- Ergebnisse werden votiert (Mehrheitsergebnis gilt)
+ Vorteil: Sofortiges weiterarbeiten bei Ausfall- Nachteil: Kosten, synchrone Arbeiten der Systeme
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 19
Redundanz
Dynamische Redundanz• passive Reservekomponenten werden nach Ausfall
zugeschalten• ersetzen nach einiger Zeit ausgefallene
Komponenten
+ Vorteil: kostengünstig- Nachteil: Trägheit, Reduktion der Gesamtleistung
im Fehlerfall
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 20
Redundanz
Hybride Redundanz
• integriert dynamischer und statischer Redundanz
Gliederung1. Motivation2. Sicherheit
a. Definitionb. Beispiele für Sicherheitsklassen
3. Echtzeita. Definitionb. Komponenten eines Echtzeitsystemsc. Arten von Echtzeitsystemend. Merkmale von Echtzeitsystemen
4. Redundanz5. Maßnahmen zur Sicherheit6. Fazit7. Literatur
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 22
Maßnahmen zur SicherheitSicherheitsnachweise durch Dokumente und Prüfungen für TÜV–Abnahme erforderlich
ausreichende Redundanz zur Fehlertoleranz oder Fehlererkennung
möglichst einfache, stark modularisierte Systeme, da i.d.R.
• ein Versagen jeder Komponente das Versagen des Gesamtsystems bedeuten kann
• die Entwicklung unübersichtlicher• Anzahl der Schnittstellen (Schwachstellen und
Fehlerquellen) steigt
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 23
Maßnahmen zur SicherheitTrennung von Sicherheit und Funktion als Entwurfsprinzip (sicherheitsorientierte Modularisierung)
• neben üblicher Modularisierung
• sicherheitsrelevante Funktionalität von restlicher Funktionalität getrennt und in wenige sichere Module gekapselt
• Negativbeispiel (nach S. Montenegro)
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 24
Maßnahmen zur Sicherheit• empfohlene sicherheitsorientierte
Modularisierung- Sicherheitsmodul hat
vollständige Kontrolle über Anlage
- Funktionsmodul kann Befehle nur über Sicherheitsmodul abgeben
- Sicherheitsmodul prüft Sicherheit jedes Befehls bevor es ihn weitergibt
02.02.2006Hauptseminar Fabrik- und
Gebäudeautomation 25
Fazit
Sicherheitsmechanismen verzögern Echtzeitverhalten
potentiell gefährliche Strukturelemente vermeiden
Vereinfachung des Entwurfs
Zeitverhalten besser vorhersehbar
Trennung von Sicherheit und Funktion beim Entwurf
Literatur
1. W.A.Halang, R.Konakovsky: Sicherheitsgerichtete Echtzeitsysteme, Oldenburg 1999
2. http://www.absint.com/releases/050427_de.htm
3. http://www4.informatik.uni-erlangen.de/Lehre/WS05/V_EZS/Skript/02Einleitung.pdf
4. http://atknoll1.informatik.tu-muenchen.de:8080/tum6/lectures/ courses/ss05/esys/documents/Documents/1122452705.46/ez2.pdf