Durchgehender Einsatz von formaler Modellierung und Beweis als Mittel zur Zertifizierung sicherheitsrelevanter Software

Transkript

1 Christoph Lüth: SAMS 1 safetronic, , München Durchgehender Einsatz von formaler Modellierung und Beweis als Mittel zur Zertifizierung sicherheitsrelevanter Software Christoph Lüth Deutsches Forschungszentrum für Künstliche Intelligenz, Bremen safetronic, , München

2 Sicherungskomponente für Autonome Mobile Serviceroboter Thema: Fahrwegsicherung für Autonome Mobile Serviceroboter Christoph Lüth: SAMS 2 safetronic, , München

3 Christoph Lüth: SAMS 3 safetronic, , München Fahrwegsicherung Stand der Technik: Statische Schutzfelder Ein Schutzfeld für alle Situationen

4 Christoph Lüth: SAMS 3 safetronic, , München Fahrwegsicherung Stand der Technik: Statische Schutzfelder Ein Schutzfeld für alle Situationen Nötig: Dynamische Schutzfelder Indiziert durch Geschwindigkeit und Lenkwinkel

5 Christoph Lüth: SAMS 4 safetronic, , München Projektziele Fahrwegsicherung für Serviceroboter Kollisionsvermeidung mittels Laserscanner dynamische Berechnung des Schutzfeldes Formale Verifikation der Implementation Zertifizierung durch TÜV (Software) Konsortium und Förderung:

6 Arbeitsfelder Christoph Lüth: SAMS 5 safetronic, , München

7 Christoph Lüth: SAMS 6 safetronic, , München Neue Aspekte Robotik: Zertifizierung und Verifikation Zertifizierung: Algorithmisch anspruchsvolle Sicherheitsfunktion Durchgängig formale Modellierung und Verifikation Neuartige Kombination

8 Christoph Lüth: SAMS 7 safetronic, , München Der Algorithmus im Detail 1. Bremsmodell Grundannahme: kurventreu 2. Schutzfelder Während Bremsvorgangs überstrichene Fläche 3. Sonderfälle Schutzaufschläge Schleichfahrt

9 Christoph Lüth: SAMS 8 safetronic, , München Bestimmung des Bremsmodells Kriterien: Einfach und sicher Methode: Messung Geraudeausfahrt, Berechnung Kurve s(v,ω) s G (v) s(v,ω) = s G ( v 2 + D 2 ω 2 )

10 Christoph Lüth: SAMS 9 safetronic, , München Bestimmung der Schutzzonen Grundprinzip: beim Bremsen überstrichene Fläche

11 Bestimmung der Schutzzonen Grundprinzip: beim Bremsen überstrichene Fläche Schutzaufschläge (Reaktionszeit, Zykluszeit, Messdaten) Christoph Lüth: SAMS 9 safetronic, , München

12 Bestimmung der Schutzzonen Grundprinzip: beim Bremsen überstrichene Fläche Schutzaufschläge (Reaktionszeit, Zykluszeit, Messdaten) Als Polygon (Laserscannerschutzfeld) Christoph Lüth: SAMS 9 safetronic, , München

13 Bestimmung der Schutzzonen Grundprinzip: beim Bremsen überstrichene Fläche Schutzaufschläge (Reaktionszeit, Zykluszeit, Messdaten) Als Polygon (Laserscannerschutzfeld) Sonderfall: Schleichfahrt Christoph Lüth: SAMS 9 safetronic, , München

14 Christoph Lüth: SAMS 10 safetronic, , München Projektdokumente Sicherungskomponente für Autonome Mobile Systeme Eine Kooperation zwischen DFKI-Labor Bremen Leuze lumiflex Universität Bremen Planung Anforderungsspezifikation Lastenheft Konzeptpapiere Sicherheitsanforderungsspezifikation Über dieses Dokument: Im Dokument Sicherheitsanforderungsspezifikation werden die Sicherheitsanforderungen (Safety Requirements) der für den Betrieb der Sicherungskomponente notwendigen Software (On-Board-Software und die benötigte Konfigurationssoftware) spezifiziert. Entwurfsspezifikation Projekt: SAMS Dokument: Sicherheitsanforderungsspezifikation.doc Pfad: Projektdokumente/Gesamtsystemspezifikation-Pflichtenheft Version: 1.5 Bearbeitungszustand: Vg. (TÜV) Verantwortlich: Dennis Walter Erstellt: Letzte Änderung: Verifikationsumgebung Administration Semantische Dokumentvernetzung

15 Christoph Lüth: SAMS 10 safetronic, , München Projektdokumente Sicherungskomponente für Autonome Mobile Systeme Eine Kooperation zwischen DFKI-Labor Bremen Leuze lumiflex Universität Bremen Sicherheitsanforderungsspezifikation Über dieses Dokument: Im Dokument Sicherheitsanforderungsspezifikation werden die Sicherheitsanforderungen (Safety Requirements) der für den Betrieb der Sicherungskomponente notwendigen Software (On-Board-Software und die benötigte Konfigurationssoftware) spezifiziert. Planung Anforderungsspezifikation Lastenheft Konzeptpapiere Bremsmodell, Schutzfelder, Schleichfahrt Entwurfsspezifikation Projekt: SAMS Dokument: Sicherheitsanforderungsspezifikation.doc Pfad: Projektdokumente/Gesamtsystemspezifikation-Pflichtenheft Version: 1.5 Bearbeitungszustand: Vg. (TÜV) Verantwortlich: Dennis Walter Erstellt: Letzte Änderung: Verifikationsumgebung Administration Semantische Dokumentvernetzung

16 Christoph Lüth: SAMS 10 safetronic, , München Projektdokumente Sicherungskomponente für Autonome Mobile Systeme Eine Kooperation zwischen DFKI-Labor Bremen Leuze lumiflex Universität Bremen Sicherheitsanforderungsspezifikation Über dieses Dokument: Im Dokument Sicherheitsanforderungsspezifikation werden die Sicherheitsanforderungen (Safety Requirements) der für den Betrieb der Sicherungskomponente notwendigen Software (On-Board-Software und die benötigte Konfigurationssoftware) spezifiziert. Projekt: SAMS Dokument: Sicherheitsanforderungsspezifikation.doc Pfad: Projektdokumente/Gesamtsystemspezifikation-Pflichtenheft Version: 1.5 Bearbeitungszustand: Vg. (TÜV) Verantwortlich: Dennis Walter Erstellt: Letzte Änderung: Planung Anforderungsspezifikation Lastenheft Konzeptpapiere Bremsmodell, Schutzfelder, Schleichfahrt Entwurfsspezifikation Fehlerbaumanalyse Sicherheitsanforderungsspezfikation, Detailspezifikation (Software) Verifikationsumgebung Administration Semantische Dokumentvernetzung

17 Christoph Lüth: SAMS 10 safetronic, , München Projektdokumente Sicherungskomponente für Autonome Mobile Systeme Eine Kooperation zwischen DFKI-Labor Bremen Leuze lumiflex Universität Bremen Sicherheitsanforderungsspezifikation Über dieses Dokument: Im Dokument Sicherheitsanforderungsspezifikation werden die Sicherheitsanforderungen (Safety Requirements) der für den Betrieb der Sicherungskomponente notwendigen Software (On-Board-Software und die benötigte Konfigurationssoftware) spezifiziert. Projekt: SAMS Dokument: Sicherheitsanforderungsspezifikation.doc Pfad: Projektdokumente/Gesamtsystemspezifikation-Pflichtenheft Version: 1.5 Bearbeitungszustand: Vg. (TÜV) Verantwortlich: Dennis Walter Erstellt: Letzte Änderung: Planung Anforderungsspezifikation Lastenheft Konzeptpapiere Bremsmodell, Schutzfelder, Schleichfahrt Entwurfsspezifikation Fehlerbaumanalyse Sicherheitsanforderungsspezfikation, Detailspezifikation (Software) Verifikationsumgebung Spezifikation der Funktionalität, Konzept, Validation Administration Semantische Dokumentvernetzung

18 Semantische Dokumentenvernetzung Christoph Lüth: SAMS 11 safetronic, , München

19 Christoph Lüth: SAMS 12 safetronic, , München Entwicklungsmodell: Rolle der Formalisierung Systemintegrationstests Sicherheitsanforderungsspezifikation Validation Validationstests Globale Sicherheitseigenschaften Systemarchitektur Dekomposition Beweis Systementwurf Integrationstests Eigenschaften einzelner Module und Funktionen Modulentwurf Implementierung Unit Tests IEC

20 Domänenmodellierung Welt: zweidimensional, veränderlich Objekte: Verhalten R + 0 α Verhalten des Roboters robot : R + 0 R2 Globale Sicherheitseigenschaft (für statische Hindernisse): ( t, t. o Obs. o(t) = o(t ) ) = t. o Obs. robot(t) / o(t) Christoph Lüth: SAMS 13 safetronic, , München

21 Christoph Lüth: SAMS 14 safetronic, , München Von der Domänenmodellierung zum Programm Drei Abstraktionsebenen: Domänenmodellierung Stetiges Verhalten R + 0 α Roboter robot : R + 0 R2 Reaktives Programm Diskrete Verhalten N α Kontrollprogramm stop : N bool Imperativer Code Zustandstransformer (I S) (O S) Programmzustand S, Eingabe I, Ausgabe O

22 Verifikation in SAMS Basis: annotierter Quellcode Nutzung vorhandenen Quellcodes Automatische Konsistenz von Verifikation und ausgeführtem Code Spezifikation über Vor- und Nachbedingungen, Invarianten Implementierung: Aufbauend auf Isabelle/HOL = λ β Isabelle HOL α Korrekt bewiesene Regeln Christoph Lüth: SAMS 15 safetronic, , München

23 Christoph Lüth: SAMS 16 safetronic, , München Unterstützte Sprachteilmenge Teilmenge von MISRA-C: Kein goto Kein break oder switch Keine union Eingeschränkte Zeigerarithmetik Auswertungsreihenfolge muss definiert sein Keine Seiteneffekte in Ausdrücken Reine Funktionen frei verwendbar Ein Ausgangspunkt pro Funktion am Ende des Rumpfes

24 Christoph Lüth: SAMS 17 safetronic, , München Annotierter \ v a l i d ( out ) && \ array ( ps, ps_len \ f o r a l l i n t i ; 0 <= i < ps_len ==> out >x <= ps [ i ]. x && ( out >x == ps [ i ]. x => out >y <= ps [ i ]. y out >x, out >y / void select_min_xy ( Point ps, i n t ps_len, Point out ) ;

25 Christoph Lüth: SAMS 18 safetronic, , München Verifikation von C-Programmen Annotierter Quellcode \result >= x \result >= y \forall int z >= x && z >= => z >= int max(int x, int y) { if (x > y) return x; else return y; } VCG Parser & statische Analyse Semantische Repräsentation Ausführbare Datei.exe, a.out Generierung der Verifikationsbedingungen Automatische Beweise Interaktive Beweise Domänenmodellierung Isabelle

26 Korrektheit der Verifikation Quellprogramm Syntaktisches Front End Abstrakte Syntax C Syntaxgesteuerte Regelanwendung (VCG) Denotationelle Semantik Verifikationsbedingungen Zustandstransformer und Zustandsrelationen Korrektheitsbeweis der Regeln Isabelle/HOL Christoph Lüth: SAMS 19 safetronic, , München

27 Christoph Lüth: SAMS 20 safetronic, , München Korrektheit des Beweisers Reduktion des Korrektheitsproblems: Kleiner logischer Kern verkapselt alle kritische Funktionen Konservative Erweiterung erhält Korrektheit

28 Christoph Lüth: SAMS 21 safetronic, , München Umfang der Verifikation Funktionale Korrektheit Termination einzelner Funktionen Grenzen: Laufzeitgarantien Ein/Ausgabe

29 Christoph Lüth: SAMS 22 safetronic, , München Zusammenfassung SAMS Dynamische Fahrwegsicherung für mobile Serviceroboter Zertifizierung und Verifikation Neu: Zertifizierung und formale Methoden in der Robotik

30 Christoph Lüth: SAMS 22 safetronic, , München Zusammenfassung SAMS Dynamische Fahrwegsicherung für mobile Serviceroboter Zertifizierung und Verifikation Neu: Zertifizierung und formale Methoden in der Robotik Semantische Dokumentenvernetzung Explizite Verwaltung der Abhängigkeiten und Bezüge

31 Christoph Lüth: SAMS 22 safetronic, , München Zusammenfassung SAMS Dynamische Fahrwegsicherung für mobile Serviceroboter Zertifizierung und Verifikation Neu: Zertifizierung und formale Methoden in der Robotik Semantische Dokumentenvernetzung Explizite Verwaltung der Abhängigkeiten und Bezüge Durchgängig formale Modellierung Annahmen werden explizit Zertifizierungsprozess fokussiert auf Kernfragen

32 Christoph Lüth: SAMS 22 safetronic, , München Zusammenfassung SAMS Dynamische Fahrwegsicherung für mobile Serviceroboter Zertifizierung und Verifikation Neu: Zertifizierung und formale Methoden in der Robotik Semantische Dokumentenvernetzung Explizite Verwaltung der Abhängigkeiten und Bezüge Durchgängig formale Modellierung Annahmen werden explizit Zertifizierungsprozess fokussiert auf Kernfragen Formale Verifikation Spezifikation durch Annotation in Quellcode Verringerter Testaufwand, garantierte Korrektheit