Stand der Überarbeitung in der IEC SC 65A/MT , Vorbereitung 3. Ausgabe der IEC GAK Frankfurt,

Transkript

1 Stand der Überarbeitung in der IEC SC 65A/MT , Vorbereitung 3. Ausgabe der IEC GAK Frankfurt,

2 Einordnung der vorbereitenden Maßnahmen zur 3. Ausgabe der IEC Im November 2014 starteten die Arbeiten zur Ermittlung des Änderungsbedarfs für die IEC : Die dabei identifizierten Themen werden in diesem Vortrag präsentiert. - Ein Beschluss zur Überarbeitung der IEC liegt derzeit nicht vor. - Aktuell ist DKE aufgefordert Änderungsvorschläge zur IEC 61508:2010 bis zum offiziell bei IEC einzureichen. - Nur diese offiziell eingereichten Änderungsvorschläge werden bei der Überarbeitung ggf. berücksichtigt. - Insbesondere müssen die offiziell eingereichten Änderungsvorschläge nicht alle hier vorgestellten Themen adressieren DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 2

3 Themengebiete Software Sicherheitslebenszyklus Software Architektur und Design Multi-Core Definition formale Methoden Verbesserungen V&V Hardware / Software Schnittstelle Unabhängigkeit zwischen Entwurf/Implementierung und Test/Verifikation Toolqualifikation Änderungen und Regressionstests/Validierung Software-Metriken Integration der IEC TS DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 3

4 Themengebiete Referenzen zur IEC , IEC Systematische Eignung von Softwareelementen Objektorientierter Entwurf Security Modell basierte Entwicklung Verfolgbarkeit DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 4

5 Software Sicherheitslebenszyklus - Die aktuelle Version der IEC vermittelt dem Leser den Eindruck, dass der Softwareentwicklungsprozess dem klassischen V-Modell folgen soll. - Aus Entwicklungsprojekten ist bekannt, dass eine Entwicklungsphase Rückwirkungen auf vorhergehende Entwicklungsphasen haben kann. Dieses entspricht nicht dem Vorgehen nach dem klassischen V-Modell. - Es ist vorgeschlagen, dass moderne iterative/inkrementelle Entwicklungsprozesse eingeführt werden. - Diese modernen Entwicklungsprozesse werden seit Jahren in angepasster Form für die Entwicklung von Sicherheitsfunktionen genutzt. - Unabhängig von der gewählten Entwicklungsmethode sind die Anforderungen der IEC zu erfüllen DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 5

6 Software Architektur und Design - Die negativen Auswirkungen eines unangemessenen Softwarearchitekturentwurfs oder eines Softwareversagens auf die Sicherheitsintegrität des Systems werden lediglich in der Note 5 in IEC : behandelt und sollen adressiert werden. - Es ist vorgeschlagen in die IEC eine Anforderung aufzunehmen, die eine Darstellung fordert, dass der Softwarearchitekturentwurf oder Softwareversagen keinen negativen Einfluss auf die Sicherheitsintegrität des Systems haben. - Die Anforderungen in der IEC für die Ableitung der Softwareanforderungen von den Hardwareanforderungen bedürfen einer Verbesserung (siehe Thema Hardware/Software Interface oder Referenzen zur IEC , IEC ) DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 6

7 Multi-Core - IEC :2010 Anhang F Verfahren zum Erreichen der Nicht-Beeinflussung zwischen Softwareelementen auf einem einzelnen Rechner soll überarbeitet werden um die Erfordernisse bei dem Einsatz von multi-core Prozessoren zu berücksichtigen. - Einige Probleme des Einsatzes von multi-core Prozessoren betreffen die Synchronisation von parallel laufenden Prozessen mit Zugriff auf gemeinsame Ressourcen. - Die Synchronisation von parallel laufenden Prozessen mit Zugriff auf gemeinsame Ressourcen stellt keinen neuen Aspekt für die Softwareentwicklung dar DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 7

8 Definition formale Methoden - Es wird vorgeschlagen die Definition in IEC B 2.2 Formale Methoden zu erweitern. Die Nutzung von formalen Methoden kann unvermeidlich sein in Abhängigkeit von der Komplexität und der Höhe des Vertrauens. - Es ist vorgeschlagen die Definition in IEC B 2.3 Semi-formale Methoden zu löschen, weil semiformale Methoden durch IEC Anhang B Tabelle B.7 Semi-formal Methoden abgedeckt sind. - Ein new work item proposal für eine technische Spezifikation zur Nutzung von mathematischen und logischen Techniken, um bestimmte Eigenschaften der Software in sicherheitsbezogenen Systemen zu gewährleisten, wird durch DKE/GAK erstellt DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 8

9 Verbesserungen V&V - Verifikation und Validierung sind Maßnahmen gegen systematische Fehler in der Software. Zur Auswahl adäquater Methoden, die die unterschiedlichen Arten von Fehlern adressieren, ist ein klares Verständnis der unterschiedlichen Arten von systematischen Fehlern erforderlich. - Es ist vorgeschlagen IEC :2011 Absatz (betrifft Validierungsplanung) zu ändern um die Verifikationsmethoden für funktionale, strukturelle und regressions-tests zu adressieren. - Es ist vorgeschlagen eine neue Tabelle in IEC :2010 Annex B aufzunehmen, die die Methoden aus IEC Anhang A und B, in die unterschiedlichen Arten von Methoden wie statisch, dynamisch, funktional, strukturell, Existenz von Fehlern, Abwesenheit von Fehlern und Übereinstimmung die in IEC :2010 Absatz gefordert sind, einordnet DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 9

10 Hardware / Software Schnittstelle - Anforderungen an die Hardware/Software Schnittstelle werden definiert, die folgendes adressieren: Die Konsistenz der Hardware/Software Schnittstelle zum Systemdesign Die Betriebsmodes und Konfigurationsparameter der Hardware. Die Merkmale der Hardware die die Unabhängigkeit zwischen Elementen sicherstellen oder das partitionieren der Software unterstützen. Die gemeinsame/exklusive Nutzung der Hardwarebestandteile und die Methoden der Synchronisation des Zugriffes. Die Hardwarediagnosefeatures die durch die Software implementiert oder konfiguriert werden müssen. Die Spezifikation aller transferierten Daten sowie ihre Funktion und Werte. - Es ist vorgeschlagen die Anforderungen an das Hardware/Software Interface in IEC :2010 aufzunehmen. - Parallel mit der Definition der Hardware/Software Schnittstelle werden die Absätze der IEC :2010, IEC :2010 und IEC :2010 identifiziert, die zu aktualisieren sind, in Bezug auf die Einführung der Hardware/Software Schnittstelle DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 10

11 Unabhängigkeit zwischen Entwurf/Implementierung und Test/Verifikation - Es wird diskutiert Anforderungen an die Unabhängigkeit in Abhängigkeit vom SIL zwischen den Design/Implementierungs-Aktivitäten und Test/Verifikations-Aktivitäten zu definieren. - Grundlage für die Diskussion sind Anforderungen bezüglich der Unabhängigkeit von Aktivitäten/Rollen die in anderen Standards (DO-178C, ISO :2011, EN 50128:2011) definiert sind DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 11

12 Toolqualifikation - Es ist vorgeschlagen IEC :2010 Kapitel Anforderungen an Werkzeuge einschließlich Programmiersprachen zu überarbeiten. - GAK hat hierzu Änderungsvorschläge formuliert DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 12

13 Änderungen und Regressionstests/Validierung - Es ist vorgeschlagen eine Definition von Regressionstest in IEC :2010 basierend auf der Definition aus ISO/IEC 90003:2014 aufzunehmen, da Regressionstests bei Anwendung moderner iterativer/inkrementeller Entwicklungsprozesse mehr Relevanz besitzen (siehe Thema Software Sicherheitslebenszyklus). - Parallel mit der neuen Definition für Regressionstest ist vorgeschlagen IEC C.5.25 Regression validation zu aktualisieren um Regressionstest in Beziehung zu Regression validation einzuführen. - Parallel mit der neuen Definition für Regressionstest werden die Absätze und Tabelle der IEC identifiziert die zu aktualisieren sind um Regressionstests und die Nutzung in Bezug zur Anwendung moderner iterativer/inkrementeller Entwicklungsprozesse einzuführen DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 13

14 Software-Metriken - Wie Software-Metriken in die IEC eingeführt werden wird diskutiert DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 14

15 Integration der IEC TS Die IEC TS :2016 definiert die Anforderungen für die Wiederverwendung von bereits existierender Software zur Realisierung von Teilen oder ganzen Sicherheitsfunktionen als neue Definition für Pfad 2s in IEC Absatz a) Pfad 2s. - Das Prinzip der Wiederverwendung in Sicherheitsfunktionen bis SIL 2 basiert auf: Dem vollständig dokumentierten Nachweis der korrekten Funktion aller Kombinationen der: Kombinationen von Eingangsdaten Abfolgen der Ausführung von Funktionen. zeitliche Beziehungen innerhalb der Abfolgen der Ausführung von Funktionen. Der Bewertung von Differenzen zur vorhergehenden Nutzung in Bezug auf das Betriebsprofil, die Umgebung und der Funktionalität zusammen mit der Definition von Maßnahmen um die korrekte Funktion sicherzustellen. Dem Nachweis das Funktionen bei denen die korrekte Funktion nicht nachgewiesen ist, keinen negativen Einfluss auf die Sicherheitsintegrität des sicherheitsrelevanten Systems haben DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 15

16 Integration der IEC TS Die IEC TS :2016 soll integriert werden als neuer Absatz in IEC :2010 Kapitel Mit der Integration sollen die Anforderungen aktualisiert werden, sodass die Wiederverwendung für SIL 3 und SIL4 abgedeckt wird. Diese wird erreicht durch Erweiterung der genutzten Kombinationen der: Kombinationen von Eingangsdaten Abfolgen der Ausführung von Funktionen. zeitliche Beziehungen innerhalb der Abfolgen der Ausführung von Funktionen. um den internen Zustand des wiederverwendeten existierenden Softwareelements DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 16

17 Referenzen zur IEC , IEC Alle Referenzen in IEC :2010 auf IEC :2010 und IEC :2010 wurde überprüft in Bezug auf ihre Gültigkeit in Beziehung zur Entwicklung von Software. - Nach IEC :2010 Absatz kann die Spezifikation der Anforderungen an die Sicherheit der Software enthalten sein in der Spezifikation der Anforderungen des E/E/PE-Systems (IEC :2010 Kapitel 7 Anforderungen des Sicherheitslebenszyklus des E/E/PE-Systems ). - Bei dem Vergleich der Anforderungen definiert in IEC :2010 Kapitel 7.2 Spezifikation der Anforderungen an die Sicherheit der Software gegen die Anforderungen definiert in IEC :2010 Kapitel 7 wurde Lücken identifiziert in der Erfüllung von IEC :2010 Absatz Es ist vorgeschlagen die Lücken in der Erfüllung von IEC :2010 Absatz zu schließen. Die erforderlichen Änderungen um die Lücken zu schließen sind vorgeschlagen DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 17

18 Referenzen zur IEC , IEC Nach IEC :2010 Absatz Zusätzliche Anforderungen an das Management der sicherheitsbezogenen Software sollten auch die Anforderungen in IEC , 6.2 durch die Software erfüllt werden. - Einige Anforderungen aus IEC , 6.2 sind nicht bezogen auf Software und sollen in :2010 Absatz ausgenommen werden. - Die Anforderungen, die ausgenommen werden sollen oder Duplikate sind, sind identifiziert und die erforderlichen Änderungen werden vorgeschlagen DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 18

19 Referenzen zur IEC , IEC Die Anforderungen in IEC :2010 Kapitel 7.7 Softwareaspekte bezüglich der Validierung der Sicherheit des System sollen abgeglichen werden mit den generellen Anforderungen definiert in IEC :2010 Kapitel 7.7 Validierung der Sicherheit des E/E/PE-Systems. - Die Erfordernisse für den Abgleich zwischen IEC :2010 Kapitel 7.7 und IEC :2010 Kapitel 7.7 sind identifiziert und die entsprechenden Änderungen sind vorgeschlagen DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 19

20 Systematische Eignung von Softwareelementen - Die Anforderungen in IEC :2010 Absatz Synthese von Elementen zum Erreichen der erforderlichen systematischen Eignung beziehen sich auf Hardware und sollen verbessert werden um die Ansprüche von Software abzudecken. - Die Verbesserungen, um die Ansprüche der Software abzudecken, werden vorgeschlagen DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 20

21 Objektorientierter Entwurf - IEC :2010 Annex A Table 4 Note 2 gibt an, dass die Eignung des objektorientierten Entwurfs für die Entwicklung von sicherheitsrelevanter Software diskutiert wird. - Da der objektorientierte Entwurf für die Entwicklung von sicherheitsrelevanter Software seit Jahren angewendet wird, wird vorgeschlagen IEC :2010 Annex A Table 4 Note 2 zu löschen. - Anleitung für die Entwicklung von sicherheitsrelevanter objektorientierter Software wird bereits jetzt in IEC :2010 Annex G gegeben. - Ein new work item proposal für eine technische Spezifikation zur Nutzung von objektorientierter Software in sicherheitsbezogenen Systemen wird durch DKE/GAK erstellt DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 21

22 Security - In der aktuellen Version der IEC wird Security erwähnt. Eine Anleitung zur Koordinierung von funktionaler Sicherheit und Security ist beschränkt vorhanden. - Die Erfordernisse zur Koordinierung von funktionaler Sicherheit und Security werden diskutiert DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 22

23 Modell basierte Entwicklung - Es wird vorgeschlagen eine Anleitung für die Nutzung von modell basierter Entwicklung in einem neuen Anhang zur IEC aufzunehmen. - Die Anleitung beschreibt die mögliche Nutzung, Vorteile und Schwierigkeiten modell basierter Entwicklung DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 23

24 Verfolgbarkeit - Es besteht eine Inkonsistenz zwischen den Anforderungen zur Verfolgbarkeit in IEC :2010 Anhang A Tabelle A.4 und der Beschreibung in IEC C.2.1 bezüglich der Verfolgbarkeit zwischen der Softwaresicherheitsanforderungsspezifikation und dem Softwarequellcode. - Es ist vorgeschlagen diese Inkonsistenz dadurch zu lösen, indem die Verfolgbarkeit der Softwaresicherheitsanforderungsspezifikation und des Softwarequellcodes in IEC :2010 Annex A Tabelle A.4 aufgenommen wird DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE 24

25 Vielen Dank für Ihre Aufmerksamkeit Ihr Ansprechpartner: Ingo Rolle Abteilung Phone: DKE Die Kraft der Normung