Vertrauen ist gut, Kontrolle ist besser: Eine umfassende Teststrategie als essenzieller Beitrag zum Sicherheitsnachweis

Transkript

1 Insert picture and click Align Title Graphic. Vertrauen ist gut, Kontrolle ist besser: Eine umfassende Teststrategie als essenzieller Beitrag zum Sicherheitsnachweis Dr. Simon Burton, Vector Informatik GmbH Dr. Dieter Leder, Vector Consulting Services GmbH AUTOTEST 2010, Vector Consulting Services GmbH. All rights reserved. Any distribution or copying is subject to prior written approval by Vector. V

2 Sicherheitskritisches System: Spurhalteassistent Source: Warnt den Fahrer bei unabsichtlichem Verlassen der Spur Steuert das Auto durch leichtes Gegenlenken 2/15

3 Spurhalteassistent: Herausforderungen Beherrschung der Risiken Z.B. falsche Erkennung, Übersteuerung, Unterdrückung von Ausweichmanövern Systemkomplexität Hohe Zuverlässigkeit der Eingangssignale, inklusive Bilderkennung Hohes Maß an Interaktion mit anderen Systemen in unterschiedlichen Domänen z.b. Motorsteuerung, Lenkung, Bremsen, Anzeige, Funktionskonflikte, z.b. mit ESP für den Ausweichfall, μ-split-bedingungen, Nachweis der Systemsicherheit Ist das System mit seinem Konzept und seiner Umsetzung sicher? 3/15

4 ISO Aktueller Status der Umsetzung Erhöhtes Bewusstsein für funktionale Sicherheit seit der Veröffentlichung der DIS. Hat zu einem besseren Verständnis der notwendigen Prozesse und Methoden beigetragen. Trotzdem herrscht Verunsicherung über die Umsetzung von Anforderungen die in der Norm noch zu unklar beschrieben sind. 1. Struktur, Inhalt und Darstellung des Sicherheitsnachweises 2. Art und Umfang der notwendigen Tests 4/15

5 Der Sicherheitsnachweis 5/15

6 Sicherheitsnachweis (Safety Case) Bildet ein vollständiges, konsistentes und verständliches Argument, dass das System sicher ist. Basiert auf dem Entwicklungsprozess zur Sicherstellung der funktionalen Sicherheit. Basiert auf den Produkteigenschaften zur Sicherstellung der funktionale Sicherheit. Wird unterstützt durch direkte Nachweise, z.b. Gefährdungsund Risikoanalyse, Produktarchitektur, Reviewberichte, Testergebnisse, Braucht eine klare Definition des Systemkontextes sowie der Annahmen, unter denen das Argument gilt. 6/15

7 Sicherheitsnachweis Auszug aus einem Sicherheitsnachweis für einen Spurhalteassistenten auf Basis der Goal-Structuring-Notation (GSN) Behauptung Strategie Kontext Annahme Behauptung (verfeinert) Nachweis Was macht den Sicherheitsnachweis glaubwürdig? Bestätigung durch Reviews, Analysen und Tests. 7/15

8 Die Teststrategie 8/15

9 Vorgaben zu Reviews, Analysen und Tests in der ISO Review der ISO Konformität der Entwicklungsergebnisse Review der Gefährdungs- und Risikoanalyse Bestätigung der Wirksamkeit des Sicherheitskonzepts Reviews Bestätigung der Effektivität Hardware- Maßnahmen Bestätigung der Ausfallwahrscheinlichkeit Reviews Test des technischen Sicherheitskonzepts Bestätigung der Sicherheitsziele Reviews Code-Analysen SW-Unit- & SW-Integrationstests Verifikation der Sicherheit bei der Wiederverwendung von SW-Komponenten Qualifikation von zugelieferten HW-Komponenten Source: ISO/DIS Wie können die Reviews, Analysen und Tests einen signifikanten und belegbaren Beitrag zum Sicherheitsnachweis bilden? 9/15

10 Erstellung einer Teststrategie für die funktionale Sicherheit Behauptungen und Annahmen im Sicherheitskonzept identifizieren. Z.B. Ein Durchschnittsfahrer kann in ausreichend kurzer Zeit ein Fehlverhalten des Systems erkennen und korrigieren. Qualitätsziele ableiten und im Qualitäts- und Testplan dokumentieren. Z.B. Annahmen über das typische Verhalten des Fahrers in kritischen Fahrsituationen werden bestätigt. Review-, Analyse- und Testmethoden bestimmen, die am besten geeignet sind, die Qualitätsziele zu bestätigen. Z.B. Erprobung im Fahrsimulator inklusive Fehlersimulation Messbare Kriterien für die Erreichung der Testziele festlegen. Z.B.: 100% der kritischen Fehler abgedeckt, Alle Fahrerprofile abgedeckt, >90% der Fahrer können das Fehlverhalten kontrollieren. Review-, Analyse-, und Testergebnisse im Sicherheitsnachweis referenzieren inkl. der Erreichung der Kriterien. Z.B. Verweis auf Fahrsimulator-Testbericht inkl. Ergebnis-Auswertung. 10/15

11 Wirksame Teststrategie Die Teststrategie für sicherheitskritische Systeme soll durch eine geeignete Kombination von Methoden bestimmte Qualitätsmerkmale des Produkts bestätigen. Sicherheitskonzept: Werden die kritische Fehlerszenarien ausreichend berücksichtigt? Funktionalität: Funktionieren die Sicherheitsmaßnahmen im Produkt korrekt? Zuverlässigkeit: Mit welcher Wahrscheinlichkeit wird ein Sicherheitsziel des Produkts verletzt? Bestätigung der Annahmen: Gelten die Annahmen die während der Entwicklung des Sicherheitskonzepts getroffen wurden? Qualitätssicherung: Werden die sicherheitsrelevanten Aktivitäten mit der erforderlichen Qualität durchgeführt? 11/15

12 Die Teststrategie als Ergänzung des Sicherheitsnachweises 12/15

13 Sicherheitsnachweis (inklusive Testbeiträge) Z.B. Kurzschluss bei der Aktuatoransteuerung soll erkannt und der Strom abgeschaltet werden Z.B. Nach dem Kurzschluss der Aktuatoransteuerung wird innerhalb von 100ms der Strom abgeschaltet 13/15

14 Zusammenfassung Die Struktur des Sicherheitsnachweises dient als Basis für die Ableitung der Teststrategie. Die Teststrategie ergänzt den Sicherheitsnachweis. Damit wird sichergestellt, dass die durchgeführten Analysen, Reviews und Tests einen wirksamen Beitrag zum Sicherheitsnachweis bilden. Oft ist eine Kombination von Methoden notwendig, um ein Sicherheitsziel überzeugend nachzuweisen. Voraussetzungen für eine effektive Umsetzung Ein systematischer Ansatz zur Beschreibung eines Sicherheitsnachweis, z.b. Goal-Structuring-Notation Ein Werkzeug, das die Abbildung des Sicherheitsnachweises und die Verlinkung zu den Nachweisen unterstütztz. und ein kompetenter Partner, der Sie pragmatisch unterstützt. 14/15

15 Vielen Dank für Ihre Aufmerksamkeit. Weitere Informationen über Vector Consulting Services finden Sie hier: Vector Consulting Services GmbH Ingersheimer Str Stuttgart Phone: Fax: Your Partner in Achieving Engineering Excellence. 15/15