Risiko- und Gefahrenanalyse und deren Berücksichtigung beim Entwurf von Sicherheitskritischen Systeme Kelen-Yo Rodrigue
Überblick Einleitung Präsentation des Neigemoduls des Shuttles Systemanforderungen und Sicherheitsanforderungen Hazard-Analyse Risiko-Analyse Entwurf Zusammenfassung
Einleitung Sicherheitskritische Systeme sind Systeme bei denen ein Fehler dazu führen kann, dass das Leben einer Person Gefährdet wird oder die Umwelt beschädigt wird. Beispiele: medizinische Geräte, Flugzeugsteuerungssysteme, Waffensysteme, Atomkraftwerksystemen usw. Also die Entwicklung solcher Systeme kann nicht auf die leichte Schulter genommen werden. Es muss bei der Analyse und Entwurf anfangen.
Präsentation des Neigemoduls des Shuttles Der Shuttle, der hier behandeln wird, gehört zu der Forschungsinitiative Neue Bahntechnik Paderborn. Ziel ist die Kombination des herkömmlichen mechanischen Tragen und Führen auf dem bestehende schienennetz mit dem fortschrittlichen verschleißfreien Linearantrieb. Es soll zusätzlich durch intelligente Fahrwerkstechnik ein höherer Fahrkomfort erzielt werden.
Präsentation des Neigemoduls des Shuttles Ein Bild des Shuttles
Präsentation des Neigemoduls des Shuttles Funktionsweise der Neigetechnik Problemstellung
Funktionsweise des Neigemoduls (Der Wagenkasten) Das Feder- und Neigemodul ist eine Kombination einer niederfrequent abgestimmten passiven Aufhängung des Wagenkasten mittels einer Luftfeder mit einer aktiven Fußpunktverstellung
Problemstellung Für die Regelung der Fußpunktverstellung, werden die benötigten Informationen von Sensoren zur Verfügung gestellt und mittels einer Mehrgrößenrenregelung verarbeitet. Das Ergebnis ist ein bisher unerreichte Fahrkomfort in vertikaler und horizontaler Richtung.
Systemanforderungen und Sicherheitsanforderungen Systemanforderungen Funktionale Systemanforderungen Nichtfunktionale Systemanfordeungen Interne Systemanforderungen Sicherheitsanforderungen
Systemanforderungen Funktionale Systemanforderungen Safety (sicherheit) Correctness (Korrekheit) Trustability (Vertrauenwürdigkeit) Nicht Funktionale Systemanforderungen Reliability (Funktionsfähigkeit) Availability (Verfügbarkeit) Perfomance (Leistung)... Interne Systemanforderungen Testbarkeit Wiederherstelltbarkeit Wiederverwendbarkeit
Sicherheitsanforderungen Identifikation der mit dem System verbundenen Gefahren Klassifizierung der Gefahren nach ihrer Schwere Methode, um diese Gefahren zu mindern oder ganz auszuschließen Zuordnung geeigneter Reliability und Availability Ermittlung eines geeigneten Safety Integrety Level
Hazard-Analyse Definition von Gefahr Definition von Fehler Klassifizierung der Fehler
Definition von Gefahr und Fehler Gefahr (Hazard) ist eine Situation in welcher eine echte Bedrohung oder eine potentielle Bedrohung für Menschen und Umgebung besteht. Aus dieser Bedrohung kann ein Unfall entstehen Ein Fehler ist die Ursache für unerwünschte Resultate und kann bei den Menschen (Bediener) oder bei den Maschinen liegen.
Klassifizierung der Fehler Quelle: Entwicklung / Laufzeitfehler Art: Permanente / Sporadische / Bedingte Fehlertolerante Bereich: Wert / Zeit / unaufgeforderte Aktionen
Hazard-Analyse des Neigemoduls des Shuttles (1) Defekt des Chassis Aufhängung verbiegt sich Unvorhergesehene Kräfte auf Fahrzeugteile: Kette von Beschädigung (2) Komfort Verlust Unwohlsein bei den Passagieren Fliegende Objekte Verletzungen
Hazard-Analyse des Neigemoduls des Shuttles Entgleisung des Shuttles Sperrung und Beschädigung der Strecke Personenschäden Zusammenstoß durch zu starke Neigung mit Gegenstände Personenschäden Blockierung und Beschädigung der Strecke
Techniken der Analyse Vorwärts- und Rückwärts-Suche FTA (Fault tree analysis) Top-Down und Bottom-Up Suche FMEA (Failure modes effects analysis)
FTA (Fault tree Analysis) Bei diesem Verfahren geht man geht man von einer Gefahr aus und arbeitet Rückwärts, um die Ursache heraus zu finden. Es werden logische AND / OR Symbole benutzt. Weitere Symbole: Kreis, Rechteck, Raute.
Beispiel aus dem Neigemodul des Shuttles Kurzfristige falsche Neigung
Beispiel aus dem Neigemodul des Shuttles Langfristige falsche Neigung
Risiko-Analyse Das Risiko wird oft als Kombination aus der Wahrscheinlichkeit des Eintreffens und den Folgen einer Gefahr verstanden. Nähere Betrachtung der Schwere der Folgen Nähere Betrachtung der Wahrscheinlichkeit
Nähere Betrachtung der Schwere der Folgen Schwere der Unfallklasse für militäre Systeme Klasse Definition Katastrophal Kritisch Marginal Mehrfache Tote. Ein einzelner Tot, bzw. mehrfache schwere Verletzungen oder schwere berufliche Krankheiten. Eine einzelne schwere Verletzung oder berufliche Krankheiten, bzw. mehrfache untergeordnete (kleinere) Verletzungen oder untergeordnete (kleinere) berufliche Krankheiten. Unwesentlich Höchstens eine einzelne untergeordnete (kleinere) Verletzung oder untergeordnete (kleinere) berufliche Krankheiten.
Nähere Betrachtung der Wahrscheinlichkeit Stufe der Unfallwahrscheinlichkeit für militäre Systeme Unfallhäufigkeit Vorkommende Ereignisse während des Betriebs des Systems Häufig Wahrscheinlich Gelegentlich Entfernt Unwahrscheinlich Unglaublich Muss wahrscheinlich ständig experimentiert werden Wahrscheinlich oft vorzukommen Wahrscheinlich mehre Male vorzukommen Wahrscheinlich ab und zu vorzukommen Unwahrscheinlich, aber wird außergewöhnlich vorkommen Extrem unwahrscheinlich, dass das Ereignis vorkommt
Beispiel aus dem Neigemodul des Shuttles (Nach den Kriterien definiert in den zwei Tabelle) Zu (1): Marginal / Entfernt Zu (2): Marginal / Wahrscheinlich
Beispiel aus dem Neigemodul des Shuttles (Nach den Kriterien definiert in den zwei Tabelle) Zu (3): Critical / Entfernt Zu (4) Katastrophal / Unwahrscheinlich
Entwurf Es bestehen zwei grunglegende Verfahren, die meistens in Kombination angewendet sollten. Das erste Verfahren ist die Benutzung von Entwurf Muster Das zweite ist die Benutzung von Informationen, die aus Hazard-Analyse gewonnen werden. Es wird wie folgt unterteilt: Hazard elimination Hazard reduction Hazard control Damage minimization
Hazard elimination Beispiel aus dem Neigemodul des Shuttles Geschwindigkeitsreduzierung Ausreichender abstand zu Hindernisse neben der Bahnstrecke Absicherung der Gepäckstücke im Inneren Ausschaltung der Neigetechnik
Hazard reduction Beispiel aus dem Neigemodul des Shuttles Model-Checking der Software Sensoren an Fahrzeugende und -spitze Möglichst lokale Überprüfung von Sensoren und Aktoren
Hazard control Es gibt Hazard die nötig sind, weil sie nur zu Schwer aus zu weichen sind. Beispiel aus dem Neigemodul des Shuttles Fallback: Einrichtung von geeigneten Fallback-Ebenen Zentralsoftware hat kurze Modulwege zu verschiedenen Fallback-Ebenen
Damage Minimization Ziel ist das Reduzieren des Schaden nach einem Unfall, wenn das passieren sollte. Beispiel aus dem Neigemodul des Shuttles Extra Verstärkung des Chassis Nicht bzw. schwer entflammbare Materialien Schnelle Vororthilfe
Zusammenfassung Hazard- und Risiko-Analyse spielen bei der Entwicklung von sicherheitskritischen Systemen eine schwerwiegende Rolle, sie sind unumgänglich für die Entwicklung des Systems. Diese Analyse muss so gut wie möglich gemacht werden. Dieser Bereich der Informatik ist einen Zukunftweisenden Bereich, auf Grund der immer steigenden Anzahl der eingebetteten Softwaresysteme in der Industrie.
Vielen Dank für die Aufmerksamkeit!