Sicherheitskritische Systeme Prozesse, Standards und Zertifizierung Im Rahmen des Seminars Analyse, Entwurf und Implementierung zuverlässiger Systeme Autor: Robert Traussnig Betreuer: Dr. Holger Giese Paderborn, Januar 2004 Hier steht der Titel Vortragender/Mitarbeiter Seite: Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese 1
Agenda I. Einleitung II. Prozesse - Was ist ein Prozess - Capability Maturity Modell III. Standards - Was sind Standards - Wer definiert Standards - Beispiele: ISO 9000, IEC 61508, RTCA/DO 178B IV. Zertifizierung - Was ist Zertifizierung - Wer kann zertifizieren - Was kann zertifiziert werden V. Anwendung: CAPAS VI. Zusammenfassung Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 2
I. Einleitung U.S. Air Traffic Control: -Beginn des Projektes 1980: Bewilligte Kosten US $ 1.2 Mrd. -Projekt aufgegeben 1991: Kosten US$ 20 Mrd. Ariane V Erstflug: -Wiederverwendung eines Softwaremoduls der Ariane IV für die Triebwerks-Steuerung - Kursabweichung - Rakete musste nach 45 sec. notgesprengt werden Lauda Air Boeing 767 - Ausfahren der Schubumkehr an einem Triebwerk im Steigflug - 360 Grad Rolle und Absturz Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 3
I. Einleitung Most accidents are not the result of lack of knowledge about hazards and their causes but of the lack of effective use of that knowledge by the organisation. [Nany G. Leveson] Zertifizierung Produkt Prozesse Standards Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 4
II. Prozesse Der Software Prozess ist das Set von Werkzeugen, Methoden und Praktiken die wir verwenden, um Software zu produzieren (W. Humphrey) Capability Maturity Model (CMM) Modell, das die Qualität eines Prozesses definiert Carnegie Mellon Software Engineering Institute (SEI) Erste Veröffentlichung 1990 Aktuelle Varianten: CMMI (Capability Maturity Model Integration) CMM-SE (Systems Engineering) CMMI-IPPD (Integrated Product and Process Development) Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 5
II. Prozesse CMM Level 1 (initial) Ad hoc oder Chaotische Organisation, Re-aktives Management Erfolg oder Misserfolg vorwiegend abhängig vom Können der Team-Mitglieder ( Superstar-Effekt ) CMM Level 2 (wiederholbar): Wiederholbare Projekte, Management von Anforderungen Projekt Planung, Projekt Überwachung Definierte Leistungen für Zulieferer Produkt- und Prozess-Qualitätssicherung CMM Level 3 (definiert): Kontinuierliche Verbesserung der Projekt-Performanz Projekt-übergreifende Aktivitäten, Integriertes Multi-Projekt-Management Verfikation und Validierung Risiko-Management Training der Mitarbeiter Systematische Bewertung und Analyse von Alternativen Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 6
II. Prozesse CMM Level 4 (quantitativ gemanaged): Kontinuierliche Verbesserung der Organisation Analyse historischer Daten, Vorhersage von Resultaten Statistische Qualitäts-Kontrollmethoden CMM Level 5 (optimiert): Re-Konfigurierbare, adaptive Organisation Quantitative, kontinuierliche Prozess-Verbesserung Ursachen-Analyse und pro-aktive Fehlervermeidung Kontinuierliches Lernen innerhalb der Organisation Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 7
III. Standards Standards are the representative collection of lessons learned and best practices over the course of years in many countries, companies and projects. [Debra S. Hermann] Internationale Organisation, die Standards erarbeiten: International Organisation for Standardization (ISO) International Electrotechnical Commission (IEC) Institute of Electrical and Electronics Engineers (IEEE) European Committee for Electrotechnical Standardisation (CENELEC) UK British Standards Institute (BS) => Werden dann auf nationaler Ebene zu Normen oder Gesetzen. Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 8
III. Standards Erste Version 1991 ISO 9000 Qualitäts-Sicherung und Qualitäts-Management ISO 9000 requires the organization to say what it does, do what it says and be able to demonstrate it Die Gruppe von ISO 9000 Standards besteht aus: ISO 9001: Model für Qualitäts-Sicherung in Design, Entwicklung, Produktion, Installation und Wartung ISO 9002: Wie 9001, aber ohne Design oder F&E Komponente. Fokus auf Produktion, Installation und Wartung von Produkten ISO 9003: Produkt-Inspektion und Testen von zugekauften Komponenten Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 9
III. Standards ISO 9000 Wichtig für Software-Entwicklung ist ISO 9001-3 Guide to the application of ISO 9001 to the development, supply and maintenance of software Drei Bereiche: Qualitäts-Framework Lifecycle-Aktivitäten Support-Aktivitäten Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 10
III. Standards IEC 61508 Functional Safety of Electrical / Electronic / Programmable Electronic Safety-Related Systems Veröffentlicht 1998 durch IEC Generischer Standard Einsetzbar als Sektor-Standard (Medizin, Nuklear etc.) oder als Product- Standard (Drive-By-Wire etc.) Ziel ist es, Sicherheit zu erhöhen und Kosten zu senken Bietet ein Sicherheits-Framework für die Entwicklung Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 11
III. Standards IEC 61508 besteht aus sieben Teilen: IEC 61508-1: IEC 61508-2: IEC 61508-3: IEC 61508-4: IEC 61508-5: IEC 61508-6: IEC 61508-7: General Requirements Requirements for electrical / electronic / programmable electronic safety-related systems Software Requirements Definitions and abbreviations Examples of methods for the determniation of safety integrity levels Guidelines on the application of IEC 61508-2 and IEC 61508-3 Overview of techniques and measures Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 12
III. Standards IEC 61508 Lifecycle Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 13
III. Standards RTCA/DO 178B Veröffentlicht 1980, aktuelle Version 1992 Requirements and Technical Concepts for Aviation (RTCA) Grundlage für Zertifizierungen von zivilen Luftfahrzeugen durch U.S. Federal Aviation Administration (FAA) und Europäische Joint Aviation Administration (JAA) Status eines guidance document Ist gleichzeitig EUROCAE Standard ED-12B Definiert fünf Level kritischer Software: jeder Level gibt die Auswirkungen eines Software-Fehlers auf das Luftfahrzeug und seine Insassen an Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 14
III. Standards RTCA/DO 178B Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 15
III. Standards RTCA/DO 178B SYSTEM ASPECTS RELATING TO SOFTWARE DEVELOPMENT SECTION 2 OVERVIEW OF AIRCRAFT AND ENGINE CERTIFICATION SECTION 10 SOFTWARE LIFE CYCLE LIFE CYCLE OUTPUTS SECTION 11 SOFTWARE LIFE CYCLE SECTION 3 SOFTWARE PLANNING PROCESS SECTION 4 SOFTWARE DEVELOPMENT PROCESS SECTION 5 INTEGRAL PROCESSES SOFTWARE VERIFICATION PROCESS SECTION 6 SOFTWARE CONFIGURATION MANAGEMENT PROCESS SECTION 7 SOFTWARE QUALITY ASSURANCE PROCESS SECTION 8 CERTIFICATION LIAISON PROCESS SECTION 9 ADDITIONAL CONSIDERATIONS - SECTION 12 [FAA 1992] Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 16
III. Standards DO 178B Software Deliverables Acronym Title Type PSAC Plan for Software Aspects of Certification Document SDP Software Development Plan Document SVP Software Verification Plan Document SCMP Software Configuration Management Plan Document SQAP Software Quality Assurance Plan Document SRS Software Requirements Standards Document SDS Software Design Standards Document SCS Software Code Standards Document SRD Software Requirements Data Document SDD Software Design Description Document Source Code. Executable Object Code SVCP Software Verification Cases and Procedures Document SVR Software Verification Results Records SECI Software Life Cycle Environment Configuration Index Document SCI Software Configuration Index Document Problem Reports Records Software Configuration Management Records Records Software Quality Assurance Records Records SAS Software Accomplishment Summary Document Hier steht der Titel Vortragender/Mitarbeiter Seite: Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 171
IV. Zertifizierung Certification is the process of issuing a certificate to indicate conformance with a standard, a set of guidelines, or some similar document. [Storey1995] Ziele der Zertifizierung: Verbesserung der Sicherheit von kritischen Systemen Wechselwirkung zwischen Performance des Systems und Sicherheit zeigen Einhaltung von minimalen Standards in der Entwicklung und Produktion innerhalb des entsprechenden industriellen Sektors sicherstellen Professionelle Verantwortung des Einzelnen fördern Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 18
IV. Zertifizierung Wer kann zertifizieren? Im Prinzip jede Organisation oder Einzelne Signifikanz des Zertifikats ist abhängig von der Natur des Ausstellers In vielen Fällen Ausstellung der Zertifizierung in Form einer Lizenz durch eine Behörde z.b. FAA zertifiziert alle zivilen Luftfahrzeuge und deren Systeme in den USA Was kann zertifiziert werden? Organisation im Unternehmen Prozesse und Vorgehensweisen, die für die Produkt-Entwicklung verwendet werden Standards das fertige Produkt Personen, wie Bediener oder Nutzer eines Systems Experten, die wiederum selbst Zertifikate ausstellen können (z.b. Designated Engineering Representative DER, der Zertifizierungen für die FAA durchführt) Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 19
V. Anwendung CAPAS (Computer Aided Performance Assessment System) FAA Zertifizierungs-Levels: -Field Approval: ein bestimmtes Luftfahrtzeug -STC Supplemental Type Certificate: eine Baureihe eines Luftfahrzeuges (z.b. Cessna 172R) -Type Certificate: Zulassung für eine Klasse von Flugzeugen (z.b. einmotorige Landflugzeuge bis 2 Tonnen) - Jede Änderung am System (neue SW Version etc.) muss in Form eines Maintenance bzw. Safety Bulletins veröffentlicht werden Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 20
V. Anwendung FAA STC (Supplemental Type Certificate) Zertifizierung CAPAS (Computer Aided Performance Assessment System) nach DO 178B Level C (1) Familiarization Meeting (2) Formal Application (3) DER Designation (4) Preliminary Type Certification Board (5) Certification Program Plan (CPP) (6) Technical Meeting (7) Pre-Flight Supplemental Type Certification (STC) Board (8) Type Inspection Authorization (TIA) (9) Conformity Inspections and Certification Flight Tests (10) Aircraft Evaluation Group (AEG) (11) Final Type Certification Board (12) Supplmental Type Certificate (STC) (13) Post Certification Activities Dauer: 1 Jahr Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 21
VI. Zusammenfassung Zusammenfassung - Für die Erstellung von sicherheits-kritischen Systemen, insbesondere Software, ist es absolut notwendig, entsprechende zertifizierte Entwicklungs- Prozesse im Unternehmen einzuführen und die notwendigen Standards einzuhalten. - Ausgehend von generischen Modellen (z.b. CMM) und Standards (z.b. ISO 9000) ist für jeden Anwendungsbereich im Unternehmen ein spezifischer Prozess zu entwickeln und zu zertifizieren (Kosten/Nutzen Abwägung!) -Abhängig von der Industrie sind diese Prozesse und Standards Teil der nationalen Gesetzgebung und daher Voraussetzung für die Zertifizierbarkeit und damit Anwendbarkeit des Produktes. Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 22
Vielen Dank für die Aufmerksamkeit! Analyse, Entwurf und Implementierung zuverlässiger Software Traussnig / Dr.Giese Seite 23