UNIVERSITÄT PADERBORN Die Universität der Informationsgesellschaft Institut für Informatik Arbeitsgruppe Softwaretechnik Gefahrenanalyse mittels Fehlerbaumanalyse von Eike Schwindt Vortrag im Rahmen des Seminars Analyse, Entwurf und Implementierung zuverlässiger Software 30. Januar 2004
Agenda Motivation Einordnung der Verfahren Vorstellung des Beispielsystems Grundlagen und Syntax der Fehlerbaumanalyse Fehlerbaumsemantik am Beispiel Anwendung auf Software Zusammenfassung Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 2
Motivation technische Systeme enthalten neben»klassischer«hardware zunehmend Mikrocontroller und Software garantierte und nachprüfbare Aussagen über Sicherheit des Gesamtsystems erforderlich Betrachtung dreier formaler Verfahren zur Gefahrenanalyse und Untersuchung ihrer Eignung für hybride Systeme und Software: Fehlerbaumanalyse, FMEA, HAZOP Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 3
Einordnung der Verfahren 1 bekannt Gefahrenursache unbekannt Auswirkungen von Komponentenversagen bekannt Beschreibung des Systemverhaltens Deduktive Analyse (Fehlerbaumanalyse) Auswirkungen von Komponentenversagen unbekannt Induktive Analyse (FMEA) Explorative Analyse (HAZOP) 1 nach Fenelon, McDermid, Nicholson und Pumfrey: Towards Integrated Safety Analysis and Design Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 4
Vorstellung des Beispielsystems Kühlwasserauslass Einspeisesystem für heißes HNO3 (Temperatur T ) 1 380 V Spannungsversorgung Ventil V 1 Ventil V 2 Wärmetauscher Temperatur- Sensor Regler Reaktorspeisesystem für kaltes HNO 3 (Temperatur T ) 2 Umwälzpumpe Druckluftversorgung Kühlwasserzufluss 6.6 kv Spannungsversorgung Durchflussmesser 48 V Spannungsversorgung Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 5
Fehlerbaumanalyse engl.: Fault Tree Analysis (FTA) entwickelt 1961 zur Untersuchung eines Raketenabschuss-Systems seit längerem standardisiert (DIN und IEC) dient der Ursachenermittlung von Systemversagen ermöglicht qualitative und quantitative Analysen deduktive Top-Down-Methode graphische Repräsentation kausaler Abläufe Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 6
Vorgehensweise FTA besteht aus: 1. Systemdefinition (TOP Ereignis, Systemgrenzen,»Auflösung«, ) 2. Fehlerbaum-Konstruktion Zurückführen der Ursache des TOP Ereignis auf Kombinationen von Komponentenversagen mittels logischer Verknüpfungen 3. qualitativer und quantitativer Analyse 4. Dokumentation der Ergebnisse Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 7
Fehlerbaum-Syntax TOP Ereignis / Zwischenereignis UND-Verknüpfung Primäres Ereignis ODER-Verknüpfung unentwickeltes Ereignis X-ODER-Verknüpfung IN OUT Transfer Symbole B Bedingte Verknüpfung Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 8
Fehlerbaumkonstruktion (1) nicht-korrigierbarer Temperaturanstieg im HNO -Zufluss 3 korrigierbarer Temperaturanstieg im HNO -Zufluss 3 Versagen des Sensors (PE) exzessiver Anstieg der Temperatur T 2 korrigierbarer Temperaturanstieg im HNO3-Zufluss und Versagen des Regelsystems Ausfall des Temperatursensors Verlust der 48V Versorgung Unzureichender Kühlwasserzufluss, unentdeckt durch Sicherheitssystem Versagen des Regelsystems Versagen des Reglers (PE) Versagen des Reglers Bedien-Fehler: Regler steht auf manuell Unzureichender Kühlwasserzufluss (feststellbar durch Sicherheitssystem) und Versagen des Sicherheitssystems Ventil V2 sitzt fest Verlust der 48V Versorgung Identifizieren des TOP Ereignis Identifizieren der Verursacher der ersten Ebene Verbinden durch log. Verknüpfungen Wiederholen/Fortsetzen für die nächsten Ebenen bis Primäre Ereignisse erreicht sind Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 9
Fehlerbaumkonstruktion (2) Gesamtansicht des kompletten Fehlerbaumes: exzessiver Anstieg der Temperatur T2 nicht-korrigierbarer Mengen-/Temperaturanstieg im Salpetersäure-Zufluß korrigierbarer Mengen-/ Temperaturanstieg im Salpetersäure-Zufluß UND Versagen des Regelsystems unzureichender Kühlwasserzufluß, unentdeckt durch Sicherheitssystem unzureichender Kühlwasserzufluß (feststellbar durch Sicherheitssystem) UND Versagen des Sicherheitssystems 1 Signifikanter Anstieg der Temperatur im Salpetersäure- Zufluß 2 signifikanter Anstieg der Menge des Salpetersäure- Zuflusses 3 Feuer im Wärmetauscher- Raum 4 Internes Leck im Wärmetauscher 5 6 moderater Anstieg der Temperatur im Salpetersäure-Zufluß moderater Mengen-/ Temperaturanstieg im Salpetersäure-Zufluß moderater Anstieg der Menge des Salpetersäure- Zuflusses Ausfall des Temperatursensors Versagen des Regelsystems Versagen des Reglers 13 externes Leck im Wärmetauscher 12 Ventil V2 sitzt fest externes Leck im Ventil V2 14 unzureichender Pumpen- Saugdruck Versagen der Pumpe unzureichender Kühlwasserzufluß (feststellbar durch Sicherheitssystem) unbeabsichtigtes Schließen von Ventil V 2 (PE) 15 16 Wärmetauscher verstopft (auf Wasserseite) Ausfall des Durchflußmessers Versagen des Sicherheitssystems Versagen des Auslöse- Stromkreises Ventil V1 schließt nicht 7 8 9 Ausfall des Temperatursensors (PE) Verlust der 48V Versorgung Versagen des Reglers (PE) 10 Bedien-Fehler (Regler steht auf manuell ) 8 Verlust der 48V Versorgung 17 18 19 Versagen der Pumpe (PE) Verlust der 6.6kV Versorgung unbeabsichtigtes Schließen von Ventil V 2 (PE) 20 Regelsystem 21 Fehlfunktion Verlust des Regel- Luftdrucks Ausfall des V2 Regelsystems Ausfall des Durchflußmessers (PE) Feuer im Kontroll-Raum 24 8 25 8 Verlust der 48V Versorgung Versagen des Auslöse-Stromkreises (PE) 21 Feuer im Kontroll- Raum Verlust der 48V Versorgung 26 27 Ventil V1 schließt nicht (PE) Verlust der 380V Versorgung 22 Unbeabsichtigtes Schließen von Ventil V 2 (durch Regler) 23 fehlerhaft zu niedriges Temperatursignal vom Sensor Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 10
Qualitative Analyse Fehlerbaum entspricht einer logischen Gleichung ermöglicht Bestimmung von: TOP Minimal Cut Sets (MCS) {A}, {B}, {C,E}, {D,E} Single Point Failures {A}, {B} A B E Anfälligkeiten für Common Mode Fehler C D Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 11
Quantitative Analyse Ausfallw'keiten oder raten aller Komponenten bekannt weitere Berechnungen möglich: TOP λ=14,84 10 6 Ausfallw keit oder -rate des Gesamtsystems A B E C D quantitativer Beitrag einzelner Komponenten liefert Rangliste ihrer Wichtigkeit Ansätze zur gezielten Verbesserung des Systems Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 12
FTA für Software/hybride Systeme Einsatz in der Designphase: identifiziert potentiell gefährliche Module/Schnittstellen bzw. risikobehafteten Programm-Output liefert Anforderungsdefinitionen für SW bietet Ansätze für präventive oder protektive Maßnahmen Schwierigkeiten: Fehlerbäume allein unzureichend zur Modellierung komplexer Systeme FTA erfordert genaue Kenntnisse des Systems in der Designphase nicht vorhanden Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 13
Software Fault Tree Analysis (SFTA) 2 Einsatz direkt auf Quellcode-Ebene: unerwünschter Programm-Output wird als TOP Ereignis definiert Umwandlung von Statements in Fehlerbaumausdrücke mittels Templates Ergebnis ist graphische Repräsentation einer»umgekehrten«verifikation ebenso wie Verifikation nur für kurze Programme praktikabel 2 nach Leveson: Safeware System Safety and Computers Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 14
Bewertung des Verfahrens Nachteile erfordert intensive Untersuchung des Systems und des Zusammenwirkens der Komponenten im Idealfall nachprüfbare qualitative und quantitative Aussagen über Zuverlässigkeit des Systems und Bedeutung von Komponenten Einschätzung der Anfälligkeit für Common Causes modularer Aufbau ermöglicht Bearbeitung im Team Vorteile? TOP Ereignis muss vorher bekannt sein, neue Gefahren werden nicht entdeckt je TOP Ereignis ein Baum umfangreiche Fehlerbäume schon aus kleinen Systemen genaue Kenntnis des Systems erforderlich eingeschränkte Möglichkeiten zur Modellierung dynamischer Prozesse quantitativen Daten oft nicht für alle Komponenten vorhanden Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 15
Noch Fragen? Vortrag mißglückt Vortragender kann Fragen nicht beantworten Zeit überzogen Zuhörer eingeschlafen schlecht vorbereitet auf Party versumpft schlechte Folien langweiliger Vortragsstil Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 16