Zertifizierungsgerechter Entwurf betriebsmitteladäquater Automatisierungssysteme mit Sicherheitsverantwortung

Produktbeschreibung

Programmierbare elektronische Systeme für sicherheitsgerichtete Anwendungen werden nach Prüfung durch Menschen sicherheitstechnisch abgenommen. Für den praktischen Einsatz können nur solche Systeme zertifiziert werden, die Menschen zuvor als weitestgehend frei von sicherheitskritischen Entwurfsfehlern befunden haben. Komplexität kommt hierbei eine besondere Bedeutung zu, da von ihr die Verstehbarkeit von Systementwürfen abhängt. Betriebsmitteladäquatheit ist ein essentielles Element zur Komplexitätsminimierung und hat darüber hinaus weitere, ausfalltolerierende Auswirkungen.
Ziel dieser Arbeit ist daher, die im Entwurfslebenszyklus sicherheitsgerichteter programmierbarer elektronischer Systeme eingesetzten Methoden dahingehend zu verbessern, dass Komplexität durch konsequente Anwendung von Betriebsmitteladäquatheit reduziert wird. Dies führt zu verbesserter Prüfbarkeit und damit zu sichereren Systemen.

Inhaltsverzeichnis
1 Einleitung 1
1.1 Ziele der Arbeit . . . . . . . . . . . . . . . . . . 1
1.2 Beispiele für sicherheitsrelevante Ausfälle . . . . . . 2
1.2.1 Mars Pathfinder . . . . . . . . . . . . . . . . . . . 2
1.2.2 Transienter Fehlereinfluss schneller Neutronen . . . 6
1.2.3 Automatisierte Fahrzeuge auf öffentlichen Straßen . . . 12
1.3 Zusammenfassung des Kapitels . . . . . . . . . . . . 20
2 Anforderungen an sicherheitsgerichtete Echtzeitsysteme 21
2.1 Anforderungen an EEPE-Systeme . . . . . . . 21
2.1.1 Begriffsklärung . . . . . . . . . . . . 22
2.1.2 Grundprinzipien des Entwurfs von EEPE-Systemen . . 22
2.1.3 Anforderungen an EEPE-Systeme . . . . 24
2.1.4 Unterstützende Entwurfsprinzipen . . . . . . . . . . . . . . . . . . . 31
2.2 Anforderungen an die Entwurfsphasen . . . . . . . . . . . . . . . . . . . . . 34
2.2.1 Anforderungen an den Systementwurf . . . . . . . . . . . . . . . . . 37
2.2.2 Anforderungen an den Spezifikationsentwurf . . . . . . . . . . . . . 39
2.2.3 Anforderungen an den Hardwareentwurf . . . . . . . . . . . . . . . . 41
2.2.4 Anforderungen an den Softwareentwurf . . . . . . . . . . . . . . . . 46
2.2.5 Fazit zur Anforderungslage . . . . . . . . . . . . . . . . . . . . . . . 57
2.3 Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . 58
3 Stand von Wissenschaft und Technik 61
3.1 Entwurf sicherheitsgerichteter Systeme . . . . . . . . . . . . . . . . . . . . 61
3.1.1 Spezifikationsentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3.1.2 Hardwareentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
3.1.3 Softwareentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.1.4 Systemintegration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
3.2 Dynamische Betriebsmittelverwaltung in sicherheitsgerichteten Umgebungen 96
3.2.1 Komplexität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
3.2.2 Nebenläufigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
3.2.3 Interprozesskommunikation . . . . . . . . . . . . . . . . . . . . . . . 100
3.2.4 Betriebsmittelabstraktion und -tarnung . . . . . . . . . . . . . . . . . 101
3.2.5 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
3.3 Komplexitätsbewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
3.3.1 Triviale Messmethoden . . . . . . . . . . . . . . . . . . . . . . . . . 103
3.3.2 Zyklomatische Komplexität . . . . . . . . . . . . . . . . . . . . . . . 104
3.3.3 Halstead-Metrik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
3.3.4 Statische Kodeanalyse à la Lint . . . . . . . . . . . . . . . . . . . . . 106
3.4 Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . 107
4 Verbesserungsansatz 109
4.1 Begriffsbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.1.1 Betriebsmitteladäquatheit . . . . . . . . . . . . . . . . . . . . . . . . 109
4.1.2 Verstehbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.1.3 Kausalketten und -pfade . . . . . . . . . . . . . . . . . . . . . . . . 111
4.1.4 Parametrierbare Übergabeschnittstellen . . . . . . . . . . . . . . . . 112
4.2 Spezifikationsentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
4.3 Verhaltensentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
4.4 Entscheidungsfindung für den Hardwareentwurf . . . . . . . . . . . . . . . . 117
4.4.1 Bedarfsermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.4.2 Bewertung der Systemkomplexität: Ansatz für eine Metrik . . . . . . 123
4.4.3 Wahrnehmung und Verarbeitung durch menschlichen Geist . . . . . 129
4.4.4 Eine Komplexitätsmetrik basierend auf der menschlichen Wahrnehmung . . . 144
4.4.5 Entscheidungsfindung auf Basis der Metrik . . . . . . . . . . . . . . 170
4.5 Hardwareentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
4.5.1 Bedarf an Instruktionen für ein Rechenwerk . . . . . . . . . . . . . . 177
4.5.2 Bedarf an Digitallogik für die Verhaltensbeschreibung . . . . . . . . . 178
4.5.3 Bedarf an Arbeitsspeicher . . . . . . . . . . . . . . . . . . . . . . . 178
4.5.4 Bedarf an Programmspeicher . . . . . . . . . . . . . . . . . . . . . . 179
4.6 Systemintegration und -abnahme . . . . . . . . . . . . . . . . . . . . . . . 179
4.7 Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . 181
5 Applikationsbeispiel 183
5.1 Prozessbeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
5.2 Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
5.2.1 Spezifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
5.2.2 Verhaltensmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
.2.3 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
5.2.4 Systemintegration & -abnahme . . . . . . . . . . . . . . . . . . . . . 205
5.3 Abschließende Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
5.3.1 Systementwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
5.3.2 Hardwareentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
5.4 Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . 207
6 Evaluation 208
6.1 Einordnung des Entwurfsverfahrens . . . . . . . . . . . . . . . . . . . . . . 208
6.2 Validierung anhand der Anforderungen . . . . . . . . . . . . . . . . . . . . 209
6.2.1 Unterstützende Entwurfsprinzipien . . . . . . . . . . . . . . . . . . . 209
6.2.2 Grundanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . 210
6.3 Evaluation anhand der Berechnungsbeispiele . . . . . . . . . . . . . . . . . 212
6.3.1 Berechnungsbeispiel Hardware . . . . . . . . . . . . . . . . . . . . . 212
6.3.2 Verbesserungsansatz für das Beispiel . . . . . . . . . . . . . . . . . 213
6.3.3 Schlussfolgerungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
6.4 Evaluation anhand der Ausfallbeispiele . . . . . . . . . . . . . . . . . . . . 215
6.4.1 Mars Pathfinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
6.4.2 Transienter Fehlereinfluss schneller Neutronen . . . . . . . . . . . . 216
6.4.3 Automatisierte Fahrzeuge auf öffentlichen Straßen . . . . . . . . . . 216
6.5 Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . 217
7 Fazit und Ausblick 219
7.1 Fazit aus den Ergebnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
7.2 Ausblick auf mögliche Weiterentwicklung . . . . . . . . . . . . . . . . . . . 221
Literatur 225

Keywords: Zertifizierung, Prüfung, Echtzeit, Automatisierung, Sicherheit, betriebsmitteladäquat, Redundanz, Systementwurf, Komplexität, certification, assessment, real-time, automation, safety, resource adequate, redundance, system design, complexity