Veszély analízis. Rendszertervezés és -integráció előadás dr. Majzik István

Átírás

1 Veszély analízis Rendszertervezés és -integráció előadás dr. Majzik István Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék BME-MIT

2 Célkitűzések BME-MIT 2.

3 Ellenőrzések a tervezési fázisban Követelmények elemzése Rendszer specifikálás Üzemeltetés, karbantartás Rendszer validáció Statikus analízis: modellek, tervek, kód vizsgálata Veszély analízis Formális verifikáció: Rendszer verifikáció formális modellek esetén Architektúra tervezés Rendszer integrálás Modul tervezés Modul verifikáció Modul implementáció BME-MIT 3.

4 A veszély analízis Cél: Hibahatások és veszélyes állapotok kialakulásának felmérése o Mi okozhat rendszerszintű veszélyes állapotot? o Mit okoz egy komponens szintű hiba? Eredmények: o Veszélyek minősítése Előfordulási gyakoriság Következmények szintje o Veszély katalógus o Kockázati mátrix gyakoriság trigger ok veszély hatás Alapot képez a kockázatcsökkentéshez szint BME-MIT 4.

5 Cél: Kockázati mátrix elkészítése Védelmi szint: Kezelendő kockázatok Veszély szint /gyakoriság Gyakori P2 szelep beragad Valószínű. Pumpa beragad Esetenkénti Motor nem indul Mérsékelt Kritikus Katasztrofális... P3 szelep beragad... J1 jelfogó zárva beragad Piros tartomány: Kockázatcsökkentés szükséges Ritka. Tartály ereszt. D3 dióda szakadása Elhanyagolható Valószínűtlen Cső repedése. R1 szakadt Lehetetlen.... D3 dióda rövidzára BME-MIT 5.

6 A módszerek csoportosítása A fejlesztési fázis szerint (feladatok): o Tervezési fázis: Veszélyek felmérése o Átadási fázis: Biztonság igazolása o Működési fázis: Módosítások felülvizsgálata Az analízis megközelítése szerint: o Ok-okozati szempontból: Előrelépő (induktív): Események hatásainak vizsgálata Visszalépő (deduktív): Veszélyek okainak felderítése o Rendszerhierarchia szempontból: Alulról felfelé: Alrendszerek (komponensek) felől Felülről lefelé: Rendszerszintről lebontva Fontos: Szisztematikus módszerek szükségesek BME-MIT 6.

7 Analízis típusa: Statikus analízis Cél: Hiányosságok, ellentmondások kiszűrése a terv, modell vagy kód végrehajtása nélkül o Analógia: Átolvasás sorról sorra o Ellenőrző listák jól használhatók Statikus analízis vizsgálhatja: o Specifikáció o Tervek, modellek o Forráskód Automatizálás: Modellek illetve forráskód esetén BME-MIT 7.

8 Veszély analízis technikái (áttekintés) 1. Ellenőrző lista 2. Hibafa 3. Eseményfa 4. Ok-következmény analízis 5. Hibamód és hatás analízis (FMEA) BME-MIT 8.

9 Veszély analízis technikák BME-MIT 9.

10 Technika: 1. Ellenőrző listák o Tapasztalatok, tipikus hibák rendszerezett gyűjteménye o Alkalmazás: Mint ökölszabályok Biztosítja: o Ismert veszélyforrások nem maradnak ki o Kipróbált megoldások alkalmazhatók Hátrányok: o A lista nem teljes és nehezen kezelhető o Téves biztonságérzetet ad o Más környezetben az alkalmazhatóság kérdéses BME-MIT 10.

11 Specifikációk és tervek vizsgálati szempontjai Teljesség o Funkciók, hivatkozások, eszközök Ellentmondásmentesség o Külső és belső o Követhetőség Megvalósíthatóság o Erőforrások o Használhatóság o Karbantarthatóság o Költségbeli, technikai, környezeti kockázatok Tesztelhetőség o Specifikusság o Egyértelműség o Számszerűsíthetőség BME-MIT 11.

12 Specifikáció vizsgálata: Motiváció Tapasztalat: Sok hiba visszavezethető hiányos vagy ellentmondásos specifikációra o Példa: Voyager és Galileo űrszondák szoftver validációja során felfedezett hibák statisztikája 78% (149/192) specifikációs hiányosság, ebből 23% veszélyes állapotban ragadás (nincs kilépés) 16% időzítési kényszerek megadásának hiánya 12% nincs specifikált reakció külső eseményre 10% bemeneti érték ellenőrzésének hiánya Megoldás lehet: o Szigorú specifikációs nyelv (kötött szintaxis kényszerít) o Ellenőrzött tervezési minták használata o Utólagos ellenőrzés BME-MIT 13.

13 Példa: Ellenőrző lista állapotgép modellekhez Teljesség és ellentmondásmentesség: Állapotdefiníció Bemenetek (események) Kimenetek Kimenetek és trigger kapcsolata Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 14.

14 Példa: Ellenőrző lista állapotgép modellekhez Állapotdefiníció Bemenetek (események) Kimenetek Biztonságos a kezdőállapot Érvénytelen állapot definiált: kimaradó bemeneti események esetén timeout, ide lép és nincs a kimeneten akció szinkronizálásig Kimenetek és trigger kapcsolata Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 15.

15 Példa: Ellenőrző lista állapotgép modellekhez Állapotdefiníció Bemenetek (események) Kimenetek Minden bemenetre van megadott reakció Egyértelmű (determinisztikus) reakciók vannak Van bemeneti ellenőrzés (pl. érték, idő) Hibás bemenet kezelése megtörténik Megszakítások gyakorisága korlátozott Kimenetek és trigger kapcsolata Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 16.

16 Példa: Ellenőrző lista állapotgép modellekhez Állapotdefiníció Bemenetek (események) Kimenetek Kimenetek és trigger kapcsolata Hihetőségvizsgálat kritériumai adottak Fel nem használt kimenetek ellenőrzöttek Környezeti feldolgozó kapacitás betartva Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 17.

17 Példa: Ellenőrző lista állapotgép modellekhez Állapotdefiníció Bemenetek (események) Kimenetek Kimenetek hatása ellenőrzött a bemeneteken keresztül Szabályzási kör stabil Kimenetek és trigger kapcsolata Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 18.

18 Példa: Ellenőrző lista állapotgép modellekhez Állapotdefiníció Bemenetek (események) Kimenetek Minden állapot elérhető statikusan Állapotátmenetek visszafordíthatók (út van) Több átmenet van veszélyes állapotból biztonságosba Megerősített átmenet van biztonságosból veszélyes állapotba Kimenetek és trigger kapcsolata Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 19.

19 Példa: Ellenőrző lista állapotgép modellekhez Állapotdefiníció Bemenetek (események) Kimenetek Kijelzett események frissítése definiált Kijelzett események gyakorisága korlátozott (kezelő túlterhelése elkerülve) Kezelő felé kijelzendő események sorrendezettek (prioritás) Kimenetek és trigger kapcsolata Állapotátmenetek Ember-gép interfész Kezelő Vezérlő Vezérelt rendszer BME-MIT 20.

20 Forráskód vizsgálata statikus analízissel Cél: Veszélyes konstrukciók kiszűrése Eszköztámogatás: o Hibaminták keresése (pl. Lint, PMD, FindBugs) Adathibák: Inicializálás, típuskonverzió Vezérlési hibák: Elérhetetlen kód Interfész hibák: Típusok, számosság, visszatérési érték Tárkezelési hibák: Tár felszabadítás Jellegzetes hibaminták (teljesítmény, adatbiztonság, ) o Szemantikus analízis (pl. PolySpace) Hívási fa felderítése Változók értékkészletének vizsgálata: Null pointer, túlcsordulás, túlcímzés, aritmetikai hibák ellenőrzése BME-MIT 22.

21 2. Hibafa analízis Rendszerszintű veszély okainak vizsgálata o Tipikusan felülről lefelé haladó analízis o Felderíti a kezelendő hibaokokat és -kombinációkat Hibafa konstrukció: 1. Rendszerszintű veszély, veszélyes állapot azonosítása: környezet, követelmények, szabványok 2. Közbenső események, pszeudo-események: veszélyhez vezetnek, alacsonyabb szintű események Boole-logikai kombinációi (AND, OR) 3. Elsődleges (alapszintű) események: további felbontás nincs BME-MIT 24.

22 Hibafa grafikus elemkészlet Legfelső szintű vagy közbenső esemény Elsődleges (alapszintű) esemény Tovább nem vizsgált esemény Normál esemény (nem hiba vagy veszély) Feltétel egy összetett esemény bekövetkezéséhez ÉS kapu VAGY kapu BME-MIT 25.

23 Hibafa példa: Felvonó Boole-logikai kapcsolat Felvonó beragad Legfelső szintű veszély Gomb beragad Tápfesz. kiesés Vezérlő hiba Közbenső esemény Tovább nem vizsgált esemény 380V kiesés UPS kiesés Vezérlő hardver hiba Vezérlő szoftver hiba Elsődleges események Elsődleges proc. hiba Tartalék proc. hiba BME-MIT 28.

24 Minőségi (kvalitatív) analízis Hibafa redukció: Közbenső események és pszeudo-események feloldása diszjunktív normál forma (OR a legtetején) Vágat: AND kapuval összefogott elsődleges események Minimális vágathalmaz: Nem redukálható o Nincs olyan, aminek részhalmaza is megtalálható Azonosítható: o Egyszeres hibapont (SPOF) o Több vágatban is szereplő (kritikus) esemény BME-MIT 30.

25 Redukált hibafa példa: Felvonó Felvonó beragad Gomb beragad SPOF lehet 380V kiesés UPS kiesés Elsődleges proc. hiba Tartalék proc. hiba Vezérlő szoftver hiba SPOF BME-MIT 32.

26 Mennyiségi (kvantitatív) analízis Alapszintű eseményekhez rendelt valószínűségek o Komponens-adat, tapasztalat, becslés Rendszerszintű veszély valószínűség számítása o AND kapu: szorzat (ha független események) Pontos: P{A és B} = P{A} P{B A} o OR kapu: összegzés (felső becslés) Pontos: P{A vagy B} = P{A}+P{B}-P{A és B} <= P{A}+P{B} Problémák: o Korreláló hibák o Időbeli (hiba)szekvenciák kezelése BME-MIT 33.

27 Hibafa példa: Kvantitatív analízis Felvonó beragad p 1 +p 2 p 3 +(p 4 p 5 +p 6 ) p 1 p 2 p 3 Gomb beragad Tápfesz. kiesés Vezérlő hiba p 4 p 5 +p 6 p 2 p 3 380V kiesés UPS kiesés p 4 p 5 Vezérlő hardver hiba p 4 p 5 Elsődleges proc. hiba Tartalék proc. hiba Vezérlő szoftver hiba p6 BME-MIT 34.

28 3. Eseményfa analízis Előrelépő analízis: Elsődleges események következményeit vizsgálja o Kiváltó esemény: o Következmények: o Sorrendezés: o Elágazások: pl. egy komponens hibája más komponensek állapotától függ oksági kapcsolat, időbeli viszony események bekövetkezése Baleset / veszély forgatókönyvek vizsgálata o Utak valószínűsége (elágazások valószínűsége alapján) o Védelmi rendszerek hatékonysága Előnyök: Eseményszekvenciák vizsgálhatók Korlátok: Komplexitás, többszörös események BME-MIT 35.

29 Eseményfa példa: Reaktorhűtés Hűtőrsz. csőszakadás Elektromos hálózat Vészhűtés Reagens eltávolítás Folyamat fékezés kiváltó esemény van kiesett nem indul indul meghiúsul sikeres sikeres meghiúsul sikeres meghiúsul BME-MIT 38.

30 Eseményfa példa: Reaktorhűtés Hűtőrsz. csőszakadás Elektromos hálózat Vészhűtés Reagens eltávolítás Folyamat fékezés kiváltó esemény P1 van 1-P2 kiesett P2 nem indul P3 indul 1-P3 meghiúsul P4 sikeres 1-P4 sikeres meghiúsul P5 sikeres meghiúsul P5 P1 P3 P4 P1 P3 P4 P5 P1 P3 P1 P1 P5 P1 P2 BME-MIT 39.

31 4. Ok-következmény analízis Eseményfa és hibafa összekapcsolása o Eseményfa: forgatókönyvek (szekvencia) o Csatolt hibafák: események bekövetkezési okainak analízise Előnyök: o Szekvenciák (előrelépő analízis) és ok-okozati kapcsolatok (hátralépő analízis) együtt Korlátok: o Minden kiváltó eseményhez külön diagram szükséges BME-MIT 41.

32 Példa ok-következmény analízisre Túlnyomás P0 Szelep1 hiba Vezérlő hiba Tartalék szelep nyit igen nem P1 Szelep2 hiba Kezelő hiba Kézi szelep nyit igen nem P2 P0 P0 P1 P0 P1 P2 BME-MIT 43.

33 Példa ok-következmény analízisre Túlnyomás Tartalék szelep nyit igen nem P0 P1 = pa + pb Kézi szelep nyit igen nem pa Szelep1 hiba P2 = pc + pd Vezérlő hiba pc pb Szelep2 hiba Kezelő hiba pd P0 P0 P1 P0 P1 P2 BME-MIT 44.

34 5. Hibamód és hatás analízis (FMEA) Hibák és hatásaik szisztematikus áttekintése Előny: o Rendszerkomponensek ismert hibáinak vizsgálata o Redundancia felismerése Komponens Hibamód D1 dióda szakadás rövidzár Valószínűség Hatás 65% 35% - túlnyomás - technológiai hiba BME-MIT 45.

35 Példa: Vezérlő elektronika Számított Hibamód Hatás Valószínűség Származtatott hibamódok BME-MIT 46.

36 Emberi hibák analízise Kvalitatív módszerek: o Művelet veszély hatások okok elkerülés o Fizikai és mentális elvárások elemzése o Hibalehetőségek pl. kezelői felület problémái Nyit Zár Zár Nyit Hűtő1 Hűtő2 BME-MIT 47.

37 Kockázati mátrix és kockázatcsökkentés BME-MIT 48.

38 Veszély katalógus Veszély analízis alapján a veszélyek besorolása (pl. MIL-STD-822b, NASA szabványok): o Veszély szint: katasztrofális, kritikus, mérsékelt, elhanyagolható o Veszély időtartam/gyakoriság: gyakori, valószínű, esetenkénti, ritka, valószínűtlen, lehetetlen Veszély katalógus formája: o Kockázati mátrix o Védelmi szint bejelölése: A kezelendő kockázatok BME-MIT 49.

39 Kockázati mátrix és védelmi szint Védelmi szint: Kezelendő kockázatok Veszély szint /gyakoriság Gyakori P2 szelep beragad Valószínű. Pumpa beragad Esetenkénti Motor nem indul Mérsékelt Kritikus Katasztrofális... P3 szelep beragad... J1 jelfogó zárva beragad Piros tartomány: Kockázatcsökkentés szükséges Ritka. Tartály ereszt. D3 dióda szakadása Elhanyagolható Valószínűtlen Cső repedése. R1 szakadt Lehetetlen.... D3 dióda rövidzára BME-MIT 50.

40 Kockázati mátrix példa (vasúti alkalmazások) Frequency of Occurrence of a Hazardous Event RISK LEVELS Daily to monthly FREQUENT (FRE) Undesirable (UND) Intolerable (INT) Intolerable (INT) Intolerable (INT) Monthly to yearly PROBABLE (PRO) Tolerable (TOL) Undesirable (UND) Intolerable (INT) Intolerable (INT) Between once a year and once per 10 years OCCASIONAL (OCC) Tolerable (TOL) Undesirable (UND) Undesirable (UND) Intolerable (INT) Between once per 10 years and once per 100 years REMOTE (REM) Negligible (NEG) Tolerable (TOL) Undesirable (UND) Undesirable (UND) Less than once per 100 years IMPROBABLE (IMP) Negligible (NEG) Negligible (NEG) Tolerable (TOL) Tolerable (TOL) INCREDIBLE Negligible Negligible Negligible Negligible (INC) (NEG) (NEG) (NEG) (NEG) INSIGNIFICANT MARGINAL CRITICAL CATASTROPHIC (INS) (MAR) (CRI) (CAT) Severity Levels of Hazard Consequence BME-MIT 51.

41 Kockázatcsökkentés alapelvei gyakoriság trigger szint Veszély okai és hatásai ok veszély hatás Beavatkozási lehetőségek gyakoriság trigger szint ok veszély hatás kiküszöbölés, csökkentés kézbentartás, kár csökkentés BME-MIT 52.

42 Kockázatcsökkentés (áttekintés) Veszély kiküszöbölés: elkerülni a veszélyt o Helyettesítés: kevésbé veszélyes alkatrész, programnyelv o Egyszerűsítés: determinisztikus, statikus struktúra o Szétcsatolás: modularizálás, jogosultságok kezelése Veszély csökkentés: o Vezérelhetőség: inkrementális vezérlés, monitorozás o Határolók: kizárás (jogosultság), bezárás (bemenet vizsgálat), közrezárás (végrehajtási szekvencia vizsgálat) o Hiba minimalizálás: biztonsági tartomány Veszély kézbentartás: o Időtartam csökkentés, elszigetelés, védőrendszerek Kár csökkentés: o Menekülés, riadó tervek BME-MIT 54.

43 I. Veszély kiküszöbölés Módszer neve Rendszerszintű megoldás 1. Helyettesítés Más anyag, más alkatrész, más technológia, Szoftver specifikus megoldás példa - Biztonságosabb programozási nyelv (C helyett SPARK Ada) Pl. tűzveszélyes, robbanásveszélyes anyagok kiváltása - Bevált modulok újonnan írtak helyett BME-MIT 55.

44 I. Veszély kiküszöbölés Módszer neve Rendszerszintű megoldás Szoftver specifikus megoldás példa 2. Egyszerűsítés Komponensek, üzemmódok számának csökkentése Veszély kontroll egyszerűség Hibatűrés egyszerűség Egyszerű programszerkezetek: - Statikus vezérlés - Determinisztikus vezérlés - Strukturáltság - Egyszerű interfészek - Robusztus adatstruktúrák BME-MIT 56.

45 I. Veszély kiküszöbölés Módszer neve Rendszerszintű megoldás Szoftver specifikus megoldás példa 3. Szétcsatolás Függőségek és hibaterjedés csökkentése Pl. aluljáró, felüljáró Laza csatolású rendszerek: - Modularizálás (biztonsági mag) - Információrejtés Kritikus nemkritikus modulok közti kapcsolatok csökkentése BME-MIT 57.

46 I. Veszély kiküszöbölés Módszer neve 4. Emberi hibázás csökkentése Rendszerszintű megoldás Ergonómia, színkódok, eltérő csatlakozók, Szoftver specifikus megoldás példa Programozási nyelv (részhalmaz) kiválasztása (szigorúbb legyen) Kezelői felületek kialakítása (pl. túl gyors, túl lassú, rossz sorrendű kezelés tiltása) BME-MIT 58.

47 II. Veszély csökkentés Módszer neve Rendszerszintű megoldás Szoftver specifikus megoldás példa 1. Vezérelhetőség (aktív veszély csökkentés) Beavatkozás lehetősége veszély kialakulás esetén Inkrementális vezérlés (közben zavar/visszajelzés analízis) Pl. mechanikus biztosító eszközök, jelfogós előfüggés, Monitorozás: - Veszélyek - Működési feltételek - Ideális monitor BME-MIT 59.

48 II. Veszély csökkentés Módszer neve Rendszerszintű megoldás Szoftver specifikus megoldás példa 2. Határolók (passzív veszély csökkentés) - Kizárás: Veszélyhez ne juthassunk pl. védőrács - Bezárás: Veszély ne juthasson hozzánk pl. védőruházat - Közrezárás: Akciószekvencia behatárolása - Kizárás: Hozzáférésvédelem, jogosultságvizsgálat, jóváhagyások - Bezárás: Bemenetek vizsgálata - Közrezárás: Hívási szekvencia, szinkronizáció BME-MIT 60.

49 II. Veszély csökkentés Módszer neve 3. Meghibásodási valószínűség csökkentése Rendszerszintű megoldás Biztonsági tartomány: Méretezett terhelés legyen nagyobb, mint a névleges terhelés Eloszlásfüggvények alakja nem közömbös! Szoftver specifikus megoldás példa Robusztusság: Felkészülés kivételes helyzetekre Hibatűrés: Előrelépő helyreállítás javasolt (garancia adható a végrehajtásra) BME-MIT 61.

50 III. Veszély kézbentartás Módszer neve Rendszerszintű megoldás Szoftver specifikus megoldás példa 1. Időtartam csökkentés Időtartam csökkentés Biztonságos kezdőállapot Szinkronizálás 2. Elszigetelés Térbeli, időbeli elzárás 3. Detektorok Tűz, gáz, víz stb. detektorok Időbeli ütemezés elkülönítése Challenge-response alapú detektálás BME-MIT 62.

51 IV. Kár csökkentés Módszer neve 1. Baleseti és menekülési tervek kidolgozása 2. Point of no return meghatározás Rendszerszintű megoldás Tűzriadó, menekülési utak Veszély kezelés helyett kárcsökkentés Szoftver specifikus megoldás példa? Szoftver támogatás, rendszeres tesztelés BME-MIT 63.

52 Összefoglalás Veszély- és kockázati analízis o Ellenőrző listák (statikus analízis) o Hibafa o Eseményfa o Ok-következmény analízis o Hibamód és hatás analízis (FMEA) Kockázati mátrix o Védelmi szint Kockázatcsökkentési módszerek BME-MIT 64.