Biztonságkritikus rendszerek

Hasonló dokumentumok
A fejlesztési szabványok szerepe a szoftverellenőrzésben

A szolgáltatásbiztonság alapfogalmai

A szolgáltatásbiztonság alapfogalmai

A szolgáltatásbiztonság alapfogalmai

Megbízhatósági analízis

A szoftverellenőrzés szerepe Alapfogalmak

Autóipari beágyazott rendszerek. Kockázatelemzés

A BIZTONSÁGINTEGRITÁS ÉS A BIZTONSÁGORIENTÁLT ALKALMAZÁSI FELTÉTELEK TELJESÍTÉSE A VASÚTI BIZTOSÍTÓBERENDEZÉSEK TERVEZÉSE ÉS LÉTREHOZÁSA SORÁN

Biztosítóberendezések biztonságának értékelése

Szoftver értékelés és karbantartás

IRÁNYÍTÓ RENDSZER IRÁNYÍTANDÓ FOLYAMAT. Biztonsági funkciók Biztonsági integritás. Normál működés. Hibák elleni védettség Saját (belső) biztonság

Szoftver architektúra tervek ellenőrzése

Közlekedési automatika Biztonságintegritás, életciklus modellek

biztonságkritikus rendszerek

Szoftver karbantartás

Szolgáltatásbiztonság verifikációja: Megbízhatósági analízis

Miskolci Egyetem Alkalmazott Informatikai Intézeti Tanszék A minőségbiztosítás informatikája. Készítette: Urbán Norbert

Szoftverminőségbiztosítás

Fejlesztés kockázati alapokon 2.

Architektúra tervezési példák: Architektúrák biztonságkritikus rendszerekben

Dr. BALOGH ALBERT: MEGBÍZHATÓSÁGI ÉS KOCKÁZATKEZELÉSI SZAKKIFEJEZÉSEK FELÜLVIZSGÁLATÁNAK HELYZETE

Hibatűrés. Majzik István Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Nagy bonyolultságú rendszerek fejlesztőeszközei

Verifikáció és validáció Általános bevezető

Autóipari beágyazott rendszerek Dr. Balogh, András

Biztonságkritikus rendszerek Gyakorlat: Megbízhatósági analízis

Modellezési alapismeretek

Modellezési alapismeretek

A szoftverellenőrzés szerepe

Rendszermodellezés. Modellellenőrzés. Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Mintapélda: Rendszertesztelés a SAFEDMI projektben

Autóipari beágyazott rendszerek. Funkcionális biztonságossági koncepció

Biztonságkritikus rendszerek Gyakorlat: Architektúrák

A TESZTELÉS ALAPJAI MIÉRT SZÜKSÉGES A TESZTELÉS? MI A TESZTELÉS? ÁLTALÁNOS TESZTELÉSI ALAPELVEK

Orvostechnikai eszközök gyártmányfejlesztése Aktív orvosi eszközök fejlesztése PEMS V&V. Nagy Katinka

Miskolci Egyetem Általános Informatikai Tanszék

A tesztelés feladata. Verifikáció

Informatikai technológiák szakirány Rendszertervezés ágazat

Modellellenőrzés a vasút automatikai rendszerek fejlesztésében. XIX. Közlekedésfejlesztési és beruházási konferencia Bükfürdő

Szoftverminőségbiztosítás

ORVOSTECHNIKAI ESZKÖZÖK GYÁRTMÁNYFEJLESZTÉSE AKTÍV ORVOSI ESZKÖZÖK FEJLESZTÉSE - PEMS V&V

Fejlesztés kockázati alapokon

V. Félév Információs rendszerek tervezése Komplex információs rendszerek tervezése dr. Illyés László - adjunktus

Információ menedzsment

Funkciópont elemzés: elmélet és gyakorlat

30 MB INFORMATIKAI PROJEKTELLENŐR

Bevezetés a programozásba

Szoftver karbantartási lépések ellenőrzése

Szoftverminőségbiztosítás

Specifikáció alapú teszttervezési módszerek

Specifikáció alapú teszttervezési módszerek

Autóipari beágyazott rendszerek. Komponens és rendszer integráció

Közlekedési automatika Biztonsági architektúrák

Megoldások a mintavizsga kérdések a VIMIAC04 tárgy ellenőrzési technikák részéhez kapcsolódóan (2017. május)

Járműinformatika A járműinformatikai fejlesztés

A szoftver-folyamat. Szoftver életciklus modellek. Szoftver-technológia I. Irodalom

Hegesztőrobot rendszerek biztonságtechnikája

Intelligens eszközök fejlesztése az ipari automatizálásban Evosoft Hungary kft., Evosoft Hungary Kft.

Megbízhatóság az informatikai rendszerekben

Modellezési alapismeretek

Részletes szoftver tervek ellenőrzése

Biztonsági folyamatirányító. rendszerek szoftvere

Szoftverminőségbiztosítás

Biztonságkritikus rendszerek

TERMÉKEK MŐSZAKI TERVEZÉSE Megbízhatóságra, élettartamra tervezés I.

Digitális technika (VIMIAA02) Laboratórium 1

Modell alapú tesztelés mobil környezetben

Programrendszerek tanúsítása szoftverminőség mérése

Szoftver újrafelhasználás

Szoftverminőségbiztosítás

Digitális technika (VIMIAA02) Laboratórium 1

Az ISO Cél: funkcionális biztonság kizárva az elektromos áramütés, tűz stb. veszélyeztetések

Angolul: Extreme Programming, röviden: XP Agilis módszertan. Más módszertanok bevált technikáinak extrém módú (nagyon jó) használata

Szoftvertechnológia ellenőrző kérdések 2005

SZOLGÁLTATÁS BIZTOSÍTÁS

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

DW 9. előadás DW tervezése, DW-projekt

Programtervezés. Dr. Iványi Péter

Informatikai rendszertervezés

Folyamatmodellezés és eszközei. Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Informatikai rendszertervezés

Folyamatmodellezés és eszközei. Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Az előadásdiák gyors összevágása, hogy legyen valami segítség:

TESZTMENEDZSMENT TESZTELŐ SZERVEZET TESZTTERVEZÉS ÉS BECSLÉS

Közlekedési automatika Biztonsági folyamatirányító rendszerek szoftvere

Robusztusság tesztelés

Gazdasági informatika alapjai

Modellezési alapismeretek

OpenCL alapú eszközök verifikációja és validációja a gyakorlatban

Hogyan tudom soros eszközeimet pillanatok alatt hálózatba kötni?

Szoftverminőségbiztosítás

MŰSZAKI TESZTTERVEZÉSI TECHNIKÁK A TESZT FEJLESZTÉSI FOLYAMATA A TESZTTERVEZÉSI TECHNIKÁK KATEGÓRIÁI

Software Engineering Babeş-Bolyai Tudományegyetem Kolozsvár

A fejlesztéshez használható eszközök

Digitális eszközök típusai

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

ISO A bevezetés néhány gyakorlati lépése

Szoftverminőségbiztosítás

MÉRŐ AUTOMATA RENDSZEREK

Átírás:

Biztonságkritikus rendszerek Rendszertervezés és -integráció dr. Majzik István Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék BME-MIT

Mik azok a biztonságkritikus rendszerek? A hibázás, azaz a specifikáció nem teljesítése balesethez, környezeti kárhoz vezethet Miért kell velük külön foglalkozni? o Speciális analízis és követelmények Mely funkciók, hibák vezethetnek balesethez? Milyen biztonsággal teljesíthetők a követelmények? o Speciális fejlesztési megoldások szükségesek Redundáns architektúra, hibatűrés Kockázatcsökkentési módszerek Biztonságigazolás, szisztematikus tesztelés,... o Szabványok, előírások vonatkoznak a fejlesztésre IEC 61508: DO 178B: EN 5012x: ISO 26262: Programozható elektronikai rendszerek Repülőgép-fedélzeti beágyazott rendszerek Vasúti jelzőrendszerek Gépjármű elektronikai rendszerek biztonsága BME-MIT 3.

Baleseti példák A320-211 balesete Varsóban (1993. szept. 14.) o Oldalszél: A bal kerék 9 másodperccel később ért földet, mint a jobb o Intelligens fékezés vezérlés: Kerekek terhelésének és forgásának figyelése o Késői fékezés túlfutás ütközés Toyota gépkocsi balesete San Diegóban, 2009. aug. o Szőnyeg (+ szoftverhiba) miatt beragadt gázpedál padlógáz o Miért nem volt elég hatásos a fékezés? a sebességváltó üresbe állítása (D N)? a motor lekapcsolása? BME-MIT 4.

Tapasztalatok balesetek elemzése alapján A baleset tipikusan összetett esemény-szekvencia o Tervezési fázisban előre kellene látni Állapot Veszély Baleset Esemény Esemény Környezeti feltétel Veszély meghibásodás o A detektálatlan hiba tipikusan veszélyt jelent o De előfordulhat veszély hibátlan működés esetén is Jellegzetességek a tervezési folyamatban o Kockázat analízis: A veszélyt okozó szituációk elemzése o Biztonsági funkciók hozzárendelése: a veszély és baleset kialakulásának elkerülésére o Extra-funkcionális biztonsági követelmények specifikálása BME-MIT 5.

Mivel foglalkozunk majd? Követelmények elemzése Biztonsági követelmények Szolgáltatásbiztonság Rendszer validáció Rendszer specifikálás Architektúra tervezési Rendszer minták, verifikáció jellegzetes megoldások Architektúra tervezés Modul tervezés Veszély analízis Rendszer integrálás Megbízhatósági analízis Formális modellezés és verifikáció Modul verifikáció Forráskód és monitorkód generálás Modul implementáció BME-MIT 7.

Biztonsági követelmények BME-MIT 10.

Terminológia Baleset (accident): Nemkívánatos, be nem tervezett sérülés, veszteség Veszély (hazard), veszélyes állapot: Olyan állapot, amely adott környezeti feltételek mellett balesethez vezet Kockázat (risk): Veszély jellemzése: következmény szintje + gyakorisága Biztonság(osság) (safety): Balesetektől való mentesség (ideális eset!) Elfogadhatatlan kockázattól való mentesség Biztonsági funkció ( rendszer, szoftver is): Veszélyes állapotokkal kapcsolatba hozható a hibás vagy hiányzó végrehajtása BME-MIT 11.

Terminológia Olyan állapot, amely adott környezeti feltételek mellett balesethez vezet Nemkívánatos, be nem tervezett fizikai sérülés vagy egészségkárosodás Veszély Baleset Biztonság Kockázat Biztonsági funkció Veszély jellemzése: Következmény szintje + gyakorisága BME-MIT 13.

Kockázati kategóriák BME-MIT 14.

Terminológia Olyan állapot, amely adott környezeti feltételek mellett balesethez vezet Nemkívánatos, be nem tervezett fizikai sérülés vagy egészségkárosodás Elfogadhatatlan kockázattól való mentesség (Ideális eset: Balesetektől való mentesség) Veszély Baleset Biztonság Kockázat Biztonsági funkció A funkció hibás vagy hiányzó végrehajtása a veszélyes állapotokkal kapcsolatba hozható Veszély jellemzése: Következmény szintje + gyakorisága BME-MIT 15.

Angol nyelvű terminológia Veszély: Hazard Baleset: Harm Biztonság: Safety Kockázat: Risk Safety function BME-MIT 16.

Példa: A terminológia alkalmazása Veszély Baleset Vonat által vezérelt önműködő útátjárófedező berendezés nyíltvonalon Biztonság Biztonsági funkció Kockázat Közelítési szakasz Közelítési szakasz Bekapcsoló pont Kikapcsoló pont Bekapcsoló pont BME-MIT 17.

Mi szerepeljen a specifikációban? Funkcionális biztonsági követelmények o Mi az a funkció, ami a biztonságot eléri illetve megtartja (mit kell megvalósítania a rendszernek) o A funkcionális specifikációhoz tartozik Biztonságintegritási követelmények o Mi annak a bizonyossági foka, hogy a biztonságkritikus rendszer a biztonsági funkciót kielégítően megvalósítja adott feltételek és időtartam mellett o A biztonság valószínűségi alapú kezelése Példa 1: Házak méretezése 50 év alatt >10% valószínűséggel előforduló földrengésre Példa 2: Gátak méretezése a 100 évente tipikusan előforduló legmagasabb vízállásra BME-MIT 19.

Biztonságintegritási követelmények Előírások a biztonsági funkció kockázatelemzése alapján o Nem folytonos (eseti) üzemmód: A funkció meghívása esetén a veszélyt okozó hibajelenség valószínűségére PFD: Probability of Failure on Demand o Folytonos üzemmód: Veszélyt okozó hibajelenség gyakoriságára PFH: Probability of Failure per Hour THR: Tolerable Hazard Rate elviselhető hibagyakoriság Kategóriák: Biztonságintegritási szint o SIL: Safety Integrity Level Ha 15 év az élettartam, akkor ez alatt kb. 750 berendezésből 1-ben lesz hiba SIL Biztonságkritikus funkció hibája / óra 1 10-6 THR < 10-5 2 10-7 THR < 10-6 3 10-8 THR < 10-7 4 10-9 THR < 10-8 Hiba nélküli működés >11.000 év?? BME-MIT 20.

SIL meghatározás alapelve A VIZSGÁLT FUNKCIÓ Veszély gyakoriság növekedés Veszélyes esemény gyakorisága Veszélyes esemény következménye Kockázat THR SIL Rendszer biztonságintegritási szint 4 3 2 1 0 Szoftver biztonságintegritási szint 4 3 2 1 0 Következmények súlyosságának növekedése Kockázatelemzés -> Funkció THR -> Funkció SIL -> (Al)rendszer SIL BME-MIT 21.

Példa biztonsági követelményre Fűrészgép, a forgó korong előtt védőráccsal o Tisztításhoz a védőrácsot fel kell húzni Veszély analízis: Kezelőt baleset érheti tisztításkor, ha a korong nincs leállítva o Veszély: Ha a védőrácsot 50 mm-nél jobban felhúzzák, és a motor 3 másodperc alatt nem áll le o 20 gép van, 500-szor kell tisztítást végezni az élettartam alatt; ez alatt legfeljebb 1-szer elviselhető, hogy a leállítás ne működjön Funkcionális biztonsági követelmény o Biztonsági funkció: Védőkapcsolás a motorhoz o Ha a védőrácsot 25 mm-re felhúzzák, a motort 2,5 s alatt leállítja Biztonságintegritási követelmény: o A védőkapcsolás hibájának valószínűsége legyen kisebb, mint 10-4 (maximum 1 hiba 10.000 művelet esetén) BME-MIT 22.

A biztonsági követelmények teljesítése A biztonságot befolyásoló hibák alapján o Véletlen (hardver) hibák: Környezeti vagy belső hatás miatt működés közben véletlenszerű előfordulás Számításokkal ellenőrizhető gyakoriság/valószínűség o Szisztematikus (szoftver) hibák: Tervezési, megvalósítási hibák miatt determinisztikus előfordulás Számításokkal nem ellenőrizhető valószínűség Módszer- és eszközkészlet előírt a fejlesztés során Fejlesztési szabványok tartalmazzák BME-MIT 23.

Biztonsági követelmények felépítése Rendszerkövetelmények specifikációja Nem biztonsági követelmények Biztonsági követelmények Biztonsági követelmények specifikációja Szoftver komponensek esetén Szisztematikus meghibásodási integritás Biztonságintegritási követelmények Véletlen meghibásodási integritás Funkcionális biztonsági követelmények Hardver komponensek esetén BME-MIT 24.

A szolgáltatásra vonatkozó további minőségi követelmények (A biztonság önmagában nem elég) BME-MIT 25.

A szolgáltatás használhatóságának jellemzése Jellegzetes követelmények o Megbízhatóság, rendelkezésre állás, adatintegritás,... o Befolyásolja: Előállítási folyamat jó minősége + használat közben előforduló hibák Összetett jellemző: Szolgáltatásbiztonság o Angol megnevezés: Dependability o Definíció: Képesség olyan szolgáltatás nyújtására, amiben igazoltan bízni lehet Igazoltan: elemzésen, méréseken alapul Bizalom: szolgáltatás az igényeket kielégíti BME-MIT 26.

A szolgáltatásbiztonság alapjellemzői Alapjellemző Rendelkezésre állás (availability) Megbízhatóság (reliability) Biztonság (safety) Integritás (integrity) Karbantarthatóság (maintainability) Definíció Helyes szolgáltatás valószínűsége (közben hiba esetén javítás végezhető) Folyamatosan helyes szolgáltatás valószínűsége (az első hibáig megbízható) Elfogadhatatlan kockázattól való mentesség Hibás változás, változtatás elkerülésének lehetősége Javítás és fejlesztés lehetősége BME-MIT 28.

Definíciók: Várható értékek Állapot particionálás s(t) rendszerállapotra o Hibamentes (Up) illetve Hibás (Down) állapotpartíció s(t) U D u1 d1 u2 d2 u3 d3 u4 d4 u5 d5... Várható értékek: o Első hiba bekövetkezése: (Mean Time to First Failure) o Hibamentes működési idő: (Mean Up Time, Mean Time To Failure) o Hibás működési idő: (Mean Down Time, Mean Time To Repair) o Hibák közötti idő: (Mean Time Between Failures) MTFF = E{u1} Javított rendszer esetén MUT = MTTF = E{ui} MDT = MTTR = E{di} MTBF = MUT + MDT BME-MIT 29. t

Definíciók: Valószínűség időfüggvények Rendelkezésre állás: a(t) = P{ s(t) U } Készenlét: K = lim t a(t) (közben meghibásodhat) (ha rendszeresen javított) Jelölhető A-val is: A = K = MTTF / (MTTF + MTTR) Megbízhatóság: r(t) = P{ s(t ) U, t <t } (t-ig nem hibásodhat meg) 1.0 a(t) K 0 r(t) t BME-MIT 30.

Készenlét tipikus követelményei Készenlét Max. kiesés egy év alatt 99% ~ 3,5 nap 99,9% ~ 9 óra 99,99% ( 4 kilences ) ~ 1 óra 99,999% ( 5 kilences ) ~ 5 perc 99,9999% ( 6 kilences ) ~ 32 másodperc 99,99999% ~ 3 másodperc Komponensekből felépített rendszer készenléte, ahol egy komponens készenléte 95%: 2 komponensből álló rendszer: 90% 5 komponensből álló rendszer: 77% 10 komponensből álló rendszer: 60% BME-MIT 31.

Komponens jellemző Meghibásodási gyakoriság (~ tényező): (t) o (t) t adja meg: a komponens mekkora valószínűséggel fog t időpont t környezetében elromlani, ha t-ig jól működött (t) t = P{ s(t+ t) D s(t) U }, miközben t 0 o Megbízhatóság kifejezhető ez alapján: 1 dr( t) ( t), így r( t) e r() t dt o Elektronikai alkatrészekre: (t) Kezdeti hibák (gyártás utáni teszt) Használati tartomány Itt r( t) e t () t dt BME-MIT 32. t 0 MTFF E U r() t dt 1 0 t 1 Öregedési tartomány (elavulás)

Példa: Egy DMI fejlesztése: Célkitűzés EVC: European Vital Computer (fedélzeti) Mozdonyvezető Karbantartó központ DMI EVC Jellegzetességek: Biztonságkritikus működés o Információ megjelenítése o Vezetői parancsok feldolgozása o Adatátvitel az EVC-hez Biztonságos vezeték nélküli kommunikáció o Konfiguráció o Diagnosztika o Szoftver frissítés BME-MIT 33.

Példa: Egy DMI fejlesztése: Prototípus BME-MIT 34 34.

Példa: Egy DMI fejlesztése: Követelmények Biztonság: o Biztonsági funkció elviselhető hibája óránként (Tolerable Hazard Rate): 10-7 <= THR < 10-6 o Biztonságintegritási szint: SIL 2 Megbízhatóság: o Mean Time To Failure: MTTF > 5000 óra (5000 óra: ~ 7 hónap) Rendelkezésre állás (készenlét): o A = MTTF / (MTTF+MTTR), A > 0.9952 Hibás állapot: évenként kevesebb, mint 42 óra Teljesíthető a fenti MTTF esetén, ha MTTR < 24 óra BME-MIT 35. 35

A szolgáltatásbiztonság befolyásoló tényezői Fejlesztési folyamat Működő termék Tervezési hibák Implementációs hibák Hardver hibák Konfigurációs hibák Kezelői hibák BME-MIT 36.

Hibahatások Fejlesztési folyamat Működő termék Tervezési hibák Implementációs hibák Fejlesztési folyamat jellemzői: Jobb minőségbiztosítás, jobb módszertanok De növekvő bonyolultság, nehezebb ellenőrzés Szokásos becsült értékek 1000 kódsorra: Jó kézi fejlesztés és tesztelés: <10 hiba marad Automatizált fejlesztés: ~1-2 hiba marad Formális módszerek használata: <1 hiba marad Hardver hibák Konfigurációs hibák Kezelői hibák BME-MIT 37.

Hibahatások Fejlesztési folyamat Működő termék Tervezési hibák Implementációs hibák Hardver hibák Konfigurációs hibák Kezelői hibák Technológia korlátai: Jobb minőségbiztosítás, jobb anyagok De növekvő érzékenység Szokásos becsült értékek: CPU: 10-5 10-6 hiba/óra RAM: 10-4 10-5 hiba/óra LCD: ~ 3 5 év élettartam BME-MIT 38.

Hibahatások kiküszöbölése Fejlesztési folyamat Működő termék Tervezési hibák Implementációs hibák Hardver hibák Konfigurációs hibák Kezelői hibák Ellenőrzések a tervezés során Hibakezelés működés közben BME-MIT 39.

A hibaok hatáslánc Hibaok: A hiba feltételezett oka Érintett rendszer vagy komponens Hiba: Hibajelenséghez vezető állapot Hibajelenség: A specifikációnak nem megfelelő szolgáltatás Hibaok Hiba Hibajelenség hatáslánc példák: Hibaok Hiba Hibajelenség Kozmikus sugárzás egy bitet átbillent a memóriában Programozó csökkentés helyett növel egy változót Hibás memóriacella olvasása Vezérlés ráfut, a változó értéke hibás lesz Robotkar a falnak ütközik A számítás végeredménye rossz BME-MIT 40.

A hibaok jellemzői Hibaok Térbeli jellemzők Időbeli jellemzők Belső Külső Időleges (tranziens) Állandósult Fizikai (hardver) Fizikai (környezet) Tervezési (ált. szoftver) Adat (bemenet) Szoftver hiba: Állandósult, tervezési hiba (szisztematikus meghibásodás) Hiba aktiválás a működési profil (bemenetek) függvénye BME-MIT 41.

Eszközök a szolgáltatásbiztonság növelésére Hiba megelőzés: Hibaok megakadályozása o Fizikai hibák: Jó minőségű alkatrészek, árnyékolás,... o Tervezési hibák: Jó fejlesztési módszerek Hiba megszüntetés: o Tervezési fázis: Ellenőrzések (verifikáció, validáció) o Gyártási fázis: Tesztelés, diagnosztika, javítás Hibatűrés: Szolgáltatást nyújtani hiba esetén is o Működés közben: Hibakezelés, redundancia aktiválás Hiba előrejelzés: Hibák és hatásuk becslése o Mérés és jóslás, ez alapján megelőző karbantartás BME-MIT 42.

Biztonságkritikus rendszerek fejlesztése BME-MIT 43.

Ismétlés: Biztonsági követelmények Funkcionális és biztonságintegritási követelmények o Meghatározás: Kockázatelemzés alapján o Biztonságintegritási szint: SIL 1, 2, 3, 4 Folyamatos működés: Veszélyt okozó hibajelenség gyakorisága Nem folyamatos: Veszélyt okozó hibajelenség valószínűsége A SIL követelmény teljesítésének ellenőrzése o Véletlen meghibásodásokra: Számításokkal ellenőrizhető gyakoriság/valószínűség o Szisztematikus meghibásodásokra (pl. szoftver): Számításokkal nem ellenőrizhető valószínűség Módszer- és eszközkészlet előírt a fejlesztés során BME-MIT 44.

A szabványok szerepe Elismeri: Teljes hibamentesség nem garantálható komplex rendszer (pl. szoftver) esetén o Cél: Bennmaradó hibák számának csökkentése Szisztematikus meghibásodásokra: Komplex megoldás-csomag az egyes biztonságintegritási szintekhez 1. Fejlesztési folyamat (életciklus modell) 2. Előírt technikák és intézkedések (megoldás-csomag) Egy-egy szabványban 50-100 módszer (+kombinációjuk) 3. Előírt dokumentáció 4. Szervezeti rend (felelősségek) BME-MIT 45.

1. A fejlesztési folyamat Általában jól definiált fázisokat tartalmaz o Előre definiált fejlesztési lépések o Jól meghatározott specifikáció, ismert környezet Szigorú feltételekhez kötött előrelépés: Hangsúlyos a fejlesztési lépések ellenőrzése o Hibák kockázata nagy (felelősség) o Üzembehelyezés utáni javítás költsége nagy o Biztonság demonstrálása kell (hatósági engedélyezés) Szabványokban ajánlott fejlesztési folyamat o Jellegzetes az ún. V modell BME-MIT 46.

Ellenőrzések tervezése a V-modellben Üzemeltetés, karbantartás Követelmények elemzése Rsz. validáció tervezés Rendszer validáció Rendszer specifikálás Rendszerteszt tervezés Rendszer verifikáció Architektúra tervezés Integrációs teszt tervezés Rendszer integrálás Modul tervezés Modul teszt tervezés Modul verifikáció Modul implementáció BME-MIT 47.

A verifikáció és validáció szerepe Verifikáció (igazolás): o Jól fejlesztem-e a rendszert? Validáció (érvényesítés): o Jó rendszert fejlesztettem-e? Követelmények validáció Egy fejlesztési lépés eredménye megfelelő-e: Tervek (formális) ellenőrzése, szimuláció, tesztelés A rendszer megfelel-e a felhasználói elvárásoknak: Tesztelés (használati környezetben), mérések Rendszer t 1 Specifikáció verifikáció Rendszer verifikáció Tervek Implementáció Modulok BME-MIT 48.

2. Módszerek és intézkedések megadása Tesztelés MÓDSZER / INTÉZKEDÉS Említés helye SW- SIL0 SW- SIL1 SW- SIL2 SW- SIL3 1. Valószínűségi tesztelés B47 - R R HR HR 2. Teljesítmény tesztelés D6 - HR HR M M 3. Funkcionális és fekete doboz tesztelés SW- SIL4 D3 HR HR HR M M 4. Modellezés D5 - R R R R Követelmény: Előírások: M HR R 1. Az 1, 2, 3 és 4 szoftver-biztonságintegritási szintek esetén a 2. és 3. módszer kombinációja jóváhagyottnak tekintendő. Kötelező Nyomatékosan ajánlott (elhagyása indoklást igényel) Ajánlott (kombinációból kihagyható) Nincs javaslat vagy ellenérv NR Ellenjavallt (használata indoklást igényel) Módszerkombinációk választhatók BME-MIT 49.

Példa: A technikák további finomítása Funkcionális és fekete doboz tesztelés (D3): Teljesítmény tesztelés (D6): BME-MIT 50.

Példa: Módszerek és intézkedések megadása IEC 61508: Functional safety in electrical / electronic / programmable electronic safety-related systems Példa: Szoftver architektúra tervezés BME-MIT 51.

3. A dokumentáció követelményei Dokumentáció típusa o Átfogó (pl. fejlesztési terv, verifikációs terv) o Életciklus fázishoz kötődő (pl. teszt jelentés) Dokumentum kereszt-referencia táblázat o Melyik életciklus fázishoz milyen dokumentáció o Dokumentumok egymásra épülése Dokumentumok követhetősége szükséges o Ugyanazon terminológia, rövidítések, elnevezések Dokumentumok összevonhatók o Részlet nem veszhet el o De független szereplők dokumentumai nem vonhatók össze BME-MIT 52.

Példa: Előírt dokumentáció (EN50128) Szoftvertervezési fázis Szoftverfejlesztési terv Szoftver-minőségbiztosítási terv Szoftverkonfiguráció menedzselési terv Szoftverigazolási terv Szoftverintegrációs tesztterv Szoftver/hardver-integrációs tesztterv Szoftverérvényesítési terv Szoftver-karbantartási terv Rendszerfejlesztési fázis Rendszerkövetelmény-specifikáció Rendszerbiztonsági követelményspecifikáció Rendszerarchitektúra-leírás Rendszerbiztonsági terv Szoftverkövetelmény-specifikációs fázis Szoftverkövetelmény-specifikáció Szoftverkövetelmény-tesztspecifikáció Szoftverkövetelmény-igazolójelentés Szoftver architektúra és kialakítási fázis Szoftverarchitektúra-specifikáció Szoftverkialakítási specifikáció Szoftver architektúra és kialakítási igazolójelentés Szoftver karbantartási fázis Szoftver karbantartási jegyzőkönyvek Szoftver változtatási jelentések Szoftverértékelési fázis Szoftverértékelési jelentés Szoftverérvényesítési fázis Szoftverérvényesítési jelentés Szoftver/hardver-integráció fázisa Szoftver/Hardver-integrációs tesztjelentés Szoftverintegráció fázisa Szoftverintegrációs tesztjelentés Szoftvermodul kialakítási fázis Szoftvermodul-tervezési specifikáció Szoftvermodul-tesztspecifikáció Szoftvermodul-igazolójelentés Szoftvermodul tesztelési fázis Szoftvermodul-tesztjelentés EN 50128: kb. 30 dokumentum! Kódolási fázis Szoftver forráskód és támogató dokumentáció Szoftver forráskód-igazolójelentés BME-MIT 53.

4. Szervezeti rend Minőségi illetve biztonsági szervezet létrehozása a biztonságmenedzselés bizonyítása o ISO 9001 vonatkozó részeinek alkalmazása o Konfigurációmenedzselés Képzettség (alkalmasság) igazolása Szerepkörök: o TER: o VER: o VAL: o ÉRT: o MGR: Projekt menedzser o MIN: Minőségbiztosítási felelős Tervező (elemző, tervező, kódoló, unit tesztelő) Verifikátor (igazoló) Validátor (érvényesítő) Értékelő (független felülvizsgáló) BME-MIT 54.

Példa: Minimális függetlenség követelményei SIL 0: Szervezet Személy TER, VER, VAL ÉRT SIL 1 és 2: TER VER, VAL ÉRT SIL 3 és 4: MGR ÉRT TER VER, VAL vagy: MGR ÉRT TER VER VAL BME-MIT 55.

Összefoglalás Biztonságkritikus rendszerek alapfogalmai o Veszély, kockázat o THR és biztonságintegritási szintek Szolgáltatásbiztonság o Jellemzők o Hibaok -> hiba -> hibajelenség hatáslánc o Eszközök a szolgáltatásbiztonság növelésére Fejlesztési folyamat specialitásai o Módszerek és technikák o Életciklus és dokumentáció: Jól meghatározott fázisok o Szervezeti rend BME-MIT 56.

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés