1 / 30

Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen

Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen. Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei Prof. Dr. Szwillus. Agenda. Motivation Sicherheitskritische Systeme Aufgabenmodellierung Abweichungen Konzeptentwicklung

zahur
Download Presentation

Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei Prof. Dr. Szwillus

  2. Agenda • Motivation • Sicherheitskritische Systeme • Aufgabenmodellierung • Abweichungen • Konzeptentwicklung • Vor- und Nachteile des Verfahrens • Fazit und Ausblick

  3. Motivation • Steigende Komplexität in sicherheitskritischen Anwendungen/Systemen • Elektronik wird kleiner und komplexer (Chip, Prozessoren, etc.) • Bedienung wird sicherheitskritischer • Fehlbedienung kann zu Gefahrensituationen führen • Vermeidung von Gefahrensituationen in sicherheitskritischen Systemen • Schwachstelle in der Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen=> Abweichungen des Benutzerverhaltens • => Notwendigkeit eines Analyseverfahrens Abweichungen in der Bedienung von sicherheitskritischen Systemen anhand von Aufgabenmodellen festzustellen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  4. Sicherheitskritische Systeme(1) • Definition nach Neil Storey: „A safety-critical system is one by which the safety of equipment or plant is assured“ • Bessere Definition von Sinnerbrink (Studienarbeit): „Alle Systeme, die bei fehlerhafter Funktion Personen und Güter in Gefahr bringen“ • Beispiele sicherheitskritischer Systeme: • Kernkraftwerk • Flugzeug • medizinische Geräte • Airbagsystem im Auto Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  5. Sicherheitskritische Systeme(2) • Traditionelle Analysemethoden sicherheitskritischer Systeme • FTA (Fault Tree Analysis) • ETA (Effect Tree Analysis) • FMEA (Failure Mode and Effects Analysis) • Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  6. Aufgabenmodellierung • Hierarchische Aufgabenstruktur • Aufteilung komplexer Tätigkeiten • Darstellung zeitlicher Abhängigkeiten (temporale Relationen) • Unterscheidung zwischen System- und Benutzeraufgaben • Ziel: besseres Verständnis einer Aufgabendurchführung Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  7. Modellierungswerkzeuge • Nutzung von Werkzeugen zur Erstellung von Aufgabenmodellen in Bereichen der Industrie und der Forschung • Formen von Modellierungswerkzeugen • GOMS (textuelle Notation) • Tombola (entwickelt an der Universität Paderborn) • CTTE (basiert auf ConcurTaskTrees) • AMBOSS (ebenfalls an der Universität Paderborn entwickelt) • … Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  8. AMBOSS(1) • Aus der Projektgruppe AMBOSS entstanden (Universität Paderborn, AG Szwillus) • Eigenschaften des Werkzeugs: • Bewertung von Aufgaben (Risikofaktor) • Absicherung von Aufgaben (Barrieren) • Berücksichtigung von Kommunikation • Darstellung zeitlicher Zusammenhänge (keine temporale Relationen, bspw.: Dauer einer Aufgabe) • Objekteinbindung in Aufgaben • Schnittstelle zum Einbinden von Analysen • Einführung eines Rollenmodells Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  9. AMBOSS(2) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  10. Problematik bei Aufgabenmodellen • Darstellung einer korrekten (fehlerfreien) Aufgabendurchführung • Keine Berücksichtigung von falschen Benutzerverhalten • Mögliche Gefahrensituationen durch Abweichungen in der Bedienung sicherheitskritischer Systeme => Vermeidung solcher Abweichungen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  11. Abweichungen (1) • Definition: Das Verhalten des Benutzers/Systems, das von einem erwarteten Verhalten abweicht • Abweichung schon bei simplen Tätigkeiten möglich • Einstellung eines Drehknopfes • Etwas abschreiben/ablesen • … • Klassifizierung von Abweichungstypen in Aufgabenmodellen • Abweichungen in der Ausführung von Aufgaben • zu früh, zu spät • keine Ausführung • Abweichungen in der Ausführungsreihenfolge von Aufgaben Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  12. Abweichungen (2) • Ansätze zur Abweichungsanalyse • Szenarienbasierte Verfahren wie THEA, Crews-Savre • HAZOP-Verfahren (Hazard and Operability Studies) • PAAG-Verfahren (deutsche Umsetzung des HAZOP-Verfahrens) • Nachteil der Verfahren • Szenarienbasierte Verfahren betrachten nur einen kleinen Teil möglicher Abweichungen • HAZOP betrachtet nur lokale Konsequenzen einer Abweichung • Abweichungsanalyse in Aufgabenmodellen • HAZOP-basiertes Verfahren von C.Santoro und F.Paternó Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  13. HAZOP-basiertes Verfahren (1) • Basiert auf Aufgabenmodelle in ConcurTaskTree-Notation (jede andere Notation möglich) • Analyse teilt sich in drei Phasen auf • 1. Entwicklung eines Aufgabenmodells des betrachteten Systems • 2. Analyse der Abweichungen im Bezug auf atomare Aufgaben (Basic Tasks) • 3. Analyse der Abweichungen im Bezug auf Eltern-Aufgaben (High-Level Tasks) • Nutzung von Leitwörtern um Abweichungen im Aufgabenmodell zu identifizieren • Definition: Ein Leitwort ist ein Begriff, der eine im System aufkommende Abweichung definiert. Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  14. HAZOP-basiertes Verfahren (2) • Analyseergebnisse werden in tabellarischer Form dargestellt • Nachteil des Verfahrens • Verfahren von C.Santoro und F.Paternó betrachtet nur lokale Konsequenzen einer Abweichung im Aufgabenmodell • Ziel: Entwicklung eines Verfahrens, das Abweichungen im Aufgabenmodell identifiziert und lokale, als auch globale Auswirkungen analysiert. Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  15. Konzeptentwicklung • HAZOP-basiertes Verfahren von C.Santoro und F.Paternó als Ausgangspunkt • exploratives Verfahren (Fehler, Ursachen unbekannt) • In der gesamten Entwicklungsphase eines Systems anwendbar • Abweichungen in der Ausführungsreihenfolge von Aufgaben werden nicht betrachtet • Aufgaben die allein vom System bearbeitet werden, werden nicht betrachtet=> spezielle Verfahren notwendig Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  16. Vorgehensweise des Konzepts • Vorbereitungen der Abweichungsanalyse: • Trennung von Aufgabentypen • Erweiterung des Aufgabenmodells • Festlegung einer Aufgabenpriorität • Definition von Leitwörtern • Durchführung der Abweichungsanalyse: • Analyse möglicher Abweichungen • Analyse der lokalen Konsequenzen • Analyse der globalen Konsequenzen • Festlegung von möglichen Gegenmaßnahmen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  17. Trennung von Aufgabentypen • Unterscheidung zwischen Aufgabentypen innerhalb des Aufgabenmodells: • Mensch- bzw. Benutzeraufgaben • Systemaufgaben • Mensch-Systemaufgaben (interaktive Aufgaben) • Aufteilung in Aufgabentypen für detaillierte Analyseergebnisse Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  18. Erweiterung des Aufgabenmodells • Objektmodell wird dem Aufgabenmodell angehängt (Ansätze der UML-Notation) • Informationen des Objektmodells über Report in AMBOSS abrufbar • Unterscheidung von Objekttypen innerhalb von Aufgaben • physische Objekte (Tür, Tastatur) • virtuelle Objekte (Geheimzahl) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  19. Erweitertes Aufgabenmodell Möglichkeit von Teilobjekten Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  20. Aufgabenpriorität • Wozu? • Einführung eines Risikofaktors • Dadurch werden die sicherheitskritischsten Aufgaben zuerst untersucht • Bestimmung der Priorität • Anwendung einer Heuristik an Objekten im Aufgabenmodell • Bestandteil der Heuristik • Nutzungskriterium • Zeitkriterium • Die Aufgaben mit der höchsten Priorität (d.h. 1) werden in der Analyse anderen Aufgaben vorgezogen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  21. Beispiel einer Aufgabenpriorität Objekte mit Teilobjekten werden als ein Objekt angesehen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  22. Definition von Leitwörtern • Nutzung der Leitwörter aus HAZOP-Verfahren bzw. HAZOP-basierten Verfahren übernommen • Verwendung von folgenden Leitwörtern • „kein“ • Bspw.: Aufgabe wird nicht ausgeführt • „anders als“ • Bspw.: Aufgabe wird anders ausgeführt als normal • „zeitlich“ • Bspw.: Aufgabe wird zu früh oder zu spät durchgeführt • Leitwörter decken den Großteil der entstehenden Abweichungen ab Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  23. Durchführung der Analyse • Abweichungen anhand der Leitwörter definieren und herausstellen • Analyse der Abweichungsursache(n) • Analyse der lokalen Konsequenzen • Analyse der globalen Konsequenzen • Maßnahmen zur Vermeidung und Vorbeugung von Abweichungen • Ergebnisse werden in tabellarischer Form festgehalten Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  24. Beispielanalyse(1) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  25. Beispielanalyse(2) • Analyseergebnisse in tabellarischer Form Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  26. Vor-/Nachteile des Konzepts • Vorteile • Analyse globaler Auswirkungen einer Abweichung • detaillierte Analyseergebnisse (Aufgabentyp, Abweichungsursachen, etc.) • Verbesserungsvorschläge zu möglichen Abweichungen für Systementwickler • Nachteile • Genaue Objektrelationen müssen bekannt sein • Verfahren sehr aufwendig und meist in einer Gruppe erst möglich (ähnlich wie HAZOP-Verfahren) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  27. Fazit/Ausblick • Mögliche Integration in AMBOSS • Schnittstelle für weitere Analysen in AMBOSS vorhanden • Nötige Informationen für Objektmodell über XML-Datei abrufbar • Erweiterung des Konzepts • Systemaufgaben einer Abweichungsanalyse hinzuziehen • Abweichungen in der Durchführungssequenz von Aufgaben betrachten Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  28. Literatur • Safety-Critical Computer Systems, Prentice Hall, Neil Storey, 1996 • Begriffserklärungen und Beispiele für sicherheitskritische Systeme, Universität Siegen, 2004 • Analysing the Impact of deviations in task performance when a user error may have safety-critical consequences, Fabio Paternó und Carmen Santoro, http://www.irit.fr/recherches/LIIHS/palanque/WSSUCA2000/suca-paterno-santoro.pdf, 2000 • Analysing user deviations in interactive safety-critical applications, Fabio Paternó und Carmen Santoro, 1999 • HAZOP and Software-HAZOP, Felix Redmill, 1999 • A Guide to Task Analysis, B.Kirwan und L.K. Ainsworth, 1992 Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

  29. Noch Fragen?

  30. VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!

More Related