analyse der bedienung sicherheitskritischer systeme anhand von aufgabenmodellabweichungen...

Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen

Studienarbeit von

Christian Pietsch, Juli 2007

Vorgelegt bei Prof. Dr. Szwillus

Agenda

1. Motivation2. Sicherheitskritische Systeme3. Aufgabenmodellierung4. Abweichungen5. Konzeptentwicklung6. Vor- und Nachteile des Verfahrens7. Fazit und Ausblick

Motivation

Steigende Komplexität in sicherheitskritischen Anwendungen/Systemen Elektronik wird kleiner und komplexer (Chip, Prozessoren, etc.)

Bedienung wird sicherheitskritischer Fehlbedienung kann zu Gefahrensituationen führen

Vermeidung von Gefahrensituationen in sicherheitskritischen Systemen

Schwachstelle in der Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen=> Abweichungen des Benutzerverhaltens

=> Notwendigkeit eines Analyseverfahrens Abweichungen in der Bedienung von sicherheitskritischen Systemen anhand von Aufgabenmodellen festzustellen

MotivationMotivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Sicherheitskritische Systeme(1)

Definition nach Neil Storey: „A safety-critical system is one by which the safety of equipment or

plant is assured“

Bessere Definition von Sinnerbrink (Studienarbeit): „Alle Systeme, die bei fehlerhafter Funktion Personen und Güter in Gefahr bringen“

Beispiele sicherheitskritischer Systeme: Kernkraftwerk Flugzeug medizinische Geräte Airbagsystem im Auto

Motivation SkSSkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Sicherheitskritische Systeme(2)

Traditionelle Analysemethoden sicherheitskritischer Systeme FTA (Fault Tree Analysis) ETA (Effect Tree Analysis) FMEA (Failure Mode and Effects Analysis)

Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen

Motivation SkSSkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Aufgabenmodellierung

Hierarchische Aufgabenstruktur Aufteilung komplexer Tätigkeiten Darstellung zeitlicher Abhängigkeiten (temporale Relationen) Unterscheidung zwischen System- und Benutzeraufgaben

Ziel: besseres Verständnis einer Aufgabendurchführung

Motivation SkS AufgabenmodellierungAufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Modellierungswerkzeuge

Nutzung von Werkzeugen zur Erstellung von Aufgabenmodellen in Bereichen der Industrie und der Forschung

Formen von Modellierungswerkzeugen GOMS (textuelle Notation) Tombola (entwickelt an der Universität Paderborn) CTTE (basiert auf ConcurTaskTrees) AMBOSS (ebenfalls an der Universität Paderborn entwickelt) …


AMBOSS(1)

Aus der Projektgruppe AMBOSS entstanden (Universität Paderborn, AG Szwillus)

Eigenschaften des Werkzeugs: Bewertung von Aufgaben (Risikofaktor) Absicherung von Aufgaben (Barrieren) Berücksichtigung von Kommunikation Darstellung zeitlicher Zusammenhänge (keine temporale Relationen,

bspw.: Dauer einer Aufgabe) Objekteinbindung in Aufgaben Schnittstelle zum Einbinden von Analysen Einführung eines Rollenmodells


AMBOSS(2)


Problematik bei Aufgabenmodellen

Darstellung einer korrekten (fehlerfreien) Aufgabendurchführung

Keine Berücksichtigung von falschen Benutzerverhalten Mögliche Gefahrensituationen durch Abweichungen in

der Bedienung sicherheitskritischer Systeme

=> Vermeidung solcher Abweichungen


Abweichungen (1)

Definition:Das Verhalten des Benutzers/Systems, das von einem erwarteten Verhalten abweicht

Abweichung schon bei simplen Tätigkeiten möglich Einstellung eines Drehknopfes Etwas abschreiben/ablesen …

Klassifizierung von Abweichungstypen in Aufgabenmodellen Abweichungen in der Ausführung von Aufgaben

zu früh, zu spät keine Ausführung

Abweichungen in der Ausführungsreihenfolge von Aufgaben

Motivation SkS Aufgabenmodellierung AbweichungenAbweichungen Konzept Vor/Nachteile Fazit

Abweichungen (2)

Ansätze zur Abweichungsanalyse Szenarienbasierte Verfahren wie THEA, Crews-Savre HAZOP-Verfahren (Hazard and Operability Studies) PAAG-Verfahren (deutsche Umsetzung des HAZOP-Verfahrens)

Nachteil der Verfahren Szenarienbasierte Verfahren betrachten nur einen kleinen Teil

möglicher Abweichungen HAZOP betrachtet nur lokale Konsequenzen einer Abweichung

Abweichungsanalyse in Aufgabenmodellen HAZOP-basiertes Verfahren von C.Santoro und F.Paternó


HAZOP-basiertes Verfahren (1)

Basiert auf Aufgabenmodelle in ConcurTaskTree-Notation (jede andere Notation möglich)

Analyse teilt sich in drei Phasen auf 1. Entwicklung eines Aufgabenmodells des betrachteten Systems 2. Analyse der Abweichungen im Bezug auf atomare Aufgaben

(Basic Tasks) 3. Analyse der Abweichungen im Bezug auf Eltern-Aufgaben

(High-Level Tasks)

Nutzung von Leitwörtern um Abweichungen im Aufgabenmodell zu identifizieren

Definition: Ein Leitwort ist ein Begriff, der eine im System aufkommende Abweichung definiert.


HAZOP-basiertes Verfahren (2)

Analyseergebnisse werden in tabellarischer Form dargestellt

Nachteil des Verfahrens Verfahren von C.Santoro und F.Paternó betrachtet nur lokale Konsequenzen

einer Abweichung im Aufgabenmodell

Ziel: Entwicklung eines Verfahrens, das Abweichungen im Aufgabenmodell identifiziert und lokale, als auch globale Auswirkungen analysiert.


Konzeptentwicklung

HAZOP-basiertes Verfahren von C.Santoro und F.Paternó als Ausgangspunkt exploratives Verfahren (Fehler, Ursachen unbekannt) In der gesamten Entwicklungsphase eines Systems anwendbar

Abweichungen in der Ausführungsreihenfolge von Aufgaben werden nicht betrachtet

Aufgaben die allein vom System bearbeitet werden, werden nicht betrachtet=> spezielle Verfahren notwendig

Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit

Vorgehensweise des Konzepts

Vorbereitungen der Abweichungsanalyse: Trennung von Aufgabentypen Erweiterung des Aufgabenmodells Festlegung einer Aufgabenpriorität Definition von Leitwörtern

Durchführung der Abweichungsanalyse: Analyse möglicher Abweichungen Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Festlegung von möglichen Gegenmaßnahmen


Trennung von Aufgabentypen

Unterscheidung zwischen Aufgabentypen innerhalb des Aufgabenmodells:

Mensch- bzw. Benutzeraufgaben Systemaufgaben Mensch-Systemaufgaben (interaktive Aufgaben)

Aufteilung in Aufgabentypen für detaillierte Analyseergebnisse


Objektmodell wird dem Aufgabenmodell angehängt (Ansätze der UML-Notation)

Informationen des Objektmodells über Report in AMBOSS abrufbar

Unterscheidung von Objekttypen innerhalb von Aufgaben

physische Objekte (Tür, Tastatur) virtuelle Objekte (Geheimzahl)

Erweiterung des Aufgabenmodells


Erweitertes Aufgabenmodell


Möglichkeit von Teilobjekten

Aufgabenpriorität

Wozu? Einführung eines Risikofaktors Dadurch werden die sicherheitskritischsten Aufgaben zuerst

untersucht

Bestimmung der Priorität Anwendung einer Heuristik an Objekten im Aufgabenmodell Bestandteil der Heuristik

Nutzungskriterium Zeitkriterium

Die Aufgaben mit der höchsten Priorität (d.h. 1) werden in der Analyse anderen Aufgaben vorgezogen


Beispiel einer Aufgabenpriorität


Objekte mit Teilobjekten werden als ein Objekt angesehen

Definition von Leitwörtern

Nutzung der Leitwörter aus HAZOP-Verfahren bzw. HAZOP-basierten Verfahren übernommen

Verwendung von folgenden Leitwörtern „kein“

Bspw.: Aufgabe wird nicht ausgeführt „anders als“

Bspw.: Aufgabe wird anders ausgeführt als normal „zeitlich“

Bspw.: Aufgabe wird zu früh oder zu spät durchgeführt

Leitwörter decken den Großteil der entstehenden Abweichungen ab


Durchführung der Analyse

Abweichungen anhand der Leitwörter definieren und herausstellen

Analyse der Abweichungsursache(n) Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Maßnahmen zur Vermeidung und Vorbeugung von

Abweichungen Ergebnisse werden in tabellarischer Form festgehalten


Beispielanalyse(1)


Beispielanalyse(2) Analyseergebnisse in tabellarischer Form


Vor-/Nachteile des Konzepts

Vorteile Analyse globaler Auswirkungen einer Abweichung detaillierte Analyseergebnisse (Aufgabentyp,

Abweichungsursachen, etc.) Verbesserungsvorschläge zu möglichen Abweichungen für

Systementwickler

Nachteile Genaue Objektrelationen müssen bekannt sein Verfahren sehr aufwendig und meist in einer Gruppe erst möglich

(ähnlich wie HAZOP-Verfahren)

Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/NachteileVor/Nachteile Fazit

Fazit/Ausblick

Mögliche Integration in AMBOSS Schnittstelle für weitere Analysen in AMBOSS vorhanden Nötige Informationen für Objektmodell über XML-Datei

abrufbar

Erweiterung des Konzepts Systemaufgaben einer Abweichungsanalyse hinzuziehen Abweichungen in der Durchführungssequenz von Aufgaben

betrachten

Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile FazitFazit

Literatur Safety-Critical Computer Systems, Prentice Hall, Neil Storey, 1996

Begriffserklärungen und Beispiele für sicherheitskritische Systeme, Universität Siegen, 2004

Analysing the Impact of deviations in task performance when a user error may have safety-critical consequences, Fabio Paternó und Carmen Santoro, http://www.irit.fr/recherches/LIIHS/palanque/WSSUCA2000/suca-paterno-santoro.pdf, 2000

Analysing user deviations in interactive safety-critical applications, Fabio Paternó und Carmen Santoro, 1999

HAZOP and Software-HAZOP, Felix Redmill, 1999

A Guide to Task Analysis, B.Kirwan und L.K. Ainsworth, 1992

Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile FazitFazit

Noch Fragen?

VIELEN DANK

FÜR

IHRE

AUFMERKSAMKEIT!

analyse der bedienung sicherheitskritischer systeme anhand von aufgabenmodellabweichungen...

Documents