analyse der bedienung sicherheitskritischer systeme anhand von aufgabenmodellabweichungen...
TRANSCRIPT
Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen
Studienarbeit von
Christian Pietsch, Juli 2007
Vorgelegt bei Prof. Dr. Szwillus
Agenda
1. Motivation2. Sicherheitskritische Systeme3. Aufgabenmodellierung4. Abweichungen5. Konzeptentwicklung6. Vor- und Nachteile des Verfahrens7. Fazit und Ausblick
Motivation
Steigende Komplexität in sicherheitskritischen Anwendungen/Systemen Elektronik wird kleiner und komplexer (Chip, Prozessoren, etc.)
Bedienung wird sicherheitskritischer Fehlbedienung kann zu Gefahrensituationen führen
Vermeidung von Gefahrensituationen in sicherheitskritischen Systemen
Schwachstelle in der Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen=> Abweichungen des Benutzerverhaltens
=> Notwendigkeit eines Analyseverfahrens Abweichungen in der Bedienung von sicherheitskritischen Systemen anhand von Aufgabenmodellen festzustellen
MotivationMotivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
Sicherheitskritische Systeme(1)
Definition nach Neil Storey: „A safety-critical system is one by which the safety of equipment or
plant is assured“
Bessere Definition von Sinnerbrink (Studienarbeit): „Alle Systeme, die bei fehlerhafter Funktion Personen und Güter in Gefahr bringen“
Beispiele sicherheitskritischer Systeme: Kernkraftwerk Flugzeug medizinische Geräte Airbagsystem im Auto
Motivation SkSSkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
Sicherheitskritische Systeme(2)
Traditionelle Analysemethoden sicherheitskritischer Systeme FTA (Fault Tree Analysis) ETA (Effect Tree Analysis) FMEA (Failure Mode and Effects Analysis)
Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen
Motivation SkSSkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
Aufgabenmodellierung
Hierarchische Aufgabenstruktur Aufteilung komplexer Tätigkeiten Darstellung zeitlicher Abhängigkeiten (temporale Relationen) Unterscheidung zwischen System- und Benutzeraufgaben
Ziel: besseres Verständnis einer Aufgabendurchführung
Motivation SkS AufgabenmodellierungAufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
Modellierungswerkzeuge
Nutzung von Werkzeugen zur Erstellung von Aufgabenmodellen in Bereichen der Industrie und der Forschung
Formen von Modellierungswerkzeugen GOMS (textuelle Notation) Tombola (entwickelt an der Universität Paderborn) CTTE (basiert auf ConcurTaskTrees) AMBOSS (ebenfalls an der Universität Paderborn entwickelt) …
Motivation SkS AufgabenmodellierungAufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
AMBOSS(1)
Aus der Projektgruppe AMBOSS entstanden (Universität Paderborn, AG Szwillus)
Eigenschaften des Werkzeugs: Bewertung von Aufgaben (Risikofaktor) Absicherung von Aufgaben (Barrieren) Berücksichtigung von Kommunikation Darstellung zeitlicher Zusammenhänge (keine temporale Relationen,
bspw.: Dauer einer Aufgabe) Objekteinbindung in Aufgaben Schnittstelle zum Einbinden von Analysen Einführung eines Rollenmodells
Motivation SkS AufgabenmodellierungAufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
AMBOSS(2)
Motivation SkS AufgabenmodellierungAufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
Problematik bei Aufgabenmodellen
Darstellung einer korrekten (fehlerfreien) Aufgabendurchführung
Keine Berücksichtigung von falschen Benutzerverhalten Mögliche Gefahrensituationen durch Abweichungen in
der Bedienung sicherheitskritischer Systeme
=> Vermeidung solcher Abweichungen
Motivation SkS AufgabenmodellierungAufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit
Abweichungen (1)
Definition:Das Verhalten des Benutzers/Systems, das von einem erwarteten Verhalten abweicht
Abweichung schon bei simplen Tätigkeiten möglich Einstellung eines Drehknopfes Etwas abschreiben/ablesen …
Klassifizierung von Abweichungstypen in Aufgabenmodellen Abweichungen in der Ausführung von Aufgaben
zu früh, zu spät keine Ausführung
Abweichungen in der Ausführungsreihenfolge von Aufgaben
Motivation SkS Aufgabenmodellierung AbweichungenAbweichungen Konzept Vor/Nachteile Fazit
Abweichungen (2)
Ansätze zur Abweichungsanalyse Szenarienbasierte Verfahren wie THEA, Crews-Savre HAZOP-Verfahren (Hazard and Operability Studies) PAAG-Verfahren (deutsche Umsetzung des HAZOP-Verfahrens)
Nachteil der Verfahren Szenarienbasierte Verfahren betrachten nur einen kleinen Teil
möglicher Abweichungen HAZOP betrachtet nur lokale Konsequenzen einer Abweichung
Abweichungsanalyse in Aufgabenmodellen HAZOP-basiertes Verfahren von C.Santoro und F.Paternó
Motivation SkS Aufgabenmodellierung AbweichungenAbweichungen Konzept Vor/Nachteile Fazit
HAZOP-basiertes Verfahren (1)
Basiert auf Aufgabenmodelle in ConcurTaskTree-Notation (jede andere Notation möglich)
Analyse teilt sich in drei Phasen auf 1. Entwicklung eines Aufgabenmodells des betrachteten Systems 2. Analyse der Abweichungen im Bezug auf atomare Aufgaben
(Basic Tasks) 3. Analyse der Abweichungen im Bezug auf Eltern-Aufgaben
(High-Level Tasks)
Nutzung von Leitwörtern um Abweichungen im Aufgabenmodell zu identifizieren
Definition: Ein Leitwort ist ein Begriff, der eine im System aufkommende Abweichung definiert.
Motivation SkS Aufgabenmodellierung AbweichungenAbweichungen Konzept Vor/Nachteile Fazit
HAZOP-basiertes Verfahren (2)
Analyseergebnisse werden in tabellarischer Form dargestellt
Nachteil des Verfahrens Verfahren von C.Santoro und F.Paternó betrachtet nur lokale Konsequenzen
einer Abweichung im Aufgabenmodell
Ziel: Entwicklung eines Verfahrens, das Abweichungen im Aufgabenmodell identifiziert und lokale, als auch globale Auswirkungen analysiert.
Motivation SkS Aufgabenmodellierung AbweichungenAbweichungen Konzept Vor/Nachteile Fazit
Konzeptentwicklung
HAZOP-basiertes Verfahren von C.Santoro und F.Paternó als Ausgangspunkt exploratives Verfahren (Fehler, Ursachen unbekannt) In der gesamten Entwicklungsphase eines Systems anwendbar
Abweichungen in der Ausführungsreihenfolge von Aufgaben werden nicht betrachtet
Aufgaben die allein vom System bearbeitet werden, werden nicht betrachtet=> spezielle Verfahren notwendig
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Vorgehensweise des Konzepts
Vorbereitungen der Abweichungsanalyse: Trennung von Aufgabentypen Erweiterung des Aufgabenmodells Festlegung einer Aufgabenpriorität Definition von Leitwörtern
Durchführung der Abweichungsanalyse: Analyse möglicher Abweichungen Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Festlegung von möglichen Gegenmaßnahmen
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Trennung von Aufgabentypen
Unterscheidung zwischen Aufgabentypen innerhalb des Aufgabenmodells:
Mensch- bzw. Benutzeraufgaben Systemaufgaben Mensch-Systemaufgaben (interaktive Aufgaben)
Aufteilung in Aufgabentypen für detaillierte Analyseergebnisse
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Objektmodell wird dem Aufgabenmodell angehängt (Ansätze der UML-Notation)
Informationen des Objektmodells über Report in AMBOSS abrufbar
Unterscheidung von Objekttypen innerhalb von Aufgaben
physische Objekte (Tür, Tastatur) virtuelle Objekte (Geheimzahl)
Erweiterung des Aufgabenmodells
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Erweitertes Aufgabenmodell
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Möglichkeit von Teilobjekten
Aufgabenpriorität
Wozu? Einführung eines Risikofaktors Dadurch werden die sicherheitskritischsten Aufgaben zuerst
untersucht
Bestimmung der Priorität Anwendung einer Heuristik an Objekten im Aufgabenmodell Bestandteil der Heuristik
Nutzungskriterium Zeitkriterium
Die Aufgaben mit der höchsten Priorität (d.h. 1) werden in der Analyse anderen Aufgaben vorgezogen
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Beispiel einer Aufgabenpriorität
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Objekte mit Teilobjekten werden als ein Objekt angesehen
Definition von Leitwörtern
Nutzung der Leitwörter aus HAZOP-Verfahren bzw. HAZOP-basierten Verfahren übernommen
Verwendung von folgenden Leitwörtern „kein“
Bspw.: Aufgabe wird nicht ausgeführt „anders als“
Bspw.: Aufgabe wird anders ausgeführt als normal „zeitlich“
Bspw.: Aufgabe wird zu früh oder zu spät durchgeführt
Leitwörter decken den Großteil der entstehenden Abweichungen ab
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Durchführung der Analyse
Abweichungen anhand der Leitwörter definieren und herausstellen
Analyse der Abweichungsursache(n) Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Maßnahmen zur Vermeidung und Vorbeugung von
Abweichungen Ergebnisse werden in tabellarischer Form festgehalten
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Beispielanalyse(1)
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Beispielanalyse(2) Analyseergebnisse in tabellarischer Form
Motivation SkS Aufgabenmodellierung Abweichungen KonzeptKonzept Vor/Nachteile Fazit
Vor-/Nachteile des Konzepts
Vorteile Analyse globaler Auswirkungen einer Abweichung detaillierte Analyseergebnisse (Aufgabentyp,
Abweichungsursachen, etc.) Verbesserungsvorschläge zu möglichen Abweichungen für
Systementwickler
Nachteile Genaue Objektrelationen müssen bekannt sein Verfahren sehr aufwendig und meist in einer Gruppe erst möglich
(ähnlich wie HAZOP-Verfahren)
Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/NachteileVor/Nachteile Fazit
Fazit/Ausblick
Mögliche Integration in AMBOSS Schnittstelle für weitere Analysen in AMBOSS vorhanden Nötige Informationen für Objektmodell über XML-Datei
abrufbar
Erweiterung des Konzepts Systemaufgaben einer Abweichungsanalyse hinzuziehen Abweichungen in der Durchführungssequenz von Aufgaben
betrachten
Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile FazitFazit
Literatur Safety-Critical Computer Systems, Prentice Hall, Neil Storey, 1996
Begriffserklärungen und Beispiele für sicherheitskritische Systeme, Universität Siegen, 2004
Analysing the Impact of deviations in task performance when a user error may have safety-critical consequences, Fabio Paternó und Carmen Santoro, http://www.irit.fr/recherches/LIIHS/palanque/WSSUCA2000/suca-paterno-santoro.pdf, 2000
Analysing user deviations in interactive safety-critical applications, Fabio Paternó und Carmen Santoro, 1999
HAZOP and Software-HAZOP, Felix Redmill, 1999
A Guide to Task Analysis, B.Kirwan und L.K. Ainsworth, 1992
Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile FazitFazit
Noch Fragen?
VIELEN DANK
FÜR
IHRE
AUFMERKSAMKEIT!