Frühzeitige Absicherung von Safety- und Security ...€¦ · © Fraunhofer IESE Virtual...
Transcript of Frühzeitige Absicherung von Safety- und Security ...€¦ · © Fraunhofer IESE Virtual...
© Fraunhofer IESE
Virtual Engineering
Frühzeitige Absicherung von Safety- und Security-Anforderungen in vernetzten technischen Systemen
Dr.-Ing. Thomas Bauer, Fraunhofer [email protected]
16.3.2017
© Fraunhofer
Die Fraunhofer-Gesellschaft auf einem Blick
2
Anwendungsorientierte Forschung zum unmittelbaren Nutzen für die Wirtschaft und zum Vorteil für die Gesellschaft
24 000Mitarbeiterinnen und Mitarbeiter
über 70%Industrieaufträge undöffentlich finanzierte Forschungsprojekte
knapp 30%Grundfinanzierungdurch Bund und Länder
67 Institute undForschungseinrichtungen
Fin
anzv
olu
men
2,1 Mrd.
2015
Ver
trag
sfo
rsch
un
g
1,8 Mrd.
Ausbauinvestitionenund Verteidigungsforschung
© Fraunhofer
Gesundheit und Umwelt
Kommunikation und Wissen
Produktion und Dienstleistung
Mobilität und Transport
Energie und Rohstoffe
Schutz und Sicherheit
Fraunhofer-Forschungsfelder
3
© Fraunhofer IESE
Fraunhofer IESE Das Institut für Software- und Systementwicklungsmethoden
Gegründet 1996 mit Sitz in Kaiserslautern
Über 155 Full-Time Equivalents (FTEs)
Unsere Lösungen sind flexibel skalierbar und für Firmen jeder Größe geeignet
Unsere wichtigsten Branchen:
4
Automobil- und Transportsysteme
Automatisierung und Anlagenbau
Gesundheitswesen
Informationssysteme
Energiemanagement
E-Government
© Fraunhofer IESE
Unser Kernfokus – software-intensive Systeme
Die Sicherung der Qualität ist entscheidend Beispiel: Managing Trust
5
Software ermöglicht Innovation und Wachstum Beispiel: Industrie 4.0
Im Bereich Software nimmt die Vernetzung zu, smarte Ökosysteme entstehen und die Systemkomplexität wächst Beispiel: Internet of Things
IT-Megatrend: Integration
© Fraunhofer IESE
Unsere Kompetenzen – Ihr Vorteil
6
SOFTWARE-ENABLED INNOVATIONS
IS/MobileES/CPS Smart Ecosystems
© Fraunhofer IESE
Vernetzte Systeme
Quelle: Fraunhofer IESE
© Fraunhofer IESE
Vernetzte Systeme
Offene und adaptive Systeme
Offen: dynamische Verbindung von Komponenten zur Laufzeit
Adaptiv: Anpassung an veränderlichen Kontext zur Laufzeit
Verbindung von sicherheitsrelevanten und nicht sicherheitsrelevanten Komponenten
Nutzung von sicheren und unsicheren Kommunikationstechnologien
© Fraunhofer IESE
Testprozesse für software-intensive technische Systeme
Virtual Validation
© Fraunhofer IESE
ValidatingSafetyRequirements
ValidatingRobustness
Absicherung von Qualitätsanforderungen (ISO 25010)
Quelle: Wagner, S. (2013). Software Product Quality Control. Springer-Verlag Berlin Heidelberg.
Freedom from risk
Contextcoverage
Effectiveness
…
Quality in use
Economic riskmitigation
Health and safetyrisk mitigation
Environmentalrisk mitigation
Contextcompleteness
Flexibility
Product quality
Functionalsuitability
Reliability
Functionalcompleteness
Functionalcorrectness
Functionalappropriateness
Maturity
Availability
Fault tolerance
RecoverabilitySecurity
…
© Fraunhofer IESE
Anwendungsdomäne: Nutzfahrzeuge
Beispiele
Lastwagen
Baumaschinen
Zugmaschinen in der Land- und Forstwirtschaft
Besonderheiten
Verschiedene Anbaugeräte und Zusatzfunktionen
Steuerung durch eine Person
Viel manuelle Arbeitsschritte (Zeitverbrauch!)
Bedienung erfolgt teilweise außerhalb der Kabine
Schlechte Umgebungs- und Bedienbedingungen
© Fraunhofer IESE
Das Testobjekt
Steuerung einer Hydraulikkomponente eines Nutzfahrzeugs über Smartphone-App
Nutzung eines unsicheren Eingabegeräts über eine unsichere Kommunikationstechnologie
HydraulicComponent
Controller
Wired connection
CAN Bus Network
Wireless receiver
Wireless network
Wired connection
Safety relevant system component
Safety relevant communication network
Indicationdevice
Manual control
Smartphone
System Boundary
unsicherePlattform
unsichereKommunikations-
technologie
© Fraunhofer IESE
Lösungsansatz(1) Entwicklung einer Systemarchitektur
Steuerung einer Hydraulikkomponente eines Nutzfahrzeugs über Smartphone-App
Nutzung eines unsicheren Eingabegeräts über eine unsichere Kommunikationstechnologie
HydraulicComponent
Controller
Wired connection
CAN Bus Network
Wireless receiver
Wireless network
Wired connection
Safety relevant system component
Safety relevant communication network
Indicationdevice
Manual control
Smartphone
System Boundary
HeterogeneRedundanz
Black ChannelKommunikation
© Fraunhofer IESE
Black Channel Prinzip
ApplicationLayer
safety-relevantdata
non-safety-relevant data
Application 1
SafetyStandard
SafetyProtocol
Standard Comm.Protocol
SafetyCommunicationLayer
Black Communication Channel
safety-relevantdata
non-safety-relevant data
Application 2
Safety Standard
SafetyProtocol
Standard Comm. Protocol
Device 1 Device 2
Unsafe Communication
Quelle: IEC 61784-3
© Fraunhofer IESE
Error SequenceNumber
Time Stamp
Time Expectation(Watchdog)
Connection Authentication
Feedback Message
Data IntegrityAssurance (CRC)
Redundancywith Cross Checking
Different Data Integrity Assurance Systems
UnintendedRepetition
X X X
Loss X X X
Insertion X X X X
IncorrectSequence
X X X
Corruption X
UnacceptableDelay
X X
Masquerade X X X
Adressing X
Black Channel PrinzipFehler und Gegenmaßnahmen
Quelle: IEC 61784-3
© Fraunhofer IESE
Lösungsansatz(2) Evaluierung der Systemarchitektur
Verwendung der Simulationskopplungs- und Integrationsplattform FERAL*
Validierung von Systemarchitekturen und Konzepten
Heterogene Komponententypen
Heterogene Kommunikationstechnologien
Verschiedene Fehlertypen
FERAL als Simulationsbibliothek für Architekturen
Scope: Simulation und Validierung einer Menge von kommunizierenden Geräte
Unterschiedliche Abstraktionsebenen: Zyklusgenau bis funktional unvollständig
Integration von Simulationsmodellen / Simulatoren mit Spezifikationen und Realisierungen
*Fast Evalution on Requirements and Architecture Level
© Fraunhofer IESE
Ideal WireSimulink
FMU
Java
State Machines
Activities
Sequences
C
C++
SystemC
Multicore
SinglecoreMPI Clusters
Soft Real Time
Point ToPoint
TT Ethernet
GPRS/UMTS
WiMax
Event Triggered
DiscreteTime
Agent Scheduler
ContinuousTime
Finite State Machines
Service Domain
CAN
Ethernet
Wireless LAN
Bluetooth
Flexray
RS 232
RS 485Ideal
Wireless
Ideal Bus
Dataflow
Groovy
Java Script
Semantic Models Host Platforms
Windows
Linux
8 Core Processor
3 Core Aurix
Tile 64 Processor
4 Core Processor
2 Core Processor
1 Core Processor
Simulated abstract platforms
X86
ARM
Simulated platforms
Behavior models
Insertion Sequencing
DelayCorruptionLoss
Failure modes Network simulation models
Masquerading
LTE
Virtual Engineering TechnologySelection of FERAL Simulation Components
© Fraunhofer IESE
Architekturvalidierung mit FERAL
Validierung der Architektur gegen die Anforderungen
Erfüllt das Architekturkonzept alle Anforderungen?
Haben die Zielplattformen alle Voraussetzungen für die Realisierung der Anforderungen?
Unterstützung einer schnellen Architekturentwicklung
Frühe Erkennung von unklaren Anforderungen und Konflikten in der Spezifikation
Integrationsumgebung für Code, Erkennen der Auswirkungen von Veränderungen
© Fraunhofer IESE
Funktionale Integration durch Simulatorkopplung
Vollständige Simulation von funktionalem Verhalten
Kombination verschiedener Ausführungstypen und Simulatoren
Frei wählbares Abstraktionsniveau (zyklusgenau bis funktional unvollständig)
Verwendung von Black Box Komponenten ermöglicht den Schutz von IP
Automatisierte Generierung, Ausführung und Auswertung von Testszenarien
© Fraunhofer IESE
Lösungsansatz(2) Evaluierung der Systemarchitektur
HydraulicComponent
Controller
Wired connection
CAN Bus Network
Wireless receiver
Wireless network
Wired connection
Safety relevant system component
Safety relevant communication network
Indicationdevice
Manual control
Smartphone
System Boundary
Redundanz
Black ChannelKommunikation
Simulations- und Testsystem
© Fraunhofer IESE
Validierung durch Fehlerinjektion
Fehlereinstreuung
Sensorwert 1
Sensorwert 2
Sensorwert 3
Dr.-Ing. Thomas BauerFraunhofer IESEKaiserslautern, GermanyPhone: + 49 631 / 6800 2188 Mobile: +49 151 / 649 530 [email protected]