Performanceverlust bei der Integration von ... fileAirbus A380 ¾gesteuert durch ein...

Performanceverlust bei der Integration von Sicherheitsmechanismen in Echtzeitsysteme

Hauptseminar: Fabrik- und Gebäudeautomation

Vortragender: Alexander Mroß

Gliederung1. Motivation2. Sicherheit

a. Definitionenb. Beispiele für Sicherheitsklassen

3. Echtzeita. Definitionb. Komponenten eines Echtzeitsystemsc. Arten von Echtzeitsystemend. Merkmale von Echtzeitsystemen

4. Redundanz5. Maßnahmen zur Sicherheit6. Fazit7. Literatur

02.02.2006Hauptseminar Fabrik- und

Gebäudeautomation 3

Motivation

1) Bsp.: Airbus A380

gesteuert durch ein „Fly-by-Wire“-System (Befehle des Piloten digital an Steuerkomponenten weitergegeben)

kritisch: Steuerungssoftware muss in festen Zeitschranken arbeiten Entscheidung über Leben der Crew und der Passagiere



Motivation

2) Bsp.: Automobilbereich

Airbag als Sicherheitsmaßnahme:

• expandiert nach Kollision

zu welchem Zeitpunkt?



Motivation

3) Bsp.: Webshop

Betreiber Verfügbarkeit wichtig welche Maßnahmen?

Einfachster Fall: 2. Webserver-Hardware

Sicherheit durch Redundanz


a. Definitionb. Beispiele für Sicherheitsklassen





Sicherheit und Risiko

Risiko : Wahrscheinlichkeit des Eintretens * Schwere der Folgen

Grenzrisiko : größte, noch vertretbare Risiko

Gefahr : Sachlage, bei der Risiko > Grenzrisiko.

Sicherheit ( DIN/VDE 31000 Teil 2 ): Sachlage, bei der Risiko ≤Grenzrisiko.



Sicherheit

Definition nach VDI/VDE-Richtlinie 3542:

Ist die Fähigkeit einer Einrichtung,innerhalb vorgegebener Grenzen für eine gegebene Zeitdauer

keine Gefahr zu bewirken.



Sicherheitsklassen IEC 62304 CD



Sicherheitsklassen RTCA/DO-178B



Echtzeit

Definition nach DIN 44300:

Ein Betrieb eines Rechensystems, bei dem Programme zur Verarbeitung anfallender Daten ständig betriebsbereit sind , derart, dass die Verarbeitungsergebnisse innerhalb einer vorgegebenen Zeitspanne verfügbar sind.Die Daten können je nach Anwendungsfall nach einer zeitlich zufälligen Verteilung oder zu vorherbestimmten Zeitpunkten anfallen.



Komponenten eines Echtzeitsystems

Echtzeitsystem muss auf Stimuli innerhalb vonvorgegebenen Zeitspannen reagieren

Zeitpunkt des Vorliegens des Ergebnisses wirdTermin oder Frist (deadline) genannt



Arten von Echtzeitsystemen

weich (engl. soft) auch „schwach“• das Ergebnis einer zu einem vorgegebenen Termin

nicht geleisteten Arbeit ist weiterhin von Nutzen• Terminverletzung ist tolerierbar

fest (engl. firm) auch „stark“• das Ergebnis einer zu einem vorgegebenen Termin

nicht geleisteten Arbeit ist wertlos und wird verworfen• Terminverletzung ist tolerierbar, führt zum

Arbeitsabbruchhart (engl. hard) auch „strikt“

• das Versäumnis eines fest vorgegebenen Termins kann eine „Katastrophe“ hervorrufen

• Terminverletzung ist keinesfalls tolerierbar



Merkmale von Echtzeitsystemen

Klassifikation nach äußeren Faktorenhard/soft real-timefail safe/operational

Klassifikation nach inneren Faktorenguaranteed response/best effortresource adequate/inadequateevent/time triggered



Redundanz

zusätzliche parallele Komponenten

Unterscheidung statische, dynamische undhybride Redundanz



Redundanz

Statische Redundanz• mitlaufende Reserve (hot standby)

- redundante, aktive (mitlaufende) Komponenten- bei Ausfall sofortige Umschaltung

• fehlermaskierende Struktur- N Komponenten arbeiten parallel- 1 Voter (selten redundant)- Ergebnisse werden votiert (Mehrheitsergebnis gilt)

+ Vorteil: Sofortiges weiterarbeiten bei Ausfall- Nachteil: Kosten, synchrone Arbeiten der Systeme



Redundanz

Dynamische Redundanz• passive Reservekomponenten werden nach Ausfall

zugeschalten• ersetzen nach einiger Zeit ausgefallene

Komponenten

+ Vorteil: kostengünstig- Nachteil: Trägheit, Reduktion der Gesamtleistung

im Fehlerfall



Redundanz

Hybride Redundanz

• integriert dynamischer und statischer Redundanz



Maßnahmen zur SicherheitSicherheitsnachweise durch Dokumente und Prüfungen für TÜV–Abnahme erforderlich

ausreichende Redundanz zur Fehlertoleranz oder Fehlererkennung

möglichst einfache, stark modularisierte Systeme, da i.d.R.

• ein Versagen jeder Komponente das Versagen des Gesamtsystems bedeuten kann

• die Entwicklung unübersichtlicher• Anzahl der Schnittstellen (Schwachstellen und

Fehlerquellen) steigt



Maßnahmen zur SicherheitTrennung von Sicherheit und Funktion als Entwurfsprinzip (sicherheitsorientierte Modularisierung)

• neben üblicher Modularisierung

• sicherheitsrelevante Funktionalität von restlicher Funktionalität getrennt und in wenige sichere Module gekapselt

• Negativbeispiel (nach S. Montenegro)



Maßnahmen zur Sicherheit• empfohlene sicherheitsorientierte

Modularisierung- Sicherheitsmodul hat

vollständige Kontrolle über Anlage

- Funktionsmodul kann Befehle nur über Sicherheitsmodul abgeben

- Sicherheitsmodul prüft Sicherheit jedes Befehls bevor es ihn weitergibt



Fazit

Sicherheitsmechanismen verzögern Echtzeitverhalten

potentiell gefährliche Strukturelemente vermeiden

Vereinfachung des Entwurfs

Zeitverhalten besser vorhersehbar

Trennung von Sicherheit und Funktion beim Entwurf

Literatur

1. W.A.Halang, R.Konakovsky: Sicherheitsgerichtete Echtzeitsysteme, Oldenburg 1999

2. http://www.absint.com/releases/050427_de.htm

3. http://www4.informatik.uni-erlangen.de/Lehre/WS05/V_EZS/Skript/02Einleitung.pdf

4. http://atknoll1.informatik.tu-muenchen.de:8080/tum6/lectures/ courses/ss05/esys/documents/Documents/1122452705.46/ez2.pdf

Performanceverlust bei der Integration von ... fileAirbus A380 ¾gesteuert durch ein...

Documents

Transcript of Performanceverlust bei der Integration von ... fileAirbus A380 ¾gesteuert durch ein...