Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Dr. Hans-Werner Wiesbrock ZeSys e.V. Zentrum zur Förderung eingebetteter Systeme e.V. Qualitätssicherung von Software Fehleranalysen PHA (Prophylactic.

Ähnliche Präsentationen


Präsentation zum Thema: "Dr. Hans-Werner Wiesbrock ZeSys e.V. Zentrum zur Förderung eingebetteter Systeme e.V. Qualitätssicherung von Software Fehleranalysen PHA (Prophylactic."—  Präsentation transkript:

1 Dr. Hans-Werner Wiesbrock ZeSys e.V. Zentrum zur Förderung eingebetteter Systeme e.V. Qualitätssicherung von Software Fehleranalysen PHA (Prophylactic hazard analalysis) FTA (Failure Tree Analysis) FMEA (Failure Mode and Effects Analysis)

2 Inhalt Beispiel PHA (Prophylaktische Hazard Analysis) FTA (Failure Tree Analysis) FMEA (Failure Mode & Effect Analysis) Risiko Analyse und SW

3 Inhalt Beispiel PHA (Prophylaktische Hazard Analysis) FTA (Failure Tree Analysis) FMEA (Failure Mode & Effect Analysis) Risiko Analyse und SW

4 Beispiel:Herzunterstützungssystem EXCOR® ein lebensrettendes Herzunterstützungssystem für Kinder und Erwachsene die an Herzinsuffizienz leiden. Das System besitzt zwei Pumpen, die das Blut in die beiden Herzkammern pumpt, um den Druck zu erhöhen. Software regelt die Motoren, die den Pumpdruck erzeugen. Abhängig von Patientendaten, Druckbedingungen wird der Blutfluss eingestellt und der systolische (oben) und diastolische (unten) Druck überwacht. Neues System: Umschaltventil soll Betrieb auch bei Ausfall einer Pumpe ermöglichen, wechselseitiges Pumpen.

5 Zuverlässigkeit Versagen des Systems kann Todesfolgen haben! Wie kann man das System sicher entwickeln? Besser, sicherer? Jede Branche, Automotive, Avionik, Medizintechnik,… hat seine eigene Normen und Vorschriften, Techniken,… jede Firma seine bevorzugten Methoden. Es gibt trotzdem gemeinsame Grundideen, Verfahrensweise und einige davon sollen hier vorgestellt werden. Leitende Frage: Wie lässt sich systematisch die Zuverlässigkeit eines Produkt verbessern? Was bedeutet Zuverlässigkeit? Sicher? Was bedeutet es für die Software? SW verletzt nicht selber, aber das fälschlich angesteuerte Relais kann tödlich wirken!

6 Ausschnitt: Medizintechnik Normen und Vorschriften und ihre Abhängigkeiten! ISO Medizinprodukte- Qualitätsmanagementsyst eme-Anforderungen für regulatorische Zwecke verlangt Risikoanalyse

7 Inhalt Beispiel PHA (Prophylaktische Hazard Analysis) FTA (Failure Tree Analysis) FMEA (Failure Mode & Effect Analysis) Risiko Analyse und SW

8 PHA (Prophylaktische Hazard Analysis) Fehler im Herzunterstützungssystem können Todesfolgen haben Schaden Als Schaden definiert ISO physische Verletzung oder Schädigung der Gesundheit von Menschen oder Schädigung von Gütern oder der Umwelt Gefährdung Eine Gefährdung ist eine potenzielle Schadensquelle. Als Gefährdungssituation bezeichnet man die Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehrerer Gefährdungen ausgesetzt In der vorläufigen Gefährdungsanalyse werden mögliche Gefährdungen identifiziert. Beispiel: Kronleuchter hängt in einem abschließbaren Zimmer

9 PHA (Prophylaktische Hazard Analysis) Es ist vorrangig erfahrungsbasiert und wenig systematisch: Branchen spezifische Checklisten Produkt spezifische Checklisten Erfahrungsberichte Feldrückmeldungen …. Gefährdungen beim Herzunterstützungssystem: Ausfall der Pumpen Stromschlag Leckage der Schläuche …

10 Inhalt Beispiel PHA (Prophylaktische Hazard Analysis) FTA (Failure Tree Analysis) FMEA (Failure Mode & Effect Analysis) Risiko Analyse und SW

11 FTA (Failure Tree Analysis) Wie kann es zu den Schäden kommen? FTA (Fehlerbaumanalyse) Deduktives Verfahren, sucht Ursachen für Ausfälle,… Top-Down Analyse -> System Ansatz

12 FTA (Failure Tree Analysis) Eine PHA identifiziert die potenziellen Gefährdungen, eine Fehlerbaumanalyse zielt auf die Ursachen ab und damit, diese Gefährdungen in ihrem Schadensfall zu verhindern. Was muss passieren? In welcher Zusammenspiel? -> boolesche Verknüpfung von unglücklichen Ereignissen! Ihr Vorgehen ist Top-Down, eine Baum Zerlegung boolesch verknüpfter Ausfälle! Beispiel: Fehler in der Software können zu erheblichen Schäden führen! Eine falsche Regelung der Pumpen kann zum Aufheizen des Blutes führen! Diese Ursachenkette zu erkennen ist eine Aufgabe der FTA! 60er Jahre: Luft- und Raumfahrt Mitte der 70er Jahre: Kerntechnik Ende der 70er Jahre: Automobilindustrie Anfang der 90er Jahre: weitere technische und nichttechnische Bereiche

13 FTA einer Eingebetteten Blutpumpe Thrombose Die Pumpen erwärmen sich zu stark & || Erhitzen des Blutes wird nicht erkannt Pumpen werden zu stark angetrieben Falsche Drücke werden erzeugt Blut erwärmt sich zu stark Verklumpen des Blutes

14 FTA und Entwicklungsprozess Top-Down Ansatz: Man benötigt Kenntnisse der Architektur! Andererseits: Um Gefährdungen zu vermeiden, sollten bestimmte Architekturen verwendet werden! HW/SW- Entwurf Architektur System- anfor- derungen Analyse von System- Anforde- rungen, RAN Analyse von SW/HW- Anforde- rungen Modelltest, Modell- analyse Unit-Test Die verschiedenen Phasen sind miteinander eng verschränkt! PH erstellen Architektur entwerfen Risiko Analyse Konsolidierung und Freigabe Entwicklungsphasen

15 Inhalt Beispiel PHA (Prophylaktische Hazard Analysis) FTA (Failure Tree Analysis) FMEA (Failure Mode & Effect Analysis) Risiko Analyse und SW

16 Risiko Mindernde Maßnahmen Beispiele: Redundanzen, zwei Akkus anstelle eines Trennung, Eingabe/Ausgabe läuft auf anderem Prozessor als die Regelung Besondere Vorkehrungen, spezielle Buchsen für Schläuche … Risiko Risiko ist definiert (ISO 14791) als Produkt der Wahrscheinlichkeit des Auftretens mit dem damit verbundenen Schaden. Zuverlässigkeit qualitativ Grad der Fähigkeit einer Betrachtungseinheit, die geforderte Leistung während einer vorgegebenen Zeitspanne zu erbringen Fähigkeit eines Systems, für eine gegebene Zeit korrekt zu arbeiten

17 BegriffBeschreibungHäufigkeit GelegentlichKann bei Bestimmungsgemäßem Gebrauch vorkommen < p < 1 Unwahrschein lich < p < Stochastische Zuverlässigkeit Zuverlässigkeit / Verfügbarkeit quantitativ Wahrscheinlichkeit, System zu gegebenem Zeitpunkt in funktionstüchtigem Zustand anzutreffen R(t)= P[kein Ausfall im Intervall 0..t] = 1- Wahrscheinlichkeit mindestens eines Ausfalls im Beobachtungszeitraum Beispiel: Todesfall des Patienten, p= per anno => Risiko Schwerer Schaden * per anno 10 6 Todesfälle, p = per anno => gleiches Risiko !?! Zulässiges Risiko wird Produkt spezifisch definiert -> Einstufung in Risikoklassen

18 FMEA (Failure Mode & Effect Analysis) Unterschiede zwischen SW und HW: # der Ausfälle t SW HW Produktionsfehler Verschleiß Wie können wir Risiken messen? Schaden = Kosten, Verlustrechnung,…, aber Ausfallwahrscheinlichkeit? Beispiel: Stromausfall beim Herzunterstützungssystem

19 FMEA (Failure Mode & Effect Analysis) FMEA Induktives Verfahren, Wirkungsanalyse von Fehlverhalten Fehlerfortpflanzung Analysen sind auf Komponentenebene herunter zu brechen! Werkzeug ESSaRel (IESE) Risikoprioritätszahl = A * E * B A = P(Auftreten): Eintrittswahrscheinlichkeit E = P(Entdeckung): Wahrscheinlichkeit, dass Fehler sich auswirkt bevor er entdeckt und beseitigt werden kann B = Bedeutung: Gewicht der Folgen, Schaden

20 FMEA (Failure Mode & Effect Analysis) PH erstellen Architektur entwerfen Risiko Analyse Konsolidierung und Freigabe Entwicklungsphasen Zerlegung des Systems in berechenbare Teile: Blätter dürfen nicht abhängig voneinander sein (Cut sets) Ausfallswahrscheinlichkeiten müssen bestimmt werden können Abstrakte Fehlerfortpflanzung muss berechenbar sein Betrachte alle möglichen Wege durch den FMEA Baum, von der Wurzel bis zu den Blättern, und berechne für diese die Risikoprioritätszahl. Die Gesamtsumme ergibt ein Maß für das verbliebene Risiko! Es gibt riesige Datenbanken über die Ausfallwahrscheinlichkeit von HW Bauteilen!

21 Inhalt Beispiel PHA (Prophylaktische Hazard Analysis) FTA (Failure Tree Analysis) FMEA (Failure Mode & Effect Analysis) Risiko Analyse und SW

22 FMEA und SW? SW Systeme verhalten sich deterministisch, Fehler sind reproduzierbar! Fehler werden am Anfang gemacht Spezifikationsfehler Implementierungsfehler … Unterschiede zwischen SW und HW: # der Ausfälle t SW HW Produktionsfehler Verschleiß Ausfallwahrscheinlichkeit von SW? Möglicher Ansatz: Hazard-Rate proportional zur Anzahl enthaltener Fehler

23 Fehlerwahrscheinlichkeit in SW? μ(t) – Anzahl beobachteter Fehler Annahme: Zuwachs pro Zeiteinheit proportional b zur Anzahl nicht entdeckter Fehler μ(t) a ( 1 – exp(- b t ) ), a = Gesamtfehlerzahl λ 0 = a b = Initial-Ausfallrate, Entdeckte Fehleranzahl Effektive Testzeit [PT] μ(t) 210 λ(t) = λ 0 exp(-bt) Ausfallrate zur Zeit t Maximum-Likelihood => Parameter a,b => Schätzung benötigte Testzeit für vorgegebene Ausfallrate

24 Fehlerwahrscheinlichkeit in SW? Sichere SW = höhere Qualität der SW => Anwendung verschiedener QS Techniken Simulation der Anforderungen Konzeptmodell Diversitäre Programmierung Effektives Testen Erfüllung von Testabdeckungskriterien Einsatz von Testmodelle Einsatz von Verifikationstechniken (setzt Architektonische Vorbedingungen voraus) Modell Checking Theorem Proving

25 Wie Risiken der SW Absichern? Architektonisch: Verwende sichere Architektur Muster o Trennung von Zuständigkeiten o Zentrale Steuerung komplexer Abläufe o Robustes Design (Fehlerbehandlungen) o … trenne über HW sicherheitsrelevante und andere SW Prozess: Definiere und installiere QM Prozess Entwickle nach definiertem Prozess o CMMI Capability Maturity Model Integration o (Automotive) SPICE Software Process Improvement and Capability Determination

26 Automotive SPICE – Capability Dimension Optimising Predictable Established Managed Performed Incomplete Process Dimension: RM, Design,… TP, Wartung Capability Dimension CL5 CL4 CL3 CL2 CL1 CL0 P1 P2 P Pn

27 Zusammenfassung Eingebettete Systeme können Gefahrenquellen bilden Müssen zuverlässig sein (s. Definition der Zuverlässigkeit) Risiko ist zu vermeiden ( s. Risiko, Risikoanalyse, PHA, FTA, FMEA ) Entwicklungsprozess ist darauf abzustimmen (s. Verschränkung von RM, Architektur und RAN ) Bei SW greift eine FTA, nicht aber eine FMEA (s. Fehlerwahrscheinlichkeit in SW) Prozess Vorgaben (s. SPICE, CMMI,…)

28 Literatur Peter Löw, Roland Pabst, Erwin Petry Funktionale Sicherheit Dpunkt.verlag 2010 Christian Johner, Matthias Hölzer-Klüpfel, Sven Wittorf Basiswissen Medizinische Software dpunkt.verlag 2011


Herunterladen ppt "Dr. Hans-Werner Wiesbrock ZeSys e.V. Zentrum zur Förderung eingebetteter Systeme e.V. Qualitätssicherung von Software Fehleranalysen PHA (Prophylactic."

Ähnliche Präsentationen


Google-Anzeigen