Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei.

Ähnliche Präsentationen


Präsentation zum Thema: "Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei."—  Präsentation transkript:

1 Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei Prof. Dr. Szwillus

2 Agenda 1. Motivation 2. Sicherheitskritische Systeme 3. Aufgabenmodellierung 4. Abweichungen 5. Konzeptentwicklung 6. Vor- und Nachteile des Verfahrens 7. Fazit und Ausblick

3 Motivation Steigende Komplexität in sicherheitskritischen Anwendungen/Systemen Elektronik wird kleiner und komplexer (Chip, Prozessoren, etc.) Bedienung wird sicherheitskritischer Fehlbedienung kann zu Gefahrensituationen führen Vermeidung von Gefahrensituationen in sicherheitskritischen Systemen Schwachstelle in der Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen => Abweichungen des Benutzerverhaltens => Notwendigkeit eines Analyseverfahrens Abweichungen in der Bedienung von sicherheitskritischen Systemen anhand von Aufgabenmodellen festzustellen Motivation Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

4 Sicherheitskritische Systeme(1) Definition nach Neil Storey: A safety-critical system is one by which the safety of equipment or plant is assured Bessere Definition von Sinnerbrink (Studienarbeit): Alle Systeme, die bei fehlerhafter Funktion Personen und Güter in Gefahr bringen Beispiele sicherheitskritischer Systeme: Kernkraftwerk Flugzeug medizinische Geräte Airbagsystem im Auto SkS Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

5 Sicherheitskritische Systeme(2) Traditionelle Analysemethoden sicherheitskritischer Systeme FTA (Fault Tree Analysis) ETA (Effect Tree Analysis) FMEA (Failure Mode and Effects Analysis) Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen SkS Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

6 Aufgabenmodellierung Hierarchische Aufgabenstruktur Aufteilung komplexer Tätigkeiten Darstellung zeitlicher Abhängigkeiten (temporale Relationen) Unterscheidung zwischen System- und Benutzeraufgaben Ziel: besseres Verständnis einer Aufgabendurchführung Aufgabenmodellierung Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

7 Modellierungswerkzeuge Nutzung von Werkzeugen zur Erstellung von Aufgabenmodellen in Bereichen der Industrie und der Forschung Formen von Modellierungswerkzeugen GOMS (textuelle Notation) Tombola (entwickelt an der Universität Paderborn) CTTE (basiert auf ConcurTaskTrees) AMBOSS (ebenfalls an der Universität Paderborn entwickelt) … Aufgabenmodellierung Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

8 AMBOSS(1) Aus der Projektgruppe AMBOSS entstanden (Universität Paderborn, AG Szwillus) Eigenschaften des Werkzeugs: Bewertung von Aufgaben (Risikofaktor) Absicherung von Aufgaben (Barrieren) Berücksichtigung von Kommunikation Darstellung zeitlicher Zusammenhänge (keine temporale Relationen, bspw.: Dauer einer Aufgabe) Objekteinbindung in Aufgaben Schnittstelle zum Einbinden von Analysen Einführung eines Rollenmodells Aufgabenmodellierung Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

9 AMBOSS(2) Aufgabenmodellierung Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

10 Problematik bei Aufgabenmodellen Darstellung einer korrekten (fehlerfreien) Aufgabendurchführung Keine Berücksichtigung von falschen Benutzerverhalten Mögliche Gefahrensituationen durch Abweichungen in der Bedienung sicherheitskritischer Systeme => Vermeidung solcher Abweichungen Aufgabenmodellierung Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

11 Abweichungen (1) Definition: Das Verhalten des Benutzers/Systems, das von einem erwarteten Verhalten abweicht Abweichung schon bei simplen Tätigkeiten möglich Einstellung eines Drehknopfes Etwas abschreiben/ablesen … Klassifizierung von Abweichungstypen in Aufgabenmodellen Abweichungen in der Ausführung von Aufgaben zu früh, zu spät keine Ausführung Abweichungen in der Ausführungsreihenfolge von Aufgaben Abweichungen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

12 Abweichungen (2) Ansätze zur Abweichungsanalyse Szenarienbasierte Verfahren wie THEA, Crews-Savre HAZOP-Verfahren (Hazard and Operability Studies) PAAG-Verfahren (deutsche Umsetzung des HAZOP-Verfahrens) Nachteil der Verfahren Szenarienbasierte Verfahren betrachten nur einen kleinen Teil möglicher Abweichungen HAZOP betrachtet nur lokale Konsequenzen einer Abweichung Abweichungsanalyse in Aufgabenmodellen HAZOP-basiertes Verfahren von C.Santoro und F.Paternó Abweichungen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

13 HAZOP-basiertes Verfahren (1) Basiert auf Aufgabenmodelle in ConcurTaskTree-Notation (jede andere Notation möglich) Analyse teilt sich in drei Phasen auf 1. Entwicklung eines Aufgabenmodells des betrachteten Systems 2. Analyse der Abweichungen im Bezug auf atomare Aufgaben (Basic Tasks) 3. Analyse der Abweichungen im Bezug auf Eltern-Aufgaben (High-Level Tasks) Nutzung von Leitwörtern um Abweichungen im Aufgabenmodell zu identifizieren Definition: Ein Leitwort ist ein Begriff, der eine im System aufkommende Abweichung definiert. Abweichungen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

14 HAZOP-basiertes Verfahren (2) Analyseergebnisse werden in tabellarischer Form dargestellt Nachteil des Verfahrens Verfahren von C.Santoro und F.Paternó betrachtet nur lokale Konsequenzen einer Abweichung im Aufgabenmodell Ziel: Entwicklung eines Verfahrens, das Abweichungen im Aufgabenmodell identifiziert und lokale, als auch globale Auswirkungen analysiert. Abweichungen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

15 Konzeptentwicklung HAZOP-basiertes Verfahren von C.Santoro und F.Paternó als Ausgangspunkt exploratives Verfahren (Fehler, Ursachen unbekannt) In der gesamten Entwicklungsphase eines Systems anwendbar Abweichungen in der Ausführungsreihenfolge von Aufgaben werden nicht betrachtet Aufgaben die allein vom System bearbeitet werden, werden nicht betrachtet => spezielle Verfahren notwendig Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

16 Vorgehensweise des Konzepts Vorbereitungen der Abweichungsanalyse: Trennung von Aufgabentypen Erweiterung des Aufgabenmodells Festlegung einer Aufgabenpriorität Definition von Leitwörtern Durchführung der Abweichungsanalyse: Analyse möglicher Abweichungen Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Festlegung von möglichen Gegenmaßnahmen Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

17 Trennung von Aufgabentypen Unterscheidung zwischen Aufgabentypen innerhalb des Aufgabenmodells: Mensch- bzw. Benutzeraufgaben Systemaufgaben Mensch-Systemaufgaben (interaktive Aufgaben) Aufteilung in Aufgabentypen für detaillierte Analyseergebnisse Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

18 Objektmodell wird dem Aufgabenmodell angehängt (Ansätze der UML-Notation) Informationen des Objektmodells über Report in AMBOSS abrufbar Unterscheidung von Objekttypen innerhalb von Aufgaben physische Objekte (Tür, Tastatur) virtuelle Objekte (Geheimzahl) Erweiterung des Aufgabenmodells Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

19 Erweitertes Aufgabenmodell Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit Möglichkeit von Teilobjekten

20 Aufgabenpriorität Wozu? Einführung eines Risikofaktors Dadurch werden die sicherheitskritischsten Aufgaben zuerst untersucht Bestimmung der Priorität Anwendung einer Heuristik an Objekten im Aufgabenmodell Bestandteil der Heuristik Nutzungskriterium Zeitkriterium Die Aufgaben mit der höchsten Priorität (d.h. 1) werden in der Analyse anderen Aufgaben vorgezogen Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

21 Beispiel einer Aufgabenpriorität Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit Objekte mit Teilobjekten werden als ein Objekt angesehen

22 Definition von Leitwörtern Nutzung der Leitwörter aus HAZOP-Verfahren bzw. HAZOP-basierten Verfahren übernommen Verwendung von folgenden Leitwörtern kein Bspw.: Aufgabe wird nicht ausgeführt anders als Bspw.: Aufgabe wird anders ausgeführt als normal zeitlich Bspw.: Aufgabe wird zu früh oder zu spät durchgeführt Leitwörter decken den Großteil der entstehenden Abweichungen ab Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

23 Durchführung der Analyse Abweichungen anhand der Leitwörter definieren und herausstellen Analyse der Abweichungsursache(n) Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Maßnahmen zur Vermeidung und Vorbeugung von Abweichungen Ergebnisse werden in tabellarischer Form festgehalten Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

24 Beispielanalyse(1) Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

25 Beispielanalyse(2) Analyseergebnisse in tabellarischer Form Konzept Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

26 Vor-/Nachteile des Konzepts Vorteile Analyse globaler Auswirkungen einer Abweichung detaillierte Analyseergebnisse (Aufgabentyp, Abweichungsursachen, etc.) Verbesserungsvorschläge zu möglichen Abweichungen für Systementwickler Nachteile Genaue Objektrelationen müssen bekannt sein Verfahren sehr aufwendig und meist in einer Gruppe erst möglich (ähnlich wie HAZOP-Verfahren) Vor/Nachteile Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

27 Fazit/Ausblick Mögliche Integration in AMBOSS Schnittstelle für weitere Analysen in AMBOSS vorhanden Nötige Informationen für Objektmodell über XML-Datei abrufbar Erweiterung des Konzepts Systemaufgaben einer Abweichungsanalyse hinzuziehen Abweichungen in der Durchführungssequenz von Aufgaben betrachten Fazit Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

28 Literatur Safety-Critical Computer Systems, Prentice Hall, Neil Storey, 1996 Begriffserklärungen und Beispiele für sicherheitskritische Systeme, Universität Siegen, 2004 Analysing the Impact of deviations in task performance when a user error may have safety-critical consequences, Fabio Paternó und Carmen Santoro, santoro.pdf, santoro.pdf Analysing user deviations in interactive safety-critical applications, Fabio Paternó und Carmen Santoro, 1999 HAZOP and Software-HAZOP, Felix Redmill, 1999 A Guide to Task Analysis, B.Kirwan und L.K. Ainsworth, 1992 Fazit Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

29 Noch Fragen?

30 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!


Herunterladen ppt "Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei."

Ähnliche Präsentationen


Google-Anzeigen