Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 Rechnerkommunikation und Vernetzung Teil 5 – Funktionale Sicherheit.

Veröffentlicht von:Eduard Murbach Geändert vor über 11 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 Rechnerkommunikation und Vernetzung Teil 5 – Funktionale Sicherheit."—  Präsentation transkript:

1 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 Rechnerkommunikation und Vernetzung Teil 5 – Funktionale Sicherheit (Safety) Stephan Rupp Nachrichtentechnik www.dhbw-stuttgart.de

2 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 2 Inhalt Funktionale Sicherheit Lösungsansätze Realisierungsbeispiel Methoden

3 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 3 Lösungsansätze Hoch Niedrig Anforderungen und Kosten Sichere Anwendung Sichere Abschaltung Sichere Überwachung von Grenzen Nur für die Sicherheitsfunktionen Safe HW Safe OS Safe App

4 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 4 Im Mittelfeld Sichere Abschaltung und Überwachung von Grenzen Konzept: Nicht sichere Steuerung (Hauptprozessor) Sichere Überprüfung von Grenzen, Steuerung der Sicherheitsfunktionen durch sicheren Schaltkreis (Nebenprozessor bzw. CPU-Segment) Ethernet basierender Feldbus Mit eingebetteten Safety-Nachrichten (Tunnel bzw. Black Channel) Safety-Controller in einkanaliger bzw. zweikanaliger Ausführung Feldbus Protokoll Safety Layer Safety App Control Application (Not Safe) Feldbus Protokoll Safety Layer Safety App Control Application (Not Safe)

5 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 5 Sicherheitsprotokoll für Feldbusse Safety Layer: Fehlerfälle und Sicherheitsmaßnahmen Maßnahme Fehler Sequenz Nummer WatchdogConnection IDCRC (Prüfsumme) Berechnung Unbeabsichtigte Wiederholungx x Verlustxx x Eingefügte Nachrichtx x Inkorrekte Sequenzx x Verfälschung x Unakzeptable Verzögerung x Maskerade x x Memory Fehler in Switchesx x Inkorrekte Weiterleitung zwischen Segmenten x

6 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 6 Anforderungen an den Safety Controller Alle Komponenten sind auf erweiterten Temperaturbereich ausgelegt. Agiert als Feldbus Slave-Controller bzw. verfügt über eine Feldbus- Schnittstelle (zum Rücklesen von Nachrichten). Safety-Schaltkreis mit folgenden Funktionen Überwachung von Spannungen Überwachung von Temperaturen Watchdog Timer Failsafe Circuit Isolierter Aufbau mit getrennter Stromversorgung. Programmierschnittstelle (API) mit Safety-Funktionen. Kundenspezifische Safety-Anwendung, Zertifizierung zusammen mit der Kundenanwendung

7 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 7 Inhalt Funktionale Sicherheit Lösungsansätze Realisierungsbeispiel Methoden

8 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 8 Sicheres Anzeigeinstrument Ziel: Ehrliche Anzeige Zeigt immer des korrekten Status gemäß der am Feldbus empfangenen Nachrichten Sendet stets korrekte Nachrichten gemäß der Bedienelemente (Tasten, Bildschirm) Geht andernfalls in den sicheren Zustand über. Konzept: Hauptprozessor & Safety-Schaltung Hauptprocessor Nicht sicher (e.g. x86 processor with Linux) Tunnel für Nachrichten des Safety Layers vom Feldbus an den Safety Processor Safety-Schaltung Terminiert das Safety Protocol Überprüft die Integrität der Anzeige (bzw. Eingaben) gegen Nachrichten am Bus Inititiiert ggf. den Übergang in den sicheren Zustand Safe Bus (über LAN) Anzeige Eingabe Nachrichten

9 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 9 Funktionsprinzip der sicheren Anzeige Rücklesen Generische Lösung Safety Modul Prüfsumme berechnen Autonome Lösung Anzeige mit Sollwert vergleichen Safety Modul Anzeige mit Sollwert vergleichen Quelle: Deuta Werke

10 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 10 Inhalt Funktionale Sicherheit Lösungsansätze Realisierungsbeispiel Methoden

11 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 11 Funktionale Sicherheit (engl. Safety) Ziel: Gefahren für Menschen und Umwelt durch Maschinen und Anlagen vermeiden. Risiko = Schadenshäufigkeit * Schadensausmaß Prinzip: Senkung des Risikos auf ein akzeptables Maß durch Sicherheitsmaßnahmen. Maschinen und Anlagen sind derart auszulegen, dass Fehler und Defekte keine Gefährdung nach sich ziehen. Risiko ohne Schutzmaßnah me < akzeptables Risiko Risiko mit Schutzmaßnahme

12 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 12 Schutz der Integrität Integrität (Unversehrtheit) der Funktion: Fehlfunktionen im Betrieb werden erkannt und vermieden (Beispiel: Bordcomputer). Sicherheit über den gesamten Lebenszyklus Entwicklung, Prototypenfertigung, Nullserie Serienfertigung, Installation, Inbetriebnahme Betrieb mit Sicherheitsmaßnahmen Reparaturen, Änderungen, Wartung, Fehlerbehebung Stillsetzen, Entsorgen Fehlermodelle: systematisch (Software), zufällig (Hardware) Verwandter Begriff: Sicherheit (englisch: Security) im Sinne von Schutz der Vertraulichkeit, Integrität und Verfügbarkeit vorwiegend systematische Fehler besonders gefahrvoller Bereich

13 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 13 Safety Integrity Levels (SIL) LevelRate tolerierbarer gefährlicher Fehler/ Stunde SIL 410 -9 bis 10 -8 SIL 310 -8 bis 10 -7 SIL 210 -7 bis 10 -6 SIL 110 -7 bis 10 -5 Fehlerkategorien und Ausfallraten Ungefährliche Ausfälle (sicher, safe): S Entdeckte ungefährliche Fehler: SD Unentdeckte ungefährliche Fehler: SU Gefährliche Ausfälle (dangerous): D Entdeckte gefährliche Fehler: DD Unentdeckte gefährliche Fehler: DU Referenz für die Risikoakzeptanz: Sterblichkeit für Jugendliche in Europa > 10 -4 pro Jahr (pro Person), d.h. > 10 -8 pro Stunde FSD: SD ungefährlich, endeckt FSU: SU ungefählrich, unentdeckt FDD: DD gefährlich, entdeckt FDU: DU gefährlich, unentdeckt

14 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 … und deren Umsetzung: Beschreibung der Anforderungen, Maßnahmen im Fehlerfall und der tolerierbaren Fehlerraten Erstellen des Sicherheitskonzepts Ausfalleffektanalyse (englisch: FMEA - Failure Modes and Effects Analysis) Für alle sicherheitsspezifischen Komponenten festzulegen: Komponente:Fehlermodell: Anforderungen: Maßnahmen: Register, RAMDaten/AdressenDC > 90%Speichertests pc, stack pointerDatenfehlerDC > 90%Prüfsumme BusTime OutDC > 90%Time out ………… Diagnoseabdeckung (englisch DC – Diagnostic Coverage): Anteil der entdeckten gefährlichen Fehler ( DD / ( DD + DU )) 14 Sicherheitsanforderungen …

15 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 15 Hardware-Fehlertoleranz Mehrkanalige Ausführungen fehlerhafter Zweig kann ignoriert werden dadurch erhöhte Verfügbarkeit (z.B. Flugzeug vs. Rolltreppe) Fehlererkennung (z.B. durch Prüfsummen, bzw. Mehrheitsvotum, beispielsweise 2 aus 3) Beispiel: Stellwerk, zweikanaliges System aus Subsystemen A und B mit diversitär aufgebauten Controllern (unterschiedliche Prozessoren und Betriebssysteme) B1 B2 B3 A1 A2 A3 AB Netzwerk Controller 1, 2 und 3 Subsysteme A, B

16 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 16 Einstufung mehrkanaliger Systeme Anteil der sicheren Ausfälle (englisch: SFF- Safe Failure Fraction): ( S + DD ) / ( S + DD + DU ) Weitere Definitionen: Restfehlerrate (Residual Failure Rate): DU MTBDF (Mean Time Before Dangerous Failure): 1/ DU MTBF (Mean Time Between Failure): 1 / = 1 / ( S + DD + DU )

17 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 17 Definitionen Ausfallraten und MTBF (Mean Time Between Failure) Funktion: R(t) = e - t mit 1/ = MTBF Fehlfunktion: P(t) = 1 – R(t) = t(Taylor Reihe e - t für t << 1) Zeitbezug: fit = 1 / 10 9 Stunden MTBF Berechnung für Systeme: durch Summation der Ausfallraten der Komponenten Verfügbarkeit: (Zeitintervall – Ausfallzeit) / Zeitintervall Ausfallzeit: Fehler plus Reparaturzeiten im Zeitintervall Redundanz erhöht die Verfügbarkeit des Gesamtsystems (Beispiel: RAID-System aus 2 Festplattenlaufwerken mit 90% Verfügbarkeit pro Tag)

18 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 18 Normatives Umfeld Bahnanwendungen: EN50126 (RAMS), EN50128 (Software), EN50129 (Systeme und Hardware), EN50159 (Kommunikationssysteme) Medizintechnik: IEC 62304 (Software), EN60601 (Geräte); ISO 14971 (Risikomanagement), ISO 13485 (Qualitätsmanagement), ISO 14155-1/2 (klinische Prüfung an Menschen)

19 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 19 Zusammenfassung Unterschiedliche Lösungsansätze mit unterschiedlichem Aufwand Für industrielle Steuerungen und zur Steuerung von Fahrzeugen ist eine Abgrenzung des sicherheitsrelevanten Bereiches möglich. Die Steuerung der Sicherheitsfunktionen und Überwachung von Grenzen des Hauptcontrollers erfolgt durch den Safety-Controller. Für die Hardware findet sich ein Strickmuster mit Anpassungen an unterschiedliche Feldbusse, sowie mit anwendungsspezifischer Programmierschnittstelle (Safety-API). Die Zertifizierung erfolgt zusammen mit der kundenspezifischen Anwendung. Übersicht über die Methoden: Ziel ist die Restfehlerrate durch Aufdeckung gefährlicher Fehler zu minimieren.

20 Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 20 Rechnerkommunikation und Vernetzung ENDE Teil 5 – Funktionale Sicherheit (Safety)

Herunterladen ppt "Rechnerkommunikation und Vernetzung, Teil 5, S. Rupp 5. Semester, Nachrichtentechnik, 2013 Rechnerkommunikation und Vernetzung Teil 5 – Funktionale Sicherheit."

Ähnliche Präsentationen

Migration von Feldbussen zu PROFINET

Migration von Feldbussen zu PROFINET
Der VARAN-BUS.

Der VARAN-BUS.
Automated IT Change Planning

Automated IT Change Planning
D / 3 Problemfelder D/3 - Link D/3 - Display VAX/VMS Ethernet D/3 Multiplexer D/3 I/O System Modem : kein Ersatz fuer Chips PCM Upgrade Hardware: CPU Board.

D / 3 Problemfelder D/3 - Link D/3 - Display VAX/VMS Ethernet D/3 Multiplexer D/3 I/O System Modem : kein Ersatz fuer Chips PCM Upgrade Hardware: CPU Board.
Qualitätssicherung von Software (SWQS)

Qualitätssicherung von Software (SWQS)
Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems

Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems
Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.

Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.
Institut für Angewandte Mikroelektronik und Datentechnik Fachbereich Elektrotechnik und Informationstechnik, Universität Rostock Vorlesung Echtzeitbetriebssysteme.

Institut für Angewandte Mikroelektronik und Datentechnik Fachbereich Elektrotechnik und Informationstechnik, Universität Rostock Vorlesung Echtzeitbetriebssysteme.
Architektur.

Architektur.
Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:

Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:
Highlights der neuen STEP 7 Version

Highlights der neuen STEP 7 Version
FMEA Fehler-Möglichkeits- und Einfluß-Analyse Design- und Prozeß-FMEA

FMEA Fehler-Möglichkeits- und Einfluß-Analyse Design- und Prozeß-FMEA
SciAgents - Eine agentenbasierte Umgebung für verteilte wissenschaftliche Berechnungen Alexander StarkeSeminar Software Agenten09.01.2001.

SciAgents - Eine agentenbasierte Umgebung für verteilte wissenschaftliche Berechnungen Alexander StarkeSeminar Software Agenten
Vorlesung: 1 Betriebssysteme 2007 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 3. Quartal.

Vorlesung: 1 Betriebssysteme 2007 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 3. Quartal.
15. Mai 2000 Sicherheit im Internet: Zuverlässigkeit im elektron. Zahlungsverkehr.

15. Mai 2000 Sicherheit im Internet: Zuverlässigkeit im elektron. Zahlungsverkehr.
Anforderungen an globales und privates IP-Networking Berlin - 27

Anforderungen an globales und privates IP-Networking Berlin - 27
INSTITUT FÜR DATENTECHNIK UND KOMMUNIKATIONS- NETZE 1 Steffen Stein, TU Braunschweig, 2009 A Timing-Aware Update Mechanism for Networked Real-Time Systems.

INSTITUT FÜR DATENTECHNIK UND KOMMUNIKATIONS- NETZE 1 Steffen Stein, TU Braunschweig, 2009 A Timing-Aware Update Mechanism for Networked Real-Time Systems.
Version 5. Internal use only Network Support Center All rights reserved, property and © CAD-Computer GmbH 2002 21 CFR 11, ERES Electronic Record Electronic.

Version 5. Internal use only Network Support Center All rights reserved, property and © CAD-Computer GmbH CFR 11, ERES Electronic Record Electronic.
Aufbau eines Rechners, Hard- und Software

Aufbau eines Rechners, Hard- und Software
SK R Kata SKR – Karate Symposium Mürren 2004 Workshop Dojoleiter - Schiedsrichter.

SK R Kata SKR – Karate Symposium Mürren 2004 Workshop Dojoleiter - Schiedsrichter.

Ähnliche Präsentationen

Google-Anzeigen