Analyse der Bedienung sicherheitskritischer Systeme anhand von Aufgabenmodellabweichungen Studienarbeit von Christian Pietsch, Juli 2007 Vorgelegt bei Prof. Dr. Szwillus

Agenda Motivation Sicherheitskritische Systeme Aufgabenmodellierung Abweichungen Konzeptentwicklung Vor- und Nachteile des Verfahrens Fazit und Ausblick

Motivation Steigende Komplexität in sicherheitskritischen Anwendungen/Systemen Elektronik wird kleiner und komplexer (Chip, Prozessoren, etc.) Bedienung wird sicherheitskritischer Fehlbedienung kann zu Gefahrensituationen führen Vermeidung von Gefahrensituationen in sicherheitskritischen Systemen Schwachstelle in der Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen => Abweichungen des Benutzerverhaltens => Notwendigkeit eines Analyseverfahrens Abweichungen in der Bedienung von sicherheitskritischen Systemen anhand von Aufgabenmodellen festzustellen Einstiegsfrage: Warum also Analyse der Bedienung sicherheitskritischer Systeme ? Verhalten des Benutzers in einem System unvorhersehbar (Einfluss vieler Faktoren: Streß, Müdigkeit, etc.) => daher falsche Bedienung möglich Verhalten des Benutzers in Aufgabenmodellen bei Bedienung nicht betrachtet Alle möglichen Abweichungen sollten identifizierbar sein => Notwendigkeit einer Analyse die Auswirkungen einer Abweichung auf globaler Systemebene betrachtet Ansätze zur Analyse von Aufgabenmodellabweichungen vorhanden => Auswirkungen von Abweichungen werden aber nur in einem lokalen Rahmen analysiert Gefahrensituationen sind grundsätzlich im Kontext von sicherheitskritischen Systemen zu vermeiden! ####################### Steigende Komplexität in sicherheitskritischen Anwendungen/Systemen (Elektronik wird kleiner und komplexer (Bsp.: Chip, Prozessoren, etc.)) Bedienung der Systeme wird sicherheitskritischer Fehlbedienung von Systemen führt zu Gefahrensituationen die Menschenleben kosten können Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen Verhalten des Benutzers wird nicht berücksichtigt => Analyse von Abweichungen im Aufgabenmodell Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Sicherheitskritische Systeme(1) Definition nach Neil Storey: „A safety-critical system is one by which the safety of equipment or plant is assured“ Bessere Definition von Sinnerbrink (Studienarbeit): „Alle Systeme, die bei fehlerhafter Funktion Personen und Güter in Gefahr bringen“ Beispiele sicherheitskritischer Systeme: Kernkraftwerk Flugzeug medizinische Geräte Airbagsystem im Auto Einstiegsfrage: Was sind zunächst einmal sicherheitskritische Systeme ? Ein sicherheitskritisches System, ist ein System, bei dem die Sicherheit des Equipments oder Anlage gesichert ist Kein Wort von Personen die Rede.. Eventuell anderes Zitat heraussuchen! Vielleicht diese Definition nehmen: Alle Systeme, die bei fehlerhafter Funktion Personen und Güter in Gefahr bringen, sind sicherheitskritisch. Medizinische Geräte: Herz-Lungen-Maschine, Herzschrittmacher, Dialysemaschine, etc. Sicherheitskritische Systeme können auch komplexe Vorgänge sein, Blutgasuntersuchung! Anforderungen an sicherheitskritische Systeme: - eventuell während der Präsentation erwähnen Sicherheit Zuverlässigkeit Fehlertoleranz Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Sicherheitskritische Systeme(2) Traditionelle Analysemethoden sicherheitskritischer Systeme FTA (Fault Tree Analysis) ETA (Effect Tree Analysis) FMEA (Failure Mode and Effects Analysis) Analyse sicherheitskritischer Systeme anhand von Aufgabenmodellen (FTA = Fault Tree Analysis) Fehlersituation bekannt, und es systematisch nach den möglichen Ursachen geforscht. Es wird graphisch eine Art Diagramm erzeugt, das den Weg zu den Ursachen der Fehlersituation wiederspiegelt. ETA macht das selbe wie FTA nur in quasi entgegen gesetzter Richtung. Es überprüft ein Ereignis auf seine möglichen Folgen FMEA (induktives Verfahren) jede Systemkomponente wird einzeln betrachtet und alle möglichen Fehler analysiert und deren Seiteneffekte auf das System dargestellt. Ergebnisse in tabellarischer Form (ähnlich dem HAZOP-Verfahren) HAZOP (exploratives Verfahren), weder Fehler noch Ursache bekannt, wird alles über Leitwörter definiert und später analysiert Steigende Komplexität in sicherheitskritischen Anwendungen bzw. Systemen => Gewährleistung einer korrekten Bedienung => mögliche Gefahrensituationen abfangen => eine Schwachstelle in interaktiven Systemen: Der Benutzer Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Aufgabenmodellierung Hierarchische Aufgabenstruktur Aufteilung komplexer Tätigkeiten Darstellung zeitlicher Abhängigkeiten (temporale Relationen) Unterscheidung zwischen System- und Benutzeraufgaben Ziel: besseres Verständnis einer Aufgabendurchführung Einstiegsfrage: Was ist Aufgabenmodellierung ? Aufgliederung einer komplexen Tätigkeit in Teilaufgaben (HTA = Hierarchical Task Analysis) Es kann auch noch weitere Aufgabentypen geben, die im späteren noch erläutert werden. Aufgabenmodelle ist eine graphische Darstellung von den Ergebnissen der Aufgabenanalyse Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Modellierungswerkzeuge Nutzung von Werkzeugen zur Erstellung von Aufgabenmodellen in Bereichen der Industrie und der Forschung Formen von Modellierungswerkzeugen GOMS (textuelle Notation) Tombola (entwickelt an der Universität Paderborn) CTTE (basiert auf ConcurTaskTrees) AMBOSS (ebenfalls an der Universität Paderborn entwickelt) … Werkzeuge werden zur Modellierung von Aufgabenmodellen genutzt. Für die Studienarbeit wurde auf das Werkzeug AMBOSS zurückgegriffen aus verschiedenen Gründen die auf der nächsten Folie zu sehen sind. GOMS: rein textuelle Notation (Goals, Operators, Methods and Selection Rules) Keine Darstellung temporaler Abhängigkeiten Tombola: Entwickelt an der Universität Paderborn Keine graphische Notation, sondern eine über Produktionsregeln spezifizierte Sprache (GAME ist die graphische Umsetzung) Objektmodell ist auch enthalten CTTE: ConcurTaskTrees entwickelt von Fabio Paterno an der Universität von Pisa System, -Benutzer, -Interaktionsaufgaben, -Abstract Diane+ unterscheidet nur zwischen sequentiellen und parallelen Ablauf von Aufgaben KMADE (umfangreiches graphisches Tool, das mit temporalen Relationen arbeitet als auch anderen Dingen) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

AMBOSS(1) Aus der Projektgruppe AMBOSS entstanden (Universität Paderborn, AG Szwillus) Eigenschaften des Werkzeugs: Bewertung von Aufgaben (Risikofaktor) Absicherung von Aufgaben (Barrieren) Berücksichtigung von Kommunikation Darstellung zeitlicher Zusammenhänge (keine temporale Relationen, bspw.: Dauer einer Aufgabe) Objekteinbindung in Aufgaben Schnittstelle zum Einbinden von Analysen Einführung eines Rollenmodells AMBOSS (Aufgabenmodellierung der Bedienung von sicherheitskritischen Systemen) SS 06 und WS 06/07 Für AMBOSS entschieden, weil es unter anderem zunächst ein neues Tool ist, mit den man Aufgabenmodelle erstellen kann und zum zweiten, sind die Eigenschaften (Schnittstelle zum Einbinden von Analysen und Objekteinbindung in Aufgaben) interessant Objekte werden als schreibende oder lesende Objekte angegeben! Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

AMBOSS(2) AMBOSS (Aufgabenmodellierung der Bedienung von sicherheitskritischen Systemen) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Problematik bei Aufgabenmodellen Darstellung einer korrekten (fehlerfreien) Aufgabendurchführung Keine Berücksichtigung von falschen Benutzerverhalten Mögliche Gefahrensituationen durch Abweichungen in der Bedienung sicherheitskritischer Systeme => Vermeidung solcher Abweichungen Menschliche Fehler (ausgelöst durch Streß, Müdigkeit, anderen physiologischen als auch psychologischen Ursachen) führen zu Abweichungen in der Aufgabendurchführung => Führen zu möglichen Gefahrensituationen Wie schon in der Motivation erwähnt, führen Abweichungen zu Gefahrensituationen die möglichst vermieden werden sollen! Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Abweichungen (1) Definition: Das Verhalten des Benutzers/Systems, das von einem erwarteten Verhalten abweicht Abweichung schon bei simplen Tätigkeiten möglich Einstellung eines Drehknopfes Etwas abschreiben/ablesen … Klassifizierung von Abweichungstypen in Aufgabenmodellen Abweichungen in der Ausführung von Aufgaben zu früh, zu spät keine Ausführung Abweichungen in der Ausführungsreihenfolge von Aufgaben Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Abweichungen (2) Ansätze zur Abweichungsanalyse Nachteil der Verfahren Szenarienbasierte Verfahren wie THEA, Crews-Savre HAZOP-Verfahren (Hazard and Operability Studies) PAAG-Verfahren (deutsche Umsetzung des HAZOP-Verfahrens) Nachteil der Verfahren Szenarienbasierte Verfahren betrachten nur einen kleinen Teil möglicher Abweichungen HAZOP betrachtet nur lokale Konsequenzen einer Abweichung Abweichungsanalyse in Aufgabenmodellen HAZOP-basiertes Verfahren von C.Santoro und F.Paternó Erklären was HAZOP ist und wie es funktioniert Entwickelt Ende der 60er Jahre in der Chemieindustrie um Abweichungen in den Chemieanlagen zu analysieren Eine Gruppe von Systementwicklern (aus verschiedenen Bereichen) analysieren das System auf mögliche Abweichungen und deren Ursache Ergebnisse werden schriftlich in tabellarischer Form festgehalten Verfahren sehr aufwendig Jedoch qualitativ hochwertig Verfahren während der gesamten Entwicklungsphase anwendbar Extra Folie für das Verfahren von C.Santoro und F.Paternó ? Wäre angebracht! Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

HAZOP-basiertes Verfahren (1) Basiert auf Aufgabenmodelle in ConcurTaskTree-Notation (jede andere Notation möglich) Analyse teilt sich in drei Phasen auf 1. Entwicklung eines Aufgabenmodells des betrachteten Systems 2. Analyse der Abweichungen im Bezug auf atomare Aufgaben (Basic Tasks) 3. Analyse der Abweichungen im Bezug auf Eltern-Aufgaben (High-Level Tasks) Nutzung von Leitwörtern um Abweichungen im Aufgabenmodell zu identifizieren Definition: Ein Leitwort ist ein Begriff, der eine im System aufkommende Abweichung definiert. Erklären was HAZOP ist und wie es funktioniert Entwickelt Ende der 60er Jahre in der Chemieindustrie um Abweichungen in den Chemieanlagen zu analysieren Eine Gruppe von Systementwicklern (aus verschiedenen Bereichen) analysieren das System auf mögliche Abweichungen und deren Ursache Ergebnisse werden schriftlich in tabellarischer Form festgehalten Verfahren sehr aufwendig Jedoch qualitativ hochwertig Verfahren während der gesamten Entwicklungsphase anwendbar Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

HAZOP-basiertes Verfahren (2) Analyseergebnisse werden in tabellarischer Form dargestellt Nachteil des Verfahrens Verfahren von C.Santoro und F.Paternó betrachtet nur lokale Konsequenzen einer Abweichung im Aufgabenmodell Ziel: Entwicklung eines Verfahrens, das Abweichungen im Aufgabenmodell identifiziert und lokale, als auch globale Auswirkungen analysiert. Erklären was HAZOP ist und wie es funktioniert Entwickelt Ende der 60er Jahre in der Chemieindustrie um Abweichungen in den Chemieanlagen zu analysieren Eine Gruppe von Systementwicklern (aus verschiedenen Bereichen) analysieren das System auf mögliche Abweichungen und deren Ursache Ergebnisse werden schriftlich in tabellarischer Form festgehalten Verfahren sehr aufwendig Jedoch qualitativ hochwertig Verfahren während der gesamten Entwicklungsphase anwendbar Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Konzeptentwicklung HAZOP-basiertes Verfahren von C.Santoro und F.Paternó als Ausgangspunkt exploratives Verfahren (Fehler, Ursachen unbekannt) In der gesamten Entwicklungsphase eines Systems anwendbar Abweichungen in der Ausführungsreihenfolge von Aufgaben werden nicht betrachtet Aufgaben die allein vom System bearbeitet werden, werden nicht betrachtet => spezielle Verfahren notwendig Abweichungen in der Ausführungsreihenfolge werden nicht betrachtet, weil dies ein Thema für sich ist. Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Vorgehensweise des Konzepts Vorbereitungen der Abweichungsanalyse: Trennung von Aufgabentypen Erweiterung des Aufgabenmodells Festlegung einer Aufgabenpriorität Definition von Leitwörtern Durchführung der Abweichungsanalyse: Analyse möglicher Abweichungen Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Festlegung von möglichen Gegenmaßnahmen Auf die Leitwörter genauer zu sprechen kommen. Bspw. „Kein“ , „anders als“ , „zeitlich“ Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Trennung von Aufgabentypen Unterscheidung zwischen Aufgabentypen innerhalb des Aufgabenmodells: Mensch- bzw. Benutzeraufgaben Systemaufgaben Mensch-Systemaufgaben (interaktive Aufgaben) Aufteilung in Aufgabentypen für detaillierte Analyseergebnisse Vielleicht hier noch eine Grafik einbauen, die eine Beispieltabelle zeigt mit den Aufgabentypen Detaillierte Darstellung der Analyseergebnisse Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Erweiterung des Aufgabenmodells Objektmodell wird dem Aufgabenmodell angehängt (Ansätze der UML-Notation) Informationen des Objektmodells über Report in AMBOSS abrufbar Unterscheidung von Objekttypen innerhalb von Aufgaben physische Objekte (Tür, Tastatur) virtuelle Objekte (Geheimzahl) Über AMBOSS-Report können notwendige Informationen für das Objektmodell gesammelt werden Objektmodell besteht aus Objekten die die Notation aus der UML besitzen, da es sich teilweise auch um Aggregationen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Erweitertes Aufgabenmodell Objekte im Aufgabenmodell markieren (einkreisen) Gestrichelte Linie ausgehend vom GAS-Formular-Objekt dient nur der Unterscheidung zwischen den anderen Linien Möglichkeit von Teilobjekten Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Aufgabenpriorität Wozu? Bestimmung der Priorität Einführung eines Risikofaktors Dadurch werden die sicherheitskritischsten Aufgaben zuerst untersucht Bestimmung der Priorität Anwendung einer Heuristik an Objekten im Aufgabenmodell Bestandteil der Heuristik Nutzungskriterium Zeitkriterium Die Aufgaben mit der höchsten Priorität (d.h. 1) werden in der Analyse anderen Aufgaben vorgezogen Risikodarstellung = Eine Aufgabe die mit vielen Objekten verbunden ist, hat eine höhere Wahrscheinlichkeit einer Abweichungserzeugung als andere Aufgaben mit weniger Objektverbindungen Dies ist auf den gesamten Aufgabenablauf hin zu sehen Aufgabenpriorität wird eingeführt um einen gewissen Risikofaktor mit einzubinden => bei welchem Objekt ist die Wahrscheinlichkeit am größten, das eine Abweichung entsteht !? Heuristik besitzt Nutzungs- und Zeitkriterium: Nutzungskriterium: Wie oft wird ein Objekt von Aufgaben genutzt Zeitkriterium: Wie lange wird ein Objekt im gesamten Aufgabenablauf genutzt Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Beispiel einer Aufgabenpriorität Objekte mit Teilobjekte werden für die Aufgabenpriorität als ein Objekt angesehen Objekte mit Teilobjekten werden als ein Objekt angesehen Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Definition von Leitwörtern Nutzung der Leitwörter aus HAZOP-Verfahren bzw. HAZOP-basierten Verfahren übernommen Verwendung von folgenden Leitwörtern „kein“ Bspw.: Aufgabe wird nicht ausgeführt „anders als“ Bspw.: Aufgabe wird anders ausgeführt als normal „zeitlich“ Bspw.: Aufgabe wird zu früh oder zu spät durchgeführt Leitwörter decken den Großteil der entstehenden Abweichungen ab Grund dafür angeben, warum kein, anders als, zeitlich => Definition dieser Leitwörter hat sich am Besten bewährt und definiert einen großen Bereich an Abweichungen Für die Analyse die ich durchgeführt habe, haben sich diese 3 Leitwörter auch angeboten Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Durchführung der Analyse Abweichungen anhand der Leitwörter definieren und herausstellen Analyse der Abweichungsursache(n) Analyse der lokalen Konsequenzen Analyse der globalen Konsequenzen Maßnahmen zur Vermeidung und Vorbeugung von Abweichungen Ergebnisse werden in tabellarischer Form festgehalten Hier eventuell jetzt ein Beispiel aus der Fallstudie geben oder ein neues sich einfallen lassen! Ganz wichtig ist hier… das Beispiel genau durchzugehen und zu verstehen was gemacht wird !!! Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Beispielanalyse(1) Analyse der Aufgabe Blutabnahme Zunächst wird die atomare Aufgabe nach Abweichungen überprüft Welche Auswirkungen hat die Abweichung auf andere Aufgaben, die das selbe Objekt nutzen Von dort aus geht es dann eine Ebene höher und es wird überprüft ob welche Auswirkungen auf die Eltern-Aufgabe hat Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Beispielanalyse(2) Analyseergebnisse in tabellarischer Form Tabelle zeigt die Analyseergebnisse zur Aufgabe „Blutabnahme“ mit dem Leitwort „kein“ Die Analyse wurde allein von mir durchgeführt. Anhand von Informationen aus dem Internet als auch aus Büchern habe ich die Ergebnisse hier eingetragen. Entsprechende Empfehlungen bzw. Lösungen zur Vorbeugung der Abweichung habe ich ebenfalls angegeben. Weitere Ergebnisse befinden sich in der Studienarbeit Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Vor-/Nachteile des Konzepts Vorteile Analyse globaler Auswirkungen einer Abweichung detaillierte Analyseergebnisse (Aufgabentyp, Abweichungsursachen, etc.) Verbesserungsvorschläge zu möglichen Abweichungen für Systementwickler Nachteile Genaue Objektrelationen müssen bekannt sein Verfahren sehr aufwendig und meist in einer Gruppe erst möglich (ähnlich wie HAZOP-Verfahren) Vorteile des Analyseverfahrens: Analyse globaler Auswirkungen einer Abweichung im Aufgabenmodell Detaillierte Analyseergebnisse möglich durch entsprechende Vorbereitungsphase der Analyse (Teilung der Aufgabentypen, Aufgabenpriorität => Risikofaktor, etc.) Nachteile des Analyseverfahrens: Objektrelationen müssen genau bekannt sein (Objekte die auch Teilobjekte besitzen können. Bspw.: Blutröhrchen und Blut) Das Verfahren an sich, da es auf dem HAZOP-Verfahren beruht, ist sehr aufwendig und kann meist nur in einer Gruppe durchgeführt werden Je nach vorliegendem System (großes Aufgabenmodell oder kleines Aufgabenmodell) Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Fazit/Ausblick Mögliche Integration in AMBOSS Erweiterung des Konzepts Schnittstelle für weitere Analysen in AMBOSS vorhanden Nötige Informationen für Objektmodell über XML-Datei abrufbar Erweiterung des Konzepts Systemaufgaben einer Abweichungsanalyse hinzuziehen Abweichungen in der Durchführungssequenz von Aufgaben betrachten Informationen können Analysten und Systementwickler helfen entsprechende Vorsichtsmaßnahmen noch im Entwurf zu entscheiden Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Literatur Safety-Critical Computer Systems, Prentice Hall, Neil Storey, 1996 Begriffserklärungen und Beispiele für sicherheitskritische Systeme, Universität Siegen, 2004 Analysing the Impact of deviations in task performance when a user error may have safety-critical consequences, Fabio Paternó und Carmen Santoro, http://www.irit.fr/recherches/LIIHS/palanque/WSSUCA2000/suca-paterno-santoro.pdf, 2000 Analysing user deviations in interactive safety-critical applications, Fabio Paternó und Carmen Santoro, 1999 HAZOP and Software-HAZOP, Felix Redmill, 1999 A Guide to Task Analysis, B.Kirwan und L.K. Ainsworth, 1992 Motivation SkS Aufgabenmodellierung Abweichungen Konzept Vor/Nachteile Fazit

Noch Fragen?

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Abschlussseite