Skip to main content

2018 | Buch

Sicherheitsgerichtete Echtzeitsysteme

verfasst von: Prof. Dr. Dr. Wolfgang A. Halang, Rudolf M. Konakovsky

Verlag: Springer Berlin Heidelberg

Buchreihe : VDI-Buch

insite
SUCHEN

Über dieses Buch

Das Buch behandelt das wichtige Thema funktionale Sicherheit programmierbarer elektronischer Systeme. Anhand begrifflicher, methodischer und konzeptioneller Grundlagen sicherheitsgerichteter Echtzeitsysteme wird in die Denkweise der Sicherheitstechnik eingeführt. Architekturen für sichere Hardware sowie Verfahren zur Erstellung möglichst fehlerfreier Software und zu deren Verifizierung werden dargestellt und bewertet. Weiterhin werden Ergebnisse jüngster Forschungen vorgestellt wie inhärent sicherheitsfördernde Paradigmen der Echtzeitprogrammierung und -ablauforganisation oder unkonventionelle sicherheitsgerichtete Architekturen für sicherheitstechnisch abnehmbare Feldbusse und programmierbare elektronische Systeme.

Das Buch wurde für die 3. Auflage gründlich überarbeitet und um die Darstellung neuer Patente und Normen erweitert.

Die Zielgruppen

Studierende der Automatisierungstechnik und der Informatik sowie Systemarchitekten und Entwickler.

Inhaltsverzeichnis

Frontmatter
1. Grundlagen sicherheitsgerichteter Echtzeitsysteme
Zusammenfassung
Mit dem Ziel, dem Leser ein ausgeprägtes Sicherheitsbewusstsein, die spezielle Denkweise der Sicherheitstechnik und das besondere Gefahrenpotential programmgesteuerter Systeme zu vermitteln sowie bei ihm eine ganzheitliche Sicht zur Strukturierung sicherheitsgerichteter Systeme zu entwickeln, die deren letztendliche sicherheitstechnische Abnahme nie aus den Augen verliert, werden die Begriffe Sicherheit, Zuverlässigkeit, unstetiges Systemverhalten und Echtzeitbetrieb eingeführt, Einfachheit als beim Entwurf sicherheitsgerichteter technischer Systeme grundsätzlich immer zu befolgende Leitlinie betont und abschließend Prinzipien und Methoden der Fehlererkennung sowie Diversitätskonzepte vorgestellt.
Wolfgang A. Halang, Rudolf M. Konakovsky
2. Konzepte zur sicherheitsgerichteten Prozeßautomatisierung
Zusammenfassung
Maßnahmen zur Erzielung sicherer elektronischer festverdrahteter und programmgesteuerter Prozeßautomatisierung werden vorgestellt. Zu ersteren gehören die Prinzipien des Fehlerausschlusses und der Ausfallsicherheitsgerichtetheit, Sicherheitskonzepte der Schaltungstechnik und ausfallsicherheitsgerichtete Vergleicher. Bei letzteren handelt es sich um zwei- und mehrkanalige sowie verteilte Strukturierung und Einsatz von Diversität in Hard- und Software zur Erkennung von Fehlern und Ausfällen.
Wolfgang A. Halang, Rudolf M. Konakovsky
3. Hardware-Systeme zur sicheren Prozeßdatenverarbeitung
Zusammenfassung
Der gerätetechnische Aufbau von Systemen zur sicheren Prozeßdatenverarbeitung wird behandelt. Dazu werden zunächst Maßnahmen zur Ertüchtigung einkanaliger speicherprogrammierbarer Steuerungen für Sicherheitsaufgaben betrachtet. Dann wird auf für zweikanalige Systeme geeignete Signaldarstellungen, zweikanalige Verarbeitung solcher Signale und die damit erreichte Erkennbarkeit von Fehlern eingegangen. Schließlich wird das Konzept des gleichzeitigen Einsatzes von Original- und Komplementärlogik zur Ausfallerkennung vorgestellt.
Wolfgang A. Halang, Rudolf M. Konakovsky
4. Zweikanalige sicherheitsgerichtete Rechnersysteme
Zusammenfassung
Einige Architekturen für den Aufbau zweikanaliger sicherheitsgerichteter Rechnersysteme werden vorgestellt. Die Konzepte von SIMIS und LOGISAFE werden skizziert, während das System LOGISIRE mit seinen Funktionen und Sicherheitsmaßnahmen im Detail beschrieben wird. Das in mehrfacher Weise diversitär ausgelegte Mikrorechnersystem DIMI wird in Varianten mit zwei und vier Rechnern und verschiedenen Vergleichertypen dargestellt. Ergebnisse seiner praktischen Erprobung werden unter besonderer Berücksichtigung der Fehlererkennung durch die vorgesehenen Diversitätsarten angegeben.
Wolfgang A. Halang, Rudolf M. Konakovsky
5. Entwicklung sicherheitsgerichteter Software
Zusammenfassung
Der Prozeß der Entwicklung sicherheitsgerichteter Software wird aus der Perspektive permanenter Qualitätssicherung und dazu geeigneter Maßnahmen behandelt. Die Begriffe Perfektion und Fehlertoleranz werden im Hinblick auf Software eingeführt und Methoden zu ihrer Erzielung genannt. Ein zum Entwurf von Echtzeitsystemen entwickeltes Werkzeug für Anforderungsspezifikation, Systementwurf und Projektverfolgung wird ebenso vorgestellt wie eine Vielzahl von Methoden zur diversitären Entwicklung und Auslegung von Software.
Wolfgang A. Halang, Rudolf M. Konakovsky
6. Software-Verifikation
Zusammenfassung
Prinzipien, Techniken und Phasen der Verifikation und Validierung von Software werden betrachtet. Die dazu in der Praxis häufig eingesetzten Verfahren Begutachtung, Revision, Inspektion und strukturiertes Nachvollziehen werden im Anschluß beschrieben. Auf die wichtigsten Aspekte von Software-Tests wird eingegangen. Als einzige vom TÜV anerkannte strenge, jedoch nicht formale Verifikationsmethode wird diversitäre Rückwärtsanalyse im Detail vorgestellt. Abschließend wird gezeigt, wie sich das zeitliche Verhalten auch verteilter Echtzeitsysteme mittels Ereignis- und Umgebungssimulation sowie Messung validieren läßt.
Wolfgang A. Halang, Rudolf M. Konakovsky
7. Dienstgüte und Bewertung sicherheitsgerichteter Echtzeitsysteme
Zusammenfassung
Zur Bewertung der Leistung und Dienstequalität von Echtzeitsystemen werden geeignete qualitativ-exklusive, qualitativ-graduelle sowie quantitative Kriterien und Verfahren eingeführt. Eine Diskussion der weitverbreiteten Leistungskriterien Geschwindigkeit und Kosten von Rechnern vor dem Hintergrund von Sicherheit, Echtzeitfähigkeit, Wartbarkeit oder System- und Folgekosten zeigt, dass die qualitative Kriterien viel wichtiger als die quantitativen sind. Es wird dargelegt, wie anwendungsspezifisch priorisierte Listen von Leistungs- und Dienstgütekriterien aufgestellt und wie für Anwendungen die einzelnen Entwurfsalternativen ganz spezifisch nach dem jeweiligen Anforderungsprofil bewertet werden. Sichere Prozessdatenverarbeitung mit zweikanaligen Systemen wird analytisch modelliert und anhand der Kenngrößen mittlere Zeiten bis zu einer sicherheitsbezogenen Ausfallart bzw. bis zur Ausgabe eines sicherheitsbezogenen Wertes sowie Wahrscheinlichkeit der Ausgabe eines sicherheitsbezogenen Wertes quantitativ bewertet. Dabei werden sowohl identische als auch hinsichtlich Hard- und Software diversitär ausgelegte Kanäle betrachtet.
Wolfgang A. Halang, Rudolf M. Konakovsky
8. Das inhärent sichere Funktionsplanparadigma
Zusammenfassung
Speicherprogrammierbare Steuerungen werden als einfach organisierte elektronische Prozeßdatenverarbeitungsanlagen mit vorhersehbarem Ausführungszeitverhalten vorgestellt. Es wird gezeigt, daß sich für ihre Programmierung besonders Funktions- und sequentielle Ablaufpläne eignen, da sie wegen ihrer Klarheit und leichten Verständlichkeit leicht sicherheitstechnisch abzunehmen sind. Letzteres gilt umso mehr, wenn Funk- tionsplanprogrammierung auf einer Bibliothek verifizierter Funktionsblöcke aufsetzen kann, wie es sie für bestimmte Anwendungsgebiete wie Notabschaltsysteme bereits gibt.
Wolfgang A. Halang, Rudolf M. Konakovsky
9. Erstellung und Prüfung sicherheitsgerichteter Software
Zusammenfassung
Die Qualitätssicherung von Software wird noch einmal aufgegriffen. Dazu werden durch Verschärfung und Vereinfachung aus einer internationalen Norm abgeleitete Richtlinien zur Konstruktion sicherheitsgerichteter Software angegeben. Es werden Verfahren zur Prüfung von Dokumentationen und Methoden zur effektiven und effizienten sowohl manuellen als auch automatisierten Prüfung eigentlicher Programme betrachtet. Analytische Qualitätssicherung wird anhand der industriellen Prüfung prozeßleittechnischer Software im Detail beschrieben.
Wolfgang A. Halang, Rudolf M. Konakovsky
10. Einige formale Methoden zur Programmverifikation
Zusammenfassung
Ein grundlegendes Problem der Software-Technik ist nachzuweisen, daß erstellte Programme tatsächlich den Anforderungen genügen. In der Praxis gelingt strenge und verläßliche Programmverifikation nur in den seltensten Fällen. Als bewährte formale Verfahren, mit denen sich die Korrektheit kleinerer Programmeinheiten mathematisch streng beweisen läßt, werden die symbolische Programmausführung sowie die Methode der Vor- und Nachbedingungen nach Hoare vorgestellt und dann beispielhaft auf typische Funktionsblöcke der Automatisierungstechnik angewendet.
Wolfgang A. Halang, Rudolf M. Konakovsky
11. Statisch und dynamisch sichere Prozessoren
Zusammenfassung
Die in eingebetteten Systemen eingesetzten Mikroprozessoren werden stetig komplexer und verhindern so die Konstruktion überprüfbar sicherer Systeme. Abhilfe schafft eine Mikroprozessorarchitektur, die gemäß dem Entwurfziel Einfachheit und Klarheit auf überflüssige Komplexität verzichtet. Zum Zwecke konsensualer Analyse und Verifizierung ist der komplette Entwurf öffentlich zugänglich. Wegen der fortwährenden Verkleinerung ihrer Strukturbreiten werden integrierte Schaltkreise immer empfindlicher gegenüber Umgebungseinflüssen wie Strahlung, was sich in steigender Wahrscheinlichkeit von Kontroll- und Datenflussfehlern auswirkt. Anstatt dem Trend zur Fehlererkennung durch immer komplexere Software zu folgen, werden hier neuartige Prozessorarchitekturen mit hardwarebasierten Fehlererkennungsmerkmalen vorgestellt. Diese erlauben einfache und zuverlässige Erkennung auftretender Kontroll- und Datenflussfehler und sind bisherigen Ansätzen deutlich überlegen.
Wolfgang A. Halang, Rudolf M. Konakovsky
12. Eine funktionsplanabbildende Prozeßrechnerarchitektur
Zusammenfassung
Ein außergewöhnliches und durch Übersichtlichkeit sicherheitsförderndes Architekturkonzept wird vorgestellt, das im mechanischen Aufbau eines Prozeßrechners die dem Anwendungsprogramm innewohnende Struktur in natürlicher Weise abbildet und so die semantische Lücke zwischen hochsprachlicher Problemlösung und Implementierung schließt. Durch Zuordnung eines eigenen Prozessors zu jedem Funktionsblock ergibt sich eine dem Anwendungsfall betriebsmitteladäquate dedizierte und parallel arbeitende Rechenanlage ohne interne Konflikte und mit a priori automatisch bestimmbarem Zeitverhalten. Die Isomorphie von Funktionsplänen und Hardware-Aufbau überträgt die Verifikation eines Anwendungsprogramms unmittelbar auf den Entwurf der Ausführungsplattform.
Wolfgang A. Halang, Rudolf M. Konakovsky
13. Fallstudien sicherheitsgerichteter programmierbarer elektronischer Systeme
Zusammenfassung
Drei speziell für sicherheitsgerichtete Anwendungen konzipierte programmierbare elektronische Systeme werden vorgestellt. Das erste wird höchsten Sicherheitsansprüchen gerecht, indem seine Software die Form leicht verifizierbarer Ursache-/Wir- kungstabellen hat, die unmittelbar von der Hardware ausgeführt werden. Das zweite ist auf inhärente Unterstützung der Verifikation von Funktionsplänen mittels diversitärer Rückwärtsanalyse hin ausgelegt. Eine asymmetrische Mehrprozessorarchitektur vermeidet durch Betriebssysteme erzeugte Nichtdeterminismen mittels Migration der Funktionen des Betriebssystemkerns auf einen Koprozessor und fördert die Vorhersehbarkeit des Ausführungsverhaltens. Weiterhin wird Prozeßperipherie für zeitgenau bestimmbaren Datenaustausch beschrieben.
Wolfgang A. Halang, Rudolf M. Konakovsky
14. Zeitsignalverbreitung und rechnerinterne Zeitverwaltung
Zusammenfassung
Die Bedeutung der gesetzlichen Zeit Universal Time Co-ordinated (UTC) und der weltweiten Verfgbarkeit hochgenauer Zeitinformationen wird dargelegt. Funktionsweisen terrestrischer und satellitengesttzter Rundfunkbertragung offizieller Zeitsignale, die Genauigkeit dieser Signale und Mglichkeiten zur Genauigkeitsverbesserung werden beschrieben und auf beim Einsatz funkbertragener Zeitsignale zu bercksichtigende Faktoren und Fehlerquellen wird hingewiesen. Aufbauend auf einer funkuhrgesttzten und stndig mit UTC synchronisierten hochgenauen Zeitsteuer- und -stempeleinheit wird ein hochgenaues Verfahren zur simultanen Ereignisverarbeitung vorgestellt und gezeigt, wie sich die Antwortzeiten von Echtzeitsystemen durch strukturelle Maßnahmen minimieren und dass sich die Uhren der Knotenrechner in verteilten Systemen als Nebenprodukt der Zeitverwaltung synchronisieren lassen.
Wolfgang A. Halang, Rudolf M. Konakovsky
15. Unterbrechungsfreie asynchrone Echtzeitverarbeitung mit Zustandswiederherstellung zur Laufzeit
Zusammenfassung
Rechenprozeßorientierte Echtzeitverarbeitung ohne Verwendung asynchroner Unterbrechungen wird als drittes, inhärent sicheres Paradigma des Echtzeitbetriebes vorgestellt, das die Vorteile synchroner und asynchroner Programmierung vereint. Zur Behebung fehlerhafter Zustände wird es kombiniert mit der Fähigkeit von Rechnerknoten zum Neuaufsetzen der Verarbeitung im laufenden Betrieb durch Kopieren des internen Zustands redundanter Knoten. Diese Zustandsdaten brauchen nur protokolliert zu werden, um im Testbetrieb nachträgliche Ablauf- und für den Normalbetrieb Post-mortem-Analysen zu ermöglichen.
Wolfgang A. Halang, Rudolf M. Konakovsky
16. Ein sicherheitsgerichteter Feldbus
Zusammenfassung
Ein für sicherheitsgerichtete Anwendungen konzipiertes und an Pünktlichkeit, Vorhersagbarkeit, Zuverlässigkeit und Einfachheit orientiertes Feldbussystem wird vorgestellt, das Datenübertragungen mit komplementären Maßnahmen sichert. Die zur Signalcodierung und -detektierung bekannten Verfahren werden untersucht und die für Feldbusse besten ausgewählt. Es wird gezeigt, wie durch geeignete Codierung Daten mittels kombinierter Fehlererkennungs- und -korrekturmöglichkeit gesichert werden können, wie Doppelringbussysteme aufgebaut sind und welche Vorteile sie bieten, wie die Knoten an Ringbussen zeitlich synchronisiert werden und wie Daten mittels des Summenrahmentelegramms übertragen werden. Echtzeitfähigkeit wird dadurch erzielt, dass sich durch Einsatz bestimmter Fehlertoleranzmaßnahmen weitestgehend vermeiden lässt, Telegrammübertragungen im Fehlerfalle wiederholen zu müssen.
Wolfgang A. Halang, Rudolf M. Konakovsky
17. Sicherheitsgerichete Echtzeitprogrammierung in PEARL
Zusammenfassung
Die Programmiersprache PEARL besitzt die bei Weitem ausgeprägtesten Echtzeiteigenschaften. Zunächst werden die wesentlichen Eigenschaften ihrer Versionen für Einprozessor- und für verteilte Systeme vorgestellt. Da es bisher keine universell einsetzbare textuelle Programmiersprache für sicherheitsgerichtete Echtzeitsysteme gab, PEARL sich aber in industriellen Automatisierungsanwendungen hervorragend bewährt hatte, wird für jede der vier international genormten Sicherheitsintegritätsniveaus eine sicherheitsgerichtete Version von PEARL sowie eine Erweiterung zur Formulierung sicherer Ablaufsteuerungen definiert. Schließlich wird gezeigt, dass Teile von PEARL wegen ihrer Klarheit, Eindeutigkeit und unmittelbaren Verständlichkeit bereits zu Spezifikationszwecken eingesetzt werden können.
Wolfgang A. Halang, Rudolf M. Konakovsky
18. Ablaufplanung und Zuteilbarkeitsanalyse für den Mehrprozessbetrieb
Zusammenfassung
Nach Betrachtung eines graphischen Verfahrens zur zeitlichen Ablaufplanung und Synchronisation von Rechenprozessen werden zwei Verfahren sicherer Prozessorzuteilung für leicht vorhersagbaren Mehrprozessbetrieb vorgestellt. Das statische Verfahren aktiviert Rechenprozesse periodisch synchron zu einem Zeittakt. Synchronisierungs- und Verklemmungsprobleme lassen sich verhindern, zeitliches Ablaufverhalten vorhersagen und lastadaptiv steuern sowie Zuteilbarkeit zu jeder Zeit anhand eines einfachen Kriteriums überprüfen, indem bei der optimalen Strategie dynamischer Rechenprozesszuteilung nach Fertigstellungsfristen auf Verdrängbarkeit verzichtet wird.
Wolfgang A. Halang, Rudolf M. Konakovsky
Backmatter
Metadaten
Titel
Sicherheitsgerichtete Echtzeitsysteme
verfasst von
Prof. Dr. Dr. Wolfgang A. Halang
Rudolf M. Konakovsky
Copyright-Jahr
2018
Verlag
Springer Berlin Heidelberg
Electronic ISBN
978-3-662-56369-4
Print ISBN
978-3-662-56368-7
DOI
https://doi.org/10.1007/978-3-662-56369-4