Risikobasiertes Testen mittels quantitativer ... - SE 2010

Der Einsatz quantitativer
Sicherheitsanalysen für den
risikobasierten Test
eingebetteter Systeme
Heiko Stallbaum, Andreas Metzger, Klaus Pohl
Software Systems Engineering
Institute for Computer Science and
Business Information Systems (ICB)
University of Duisburg-Essen, Germany
www.sse.uni-due.de

Agenda
• Einleitung und Motivation
• Risikobasiertes Testen mittels quantitativer
Sicherheitsanalysen
• Zusammenfassung und Ausblick
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 2/15

Einleitung und Motivation
Testen und Sicherheitsanalysen
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 3/15
• Für eingebettetes System oftmals Sicherheitsnachweis gefordert
– Sicherheit (Safety) ist Abwesenheit von unakzeptablen Risiken
(vgl. [SAE96], [DIN03], [ISO09])
• Risikobasiertes Testen
– Produktrisiken erforschen durch systematische Systemausführung
– Produktrisiken explizit nutzen für Testplanung
• Quantitative Sicherheitsanalysen
– Produktrisiken quantitativ analysieren auf Basis eines Systemmodells

Einleitung und Motivation
Problem und Lösungsidee
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 4/15
• Problem
– Risikobasiertes Testen erfordert Zusatzaufwand für
Produktrisikobewertungen
• Lösungsidee
– Separate Produktrisikobewertung obsolet machen durch Kombination von
risikobasierten Testtechniken mit quantitativen Sicherheitsanalysen

Agenda
• Einleitung und Motivation
• Risikobasiertes Testen mittels quantitativer
Sicherheitsanalysen
• Zusammenfassung und Ausblick
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 5/15

Risikobasiertes Testen mittels quantitativer Sicherheitsanalysen
Überblick über den Ansatz
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 6/15
• Anforderungsbasiert
– Anforderungen sind Basis für Testfallableitung
– Ermöglicht systematischen Test des Systems gegen Anforderungen
• Risikobasiert
– Produktrisiken sind Basis für Testfallpriorisierung
– Ermöglicht systematischen Test entsprechend Produktrisiken
• Modellbasiert
– Ableitung eines Testmodells aus Anforderungen
– Annotation von Produktrisiken im Testmodell
– Ableitung und Priorisierung von Testfällen aus Testmodell
– Ermöglicht hohe Testautomatisierung

Risikobasiertes Testen mittels quantitativer Sicherheitsanalysen
Überblick über den Ansatz (2)
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 7/15
• Aktivitäten und Artefakte des Ansatzes
N1
Ziele,
Szenarien,
Anwendungs
-fälle
Testmodellerstellung
ScenTED [Re05] [Po08]
T1
Anforderungsbasiertes
Testmodell
T2
Risikoorientiertes
Testmodell
T2
FMECA [DIN06]
RiteDAP [St08]
Testfallableitung
und -priorisierung
T3
Modellbasierte
Testfallszenarien
Risiko-
T4 priorisierte
Testfallszenarien
N2
Systemmodell
Sicherheitsanalyse
N3
Optionale Testfremde Aktivitäten u. Artefakte
Testfremde Aktivitäten u. Artefakte
Testaktivitäten u. Artefakte
Quantifizierte
Produktrisiken
N1: Ziel- und Szenariobasiertes RE
N2: Systemmodellerstellung
N3: Quantitative Produktrisikobewertung
T1: Anforderungsbasierte Testmodellerstellung
T2: Risikoorientierte Testmodellerstellung
T3: Modellbasierte Testfallableitung
T4: Risikobasierte Testfallpriorisierung

Risikobasiertes Testen mittels quantitativer Sicherheitsanalysen
Anwendung des Ansatzes
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 8/15
• Demonstration Anwendbarkeit am Beispiel ACC-System [Wi03]
• Beispielhafter Anwendungsfall „Geschwindigkeitsverringerung bei
vorausfahrendem Fahrzeug innerhalb des Sicherheitsabstandes“
• Ausschnitt aus anforderungsbasiertem
Testmodell zu
betrachtetem Anwendungsfall
Folgegeschwindigkeit
errechnen
Geschwindigkeitsverringerung
an Motorsteuerung
signalisieren
[Geschwindigkeitsverringerung durch
Motorsteuerung nicht ausreichend]
Geschwindigkeitsverringerung
an Bremssystem
signalisieren
[Geschwindigkeitsverringerung
durch Motorsteuerung ausreichend]

Risikobasiertes Testen mittels quantitativer Sicherheitsanalysen
Anwendung des Ansatzes (2)
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 9/15
• Ausschnitt aus FMECA-Arbeitsblatt zu einer Funktion des
betrachteten Anwendungsfalls
Funktion / Anforder. Fehlerart(en) Fehlerauswrikung(en) Schwere Fehlerursache(n) Auftreten RPN
Folgegeschwindigkeit
errechnen
10 Ist-Geschwindigkeit und / oder
Abstand zum vorausfahrenden
1 10
Folgegeschwindigkeit
kann nicht errechnet
werden
Folgegeschwindigkeit
wird zu langsam
errechnet
Folgegeschwindigkeit
wird zu hoch errechnet
Folgegeschwindigkeit
wird zu niedrig
errechnet
Fahrzeug wird nicht verlangsamt
und kollidiert mit vorausfahrendem
Fahrzeug
Fahrzeug wird verspätet
verlangsamt und kollidiert mit
vorausfahrendem Fahrzeug
Fahrzeug wird verspätet
verlangsamt und kann
Sicherheitsabstand nicht einhalten
Fahrzeug wird zu wenig
verlangsamt und kollidiert mit
vorausfahrendem Fahrzeug
Fahrzeug wird stärker verlangsamt
als zur Einhaltung des
Sicherheitsabstandes notwendig
Fahrzeug liegen nicht vor
10 Softwarefehler bei der Berechnung 2 20
10 Ist-Geschwindigkeit und / oder 1 10
Abstand zum vorausfahrenden
Fahrzeug liegen verspätet vor
10 Softwarefehler bei der Berechnung 2 20
4 Ist-Geschwindigkeit und / oder 1 4
Abstand zum vorausfahrenden
Fahrzeug liegen verspätet vor
4 Softwarefehler bei der Berechnung 2 8
10 Ist-Geschwindigkeit liegt falsch (zu 3 30
niedrig) und / oder Abstand zum
vorausfahrenden Fahrzeug falsch
(zu groß) vor
10 Softwarefehler bei der Berechnung 2 20
1 Ist-Geschwindigkeit liegt falsch (zu 3 3
hoch) und / oder Abstand zum
vorausfahrenden Fahrzeug falsch
(zu klein) vor
1 Softwarefehler bei der Berechnung 2 2

Risikobasiertes Testen mittels quantitativer Sicherheitsanalysen
Anwendung des Ansatzes (3)
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 10/15
• Ausschnitt aus risikoorientiertem Testmodell zum betrachteten
Anwendungsfalls
Folgegeschwindigkeit
errechnen
context Risiko inv:
{Risikoereignis = „Fehlerauswirkung(en)
nach FMECA“
Risikowert = 127}
[Geschwindigkeitsverringerung durch
Motorsteuerung nicht ausreichend]
Geschwindigkeitsverringerung
an Motorsteuerung
signalisieren
context Risiko inv:
{Risikoereignis = „Fehlerauswirkung(en)
nach FMECA“
Risikowert = 92}
context Risiko inv:
{Risikoereignis = „Fehlerauswirkung(en)
nach FMECA“
Risikowert = 155}
Geschwindigkeitsverringerung
an Bremssystem
signalisieren
[Geschwindigkeitsverringerung
durch Motorsteuerung ausreichend]
• Hieraus risikopriorisierte Testfallszenarien automatisch ableitbar

Agenda
• Einleitung und Motivation
• Risikobasiertes Testen mittels quantitativer
Sicherheitsanalysen
• Zusammenfassung und Ausblick
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 11/15

Zusammenfassung und Ausblick
Zusammenfassung
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 12/15
• Präsentiert wurde ein neuer Ansatz
– für den systematischen, risikobasierten Test eingebetteter Systeme
– unter Verwendung quantitativer Sicherheitsanalysen
– zur Verminderung des Zusatzaufwandes für Produktrisikobewertungen
– mit hohem Automatisierungsgrad
• Demonstriert wurde die Anwendbarkeit des Ansatzes

Zusammenfassung und Ausblick
Ausblick
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 13/15
• Evaluation der Eignung und Anwendbarkeit von FMECA im
Rahmen des Testansatzes
– Eignung und Anwendbarkeit von FMECA für Software umstritten
- Ist z.B. Fehlzustandsbaumanalyse (FTA) geeigneter? [DIN07]
– Frühe, anforderungsbasierte FMECA untypisch
- Wie kann z.B. architekturbasierte FMECA verwendet werden?
• Evaluation des Leistungsverhaltens des Testansatzes
– Leistungsverhalten von risikobasierten Tests bislang kaum empirisch
untersucht

Zusammenfassung und Ausblick
Weitere Informationen
H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 14/15
• Forschungsprojekt
– Software-Plattform Embedded
Systems 2020
– Nationale Innovationsallianz
– 21 Partner aus Forschung und
Industrie
– Förderung durch BMBF
– Entwicklung einer Methodik zur
durchgängig modellbasierten
Entwicklung von eingebetteten
Systemen
– www.spes2020.de
• Kontaktdaten
– Heiko Stallbaum
– Software Systems Engineering
– Universität Duisburg-Essen
Schützenbahn 70
45117 Essen
Germany
– Tel +49 (201) 183 - 4655
Fax +49 (201) 183 - 4699
Web www.sse.uni-due.de
heiko.stallbaum@sse.uni-due.de

H. Stallbaum, A. Metzger, K. Pohl – SE 2010, Paderborn, 26.02.2010 © Prof. Dr. K. Pohl – 15/15
Referenzen
[DIN03] DIN EN 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer /
programmierbarer elektronischer Systeme. DIN, Germany, 2003.
[DIN06] DIN EN 60812: Analysetechniken für die Funktionsfähigkeit von Systemen – Verfahren für die
Fehlzustandsart- und -auswirkungsanalyse (FMEA). DIN, Germany, 2006.
[DIN07] DIN EN 61025: Fehlerzustandsbaumanalyse. DIN, Germany, 2007.
[ISO09] ISO/DIS 26262: Road vehicles – Functional safety. ISO, Switzerland, 2009.
[Po08] K. Pohl: Requirements Engineering: Grundlagen, Prinzipien, Techniken. 2nd ed., dpunkt Verlag,
2008.
[Re05] A. Reuys, E. Kamsties, K. Pohl, S. Reis: Model-based System Testing of Software Prod-uct
Families. In: Proc. of 17th CAiSE, Porto, Portugal, 2005, pp. 519-534.
[SAE96] ARP 4761: Guidelines and Methods for Conducting the Safety Assessment Process on Civil
Airborne Systems and Equipment. SAE, 1996.
[St08] H. Stallbaum, A. Metzger, K. Pohl: An automated Technique for risk-based Test Case Generation
and Prioritization. In: Proc. of 3rd AST, Leipzig, Germany, 2008, pp. 67-70.
[Wi03] H. Winner: ACC Adaptive Cruise Control. Robert Bosch GmbH, Stuttgart, 2003.