Entwurf sicherheitskritischer eingebetteter Systeme am Beispiel von ...

Entwurf sicherheitskritischer eingebetteter 

Systeme am Beispiel von Straßenfahrzeugen 

Dr.-Ing. Jürgen Nützel 

Dipl.-Inf. Daniel Gurovic 

Dipl.-Inf. Jörg Keßler 

Technische Universität Ilmenau 

Fakultät für Informatik und Automatisierung 

98684 Ilmenau/Thüringen 

Ilmenau Safety Critical Applications 

http://www.theoinf.tu-ilmenau.de/ISCRA/

ISCRA - Ilmenau Safety Critical Applications 

Am Beispiel eines Fahrzeugmodells erfolgt im Rahmen eines durch das Land 

Thüringen geförderten Projektes der systematische Entwurf eingebetteter Systeme, die 

eine hohe Sicherheitsrelevanz besitzen. 

Ziel ist es eine durchgängiges, werkzeugunterstütztes Vorgehensmodell zu entwickeln, 

mit dem verteilte, eingebettete Echtzeitsysteme modelliert, validiert und implementiert 

werden können. Im Vordergrund stehen hierbei ein frühzeitiger Nachweis der 

Korrektheit des Entwurfsergebnisses, eine Absicherung gegenüber sicherheitskritischen 

Ausnahmezuständen, sowie eine effektive Implementierung auf dem 

Zielsystem. 

2 

Institutsleiter: 

Prof. Dr.-Ing. habil. W. Fengler 

Tel.: +49 / 3677 / 69 2825 

Fax: +49 / 3677 / 69 1614 

Projektkoordination: 

Dr.-Ing. Jürgen Nützel 

Tel.: +49 / 3677 / 69 1433 

e-mail: nuetzel@theoinf.tu-ilmenau.de 


Institut für Theoretische und Technische Informatik 

Dipl.-Inf. Jörg Keßler 

Tel.: +49 / 3677 / 69 1460; e-mail: jkessler@theoinf.tu-ilmenau.de 

Dipl.-Inf. Daniel Gurovic 

Tel.: +49 / 3677 / 69 1460; e-mail: gurovic@theoinf.tu-ilmenau.de 

ISCRA http://www.theoinf.tu-ilmenau.de/ISCRA/

3 

Modellfallstudie - RC-Modellauto 

Lastenheft/Aufgabenstellung 

Es ist ein Steuerung zu entwerfen, welche 

dem Fahrer eine sichere Bedienung des 

Autos ermöglicht. Mit dem Steuerknüppel 

gibt der Fahrer eine gewünschte 

Motorspannung vor. Diese Vorgabe darf 

von der Steuerung allerdings nicht direkt 

an den Fahrtregler übertragen werden. Es 

muss vermieden werden, dass ein zu hoher 

Schlupf der Antriebsräder das Fahrverhalten 

negativ beeinflusst. Mit dem 

Bremspedal wird die auf der Antriebsachse 

sitzende mechanische Bremse betätigt. Bei 

der Ansteuerung des Brems-Servos darf es 

allerdings nicht zum Blockieren der Räder 

kommen. Das ist durch eine geeignete 

Regelung der Bremskraft zu vermeiden. 

Anti-Schlupf-Regelung 

Zielplattform 

3*C164CI (Infinion)

4 

Modellfallstudie - RC-Modellauto 

Kanal1 

Fernsteuerung 

Kanal2 Kanal3 

Vorderradsensor 

Hinterradsensor 

Rechtecksignal von 

Gabellichtschranke 

Empfänger 

Kanal1 Kanal2 Kanal3 

in4 

in5 

in1 in2 in3 

verteiltes 

eingebettetes 

Rechnersystem 

(3*C164CI) 

out1 

Lenk- 

Servo 

out2 

Brems- 

Servo 

out3 

PWM-Signale 

PWM-Signale 

uP-gesteuerter 

Fahrtregler 

geregelte 

Spannung 

Flug- 

Elektromotor 

ca. 200W

5 

Warum Hazard-Analyse ? 

� Eingebettete Systeme werden in immer öfters in 

sicherheitskritischen Bereichen (z.B. Airbag) eingesetzt ! 

� Ein Hazard ist eine Situation, in welcher eine akute oder 

potentielle Gefahr für Mensch und Umgebung besteht 

Beifahrer-Airbag 

wurde 

elektronisch 

deaktiviert 

Unfall ereignet 

sich - Kind sitzt 

im Reboard- 

Kindersitz 

Spezifiziertes Szenario 

Test-Routine 

erkennt im 

Betrieb einen 

Speicherfehler 

Beifahrer-Airbag 

löst aus 

Grundeinstellungen 

ohne 

Deaktivierung 

wird eingenommen 

Kind tot 

Nicht berücksichtige Folgen eines Unfalls

Kanal1 

Hazard-Analyse: 

Fehler können überall auftreten 

6 

Fernsteuerung 

Kanal2 Kanal3 

Vorderradsensor 

Hinterradsensor 

Empfänger 

Kanal1 Kanal2 Kanal3 

in4 

in5 

in1 in2 in3 

verteiltes 

eingebettetes 

Rechnersystem 

(3*C164CI) 

Lenk- 

Servo 

out3 

PWM-Signale 

out1 out2 

Rechtecksignal von 

Gabellichtschranke PWM-Signale 

Fehleranfällig 

Brems- 

Servo 

� Quelle: Entwicklung/Laufzeit 

� Art: Permanent/Sporadisch/Bedingt 

� Bereich: 

Wert/Zeit/unaufgeforderte Aktionen 

uP-gesteuerter 

Fahrtregler 

geregelte 

Spannung 

Flug- 

Elektromotor 

ca. 200W 

� „an alles denken !!!! “


Suche nach den Ursachen 

7 

� Failure Tree Analysis - FTA 

(Fehlerbaumanalyse DIN 25 424) 

� Rückwärts-Suche 

� Eine identifizierte Gefahr bildet den 

Ausgangspunkt für die Analyse 

Kommunikation zwischen 

Steuerung und Sensoren gestört 

Fehlerhafte 

Sensordaten 

>1 

Radsensor_VR 

defekt 

Berechnungsalgorithmus 

fehlerhaft 

Radsensor_HR 

defekt 

Schlupfwert 

falsch 

>1 

Motorstellwert 

falsch 

>1 

Berechnungsalgorithmus 

fehlerhaft 

Schlupf 

zu hoch 

>1 

Kommunikation zwischen 

Steuerung und Motor gestört


Suche nach den Auswirkungen/Folgen 

8 

� Event Tree Analysis - ETA 

(Ereignisfolgenanalyse DIN 25 419) 

� Vorwärts-Suche 

� Es werden ausgehend von einem identifizierten Ereignis dessen 

Folgen analysiert 

Radsensor Steuerung Motor Auswirkung 

Radsensor_VR 

defekt 

OK 

defekt 

OK 

defekt 

OK 

defekt 

Fahr verhalten 

negativ beeinflusst 






negativ beeinflusst

9 

Das ISCRA-Vorgehensmodell 

Lastenheft 

...vom Auftraggeber 

durch den 

Entwicklungsingenieur 

Formalisierung der 

Anforderungen durch das 

Entwicklungsteam 

Objektnetze, SDL, Statecharts 

Formale Spezifikation 

Sequenz-Diagramme (Z.120) 

Anforderungsanalyse 

mit der UML und 

MSCs nach Z.120 

Modellbasierter-Entwurf Hazard-Analyse 

Simulation 

Code-Generierung für 

OSEK-Betriebssystem 

FTA, ETA 

und FMEA 

Dokumentation 

Sicherheitsinformationen 

durch den 

Sicherheitsexperten

Ziele 

� Industrienahe Forschung 

� Zusammenarbeit mit der Automobil- und der 

10 

Automobilzulieferindustrie 

� Moderne Software-Technologien in der Anwendung 

� Neue Aufgaben, wie z.B. X-by-Wire 

� Hochschulmitarbeiter im Einsatz Vorort

Teil 2: 

Modellbasierte Analyse und Entwurf 

sicherheitskritischer Systeme 

Technische Universität Ilmenau 


98684 Ilmenau/Thüringen 

Ilmenau Safety Critical Applications 

http://www.theoinf.tu-ilmenau.de/ISCRA/

Gliederung 

� Einleitung 

� Designflow 

� Beispiel für Systementwicklung 

� Anwendung von Methoden für 

12 

�Anforderungsanalyse 

�Systementwurf 

�Validierung/Verifikation 

�Codegenerierung 

� Zusammenfassung

Problem 

13 

Idee 

Aufgabe 

Problem 


Lösung

Problem 

13 

Idee 

Aufgabe 

Problem 

Was ? 


Wie ? 

Ist es Sicher? 

Funktioniert das ? 

Lösung

Problem 

13 

Idee 

Aufgabe 

Problem 


Was ? 


Wie ? 

modellbasierter 

Systementwurf 


Lösung

Problem 

13 

Idee 

Aufgabe 

Problem 

Was ? 

Was? 



Wie ? 

modellbasierter 

OK ? 



Wie? 

Lösung

Formale Modelle 

� Warum formale Modelle 

14 

� eindeutig definiert 

� erleichtern die Verständlichkeit 

� fördern die Kommunikation im Team 

� unabhängig von der Implementierung 

� nachvollziehbarer Entwicklungsweg 

� Wiederverwendbarkeit 

� frühe Erkennung von Entwicklungsfehlern 

� Warum Toolunterstüzung 

� zentrale Speicherung aller Daten 

� Wiederverwendung 

� bessere Teamunterstützung 

� rechnergestützte Korrektheitsnachweise

Designflow (Übersicht) 

� Anforderungsanalyse 

� Was ? 

� Design 

� Wie ? 

� Validierung/Verifikation 

� Erfüllt das Design die 

Anforderungen ? 

� Codierung 

� Manuell 

15 

� Automatisch 

� Konfiguration des OS 

Verifikation/ 

Verifikation/ 

Validierung 

Validierung 

Aufgabe 

Aufgabe 

Anforderungs- 


analyse 

Analyse 

Analyse 

Modelle 

Modelle 

Entwurf 


Design 

Design 

Modell 

Modell 

Text 

Codierung 

Codierung 

ImplemenImplementationtation

Designflow (Anforderungsanalyse) 

� Analyse 

� Formalisierung der 

Aufgabenstellung mit 

grafischen Methoden (UML) 

16 

� Klassendiagramme 

� Use-Case Diagramme 

� HMSC/MSC 

� Analyse der Systemsicherheit 

� Ziel 

� Gefahren analysieren 

� Risiko einschätzen 

� Aufgabenstellung 

präzisieren 

�Aufgabe vollständig und 

widerspruchsfrei formal 

notieren 

Verifikation/ 

Verifikation/ 

Validierung 

Validierung 

Aufgabe 

Aufgabe 

Anforderungs- 


analyse 

Analyse 

Analyse 

Modelle 

Modelle 



Design 

Design 

Modell 

Modell 

Text 

UML 

SDL 

Codierung 

Codierung 


Unified Modeling Language (UML) 

� OMG(Object Managment Group) Standard für 

Modellierungssprachen 

� Sammlung von Diagrammen welche verschiedene 

Sichten auf ein System ermöglichen (Struktur, 

Verhalten,Zustände....) 

� Diagramme/Darstellungsmittel 

17 

� Class Diagram (Struktur, Rollen, Zusammenhänge) 

� Use-Case Diagram (Beschreibung von Anwendungsfällen) 

� Sequence Diagram (Beschreibung seq. Informationsflüsse)

Anforderungsanalyse (Struktur) 

Für das Projekt ist ein Modellauto (Maßstab 

1:7) mit einem Elektromotor ausgestattet 

worden. Das Modellauto wird vom Fahrer über 

eine Fernsteuerung (Sender, Empfänger) 

bedient. Es ist jeweils ein Kanal für Bremse, 

Lenkung und Motor-Steuerung vorhanden. 

Als Aktoren für Bremse und Lenkung dienen 

zwei Servos. Der Motor wird über einen 

Fahrtregler angesteuert. Durch die 

Eigenschaften des Elektromotors und die 

direkte Kopplung zwischen Motor 

und Antriebsachse haben sich die 

Fahreigenschaften...... 

18 

Bremse 

BremsServo 

HinterradSensor 

Sensoren 

VorderradSensor 

Modellauto 

Fahrtregler 

Empfaenger 

Steuerungssystem 

Lenkung 

LenkServo 

Elektromotor

Anforderungsanalyse (Rollen) 

Für das Projekt ist ein Modellauto (Maßstab 

1:7) mit einem Elektromotor ausgestattet 

worden. Das Modellauto wird vom Fahrer über 

eine Fernsteuerung (Sender, Empfänger) 

bedient. Es ist jeweils ein Kanal für Bremse, 

Lenkung und Motor-Steuerung vorhanden. 

Als Aktoren für Bremse und Lenkung dienen 

zwei Servos. Der Motor wird über einen 

Fahrtregler angesteuert. Durch die 

Eigenschaften des Elektromotors und die 

direkte Kopplung zwischen Motor 

und Antriebsachse haben sich die 

Fahreigenschaften.... 

.... 

19 

Fahrtregler 

gibt Sollwerte 

Empfaenger 

Fahrdatenquelle 

Steuerungssystem 

Regler 

regelt 

Elektromotor 

regelt 

Bremse 

Regler 

liefert Geschwindigkeit 

liefert Geschwindigkeit 

Bremsservo 

VorderradSensor 

HinterradSensor

Anforderungsanalyse (Use-Cases) 

20 

Fahrer 

Was soll das System können? 

bremsen 

beschleunigen 

lenken 

 

Auto

Anforderungsanalyse (Sequenzdiagramm) 

21 

bremsen 

environment Steuerungssystem VorderradSensor HinterradSensor Bremsservo Bremse 

decompos ed


21 

bremsen 


Bremsen 

(Brems_Wert 

) 

decompos ed


21 

bremsen 


Bremsen 

(Brems_Wert ) 

decompos ed 

V_Vorderrad 

(V)


21 

bremsen 


Bremsen 

(Brems_Wert ) 

decompos ed 

V_Vorderrad 

(V) 

V_Hinterrad 

(V)


21 

bremsen 


Bremsen 

(Brems_Wert ) 

decompos ed 

T_Steuerung 

(10) 

V_Vorderrad 

(V) 

V_Hinterrad 

(V)


21 

bremsen 


Bremsen 

(Brems_Wert ) 

decompos ed 

T_Steuerung 

(10) 

Bremskraft 

(Brems_Wert ) 

V_Vorderrad 

(V) 

V_Hinterrad 

(V)


21 

bremsen 


Bremsen 

(Brems_Wert ) 

decompos ed 

T_Steuerung 

(10) 

Bremskraft 

V_Vorderrad 

(V) 

V_Hinterrad 

(Brems_Wert ) Servo_Stellzeit 

(V) 

(10)


21 

bremsen 


Bremsen 

(Brems_Wert ) 

decompos ed 

T_Steuerung 

(10) 

Bremskraft 

V_Vorderrad 

(V) 

V_Hinterrad 

(Brems_Wert ) Servo_Stellzeit 

(V) 

(10) 

Mechan_Bremskraft 

(N)

Designflow (Entwurf) 

� Design 

� Umsetzung der 

Anforderungen in eine 

formale, implementationsunabhängige 

Sprache 

22 

� Verhaltensbeschreibung auf 

Basis von EFSM 

�z.B. SDL, Statecharts,... 

� Entwurf der System- und 

Kommunikationsstruktur 

� Iterativer 

Verfeinerungsprozeß 

Verifikation/ 

Verifikation/ 

Validierung 

Validierung 

Aufgabe 

Aufgabe 

Anforderungs- 


analyse 

Analyse 

Analyse 

Modelle 

Modelle 



Design 

Design 

Modell 

Modell 

Text 

UML 

SDL 

Codierung 

Codierung 


SDL (Specification and Description Language) 

� ITU-T standardisiert (Z.100) 

� Etabliert in der Telekommunikation 

� Formale Sprache 

� Grafische Repräsentation 

23 

� hierarchisch 

� leicht zu lesen - überschaubar 

� Objektorientierung 

� Klassifikation (Klassen, SDL-Typen) 

� Identitäten (Objekte, SDL-Instanzen) 

� Polymorphismus (formale Kontextparameter) 

� Vererbung (Konkretisierung von Struktur und Verhalten)

SDL-System 

� Oberste Ebene der 

Beschreibung 

� Kapselt den gesamten 


� Kommunikation 

zwischen Blöcken und 

der Umgebung 

24 

system Steuerungssystem 

Bremskraft 

V_Hinterrad 

V_Vorderrad 

Bremsen 

Anschl_Bremsservo 

Anschl_Hinterradsensor_ABS 

Anschl_Vorderradsensor_ABS 

Anschl_Fahrtregler 

Wert_Fahrtregler 

Anschl_Empf_Bremse 

Anschl_Hinterradsensor_ASR 

V_Hinterrad 

Anschl_Vorderradsensor_ASR 

V_Vorderrad 

Anschl_Empf_FR 

Beschleunigen 

ABS 

ASR 

Motor_Brems_OK 

ABS_ASR_COM 

Beschleunigen 

SIGNAL 

Bremskraft,V_Hinterrad, 

V_Vorderrad,Bremsen, 

Wert_Fahrtregler, 

Beschleunigen;

SDL-Block ABS 

� Beschreibt Interaktion 

zwischen weiteren Blöcken 

oder Prozessen 

� Blöcke können mit Blöcken 

weiter verfeinert werden 

� Prozesse kapseln 

Zustandsmaschinen 

25 

Anschl_Empf_Bremse 

Anschl_Hinterradsensor_ABS 

Anschl_Vorderradsensor_ABS 

Anschl_Bremsservo 

block ABS 1(1) 

R1 

R2 

R3 

Bremskraft 

Bremsen 

V_Hinterrad 

V_Vorderrad 

R4 

ABS_Process(1,1) 


R5 

Bremsregler 

Beschleunigen 

ABS_ASR_COM

SDL-Process 

� Elementare Zustandsmaschine 

� Verarbeitung der Signale 

� Nutzung von Timern, um 

zeitliche Bedingungen zu 

beschreiben 

� Möglichkeit der 

Strukturierung durch 

Prozedurrufe 

26 

OK 

Beschleunigen 

Beschl_Inp_OK 

V_Vorderrad 

V_VR_OK 

V_Hinterrad 

SET(Now+9, 

T) 

ASR_Regler(Schlupf_OK) 

FRW_OK 

T 

FRW_OK 

Schlupf_OK 

Wert_Fahrtregler 

OK 

false 

TIMER 

T; 

DCL Schlupf_OK Boolean; 

Wert_Fahrtregler Fahrtregler auf Null 


OK 

true

Designflow (Validierung/Verifikation) 

27 

Erfüllt der Entwurf die 

Anforderung ? 

� Simulation des Entwurfs 

� Test bestimmter 

Sytemfunktionen 

� Verifikation durch Nachweis, 

dass der Entwurf die 

Anforderung erfüllt: 

� Wird die Anforderung in 

allen Systemzuständen 

erfüllt ? 

� Aufwendig bei großen 

Systemen 

Verifikation/ 

Verifikation/ 

Validierung 

Validierung 

Aufgabe 

Aufgabe 

Anforderungs- 


analyse 

Analyse 

Analyse 

Modelle 

Modelle 



Design 

Design 

Modell 

Modell 

Text 

UML 

SDL 

Codierung 

Codierung 


Verifikation 

� Umwandlung der formal 

spezifizierten Anforderungen 

in Überwachungsautomaten 

(Observer) 

� Untersuchung des 

Zustandsraumes 

� Generierung von Reports über 

über die Ursachen für ein 

mögliches Fehlverhalten des 

Systems 

� Kann sehr Zeit- und 

Ressourcen-aufwendig sein 

� Forschung 

28 

� kompositionale Ansatz 

� Verifikation nach jeder 

Verfeinerung 

Teststruktur 

Teststruktur 

Observer 

Observer 

(MSC/SDL) 

(MSC/SDL) 

Reports 

(MSC) 

Analyse 

Analyse 

Analyse 

Analyse 

Modell 

Modell 

Verifikation/ 

Verifikation/ 

Validierung 

Validierung 

EntwurfsEntwurfsfehlerfehler 



Entwurfs- 

Entwurfsmodell 

modell


29 


Bremsen 

(Brems_Wert ) 

decompos ed 

T_Steuerung 

(10) 

Bremskraft 

(Brems_Wert ) 

V_Vorderrad 

(V) 

V_Hinterrad 

(V) 

Servo_Stellzeit 

Mechan_Bremskraft 

(N) 

(10)

Observer 

� Überwachungsautomaten 

entworfen aus 

MSCs (use-cases) 

� Beobachten das 

Systemverhalten 

� Überwachung interner 

Zustände und Verhalten an 

der Schnittstelle 

30 

I:=GetPiD('ABS_Process',1) 

Begin_Observation 

InQueue(I,'Bremsen'); 

priority 1 

Sig_Brems_OK 

InQueue(I,'V_Vorderrad'); 

priority 1 

V_VH_OK 

InQueue(I,'V_Hinterrad'); 

priority 1 

SET(Now+Zeit, 

Brems_Obs_Timer) 

Beg_Berechnung 

GetState(I)='OK'; 

priority 1 

RESET 

(Brems_Obs_Timer) 

Report('ABS_Success') Report('ABS_Error') 

Begin_Observation 

true; 

priority 2 

- 

true; 

priority 2 

- 

true; 

priority 2 

- 

true; 

priority 2 

- 

Brems_Obs_Timer

Designflow (Codierung) 

� manuell oder automatisch 

� Mapping des Entwurfs auf die 

Architektur der Hardware 

� Verteilen von Prozessen auf 

Rechnerknoten 

31 

� Festlegung der 

Kommunikationsmedien 

� Codeerzeugung für 

Zielplattform 

� Konfiguration von 

Betriebssystemen 

� Problem: 

� Erfüllt das System nach 

Codierung noch die 

Anforderungen 

� Forschung 

Verifikation/ 

Verifikation/ 

Validierung 

Validierung 

Aufgabe 

Aufgabe 

Anforderungs- 


analyse 

Analyse 

Analyse 

Modelle 

Modelle 



Design 

Design 

Modell 

Modell 

Text 

UML 

SDL 

Codierung 

Codierung 


Zusammenfassung 

� Für sicherheitskritische Systeme ist ein modellbasierter 

Entwurf unumgänglich 

� Formale Darstellungen unterstützen die Verständlichkeit 

und bieten die Grundlage für rechnergestützte 

Korrektheitsbeweise 

� Toolunterstützung sichert einen konsistenten 

Systementwurf, erleichtert die Wiederverwendung und 

die Erweiterung von bestehenden Systemen 

� Ziele in Forschung: 

32 

� Nachweis der korrekten Codegenerierung 

� Formalisierung der Hazard-Analysemethoden für die 

Überprüfung der Anforderungsanalyse

Entwurf sicherheitskritischer eingebetteter Systeme am Beispiel von ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?