Ein sicherheitskritisches verteiltes Realzeitsystem ist ein elektronisches System, in dem ein Systemausfall eine ernsthafte Gefahr verursachen kann, die menschliches Leben oder die Umgebung gefährdet. Für die Entwicklung solcher Systeme ist es wünschenswert in einer frühen Entwicklungsphase zu beurteilen, ob das System solch ein gefährliches Ereignis verursachen kann, bevor die Hardware des Systems aufgebaut wird und bevor das System in Betrieb genommen wird. Diese Arbeit schlägt Methoden und Techniken vor, um das Verhalten solcher Systeme mit einem Simulationsmodell in einer frühen Entwicklungsphase zu validieren. Das Simulationsmodell repräsentiert die Systemarchitektur (Hardware und Software) des Systems, wie sie in der Designspezifikation spezifiziert ist. Das Systemmodell basiert auf einer strikten Unterscheidung zwischen der Anwendersoftware, die die gewünschte Funktionalität des Systems darstellt, und der Hardware- und Softwareplattform, die die Anwendersoftware ausführt. Diese strikte Trennung ermöglicht Einblicke in die komplexen Abhängigkeiten zwischen Hardware- und Softwarebausteinen des Systems. Der Ansatz erlaubt es eine fehlertolerante Systemarchitektur während eines Fehlers zu bewerten, der durch einen fehlerhaften Hardwarebaustein oder Störungen verursacht wurde. Das in dieser Arbeit vorgeschlagene Prinzip der Validierung ist wie folgt: eine Stimuli regt das Systemmodell mit realistischen und sicherheitsrelevanten Testszenarien an. Ein Beobachtersystem überwacht die Signale, die vom System erzeugt werden und beurteilt ob das System eine der vordefinierten Bedingungen verletzt. Die Bedingungen stellen Sicherheitsauflagen dar, die das System erfüllen muß, um in seiner Umgebung sicher zu funktionieren. Ein wesentliches Teil der Validierung ist die Fehlerinjektion. Diese Technik löst Fehler während des Testszenarios aus, die im realen System durch fehlerhafte Hardwarebausteine oder Störungen verursacht werden. Das Beobachtersystem bewertet die Reaktion des Systems während diesen Fehlerzuständen und hält in einem Dokument fest, ob das System eine der vordefinierten Bedingungen verletzt hat. Die Fallstudie wendet den Ansatz an einem Brake-by-Wire (BbW) Systems eines Kraftfahrzeuges an. Die Fallstudie zeigt, wie die vorgeschlagenen Techniken und Methoden die Entwicklung eines elektronischen Systems in einer frühen Entwicklungsphase unterstützen können. Die Testszenarien decken auf, daß die Sicherheitsauflagen nicht erfüllt werden, falls das BbW System nach der untersuchten Designspezifikation realisiert wird.
«
Ein sicherheitskritisches verteiltes Realzeitsystem ist ein elektronisches System, in dem ein Systemausfall eine ernsthafte Gefahr verursachen kann, die menschliches Leben oder die Umgebung gefährdet. Für die Entwicklung solcher Systeme ist es wünschenswert in einer frühen Entwicklungsphase zu beurteilen, ob das System solch ein gefährliches Ereignis verursachen kann, bevor die Hardware des Systems aufgebaut wird und bevor das System in Betrieb genommen wird. Diese Arbeit schlägt Methoden und Te...
»