A safety-critical distributed real-time system is an electronic system where a system failure may cause a severe hazard that will endanger human life or the environment. For the development of such systems, it is desirable to determine in an early development phase whether the system can cause such a hazardous event, before a hardware is built and before the system is in service. This thesis proposes methods and techniques to validate the behavior of such systems using a simulation model in an early development phase. The simulation model represents the system architecture (hardware and software) as specified in the design specification. The system model is based on a strict distinction between the application software that represents the desired functionality of the system, and the hardware and software platform which executes the application software. This strict distinction gives insights into complex interactions between hardware and software components of the system. It allows to evaluate fault-tolerant system architectures in the presence of errors caused by faults of hardware elements or interferences. The principle of the validation of a system proposed in this thesis is as follows: a test bench stimulates the system model with realistic and safety relevant test scenarios. An observer system monitors signals produced by the system and evaluates whether or not the system’s reaction violates any predefined conditions. The conditions represent safety requirements that the system must fulfill to operate safely in its environment. An essential part of the validation is the fault injection. This technique provokes errors caused by faults of hardware elements or interferences during a test scenario. The observer system assesses the system’s reaction to those errors and reports if the system violates any of the predefined conditions. This thesis presents a case study of a brake-by-wire system of an automobile. The case study shows how the proposed techniques and methods can support the development of an electronic system in an early development phase. The test scenarios reveal that the brake-by-wire system will not meet the safety requirements if it is built as specified in the design specification.     «

A safety-critical distributed real-time system is an electronic system where a system failure may cause a severe hazard that will endanger human life or the environment. For the development of such systems, it is desirable to determine in an early development phase whether the system can cause such a hazardous event, before a hardware is built and before the system is in service. This thesis proposes methods and techniques to validate the behavior of such systems using a simulation model in an e...     »

Ein sicherheitskritisches verteiltes Realzeitsystem ist ein elektronisches System, in dem ein Systemausfall eine ernsthafte Gefahr verursachen kann, die menschliches Leben oder die Umgebung gefährdet. Für die Entwicklung solcher Systeme ist es wünschenswert in einer frühen Entwicklungsphase zu beurteilen, ob das System solch ein gefährliches Ereignis verursachen kann, bevor die Hardware des Systems aufgebaut wird und bevor das System in Betrieb genommen wird. Diese Arbeit schlägt Methoden und Techniken vor, um das Verhalten solcher Systeme mit einem Simulationsmodell in einer frühen Entwicklungsphase zu validieren. Das Simulationsmodell repräsentiert die Systemarchitektur (Hardware und Software) des Systems, wie sie in der Designspezifikation spezifiziert ist. Das Systemmodell basiert auf einer strikten Unterscheidung zwischen der Anwendersoftware, die die gewünschte Funktionalität des Systems darstellt, und der Hardware- und Softwareplattform, die die Anwendersoftware ausführt. Diese strikte Trennung ermöglicht Einblicke in die komplexen Abhängigkeiten zwischen Hardware- und Softwarebausteinen des Systems. Der Ansatz erlaubt es eine fehlertolerante Systemarchitektur während eines Fehlers zu bewerten, der durch einen fehlerhaften Hardwarebaustein oder Störungen verursacht wurde. Das in dieser Arbeit vorgeschlagene Prinzip der Validierung ist wie folgt: eine Stimuli regt das Systemmodell mit realistischen und sicherheitsrelevanten Testszenarien an. Ein Beobachtersystem überwacht die Signale, die vom System erzeugt werden und beurteilt ob das System eine der vordefinierten Bedingungen verletzt. Die Bedingungen stellen Sicherheitsauflagen dar, die das System erfüllen muß, um in seiner Umgebung sicher zu funktionieren. Ein wesentliches Teil der Validierung ist die Fehlerinjektion. Diese Technik löst Fehler während des Testszenarios aus, die im realen System durch fehlerhafte Hardwarebausteine oder Störungen verursacht werden. Das Beobachtersystem bewertet die Reaktion des Systems während diesen Fehlerzuständen und hält in einem Dokument fest, ob das System eine der vordefinierten Bedingungen verletzt hat. Die Fallstudie wendet den Ansatz an einem Brake-by-Wire (BbW) Systems eines Kraftfahrzeuges an. Die Fallstudie zeigt, wie die vorgeschlagenen Techniken und Methoden die Entwicklung eines elektronischen Systems in einer frühen Entwicklungsphase unterstützen können. Die Testszenarien decken auf, daß die Sicherheitsauflagen nicht erfüllt werden, falls das BbW System nach der untersuchten Designspezifikation realisiert wird.     «

Ein sicherheitskritisches verteiltes Realzeitsystem ist ein elektronisches System, in dem ein Systemausfall eine ernsthafte Gefahr verursachen kann, die menschliches Leben oder die Umgebung gefährdet. Für die Entwicklung solcher Systeme ist es wünschenswert in einer frühen Entwicklungsphase zu beurteilen, ob das System solch ein gefährliches Ereignis verursachen kann, bevor die Hardware des Systems aufgebaut wird und bevor das System in Betrieb genommen wird. Diese Arbeit schlägt Methoden und Te...     »