Wie können Sicherheitsanalysen mit hoher Qualität und geringem Personalaufwand erstellt werden?

1. Einleitung

Im Beitrag „Wann benötige ich welche Sicherheitsanalysen im Verlauf eines Entwicklungsprojekts?“ wurde ein Systementwicklungs-V-Modell einschließlich der entwicklungsbegleitenden Sicherheitsanalysen vorgestellt. In diesem V-Modell wird das zu entwickelnden Produkt in Produktarchitekturebenen zerlegt. Pro Produktarchitekturebene werden nicht nur eine Designspezifikation, sondern auch Sicherheitsanalysen erstellt, mit denen die Designspezifikation geprüft und um Aspekte der funktionalen Sicherheit, z.B. um Sicherheitseinstufungen oder Sicherheitsmechanismen, ergänzt wird.

In diesem V-Modell ist vorgesehen, in Abhängigkeit von der betrachteten Produktarchitekturebene folgende Sicherheitsanalysen durchzuführen:

• auf der obersten Produktarchitekturebene: eine Gefahren- und Risikoanalyse (GuR),
• auf allen darunterliegenden Produktarchitekturebenen: eine Kombination aus FTA (deduktive Analyse), FMEA (induktive Analyse) sowie DFA (Analyse abhängiger Mehrfachfehler).

Mit Ausnahme der obersten Produktarchitekturebene sind die auf den darunterliegenden Produktarchitekturebenen anzuwendenden Sicherheitsanalysemethoden immer dieselben. Diese Sicherheitsanalysen werden bevorzugt mit absteigender Produktarchitekturebene einfach „fortgeschrieben“.

Abschnitt 2 beschreibt, wie dies effizient und qualitätsgesichert durchgeführt werden kann, und Abschnitt 3 fasst die Erkenntnisse zusammen.

2. Sicherheitsanalysen teilautomatisieren – was kann automatisiert werden und was nicht?

Im Systementwicklungs-V-Modell der autoConform®-Methodik und -Software wird für jede Produktarchitekturebene eine Designspezifikation erstellt. Diese enthält:

• die externen Schnittstellen aller Elemente der betrachteten Produktarchitekturebene sowie
• die Wirkketten zwischen den Elementen, dargestellt durch „verallgemeinerte Signale“.

Ein solches „verallgemeinertes Signal“ repräsentiert den Transfer von Information, Material oder Energie. Es wird zwischen „beabsichtigten Signalen“ und „unbeabsichtigten Signalen“ unterschieden.

Beabsichtigte Signale sind von einem der Typen:

• A: acoustic (radiative and structure-borne)
• C: communication
• E: electromagnetic (conductive)
• G: gaseous chemicals
• L: liquid chemicals (including water)
• M: mechanical (solid and fluid
• und andere.

Unbeabsichtigte Signale sind von einem der Typen:

• u_A: acoustic disturbance (radiative and structure-borne)
• u_C: unintended communication
• u_D: dirt and dust
• u_E_LF: conductive electrical low-frequency disturbance (≤150kHz)
• u_E_RF: conductive electrical radio frequency disturbance (150kHz…150MHz)
• u_F: floating potentials (including ESD)
• u_G: unintended gaseous chemicals
• u_H: humidity (including moisture and condensation)
• u_L: unintended liquid chemicals
• und andere.

Teilautomatisierte Sicherheitsanalysen

In den Designspezifikationen jeder Produktarchitekturebene sind alle Signalverbindungen sowie der Typ jedes Signals angegeben. Mit diesen Informationen können folgende Sicherheitsanalysen teilautomatisiert durchgeführt werden:

• Qualitative Fehlerbaumanalyse (FTA) zur Rückverfolgung der Wirkketten und Identifikation sicherheitskritischer Ereignisse,
• FMEA zur Identifikation und Bewertung von Einfachfehlern,
• DFA zur Analyse von Mehrfachfehlern, insbesondere abhängiger Mehrfachfehler.

Die Analysen erfolgen iterativ auf jeder Produktarchitekturebene. Aus den Sicherheitsanalysen abgeleitete Sicherheitsanforderungen werden automatisch in die Anforderungsspezifikationen der jeweiligen Produktarchitekturebene übernommen.

Grenzen der Automatisierung

Die Automatisierung stößt dort an ihre Grenzen, wo spezifische Entscheidungen und Bewertungen erforderlich sind, z.B.:

• Bewertung äußerer Einflüsse wie UV-Strahlung oder mechanischer Belastungen,
• Definition der Wirtschaftlichkeit von Maßnahmen,
• Risikobewertung komplexer Szenarien.

3. Zusammenfassung

Die Teilautomatisierung von Sicherheitsanalysen mit der autoConform®-Methodik bietet:

• Höhere Qualität: Vollständige und konsistente Ergebnisse,
• Weniger Aufwand: Reduzierter Personalbedarf,
• Effizienz: Schnellere Erstellung und Aktualisierung.

Durch die Kombination aus Automatisierung und ingenieurwissenschaftlicher Expertise lassen sich Sicherheitsanalysen normkonform, effizient und mit hoher Qualität erstellen.