A model-based approach for Objectification of the Risk Analysis according to ISO 26262

Die Entwicklung elektrischer Fahrzeugsysteme wird in Zukunft voraussichtlich immer mehr von der ISO 26262 beeinflusst. Eine wesentliche Anforderung der Norm ist die Durchführung einer Gefährdungsidentifikation und Risikobewertung (GuR). Ziel dieser GuR ist es vom zu entwickelnden System ausgehende Gefährdungen zu identifizieren und hinsichtlich ihres Risikopotenzials zu bewerten. Sind potenzielle Gefährdungen erkannt, können diese mittels des in ISO 26262 vorgeschlagenen Ansatzes zur Ableitung eines Automotive Safety Integrity Levels (ASIL) hinsichtlich des von ihnen ausgehenden Risikos bewertet werden. Diese Bewertung basiert in hohem Maße auf der subjektiven - meist konservativen - (Experten-)Einschätzung der den ASIL charakterisierenden Parameter Expositionswahrscheinlichkeit (E), Schadensausmaß (S) und Kontrollierbarkeit (C), weswegen Sicherheitsfunktionen häufig überdimensioniert werden. In dieser Arbeit wird eine Methode beschrieben, wie diese subjektiven Einflüsse durch Simulation und Analyse von Petrinetz-Modellen reduziert werden können. Hierbei wird sich nach intensiver Diskussion der die ASIL-Parameter bestimmenden Faktoren auf die modellbasierte Objektivierung des Parameters E beschränkt. Die Methode und die Struktur der, wie zunächst angenommen, einem deterministischem Verhalten folgenden Modelle werden im Sinne einer Anwendbarkeitsstudie zur Einstufung der Expositionswahrscheinlichkeit exemplarisch angewendet, validiert und plausibilisiert. Im Folgenden wird davon ausgegangen, dass eine Vielzahl von reale Fahrsituationen charakterisierenden Faktoren einem stochastischem Verhalten folgen. In diesem Fall stößt die analytische Berechnung von E an ihre Grenzen, weswegen deren Plausibilität nur noch durch den Vergleich mit herkömmlichen Schätzungen überprüft werden kann. Die entwickelte Methode kann sowohl zu einer ASIL-Reduktion, und damit einhergehenden Einsparpotenzialen bei den Entwicklungskosten, als auch zu einer ASIL-Erhöhung,und damit verbundenem Mehraufwand bei der Entwicklung, führen. In beiden Fällen kann die Methode aufgrund ihres strukturierten modellbasierten Ansatzes helfen die ASIL-Einstufung gegenüber Entscheidungsträgern zu vertreten, wodurch die praktische Verwertbarkeit der Methode gegeben ist.The development of future electrical systems in motor vehicles is expected to be more and more influenced by the standard ISO 26262. This standard provides requirements for the entire safety lifecycle. One essential requirement of ISO 26262 consists in performing a hazard analysis and risk assessment. The objective of this phase is to identify and categorize the hazards emanating from the item to be developed in terms of their risk potential. Once the hazards have been identified, these can be evaluated in terms of the risk posed by them, using the approach recommended in ISO 26262 to determine an Automotive Safety Integrity Level (ASIL). This assessment is largely based on subjective - mostly conservative - (experts`)estimations of the ASIL-characterizing parameters: probability of exposure (E), severity (S) and controllability (C). This is the reason why safety related systems are often oversized. In this thesis a method is described thanks to which these subjective evaluations can be reduced by simulation and analysis of Petri net models. After an intensive discussion of the ASIL-determining parameters (E, S and C), the scope of the method is limited to the model-based objectification of the parameter E. The developed Petri net models, initially supposed to be obeying a deterministic behavior, are used to determine E and to validate the gleaned values and the correctness of the model against the results of an event tree analysis. Moreover, the determined parameter E is validated with respect to its plausibility by comparing it with the result of an assessment carried out conventionally under the terms of ISO 26262. In the following it is assumed that a large number of factors characterizing real driving situations are following a stochastic behavior. In this case, the analytical calculation of E is limited and the determined values` plausibility can only be validated by comparison with the results of a conventional estimation. The developed method logically can lead to both, an ASIL-reduction, and thus to a reduction of the development costs, as well as an ASIL-increase, and thus to related additional effort in the development. In both cases due to its structured model-based approach, the presented method can back up an ASIL-classification in front of decision-makers. Thus the practical usefulness of the method is given

Entwicklung und Analyse eines Zug-zentrischen Entfernungsmesssystems mittels Colored Petri Nets

Based on the technology trends, the train control system should weaken the proportion of ground facilities, and give trains more individual initiative than in the past. As a result, the safety and flexibility of the train control system can be further improved. In this thesis, an enhanced movement authority system is proposed, which combines advantages of the train-centric communication with current movement authority mechanisms. To obtain the necessary train distance interval data, the onboard equipment and a new train-to-train distance measurement system (TTDMS) are applied as normal and backup strategies, respectively. While different location technologies have been used to collect data for trains, the development and validation of new systems remain challenges. In this thesis, formal approaches are presented for developing and verifying TTDMS. To assist the system development, the Colored Petri nets (CPNs) are used to formalize and evaluate the system structure and its behavior. Based on the CPN model, the system structure is validated. Additionally, a procedure is proposed to generate a Code Architecture from the formal model. The system performance is assessed in detection range and accuracy. Therefore both mathematical simulation and practical measurements validation are implemented. The results indicate that the system is feasible to carry out distance measurements both in metropolitan and railway lines, and the formal approaches are reusable to develop and verify other systems. As the target object, TTDMS is based on a spread-spectrum technology to accomplish distance measurement. The measurement is carried out by applying Time of Arrival (TOA) to calculate the distance between two trains, and requires no synchronized time source of transmission. It can calculate the time difference by using the autocorrelation of Pseudo Random Noise (PRN) code. Different from existing systems in air and maritime transport, this system does not require any other localization unit, except for communication architecture. To guarantee a system can operate as designed, it needs to be validated before its application. Only when system behaviors have been validated other relative performances' evaluations make sense. Based on the unambiguous definition of formal methods, TTDMS can be described much clearer by using formal methods instead of executable codes.Basierend auf technologischen Trends sollte das Zugbeeinflussungssystem den Anteil der Bodenanlagen reduzieren und den Zügen mehr Eigeninitiative geben als in der Vergangenheit, da so die funktionale Sicherheit und die Flexibilität des Zugbeeinflussungssystems erhöht werden können. In dieser Arbeit wird ein verbessertes System vorgeschlagen, das die Vorteile der zugbezogenen Kommunikation mit den aktuellen Fahrbefehlsmechanismen kombiniert. Um die notwendigen Daten des Zugabstandsintervalls zu erhalten, werden die Bordausrüstung und ein neues Zug-zu-Zug-Entfernungsmesssystem (TTDMS) als normale bzw. Backup-Strategien angewendet. Während verschiedene Ortungstechnolgien zur Zugdatenerfassung genutzt wurden, bleibt die Entwicklung und Validierung neuer Systeme eine Herausforderung. In dieser Arbeit werden formale Ansätze zur Entwicklung und Verifikation von TTDMS vorgestellt. Zur Unterstützung der Systementwicklung werden CPNs zur Formalisierung und Bewertung der Systemstruktur und ihres Verhaltens eingesetzt. Basierend auf dem CPN-Modell wird die Systemstruktur validiert. Zusätzlich wird eine Methode vorgeschlagen, mit der eine Code-Architektur aus dem formalen Modell generiert werden kann. Die Systemleistung wird im Erfassungsbereich und in der Genauigkeit beurteilt. Daher werden sowohl eine mathematische Simulation als auch eine praktische Validierung der Messungen implementiert. Die Ergebnisse zeigen, dass das System in der Lage ist, Entfernungsmessungen in Metro- und Eisenbahnlinien durchzuführen. Zudem sind die formalen Ansätze bei der Entwicklung und Verifikation anderer Systeme wiederverwendbar. Die Abstandsmessung mit TTDMS basiert auf einem Frequenzspreizungsverfahren. Die Messung wird durchgeführt, indem die Ankunftszeit angewendet wird, um den Abstand zwischen zwei Zügen zu berechnen. Dieses Verfahren erfordert keine Synchronisierung der Zeitquellen der Übertragung. Der Zeitunterschied kann damit berechnet werden, indem die Autokorrelation des Pseudo-Random-Noise-Codes verwendet wird. Im Unterschied zu Systemen im Luft- und Seeverkehr benötigt dieses System keine andere Lokalisierungseinheit als die Kommunikationsarchitektur. Um zu gewährleisten, dass ein System wie vorgesehen funktioniert, muss es validiert werden. Nur wenn das Systemverhalten validiert wurde, sind Bewertungen anderer relativer Leistungen sinnvoll. Aufgrund ihrer eindeutigen Definition kann das TTDMS mit formalen Methoden klarer beschrieben werden als mit ausführbaren Codes

BASYSNET - An integrated approach for automated control system development

BASYSNET is a development framework for automation systems. It is described in this chapter

Verifizierbare Entwicklung eines satellitenbasierten Zugsicherungssystems mit Petrinetzen

Nowadays model-based techniques are widely used in system design and development, especially for safety-critical systems such as train control systems. Given a design model, executable codes could be generated automatically from the model following certain transformation rules. A high-quality model of a system provides a good understanding, a favourable structure, a reasonable scale and abstraction level as well as realistic behaviours with respect to the concurrent operation of independent subsystems. Motivated by this principle, a first Coloured Petri Net (CPN) model of a satellite-based train control system (SatZB) with the capability of continuous simulation is developed employing the BASYSNET method which adopts Petri nets as the means of description during the whole development process. After establishing the system model, the verification tasks are identified based on the hazard analysis of the train control system. To verify the identified tasks for quality assurance, verification by means of simulation, formal analysis and testing is carried out considering the four representing system properties: function, state, structure and behaviour. For structural analysis, the concept of open nets is proposed to check the reproducibility of empty markings of scenario nets, the existence of dead transitions in the scenario nets, and the terminating states of the scenario nets. The system behaviour, in which states are involved, is investigated by reachability analysis. Unlike the conventional method of reachability analysis by calculating the state space of the Petri net, techniques based on Petri net unfoldings are introduced in this thesis. As to the functional verification, two model-based test generation techniques, i.e., CPN-based and SPENAT (Safe Place Transition Nets with Attributes)-based techniques, are presented. In this thesis, the proposed methods are exemplified by the application to the on-board module of SatZB model. According to the verification results, no errors were found in the module. Therefore, the confidence in the quality of the on-board module has been significantly increased.Heutzutage werden in zahlreichen Anwendungen modellbasierte Techniken zur Systementwicklung, insbesondere für sicherheitskritische Systeme wie Eisenbahnleit- und -sicherungssysteme, verwendet. Aus einem Design Modell kann dabei ausführbarer Code automatisch nach bestimmten Transformationsregeln generiert werden. Ein hochwertiges Modell des Systems bietet für die Entwicklung ein gutes Verständnis, eine günstige Struktur, eine angemessene Größenordnung und Abstraktionsebene als auch realistische Verhaltensweisen in Bezug auf den gleichzeitigen Betrieb von unabhängigen Subsystemen. Motiviert von dieses Prinzip wird ein erstes Farbige Petri-Netz (CPN)-Modell eines satellitenbasierten Zugsicherungssystem (SatZB) unter Verwendung der BASYSNET Methode entwickelt, der Petri-Netze als Beschreibungsmittel während des gesamten Entwicklungsprozesses nutzt. Dieses Modell bietet die Möglichkeit zur kontinuierlichen Simulation des Systemverhaltens. Nach der Erstellung des Systemmodells werden die Verifikationsaufgaben auf der Grundlage der Gefährdungsanalyse des Zugsicherungssystems identifiziert. Die abgeleiteten Bedingungen werden zur Qualitätssicherung durch Simulation, formale Analysen und Tests unter Berücksichtigung der vier Systemeigenschaften (Funktion, Zustand, Struktur und Verhalten) verifiziert. Für die Strukturanalyse wird das Konzept der offenen Netzen vorgeschlagen, um die Reproduzierbarkeit der leeren Markierungen der Szenario-Netze, die Existenz der Toten Transitionen in den Szenario-Netze, und die Abschluss Zustände der Szenario-Netze zu prüfen. Das Systemverhalten wird dabei durch Zustände beschrieben und durch eine Erreichbarkeitsanalyse untersucht. Im Gegensatz zu der konventionellen Methode, welche die Erreichbarkeit durch die Berechnung des Zustandsraums des Petri-Netzes analysiert, werden in dieser Arbeit Techniken auf Basis von Petri-Netz-Entfaltung eingeführt. Für die funktionale Verifikation werden zwei modellbasierte Testgenerierungstechniken, eine CPN-basierte und eine SPENAT (Sicheres Petrinetz mit Attributen)-basierte, vorgestellt. In dieser Arbeit werden die vorgeschlagenen Methoden durch die Anwendung auf das On-Board-Modul des SatZB-Modells veranschaulicht. Dabei wurden nach dem Abschluss der Prüfungen keine Fehler im Modul gefunden, wodurch das Vertrauen in die Qualität des On-Board-Moduls deutlich erhöht wurde