Entwicklungsprozess für qualifizierbare Softwarewerkzeuge nach ISO 26262

Um die hohen Qualitätsanforderungen an Softwarewerkzeuge für die Entwicklung eingebetteter Systeme im Automobilumfeld zu gewährleisten, wurde in dieser Arbeit in Zusammenarbeit mit dem Unternehmen TWT ein Qualitätsprozess definiert, der die Nachweisbarkeit von Anforderungen sowie eine Qualifizierung nach dem Sicherheitsstandard ISO 26262 ermöglicht. Hierfür wurden zunächst die Vorgaben des Sicherheitsstandards zur Softwareentwicklung und zur Qualifizierung von Softwarewerkzeugen analysiert. Danach wurden die bestehenden Softwareentwicklungsprozesse bei der TWT untersucht. Aus beidem wurden anschließend Anforderungen an den Qualitätsprozess abgeleitet, so dass dieser sowohl die Anforderungen des Sicherheitsstandards erfüllt als auch sich in die bestehenden Entwicklungsprozesse bei TWT einfügt. Das Konzept des Qualitätsprozesses basiert auf dem im Sicherheitsstandard verwendeten V-Modell, erweitert dieses jedoch um den Einsatz eines kontinuierlichen, testorientierten Requirements Engineerings, einer kontinuierlichen Integration und um Quality Gates, die die Phasen des V-Modells voneinander trennen. Durch das Requirements Engineering und die Quality Gates werden sowohl die Softwareanforderungen validiert als auch die Anforderungen und Vorgaben des Sicherheitsstandards auf ihre Einhaltung überprüft. Durch den Einsatz einer kontinuierlichen Integration, fügt sich der Qualitätsprozess in die bestehenden Entwicklungsprozesse bei TWT ein. Abschließend wurde der ausgearbeitete Qualitätsprozess in einem Expertenreview evaluiert. Die Evaluation ergab, dass der Qualitätsprozess die Anforderungen erfüllt. Des Weiteren gab es Anregungen für eine Erweiterung des Qualitätsprozesses.In this work, a quality process was defined in close cooperation with the company TWT to ensure the high quality requirements of software tools used for developing embedded systems in the automobile environment. This process allows verifying these requirements as well as qualifying software tools based on the safety standard ISO 26262. For this purpose, the requirements of the safety standard for developing software and qualifying software tools were analyzed. Afterwards, the existing software development processes at TWT were examined. Based on both, requirements for the quality process were derived in order to comply with the requirements of the safety standard as well as to embed the process into the existing development processes at TWT. The concept of the quality process is based on the V-Model used in the safety standard. Additionally, the V-Model is extended with a continuous and test oriented requirements engineering, a continuous integration, and quality gates, which separate the phases of the V-Model. Requirements engineering and quality gates are used to validate software requirements as well as to ensure compliance with requirements of the safety standard. By using continuous integration, the quality process is embedded into the current development processes at TWT. Last, the quality process was evaluated in an expert review. The evaluation showed that the quality process meets all requirements. Furthermore, suggestions for extensions of the quality process were given

ApplikaS : Applikationenkatalog für nicht-medizinische Supportleistungen in Spitälern

Um die Komplexität der vielseitigen Daten - auch in den nicht-medizinischen Supportleistungen in Spitälern [FM in HC] - im Hinblick auf mehr Transparenz handhaben zu können, sind Spitäler auf den Einsatz von geeigneten und sinnvoll abgestimmten Softwareapplikationen angewiesen. Bisher wurde der Integration und Abstimmung der nicht-medizinischen Applikationen sowohl in der Theorie, als auch in der Praxis wenig Beachtung geschenkt. Ziel war es daher, durch Befragungen eine Übersicht über die Situation der eingesetzten Applikationen im Bereich der nicht-medizinischen Supportleistungen zu erhalten und aufgrund von Recherchen zu eruieren, welche Applikationen auf dem Markt in Bezug auf eine möglichst umfangreiche Funktionalitäten-Abdeckung für den Spitalbetrieb vorhanden und geeignet sind. Diese Grundlagen sollen einerseits die Ausgangslage beleuchten und somit FM in HC- und auch IT-Verantwortliche in der Thematik sensibilisieren und andererseits auch Anbietern den Bedarf an Abstimmung innerhalb des FM-Bereichs aufzeigen. Der Applikationenkatalog ApplikaS ist, zusammen mit dem Kennzahlenmodell KenmoS und dem Prozessmodell PromoS, Teil des Referenzmodells für nicht-medizinische Supportleistungen in Spitälern RemoS und Basis für den Leitfaden zum Einsatz von SAP für das Facility Management im Gesundheitswesen LesapS und das Assessment-, Simulations- und Benchmarking-Tool für das Facility Management im Gesundheitswesen

Eine Entwicklungsmethodik für sicherheitsrelevante Elektroniksysteme im Automobil

Es wird eine neue Entwicklungsmethodik für sicherheitsrelevante Elektroniksysteme im Automobil vorgestellt. Die im Automobilbereich gängige Methodik wird um Inhalte bzgl. Sicherheit und Zuverlässigkeit erweitert, die an den Luftfahrt-Standard SAE ARP 4761 angelehnt an die Anforderungen im Automobilbereich angepasst wurden. Wesentliche Erweiterungen sind neben dem Einsatz einer Gefährdungsanalyse der intensive Einsatz von FTA und FMEA zum Nachweis der Sicherheitseigenschaften des Systems

Integration von bestehendem Sicherheitswissen in einen Software-Entwicklungsprozess

Die Komplexität der Sicherheitsdomäne schränkt die Wiederverwendung von existierenden Sicherheitswissen bei der Entwicklung von Software ein. In dieser Arbeit wird ein Modell für Sicherheitswissen und ein Prozess aufgezeigt, um das bereits vorhandene Sicherheitswissen effektiv in einen Software-Entwicklungsprozess einzubetten, um zielgerichtet Sicherheitsmaßnahmen für ein Software-System zu implementieren

Untersuchung von MAC-Implementationen

Benutzerbestimmte Zugriffskontrolle ist an vielen Stellen schwer zu beschränken und zu administrieren. Der Ansatz der systembestimmten Zugriffskontrolle - Mandatory Access Control - gibt die Verantwortung an das System ab und gibt Benutzern deutlich weniger Rechte. Diese Arbeit vergleicht zwei Vertreter, welche Mandatory Access Control umsetzen, einerseits das Linux Security Module Framework und andererseits das FreeBSD MAC Framework, zudem werden die wichtigsten Policy Vertreter angegeben. Auf beiden Seiten finden sich ähnliche Ansätze wie die Umsetzung als Kernelmodul und vor allem generische Fähigkeiten, allerdings sind die implementierten Funktionalitäten unter FreeBSD im Detail oft besser durchdacht oder auch ausgereifter

Security and Privacy in the Smart Grid

Der vermehrte Einsatz von erneuerbaren Energien, welche nicht ständig verfügbar und nur begrenzt speicherbar sind, erschweren die Steuerung der Stromnetze. Zur Anpassung der Energieerzeugung an den tatsächlichen Bedarf werden Smart Grids („intelligente Stromnetze“) aufgebaut, die eine Steuerung des Energieverbrauchs in Abhängigkeit von der Verfügbarkeit ermöglichen. Die bereits vorhandenen Stromnetze werden hierzu um Kommunikationsnetze erweitert. Smart Meter („intelligente Stromzähler“) die beim Verbraucher eingesetzt werden, senden über die Kommunikationsnetze Messdaten zyklisch an die jeweiligen Stromnetzbetreiber. In Zukunft soll auch eine Steuerung von Haushaltsgeräten möglich werden. Daraus ergeben sich neue Herausforderungen in Bezug auf Sicherheit und Datenschutz. Die hier vorliegende Arbeit bietet eine kurze Einführung in die Grundlagen zum Thema Smart Grid. Es wird eine Referenzarchitektur definiert und die einzelnen Bestandteile des Smart Grids werden vorgestellt. Eine Auseinandersetzung mit den rechtlichen und regulatorischen Rahmenbedingungen sowie ein Überblick über den Stand der Entwicklungen intelligenter Stromnetze, insbesondere der Verbreitung von Smart Metern, vervollständigt die Grundlagen. Zusätzlich werden wesentliche Aspekte von Sicherheit und Datenschutz angesprochen. Darauf aufbauend wird die Sicherheit in Smart Grids untersucht. Hierzu werden die Ursachen für Bedrohungen im Rahmen einer Bedrohungsanalyse anhand eines Szenarios analysiert. Abgeleitet von den Ergebnissen der Bedrohungsanalyse werden Risiken innerhalb einer Risikoanalyse evaluiert und Maßnahmen empfohlen, um die festgestellten Risiken zu bewältigenThe increased use of renewable energy sources, which are not constantly available and only limited storable complicate the management of power grids. Smart Grids allowing control of energy consumption depending on availability will be built up in order to adapt energy generation on the actual demand of energy. For this purpose existing power grids are extended by communications networks. Smart meters located at the customer are used to send data periodically to the respective power company via communication networks. For the future there are also plans to control household appliances. This results in new challenges in terms of security and privacy. The following thesis provides a brief introduction to the basics of smart grids. A reference architecture will be defined and individual components of the Smart Grid are presented. A discussion of the legal and regulatory framework as well as an overview about the the current state of development with already installed smart meters completes the Smart Grid basics. In addition, key aspects of security and privacy are addressed. On this basis the security of smart grids is investigated. For this purpose the causes of threats will be analyzed in a threat analysis based on a scenario. Derived from the findings of the threat analysis, risks are evaluated within a risk analysis. Finally measures are recommended to address the identified risks

Virtualisierung eingebetteter Echtzeitsysteme im Mehrkernbetrieb zur Partitionierung sicherheitsrelevanter Fahrzeugsoftware

Die Automobilindustrie verzeichnete innerhalb der letzten Jahre einen enormen Zuwachs an neuen elektrischen und elektronischen Fahrzeugfunktionen. Dies führt gleichzeitig zu einer Mehrung der Softwareumfänge in eingebetteten Systemen. Nicht-funktionale Anforderungen wie Sicherheit, Performanz, Verlässlichkeit und Wartbarkeit stellen zusätzliche Herausforderungen an die Entwicklung zukünftiger Fahrzeugsysteme dar. Um die Anzahl der Steuergeräte zu reduzieren, sollen Fahrzeugfunktionen auf gemeinsamen Integrationssteuergeräten konsolidiert werden. Systemvirtualisierung kann hierfür eine zielführende Herangehensweise darstellen, um die Softwaremigration auf Integrationssteuergeräte zu erleichtern und gleichzeitig den geforderten Isolationsansprüchen neuer Sicherheitsstandards gerecht zu werden. In dieser Arbeit wird die Partitionierung sicherheitsrelevanter Fahrzeugfunktionen auf einer gemeinsamen Hardwareplattform fokussiert. Unter Verwendung von Methoden zur Bewertung sozialer Netzwerke wird eine graphenbasierte Herangehensweise vorgestellt, um die Partitionierbarkeit von Softwarenetzen mit sicherheitsrelevanten Anteilen abschätzen zu können. Zur Realisierung der Systempartitionierung wird eine Methodik zur Auswahl der geeignetsten Kernelarchitektur eingeführt. Dabei werden aus gewählten nicht-funktionalen Eigenschaften potentielle technische Lösungskonzepte innerhalb einer Baumstruktur abgeleitet und ingenieurmäßig bewertet. Darauf aufbauend wird ein Hypervisor für eingebettete Echtzeitsysteme der Firma ETAS Ltd. evaluiert. Um die Kosten einer zusätzlichen Hypervisorschicht beurteilen zu können, werden in diesem Rahmen Laufzeitmessungen durchgeführt. Somit werden die Auswirkungen einer zusätzlichen Virtualisierungsschicht auf Fahrzeugsoftwaresysteme zur Erfüllung ausgewählter nicht-funktionaler Eigenschaften aufgezeigt. Die Anbindung virtualisierter Systeme an die Kommunikationsschnittstellen des Hypervisors stellt einen weiteren Schwerpunkt dar. Virtuelle Steuergeräte tauschen sich weiterhin über bereits implementierte Kommunikationskanäle aus und greifen auf gemeinsame Hardwareressourcen zu. Es wird somit ein Konzept eingeführt, um sicherheitsrelevante Anteile des AUTOSAR Microcontroller Abstraction Layers zu entkoppeln. Der Hypervisor selbst wird hierzu an relevanten Stellen erweitert und ein verlässliches Kommunikationskonzept implementiert. Ein Demonstratoraufbau, zur Konsolidierung von produktiver Fahrzeugsoftware auf einer gemeinsamen Hardwareplattform, finalisiert die Arbeit. Hierfür werden unabhängige Softwarestände paravirtualisiert. Als Resümee der Arbeit erhält der Leser sowohl einen technischen Überblick über den Mehrwert als auch der Kosten paravirtualisierter Fahrzeugplattformen, welche auf Kleinststeuergeräten integriert sind.Within the automotive industry, electric and electronic functionality is rapidly rising within the last few years. This fact yields an increase of software functionality of embedded systems within the car. Non-functional requirements like safety, performance, reliability or maintainability represent additional challenges for future vehicle system development. Vehicle functionality is consolidated on common hardware platforms, to reduce the amount of electronic control units. System virtualization can act as a proper approach, to ease the migration of different vehicle applications to a consolidated system and achieve additional demands for functional isolation. Within this thesis, the partitioning of safety-related automotive applications on a common hardware platform is focused. To assess the partitioning of safety-related automotive systems, methods for social network evaluation with a graph-oriented approach are proposed. For realizing the system partitioning, a decision-making model is introduced, which results in the most appropriate kernel architecture. From a chosen set of non-functional requirements, technical solutions are derived and rated from a tree structure. As a result, a hypervisor for embedded real-time systems, supplied by ETAS Ltd., is evaluated. For that purpose, timing measurements are performed to estimate the costs of virtual electronic control units. The impact of an additional virtualization layer for automotive software systems to achieve non-functional requirements is analyzed. A further main focus is the integration of virtualized systems to the communication interfaces of the hypervisor. Virtual ECUs further exchange information over already implemented communication channels and use common hardware ressources. Thus, a concept to decouple the safety-related parts of the AUTOSAR Microcontroller Abstraction Layer is introduced. The hypervisor itself will be enhanced by a reliable communication concept. A demonstrator to consolidate already productive automotive applications on a common hardware platform finalizes the work. Here, independent software parts are paravirtualized. This thesis concludes with a technical overview of the benefits and costs for integrating paravirtualized electronic control units on less capable hardware platforms

Anwenderorientierte Betrachtungen der informationstechnologischen Ausgestaltung des medizinischen Forschungsnetzwerks Brain-Net

The Brain-Net has been funded by the German Federal Ministry of Education and Research since October 1999. Being a crossover-project within the German medical competence networks, the Brain-Net plays an important role for harmonisation of neuropathological diagosis of neurological diseases and is closely related to the German Brain-Bank, which has been established by the network. One of the superior objectives of the Brain-Net is to optimise communication between scientists, physicians, patients and the public. Suitable organisational structures, workflows and technologies have been established, which facilitate the immediate provision of specific information to the named groups. Part of this was realised by using information technology (IT). Basically two different IT-tools have been developed to optimise information flow between physicians and scientists on one hand and between the Brain-Net, patients and public on the other: a) An internet-based German Brain-Bank which is accessible via Remote-Data-Entry (RDE) by authorized users and which is protected an approved e-security system. b) An online-information system for presentation of Brain-Net activities to members and the public. The design of technical solutions minimizes the barriers typical to usage of IT, which results in a centralised system with “thin clients”, an intuitive graphical user interface and optimised maintenance services. This study describes the design of the Brain-Net in terms of information technology with a focus on the users' perspective.Das Brain-Net wird als Querschnittsprojekt in den Kompetenznetzen für die Medizin vom BMBF seit Oktober 1999 gefördert. Das Forschungsnetzwerk leistet einen wesentlichen Beitrag zur Standardisierung und Harmonisierung der neuropathologischen Diagnostik definierter neurologischer Krankheitsbilder und steht Synonym für den Aufbau einer bundesdeutschen Hirngewebebank. Eine übergeordnete Zielsetzung des Brain-Net ist dabei, die Kommunikation zwischen Wissenschaftlern, behandelnden Ärzten, Patienten und der Öffentlichkeit zu optimieren. Dazu wurden geeignete Organisationsstrukturen, Arbeitsabläufe und Technologien innerhalb des Brain-Net geschaffen, die dazu dienen, den oben genannten Gruppen benötigte Informationen spezifisch, orts-unabhängig und zeitnah zugänglich zu machen. Informationstechnologisch resultierten daraus für das Brain-Net zwei Werkzeuge, welche die Kommunikation zwischen Ärzten und Hirnforschern einerseits und den Patienten, die sich am Brain-Net durch Hirngewebespenden beteiligen andererseits, unterstützen: a) Eine gemeinsame internetbasierte deutsche Hirnbank (Brain-Bank), zur Dokumentation von verfügbarem Hirnspendergewebe für Forschungszwecke, welche geschützt von einem Sicherheitssystem, den Ärzten des Brain-Net via Remote-Data-Entry zugänglich ist. b) Ein Online-Informationssystem zur Darstellung der Brain-Net Aktivitäten nach Innen und Außen. Die technischen Lösungen wurden insgesamt so ausgelegt, dass typische Barrieren zur Nutzung des Systems, wie hohe und damit kostenintensive Strukturvorrausetzungen bei den Anwendern, Komplexität der Anwendungen, oder hoher Wartungsbedarf minimiert wurden. Die vorliegende Arbeit beschreibt diese informationstechnologische Ausgestaltung des Brain-Net aus Sicht der Anwender