[Zurück]


Dissertationen (eigene und begutachtete):

S. Resch:
"Composability for Fail-Safe Safety-Critical Systems";
Betreuer/in(nen), Begutachter/in(nen): A. Steininger, W. Elmenreich; Technische Informatik, 2014; Rigorosum: 26.01.2015.



Kurzfassung deutsch:
Sicherheitskritische Systeme müssen sorgfältig entworfen, entwickelt und gewartet werden, um
zu gewährleisten, dass von ihnen kein Risiko ausgeht. Die Zertifizierung eines Systems zeigt,
dass es geeignet für den Einsatz ist. Die Methoden der Zertifizierung werden für ganze Systeme
gemäß den relevanten Industriestandards angewendet. Sollte ein Teil eines solchen Systems
geändert werden, so ist erheblicher Aufwand für die Rezertifizierung nötig, da die Zertifizierungsprozesse
für das gesamte System wiederholt werden müssen.
Composability und Mixed-Criticality sind Strategien, welche die Integration und Zertifizierung
von sicherheitskritischen Systemen als Subsysteme auf einer gemeinsamen Plattform
unterstützen, ohne die Sicherheit oder Verfügbarkeit der einzelnen Subsysteme zu beeinträchtigen.
Die Einführung von Mechanismen um Composability und Mixed-Criticality zu erreichen,
erfordert einen zusätzlichen Layer in der Architektur, welcher die gemeinsamen Ressourcen
verwaltet. Ein solcher Layer wiederum beeinflusst Subsysteme, welche strikte zeitliche Kriterien
haben, wie beispielsweise dreifach redundante Applikationen. Dreifach Redundanz ist eine
weit verbreitete Technik für sicherheitskritische Anwendungen.
Diese Arbeit untersucht die Voraussetzungen um Composability und Mixed-Criticality zu
erreichen. Daraus folgend werden mögliche Lösungen erarbeitet, welche den Einfluss des neuen
Layers begrenzen. Ein dazugehöriges Systemmodell sowie Metriken zur Messung des Applikationsverhalten
werden definiert, um die Eigenschaften der vorgeschlagenen Lösungen zu
analysieren. Auf Basis des Systemmodells und der Ergebnisse der Analyse wird ein Vertragskonzept
vorgestellt, mit welchem Applikationen, Plattformen und integrierte Systeme anhand
von verfügbaren und erforderlichen Ressourcen spezifiziert werden können. Die Ergebnisse der
Analyse werden mit Hilfe eines Prototyps und Simulationen überprüft.
Die Ergebnisse zeigen, dass es eine direkte Lösung gibt, die die technische Separierung
zwischen Applikationen mit kurzen Antwortzeitanforderungen garantiert. Maximal eine sicherheitskritische
Applikation darf pro CPU-Core für Single- und Multicore CPUs integriert werden.
Nur wenn man Änderungen in der Architektur, den Applikationen oder dem Synchronisationsmechanismus
der redundanten Applikationen zulässt, kann man auch von anderen Lösungen
wählen.

Kurzfassung englisch:
Safety-critical systems must be carefully designed, developed and maintained in order to ensure
that the threats posed by such systems are acceptably low. Certification demonstrates that these
systems are fit for use. The methods of certification are applied to complete systems according
to the applicable industrial standards. If parts of such a system change, substantial effort is
necessary for re-certification, since the certification processes have to be repeated for the entire
system.
Composability and mixed-criticality are strategies meant to support the integration and ease
certification of safety-critical systems as sub-systems on one common platform, without affecting
the safety or availability of the individual sub-systems. The introduction of mechanisms in
order to achieve composability and mixed-criticality requires an additional layer in the architecture,
responsible for the sharing of resources. This strongly affects sub-systems with strict
timing requirements, such as triple-modular-redundant applications, which are widely used for
fault-tolerant safety-critical computation.
This thesis investigates the requirements for achieving composability and mixed-criticality.
It subsequently identifies solutions suitable for controlling the newly introduced effects. An
appropriate system model and the metrics for the applications´ performance are defined in order
to analyze the properties of the proposed solutions. Based on the system model and the analysis
results a contract concept is introduced, which allows the specification of applications, platforms
and integrated systems based on provided and required resources. The validity of the analysis is
evaluated with a prototype and simulation.
The results show that an out-of-the-box solution which guarantees the technical separation
between applications with fast reaction time requirements is only feasible when executing at
most one application per CPU-core for single and multi-core CPUs. Only when accepting
changes in the architecture, applications or the applications´ synchronization mechanisms, are
other solutions available.

Erstellt aus der Publikationsdatenbank der Technischen Universität Wien.