Rudolf M. Konakovsky’s research while affiliated with Lofarma Germany and other places

Mit dem Ziel, dem Leser ein ausgeprägtes Sicherheitsbewusstsein, die spezielle Denkweise der Sicherheitstechnik und das besondere Gefahrenpotential programmgesteuerter Systeme zu vermitteln sowie bei ihm eine ganzheitliche Sicht zur Strukturierung sicherheitsgerichteter Systeme zu entwickeln, die deren letztendliche sicherheitstechnische Abnahme nie aus den Augen verliert, werden die Begriffe Sicherheit, Zuverlässigkeit, unstetiges Systemverhalten und Echtzeitbetrieb eingeführt, Einfachheit als beim Entwurf sicherheitsgerichteter technischer Systeme grundsätzlich immer zu befolgende Leitlinie betont und abschließend Prinzipien und Methoden der Fehlererkennung sowie Diversitätskonzepte vorgestellt.

Zur Bewertung der Leistung und Dienstequalität von Echtzeitsystemen werden geeignete qualitativ-exklusive, qualitativ-graduelle sowie quantitative Kriterien und Verfahren eingeführt. Eine Diskussion der weitverbreiteten Leistungskriterien Geschwindigkeit und Kosten von Rechnern vor dem Hintergrund von Sicherheit, Echtzeitfähigkeit, Wartbarkeit oder System- und Folgekosten zeigt, dass die qualitative Kriterien viel wichtiger als die quantitativen sind. Es wird dargelegt, wie anwendungsspezifisch priorisierte Listen von Leistungs- und Dienstgütekriterien aufgestellt und wie für Anwendungen die einzelnen Entwurfsalternativen ganz spezifisch nach dem jeweiligen Anforderungsprofil bewertet werden. Sichere Prozessdatenverarbeitung mit zweikanaligen Systemen wird analytisch modelliert und anhand der Kenngrößen mittlere Zeiten bis zu einer sicherheitsbezogenen Ausfallart bzw. bis zur Ausgabe eines sicherheitsbezogenen Wertes sowie Wahrscheinlichkeit der Ausgabe eines sicherheitsbezogenen Wertes quantitativ bewertet. Dabei werden sowohl identische als auch hinsichtlich Hard- und Software diversitär ausgelegte Kanäle betrachtet.

Drei speziell für sicherheitsgerichtete Anwendungen konzipierte programmierbare elektronische Systeme werden vorgestellt. Das erste wird höchsten Sicherheitsansprüchen gerecht, indem seine Software die Form leicht verifizierbarer Ursache-/Wir- kungstabellen hat, die unmittelbar von der Hardware ausgeführt werden. Das zweite ist auf inhärente Unterstützung der Verifikation von Funktionsplänen mittels diversitärer Rückwärtsanalyse hin ausgelegt. Eine asymmetrische Mehrprozessorarchitektur vermeidet durch Betriebssysteme erzeugte Nichtdeterminismen mittels Migration der Funktionen des Betriebssystemkerns auf einen Koprozessor und fördert die Vorhersehbarkeit des Ausführungsverhaltens. Weiterhin wird Prozeßperipherie für zeitgenau bestimmbaren Datenaustausch beschrieben.

Die Qualitätssicherung von Software wird noch einmal aufgegriffen. Dazu werden durch Verschärfung und Vereinfachung aus einer internationalen Norm abgeleitete Richtlinien zur Konstruktion sicherheitsgerichteter Software angegeben. Es werden Verfahren zur Prüfung von Dokumentationen und Methoden zur effektiven und effizienten sowohl manuellen als auch automatisierten Prüfung eigentlicher Programme betrachtet. Analytische Qualitätssicherung wird anhand der industriellen Prüfung prozeßleittechnischer Software im Detail beschrieben.

Der Prozeß der Entwicklung sicherheitsgerichteter Software wird aus der Perspektive permanenter Qualitätssicherung und dazu geeigneter Maßnahmen behandelt. Die Begriffe Perfektion und Fehlertoleranz werden im Hinblick auf Software eingeführt und Methoden zu ihrer Erzielung genannt. Ein zum Entwurf von Echtzeitsystemen entwickeltes Werkzeug für Anforderungsspezifikation, Systementwurf und Projektverfolgung wird ebenso vorgestellt wie eine Vielzahl von Methoden zur diversitären Entwicklung und Auslegung von Software.

Der gerätetechnische Aufbau von Systemen zur sicheren Prozeßdatenverarbeitung wird behandelt. Dazu werden zunächst Maßnahmen zur Ertüchtigung einkanaliger speicherprogrammierbarer Steuerungen für Sicherheitsaufgaben betrachtet. Dann wird auf für zweikanalige Systeme geeignete Signaldarstellungen, zweikanalige Verarbeitung solcher Signale und die damit erreichte Erkennbarkeit von Fehlern eingegangen. Schließlich wird das Konzept des gleichzeitigen Einsatzes von Original- und Komplementärlogik zur Ausfallerkennung vorgestellt.

Maßnahmen zur Erzielung sicherer elektronischer festverdrahteter und programmgesteuerter Prozeßautomatisierung werden vorgestellt. Zu ersteren gehören die Prinzipien des Fehlerausschlusses und der Ausfallsicherheitsgerichtetheit, Sicherheitskonzepte der Schaltungstechnik und ausfallsicherheitsgerichtete Vergleicher. Bei letzteren handelt es sich um zwei- und mehrkanalige sowie verteilte Strukturierung und Einsatz von Diversität in Hard- und Software zur Erkennung von Fehlern und Ausfällen.

Nach Betrachtung eines graphischen Verfahrens zur zeitlichen Ablaufplanung und Synchronisation von Rechenprozessen werden zwei Verfahren sicherer Prozessorzuteilung für leicht vorhersagbaren Mehrprozessbetrieb vorgestellt. Das statische Verfahren aktiviert Rechenprozesse periodisch synchron zu einem Zeittakt. Synchronisierungs- und Verklemmungsprobleme lassen sich verhindern, zeitliches Ablaufverhalten vorhersagen und lastadaptiv steuern sowie Zuteilbarkeit zu jeder Zeit anhand eines einfachen Kriteriums überprüfen, indem bei der optimalen Strategie dynamischer Rechenprozesszuteilung nach Fertigstellungsfristen auf Verdrängbarkeit verzichtet wird.

Ein außergewöhnliches und durch Übersichtlichkeit sicherheitsförderndes Architekturkonzept wird vorgestellt, das im mechanischen Aufbau eines Prozeßrechners die dem Anwendungsprogramm innewohnende Struktur in natürlicher Weise abbildet und so die semantische Lücke zwischen hochsprachlicher Problemlösung und Implementierung schließt. Durch Zuordnung eines eigenen Prozessors zu jedem Funktionsblock ergibt sich eine dem Anwendungsfall betriebsmitteladäquate dedizierte und parallel arbeitende Rechenanlage ohne interne Konflikte und mit a priori automatisch bestimmbarem Zeitverhalten. Die Isomorphie von Funktionsplänen und Hardware-Aufbau überträgt die Verifikation eines Anwendungsprogramms unmittelbar auf den Entwurf der Ausführungsplattform.

Die Bedeutung der gesetzlichen Zeit Universal Time Co-ordinated (UTC) und der weltweiten Verfgbarkeit hochgenauer Zeitinformationen wird dargelegt. Funktionsweisen terrestrischer und satellitengesttzter Rundfunkbertragung offizieller Zeitsignale, die Genauigkeit dieser Signale und Mglichkeiten zur Genauigkeitsverbesserung werden beschrieben und auf beim Einsatz funkbertragener Zeitsignale zu bercksichtigende Faktoren und Fehlerquellen wird hingewiesen. Aufbauend auf einer funkuhrgesttzten und stndig mit UTC synchronisierten hochgenauen Zeitsteuer- und -stempeleinheit wird ein hochgenaues Verfahren zur simultanen Ereignisverarbeitung vorgestellt und gezeigt, wie sich die Antwortzeiten von Echtzeitsystemen durch strukturelle Maßnahmen minimieren und dass sich die Uhren der Knotenrechner in verteilten Systemen als Nebenprodukt der Zeitverwaltung synchronisieren lassen.