Open Access

Philipp Lohmüller

• Today, safety-critical systems can be found in various domains, including the automotive industry, avionics and the medical environment. The individual systems are cross-linked via wired or wireless interfaces to provide certain (comfort) functionalities. However, these functionalities often have weak points and thus allow access for third parties. Non circumventing these vulnerabilities can have fatal consequences for human lives, i.e. safety properties are violated. Therefore, it should be regarded as highest priority to ensure maximum safety. To achieve this, other concerns have to be considered, such as security (crime prevention) or timing (real-time requirements). In this context, we speak about Multi-Concerns (MC). However, the consideration of MC often leads to conflicts, as the following example shows: In the event of an accident, an airbag has to be able to be triggered immediately to protect the occupants from internal and external injuries (safety). In order to notToday, safety-critical systems can be found in various domains, including the automotive industry, avionics and the medical environment. The individual systems are cross-linked via wired or wireless interfaces to provide certain (comfort) functionalities. However, these functionalities often have weak points and thus allow access for third parties. Non circumventing these vulnerabilities can have fatal consequences for human lives, i.e. safety properties are violated. Therefore, it should be regarded as highest priority to ensure maximum safety. To achieve this, other concerns have to be considered, such as security (crime prevention) or timing (real-time requirements). In this context, we speak about Multi-Concerns (MC). However, the consideration of MC often leads to conflicts, as the following example shows: In the event of an accident, an airbag has to be able to be triggered immediately to protect the occupants from internal and external injuries (safety). In order to not manipulate the functionality of the airbag by third parties, a secure encryption of the data is necessary (security). In the event of a collision, however, it can result in the airbag not being triggered in time (timing), as decrypting the corresponding commands take too long due to a chosen encryption algorithm which has a security level too high. Thus, in this case the safety, the primary goal, would be in danger. To solve such conflicts, appropriate trade-offs have to be calculated which is the first objective of this thesis. Therefore, in this thesis an approach is presented to model MC and to calculate trade-offs. In this context, a risk assessment and mitigation technique are considered. A methodology is presented to determine from a set of possible alternative solutions the one that best meets the safety-critical requirements. (Software) products change constantly over time and the development progresses steadily. In this context, the requirements of safety-critical components often change as well. This usually means that existing components of a system have to be replaced or added to meet the requirements. The calculation of optimal trade-offs of the system under investigation is impaired due to changed security requirements. It is therefore another objective of this thesis to identify the components affected by a change. It is important to ensure traceability throughout the entire process chain and to define well-defined impact rules. To minimise the analysis of the overall system (software) products can be configured individually according to the needs of the customer to guarantee variability. In this context we often speak about Software Product Lines (SPLs) or variability. For instance, it is possible to customise a mid-range car from several million configuration options. Not only components such as paintwork, seats, etc. play a role, but also safety-critical components such as Advanced Driver Assistance Systems (ADASs) are taken into account. Each combination consisting of safetycritical components has different safety requirements which have to be taken into account. Due to the large number of possible combinations of safety-critical software product lines it is not possible to check each variation individually. Therefore, it is a further goal of this thesis to model software product lines in a standardised way taking safety-critical requirements into account. The focus is on clustering software product line variations with identical safety and security requirements to efficiently calculate trade-offs and the impact of changes.…
• Sicherheitskritische Systeme kommen heutzutage in unterschiedlichen Domänen vor, darunter in der Automobilbranche, Avionik-Bereich oder auch im medizinischen Umfeld. Dabei sind die einzelnen Systeme über kabelgebundene oder kabellose Schnittstellen vernetzt, um gewisse (Komfort-)Funktionalitäten zur Verfügung zu stellen. Jedoch weisen diese Funktionalitäten oft Schwachstellen auf und ermöglichen somit den Zugriff für Dritte. Das Vernachlässigen dieser Schwachstellen kann fatale Konsequenzen für Menschenleben haben, d.h. die Safety-Eigenschaften werden verletzt. Daher hat es höchste Priorität, maximale Safety zu gewährleisten. Um dies zu erreichen, müssen auch andere Concerns betrachtet werden, wie z.B. Security (Betriebssicherheit) oder Timing (z.B. Echtzeitanforderungen). Daher sprechen wir in diesem Zusammenhang auch von Multi-Concerns (MC) Die Betrachtung von MC führt jedoch oft zu Konflikten, die durch folgendes Beispiel verdeutlicht werden: Ein Airbag muss im Fall eines UnfallsSicherheitskritische Systeme kommen heutzutage in unterschiedlichen Domänen vor, darunter in der Automobilbranche, Avionik-Bereich oder auch im medizinischen Umfeld. Dabei sind die einzelnen Systeme über kabelgebundene oder kabellose Schnittstellen vernetzt, um gewisse (Komfort-)Funktionalitäten zur Verfügung zu stellen. Jedoch weisen diese Funktionalitäten oft Schwachstellen auf und ermöglichen somit den Zugriff für Dritte. Das Vernachlässigen dieser Schwachstellen kann fatale Konsequenzen für Menschenleben haben, d.h. die Safety-Eigenschaften werden verletzt. Daher hat es höchste Priorität, maximale Safety zu gewährleisten. Um dies zu erreichen, müssen auch andere Concerns betrachtet werden, wie z.B. Security (Betriebssicherheit) oder Timing (z.B. Echtzeitanforderungen). Daher sprechen wir in diesem Zusammenhang auch von Multi-Concerns (MC) Die Betrachtung von MC führt jedoch oft zu Konflikten, die durch folgendes Beispiel verdeutlicht werden: Ein Airbag muss im Fall eines Unfalls sofort auslösen können, um die Insassen vor Verletzungen zu schützen (Safety). Um die Funktionalität des Airbags vor äußeren Angriffen zu schützen ist eine sichere Verschlüsselung der Daten vonnöten (Security). Dies kann jedoch im Falle eines Aufpralls dazu führen, dass der Airbag nicht rechtzeitig auslöst (Timing), da das Entschlüsseln der entsprechenden Befehle aufgrund eines zu sicher gewählten Verschlüsselungsalgorithmus zu lange dauert . Somit wäre in diesem Fall die Safety, das primäre Ziel, in Gefahr. Ziel dieser Arbeit ist es daher, entsprechende Trade-Offs zu berechnen, um solche Konflikte zu lösen. In dieser Dissertation wird ein Ansatz vorgestellt, um MC zu modellieren und Trade-Offs zu berechnen. In diesem Zusammenhang wird ein Verfahren zur Risikobewertung und Risikominimierung vorgestellt. Ebenso wird eine Methodik präsentiert, um aus einer Menge möglicher Alternativen diejenige zu bestimmen, welche den sicherheitskritischen Anforderungen am meisten gerecht wird. (Software-)Produkte entwickeln sich stetig weiter und neue Features werden realisiert. In diesem Zusammenhang ändern sich auch oft die Anforderungen sicherheitskritischer Komponenten. Dies hat meist zur Folge, dass bestehende Komponenten eines Systems ausgetauscht oder ergänzt werden müssen, um den gestellten Anforderungen gerecht zu werden. Die Berechnung von optimalen Trade-Offs des zu untersuchenden Systems wird aufgrund von geänderten Sicherheitsanforderungen beeinträchtigt. Es ist daher ein weiterer Fokus dieser Arbeit, die Komponenten zu identifizieren, die von einer Änderung betroffen sind. Dabei ist es wichtig, Traceability über den kompletten Verlauf der Prozesskette zu gewährleisten und wohl definierte Auswirkungsregeln zu definieren. Heutzutage können (Software-)Produkte individuell nach den Bedürfnissen des Kunden konfiguriert werden, um Variabilität zu gewährleisten. In diesem Zusammenhang sprechen wir von (Software-)Produktlininen. Es ist z.B. möglich, sich einen Mittelklassewagen aus mehreren Millionen Konfigurationsmöglichkeiten zu individualisieren. Dabei spielen nicht nur Komponenten wie Lackierung, Sitze, etc. eine Rolle, sondern es werden auch sicherheitskritische Komponenten wie Fahrerassistenzsysteme berücksichtigt. Jede Kombination mit sicherheitskritischen Komponenten hat dabei unterschiedliche Sicherheitsanforderungen, die berücksichtigt werden müssen. Aufgrund der Vielzahl an Kombinationsmöglichkeiten von sicherheitskritischen Software-Produktlinien ist es nicht möglich jede Variation einzeln zu überprüfen. Ziel dieser Arbeit ist daher auch Software-Produktlinien unter Berücksichtigung sicherheitskritischer Anforderungen standardisiert zu modellieren. Der Fokus liegt darin, Variationen von Software- Produktlinien mit identischen Sicherheitsanforderungen zu gruppieren, um anschließend effizient Trade-Offs und die Auswirkungen von Änderungen berechnen zu können.…