METODY ANALIZY BEZPIECZEŃSTWA SYSTEMÓW KOMPUTEROWYCH



Podobne dokumenty
Systemy zabezpieczeń

Instalacja procesowa W9-1

SPIS TREŚCI. Str. WSTĘP 9 CZĘŚĆ I 1. WPROWADZENIE 13

Spis treści do książki pt. Ocena ryzyka zawodowego Autorzy: Iwona Romanowska-Słomka Adam Słomka

Wykład 8. Testowanie w JEE 5.0 (1) Autor: Zofia Kruczkiewicz. Zofia Kruczkiewicz

Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Automatyki

Zasady organizacji projektów informatycznych

Ocena ilościowa ryzyka: analiza drzewa błędu (konsekwencji) Zajęcia 6. dr inż. Piotr T. Mitkowski.

Analiza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32

PROJEKTOWANIE. kodowanie implementacja. PROJEKT most pomiędzy specyfikowaniem a kodowaniem

Zagadnienia bezpieczeństwa funkcjonalnego w dyrektywach Nowego Podejścia

Spis treúci. 1. Wprowadzenie... 13

Urząd Dozoru Technicznego. RAMS Metoda wyboru najlepszej opcji projektowej. Ryszard Sauk. Departament Certyfikacji i Oceny Zgodności Wyrobów

Etapy życia oprogramowania

Zarządzanie jakością w logistyce ćw. Artur Olejniczak

(Tekst mający znaczenie dla EOG)

Projektowanie funkcji bezpieczeństwa. z wykorzystaniem podsystemu transmisji danych bezpieczeństwa

Etapy życia oprogramowania. Modele cyklu życia projektu. Etapy życia oprogramowania. Etapy życia oprogramowania

Politechnika Krakowska im. Tadeusza Kościuszki KARTA PRZEDMIOTU

Testowanie oprogramowania. Piotr Ciskowski

Projektowanie oprogramowania. Wykład Weryfikacja i Zatwierdzanie Inżynieria Oprogramowania Kazimierz Michalik

ANALIZA BEZPIECZEŃSTWA SIL I HAZOP W ENERGETYCE NA WYBRANYCH PRZYKŁADACH

POLITECHNIKA GDAŃSKA

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

WPROWADZENIE DO UML-a

Wykład 1 Inżynieria Oprogramowania

Co to jest jest oprogramowanie? 8. Co to jest inżynieria oprogramowania? 9. Jaka jest różnica pomiędzy inżynierią oprogramowania a informatyką?

Kod doskonały : jak tworzyć oprogramowanie pozbawione błędów / Steve McConnell. Gliwice, cop Spis treści. Wstęp 15.

Zarządzanie projektami. Zarządzanie ryzykiem projektu

Projekt: Współpraca i Rozwój wzrost potencjału firm klastra INTERIZON

METO T D O Y O C O ENY J A J KOŚ O CI

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Metodyka projektowania komputerowych systemów sterowania

Testowanie oprogramowania

Walidacja elementów systemów sterowania związanych z bezpieczeństwem jako krok do zapewnienia bezpieczeństwa użytkowania maszyn

Spis treści Przedmowa

Iteracyjno-rozwojowy proces tworzenia oprogramowania Wykład 3 część 1

KARTA PRZEDMIOTU. 1) Nazwa przedmiotu: INŻYNIERIA SYSTEMÓW I ANALIZA SYSTEMOWA. 2) Kod przedmiotu: ROZ-L3-20

Metoda inspekcji modeli obiektowych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

KOMPLEKSOWE ROZWIĄZANIA W OBSZARZE BEZPIECZEŃSTWA PROCESÓW PRZEMYSŁOWYCH

Szkoła programisty PLC : sterowniki przemysłowe / Gilewski Tomasz. Gliwice, cop Spis treści

Systemy eksplozymetryczne jako urządzenia zabezpieczające

Proces projektowania AKPiA i systemów sterowania. mgr inż. Ireneusz Filarowski

Testujemy dedykowanymi zasobami (ang. agile testers)

Błędy procesu tworzenia oprogramowania (Badania firmy Rational Software Corporation)

Spis treści. Przedmowa 11

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Artykuł został opublikowany w książce Wybrane aspekty zarządzania jakością II Pod redakcją Marka Salerno-Kochana Kraków 2010 ISBN:

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

3. Podaj elementy składowe jakie powinna uwzględniać definicja informatyki.

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Matryca efektów kształcenia dla programu studiów podyplomowych ZARZĄDZANIE I SYSTEMY ZARZĄDZANIA JAKOŚCIĄ

KIERUNKOWE EFEKTY KSZTAŁCENIA KIERUNEK STUDIÓW INFORMATYCZNE TECHNIKI ZARZĄDZANIA

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

Praktyczne aspekty stosowania metody punktów funkcyjnych COSMIC. Jarosław Świerczek

FMEA. Tomasz Greber Opracował: Tomasz Greber (

Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej

Grupy pytań na egzamin magisterski na kierunku Informatyka (dla studentów niestacjonarnych studiów II stopnia)

INŻYNIERIA OPROGRAMOWANIA TESTOWANIE SYSTEMOWE

Projektowanie oprogramowania cd. Projektowanie oprogramowania cd. 1/34

Analiza i ocena ryzyka procesowego. Ryszard Sauk UDT Oddział w Szczecinie

dr inż. Krzysztof J. Czarnocki

Oszacowanie niezawodności elektronicznych układów bezpieczeństwa funkcjonalnego

DiaSter - system zaawansowanej diagnostyki aparatury technologicznej, urządzeń pomiarowych i wykonawczych. Politechnika Warszawska

Głównym zadaniem tej fazy procesu zarządzania jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk.

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

Maciej Byczkowski ENSI 2017 ENSI 2017

Zintegrowany proces podejmowania decyzji w zakresie bezpieczeństwa instalacji procesowych

Praktyka testowania dla początkujących testerów

Komputerowe Systemy Przemysłowe: Modelowanie - UML. Arkadiusz Banasik arkadiusz.banasik@polsl.pl

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

Modelowanie niezawodności prostych struktur sprzętowych

1.4. Uwarunkowania komodalności transportu Bibliografia... 43

SCENARIUSZ LEKCJI. Streszczenie. Czas realizacji. Podstawa programowa

Projekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie

Dlaczego testowanie jest ważne?

Algorytmika i pseudoprogramowanie

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

Niezawodność elementów i systemów. Sem. 8 Komputerowe Systemy Elektroniczne, 2009/2010 1

Optymalizacja Automatycznych Testów Regresywnych

MODELE I MODELOWANIE

Sterowniki Programowalne (SP)

Modelowanie jako sposób opisu rzeczywistości. Katedra Mikroelektroniki i Technik Informatycznych Politechnika Łódzka

Faza Określania Wymagań

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Cykle życia systemu informatycznego

Zarządzanie procesami dr Mariusz Maciejczak. Ryzyko w procesie

Nazwa przedmiotu: MODELOWANIE I ANALIZA SYSTEMÓW INFORMATYCZNYCH. Modeling and analysis of computer systems Forma studiów: Stacjonarne

logistycznego Polski 3.5. Porty morskie ujścia Wisły i ich rola w systemie logistycznym Polski Porty ujścia Wisły w europejskich korytarzach tr

Usługa: Audyt kodu źródłowego

Spis treúci. Księgarnia PWN: Robert A. Maksimchuk, Eric J. Naiburg - UML dla zwykłych śmiertelników. Wstęp Podziękowania...

Tematy prac dyplomowych w Katedrze Awioniki i Sterowania Studia I stopnia (inżynierskie)

AL 1302 ZARZĄDZANIE PROJEKTAMI W OPARCIU O METODYKĘ PRINCE2

SCL TIA SIEMENS SIMATIC S7 1200/1500

Algorytm. Krótka historia algorytmów

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Tematy prac dyplomowych w Katedrze Awioniki i Sterowania Studia II stopnia (magisterskie)

Metodologia FMEA. Zajęcia 8. dr inż. Piotr T. Mitkowski. Materiały dydaktyczne, prawa zastrzeżone Piotr Mitkowski 1

Transkrypt:

METODY ANALIZY BEZPIECZEŃSTWA SYSTEMÓW KOMPUTEROWYCH Zagadnienia: 1) Wyjaśnienie pojęć związanych z bezpieczeństwem. 2) Norma IEC 1508. 3) Metody analizy bezpieczeństwa: a) analiza drzew niezdatności (FTA), b) analiza rodzajów i skutków uszkodzeń (FMEA), c) analiza hazardu i gotowości systemu (HAZOP), d) obiektowe podejście do analizy bezpieczeństwa. 4) Podsumowanie.

DRZEWO ZALEŻNOŚCI POMIĘDZY POJĘCIAMI DOTYCZĄCYMI WIARYGODNOŚCI WIAROGODNOŚĆ (rzetelność) (dependability) Atrybuty Sposoby DYSPOZYCYJNOŚĆ (availability) NIEZAWODNOŚĆ (reliability) BEZPIECZEŃSTWO (safety) POUFNOŚĆ (confidentiality) (BEZPIECZEŃSTWO) (security) ZAPOBIEGANIE DEFEKTOM TOLEROWANIE DEFEKTÓW USUWANIE DEFEKTÓW PRZEWIDYWANIE DEFEKTÓW Czynniki wpływające ujemnie DEFEKTY (NIEZDATNOŚCI) (faults) BŁĘDY (errors) AWARIE (failures)

ANALIZA BEZPIECZEŃSTWA Analiza bezpieczeństwa jest procesem, w ramach którego oceniany jest poziom ryzyka związanego z systemem i identyfikowane są mechanizmy występowania wypadków. Zdarzenia prowadzące w sposób bezpośredni do wypadku nazywane są stanami hazardowymi lub hazardami. Analiza bezpieczeństwa jest częścią cyklu życia bezpieczeństwa według standardu IEC 1508, wykonywana jest w ramach kolejnych etapów cyklu życia systemu: Podczas budowy systemu w celu identyfikacji zagrożeń i dobrania właściwych środków projektowania i realizacji; Podczas eksploatacji systemu w celu sprawdzenia i/lub poprawienia stanu bezpieczeństwa systemu; Podczas oceny systemu przez niezależną instytucję certyfikującą, dla sprawdzenia stopnia bezpieczeństwa i zaakceptowania (lub odrzucenia) systemu do użytkowania.

Norma IEC 1508 Norma IEC 1508: wprowadza pewną terminologię opisu problemu, precyzuje miary bezpieczeństwa systemu, definiuje strategię postępowania rekomenduje metody, odpowiednie do zastosowania w różnych fazach projektu. Hazard (hazard) definiuje jako sytuację mogącą spowodować śmierć lub obrażenia ludzi. Ryzyko (risk) jest miarą stopnia zagrożenia, wyrażającą zarówno stopień szkodliwości hazardu, jak i p-stwo jego wystąpienia. Prawdopodobieństwo, że elementy zabezpieczające prawidłowo wykonają wymagane funkcje jest nazywane integralnością zabezpieczeń (safety integrity). Norma wyróżnia cztery poziomy integralności zabezpieczeń, określone przez prawdopodobieństwa awarii. Poziom integralności (SIL) Praca start-stopowa: p-stwo błędu Praca ciągła: p-stwo błędu w ciągu godziny 4 10 5 do. 10 4 10 9 do 10 8 3 10 4 do 10 3 10 8 do 10 7 2 10 3 do 10 2 10 7 do 10 6 1 10 2 do 10-1 10 6 do 10 5

Zalecenia dotyczące metod oceny bezpieczeństwa Metoda lub technika SIL 1 SIL 2 SIL 3 SIL 4 1 Kwestionariusze ocen R R R R 2 Tablice decyzyjne i tablice prawdy R R R R 3 Miary złożoności programów R R R R 4 Diagramy przyczynowo-skutkowe R R R R (CCD) 4a Analiza drzewa zdarzeń (ETA) R R R R 5 Analiza drzewa niezdatności (FTA) R R HR HR 6 Analiza rodzajów i skutków R R HR HR uszkodzeń (FMEA) 7 Analiza hazardu i gotowości R R HR HR systemu (HAZOP) 8 Modele Markowa R R R HR 9 Schematy blokowe niezawodności R R R R 10 Symulacja (Monte-Carlo) R R R R

Metoda analizy drzew niezdatności (FTA) (fault tree analysis) Dwa rodzaje analizy: Jakościowa: oparta o wnioskowanie matematyczne pozwala wypowiadać się o zależnościach przyczynowo-skutkowych; Ilościowa: pozwala określić prawdopodobieństwo awarii oraz jej przyczyn Główne cele metody: identyfikację przyczyn powodujących wystąpienie stanów niebezpiecznych, określenie częstości wystąpień stanów niebezpiecznych, Identyfikacja krytycznych elementów systemu. Metoda drzew niezdatności składa się z kilku kroków: Przygotowanie analizy: definicja zakresu analizy, zapoznanie się z systemem, jego funkcjami, zasadami działania, identyfikacja stanu niebezpiecznego; Konstrukcja drzewa; Analiza drzewa i opracowanie wyników. Konstrukcja drzewa: Każdy znany stan niebezpieczny stanowi punkt wyjścia dla oddzielnego drzewa niezdatności; Podstawowe elementy drzewa to zdarzenia (events) oraz bramy (gates); Drzewo jest budowane poprzez cykliczne powtarzanie jednego kroku jakim jest dodanie bezpośrednich przyczyn zdarzenia będącego liściem drzewa.

Przykład. System palnika gazowego Sygnał zapłonu Sterownik Sygnał do sterowania (włącz/wyłącz) Sygnał do zaworu gazowego (otwórz/zamknij) TOP-EVENT Ulatnia się gaz E1 Jest dopływ gazu G1 E2 Brak płomienia E3 Otwarty zawór gazowy G3 G4 Nie było iskry G5 E6 E4 E5 E7 E8 Sterowanie otworzyło zawór Awaria zaworu gazowego Brak sygnału do zapalniczki Awaria zapalniczki

Analiza minimalnych zbiorów przyczyn Minimalnym zbiorem przyczyn (MZP) nazywany jest taki najmniejszy zbiór zdarzeń, dla którego wystąpienie wszystkich jego elementów powoduje stan niebezpieczny. Analiza probabilistyczna obejmuje wyznaczenie: Niedostępności systemu Q(t) (system unavailability) czyli prawdopodobieństwa zdarzenia szczytowego; Udziału MZP w niedostępności systemu, wyznaczanego procentowo; Współczynnika zwiększenia ryzyka RIF dla zdarzenia i; Współczynnika obniżenia ryzyka RDF dla zdarzenia i; Udziału w niedostępności systemu FC dla zdarzenia i. Analiza drzew błędów oprogramowania (SFTA) Analiza oprogramowania wymaga innego podejścia. Podczas konstrukcji drzewa określane są możliwe ścieżki dojścia do niebezpiecznego stanu oprogramowania. Dla każdej ścieżki prowadzącej do stanu niebezpiecznego ocenia się, czy jej wystąpienie jest możliwe. Analiza drzewa błędów daje wynik pozytywny, czyli stwierdza, że program nie powoduje stanu niebezpiecznego, jeżeli zostanie wykazane, że wszystkie ścieżki prowadzące do takiego stanu są niemożliwe. Dla każdej konstrukcji programowej : przypisanie, instrukcja warunkowa IF oraz CASE, pętle WHILE, FOR posługujemy się szablonem dla określenia błędu danej instrukcji.

Szablon dla instrukcji przypisania Przypisanie powoduje błąd Zmiana wartości Powoduje błąd Przypisanie do złej lokacji pamięci powoduje błąd Wyznaczenie wartości powoduje błąd Szablony zawierają wszystkie możliwe przyczyny błędu danej konstrukcji języka programowania. Podczas analizy konkretnego programu należy stosować je w całości jako fragmenty drzewa błędów, a następnie odrzucać zdarzenia niemożliwe. Przykładowo dla instrukcji przypisania: x:=7; gdzie x jest zmienną typu INTEGER, zdarzenie wyznaczenie wartości powoduje błąd jest niemożliwe. Integracja analizy oprogramowania oraz systemu Standardowa procedura postępowania: Utworzenie systemowego drzewa w tradycyjny sposób; Niektóre zdarzenia podstawowe tego drzewa dotyczą błędów oprogramowania; Dla tych zdarzeń tworzone są osobne poddrzewa metodą SFTA.

Drzewa niezdatności z zależnościami czasowymi W podanym przykładzie systemu palnika gazowego hazard wystąpi dopiero, kiedy zdarzenia E1 i E2 będą występowały razem odpowiednio długo. Aby uniknąć niejednoznaczności, przeprowadza się formalizację drzewa błędów. W rezultacie otrzymamy opisy bram: - G1: occur(top_event) occur(e1) occur(e2) duration(e1 e2) > t Gmin max(start(e1), start(e2)) + t Gmin start(top_event) max(start(e1), start(e2)) + t Gmax - G2, G4:... A N A L I Z O W A N Y S Y S T E M Nieformalna analiza D R Z E W O B Ł Ę D Ó W bez zależności czasowej (nieformalna reprezentacja) Formalizacja bram i zdarzeń Drzewo błędów z zależnościami czasowymi (formalna reprezentacja) Przekształcenie drzewa błędów w TPN C Z A S O W A S I E Ć P E T R I E G O Analiza zależności czasowych R E Z U L T A T A N A L I Z Y akceptacja Wprowadzenie (lub modyfikacja) modelu zabezpieczeń R E Z U L T A T K O Ń C O W Y

Wykorzystanie czasowych sieci Petriego (TPN) p0 TOP-EVENT t 16 <0, > p15 t 13 <0, > t 14 <0,0> p13 t 15 <t Gmin, t gmax > p14 E1=E3 E2=E6 t 15 <0,0> t 12 <0,0> t 5 <0, > p11 t 9 <0, > p12 p10 t 14 <0, > p5 E4 t 6 <o,t 1 > t 7 <0,0> E5 p6 p7 E7 p9 E8 p8 t 1 <0, > t 2 <0, > t 3 <0, > t 4 <0, > p1 p2 p3 p4

Metoda analizy rodzajów i skutków uszkodzeń (FMEA) oraz jej rozszerzenie o ocenę stanów krytycznych FMCEA (Failure Modes, Effects and Criticality Analysis) Przedmiotem FMEA może być zarówno architektura, jak i proces realizacji systemu. W odniesieniu do architektury systemu, FMEA polega na identyfikacji i analizie możliwych stanów uszkodzeń elementów systemu, wyznaczaniu wpływu, jakie te stany mogą mieć na działanie innych elementów i całego systemu oraz na ocenie możliwych konsekwencji tego wpływu na środowisko zewnętrzne. Stany uszkodzeń systemu są definiowane przez powiązanie ich z klasami możliwych usterek/wad/defektów (trwałych lub przemijających). W metodzie FMEA zakłada się, że struktura systemu i dane o jego elementach są znane. W szczególności, zidentyfikowane zostały czynniki podstawowe najniższy poziom elementów struktury, o którym mamy dostateczną wiedzę, dotyczącą możliwych stanów uszkodzeń każdego elementu, ich funkcjonowania i zależności między nimi. Poziom ten zależy od celu i zakresu analizy i stanowi punkt wyjścia do analizy FMEA. Analizę FMEA stosujemy wtedy, gdy: Liczba stanów wyjściowych systemu jest duża i potrzebujemy techniki wspierającej identyfikację możliwych stanów systemu; Podejrzewamy, że system może produkować nieakceptowalne stany wyjściowe, których nie znamy; Istnieje potrzeba poprawy konstrukcji, rozpoznawania problemów diagnostyki, przygotowania specyfikacji i planu testów. Analizy FMEA oraz FTA uzupełniają się. Analiza FMEA może być wykorzystana do uzasadnienia poprawności wyborów w trakcie analizy FTA, dotyczących zdarzeń elementarnych.

Kolejne kroki FMEA: Określenie celu i zakresu analizy: Przygotowanie funkcjonalnego diagramu blokowego systemu + (opisy, diagramy, modele i dane o strukturze); Wybór wyjściowego poziomu struktury i elementów do analizy. Definicja potencjalnych typów uszkodzeń: Ustalenie czynników i prawdopodobnego mechanizmu uszkodzeń dla każdego elementu z poziomu wyjściowego analizowanej struktury; Ustalenie działań personelu autoryzowanego i nieautoryzowanego Identyfikacja wpływu wyróżnionych typów uszkodzeń na działanie innych elementów i całego systemu: Identyfikacja prawdopodobnego wpływu tych uszkodzeń na inne elementy, podsystemy w wyższej warstwie struktury i w konsekwencji na cały system; Identyfikacja metod wykrywania błędów lub uszkodzeń. Ocena ryzyka związanego z wyróżnionymi typami uszkodzeń: Oszacowanie skutków uszkodzeń; Wyznaczenie prawdopodobieństwa (lub innych charakterystyk liczbowych) wystąpienia danych typów uszkodzeń (np., intensywność uszkodzeń); Klasyfikacja uszkodzeń, ustalenie priorytetów dla działan korekcyjnych. Przygotowanie dokumentacji błędów i uszkodzeń. Nr Element/ Proces Funkcja/ Cel Typ uszkodzenia Efekt uszkodz. Przyczyna Planowana metoda testowania Dział. napra -wcze

Analiza hazardu i gotowości systemu wg metody HAZOP (Hazard and Operability Studies) Metoda ma charakter półformalnej procedury inspekcji dokumentacji systemu, mającej na celu identyfikacje odstępstw od założonego działania i oceny ich wpływu na bezpieczeństwo. Założenie: Wypadki są powodowane odstępstwami od przyjętych założeń projektowych. Aby zmniejszyć ryzyko pominięcia jakiejś sytuacji niebezpiecznej, HAZOP jest wykonywany w sposób systematyczny, obejmując swym zasięgiem każdy fragment badanej reprezentacji systemu. HAZOP wykrywa odstępstwa, które występują w przepływie pomiędzy komponentami. Przyjmuje się, że usterki zlokalizowane w komponentach prowadzą do zakłóceń w przepływie. Wykorzystywane pojęcia: Połączenie (interconnection) fizyczne lub logiczne powiązania pomiędzy dwoma komponentami, definiujące interakcje lub relacje pomiędzy nimi; Przepływ (flow) logicznie wyodrębniona, składowa część połączenia; Parametr - (attribute) fizyczna bądź logiczna właściwość przepływu; Odstępstwo (deviation) odchylenie wartości parametru od założonych; Słowo przewodnie (guideword) słowo lub fraza, która określa typ odstępstwa.

Reprezentacja systemu Jednym z problemów związanych ze skutecznością metody HAZOP jest wybór odpowiedniej reprezentacji systemu, w oparciu o którą będzie przeprowadzana analiza. Słowa przewodnie Badanie odstępstwa opiera się na analizie wybranego parametru przepływu, korzystając z interpretacji słowa przewodniego. Standard HAZOP proponuje następującą listę słów przewodnich (dla systemów programowalnych): NO nie MORE więcej LESS mniej AS WELL AS jak również PART OF część z REVERSE odwrotnie, w przeciwnym kierunku OTHER THAN inaczej niż Dla zależności czasowych: EARLY LATE BEFORE AFTER (za) wcześnie, wcześniej (za) późno przed po Uczestnicy analizy i ich role: lider, ekspert, projektant, użytkownik, sekretarz.

Przykład. Samochodowy system unikania kolizji. Celem systemu jest wykrycie obecności pojazdu znajdującego się przed samochodem i uniknięcie uderzenia w jego tył. System składa się z : czujnika radarowego, czujnika hamulca, systemu ostrzegającego. Model dynamiki systemu v<v_min POCZĄTEK v>v_max SPOCZYNKOWY v>=v_min & v<=v_max powoli=on ZA SZYBKI v<v_min POWOLNY v>v_max Pojazd=TRUE/ ustaw ostrzeż. & timer time out/ ustaw alarm OSTRZEŻENIE ALARM V_MIN hamowanie Skasuj alarm hamowanie BEZPIECZNY Pojazd=FALSE Skasuj ostrzeżenie

Fragment tabeli HAZOP dla systemu unikania kolizji Połączenie 1 POCZĄTEK - SPOCZYNKOWY Parametr Słowo przewodnie Zdarz. NO Uszkodzenie czujnika prędkości Przyczyna Skutki Zaleceni e/ komenta rz Brak 2 POCZĄTEK - Zdarz. LESS Brak Brak SPOCZYNKOWY 3 POCZĄTEK - SPOCZYNKOWY Zdarz. AS WELL AS Pojazd znajdujący się z przodu może się cofnąć...... Brak ostrzeżenia ze strony systemu POCZĄTEK - POWOLNY Zdarz. OTHER THEN Koło napędzające w poślizgu/ czujnik prędkości będzie sygnalizował prędkość znacznie przewyższającą rzeczywistą System nie zostanie uaktywniony

Obiektowe podejście do analizy bezpieczeństwa Charakterystyka OMT Metodyka OMT wprowadza notację graficzną dla reprezentacji obiektów i ich związków; Proponuje zestaw procedur postępowania prowadzących od wymagań na system, przez coraz bardziej szczegółowe modele obiektowe, aż do odpowiedniego oprogramowania; Model składa się z 3 części pokrywających różne aspekty systemu. Modele OMT Model OMT Model dynamiki Model funkcjonalny Model klas Fazy realizacji systemu: Analiza Projekt systemu Projekt klas Implementacja

Metoda obiektowej analizy bezpieczeństwa systemów komputerowych Modelowanie misji systemu (zapożyczono rozwiązanie proponowane przez OMT dla fazy analizy) Analiza bezpieczeństwa misji Celem jest wykrycie niebezpiecznych błędów projektowych systemu sterowania (np., dotyczących zależności czasowych, współbieżności, itp.). Model ukierunkowany na misję nie pokrywa aspektu bezpieczeństwa. Wprowadzany jest model hazardu, który jawnie rozróżnia stany bezpieczne i niebezpieczne: Stany bezpieczne Stany hazardowe Analiza wpływu błędów na bezpieczeństwo systemu Celem tego kroku jest systematyczna identyfikacja możliwych błędów instalacji oraz środowiska. Monitorowanie bezpieczeństwa Wprowadzany jest monitor bezpieczeństwa, którego jedynym celem jest nadzór bezpieczeństwa systemu.