Otto-von-Guericke-Universitat¨ Magdeburg Qualitative and Quantitative Formal Model-Based Safety Analysis – Push the Safety Button – Dissertation zur Erlangung des akademischen Grades Doktoringenieur (Dr.-Ing.) angenommen durch die Fakult¨at f¨ur Informatik der Otto-von-Guericke-Universit¨at Magdeburg von: Dipl.-Inf. Matthias Gudemann¨ geb. am 11.06.1980 in Augsburg Gutachter: Jun.-Prof.Dr.FrankOrtmeier Prof. Dr. Jean-Jacques Lesage Prof. Dr. Rudolf Kruse Ort und Datum des Promotionskolloquiums: Magdeburg, 29.09.2011 Acknowledgments I would like to express my gratitude to my advisor and colleague Jun.-Prof. Dr. Frank Ortmeier, whose expertise in the areas of safety analysis, formal methods and mathematics and whose willingness to share his ideas and opin- ion in many discussions, contributed greatly to the successful completion of my dissertation thesis. I would like to thank Prof. Dr. Jean-Jacques Lesage and Prof. Dr. Rudolf Kruse for taking time from their busy schedule to serve as reviewers for my dissertation thesis. My special thanks go to Prof. Dr. Wolfgang Reif, who encouraged and sup- ported me from the very first semester of my university studies and continued to do so throughout my academic career. I learned a lot at the time at his chair at the University of Augsburg and the opportunity to work with many students in lectures, seminars and different exercises provided me with very valuable experiences. I would also like to thank all my colleagues and now friends, both at Augsburg and Magdeburg for all the discussions, support and fun we had together – at the workplace, as well as in the leisure time. My deepest gratitude goes to my family for the support they provided me through my life, my parents who encouraged me to follow whatever I wanted to do and in particular to my partner Agnes for showing me so much I would never have experienced without her. Zusammenfassung In vielen Anwendungsbereichen wird Software mehr und mehr zum Hauptin- novationsfaktor. Immer gr¨oßere Teile der Funktionalit¨at von Systemen werden durch Software implementiert, die auf generischer Hardware l¨auft. Daf¨ur hat sich der Begriff der software-intensiven Systeme etabliert. Mittlerweile sind solche Systeme auch in sicherheitskritischen Bereichen weit verbreitet. Mit ihrer Verwendung geht eine enorme Erh¨ohung der Komplexit¨at einher, welche den Nachweis der funktionalen Sicherheit immer schwieriger macht. Ein solcher Nachweis ist in sicherheitskritischen Bereichen jedoch notwendig und wird von den entsprechenden Zertifizierungsstellen gefordert. Die genauen An- forderungen daf¨ur sind in dom¨anenspezifischen Normen und Standards spez- ifiziert. Die Verwendung formaler Methoden zur modellbasierten Sicherheitsanalyse kann den Sicherheitsnachweis f¨ur solche Systeme unterst¨utzen. Dazu wird ein gemeinsames formales Systemmodell erstellt, welches sich der Entwickler und der Sicherheitsingenieur teilen. Dieses Modell besteht dabei aus einem abstrakten Modell des funktionalen Systems, einem Modell des physikalis- chen Umweltverhaltens, sowie einem Modell des Fehlverhaltens. Ein solches Modell kann in einer Sprache mit formaler Semantik ausgedr¨uckt werden. Dies erlaubt dann eine Analyse mit automatischen Modellpr¨ufern und un- terst¨utzt so den Sicherheitsanalyseprozess f¨ur komplexe Systeme. Der Vorteil gegen¨uber bisherigen Verfahren liegt dabei einmal in der Verwendung eines gemeinsamen Modells, was den notwendigen Aufwand bei Design¨anderungen verringert. Der zweite Vorteil liegt in der erh¨ohten Automatisierung, wodurch ein Sicherheitsnachweis effizienter durchgef¨uhrt werden kann. Die Ergebnisse dieser Dissertation verbessern die bisher existierenden mod- ellbasierten Analysemethoden wesentlich. Hauptaspekte dabei sind einmal die Erweiterung der analysierbaren Systemklasse sowie die Erweiterung der analysierbaren Eigenschaften. Desweiteren wurde eine neue, probabilistis- che Sicherheitsanalysemethodik geschaffen, die wesentlich genauere Ergeb- nisse liefern kann als dies mit bisherigen Analysen m¨oglich war. Die Ba- sis dazu bildet die formale Beschreibungssprache SAML (Safety Analysis and Modeling Language). F¨ur diese wurde eine prototypische Werkzeugun- terst¨utzung geschaffen, die es erlaubt, SAML Modelle durch Modelltransfor- mationen mit verschiedenen Verifikationstools zu analysieren. Dadurch profi- tiert der Ansatz von jeder Erweiterung der unterst¨utzten Analysetools. Dieser Ansatz erlaubt eine Kombination verschiedener Analysemethoden und bildet die Basis f¨ur eine toolunabh¨angige Analyseplattform. Der Ansatz wird mit der Analyse von drei Fallstudien illustriert und bildet die Basis f¨ur das DFG Einzelforschungsprojekt “ProMoSA” (Probabilistic Models for Safety Analy- sis). 5 Abstract Software is becoming the main innovation factor in many domains. Every more functionality is implemented in software running on relatively generic hardware. For this the notion of software-intensive systems has been estab- lished. By now such systems are already common in safety-critical domains. Their application causes an increase of complexity which makes the assurance of functional safety ever harder. Such evidence of safety is required in safety- critical domains and is required by the responsible certification authorities. The exact requirements are specified in domain-specific standards. Using formal methods for model-based safety analysis can support the safety assurance of such systems. The basis is the construction of a common formal system model which is shared between the developer and the safety engineer. Such a model generally consists of an abstract model of the system, a model of the physical behavior of the environment and a model of the possible faults and failure modes. A model expressed in a language with formal semantics allows for the analysis using automatic verification tools and can therefore support the safety analysis process of complex systems. Compared to more traditional approaches the advantages are firstly that using a common system model requires less effort in case of design changes and secondly in the increased automation which make more efficient safety analysis possible. The results of this dissertation thesis significantly advance existing safety anal- ysis methods. Firstly, the class of analyzable systems is extended and secondly the set of analyzable properties is extended. In addition, a new probabilistic safety-analysis method was developed which produces much more accurate results than possible using existing methods. The basis is the formal specifi- cation language SAML (Safety Analysis and Modeling Language). A proto- typical tool support with model transformations was developed which allows for analysis of SAML models with different verification tools. Therefore the approach benefits from all advancement in the development of the supported analysis tools. This allows the combination of different analysis methods and forms the basis for a tool-independent analysis framework. The approach is illustrated with three case studies and is the foundation for a new research project “ProMoSA” (Probabilistic Models for Safety Analysis) founded by the German Research Foundation (DFG). Contents 1. Introduction 1 1.1. MainContribution .............................. 3 1.2. OutlineoftheDissertation.......................... 4 2. Safety Analysis Overview 5 2.1. MotivationandConcepts........................... 6 2.2. StructuredApproaches . 8 2.2.1. Fault Tree Analysis . 8 2.2.2. Failure Modes And Effects Analysis . 9 2.2.3. Why-BecauseAnalysis . 10 2.2.4. System-Theoretic Analysis Model and Processes . 11 2.3. Failure Logic Modeling . 11 2.3.1. Failure Propagation and Transformation Notation . 12 2.3.2. Hierarchically Performed Hazard Origin and Propagation Studies 12 2.3.3. AltaRica................................ 13 2.4. Failure-Injection Based Analysis Techniques . .. 13 2.4.1. ESACSandISAACProject . 14 2.4.2. COMPASSProject .......................... 14 2.4.3. AVACSProject ............................ 15 2.5. FormalModel-BasedSafetyAnalysis . 15 3. Formal Basics 19 3.1. Motivation................................... 20 3.2. SyntaxoftheFormalModels. 21 3.3. SemanticsoftheFormalModels . 25 3.3.1. Parallel Composition . 26 3.3.2. QuantitativeFormalModels . 28 3.3.3. QualitativeFormalModel . 36 3.4. TemporalLogics ............................... 40 3.4.1. SyntaxandSemanticsofCTL* . 40 3.4.2. SyntaxandSemanticsofPCTL . 42 3.5. GraphicalRepresentationofSAML Models . 44 3.6. RelatedWork ................................. 45 III Contents 4. SAML Modeling for Safety Analysis 49 4.1. Motivation................................... 50 4.2. ExampleCaseStudy ............................. 51 4.3. HardwareandSoftwareModeling . 52 4.3.1. SoftwareModeling .......................... 52 4.3.2. HardwareModeling.......................... 53 4.3.3. CaseStudyModel .......................... 53 4.4. Physical Environment Modeling . 54 4.4.1. TemporalResolution . .. .. 54 4.4.2. CaseStudyModel .......................... 55 4.5. FailureModeModeling............................ 55 4.5.1. Qualitative Formal Failure Modeling . 56 4.5.2. Quantitative Failure Mode Modeling . 57 4.5.3. Failure Effect Modeling . 65 4.6. RelatedWork ................................. 70 5. Formal Safety Analysis 73 5.1. Motivation................................... 74 5.2. Qualitative Model-Based Safety Analysis . 75 5.2.1. Deductive Cause Consequence Analysis . 75 5.2.2. Ordered Minimal Critical Sets . 77 5.2.3. AdaptiveDCCA ........................... 81 5.3. Quantitative Model-Based Safety Analysis