Anvendelser og Status 1 Tre sertifiserte anvendelser Darlington

  • Slides: 17
Download presentation
Anvendelser og Status 1

Anvendelser og Status 1

Tre sertifiserte anvendelser • Darlington nuclear generating station. • Paris Metro signalling system. •

Tre sertifiserte anvendelser • Darlington nuclear generating station. • Paris Metro signalling system. • Traffic Alert and Collision-avoidance System (TCAS). ftp: //ftp. ora. on. ca/pub/doc/93 -626 -v 1. ps. Z ftp: //ftp. ora. on. ca/pub/doc/93 -626 -v 2. ps. Z 2

Darlington Nuclear Generating Station • Anlegg med fire reaktorer i Ontario, Canada. • Programvarebaserte

Darlington Nuclear Generating Station • Anlegg med fire reaktorer i Ontario, Canada. • Programvarebaserte sikkerhetssystemer. • Formelle metoder benyttet for å overbevise myndighetene (Atomic Energy Control Board of Canada, AECB) om kvalitet og korrekthet av programvaren. 3

Framgangsmåte • Formelle spesifikasjoner ble skrevet for allerede eksisterende kode (reverseengineering). • Benyttet en

Framgangsmåte • Formelle spesifikasjoner ble skrevet for allerede eksisterende kode (reverseengineering). • Benyttet en metode som senere fikk navnet Software Cost Reduction. • Metoden innebar å demonstrere konsistens mellom (1) tabeller for spesifiserte krav, og (2) tabeller for programmets funksjonalitet. 4

Verktøy • Ingen spesialiserte verktøy formelle metoder - tabellene ble skrevet i Microsoft Excel.

Verktøy • Ingen spesialiserte verktøy formelle metoder - tabellene ble skrevet i Microsoft Excel. • Manuell analyse - opptil 30 personer arbeidet samtidig med verifikasjonen. 5

Evaluering • AECB var tilfreds med resultatet. • Store kostnader, men usikkert om lisens

Evaluering • AECB var tilfreds med resultatet. • Store kostnader, men usikkert om lisens ville bli gitt dersom formelle metoder ikke ble benyttet. • Tvil om kvaliteten egentlig ble forbedret. • Prosessutgifter unødig store fordi metodikken ble utviklet samtidig. 6

Paris Metro signalling system • System for å redusere tiden mellom togene. • Systemet

Paris Metro signalling system • System for å redusere tiden mellom togene. • Systemet (SACEM) har eliminsert behovet for en ekstra jernbanelinje. • Formelle metoder benyttet for å overbevise myndighetene (Paris rapid-transit, RATP) om at systemet oppfylte sikkerhetskravene. 7

Framgangsmåte • Top-down re-spesifikasjon og forfining, kombinert med bottom-up re-spesifikasjon og verifikasjon. • For-

Framgangsmåte • Top-down re-spesifikasjon og forfining, kombinert med bottom-up re-spesifikasjon og verifikasjon. • For- og etterbetingelser ble ekstrahert fra design, og kombinert med bottom-up verifikasjon. • Benyttet Grafcet, SADT, Hoare logikk, og B. 8

Verktøy • Grafcet, SADT (Softech), Asa (Verilog). • B var under utvikling. • Bruken

Verktøy • Grafcet, SADT (Softech), Asa (Verilog). • B var under utvikling. • Bruken av formelle metoder påvirket ikke designet – bare verifikasjonen. • Produsenten (GEC Alsthom) benyttet først bare grove verktøy – verktøyene ble utviklet parallelt med prosjektet. 9

Evaluering • RATP først skeptisk til framgangsmåten, men tilfreds med resultatet og den instruktive

Evaluering • RATP først skeptisk til framgangsmåten, men tilfreds med resultatet og den instruktive verdien. • 120 K person-timer av totalt 315 K ble benyttet på formelle metoder. Økte likevel ikke kostnadene, mener RATP. • Prosesskostnadene økte ikke ettersom RATP godtok verifikasjonen som en del av sertifiseringen. 10

Traffic Alert and Collisionavoidance System • System for å unngå kollisjoner mellom fly i

Traffic Alert and Collisionavoidance System • System for å unngå kollisjoner mellom fly i luften. • Spesifikasjonen ble opprinnelig skrevet i naturlig språk + pseudokode. • Formelle metoder ble vurdert av FAA (Federal Aviation Administration) etter initiativ av Nancy Leveson, og ble benyttet for å få oversikt over systemkravene og bedre tilliten til systemet. 11

Framgangsmåte • TCAS metodikken (for prosesskontrollsystemer) ble utviklet parallelt med prosjektet. • Formell analyse

Framgangsmåte • TCAS metodikken (for prosesskontrollsystemer) ble utviklet parallelt med prosjektet. • Formell analyse av krav for korrekthet og sikkerhet. • Utvikling av tilstandsbaserte kravspesifikasjoner (modifisert Statecharts). 12

Verktøy • Statemate kunne ikke benyttes ettersom Statecharts ble modifisert. • De eneste verktøy

Verktøy • Statemate kunne ikke benyttes ettersom Statecharts ble modifisert. • De eneste verktøy som ble benyttet var La. Tex (tekstbehandling), samt noen verktøy for konfigurasjonskontroll. 13

Evaluering • FAA tilsynelatende tilfredse med den formelle spesifikasjonen. • Formalismen var lettere å

Evaluering • FAA tilsynelatende tilfredse med den formelle spesifikasjonen. • Formalismen var lettere å forstå fordi den ble presentert på en måte som samsvarte med deres eget tekniske område. • Den formelle beskrivelsen var lettere å bruke fordi den ikke inneholdt design-informasjon som i pseudo-koden. 14

Formelle metoder - Status • Det finnes i dag mye erfaring på bruk av

Formelle metoder - Status • Det finnes i dag mye erfaring på bruk av formelle teknikker i sikkerhetskritisk sammenheng. • Mange sikkerhetsstandarder anbefaler bruk av formelle metoder. • Spørsmålet om nytte/kostnad er fremdeles kontroversielt. 15

Status (forts. ) • Vanskelig å demonstrere/måle effekten og effektiviteten av formelle metoder. •

Status (forts. ) • Vanskelig å demonstrere/måle effekten og effektiviteten av formelle metoder. • Fortsatt vanligvis uaktuelt å bruke formelle metoder gjennom hele utviklingsprosessen. • Gode erfaringer og godt potensiale for slik formell utvikling av mikroprosessorer. • Stor aktivitet på utvikling av verktøy. 16

Status (forts. ) • For mange prosjekter vil bruk av begreper og teknikker fra

Status (forts. ) • For mange prosjekter vil bruk av begreper og teknikker fra formelle metoder gi en kosteffektiv forbedring av utviklings-prosessen. • Industrielle pionérer på bruk av formelle metoder vil kunne få et avgjørende forsprang på konkurrentene i framtiden. 17

CASCADED BJT AMPLIFIER Darlington connection Darlington pair InternalCASCADED BJT AMPLIFIER Darlington connection Darlington pair Internal
SVEISESERVICE SVEIS MASKINERING PBYGG Om oss Sertifiserte sveisereSVEISESERVICE SVEIS MASKINERING PBYGG Om oss Sertifiserte sveisere
Det frste sertifiserte passivhus i Norge Michael KlinskiDet frste sertifiserte passivhus i Norge Michael Klinski
Tre zoner Uppdrag Infr tre zoner tidigast hstenTre zoner Uppdrag Infr tre zoner tidigast hsten
TRE CZYNNOCI PRAWNEJ mgr Joanna Czekuran Tre czynnociTRE CZYNNOCI PRAWNEJ mgr Joanna Czekuran Tre czynnoci
tre aime tre aime est le plus beautre aime tre aime est le plus beau
Les suites dtre Verbes de type tre treLes suites dtre Verbes de type tre tre
Cy tre L tre Cy my Cy songCy tre L tre Cy my Cy song
TRE glagol biti TRE Je suis Tamara NousTRE glagol biti TRE Je suis Tamara Nous
LCOUTE Pour tre entendu il faut parfois treLCOUTE Pour tre entendu il faut parfois tre
TRE Je sais conjuguer le verbe tre auTRE Je sais conjuguer le verbe tre au
L Orifici INFN Roma Tre Roma Tre UniversityL Orifici INFN Roma Tre Roma Tre University
Tre religioner systerreligioner Judendomen kristendomen islam Tre olikaTre religioner systerreligioner Judendomen kristendomen islam Tre olika
TRE KRONORS Hockeyskola Vlkomna till Hockeyns dag TreTRE KRONORS Hockeyskola Vlkomna till Hockeyns dag Tre
T C TRE KAYMAKAMLII TRE MESLEK VE TEKNKT C TRE KAYMAKAMLII TRE MESLEK VE TEKNK
Les expressions avec tre tre Comment estce quonLes expressions avec tre tre Comment estce quon