SIESTE
Sichere Eisenbahn-Steuerungen

Überblick

Für den öffentlichen Nahverkehr sind zukünftig computer-gesteuerte Stellwerkslösungen unverzichtbar, um die anfallenden Betriebskosten in akzeptablem Rahmen zu halten. Da zentrale elektronische Stellwerke für Anwendugnen im Nahverkehr zu teuer sind, finden derzeit verteilte Systemkonzepte in Forschung und Industrie große Beachtung. Diese gehen von einer Verteilung der Steuerlogik des Gesamtstellwerks in Zug-Bordrechner, lokale Schaltstationen an Weichen, Signalen und Bahnübergängen, sowie übergeordneten Uuml;berwachungsstationen aus. Hieraus resultieren neue Anforderungen an Systemkonzepte, Software-Entwicklungsmethoden und Methoden der Validation, Verifikation und des Tests. Im hier beschriebenen Projekt SIESTE (SIchere Eisenbahn-STEuerungen) wird die Entwicklung einer solchen Lösung modellhaft durchgeführt. Zielsetzungen des Projektes sind:

"Sensibilisierung" für die typischen Problemstellungen, die bei der Entwicklung verläßcher Systeme von zentraler Bedeutung sind
Erlernen von Entwicklungsmethoden zum Erreichen einer möglichst hohen Vertrauenswürdigkeit kritischer Systemkomponenten, insbesondere bzgl. der Software (konstruktive Qualitätssicherung)
Erlernen von Simulations-, Verifikations- und Testmethoden, mit denen entwickelte Spezifikationen und Code, auch bzgl. der Einbettung in eine technische Umgebung, möglichst vertauenswürgdig überprüft werden können (analytische Qualitätssicherung)
Erlernen der systematischen Abwicklung sicherheitsrelevanter Entwicklungsprojekte

Durchführungsrahmen

Das Projekt wird als "echtes" Entwicklungsprojekt durchgeführt. Hierzu werden in jeder Phase Entwicklungs- und Qualitätssicherungs-Teams gebildet (die Teams tauschen mit den Phasen, so daß jeder auf beiden Seiten gearbeitet hat). Weiterhin wird die Gesamtaufgabe nach dem heute viel diskutierten "Vorgehensmodell", dem vom Bundesinnenministerium autorisierten Standard zur Entwicklung von Software-gestützten Systemen, gegliedert. (Das Vorgehensmodell wird in der begleitenden Vorlesung "Software-Engineering" im WS'95 eingefürt.)

Phase 1: Systemanforderungen und Systemarchitektur

In dieser Phase werden die Aufgaben des Gesamtsystems analysiert, spezifiziert und die Aufteilung in Systemkomponenten durchgeführt. Dabei ist eines der Hauptziele, die Verläßlichkeitsbedingungen präzise und möglichst vollständig herauszuarbeiten. Hierzu werden sowohl formale Methoden der Softwaretechnik als auch mathematisch fundierte Methoden der Bedrohungs- und Risikoanalyse eingeführt und angewendet. Geeignete Validations-, Verifikations-, und Testmethoden werden ausgewählt und auf ihre Aussagekraft hin untersucht.

Phase 2: Grobentwurf und Feinentwurf der Komponenten

Die Systemkompnenten werden in Bezug auf Anforderungen und Architektur schrittweise verfeinert, wobei sowohl Transformations- als auch Verifikationstechniken verwendet werden. Die globalen Verläßlichkeitsanforderungen der Phase 1 führen dabei zu lokalen Mechnaismen zur Sicherung der Verläßlichkeit in den einzelnen Komponenten. Eine zentrale Rolle spielen Methoden, die aus den lokalen Zusicherungen die geforderte Verläßlichkeit des Gesamtsystems ableiten bzw. Fehler im Entwurf der lokalen Mechanismen aufdecken können. Spezielle Entwurfsmerkmale sicherheits-relevanter Softwarekomponenten werden untersucht.

Phase 3: Implementierung

Die entworfenen Softwarekomponenten werden implementiert und als paralleles Prozeßsystem in Form einer vereilten Simulation unter UNIX "animiert". Dabie werden unterschiedliche Sprache auf ihre Eignung bei sicherheits-relevanten Anwendungen hin untersucht (z.B. CSP bzw. OCCAM, eine funktionale Programmiersprache, C bzw. C++). Die Visualisierung der Abläufe erfogt mit daVinci. Die Testverfahren werden auf die Simulationsumgebung angewandt. Dabei werden Methoden zur Testautomatisierung eingeführt. Evtl. kann die Steuerung auch prototypisch an einer Modelleisenbahnanlage eingesetzt werden.