Professional Documents
Culture Documents
기술세미나
안전 필수 시스템을 위한
Safety와 Security 결합 모델
한 혁수
상명대학교 교수
소프트웨어 안전성 보증 연구센터장
Software Safety Assurance Research Center
주관대학 : 상명대학교 참여 교수
소프트웨어 안전성 보증 연구센터 참여
참여대학(5) : 서울여자대학교, 부산대학교, 경기대학교, 충남대학교, 고려대학교 총 14 명
대학
참여 학생
총 42 명
참여기관(2) : ㈜에스피아이디, 기산전자㈜
참여 기업
참여 참여기업 : ㈜브이아이텍, ㈜ 인더스웰, 네무스텍㈜, 유엔젤㈜,
기업 비컴솔루션㈜, 오토아이티㈜, 가온미디어㈜, ㈜성원디엔텍 총 10 기업
▪ 사업 명
• 대학ICT연구센터육성지원사업 (ITRC) – SW 공학 (안전 SW)
▪ 지원기관
• 미래창조과학부 산하
정보통신기술진흥센터 (IITP)
▪ 과제 기간
• 2015년 ~ 2018년 (41개월 / 29.3억)
− ※ 2년 연장 가능
2. 해저드(Hazard) 분석
3. 안전성(Safety)과 보안성(Security)
4. 안전과 보안 요구사항 분석 결합 모델
5. SSARC의 연구방향
6. Q & A
1. 안전 필수 시스템
Software Safety Assurance Research Center
허용
가능 위험
Safety Risk
인프라 교통 재난관리
안전 필수 시스템의 개발 요건
1. 철저한 해저드(Hazard) 분석 및 조치
2. 전 개발 과정에서 엄격한 안전 활동 준수
3. 관련 표준 규정 준수
안전성 관련 표준 제정 및 안전 활동 준수 의무화
IEC 61508
(Meta Standard)
Functional safety of electrical/electronic/programmable electronic safety-related systems
전기/전자/프로그램 가능한 전자장치 안전 관련 시스템의 기능 안전성
자동차 철도 항공 원자력 의료
ISO 26262 EN 50129, ARP 4754, IEC 60880, IEC 62304,
EN 50126 DO-178 IEC 61513 IEC 60601
[ 사례 ]
차량 내 SW 결함으로 인한 사고 발생 시 기업은
ISO 26262 표준에 부합해 개발 했는지 증명해야 한다.
1 Concept
Overall Safety
5
Requirement Allocation
16 Decommissioning or Disposal
참조) IEC 61508 : 2010
기술 세미나 주제
제1회
제2회
제3회
제4회
Harm 𝑃2
Risk 평가
Probability of
Severity of
the Harm
Occurrence Risk
of Harm
𝑃1 x 𝑃2
Hazard
▪ 예방책
• If chain can be broken, the accident will not happen
Cause
Direct Relationship
Necessary
conditions
Linear Relationship
주요 Hazard 분석 방법들
PHL
Preliminary Hazard List
PHA
Preliminary Hazard Analysis
Concept 단계
SHA
System Hazard Analysis
SSHA IHA
Sub-System Hazard Analysis Interface Hazard Analysis
HAZOP
Hazard and Operability
FTA FMEA
Fault Tree Analysis Failure Mode and Effect Analysis
Failure
% failures Effects
Critical Failure Probability Failure Mode
by mode Critical Noncritical
Open 90 X
A 1 X 10−3 Short 5 5 X 10−5
Other 5 5 X 10−5
Open 90 X
B 1 X 10−3 Short 5 5 X 10−5
Other 5 5 X 10−5
출처) W.E. Vesely, F.F. Goldberg, N.H. Robers, and D.F. Haasl, Fault Tree Handbook, NUREG-0492, U.S. Nuclear Regulatory Commission, Washington, D.D., 1981
19 Copyright 2018 SSARC., All rights reserved.
Software Safety Assurance Research Center
No Guideword Interpretation
1 No/None Complete negation of the design intention No part of the intention is achieved and nothing else happens
Complete substitution, where no part of the original intention is achieved but something quite different
7 Other than happens
▪ Modern System
• Too complex for complete analysis
• Too organized for statistics System taken as a whole
[ 시스템 구조 ]
ECU
Application SW
Leveson’s Model
STPA CAST
- Hazard Analysis - - Accident Analysis -
STAMP
- Accident Model -
Control Structure
Controller
Model
of Process
Control
Actions Feedback
Actuator Sensors
Controlled
Human Process
Operator
Type
A required control action is not provided or not followed
1
Type
An incorrect or unsafe control action is provided
2
Type A potentially safe control action is provided too early or too late,
3 that is, at the wrong time or in the wrong sequence
STPA의 특징
Safety Security
Risk Risk
Software Safety Assurance Research Center
Feature Definition
Cybersecurity Concept
위협 속성 정의 예
Safety와 Security의 차이
Safety Security
Accidental Malicious
Malfunction Vulnerability
독립적 분석 통합 분석
Hazard Threat
X
CHASSIS
(Combined Harm Assessment of Safety and Security for Information Systems)
Weakness, error, or
Human or event with
unexpected interaction Condition, event, or circumstance that
capability to exercise a
arising in policy, could lead to or contribute to an
vulnerability; achieving harm
requirements, development, unplanned or undesired event
to person, organization, or
implementation, or
assets
operation
Hazard
Flaw Threat-source
Occurrence of a specific hazard event
with likelihood and resulting impact
Flaw that can be exercised
(intentionally exploited or
unintentionally triggered),
leading to harm to
individuals, organization, or Mishap
assets
Potential for
Risk = net impact = impact * likelihood
harmful
Vulnerability +
security
event
Risk
▪ The focus shifts from “preventing failures” to “enforcing safety constraints on system
behavior”
STPA-Sec Process
Extended STPA-Sec
▪ 보완해야 할 사항
• Attacker의 Intentional causal scenario의 식별에 대한 가이드라인
• Control structure model에 security 관련 요소
출처) Limitation and Improvement of STPA-Sec for Safety and Security Co-analysis 2016, Christoph Schmittner,
Zhendong Ma, and Peter Puschner
SAMM + Security
Multi View
Modeling
Adapted or
Extended
Guide Word
(HAZOP, STPA, Std ..)
Hazard Safety
Negative View Modeling
Add threat
that affect safety
to hazard list
Threat
Mis-Actor Misuse Case Misuse Vulnerable Unsecure
Sequence State Control Action
Q&A