= Online download possible
	= No online download possible
	= It can be sent on request

2001: Sergio Montenegro
Methoden und Technicken fuer die Entwicklung sicherheitsrelevanter System
Ada und Software-Qualitaet Shaker Verlag, 2001 , ISBN 3-8265-9245-X

2001: Sergio Montenegro
Bird-Spacecraft bus controller
Small satellites Workshop 2001 IAA 2001 2. / 5. April 2001 in Berlin

2001: Sergio Montenegro
Methoden und Technicken für die Entwicklung Sicherheitsrelevanter Ssteme
Workshop "Ada Deutschland Tagung 2001" 27. / 28. März 2001 in München

2000: Sergio Montenegro
Fehlertoleranz und Sicherheit
Workshop "Software-Entwurf für Kfz-Steuergeräte und komplexe eingebettete Systeme" 24. / 25. Oktober 2000 in Erfurt

2000: Sergio Montenegro

Fehlertoleranz gegen Entwicklungsfehler
Elektronik, Heft 8, Mai 2000

Die Entwicklungsfehler sind permanente Fehler, aber sie machen sich nur unerwartet bemerkbar (sonst würde man sie kennen und korrigieren können). Hier werden hauptsächlich die Software-Entwicklungsfehler (weil diese am häufigsten sind) angesprochen, aber viele der hier besprochenen Methoden können auch auf andere Komponenten angewandt werden.

• statistische Verteilung der Ausfallquellen
• 1) Fehlerprävention
• 2) Tests
• 3) Fehlerbehandlung
• Fehlertoleranz gegen die übriggebliebene Entwicklungsfehler
• 1. Robuste Software durch interne Prüfungen
• 1.1 Prüfung der Annahmen und Erwartungen
• 1.2. Prüfung der Integrität der Daten und des Programms
• 1.3. Prüfung der Datentransformationen
• 2. Monitor: Externe Prüfung, vertrauenswürdige Module
• 3. Diversitäre Entwicklung
• 3.1 Das Prinzip der Primären und Schattenmodule
• 3.2 TMR-Methode dreifache Modulredundanz

1999: Sergio Montenegro

Java Echtzeitkern
Elektronik Praxis, Heft 17, Sept 1999

• Anforderungen an Real-Zeit Programmierung
• Vergleich C/C++, Java und ADA
• Java Vor- und Nachteile
• Java-Probleme bei Real-Zeit
• Java-Arbeiten um aus Java eine Real-Zeit Sprache zu machen
• Ein Java Framework zum Real-Zeit Experimente

1999: Sergio Montenegro

Correct development of safety critical systems
HiSys Congress Sept. 1999: Sindenfinden, Germany

Robustness and fault-tolerance are very important for a safe operation, but lets imagine you build a perfectly robust and fault-tolerant autonomous system -- e.g., a 100% automatic locomotive -- no external circumstance and no internal failure can perturb its operation. It will always stay operable and nothing can stop it. Unfortunately, you made a development error and your system does not do what you wanted it to do, but rather it performs the functions you implemented: something else and no one can stop it any more. Your safety-approach produced danger instead of safety. Therefore the first step to build safety critical systems should be a correct development, so that the system does, what it should do and nothing else. Errors in the final product come from high complexity, low testability, unexplored environment, bad preparation of the developers and unsystematic tests. Therefore you should stay simple, use prototypes, study the environment of the system, protocol all your errors, use review, separate safety critical from the not critical parts, do not underestimate the effort to test the fault tolerance and exception handling and if possible use mathematical formal methods for small safety critical parts.

1999: Sergio Montenegro

A Framework for Experiments on Real Time programming
HiSys Congress Sept. 1999: Sindenfinden, Germany

• Definition of OO-Technology (classes)
• Definition of the framework technology (a complete adaptable structures of classes)
• A real time Kernel as an Example of a framework
• Interrupt handling
• Time driven scheduling
• OnGoing Tasks

1999: Sergio Montenegro

Einfache Sicherheit - Komplexe Gefahr
Zeitschrift Elektronik, Mai 1999, Heft Nummer 9

Bei der Entwicklung sicherheitsrelevanter Systeme, deren Versagen tödliche Folgen haben kann, stehen Sicherheit und Funktionalität oft gegeneinander. Man merkt erst dann, daß die Sicherheit wichtig ist, wenn man sie braucht und sie nicht da ist. Aber dann ist es meistens schon zu spät.

• Sicherheit, Funktion und Verläßlichkeit
• Einfacher ist besser (Sicherer)
• Trennung von Sicherheit und Funktion
• Modularisierung für Sicherheit
• Sicherheit ohne Fehlertoleranz
• Gefahr aus den Sicherheitsmaßnahmen

1999: S. Mohr & S. Montenegro

Analysen der Anlagen-Sicherheit und -Gefahren (Hazard-Analyse)
Zeitschrift Elektronik, Heft 13 (Juni) 1999

Bei den Sicherheitskritischen Anlagen kann eine Fehlfunktion oder ein Bedienungsfehler tödliche Folgen haben. Um das zu verhindern, muß man für ALLES, was passieren kann, immer einen Ausweg bereit halten. Das zentrale Problem dabei ist, zu erkennen, was geschehen kann. Dafür ist es lebensnotwendig, so viele Gefahren wie möglich im voraus zu identifizieren. Dabei hilft nur der gesunde Menschenverstand unterstützt von den Hazard-Analyse Techniken. In diesem Artikel werden wir zuerst den Feind kennen lernen: Gefahr, Fehler und Unfälle. Danach widmen wir uns einigen Punkten, um Ihre Kreativität zu unterstützen und am Ende stellen wir Ihnen noch einige praktische Techniken vor.

• Gefahr, Fehler und Unfälle
• Vorwärts- und Rückwärts-Suche
• Top-Down und Bottom-Up Suche
• Sammeln und protokollieren von Informationen
• Checklisten
• Ereignisbaumanalyse (ETA: "Event-tree-analysis")
• Fehlerbaumanalyse (FTA: "Fault-tree-analysis")
• Ursache-Wirkung-Analyse (CCA / CEA: "Cause-Effect-analysis")
• Ausfallarten- und Wirkungs-Analyse (FMAE: "Failure modes and effects")

1999: Sergio Montenegro

Schritten zur Sicherheit
Fehlertoleranz und Sicherheit. Seminar an der Humbolt Universitaet Berlin, Feb. 1999.

• Konzeption
  • Prioritaet der Sicherheit
  • Komplexitaet
  • Mensch-Maschine Kooperation
• Risiken und Gefahren erkennen
• Gefahren beherrschen
• Korrekte Entwiklung
• Fehlertoleranz

1999: Sergio Montenegro

Framework-Technologie für Echtzeit-Programmierung
Elektronik Praxis, Heft 17 (August) 1999.

• GMD und GMD-FIRST
• Definition von Frameworks
• Echtzeit Programmierung
• Ein Java Framework für Real-Zeit Experimente

1999: Sergio Montenegro

Fehlertoleranz gegen IO-Hardwarefehler
Kongre_ "Embedded Intelligence '99" Maerz. 1999 in Nürnberg.
Proceedings vom MagnaMedia Verlag.

Während der Laufzeit muß das System (alleine) mit vielen Anomalien zurechtkommen, z.B. unentdeckte Entwicklungsfehler, Störungen, Ausfälle und unerwartete Situationen. Das einzig Sichere dabei ist, daß irgendwelche Anomalien eintreten werden. Hier wird erkldrt, wie ein fehlertolerantes System seine Funktion trotz Anomalien weiter erfüllen kann und wie ein sicheres System seine Funktion unterbrechen kann, ohne eine Gefahr zuzulassen. Die Behandlung einer Anomalie ist unterschiedlich, je nachdem wo sie aufgetreten ist und um was es sich handelt. Deswegen werden sie in folgenden Kategorien angegangen: Sensoren, Aktuatoren, Prozessoren und Kommunikation.

1998: Sergio Montenegro

Formale Methoden in der Softwareentwicklung Heute und Morgen
Elektronik Zeitschrift, Heft 21, Okt. 1998

In der letzten Zeit wird viel von formalen Methoden in der Softwareentwicklung gesprochen. Meistens können sich die Ingenieure, Software-Entwickler und Projektleiter nur wenig darunter vorstellen. Wenn sie einen Spezialisten fragen, dann wird ihnen das Blaue vom Himmel erzählt. Wenn sie einen Software-Entwickler oder Anwender fragen, der mit formalen Methoden etwas versucht, bekommen sie eine Horror-Geschichte zu hören. Selten hat man das Glück, beide Seiten der Medallie zu hören. Dieser Artikel erklärt, was formale Methoden sind, wo sie helfen, wo sie nicht helfen, ihre Vorteile, Nachteile, Anwendung und Alternativen

• Die Rolle der Sicherheit in der Software
• Formale Methoden (def.)
• Eigenschaften einer Entwicklung mit formalen Methoden
• Der Spezifizierer muß das System besser kennen
• Validierung
• Verifikation
• Mensch-zu-Mensch-Kommunikation
• Automatische Code-Generierung
• Test-Generierung und Auswertung
• Systematisierung
• Die Praxis Heute
• Eine Zukunftsvision

1998: Sergio Montenegro

Korrekte Entwicklung sicherheitsrelevanter Systeme
Publication pending

Stellen Sie sich vor, Sie haben ein vollkommen fehlertolerantes und robustes System entwickelt - eine Lokomotive. Kein interner Fehler, keine äußeren Umstände können sie stoppen. Leider hat ihr System einen Entwicklungsfehler und es macht nicht das, was es soll, sondern etwas anderes, dafür aber ganz sicher, und man kann es nicht mehr anhalten. Ein sicheres System mit Entwicklungsfehler wird mit Sicherheit gefährlich sein. Deswegen sollte der erste Schritt bei der Konstruktion von sicherheitsrelevanten Systemen eine korrekte Entwicklung sein, so daß das System tut, was es tun soll und nichts anderes.

• Analyse
• Entwurf
• Hardware Implementierung
• Software Implementierung
• Systemintegration
• Test
• Wartung

1998: Sergio Montenegro

Prinzipien der Fehlertoleranz
publication pending

Fehlertoleranz wird benötigt bei Systemen, bei denen ein Fehler oder ein Ausfall (Anomalien) tödliche Folgen haben (sicherheitskritische Anwendungen) oder große Verluste verursachen kann. Bei solchen Systemen gibt es nur eins, was noch schlimmer als ein Systemausfall sein kann: das blinde Vertrauen, das System sei sicher. Fehlertoleranz wird auch bei Systemen benötigt, bei denen keine Reparaturen möglich sind, wie z.B. bei Satelliten oder Unterwasserstationen.

• Def. Fehlertoleranz, hoch verfügbares System, Fail safe, Fail graceful
• Redundanz
• Fehler, Ausfall und Unfall
• Fehlerbehandlung
• Anomalien-Erkennung und -Lokalisierung
• Recovery

1998: Sergio Montenegro

Fehlertoleranz gegen I/O-Fehler
publication pending

Der "Normale Bereich" im Funktionsspektrum einer Anlage ein sehr schmales Band, in dem sich das System aufhalten muß. Die kleinste Anomalie bzw. der geringste Ausfall (z.B. bei einem der 100 Milliarden Transistoren der Anlage) können einen Gesamtsystemausfall und somit sogar Unfälle verursachen. Am häufigsten werden die Input-/Output-Devices von Ausfällen bedroht. Gründe hierfür sind sowohl ihre ungeschützte physikalische Position sowie die extremen Bedingungen denen sie ausgesetzt werden

• Umgang mit Sensoren
• Umgang mit Aktuatoren
• IO Anschlüsse
• Umgang mit der Systemumgebung

1998: Sergio Montenegro

Fehlertoleranz und industrie Computer
Design & Elektronik, Nov 1998, Heft 11

Fehlertoleranz wird benötigt bei Systemen, bei denen ein Fehler oder ein Ausfall tödliche Folgen haben (sicherheitskritische Anwendungen) oder große Verluste verursachen kann. Bei solchen Systemen gibt es nur eins, was noch schlimmer als ein Systemausfall sein kann: das blinde Vertrauen, das System sei sicher.

• Umgang mit Prozessoren und aktiven Modulen
• Sichtbare Folgen eines Modulfehlers
• Modulinterne Behandlung der Modulfehle
• Modulexterne Behandlung durch redundante Module
• Vertrauenswürdige Module
• Fehlertolerante Konstruktionen
• Fehlertoleranter Datenfluß
• Umgang mit verteilten Systemen und Kommunikation

1998: Sergio Montenegro

Sicherheit und die Mensch-Maschine-Kooperation
Zeitschrift Elektronik, Heft 15, Juli 1998

Es wird viel geforscht, um die Sicherheit von automatisierten Anlagen zu steigern. Einige investieren einen großen Aufwand für eine korrekte Entwicklung, z.B. durch die Verwendung von formalen Methoden. Andere investieren viel bei der Laufzeitsicherheit (Fehlertoleranz). Aber der größte Brocken, der fast alle Katastrophen verursacht, nämlich die Mensch-Maschine-Kooperation, wird selten behandelt. Und dabei ist es so einfach.

• Bedienungsfehler?
• Kürze der Zeit
• Hektik und Überforderung
• Komplexität der Bedienung
• Falsche Dokumentation
• Unvorhersehbare Situationen und Folgen
• Ungewohnte Umgebung
• Schlechte Mensch-Maschine-Kommunikation
• Bedienungsfehler!

1998: Sergio Montenegro

Java in Real-Zeit (only .ps.gz)
Markt & Technik, 9. April 1998, Heft 15

1. Teil Kurzfassung von "Real Java für Real-Zeit Applikationen"

• Anforderungen an Real-Zeit Programmierung
• Vergleich C/C++, Java und ADA
• Java Vor- und Nachteile
• Java-Probleme bei Real-Zeit
•  Ein Java Framework für Real-Zeit Experimente

Siehe Real Java für Real-Zeit Applikationen

1998: Sergio Montenegro

Echtzeit Programmierung
Systeme (Zeitschrift für Automation), Feb 1998, Heft 2

• Grundlegende Konzepte bei der Echtzeit Programmierung.
• Klassifizierung der Echtzeit Tasks
• Zeitkritische, Zeitempfindliche Tasks
• Periodische, Aperiodische, Sporadische, Spontane und Fortlaufende Tasks
• Implementierungsmöglichkeiten
• Scheduling (Zuteilung der Prozessorleistung)
• Prioritäten
• Ausführungszeit: Analyse und Behandlung
• Kurz die Realität

1998: Elizardo Jara, Sergio Montenegro & Fihmi Mousa

Public-domain-Crossbarkommunikationssystem (only .ps.gz)
Markt & Technik, März 1998

Kurzfassung von "Hochleistungskommunikationssystem mit Public domain Hardware"

1998: Sergio Montenegro

Das Pendeln zwischen Sicherheit und Gefahr
Publication pending

Man merkt erst wie wichtig die Sicherheit ist, wenn man sie braucht und sie ist nicht da. Aber dann ist es meistens schon zu spät. Die Sicherheit braucht man angesichts einer Gefahr, die meistens aus der Umgebung kommt, die wir selbst für uns geschaffen haben. Gar keine Sicherheit ist besser als eine falsche oder schlecht implementierte Sicherheit, die uns nur täuscht. Denn man verläßt sich darauf und vergißt die natürliche Vorsicht. Eine offensichtliche Gefahr ist viel besser als eine versteckte oder vertuschte. Die letztere ist nichts anderes als eine Falle -- und genau das erschafft man mit einer falsch implementierten Sicherheit.

• Sicherheit und ähnliches
• Die Natur der Fehler
• Der direkte Weg vom Fehler zum Unfall
• Das System in seiner ungewissen Umgebung

1998: Sergio Montenegro

Konzeption sicherheitsrelevanter eingebetteter Systeme
Kongreß "Embedded Intelligence '98" Feb. 1998 in Stuttgart.
Proceedings vom MagnaMedia Verlag.

Abzug vom Paper "sicherheitsrelevanter eingebetteter Systeme"

Bei der Entwicklung sicherheitsrelevanter Systeme, deren Versagen tödliche Folgen haben kann, ist die Frage: Wann ist das System sicher genug? nicht beantwortbar. Wünschenswert wäre es, alles menschlich mögliche für die Sicherheit zu tun und ihr bei allen Entscheidungen die höchste Priorität einzuräumen.

• Vereinfachen
• Kooperation Mensch-Maschine
• Risiken und Gefahren erkennen
• Gefahren beherrschen

1998: Sergio Montenegro

Real Java für Real-Zeit Applikationen
Design & Elektronik, Juni 1998, Heft 6

• Anforderungen an Real-Zeit Programmierung
• Vergleich C/C++, Java und ADA
• Java Vor- und Nachteile
• Java-Probleme bei Real-Zeit
• Java-Arbeiten um aus Java eine Real-Zeit Sprache zu machen
• Ein Java Framework zum Real-Zeit Experimente

1997: Elizardo Jara, Sergio Montenegro & Fihmi Mousa

Hochleistungskommunikationssystem mit Public domain Hardware (only .ps.gz)
Publication pending

Bei der Realisierung von parallelen und verteilten Rechnersystemen ist die Auswahl des Kommunikationssystems entscheidend. Die GMD-FIRST hat für das Gebiet der konfigurierbaren, massiv-parallelen Rechner ein Hochleistungskommunikationssystem entwickelt, das auch in anderen Bereichen mit hohen Kommunikationsanforderungen einsetzbar ist. Das gesamte System stellen wir jetzt als public domain Hardware zur Verfügung. Dieses Kommunikationssystem kann sehr einfach bei verschiedenen Sorten digitaler Kommunikation verwendet werden. Es erlaubt, die Zahl der Anschlüsse über einen sehr großen Bereich zu wählen, von 16 als kleinster Wert bis zu mehreren Tausenden. Die Grundbausteine des Kommunikationssystems sind ein 16x16-Crossbar und ein universeller Anschluß (Link-Anschluß) für die Endgeräte

1997: Sergio Montenegro

Framework für Real-Zeit only .ps.gz
Publication pending

2. Teil Kurzfassung von "Real Java für Real-Zeit Applikationen"

1997: Sergio Montenegro

Real-Zeit Konzepte (only .ps.gz)
Publication pending

Kurzfassung von "Echtzeit Programmierung"

1997: Sergio Montenegro

sicherheitsrelevanter eingebetteter Systeme
Design und Elektronik, Nov 1997, Heft 18.

Bei der Entwicklung sicherheitsrelevanter Systeme, deren Versagen tödliche Folgen haben kann, ist die Frage: "Wann ist das System sicher genug?" nicht beantwortbar. Wünschenswert wäre es, alles menschlich mögliche für die Sicherheit zu tun und ihr bei allen Entscheidungen die höchste Priorität einzuräumen.

• Vereinfachen
• Kooperation Mensch-Maschine
• Risiken und Gefahren erkennen
• Gefahren beherrschen

1997: Sergio Montenegro

Konzeption sicherer Systeme (only .ps.gz)
Publication pending

Teil Kurzfassung von "sicherheitsrelevanter eingebetteter Systeme"

1997: Sergio Montenegro, Dr. R. Kneuper, G. Mueller-Luschnat

4. Workshop: Vorgehensmodelle - Einführung, betrieblicher Einsatz, Werkzeug -Unterstützung und Migration, 17. - 18. März 1997, Berlin.
GMD-Studie 311, ISBN 3-88457-311-X, Proceedings-Bestellungen: Gertrud.Jacobs@fhg.de

Vorgehensmodelle führen in den Unternehmen meist eine stilles Dasein. Es gibt jedoch kaum ein Unternehmen, das nicht seit Jahren ein Vorgehensmodell zur Entwicklung von Anwendungssystemen, meist auf der Basis klassischer Methoden, verwendet. Auf der anderen Seite ist das Anwendungsumfeld und die Informationstechnik in den letzten Jahren durch eine permanente Weiterentwicklung geprägt. Neue Paradigmen, z.B. die Objektorientierung und die Prozessorientierung sowie neue Techniken, z.B. Vernetzung, Internet, müssen in die Anwendungsentwicklung integriert werden. Dies erfordert, dass die bereits existierenden Vorgehensmodelle angepasst oder durch neue Vorgehensmodelle ersetzt werden müssen. Häufig stellt sich hierbei auch die Frage nach einer geeigneten Werkzeug-Unterstützung. Nicht zuletzt erfordert die Globalisierung, der Unternehmen heute ausgesetzt sind, auch eine Orientierung und Öffnung gegenüber Vorgehensmodellen im internationalen Umfeld.

1996: Alexander Borusan (Fhg ISST), Robert Büssow (TU Berlin), Heiko Dörr (DBAG), Dieter Lienert (Robert Bosch GmbH), Sergio Montenegro (GMD FIRST)

Essentials der ESPRESS Methode. (only .ps.gz 300K)
Bericht F3S/K-96-03 Daimler Benz, 27 Sept. 96

Die Definition einer Entwicklungsmethode für Software in eingebetteten sicherheitsrelevanten Systemen muß bestimmte Vorgaben des geplanten Anwendungsbereichs beachten. Dieser Bericht identifiziert fünf wesentliche Randbedingungen, die bei der Definition einer Methode berücksichtigt werden müssen; soll sie in realen Anwendungen erfolgreich eingesetzt werden. Diese Vorgaben werden durch acht Prinzipien konstruktiv umgesetzt, die bei der Definition der Methode und ihrer Umsetzung in konkrete Notationen und Werkzeuge befolgt werden müssen. Die Umsetzung der Prinzipien wird anhand eines ersten Vorgehensmodells gezeigt.

1996: Sergio Montenegro

Ein Vorgehensmodell fuer Sicherheitsrelevante Systeme (You need java to browse this document)
Interner Bericht

DasVorgehensmodell für sicherheitsrelevante Systeme ist eine Spezialisierung und Vereinfachung des V-Modells. Es führt neue Verfahren in die Submodelle Softwareentwicklung (SWE) und Qualitätssicherung (QS) aus dem V-Modell ein.

1996: Sergio Montenegro

ESPRESS Presentation sheet (Englisch/German) (only .ps.gz)
ERCIM-News 1996
Printed Presentation sheet as hand-out

ESPRESS aims to increase productivity in developing complex, safety-critical, embedded systems and enhance the reliability of such systems by the development of a methodological tool-supported software technology for specific application areas covering the whole life-cycle.

Hardware for Parallel Computing
	Feb 91	MANNA Link protocol (100 Mbytes/s)
	Feb 91	MANNA 16x16 Crossbar 1600 Mbytes/s)
	Jul 91	MANNA Link Interface Chip

Computer architecture
	Sep 92	MANNA: Architektur für massiv-parallele Applikationen
	Oct 92	Massiv-parallele Architektur für nicht numerische Aufgaben

Computer architecture Papers
	Nov 93	Das MANNA Kommunikationssystem	GMD Spiegel nov. 1993
	Sept 93	Eine Billion Operationen/S	esign&Elektronik: Zukunftstechnologien
	Oct 92	Massiv-parallele Architektur für nicht numerische Anwendungen	GMD-Spiegel 3-92
	Aug 91	Hierarchical Interconnection Networks	ITG/GI-Workshop
	Jun 91	Choosing the Interconnect of Distributed Memory Systems by cost and Blocking Behavior,	Proc. 5th Internat. parallel processing Symposium on comp. Arch, IEE Catalog CH2887-90, 15-26
	Jan 91	Interconnects for High Bandwidth, Highly Parallel Distributed Distributed Memory Supercomputers	Minitrack on High Bandwidth Computing, (Hawaii HICSS-24)
	Sep 90	Nachrichtennavigation und der Aufbau logischer Verbindungen	Design&Elektronik Heft 18
	Jun 90	The Choice of Interconnects for Highly Parallel MIMD Architectueres Based on Cost and Blocking Behavior	Supercomputing conference, Japan.
	Dez 89	Kommunikationsstrukturen für verteilte Rechnersysteme	Promotion
	Mai 89	Super Interconnection Networks for Supercomputers	Supercomp. Conf. California
	Jun 88	The SUPRENUM Node Computer	COMPAR'88, England