@misc{59601, abstract = {{Modern vehicles are becoming more connected and autonomous, and more software-defined in general. Such connectivity leads to security risks due to the increased attack surface for external intrusions. In addition, attacks can also lead to safety hazards as cars contain multiple safety-critical components. Therefore both safety and security must be considered in combination. In this whitepaper, we describe a tool-supported analysis method aligned with automotive standards to identify safety and security dependencies and automatically derive corresponding test cases. These test cases can be imported into the existing dSPACE tool chain to improve efficiency by reducing time-consuming manual work and susceptibility to errors. Thereby, our method brings together system design and testing phases to pave the way for an integrated safety and security-by-design life cycle in the automotive domain.}}, author = {{Trentinaglia, Roman and Fockel, Markus and Pukrop, Matthias and Schaeffer, Tobias}}, pages = {{5}}, publisher = {{dSPACE GmbH}}, title = {{{Whitepaper: From HARA and TARA to Risk-Based Safety and Security Dependency Testing}}}, year = {{2024}}, } @inproceedings{57578, author = {{Trentinaglia, Roman and Fockel, Markus and Pukrop, Matthias and Schaeffer, Tobias}}, booktitle = {{22th escar Europe : The World’s Leading Automotive Cyber Security Conference : Embedded Security in Cars (Dortmund, 19. - 20.11.2024)}}, title = {{{Automatically deriving test cases from safety-security dependencies}}}, doi = {{10.13154/294-12716}}, year = {{2024}}, } @article{52587, author = {{Bodden, Eric and Pottebaum, Jens and Fockel, Markus and Gräßler, Iris}}, issn = {{1540-7993}}, journal = {{IEEE Security & Privacy}}, keywords = {{Law, Electrical and Electronic Engineering, Computer Networks and Communications}}, number = {{1}}, pages = {{69--72}}, publisher = {{Institute of Electrical and Electronics Engineers (IEEE)}}, title = {{{Evaluating Security Through Isolation and Defense in Depth}}}, doi = {{10.1109/msec.2023.3336028}}, volume = {{22}}, year = {{2024}}, } @inproceedings{43395, author = {{Trentinaglia, Roman and Merschjohann, Sven and Fockel, Markus and Eikerling, Hendrik}}, booktitle = {{REFSQ 2023: Requirements Engineering: Foundation for Software Quality}}, isbn = {{9783031297854}}, issn = {{0302-9743}}, publisher = {{Springer Nature Switzerland}}, title = {{{Eliciting Security Requirements – An Experience Report}}}, doi = {{10.1007/978-3-031-29786-1_25}}, year = {{2023}}, } @inproceedings{29847, author = {{Fockel, Markus and Schubert, David and Trentinaglia, Roman and Schulz, Hannes and Kirmair, Wolfgang}}, booktitle = {{Proceedings of the 10th International Conference on Model-Driven Engineering and Software Development}}, publisher = {{SCITEPRESS - Science and Technology Publications}}, title = {{{Semi-automatic Integrated Safety and Security Analysis for Automotive Systems}}}, doi = {{10.5220/0010778500003119}}, year = {{2022}}, } @article{31071, abstract = {{Distributed, software-intensive systems (e.g., in the automotive sector) must fulfill communication requirements under hard real-time constraints. The requirements have to be documented and validated carefully using a systematic requirements engineering (RE) approach, for example, by applying scenario-based requirements notations. The resources of the execution platforms and their properties (e.g., CPU frequency or bus throughput) induce effects on the timing behavior, which may lead to violations of the real-time requirements. Nowadays, the platform properties and their induced timing effects are verified against the real-time requirements by means of timing analysis techniques mostly implemented in commercial-off-the-shelf tools. However, such timing analyses are conducted in late development phases since they rely on artifacts produced during these phases (e.g., the platform-specific code). In order to enable early timing analyses already during RE, we extend a scenario-based requirements notation with allocation means to platform models and define operational semantics for the purpose of simulation-based, platform-aware timing analyses. We illustrate and evaluate the approach with an automotive software-intensive system.}}, author = {{Holtmann, Jörg and Deantoni, Julien and Fockel, Markus}}, issn = {{1619-1366}}, journal = {{Software and Systems Modeling}}, keywords = {{Modeling and Simulation, Software}}, publisher = {{Springer Science and Business Media LLC}}, title = {{{Early timing analysis based on scenario requirements and platform models}}}, doi = {{10.1007/s10270-022-01002-3}}, year = {{2022}}, } @inproceedings{22805, author = {{Fockel, Markus and Merschjohann, Sven and Fazal-Baqaie, Masud and Förder, Torsten and Hausmann, Stefan and Waldeck, Boris}}, booktitle = {{European System, Software & Service Process Improvement & Innovation Conference (EuroSPI 2019)}}, issn = {{1865-0929}}, location = {{Edinburgh, UK}}, title = {{{Designing and Integrating IEC 62443 Compliant Threat Analysis}}}, doi = {{10.1007/978-3-030-28005-5_5}}, volume = {{1060}}, year = {{2019}}, } @phdthesis{20779, abstract = {{Der hohe Grad an Innovation in mechatronischen Systemen führt zu sogenannten Cyber-Physical Systems (CPS). Diese haben eine komplexe Funktionalität und Kommunikation. Wie sicherheitskritisch solche Systeme sind, wird durch sogenannte Sicherheits-Integritätslevel (SIL) kategorisiert, die durch Normen wie der ISO 26262 definiert werden. Ein bestimmter SIL beschreibt nicht nur die Höhe des Gefährdungsrisikos, sondern diktiert auch den erforderlichen Grad an Sorgfalt bei der Entwicklung des Systems. Ein hoher SIL erfordert die Anwendung von Safety-Maßnahmen mit einem hohen Sorgfaltsgrad in allen Phasen der Entwicklung und impliziert daher einen hohen Safety-Aufwand. SIL-Tailoring ist ein Mittel um den Safety-Aufwand zu reduzieren, indem man Subsystemen geringere SILs zuordnet, falls sie von kritischeren Subsystemen getrennt sind oder redundante Safety-Anforderungen erfüllen. Um den nötigen Safety-Aufwand zu planen, sollten Möglichkeiten für SIL-Tailoring so früh wie möglich identifiziert werden - d.h. bereits in der Anforderungsanalyse. Durch die Komplexität von CPS, ist es schwierig valide SIL-Tailorings zu finden. Die Validität von SIL-Tailorings muss durch Analyse von Fehlerpropagierungspfaden geprüft und durch Argumente im Safety Case begründet werden. Der Beitrag dieser Dissertation ist ein systematischer, tool-unterstützter SIL-Tailoring-Prozess, der im Safety Requirements Engineering angewendet wird. Der Prozess nutzt eine modell-basierte, formale Anforderungsspezifikation und stellt einen Katalog von Anforderungsmustern bereit. Basierend auf diesen Anforderungen werden Fehlerpropagierungsmodelle generiert und Subsystemen automatisch SILs zugeordnet. Das minimiert den Sicherheitsanalyseaufwand. Aus den generierten Ergebnissen wird automatisch ein Safety Case mit Argumenten für die SIL-Tailoring-Validität abgeleitet.}}, author = {{Fockel, Markus}}, publisher = {{Fakultät für Elektrotechnik, Informatik und Mathematik, Universität Paderborn}}, title = {{{Safety Requirements Engineering for Early SIL Tailoring}}}, doi = {{10.17619/UNIPB/1-490}}, year = {{2018}}, } @inproceedings{20780, abstract = {{With the growing number of incidents, the topic security gains more and more attention across all domains. Organizations realize their lack of state-of-the-art security practices, however, they struggle to improve their software lifecycle in terms of security. In this talk, we introduce the concept of security by design that implements security practices within the whole software lifecycle. Based on our practical experience from industry projects in the regulated industrial automation and unregulated classical IT domain, we explain how to perform a threat analysis and how to integrate it into the software lifecycle.}}, author = {{Fockel, Markus and Merschjohann, Sven and Fazal-Baqaie, Masud}}, booktitle = {{19th International Conference on Product-Focused Software Process Improvement (PROFES 2018)}}, publisher = {{Springer Nature Switzerland AG}}, title = {{{Threat Analysis in Practice - Systematically Deriving Security Requirements}}}, doi = {{10.1007/978-3-030-03673-7_25}}, year = {{2018}}, } @inproceedings{20786, abstract = {{Distributed, software-intensive systems such as automotive electronic control units have to handle various situations employing message-based coordination. The growing complexity of such systems results in an increasing difficulty to achieve a high quality of the systems' requirements specifications. Scenario-based requirements engineering addresses the message-based coordination of such systems and enables, if underpinned with formal modeling languages, automatic analyses for ensuring the quality of requirements specifications. However, formal requirements modeling languages require high expertise of the requirements engineers and many manual iterations until specifications reach high quality. Patterns provide a constructive means for assembling high-quality solutions by applying reusable and established building blocks. Thus, they also gained momentum in requirements documentation. In order to support the requirements engineers in the systematic conception of formal, scenario-based requirements specification models, we hence introduce in this paper a requirement pattern catalog for a requirements modeling language. We illustrate and discuss the application of the requirement patterns with an example of requirements for an automotive electronic control unit.}}, author = {{Fockel, Markus and Holtmann, Jörg and Koch, Thorsten and Schmelter, David}}, booktitle = {{6th International Conference on Model-Driven Engineering and Software Development (MODELSWARD 2018)}}, title = {{{Formal, Model- and Scenario-based Requirement Patterns}}}, year = {{2018}}, } @inproceedings{20791, abstract = {{Intelligente technische Systeme, wie autonom fahrende Fahrzeuge, werden in einem hohen Maß durch Software realisiert. Der Weg zum autonomen Fahren führt unweigerlich über eine steigende Vernetzung von Steuergeräten im Fahrzeug und über Fahrzeuggrenzen hinweg. Damit einher geht eine stetig steigende Komplexität der Software. Deshalb liegt es auf der Hand, dass die systematische Qualitätssicherung für derartige technische Systeme sehr früh, also bereits entwicklungsbegleitend, erfolgen muss. Dazu lässt sich das Software-in-the-Loop-Verfahren einsetzen, das auf etablierte Techniken des Hardware-in-the-Loop-Verfahrens zurückgreift. Eine besondere Herausforderung besteht darin, Simulationsmodelle und Testbibliotheken sowie die zugehörigen Visualisierungs- und Testwerkzeuge in beiden Welten synergetisch zu nutzen. Das Ziel ist eine einheitliche X-in-the-Loop (XIL) Basis für beide Verfahren. Der Schlüssel zu einer einheitlichen Basis für durchgängige XIL-Testszenarien ist der Einsatz eines übergeordneten Systemmodells. Es definiert die Systemgrenze und umliegenden Systeme in der Umwelt. Zudem dient das Systemmodell als Ordnungsschema für die Ablage der Artefakte wie Verhaltensmodelle, Testskripte, Parametersätze oder Workflows. Ein zentrales Datenmanagementwerkzeug, welches sämtliche Strukturinformationen, Verhaltensmodelle und Variantenbezüge verknüpft, ermöglicht ein teilautomatisches Umschalten zwischen den Testszenarien. In diesem Beitrag stellen wir eine solche Lösung vor.}}, author = {{Schmitz, Joachim and Fockel, Markus}}, booktitle = {{ Tag des Systems Engineering 2017}}, publisher = {{Gesellschaft f{\"u}r Systems Engineering e.V.}}, title = {{{Systemmodelle als Schlüssel zu durchgängigen XIL-Testszenarien}}}, year = {{2017}}, } @techreport{20793, abstract = {{Scenario-based requirements engineering addresses the message-based coordination of software-intensive systems and enables, if underpinned with formal languages, automatic requirements validation techniques for improving the quality of a requirements specification. One of such requirements engineering approaches bases on a recent visual Live Sequence Chart variant compliant to the Unified Modeling Language, so-called Modal Sequence Diagrams (MSDs). The usage of patterns is known to be constructive thanks to assembling solutions by means of reusable building blocks that are proven in practice, so that recurring problems do not need to be solved over and over again. Thus, patterns also gained momentum in the area of requirements documentation. In this technical report, we introduce a model- and scenario-based pattern catalog for MSD requirements. Our MSD requirement pattern catalog consolidates and unifies 86 requirement patterns from three well-known, practice-oriented requirement pattern catalogs, each covering different aspects.}}, author = {{Fockel, Markus and Holtmann, Jörg and Koch, Thorsten and Schmelter, David}}, title = {{{Model-based Requirement Pattern Catalog}}}, year = {{2017}}, } @techreport{20823, abstract = {{In this technical report, we present the MechatronicUML requirements engineering method. The method encompasses a process and a scenario-based modeling language for the documentation and analysis of requirements on the message-based interaction behavior of software-intensive systems. The modeling language uses a scenario notation based on Modal Sequence Diagrams (MSDs), which borrows concepts of UML Interactions as well as of Live Sequence Charts. Furthermore, we introduce the so-called Emergency Braking & Evasion System (EBEAS) as a running example, which is based on current and upcoming real-world driver assistance systems. }}, author = {{Holtmann, Jörg and Fockel, Markus and Koch, Thorsten and Schmelter, David and Brenner, Christian and Bernijazov, Ruslan and Sander, Marcel}}, title = {{{The MechatronicUML Requirements Engineering Method: Process and Language}}}, doi = {{10.13140/RG.2.2.33223.29606}}, year = {{2016}}, } @inproceedings{20827, abstract = {{Cyber-physical systems like self-driving cars are highly complex and safety-critical. This results in a great number of safety requirements that have different levels of criticality. In automotive, the criticality is categorized in Automotive Safety Integrity Levels (ASIL). As a high ASIL causes high development effort, the goal is to develop most subsystems with lower ASIL requirements. To achieve this ASIL tailoring, subsystems need to be separated or redundantly implemented. These safety measures are usually integrated late in the development process and thus cause costly development iterations. In this paper, we present a systematic, tool-supported ASIL tailoring process for the requirements analysis phase. It is applied on formal safety requirements and automatically generated fault trees for a functional view of the system. The process supports early planning of safety efforts for mixed-criticality systems and avoids costly late development iterations.}}, author = {{Fockel, Markus}}, booktitle = {{5th International Workshop on Next Generation of System Assurance Approaches for Safety-Critical Systems (SASSUR)}}, pages = {{298–310}}, publisher = {{Springer International Publishing Switzerland}}, title = {{{ASIL Tailoring on Functional Safety Requirements}}}, volume = {{9923}}, year = {{2016}}, } @article{20828, abstract = {{In verschiedenen Unternehmen wird mit Anforderungen unterschiedlich umgegangen. Je nach Größe, Branche und Unternehmenskultur ist das Thema Requirements Engineering (RE) mal weniger, mal mehr etabliert. In einigen Unternehmen wird es als lästige Zusatzaufgabe betrachtet, während andere Unternehmen ganze Abteilungen mit RE als Kernkompetenz betreiben. RE wird allerdings in jedem Projekt - bewusst oder unbewusst - durchgeführt! RE ist die Basis für den weiteren Entwicklungsprozess, die Validierung/Verifikation und die Plan- und Messbarkeit des Projekts. Darüber hinaus können Fehler, die auf Anforderungsebene gefunden werden, weniger aufwendig und somit günstiger behoben werden als in späteren Entwicklungsphasen. Am Fraunhofer IEM beraten wir Unternehmen und erforschen neue Methoden bezüglich der Entwicklung von intelligenten technischen Systemen. In diesem Artikel berichten wir über unsere Erfahrungen aus Projekten, in denen wir Unternehmen aus verschiedenen Branchen und mit unterschiedlichem RE-Reifegrad zwecks Leistungssteigerung des RE begleitet haben. Auf Basis dieser Projekterfahrungen zeigen wir Wege auf, wie der Stand des RE mittels eines Reifegradmodells im eigenen Unternehmen verbessert werden kann.}}, author = {{Holtmann, Jörg and Fockel, Markus and Koch, Thorsten and Schmelter, David}}, journal = {{OBJEKTspektrum}}, number = {{RE/2016}}, title = {{{Requirements Engineering - Zusatzaufgabe oder Kernkompetenz?}}}, year = {{2016}}, } @inproceedings{20969, abstract = {{Zukünftige mechatronische Systeme entwickeln sich mehr und mehr zu intelligenten technischen Systemen, die durch eine zunehmende Verzahnung der mechanischen, elektrischen und informationsverarbeitenden Anteile gekennzeichnet sind. Um das Zusammenspiel der Disziplinen besser zu beherrschen, werden zunehmend Methoden und disziplinübergreifende Systemmodelle des Systems Engineering genutzt. Offene Probleme sind dabei noch die Nachverfolgbarkeit der Entwicklung (Traceability) und die Verwaltung zueinander konsistenter Versionen von disziplinübergreifenden und disziplinspezifischen Modellen. Dieser Beitrag adressiert diese Probleme durch die Verknüpfung der Spezifikationstechnik CONSENS für den Systementwurf mit dem Datenmanagementwerkzeug SYNECT. Der Beitrag stellt die Konzipierung und prototypische Werkzeugunterstützung für die Verknüpfung von Systemmodellen und disziplinspezifischen MATLAB/Simulink-Modellen vor. }}, author = {{Schmitz, Joachim and Fockel, Markus}}, booktitle = {{Tag des Systems Engineering 2015}}, publisher = {{Gesellschaft für Systems Engineering e.V.}}, title = {{{Vom Systemmodell zu disziplinspezifischen Modellen und zurück}}}, year = {{2015}}, } @inproceedings{20970, abstract = {{Automobile Steuergeräte realisieren mehr und mehr sicherheitskritische Funktionen. Nicht erst durch die Einführung der ISO 26262 werden an die Entwicklung sicherheitskritischer Funktionen besondere Anforderungen zum Beispiel in Form von Sicherheitsanalysen gestellt. In der Praxis hat sich herausgestellt, dass durch den bisherigen Systementwurf nicht alle notwendigen Daten für die Sicherheitsanalysen vorlagen. Von daher war eine Erweiterung des bisherigen Vorgehens erforderlich, sodass die benötigten Daten zu den erforderlichen Zeitpunkten vorliegen und die Sicherheitsanalysen ohne aufwendige Nacharbeiten erstellt werden können. Dieser Artikel beschreibt die durchgeführten Erweiterungen und die Erfahrungen, die in Serienprojekten eines automobilen Zulieferers gesammelt wurden.}}, author = {{Meyer, Jan and Fockel, Markus and Holtmann, Jörg}}, booktitle = {{Tag des Systems Engineering 2015}}, publisher = {{Gesellschaft für Systems Engineering e.V.}}, title = {{{Systementwurf unter Einbeziehung funktionaler Sicherheit bei automobilen Steuergeräten}}}, year = {{2015}}, } @inproceedings{20971, abstract = {{The growing complexity of today's software intensive systems results in an increased size of requirements specifications, which are typically documented by means of natural language (NL). Large NL requirements specifications are prone to contain defects (e.g., contradictions), and the inherent ambiguity of NL impedes automatic techniques to support the requirements engineer. In order to cope with this problem, we conceived a requirements documentation approach implemented in the tool ReqPat. Using a controlled NL, it supports an efficient requirements documentation, an automatic requirements validation, and an automatic transition to models--while still keeping the requirements understandable for all stakeholders. }}, author = {{Fockel, Markus and Holtmann, Jörg}}, booktitle = {{Proc. of the 23rd International Requirements Engineering Conference 2015 (RE15)}}, publisher = {{IEEE}}, title = {{{ReqPat: Efficient Documentation of High-quality Requirements using Controlled Natural Language}}}, year = {{2015}}, } @inproceedings{20972, abstract = {{The use of models in requirements engineering (RE) for software-intensive embedded systems is considered beneficial. The main advantages of requirements models as documentation format are that they facilitate requirements understanding and foster automatic analysis techniques. However, natural language (NL) is still the dominant documentation format for requirements specifications, particularly in the domain of embedded systems. This is due to the facts that NL-based requirements can be used within legally binding documents and are more appropriate for reviews than models. In order to bridge the gap between both of these documentation formats, this paper proposes a model-driven RE methodology that makes use of requirements models along with a controlled natural language. The methodology combines the advantages of model-based and NL-based documentation by means of a bidirectional multi-step model transformation between both documentation formats. We illustrate the approach by means of an automotive example, explain the particular steps of the model transformation, and present performance results. }}, author = {{Fockel, Markus and Holtmann, Jörg}}, booktitle = {{2014 IEEE 4th International Model-Driven Requirements Engineering Workshop (MoDRE)}}, isbn = {{9781479963430}}, title = {{{A requirements engineering methodology combining models and controlled natural language}}}, doi = {{10.1109/modre.2014.6890827}}, year = {{2014}}, } @article{20906, abstract = {{Von heutigen technischen Systemen wird immer mehr Funktionalität gefordert. Dies manifestiert sich in einer steigenden Anzahl von Anforderungen, die üblicherweise in freier natürlicher Sprache festgehalten werden. Das führt oft zu mehrdeutigen, widersprüchlichen oder unvollständigen Anforderungen. In diesem Beitrag wird eine Methode zur Spezifikation von Anforderungen auf Basis von Satzmustern inklusive ihrer Werkzeugunterstützung „ReqPat“ vorgestellt: Anforderungen werden weiterhin textuell aber in einer eingeschränkten natürlichen Sprache verfasst. Dadurch wird ein einheitliches Anforderungsverständnis erreicht und es werden Qualitätsanalysen sowie der Übergang zu Modellen automatisiert.}}, author = {{Fockel, Markus and Holtmann, Jörg and Meyer, Matthias}}, journal = {{OBJEKTspektrum}}, number = {{RE/2014}}, title = {{{Mit Satzmustern hochwertige Anforderungsdokumente effizient erstellen}}}, year = {{2014}}, }