Computer and Systems Engineering

Nell’ambito delle infrastrutture critiche, i sistemi di traspor to di massa a guida vincolata (ferroviari e metropolitani) sono senza dubbio tra i più bersagliati da microcriminalità, atti vandalici e terrorismo, come testimoniano i numerosi episodi di diversa gravità che si sono susseguiti negli ultimi anni, tra cui gli attentati di Madrid e Londra. Oltre a costituire minacce concrete e tali da procurare perdite finanziarie significative ai gestori delle infrastrutture, tali episodi contribuiscono ad  incrementare il senso di insicurezza di passeggeri e personale. Un’accurata analisi del rischio nei  confronti di atti di natura dolosa e l’impiego di tecnologie di protezione sempre più avanzate rappresentano la strada da seguire per fronteggiare tali minacce.

Finding a good trade-off among the probability of detection (POD), the false alarm rate (FAR) and the reliability of detectors is a very important task in physical security system design. Existing solutions try to achieve this aim either by using the most advanced technologies or by combining basic sensors in logical OR/AND relations. However, these approaches are either not cost-effective or they do not allow for the necessary flexibility to obtain the right balance. In this paper I propose a majority voting scheme for multiple technology detectors which I evaluate using stochastic modelling techniques. This solution has the major advantages that it permits good overall dependability while using low-cost detectors, and also enables a precise fine tuning of POD and FAR parameters. To the best of my knowledge, no similar system has been studied in depth in the research literature. I provide a set of results which clearly show the advantages of the proposed approach.

In order to master the increasing complexity of modern railway control systems, novel model-based approaches are needed to allow engineers to evaluate such systems against strict system-level dependability requirements. In this talk, we provide an overview of the experience of Ansaldo STS in using model-based approaches for railway safety, reliability and security. Dependability requires assessment both at the software and at the hardware levels. At the software level, models have proven useful to support both static and dynamic functional analyses in order to discover systematic faults in the code. At the hardware level, we have experimented that compositional multi-formalism modeling approaches well suit the evaluation of system safety and reliability against random faults. The use of models has allowed engineers to improve both the effectiveness and the efficiency of system verification. Views of the Unified Modeling Language have been adopted to perform informal or semi-formal analyses, while Stochastic Petri Nets, (Repairable) Fault Trees, Continuous Time Markov Chains and Bayesian Networks have been employed for formal and quantitative analyses. Analytical risk and vulnerability models have also been experimented for security assessment with respect to intentional threats and natural hazards. Due to the wide range of possible applications, we are currently studying in depth both the theoretical and the technological issues related to the multi-paradigm dependability modeling using appropriate frameworks.

Sistemi critici per disponibilità e sicurezza suscitano un interesse crescente nel mondo della ricerca in quanto impiegati in molteplici contesti e caratterizzati da un notevole livello di distribuzione, complessità ed eterogeneità. Gli attributi di interesse per tali sistemi (Affidabilità, Disponibilità, Sicurezza, ecc.), rientrano nella definizione generale di dependability, che integra anche i concetti di minacce (guasti, errori, malfunzionamenti) e strumenti (prevenzione, tolleranza, rimozione, previsione). Per soddisfare i requisiti funzionali e non funzionali, nonché ridurre costi e tempi di progetto, sviluppo e validazione, è indispensabile prevedere la dependability di tali sistemi fin dalle prime fasi di progetto. Diverse tecniche e strumenti sono stati proposti allo scopo, potendosi dividere nei due macrogruppi dei metodi simulativi e di quelli formali. I primi risultano in genere più efficienti e facili da usare, ma non in grado di fornire misure esatte della propria efficacia. I metodi formali risultano ben definiti (matematicamente) in termini di sintassi e semantica, per cui, fatti salvi approssimazioni o errori di modellazione, consentono di ottenere risultati esatti (es. proprietà sempre verificate dal modello, indipendentemente dalle sequenze di input a cui può essere sottoposto il sistema). E’ chiaro che quest’ultima possibilità rappresenta un vantaggio notevole in termini di efficacia rispetto agli approcci simulativi (es. testing). Esempi di metodi formali consistono nei linguaggi grafici o testuali che consentono di applicare tecniche di model-checking. Alcuni linguaggi di tipo grafico (es. reti di Petri e relative estensioni), in particolare, hanno riscosso un notevole successo per la loro caratteristica di coniugare potenza espressiva e facilità d’uso. A questi due aspetti, nel compromesso globale, va affiancato quello dell’efficienza computazionale degli algoritmi risolutivi, che molto spesso rappresenta un limite all’impiego pratico dei metodi formali in contesti industriali.
Allo scopo di adattare gli aspetti citati (facilità d’uso, potenza espressiva, efficienza) alle diverse parti, aspetti o livelli di astrazione di sistemi complessi ed eterogenei, sono stati introdotti i cosiddetti approcci multi-formalismo, in cui più linguaggi e tecniche formali convivono in un’unica vista del sistema, che può integrare sia aspetti strutturali che comportamentali (o funzionali). A fronte di evidenti vantaggi in termini di possibilità di analisi, un tale approccio introduce una serie di problematiche teoriche e pratiche di non facile soluzione.
Esistono diversi approcci teorici e framework di supporto al multiformalismo. Vale la pena di citare l’approccio OsMoSys che mantiene i modelli scritti in linguaggi diversi distinti tra loro, sfruttando risolutori esistenti (con cui si interfaccia tramite opportuni adapters) e orchestrandoli tramite un’opportuna Workflow Engine. OsMoSys rappresenta quindi sia un approccio metodologico che un framework di supporto alla modellazione multiformalismo / multirisolutore, sviluppato in collaborazione tra le università di Napoli e Torino.
Nella creazione di modelli multiformalismo, riveste particolare importanza il modo in cui i diversi sottomodelli interagiscono tra loro. In particolare, i modelli cosiddetti “connessi” prevedono il passaggio di dati e risultati da un modello all’altro, ma non consentono un’interazione stretta, in fase di esecuzione dei sottomodelli. Per consentire tale interazione, che consente di incrementare la potenza espressiva del modello globale aumentandone la coesione, è necessario caratterizzare i sottomodelli in termini di stato e azioni. I concetti di stato e azione generalizzano i formalismi, sotto l’unica ipotesi di sistemi di tipo a eventi discreti (Discrete Event Systems, DES). Gli operatori di composizionalità sono gli strumenti teorici che consentono di definire la semantica della composizione. Rappresentati graficamente e associata loro una sintassi e semiotica ben definita, possono essere integrati nel framework OsMoSys sfruttando la distinzione tra elementi interni e di interfaccia dei sottomodelli: lo stato degli elementi di interfaccia costituirebbe in tal caso una classe di equivalenza di stati del modello e semplificherebbe la modellazione, riducendo alle condizioni all’interfaccia quelle di cui il modellista deve tener conto nel momento in cui si appresta a definire le regole di composizione. L’implementazione di siffatti operatori in OsMoSys richiede la valutazione di aspetti sia teorici (es. verifica di correttezza dei modelli, conservazione delle proprietà) che pratici (es. reingegnerizzazione di parte del framework).

In this paper, we present the architecture and the main functionalities of an innovative security system and its installation details in the Metrocampania undeground railway. Heterogeneous intrusion detection, access control, intelligent video-surveillance and sound detection devices are integrated in a cohesive Security Management System (SMS). The core of the SMS consists of an advanced web-based software application featuring an effective and user-friendly interface. System architecture is distributed and hierarchical, with both local and central control rooms collecting alarms according to different scopes and responsibilities. The system is able to protect stations (accesses, technical rooms, platforms, etc.), tunnels (portals, ventilation shafts, etc.), trains and depots. Presently, the system is being tested in the Metrocampania regional railway.

ABSTRACT: Critical Infrastructure Protection (CIP) against potential threats has become a major issue in modern society. CIP involves a set of multidisciplinary activities and requires the adoption of proper protection mechanisms, usually supervised by centralized monitoring systems. This paper presents the motivation, the working principles and the software architecture of DETECT (DEcision Triggering Event Composer & Tracker), a new framework aimed at the automatic and early detection of threats against critical infrastructures.

European Railway Traffic Management System/European Train Control System (ERTMS/ETCS) is a recent standard aimed at improving performance, safety and interoperability of modern railways. In order to be compliant to ERTMS/ETCS, a railway signalling system must meet strict nonfunctional requirements on system level failure modes. In this paper, a multiformalism model is employed to perform an availability analysis of an ERTMS/ETCS reference architecture at early phases of its development cycle. At this aim, a bottom-up analysis is performed from subsystem failure models (expressed by means of Generalized Stochastic Petri Nets, Fault Trees and Repairable Fault Trees) up to the overall system model. The modular approach, here used, allows to evaluate the influence of basic design parameters on the probability of system-level failure modes and demonstrates that system availability is within the bound required by the ERTMS/ETCS specification. The results show that the multiformalism modeling 1450001-1 F. Flammini et al. approach helps to cope with complexity, eases the verification of availability requirements and can be successfully applied to the analysis of complex critical systems.

ABSTRACT The need for integration of model-based verification into industrial processes has produced several attempts to define Model-Driven solutions implementing a unifying approach to system development. A recent trend is to implement tool chains supporting the developer both in the design phase and V&V activities. In this Model-Driven context, specific domains require proper modelling approaches, especially for what concerns RAM (Reliability, Availability, Maintainability) analysis and fulfillment of international standards. This paper specifically addresses the definition of a Model-Driven approach for the evaluation of RAM attributes in railway applications to automatically generate formal models. For this aim we extend the MARTE-DAM UML profile with concepts related to maintenance aspects and service degradation, and show that the MARTE-DAM framework can be successfully specialized for the railway domain. Model transformations are then defined to generate Repairable Fault Tree and Bayesian Network models from MARTE-DAM specifications. The whole process is applied to the railway domain in two different availability studies.