Trasparente. Tecnico. Verificabile.

MCSA prende file di testo FtaDSL (fino a 10 MB) e ne calcola alberi dei guasti e minimal cut-set. L'intero percorso di elaborazione gira nella RAM del server — in nessun momento il tuo input viene persistito su disco.

1. 1. Il browser invia l'upload via HTTPS a `mcsa.appliedfusa.de`.
2. 2. Nginx bufferizza la request in RAM (buffer 12 MB, nessun disk-spill).
3. 3. FastAPI scrive il file in una directory temporanea — collocata in un container tmpfs (RAM disk, 512 MB).
4. 4. Il binario nativo C++17 `mcsa` parsa e analizza l'architettura.
5. 5. Lo ZIP risultato viene costruito in-memory e fatto streaming direttamente al tuo browser.
6. 6. La directory temporanea risiede su tmpfs (RAM). Al termine della response, un blocco `finally` la ripulisce attivamente nel caso normale; in caso di abort duro del container (es. OOM kill) il kernel scarta comunque il contenuto del tmpfs alla fine del container — nessuno spill su disco possibile.

Persistenza

Nessuna. Il database di audit memorizza solo metadati: la tua email di login, l'IP del client e un timestamp. Né nomi di file né contenuti né risultati di analisi lasciano la RAM verso il disco.

Retention

IP + timestamp vengono cancellati automaticamente dal database al massimo dopo 7 giorni (cleanup-job orario). Lo stesso intervallo si applica ai magic-link token scaduti.

Uso di AI

Nessuno. Tutti i calcoli girano nel binario nativo C++ sul nostro server. Nessun modello esterno, nessuna API LLM, nessuna analisi di terze parti.

Un'intervista strutturata guida attraverso i requisiti centrali della ISO 26262. La beta attuale gira interamente nel tuo browser — il tuo input non lascia il dispositivo. L'export Markdown viene consegnato direttamente come file di download. L'intervista è attualmente in tedesco.

Oggi (Beta)

Wizard vanilla HTML/CSS/JS nel browser. Nessuna richiesta al server, nessun salvataggio, nessun cookie, nessun analytics. Chiudendo la tab si perde tutto lo stato.

Flusso dati oggi

Il tuo input resta nella memoria del browser (RAM). Il rapporto Markdown viene assemblato lato client e scaricato come Blob — non ci raggiunge mai.

Uso di AI oggi

Nessuno. La struttura Markdown viene assemblata in modo deterministico dal tuo input.

Pianificato (versione completa)

Binario nativo sul nostro VPS, architettonicamente sullo stesso pattern di MCSA. Progetti persistibili, export multilingua, integrazione degli output di analisi MCSA (cut-set, KPI) come riferimenti di evidenza.

Struttura (versione completa)

Segue la Goal Structuring Notation (GSN). Libreria di template per ciascuno standard (ISO 26262, IEC 61508, IEC 62304).

Opzionale in futuro

Una funzione opzionale di rifinitura testo (es. levigatura stilistica) potrebbe, in una versione futura, usare un servizio LLM. In tal caso, strettamente opt-in per richiesta — e mai per argomentazioni rilevanti per la sicurezza.

csa26 viene distribuito come GitHub Action e gira sul CI runner del tuo repo GitHub. Il tuo codice sorgente non lascia il tuo repository — l'analisi avviene in un container che GitHub avvia nel tuo account a ogni push. Applied FuSa non ha accesso al tuo codice, nessuna telemetria sui tuoi findings, nessun log dei tuoi build.

Stack autonomo

Completamente autonomo. csa26 non incorpora nessuno static analyser di terze parti. Lexer, preprocessor, parser, sistema di simboli/tipi e rule engine sono IP Apache-2.0 di Applied FuSa e completamente tracciabili nel repository pubblico.

Sub-processori

GitHub (Microsoft) — fornisce il CI runner e l'hosting del container registry per l'image dell'action csa26. Trattamento dati secondo i termini del tuo contratto GitHub. Nessun ulteriore sub-processore.

Memorizzazione dati

Applied FuSa non memorizza dati sui run di csa26. Tutti i dati generati (findings, report SARIF, annotazioni) restano interamente nel tuo repository GitHub sotto il tuo controllo.

Avviso pre-audit

csa26 è uno strumento pre-audit e non sostituisce la valutazione formale di compliance rispetto a MISRA-C:2012. Indica possibili violazioni delle regole; la certificazione formale di compliance resta responsabilità del tuo safety manager.

Sottoinsieme di regole

csa26 v1 copre un sottoinsieme curato di 20 regole MISRA-C:2012 prioritarie per la FuSa (vedi README nel repository). Una verifica completa di MISRA-compliance non è mai stata promessa e non è alla portata di alcun tool di questa classe.

Uso di AI

Nessuno. Lexer, parser e rule engine lavorano in modo deterministico.

The riskforge chatbot is the first platform pillar that uses an LLM. A Claude Sonnet 4.6 model runs a structured interview that builds up an FtaDSL file step by step (raw architecture → +OIM/TLE → +IOM/S/O/D). Important separation: the LLM is the interview leader and notation translator — the actual FTA/FMEA analysis substance is then computed by the deterministic engines mcsa and fmea. This separation is an architecture decision for audit-fitness.

Sent to Anthropic

Full system prompt (~1500 tokens of methodology context, FtaDSL syntax reference, phase workflow); the complete running conversation history; the current DSL state as a code block in bot answers; validator output as a tag in the following user turn.

Not sent to Anthropic

User email address, IP address, cookie values, quota counters, logout events.

Sub-processors (Art. 28 GDPR)

Anthropic PBC (USA) — LLM provider, DPA · Hetzner Online GmbH (Falkenstein, DE) · Resend (USA) — magic-link mail, DPA · Let's Encrypt / ISRG.

Third-country transfer (Chapter V GDPR)

Anthropic (USA) and Resend (USA) process data outside the EU. Legal basis: EU Standard Contractual Clauses under Art. 46(2)(c) GDPR (2021/914), with Transfer Impact Assessment per EDPB Recommendation 01/2020.

Inference region (beta)

API routing uses inference_geo: "global". No guaranteed EU region during beta. Migration to AWS Bedrock eu-central-1 (Frankfurt) is planned for the commercial launch (phase 3).

Data retention at Anthropic

Anthropic stores API inputs/outputs for up to 30 days for abuse monitoring (see Anthropic retention policy). Model training on user data is disabled (opt-out by default).

Data retention at Applied FuSa

Email addresses are persisted in a SQLite database (beta marketing list). Conversation history stays in browser state; the chatbot server is stateless. Magic-link tokens expire after 15 minutes.

Model and caching

Default model is Claude Sonnet 4.6, switchable via configuration. Prompt caching is enabled for the system prompt.

AI use and audit separation

The LLM only produces the DSL file. The FTA and FMEA analysis is computed by the deterministic engines mcsa and fmea.

Status

Code-complete, live activation pending.