prozessgestaltung für bahnanwendungen nach cenelec – ideal ... · iec 61508 yerstellung der...
TRANSCRIPT
1
eta_max space www.etamax.de
Braunschweiger Verkehrskolloqium des ZVB
01.04.2004Forschungsflughafen Braunschweig
Prozessgestaltung für Bahnanwendungen nach CENELEC – ideal und real
Dipl.-Ing. Ralf Westerkamp eta_max space GmbH
Telefon: 0531-3802-424Email: [email protected]
2
eta_max space www.etamax.de
Agenda
– Kurzporträt eta_max space– Ursprung der CENELEC-Normen EN 50126 ff.– Was fordert die EN 50128?– Warum läuft nicht jedes (SW-) Entwicklungsprojekt wie
im idealen Prozess beschrieben?– Herausforderung „Anforderungsmanagement“– Fazit – Diskussion
eta_max space www.etamax.de
Gründung
Juni 1997 in Braunschweig
Geschäftsbereiche• Raumfahrttechnik• Software Engineering• Verifizierung und
Validierung von Software und Systemen
eta_max space Geschäftsräume im IAM in Braunschweig
eta_max space
4
eta_max space www.etamax.de
Bereich Verifizierung & Validierung
Dienstleistungen im Entwicklungs-und Zulassungsprozess
• Verifizierung und Validierung sicherheitsrelevanter Software und Systeme Prozessgestaltung im Rahmen der anzuwendenden Normen, z. B. EN 50126 ff. (CENELEC), RTCA/DO-178B, IEC 61508Erstellung der Dokumente im SW-Entwicklungsprozess (SVVP, SQAP, Testlisten, Validierungsberichte, etc.) zur Genehmigung von Systemen bei den Zulassungsstellen (FAA, EBA, KBA)
Implementierung
Modulebene
KomponentenebeneSoftware/Hardware
Systemebene/Subsystemebene
Entwurf Modultest
Architektur
Anforderungen
Anforderungen
Architektur
Validierung
Integration
Integration
Validierung
5
eta_max space www.etamax.de
CENELEC-Normen (für Bahnanwendungen)
Comité Européen de Normalisation Electrotechnique(European Committee for Electrotechnical Standardization)
– EN 50126: Railway Applications - the specification and demonstration of Reliability, Availability, Maintainability and Safety.
– EN 50127: Railway Applications - Guide to the specification of a guidedtransport system
– EN 50128: Railway Applications - Software for railway control and protection systems.
– EN 50129: Railway Applications - Safety related electronic systems forsignalling.
6
eta_max space www.etamax.de
Übersicht Normen
BahnanlageGesamtsystem
Signaltechnik
Subsystem
HW-/SW-Komponente
EN 50159 (Kommunikationssysteme)EN 50128 (Software)
EN 50129 (system and hardware aspects)EN 50126 (Entwicklungsprozess / RAMS)
EN 50126Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS)
EN 50128Bahnanwendungen - Software für Eisenbahnsteuerungs- und Überwachungssysteme
EN 50129Bahnanwendungen -Sicherheitsrelevante elektronische Systeme für Signaltechnik
EN 50159-1/2Bahnanwendungen –Sicherheitsrelevante Kommunikation in geschlossenen/offenen Übertragungssystemen
7
eta_max space www.etamax.de
Regelungsbedarf ...
• Ziel: Aufbau eines europäischen Hochgeschwindigkeits-Bahnnetzes– European Train Control System (ETCS)– internationale Anerkennung der Zulassungen
Signaltechnik in Europa
Quelle: FEmSys 2001
8
eta_max space www.etamax.de
Entstehung / Ursprung der Normen
DIN EN ISO 9001:2000-12DIN EN ISO 9000:2000-12
DIN V 19250DIN V 19251
DIN VDE 31000-2
DIN V VDE 0801DIN VDE 0831
Mü 8004
IEC 65A(Sec) 122IEC 65A(Sec) 123
RTCA/DO-160CRTCA/DO-178A
RTCA/DO-...
RTCA/DO-160DRTCA/DO-178BRTCA/DO-254RTCA/DO-...
IEC 61508-1..7
EN 50126EN 50127EN 50128EN 50129
Bahnanwendungen Luftfahrt
Basisfür
9
eta_max space www.etamax.de
Tailoring der IEC 61508
• Ziele des Tailoring• Anwendbarkeit auf den Entwicklungsprozess verbessern• Anforderungen konkretisieren, Interpretationsspielraum reduzieren• Skalierbarkeit der Aufwände nach Projektgröße und –anforderungen• Bereichsspezifische Ausprägungen berücksichtigen
• verwendete Nomenklatur• Spektrum der Anwendungen• vorherige (evtl. nationale) Regelungen
Bereichsspezifisches Tailoring der IEC 61508• Die IEC 61508 als übergeordnete Norm für sicherheitsbezogene Systeme wird
im geografischen Bereich der CENELEC-Mitgliedsländer bezüglich der Bahntechnik untersetzt und präzisiert durch die Normen EN 50126, EN 50128 und EN 50129.
• Analoge Entwicklung im Automotivebereich findet zur Zeit statt
10
eta_max space www.etamax.de
Der Weg zur „Auto-Norm“
DIN EN ISO 9001:2000-12DIN EN ISO 9000:2000-12
DIN V 19250DIN V 19251
DIN VDE 31000-2
DIN V VDE 0801DIN VDE 0831
Mü 8004
IEC 65A(Sec) 122IEC 65A(Sec) 123
RTCA/DO-160CRTCA/DO-178A
RTCA/DO-...
RTCA/DO-160DRTCA/DO-178BRTCA/DO-254RTCA/DO-...
IEC 61508-1..7
Bahnanwendungen LuftfahrtROAD xxxx
Automotive
Basisfür
EN 50126EN 50127EN 50128EN 50129
11
eta_max space www.etamax.de
(SW-) Entwicklungsprozess
EN 50128: Fehlerfreiheit kann nicht allein durch nachträgliche Tests hergestellt und nachgewiesen werden.
Während des gesamten Entwicklungszyklus sind der Sicherheitsanforderungsstufe angemessene Prinzipien und Methoden anzuwenden.Dazu gehören u. a.
• Top-Down-Entwurfsverfahren• Modularität• Verifikation jeder Phase• auditierbare Dokumente• Validierungstests
Prozessmodell zur Integration von Software-Engineering-und Management-Techniken
12
eta_max space www.etamax.de
IEC 61508 EN 50128
0
20
40
60
80
100
120
0 1 2 3 4
SIL
Anforderungen IEC 61508-3 (Anhang)
HRRP
0
20
40
60
80
100
120
140
160
180
Anzahl
0 1 2 3 4
SIL
Anforderungen EN 50128 (Anhang)
MHRRP
13
eta_max space www.etamax.de
EN 50128
0
100
200
300
400
500
600
700
Anzahl
0 1 2 3 4
SIL
Anforderungen der EN 50128
NRMHRRP
14
eta_max space www.etamax.de
Analyse EN 50128
• Faktische Gruppierung in Sicherheitsanforderungsstufen SIL 0 / 1-2 / 3-4
• Große Zahl von Anforderungen an den Entwicklungsprozess bleibt erhalten
• Mehr als 2/3 der Anforderungen sind verpflichtend (M), viele davon formaler Art (Dokumentation)
• Norm lässt (weiterhin benötigten) Spielraum für sektor-und produktspezifisches Tailoring
Herausforderung für den Entwicklungsbetrieb• Umsetzung im Entwicklungsbetrieb sinnvoll mittels
eigenem detailliertem Prozess (Tools, Templates, ...)in kleineren Einheiten Synergieeffekte mit QM (möglich)
15
eta_max space www.etamax.de
Problemfelder im Entwicklungsprozess?
Implementierung
Modulebene
KomponentenebeneSoftware/Hardware
Systemebene/Subsystemebene
Entwurf Modultest
Architektur
Anforderungen
Anforderungen
Architektur
Validierung
Integration
Integration
Validierung
16
eta_max space www.etamax.de
Symptom „Anforderungsprozess“
Untersuchung der Probleme im Anforderungsprozess bei deutschen Unternehmen[Fraunhofer Institut für Experimentelles Software Engineering, 2004]
Ergebnisse IESE:• Geringes Rollenbewusstsein• Trotzdem recht gutes Prozess-, Dokumentations- und
Aktivitätsbewusstsein (?)• Geringer Einsatz von Anforderungsmanagementtools• Viele Probleme bzgl. Management (Aufwandsschätzung, Änderungen)
Rollenbewusstsein
gering
mittel
hoch
17
eta_max space www.etamax.de
Rollen
In der Regel besetzte Rollen im Entwicklungsprozess einer sicherheitskritischen Anwendung (ohne kfm. Bereich)– Projektleiter– Entwickler (Design, Integration, HW/SW)– Sicherheitsbeauftragter (Safety Manager)– RAM-Manager, evtl. RAM(S)HE-Manager– QMB (für das Projekt)– Konfigurationsmanagement-Beauftragter– Verifizierer– Validierer– Gutachter
Was fehlt? Was verbindet diese Rollen im Prozess?
18
eta_max space www.etamax.de
Requirements Management & Engineering
• Def. Requirements Engineering– Umwandlung der Lösungsvision (Kundendokumente, Lastenheft) in
(initiale) Anforderungen– Vervollständigung, Optimierung, Abnahme– Strukturierte Darstellung Pflichtenheft
• Def. Requirements Management– Strukturierte Verwaltung (Ebenen, Views, ...)– Traceability (Anf. untereinander, zu Lösungen, Tests, etc.)– Change Management
19
eta_max space www.etamax.de
Requirements Management & Engineering
• Def. Requirements Engineering– Umwandlung der Lösungsvision (Kundendokumente, Lastenheft) in
(initiale) Anforderungen– Vervollständigung, Optimierung, Abnahme– Strukturierte Darstellung Pflichtenheft
• Def. Requirements Management– Strukturierte Verwaltung (Ebenen, Views, ...)– Traceability (Anf. untereinander, zu Lösungen, Tests, etc.)– Change Management
20
eta_max space www.etamax.de
Requirements Engineering als Herausforderung
– Bedeutung für gesamten Entwicklungsprozess „im Prinzip“ klar• auch in CMMI und SPICE hinterlegt
• Ist Anforderungsmanagement mit der richtigen Priorisierung bedacht?
Nachweisbare Qualität= Funktion von– Qualität der Anforderungen und– Qualität der Testfälle
21
eta_max space www.etamax.de
Anforderungsverfolgung
• vertikale Verfolgungvon der Definitionsstelle über die Referenzstellen zu den Realisierungsstellen
• horizontale Verfolgungvon der Definitionsstelle über die Testfalldefinitionen zur Validierung (Testergebnisse)
• Anforderungsmanagement– Nomenklaturregeln, -anwendung (in der Dokumentation)– Toolunterstützung möglich/sinnvoll– Zusammenwirkung mit dem Konfigurationsmanagement
22
eta_max space www.etamax.de
Requirements Engineering als Herausforderung
– Bedeutung für gesamten Entwicklungsprozess „im Prinzip“ klar• ABER:
– Verantwortlichkeit häufig diffus, keiner konkreten Rolle zugeteilt• „lästige Zusatzaufgabe“
– Toolunterstützung nicht angeboten oder von Prozessbeteiligten verweigert
• Rolle des Managements– Lücke zwischen Idealvorstellung und Realität besonders deutlich
• erscheint „unüberbrückbar“• demotivierend• Termindruck als Vorwand für „wichtigere“ Aktivitäten• ...
23
eta_max space www.etamax.de
Eigenschaften von Anforderungen nach Lehrbuch
• atomar• eindeutig identifiziert• konsistent• korrekt• nachweisbar• passend• Priorität zugewiesen• realisierbar• redundanzfrei• Sich.-anf.-stufe zugewiesen• Stabilität bewertet• unzweideutig, unmissverständlich• verfolgbar• verständlich• vollständig • ...
• atomic• uniquely identified• consistent• correct• verifiable• relevant• priority assigned• feasible• redundance-free• SIL assigned• stability evaluated• unambiguous• traceable• comprehensible• complete• ...
24
eta_max space www.etamax.de
Stufen zum Erfolg – Anforderungen schrittweise verbessern
atomareindeutig identifiziert
nachweisbarverständlichredundanzfrei
realisierbarunzweideutig, unmissverständlichpassendkorrekt abgeleitet
widerspruchsfreivollständigverfolgbar zur Quelle
Priorität zugewiesenSich.-anf.-stufe zugewiesenStabilität bewertetValidierungshinweise
25
eta_max space www.etamax.de
Req. Eng.: Wissenschaft und Kunst
• Checklisten sinnvoll– Scope definieren: Schnittstellen, Stakeholder, Rollen, ...– Struktur: Vorgaben, Tools, ...– Anforderungen definieren: ...– Reviewprozess: wer? wann? Freigabe
• Anforderungen erheben ist eine Kunst(Elicitation = Herauslocken)
• Vielseitigkeit– Erfassung der Kundenwünsche, -anforderungen, -...– Analyse– Spezifizierung– Verifikation und Validierung (ggf. via Modellierung)
26
eta_max space www.etamax.de
Fazit
• Herausforderungen bei der Umsetzung der CENELEC-Norm(en)
– Prozessgestaltung im Entwicklungsbetrieb• von Wiederholung profitieren• kompetentes Auftreten gegenüber AG oder GUT• klare Anforderung an Zulieferer
– Anforderungsmanagement• erreichbare Ziele (in Schritten) vorgeben• Wertigkeit höher einstufen – und danach handeln• Unterstützung des Managements
27
eta_max space www.etamax.de
Fragen / Diskussion
– Normen
– Der ideale Prozess
– Die Realität
Wie können wir die Schnittmenge vergrößern?