Prozessgestaltung für Bahnanwendungen nach CENELEC · PDF file2 eta_max space Agenda...

1

eta_max space www.etamax.de

Braunschweiger Verkehrskolloqium des ZVB

01.04.2004Forschungsflughafen Braunschweig

Prozessgestaltung für Bahnanwendungen nach CENELEC – ideal und real

Dipl.-Ing. Ralf Westerkamp eta_max space GmbH

Telefon: 0531-3802-424Email: [email protected]

2


Agenda

– Kurzporträt eta_max space– Ursprung der CENELEC-Normen EN 50126 ff.– Was fordert die EN 50128?– Warum läuft nicht jedes (SW-) Entwicklungsprojekt wie

im idealen Prozess beschrieben?– Herausforderung „Anforderungsmanagement“– Fazit – Diskussion


Gründung

Juni 1997 in Braunschweig

Geschäftsbereiche• Raumfahrttechnik• Software Engineering• Verifizierung und

Validierung von Software und Systemen

eta_max space Geschäftsräume im IAM in Braunschweig

eta_max space

4


Bereich Verifizierung & Validierung

Dienstleistungen im Entwicklungs-und Zulassungsprozess

• Verifizierung und Validierung sicherheitsrelevanter Software und Systeme Prozessgestaltung im Rahmen der anzuwendenden Normen, z. B. EN 50126 ff. (CENELEC), RTCA/DO-178B, IEC 61508Erstellung der Dokumente im SW-Entwicklungsprozess (SVVP, SQAP, Testlisten, Validierungsberichte, etc.) zur Genehmigung von Systemen bei den Zulassungsstellen (FAA, EBA, KBA)

Implementierung

Modulebene

KomponentenebeneSoftware/Hardware

Systemebene/Subsystemebene

Entwurf Modultest

Architektur

Anforderungen

Anforderungen

Architektur

Validierung

Integration

Integration

Validierung

5


CENELEC-Normen (für Bahnanwendungen)

Comité Européen de Normalisation Electrotechnique(European Committee for Electrotechnical Standardization)

– EN 50126: Railway Applications - the specification and demonstration of Reliability, Availability, Maintainability and Safety.

– EN 50127: Railway Applications - Guide to the specification of a guidedtransport system

– EN 50128: Railway Applications - Software for railway control and protection systems.

– EN 50129: Railway Applications - Safety related electronic systems forsignalling.

6


Übersicht Normen

BahnanlageGesamtsystem

Signaltechnik

Subsystem

HW-/SW-Komponente

EN 50159 (Kommunikationssysteme)EN 50128 (Software)

EN 50129 (system and hardware aspects)EN 50126 (Entwicklungsprozess / RAMS)

EN 50126Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS)

EN 50128Bahnanwendungen - Software für Eisenbahnsteuerungs- und Überwachungssysteme

EN 50129Bahnanwendungen -Sicherheitsrelevante elektronische Systeme für Signaltechnik

EN 50159-1/2Bahnanwendungen –Sicherheitsrelevante Kommunikation in geschlossenen/offenen Übertragungssystemen

7


Regelungsbedarf ...

• Ziel: Aufbau eines europäischen Hochgeschwindigkeits-Bahnnetzes– European Train Control System (ETCS)– internationale Anerkennung der Zulassungen

Signaltechnik in Europa

Quelle: FEmSys 2001

8


Entstehung / Ursprung der Normen

DIN EN ISO 9001:2000-12DIN EN ISO 9000:2000-12

DIN V 19250DIN V 19251

DIN VDE 31000-2

DIN V VDE 0801DIN VDE 0831

Mü 8004

IEC 65A(Sec) 122IEC 65A(Sec) 123

RTCA/DO-160CRTCA/DO-178A

RTCA/DO-...

RTCA/DO-160DRTCA/DO-178BRTCA/DO-254RTCA/DO-...

IEC 61508-1..7

EN 50126EN 50127EN 50128EN 50129

Bahnanwendungen Luftfahrt

Basisfür

9


Tailoring der IEC 61508

• Ziele des Tailoring• Anwendbarkeit auf den Entwicklungsprozess verbessern• Anforderungen konkretisieren, Interpretationsspielraum reduzieren• Skalierbarkeit der Aufwände nach Projektgröße und –anforderungen• Bereichsspezifische Ausprägungen berücksichtigen

• verwendete Nomenklatur• Spektrum der Anwendungen• vorherige (evtl. nationale) Regelungen

Bereichsspezifisches Tailoring der IEC 61508• Die IEC 61508 als übergeordnete Norm für sicherheitsbezogene Systeme wird

im geografischen Bereich der CENELEC-Mitgliedsländer bezüglich der Bahntechnik untersetzt und präzisiert durch die Normen EN 50126, EN 50128 und EN 50129.

• Analoge Entwicklung im Automotivebereich findet zur Zeit statt

10


Der Weg zur „Auto-Norm“

DIN EN ISO 9001:2000-12DIN EN ISO 9000:2000-12

DIN V 19250DIN V 19251

DIN VDE 31000-2

DIN V VDE 0801DIN VDE 0831

Mü 8004

IEC 65A(Sec) 122IEC 65A(Sec) 123

RTCA/DO-160CRTCA/DO-178A

RTCA/DO-...

RTCA/DO-160DRTCA/DO-178BRTCA/DO-254RTCA/DO-...

IEC 61508-1..7

Bahnanwendungen LuftfahrtROAD xxxx

Automotive

Basisfür

EN 50126EN 50127EN 50128EN 50129

11


(SW-) Entwicklungsprozess

EN 50128: Fehlerfreiheit kann nicht allein durch nachträgliche Tests hergestellt und nachgewiesen werden.

Während des gesamten Entwicklungszyklus sind der Sicherheitsanforderungsstufe angemessene Prinzipien und Methoden anzuwenden.Dazu gehören u. a.

• Top-Down-Entwurfsverfahren• Modularität• Verifikation jeder Phase• auditierbare Dokumente• Validierungstests

Prozessmodell zur Integration von Software-Engineering-und Management-Techniken

12


IEC 61508 EN 50128

0

20

40

60

80

100

120

0 1 2 3 4

SIL

Anforderungen IEC 61508-3 (Anhang)

HRRP

0

20

40

60

80

100

120

140

160

180

Anzahl

0 1 2 3 4

SIL

Anforderungen EN 50128 (Anhang)

MHRRP

13


EN 50128

0

100

200

300

400

500

600

700

Anzahl

0 1 2 3 4

SIL

Anforderungen der EN 50128

NRMHRRP

14


Analyse EN 50128

• Faktische Gruppierung in Sicherheitsanforderungsstufen SIL 0 / 1-2 / 3-4

• Große Zahl von Anforderungen an den Entwicklungsprozess bleibt erhalten

• Mehr als 2/3 der Anforderungen sind verpflichtend (M), viele davon formaler Art (Dokumentation)

• Norm lässt (weiterhin benötigten) Spielraum für sektor-und produktspezifisches Tailoring

Herausforderung für den Entwicklungsbetrieb• Umsetzung im Entwicklungsbetrieb sinnvoll mittels

eigenem detailliertem Prozess (Tools, Templates, ...)in kleineren Einheiten Synergieeffekte mit QM (möglich)

15


Problemfelder im Entwicklungsprozess?

Implementierung

Modulebene

KomponentenebeneSoftware/Hardware

Systemebene/Subsystemebene

Entwurf Modultest

Architektur

Anforderungen

Anforderungen

Architektur

Validierung

Integration

Integration

Validierung

16


Symptom „Anforderungsprozess“

Untersuchung der Probleme im Anforderungsprozess bei deutschen Unternehmen[Fraunhofer Institut für Experimentelles Software Engineering, 2004]

Ergebnisse IESE:• Geringes Rollenbewusstsein• Trotzdem recht gutes Prozess-, Dokumentations- und

Aktivitätsbewusstsein (?)• Geringer Einsatz von Anforderungsmanagementtools• Viele Probleme bzgl. Management (Aufwandsschätzung, Änderungen)

Rollenbewusstsein

gering

mittel

hoch

17


Rollen

In der Regel besetzte Rollen im Entwicklungsprozess einer sicherheitskritischen Anwendung (ohne kfm. Bereich)– Projektleiter– Entwickler (Design, Integration, HW/SW)– Sicherheitsbeauftragter (Safety Manager)– RAM-Manager, evtl. RAM(S)HE-Manager– QMB (für das Projekt)– Konfigurationsmanagement-Beauftragter– Verifizierer– Validierer– Gutachter

Was fehlt? Was verbindet diese Rollen im Prozess?

18


Requirements Management & Engineering

• Def. Requirements Engineering– Umwandlung der Lösungsvision (Kundendokumente, Lastenheft) in

(initiale) Anforderungen– Vervollständigung, Optimierung, Abnahme– Strukturierte Darstellung Pflichtenheft

• Def. Requirements Management– Strukturierte Verwaltung (Ebenen, Views, ...)– Traceability (Anf. untereinander, zu Lösungen, Tests, etc.)– Change Management

19


Requirements Management & Engineering

• Def. Requirements Engineering– Umwandlung der Lösungsvision (Kundendokumente, Lastenheft) in

(initiale) Anforderungen– Vervollständigung, Optimierung, Abnahme– Strukturierte Darstellung Pflichtenheft

• Def. Requirements Management– Strukturierte Verwaltung (Ebenen, Views, ...)– Traceability (Anf. untereinander, zu Lösungen, Tests, etc.)– Change Management

20


Requirements Engineering als Herausforderung

– Bedeutung für gesamten Entwicklungsprozess „im Prinzip“ klar• auch in CMMI und SPICE hinterlegt

• Ist Anforderungsmanagement mit der richtigen Priorisierung bedacht?

Nachweisbare Qualität= Funktion von– Qualität der Anforderungen und– Qualität der Testfälle

21


Anforderungsverfolgung

• vertikale Verfolgungvon der Definitionsstelle über die Referenzstellen zu den Realisierungsstellen

• horizontale Verfolgungvon der Definitionsstelle über die Testfalldefinitionen zur Validierung (Testergebnisse)

• Anforderungsmanagement– Nomenklaturregeln, -anwendung (in der Dokumentation)– Toolunterstützung möglich/sinnvoll– Zusammenwirkung mit dem Konfigurationsmanagement

22


Requirements Engineering als Herausforderung

– Bedeutung für gesamten Entwicklungsprozess „im Prinzip“ klar• ABER:

– Verantwortlichkeit häufig diffus, keiner konkreten Rolle zugeteilt• „lästige Zusatzaufgabe“

– Toolunterstützung nicht angeboten oder von Prozessbeteiligten verweigert

• Rolle des Managements– Lücke zwischen Idealvorstellung und Realität besonders deutlich

• erscheint „unüberbrückbar“• demotivierend• Termindruck als Vorwand für „wichtigere“ Aktivitäten• ...

23


Eigenschaften von Anforderungen nach Lehrbuch

• atomar• eindeutig identifiziert• konsistent• korrekt• nachweisbar• passend• Priorität zugewiesen• realisierbar• redundanzfrei• Sich.-anf.-stufe zugewiesen• Stabilität bewertet• unzweideutig, unmissverständlich• verfolgbar• verständlich• vollständig • ...

• atomic• uniquely identified• consistent• correct• verifiable• relevant• priority assigned• feasible• redundance-free• SIL assigned• stability evaluated• unambiguous• traceable• comprehensible• complete• ...

24


Stufen zum Erfolg – Anforderungen schrittweise verbessern

atomareindeutig identifiziert

nachweisbarverständlichredundanzfrei

realisierbarunzweideutig, unmissverständlichpassendkorrekt abgeleitet

widerspruchsfreivollständigverfolgbar zur Quelle

Priorität zugewiesenSich.-anf.-stufe zugewiesenStabilität bewertetValidierungshinweise

25


Req. Eng.: Wissenschaft und Kunst

• Checklisten sinnvoll– Scope definieren: Schnittstellen, Stakeholder, Rollen, ...– Struktur: Vorgaben, Tools, ...– Anforderungen definieren: ...– Reviewprozess: wer? wann? Freigabe

• Anforderungen erheben ist eine Kunst(Elicitation = Herauslocken)

• Vielseitigkeit– Erfassung der Kundenwünsche, -anforderungen, -...– Analyse– Spezifizierung– Verifikation und Validierung (ggf. via Modellierung)

26


Fazit

• Herausforderungen bei der Umsetzung der CENELEC-Norm(en)

– Prozessgestaltung im Entwicklungsbetrieb• von Wiederholung profitieren• kompetentes Auftreten gegenüber AG oder GUT• klare Anforderung an Zulieferer

– Anforderungsmanagement• erreichbare Ziele (in Schritten) vorgeben• Wertigkeit höher einstufen – und danach handeln• Unterstützung des Managements

27


Fragen / Diskussion

– Normen

– Der ideale Prozess

– Die Realität

Wie können wir die Schnittmenge vergrößern?

Prozessgestaltung für Bahnanwendungen nach CENELEC · PDF file2 eta_max space Agenda...

Documents

Transcript of Prozessgestaltung für Bahnanwendungen nach CENELEC · PDF file2 eta_max space Agenda...