Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
(b) ab welchem Prozessschritt diese Daten verfügbar sind<br />
(c) welche Daten aus der Risikoanalyse in das Anforderungsmodell zurückfließen<br />
Wie in Abschnitt 5.1.4.2.1 beschrieben, sind die wesentlichen Eingangsparameter für die Risikoanalyse<br />
eine eindeutige Systemabgrenzung sowie eine Aufstellung aller Systemfunktionen. Für<br />
die Einordnung in den Lebenszyklus nach DIN EN 50126 bedeutet dies, dass das Anforderungsmodell<br />
einen hinreichenden Reifegrad insbesondere der Systemabgrenzungssicht, als auch der<br />
Systemfunktionssicht benötigt. Dies ist gemäß Abschnitt 6.3.2 frühestens nach Ende der Phase<br />
P1 der Fall. Daher kann mit der Durchführung der Risikoanalyse erst begonnen werden, wenn<br />
dieser Meilenstein bei der Erstellung des Anforderungsmodells erreicht wurde.<br />
Die Durchführung der Risikoanalyse an sich erfolgt dann vollständig außerhalb der hier beschriebene<br />
Anforderungsmodellierung. Ergebnis der Risikoanalyse ist eine funktionsbezogene<br />
Menge an ertragbaren Gefährdungsraten (tolerable hazard rates, THR). Diese geben an, mit welcher<br />
Rate die jeweilige Systemfunktion sicherheitskritisch versagen darf, damit das Gesamtsystem<br />
den Risikogrenzwert nicht überschreitet. Die THRs sind wichtige Werte für die Sicherheitsanalyse<br />
bei den Herstellern und sollten direkt im Anforderungsmodell abrufbar sein. Da sich<br />
dabei verschiedenen Möglichkeiten ergeben - z.B. entweder direkt den Zahlenwert aus der Risikoanalyse<br />
oder eine SIL-Einstufung gemäß DIN EN 50129 zu verwenden - soll hier nur ein<br />
generischer Weg beschrieben werden.<br />
Prinzipiell handelt es sich sowohl bei den THR-Zahlenwerten, als auch bei der SIL-Einstufung<br />
um nicht-funktionale Anforderungen, ähnlich z.B. Vorgabewerten für ertragbare Erschütterungen<br />
und EMV. Es wird daher für den Rahmen dieser Arbeit vorgeschlagen, die Ergebnisse der<br />
Risikoanalyse wie andere nicht-funktionale Anforderungen zu behandeln und gemäß den Ausführungen<br />
in Abschnitt an das funktionale Modell anzukoppeln. Diese Ankopplung sollte<br />
dabei jeweils zwischen einem Blatt des Baums der Anwendungsfälle (siehe Abschnitt 5.1.4.2.3)<br />
und einem Requirement erfolgen, das für diese Systemfunktion die THR oder SIL-Einstufung<br />
enthält.<br />
6.2. Ableitung des Prozessmodells<br />
Aus dem allgemeinen iterativ-inkrementellen Vorgehensmodell wird in diesem Abschnitt das<br />
konkrete Prozessmodell abgeleitet. Dazu werden zunächst in Unterabschnitt 6.2.2 die wesentlichen<br />
Strukturmerkmale des Prozesses vorgestellt. Über die in Abschnitt 6.2.3 beschriebene<br />
Aufgabenorientierung erfolgt dann eine Anpassung des allgemeinen Vorgehensmodells an die<br />
besonderen Belange der Anforderungsmodellierung, die zum letztendlich verwendeten Prozessmodell<br />
führt. Zunächst wird aber im folgenden Abschnitt 6.2.1 beschrieben, wie in einer<br />
Vorlaufphase der Einstieg in die Anforderungsmodellierung vorbereitet werden kann.<br />
6.2.1. Informeller Prozessvorlauf<br />
Auch wenn es theoretisch möglich wäre, mit dem in diesem Abschnitt beschriebenen Prozessmodell<br />
ohne jede Vorarbeiten ein Anforderungsmodell zu erstellen, entspricht dies nicht dem üblichen<br />
Vorgehen bei der Entwicklung von eisenbahntechnischen Systemen. Gerade in der Fachdomäne<br />
des Eisenbahnwesens entstehen auch neue Systeme selten „auf der grünen Wiese”. Vielmehr<br />
ist ein grobes Anforderungsprofil entweder von ähnlichen Vorgängersystemen bekannt<br />
oder wird während den frühesten Überlegungen zum neuen System entwickelt.<br />
96