Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2. Einleitung<br />
Wie in anderen technischen Bereichen auch, übernehmen im Eisenbahnwesen an zahlreichen<br />
Stellen reaktive Systeme unterschiedlicher Komplexität Steuerungs- und Sicherungsfunktionen.<br />
Das Spektrum reicht von Fahrgastinformationssystemen, über Tür-, Antriebs- und Bremssteuerungen,<br />
ETCS-Fahrzeuggeräten bis hin zu komplexen Systemen wie beispielsweise elektronischen<br />
Stellwerken. Bei vielen dieser Systeme wird die eigentliche Funktionalität durch Software<br />
realisiert, viele dieser Systeme übernehmen zudem Sicherheitsverantwortung für Menschenleben<br />
und Sachwerte. Diese software-lastigen, sicherheitsrelevanten Systeme sind Betrachtungsgegenstand<br />
der folgenden Ausführungen in dieser Arbeit.<br />
Die korrekte Funktion dieser Systeme sicherzustellen, ist auf Grund der Sicherheitsrelevanz eine<br />
wichtige und durch Normen und Richtlinien stark reglementierte Aufgabe, die sich über den gesamten<br />
Lebenszyklus des Systems erstreckt. Am Anfang dieses Lebenszyklus steht die Erstellung<br />
einer <strong>Anforderungsspezifikation</strong> durch den Auftraggeber und späteren Betreiber des Systems.<br />
Diese muss alle Informationen enthalten, die ein Auftragnehmer benötigt, um das System zu<br />
entwickeln, zu produzieren und während der Betriebszeit zu begleiten. Die <strong>Anforderungsspezifikation</strong><br />
ist außerdem Vertragsbestandteil: Sie legt den Umfang und die Funktionen des zu<br />
liefernden Systems fest und ist damit die Grundlage für die spätere Abnahme und letztendlich<br />
auch für die buchhalterische Abwicklung des Projekts. Zudem muss von der jeweiligen Aufsichtsbehörde<br />
- beispielsweise dem Eisenbahnbundesamt - eine Zusicherung auf Grundlage der <strong>Anforderungsspezifikation</strong><br />
ausgesprochen werden, die die Konformität des zu entwickelnden Systems<br />
mit den entsprechenden Gesetzen, Normen und Richtlinien bestätigt. Die <strong>Anforderungsspezifikation</strong><br />
besitzt damit für alle beteiligten Parteien große Bedeutung. Diese wichtige Funktion wird<br />
beispielsweise in [GEA08] folgendermaßen beschrieben:<br />
„Die Spezifikation der Anforderungen hat entscheidende Bedeutung, da sie über<br />
die Messbarkeit der Ergebnisse und damit über die erreichbare Qualität der RAMS-<br />
Aktivitäten entscheidet. [. . . ] Ziel ist es, die Anforderungen an das System so genau<br />
wie möglich, dem jeweiligen Zweck des Projektes, seiner Komplexität und dem abgestimmten<br />
Zusammenwirken der Partner entsprechend zu definieren.”<br />
Wegen dieser herausgehobenen Bedeutung der <strong>Anforderungsspezifikation</strong> werden an deren Qualität<br />
und insbesondere an ihre inhaltliche Korrektheit besondere Ansprüche gestellt. Betrachtet<br />
man jedoch die „Chaos-Studie” der Standish Group [STA98], zeigt sich, dass dieses hohe Qualitätsziel<br />
oftmals nicht erreicht wird. In dieser Studie wurde untersucht, wann innerhalb des<br />
Lebenszyklus komplexer Softwareprojekte 1 Fehler eingeschleppt wurden und wann sich diese<br />
Fehler letztendlich offenbarten. Das obere Diagramm in Abbildung 2.1 zeigt die ermittelten<br />
Ergebnisse. Über die Hälfte der später aufgedeckten Fehler wurde dabei bereits in der <strong>Anforderungsspezifikation</strong><br />
eingebracht (Bereich 1 im oberen Diagramm), d.h. bereits dort sind nicht die<br />
tatsächlich vom Kunden gewünschten oder beispielsweise auf Grund von Sicherheitsüberlegungen<br />
erforderlichen Eigenschaften des Systems formuliert. Allerdings werden in dieser Phase nur<br />
1 Die Aussagen dieser Arbeit beziehen sich allerdings nicht auf Software, sondern auf komplette Systeme. Da die<br />
Software aber oftmals die wesentlichen Funktionen bereitstellt, können die Aussagen übertragen werden.<br />
3