Der EN 50128 Funktionale Sicherheit Standard beschreibt zusammen mit der EN 50126 und derEN 50129 die Funktionale Sicherheit in der Bahnindustrie. Diese Standards implementieren die IEC 61508 für diese Industrie. Die Besonderheit der Bahnindustrie bezüglich der Funktionalen Sicherheit ist, dass die Systeme von einer staatlichen Behörde (in Deutschland dem Eisenbahnbundesamt) überprüft werden, bevor sie in Verkehr gebracht werden dürfen. Der Hersteller muss also den Nachweis der Einhaltung der Funktionalen Sicherheit schon während der Entwicklung des Produktes erbringen. In diesem Punkt sind sich die Luftfahrt und Bahnindustrie sehr ähnlich.

In den meisten anderen Industriebereichen gibt es (bisher) keine staatlichen Behörden (z.B. Automobilindustrie). Der Hersteller muss selber die Einhaltung der Normen sicherstellen und erst wenn das Produkthaftungsgesetz zur Anwendung kommt, müssen die entsprechenden Nachweise erbracht werden.

Im weiteren Verlauf beschäftigen wir uns nun aber mit den FuSi-Normen in der Bahnindustrie. Das nachfolgende Bild gibt einen Überblick über den Inhalt der drei Normen:

Die EN 50128 definiert die Anforderungen an Software, die in elektronischen Bahnanwendungen verbaut werden soll. Als Softwareentwicklungsprozess setzt die Norm auch das V-Modell voraus. Dies ist zunächst anderen FuSi-Normen sehr ähnlich. Allerdings legt die
EN 50128 vergleichsweise sehr hohe Anforderungen an die Definition von einzelnen Rollen im Entwicklungsprozess und die Kompetenzen die Mitarbeiter dafür benötigen. Dies hat sicher den Vorteil, dass man gezwungen ist, sich klare Gedanken zu machen, welche Teammitglieder geeignet sind um EN 50128 Funktionale Sicherheit Projekte durchzuführen. Ein Nachteil ist aus meiner Sicht aber auch, dass es dadurch nahezu unmöglich wird auch nur Elemente von neuen Vorgehensweisen, wie z.B. Agile Methoden in diesen Projekten anzuwenden. Diese Balance ist in anderen Normen, meiner Ansicht nach, besser gelungen.

Kompetenz und Rollen der Teammitglieder

Nachfolgende Grafik gibt einen Überblick über die benötigten Rollen und die jeweils geforderte Unabhängigkeit. In einem SIL 3 bzw. SIL 4 Projekt muss zum Beispiel eine Validierung durchgeführt werden, die unabhängig vom Projektmanager ist. Bei SIL 1 dürfen der Software Integrator und Tester die gleiche Person sein.

In anderen Bereichen der Norm gibt es deutlich mehr Übereinstimmungen mit anderen Funktionalen Sicherheitsnormen. Wobei natürlich auch hier im Detail Unterschiede feststellbar sind. Aus meiner Sicht dürfte aber die strenge Rollendefinition die größte Rolle haben. Wenn man z.B. als Zulieferer, Produkte für mehrere Industrien herstellt, möchte man ja möglichst nur einen Entwicklungsprozess umsetzten müssen. In der Praxis wird es allerdings nur mit großem Aufwand möglich sein, mehrere Entwicklungsprozesse zu vermeiden und trotzdem die Rollendefinition der EN 50128 einzuhalten.

Aspekte, für die detaillierte Maßnahmen und Techniken gefordert sind

Am Ende dieses Artikels, möchte ich gerne noch einen Überblick geben, über die Aspekte
für die detaillierte Maßnahmen und Techniken gefordert sind, abhängig vom zu
erfüllenden SIL Level:
Software Anforderungsspezifikation (Kapitel 7.2)
Software-Architektur (Kapitel 7.3)
Software-Entwurf und –Implementierung (Kapitel 7.4)
Verifikation und Testen (Kapitel 6.2 und 7.3)
Integration (Kapitel 7.6)
Testen der Gesamtsoftware (Kapitel 6.2 und 7.7)
Software-Analysetechniken (Kapitel 6.3)
Software-Qualitätssicherung (Kapitel 6.5)
Software-Wartung (Kapitel 9.2)
Techniken für die Datengenerierung (Kapitel 8.4)
Codierstandards
Dynamische Analysen und Testen
Funktions-Black-Box-Tests
Text-Programmiersprachen
Diagrammartige Sprachen für Anwendungsalgorithmen
Modellierung
Leistungstests
Statische Analyse
Komponenten
Testabdeckung für Code
Objektorientierte Software Architektur
Objektorientierter detaillierter Entwurf

Fazit

Die EN 50128 stellt im Großen und Ganzen die gleichen Anforderungen an sicherheitskritische Software und den Entwicklungsprozess wie andere, vergleichbare Funktionale Sicherheitsnormen.
Inhaltlich gibt es einen größeren Unterschied bei der Definition der Rollen, sowie bei den Kompetenzen der Teammitglieder.
Der größte Unterschied zu anderen Industrien ergibt sich allerdings aus der Tatsache, dass Software und die entsprechenden Embedded Systeme von einer staatlichen Behörde zugelassen werden müssen. Dies gibt es in dieser Form sonst nur in der Luftfahrtindustrie.

Gerne unterstütze ich Sie auch bei individuellen Fragen zu Ihrem Projekt. Senden Sie eine Mail an: martin.heininger[at]heicon-ulm.de
Einen unverbindlichen Überblick über die Leistungen finden sie auch auf der
HEICON Homepage.