Verifizierung im Umfeld von sicherheitsrelevanten Anwendungen
Bei der Entwicklung von sicherheitsrelevanten Systemen im Bahnbereich begegnet uns immer wieder der Begriff «Verifizierung». Doch was genau umfasst eigentlich die Verifizierung? Wer ist für diese Tätigkeit zuständig? Wann und wo wird die Verifizierung verlangt? Wir klären diese Fragen auf und sehen uns anhand der Erstellung einer Sicherheitsanforderungsspezifikation an, wie die Verifizierung funktioniert.
Figure 1: Tracks at Zurich Central Station (source: https://pixabay.com)
Was ist Verifizierung? – Eine Begriffsdefinition
Der Begriff Verifizierung wird in verschiedenen Bereichen unterschiedlich eingesetzt, teils wird auch von Verifikation gesprochen. Daher ist es wichtig, in einem ersten Schritt Klarheit in der Begriffsdefinition zu schaffen. In diesem Beitrag beziehen wir uns auf die Definition der Verifizierung so wie sie aus den CENELEC Normen für funktionale Sicherheit, wie zum Beispiel aus den Normen des Bahnumfeldes, der EN 50126:2017 und der EN 50129:2019 hervorgeht:
Die Verifizierung ist die Bestätigung durch Bereitstellung des objektiven Nachweises, dass festgelegte Anforderungen erfüllt worden sind.
Das heisst konkret, dass wir mit der Verifizierung nachweisen, dass unser Produkt (oder hier unsere Sicherheitsanforderungsspezifikation) sämtliche an sie gestellten Anforderungen, seien es nicht funktionale (z.B. normative) oder auch funktionale Anforderungen, erfüllt. Ebenfalls bestätigt die Verifizierung, dass der festgelegte Prozess eingehalten wurde.
Wann wird verifiziert?
Verifizierung wird in unterschiedlichen Entwicklungsstadien durchgeführt, dabei werden das System und seine Bestandteile auf deren Übereinstimmung mit den zu Beginn dieses Stadiums festgelegten Anforderungen hin untersucht.
Verifizierung zum Phasenabschluss im Lebenszyklus Entwicklung sicherheitsrelevanter Bahnsysteme
Der generische Prozess wie er in der Prozessnorm EN 50126-1:2017 vorgeschlagen wird, teilt den Lebenszyklus der Systementwicklung in zwölf verschiedene Phasen ein. Die Verifizierung wird jeweils zum Phasenabschluss durchgeführt, wie dies mit den roten Pfeilen in der Grafik ersichtlich ist.
Abbildung 2: Lebenszyklus (eigene Darstellung, angelehnt an Bild 7 aus EN 50126-1:2017)
Die Verifizierung hat zu diesem Zeitpunkt das Ziel, zum Abschluss der einzelnen Phasen zu prüfen und nachzuweisen, dass einerseits alle festgelegten Anforderungen des zu entwickelnden Systems erfüllt sind und andererseits, dass konform zu den Anforderungen aus den anzuwendenden Normen und Regelwerken gearbeitet wurde.
Aufgaben und Unabhängigkeit der Verifizierung und des Verifizierers
Aufgaben
Der Verifizierer prüft mit der Verifizierung, wie bereits oben beschrieben, dass die festgelegten Anforderungen aus den einzelnen Lebenszyklusphasen erfüllt sind. Der Verifizierer ist nicht zwingend die Person, welche das fachliche Review der Arbeitserzeugnisse durchführt. Vielmehr beurteilt der Verifizierer die Angemessenheit (Vollständigkeit, Widerspruchsfreiheit, Richtigkeit, Relevanz und Rückverfolgbarkeit) der dokumentierten Belege aus der Überprüfung und gleicht diese mit den festgelegten Zielen der Verifizierung ab.
Typischerweise ist die Verifizierung eine Aktivität welche zum Phasenabschluss durchgeführt und mit einem Verifizierungsbericht festgehalten wird.
Der Verifizierer plant seine Tätigkeiten in einem Verifizierungsplan. In diesem Plan werden, unter anderem, die bei der Verifizierung anzuwendenden Methoden definiert oder auch die Anforderungen, nach welcher der Verifizierer seine Prüfungen vornimmt, festgelegt. Ebenfalls werden die Eingangs- und Ausgangskriterien beschrieben.
Unabhängigkeit der Rollen
Die Unabhängigkeiten der eingesetzten Rollen in Projekten ergeben sich grundsätzlich aus den Anforderungen an das Sicherheitsintegritätslevel (SIL) des zu entwickelnden Systems. Grundsätzlich ist zu beachten, dass der Verifizierer an keinen anderen Aktivitäten derselben Lebenszyklusphase tätig sein darf. Der Verifizierer kann jedoch fehlende Sicherheitsanforderungen identifizieren und auf diese Weise auf die Festlegung von Anforderungen einwirken. In diesem Fall sind die festgelegten Anforderungen von einer weiteren, entsprechend qualifizierten Person zu prüfen.
Abbildung 3: Zwei mögliche Rollenverteilungen für ein SIL4 Entwicklungsprojekt (Eigene Darstellung, angelehnt an Bild 5 aus EN 50129:2019)
Die Darstellung oben zeigt zwei mögliche Konstellationen, wie die Projektorganisation für eine SIL4 Entwicklung aufgebaut sein muss. Ersichtlich ist hier, dass der Verifizierer grundsätzlich auch dem Projektmanager unterstellt sein darf, sofern die gleiche Person nicht auch Validierungsaufgaben durchführt.
Vorgehen zur Verifizierung
Erster Schritt: Anforderungen an die Dokumente definieren
In einem ersten Schritt, idealerweise, bevor die eigentlichen Dokumente erstellt werden, sollten die Anforderungen an diese Dokumente definiert werden. Es macht Sinn, sich hier Prüf-Checklisten pro Artefakt-Typ zu erstellen. Diese Checklisten kann sich der Autor eines Dokumentes zur Hilfe nehmen, um sein Dokument korrekt aufzubauen. Der Verifizierer baut die Verifizierung ebenfalls auf diesen Checklisten auf.
Mit Hilfe dieser Checklisten, kann ein solider Nachweis erbracht werden, dass die Anforderungen an die einzelnen Dokumente berücksichtigt und dass diese Anforderungen auch erfüllt werden. Dieser Nachweis kann bei der Begutachtung durch den unabhängigen Gutachter auch einfach nachvollzogen werden und liefert somit eine solide Basis für die Begutachtung.
Verifizierung am Beispiel einer Sicherheitsanforderungsspezifikation
Um die Arbeiten der Verifizierung aufzuzeigen, sehen wir uns die Verifizierung der Phase «Festlegung von Systemanforderungen» etwas genauer an. Wir gehen davon aus, dass in dieser Phase unter anderem eine Sicherheitsanforderungsspezifikation für unser System mit sicherheitsrelevanter Funktion mit Sicherheitsintegritätslevel 4 (SIL4) geschrieben wird.
Die Sicherheitsanforderungsspezifikation trägt ihren Teil dazu bei, einen umfassenden und identifizierten Satz von Anforderungen für die nachfolgenden Lebenszyklusphasen zur Verfügung zu stellen.
Der Verifizierer legt in seinem Verifizierungsplan für diese Phase Eintrittskriterien, Eingangsdokumente, Ausgangsdokumente und Verifizierungstätigkeiten fest.
Abbildung 4:Tätigkeiten und relevante Dokumente für Verifizierung einer Phase (eigene Darstellung)
Der Entwerfer hat in dieser Phase eine Sicherheitsanforderungsspezifikation erstellt. Diese wurde fachlich von einem zweiten Entwerfer reviewed.
Für den Abschluss der Phase werden nun die im Verifizierungsplan festgelegten Tätigkeiten durchgeführt und somit die darin festgelegten Ausgangsdokumente überprüft. Für diese Arbeiten sind die oben genannten Verifizierungschecklisten empfehlenswert. Dies macht den Prozess der Verifizierung transparent und einfach nachvollziehbar was auch dem Gutachter, der das Sicherheitsgutachten erstellen muss, die Arbeit erleichtert.
Konkret prüft der Verifizierer in unserem Beispiel also, dass das fachliche Review durchgeführt wurde und prüft anhand der Checkliste, dass das Dokument die Anforderungen der Normen erfüllt. Zudem wird überprüft, dass Massnahmen und Techniken auf dem Anhang E der EN 50129:2019 für das jeweilige Dokument entsprechend angewendet wurden.
Für unser Beispiel der Sicherheitsanforderungsspezifikation für ein SIL4 Projekt bietet die Norm die Verwendung einer Kombination aus strukturierter Spezifikation mit grafischer Beschreibung (z.B. Blockschaltbilder) an.
Abschliessend: Der Verifizierungsbericht
Wie bereits erwähnt, wird die Verifizierung typischerweise zum Abschluss der einzelnen Phasen durchgeführt. Es empfiehlt sich jedoch gerade bei komplexen Projekten, die Arbeitsergebnisse fortlaufend zu verifizieren, um Abweichungen frühzeitig zu erkennen. So können beispielweise Teil-Verifizierungsberichte erstellt und abgeschlossen werden. Zum Abschluss der Phase wird dann der Phasenabschluss-Verifizierungsbericht erstellt, welcher auf allfällige, bereits existierende Teil-Berichte verweisen kann.
Im Phasenabschluss-Verifizierungsbericht werden vom Verifizierer der Zustand aller zu prüfenden Arbeitszeugnissen und die Erreichung der Ziele für die jeweilige Phase festgehalten. Mit dem Abschluss dieses Berichtes ist auch die Grundlage für den Abschluss der Phase des entsprechenden Lebenszyklus gegeben. Er liefert Angaben zur Vollständigkeit der für die Phase erforderlichen Tätigkeiten und Arbeitserzeugnisse.