Funktionale Sicherheit und agile Methoden bei der Entwicklung von Automatisierungskomponenten

Agil ins Safety-Projekt

Die Entwicklung funktional-sicherer Produkte nach IEC 61508 stellt hohe Ansprüche an die Produktentwicklung. Neben den Anforderungen an die Architektur und die Grenzwerte für Ausfallraten steht die Vermeidung systematischer Fehler im Mittelpunkt. In der Praxis führt diese Komplexität zu deutlich höheren Projektkosten und längeren Projektlaufzeiten. Für Verantwortliche in der Produktentwicklung stellt sich daher die Frage, wie sich ausufernde Safety-Projektkosten vermeiden lassen. Kann die Anwendung agiler Methoden hier einen Beitrag leisten?
 Scrum Framework
Scrum FrameworkBild: Agile Wege / Jörg Blumenstein

Ursprünglich stammen sie aus der Softwareentwicklung, aber mittlerweile haben agile Ansätze auch einen festen Platz bei der Entwicklung industrieller Güter erobert. Oberflächlich betrachtet stehen sich Agilität und funktionale Sicherheit an vielen Stellen diametral gegenüber. So fordert die IEC61508-1 die klare Festlegung von Zuständigkeiten und Verantwortlichkeiten, während im agilen Projektmanagement das Team als Ganzes stärker in die Verantwortung genommen wird. Bei tiefergehender Betrachtung lassen sich zahlreiche agile Konzepte dennoch ebenso nutzbringend im Safety-Projekt verwenden.

Grundzüge der agilen Produktentwicklung

Im Kern geht es darum, agile Praktiken und Methoden einzusetzen, um passende Lösungen in einem von Komplexität geprägten Umfeld zu finden. Im Besonderen gilt das bei der Entwicklung neuer Produkte. Die Grundlagen hierfür umfassen die Dimensionen Vernetzung, Offenheit, Partizipation und Agilität, oder kurz VOPA.

Die Vernetzung beinhaltet die konsequente Nutzung der innerhalb oder außerhalb der Organisation zugänglichen Kompetenzen. Hierfür ist es erforderlich, dass über die Grenzen bestehender Strukturen (Abteilungen, Standorte, Unternehmen) hinaus gedacht wird. Bei der Offenheit spielt eine aktive und offene Kommunikation die zentrale Rolle. Neue Ideen und kreative Problemlösungen entstehen oft im Grenzbereich der unterschiedlichen Disziplinen. Die aktive Förderung des Wissensaustauschs ist eine wichtige Voraussetzung dafür. Die Partizipation zielt auf die Einbeziehung aller relevanten Mitarbeiter in die Entscheidungsprozesse ab, im Einklang von Verantwortlichkeit und Kompetenz. Schlussendlich bleibt noch die Agilität an sich. Teams sollen selbstorganisiert und selbstverantwortlich agieren. Alle Aktivitäten der Organisation sollen sich am Kundennutzen ausrichten.

Lässt man die Kernelemente von VOPA Revue passieren, leuchtet sofort ein, dass diese vom Management gewollt und aktiv gefördert werden müssen, damit sie Teil einer modernen Unternehmenskultur sein können.

Grundlegende Anforderungen der IEC61508

Vorauszuschicken ist, dass diese Betrachtung sich auf die Vermeidung systematischer Fehler beschränkt. Hierfür definiert die IEC61508 diverse Anforderungen, primär im Teil 1 und teilweise in den Teilen 2 (System-/Hardware-/ASIC-Entwicklung) und 3 (Software-Entwicklung).

Dazu gehören:

  • Das Management der funktionalen Sicherheit,
  • Anforderungen an den Produktlebenszyklus,
  • Anforderungen an die Dokumentation,
  • ein strukturierter Entwurf und eine strukturierte Spezifikation,
  • Verifikation und Validierung
  • sowie das Assessment der funktionalen Sicherheit.
 Einflussfaktoren
EinflussfaktorenBild: Metalogika GmbH

Zum besseren Verständnis potenzieller Konfliktfelder werden die sich aus der Auflistung ergebenden Aufgaben innerhalb eines Projekts kurz skizziert.

Das Management der funktionalen Sicherheit und die Anforderungen an den Produktlebenszyklus bilden den Rahmen, in dem das Projekt abgewickelt wird. Kerngedanke dabei ist die klare Festlegung von Verantwortlichkeiten für Abläufe im Projekt und für die zu erstellenden Arbeitsergebnisse. Zwar schreibt die IEC61508 das Vorgehensmodell nicht explizit vor, dennoch werden in der Praxis die Anforderungen an den Produktlebenszyklus meistens mit dem V-Modell beantwortet. Dieses Modell gewährleistet eine strukturierte Vorgehensweise, ausgehend von den (Safety) Requirements, der Architektur, von Design- und technischer Dokumentation sowie den dazugehörenden Testebenen (Modultest, Integrationstests, Validierungs- bzw. Systemtest).Für jedes Arbeitsergebnis und jede Projektphase muss eine geeignete Verifikation bzw. Validierung (V&V) durchgeführt werden. Darunter fallen primär Aktivitäten wie Reviews und Tests, jedoch kann auch eine Analyse als V&V-Nachweis dienen.

Ein Safety-Projekt schließt zwingend mit einem unabhängigen Assessment ab. Inhalt des Assessments sind einerseits der Rahmen, sprich der Prozess, in dem das Projekt abgewickelt wurde, und andererseits die innerhalb des Projekts erstellten Dokumente.

Ausgewählte Spannungsfelder

Beim Vergleich der traditionellen mit der agilen Welt fallen einige unvereinbar erscheinende Spannungsfelder auf. Spiegelt man das agile Manifest an der IEC61508 ergibt sich bei zwei Prinzipien Konfliktpotential:

Prinzip 1: Funktionierende Ergebnisse zählen mehr als umfassende Dokumentation

Prinzip 2: Reagieren auf Veränderungen zählt mehr als das Befolgen eines Plans

Bei näherer Betrachtung dieser Prinzipien muss der Kontext berücksichtigt werden, in dem das agile Manifest entstanden ist: Sie beziehen sich nämlich in der ursprünglichen Form auf reine Softwareprodukte, die den Mechanismen einer „Plattform-Ökonomie“ unterworfen sind. Prinzip 1 setzt voraus, dass der erste Anbieter am Markt das Rennen macht und spätere Produktanpassungen (SW-Updates) für Anbieter und Anwender mit relativ geringem Aufwand durchführbar sind. Für klassische Industriegüter mag es Fälle dieses First Mover Advantage geben, jedoch nur dann, wenn die ersten Produkte am Markt auch den hohen Qualitätsanforderungen der meist konservativen Industriekunden entsprechen. Spätere Anpassungen am Produkt, insofern die Hardware betroffen ist, bedeuten im Vergleich zu reiner Software deutlich höhere Kosten.

Das Reagieren auf Veränderungen ist auch bei Safety-Projekten erlaubt. Zu Prinzip 2 sollte jedoch ergänzt werden, dass Änderungen einem klar definierten Änderungsprozess unterworfen werden müssen, insbesondere Änderungen an der bereits freigegebenen Safety Requirements Specification oder gar am zertifizierten Serienprodukt. Da dies wiederum mit einem höheren Formalaufwand verbunden ist, sollte am Anfang des Safety-Projekts genügend Zeit in eine höhere Stabilität der Anforderungen investiert werden.

Der Schlüssel zur Vereinigung beider Welten liegt dementsprechend darin, ausgewählte agile Methoden so innerhalb eines Safety-Projekts anzuwenden, dass mehr Flexibilität entsteht aber die Anforderungen der IEC61508 dennoch erfüllt werden.

Generische Projektmodelle

Vorweg sei betont, dass unserer Auffassung nach kein generisches Projektmodell unreflektiert auf eine Organisation ausgerollt werden sollte. Jedoch kann die Betrachtung folgender Modelle einen Lösungsrahmen aufzeigen.

Sequentieller Ansatz

Zunächst wird ein Prototyp rein in einem agilen Projekt entwickelt. Erst danach beginnt die Umsetzung in einem IEC61508 konformen Entwicklungsprozess, sozusagen als Folgeprojekt. Dieser Ansatz kann hilfreich sein, wenn noch größere Unsicherheiten hinsichtlich technischer Machbarkeit der Produktidee bestehen. Falls sich die Idee als nicht realisierbar herausstellt, werden so viel Zeit und Geld gespart. Der Nachteil ist jedoch, dass bei der nachgelagerten Safety-Umsetzung in der Regel auch Änderungen am Design erforderlich sind, da im agilen Prototyp meist nicht alle technischen Anforderungen nach der IEC61508-2/-3 berücksichtigt werden.

Paralleler Ansatz

Beim parallelen Ansatz – sicher und agil – kommen im Projekt praktisch zwei Entwicklungsprozesse gleichzeitig zum Einsatz. Grundlegend hierfür ist die Tatsache, dass eine sicherheitsgerichtete Komponente nicht nur aus sicheren Elementen besteht. Wenn diese Elemente hinreichend voneinander unabhängig sind, können die nicht-sicheren Elemente in einem agilen und die sicheren Elemente in einem IEC61508-Prozessmodell umgesetzt werden. In der Praxis ist es typisch, dass nicht-sichere Software, wie integrierte Webserver agil entwickelt werden. Dieses Modell ist folglich dann gut geeignet, wenn das Projekt große, komplexe nicht-sichere Bestandteile beinhaltet.

Integrierter Ansatz

Bei diesem Modell sind agile Methoden in das Phasenmodell nach IEC61508 integriert. Vereinfacht erklärt wird hier innerhalb der Phasen Design, Architektur, Implementierung und Test zunächst agil gearbeitet. Zum Abschluss der Phasen wird jedoch streng darauf geachtet, dass alle für diese Phase definierten Arbeitsergebnisse erzeugt und die festgelegten Verifikations- und Validierungstätigkeiten erfolgreich durchgeführt wurden.

In der Praxis wiederum können Kombinationen aller dieser Grundmodelle angewandt werden. Ebenfalls kann innerhalb einer Organisation individuell für jedes Projekt das jeweils geeignete Modell gewählt werden.

Transfer in der Praxis

Die geschilderten generischen Projektmodelle helfen dabei, einen Lösungsrahmen aufzuzeigen, es ist jedoch davon abzuraten, ein generisches Projektmodell direkt auf eine Organisation zu übertragen. Bei der Einführung eines agilen Projektmodells für Safety-Projekte müssen umfangreiche strategische Leitplanken des Unternehmens berücksichtigt werden.

Im Vorfeld der Einführung gilt es daher, Kernfragen zu beantworten:

  • In welchen Bereichen des Unternehmens sollen agile Methoden eingeführt werden? Im Management, im Produktmanagement, in der Entwicklung …
  • Wieviel Agilität verträgt die Organisation?
  • Welche Kultur herrscht im Unternehmen?
  • Wieviel Agilität möchte das Management zulassen?
  • Was verspricht man sich von der Einführung agiler Methoden?
  • Welche Ziele sollen damit erreicht werden?
  • Wie sehen die typischen Projekte des Unternehmens aus: Evolutionäre Weiterentwicklung oder „revolutionäre“ Neuent wicklungen?
  • Welche Produkte oder Dienstleistungen werden angeboten: Mechanik, Elektronik, Firmware, Software, oder Services?
  • Wo steht das Unternehmen? – Wo steht der Wettbewerb?

Vor der Einführung sollte also zunächst eine fundierte Bestandsaufnahme des Status-Quo, der spezifischen Herausforderungen und der genauen Zielsetzung stehen. Bei der Definition und Einführung der neuen Projektmodelle sollten zudem Experten aus den Gebieten der funktionalen Sicherheit und agiler Methoden mit starkem Praxisbezug und Verständnis für das Kerngeschäft des Unternehmens zur Verfügung stehen.

Zusammenfassung und Fazit

Agile Safety, – agile Methoden und funktionale Sicherheit – sind heute kein Widerspruch mehr. Das bestätigen auch die Zertifizierer. Zahlreiche Industrieunternehmen haben die Synthese bereits erfolgreich vollzogen und können dadurch innovative Produkte in kürzerer Zeit entwickeln und früher in den Markt einführen.

Metalogika GmbH
www.metalogika.de

Das könnte Sie auch Interessieren

Weitere Beiträge

Bild: Pilz GmbH & Co. KG
Bild: Pilz GmbH & Co. KG
Safety prêt-à-porter

Safety prêt-à-porter

Weil ein Hersteller von Küchenbeschlägen seine Biegemaschinen künftig sowohl von Hand als auch per Roboter beschicken will, stand eine Revision des Sicherheitskonzeptes an: Mit dem vorkonfektionierten Sicherheitsschaltgerät myPNOZ von Pilz gelang es dem Automatisierungsdienstleister Peter Huber, die Schnittstelle zwischen Biegemaschine und Roboter sicher zu machen. Dabei musste weder in vorhandene Sicherheitssteuerungen eingegriffen noch eine komplett neue Safety-Lösung aufgebaut werden.

mehr lesen
Bild: Bernstein AG
Bild: Bernstein AG
Sicher hoch hinaus

Sicher hoch hinaus

Janzen Lifttechnik aus Niederlangen baut hydraulische Hubtische, Aufzüge und Hubarbeitsbühnen nach Maß für seine Kunden. Insbesondere, wenn es darum geht, Personen zu befördern, gelten dabei hohe Anforderungen an die Sicherheit. Einen Partner zur Realisierung von zuverlässiger Sicherheitstechnik hat das Unternehmen mit Bernstein. Ein vor wenigen Wochen abgeschlossenes gemeinsames Projekt findet sich am Frachtterminal eines deutschen Flughafens. Mit Hilfe einer Ladebühne von Janzen Lifttechnik werden dort Frachten verfahren, während Bernstein-Produkte für die Arbeitssicherheit sorgen und die Fehlersuche bei einer Störung vereinfachen.

mehr lesen