Deutschland — Fähigkeitsanpassung Fregatte 123

Maß­nah­men zur Sicherung der Qual­ität bei der Soft­ware-Entwick­lung

Die Qual­ität ein­er Soft­ware ist definiert als die Gesamtheit der Merk­male, die sich auf deren Eig­nung beziehen, fest­gelegte oder voraus­ge­set­zte Erfordernisse zu erfüllen. Sie wird durch fol­gende Qual­itätsmerk­male bes­timmt: Funk­tion­al­ität, Zuver­läs­sigkeit, Benutzbarkeit, Effizienz, Änder­barkeit, Über­trag­barkeit, Kor­rek­theit, Betrieb­ssicher­heit, Robus­theit und Wart­barkeit. Demge­genüber umfasst die Qual­itätssicherung alle Maß­nah­men, die notwendig sind, um ein angemessenes Ver­trauen zu schaf­fen, dass die Soft­ware die vorgegebe­nen Qual­ität­san­forderun­gen auch tat­säch­lich erfüllt.

Hierzu wer­den sowohl kon­struk­tive als auch ana­lytis­che Ver­fahren angewen­det. Kon­struk­tive Ver­fahren sind präven­tiv, d.h., sie ver­suchen, die Entste­hung von Fehlern zu ver­hin­dern. Sie ver­wen­den Mod­elle, um zu einem möglichst frühen Zeit­punkt Aus­sagen über rel­e­vante Eigen­schaften von Sys­te­men zu gewin­nen. Im Gegen­satz dazu arbeit­en ana­lytis­che Ver­fahren prüfend, d.h. Fehler erken­nend. Hier­bei wird fest­gestellt, ob eine bere­its vorhan­dene Soft­ware den Vor­gaben entspricht. Nachteilig ist demzu­folge, dass ana­lytis­che Ver­fahren erst zu einem rel­a­tiv späten Zeit­punkt greifen kön­nen und entwed­er die Fehler­frei­heit bestäti­gen oder existierende Fehler aufzeigen.

Die ana­lytis­che Qual­itätssicherung ist eine per­ma­nente, die Entwick­lung beglei­t­ende Auf­gabe und umfasst sowohl dynamis­che als auch sta­tis­che Tests.

Ver­fahren der ana­lytis­chen Qual­itätssicherung:

 -

Bei den dynamis­chen Tests wird zwis­chen Black-Box-Tests, also Prü­fun­gen der exter­nen Schnittstelle ohne Ken­nt­nisse der inneren Funk­tion­sweise des Prüfge­gen­standes und White-Box-Test unter­schieden, bei denen eine Prü­fung der inter­nen Abläufe anhand des Quell­codes durchge­führt wird. Als sta­tis­che Tests kom­men Erläuterun­gen der Funk­tion­sweise des Prüfge­gen­standes durch den jew­eili­gen Autor (Walk­trough), formelle Über­prü­fun­gen eines Pro­duk­t­teils (Reviews) und sys­tem­a­tis­che Analy­sen der Stärken und Schwächen (Inspek­tio­nen) zur Anwen­dung.

Bei allen Maß­nah­men zur ana­lytis­chen und kon­struk­tiv­en Qual­itätssicherung ist die so genan­nte Kri­tikalität von entschei­den­der Bedeu­tung. Hierunter ist die poten­zielle Kon­se­quenz zu ver­ste­hen, die sich aus dem Fehlver­hal­ten ein­er Kom­po­nente in ihrer Umwelt ergeben kann.

Typ­is­che Kri­tikalitäten sind:

  • Hoch: Fehlver­hal­ten kann zum Ver­lust von Men­schen­leben führen,

  • Mit­tel: Fehlver­hal­ten kann die Gesund­heit von Men­schen gefährden oder zur Zer­störung von Sachgütern führen,

  • Niedrig: Fehlver­hal­ten kann zur Beschädi­gung von Sachgütern führen, ohne jedoch Men­schen zu gefährden,

  • Keine: Fehlver­hal­ten gefährdet wed­er die Gesund­heit von Men­schen noch Sachgüter.

Maß­nah­men im Pro­jekt Fähigkeit­san­pas­sung

Bei Abschluss des Ver­trages über die Durch­führung des Pro­jek­tes Fähigkeit­san­pas­sung F123 im Jahr 2005 wur­den gemäß den Vor­gaben des V‑Modells alle Maß­nah­men zur Sicherung der Qual­ität bei der Sys­te­men­twick­lung in einem Qual­itätssicherungs­plan fest­geschrieben und ver­traglich vere­in­bart.

Während der Pro­jek­t­laufzeit haben jedoch die Erken­nt­nisse und Erfahrun­gen aus ver­schiede­nen anderen Pro­jek­ten die Notwendigkeit aufgezeigt, bei der Entwick­lung der Soft­ware eine sig­nifikante Steigerung der Maß­nah­men zur Qual­itätssicherung vorzunehmen. Die zen­trale Bedeu­tung der Fre­gat­te 123 für die laufend­en Ein­sätze der Flotte und die beson­deren Her­aus­forderun­gen bei der Umrüs­tung ein­er Schiff­sklasse im laufend­en Betrieb ließen keinen anderen Weg zu. Mit dem aus dama­liger Sicht muti­gen Schritt ein­er nachträglichen Beauf­tra­gung von zusät­zlichen Maß­nah­men zur Qual­itätssicherung wurde das mit der Umrüs­tung ver­bun­dene Risiko für die Ein­satzfähigkeit auf ein unver­mei­d­bares Niveau min­imiert.

Aus­ge­hend von den Vor­gaben des AQM wurde eine Auswahl von zusät­zlichen Maß­nah­men zur Qual­itätssicherung vere­in­bart, die pro­jek­tverträglich umge­set­zt wer­den kon­nten. Dieses Tai­lor­ing war erforder­lich, da bei einzel­nen Maß­nah­men eine nachträgliche Berück­sich­ti­gung nicht mehr möglich war bzw. zu unver­hält­nis­mäßig hohen zeitlichen und finanziellen Mehraufwän­den geführt und damit das Pro­jekt ins­ge­samt gefährdet hätte. Prak­tis­che Erfahrun­gen zeigen, dass beispiel­sweise das nachträgliche Höher­stufen von Kri­tikalitäten zu ein­er Vervielfachung des Entwick­lungsaufwan­des führt (von niedrig nach mit­tel: Fak­tor 3, von mit­tel nach hoch: Fak­tor 5). Ein wesentlich­er Bestandteil der zusät­zlichen Maß­nah­men ist darüber hin­aus die Ver­wen­dung von Soft­ware­tools zur automa­tis­chen Durch­führung von sys­tem­a­tis­chen Prü­fun­gen.

Im Einzel­nen wur­den fol­gende zusät­zliche Maß­nah­men vere­in­bart:

  • Neube­w­er­tung und umfassende Erhöhung der Kri­tikalität­se­in­stu­fun­gen für sicher­heit­skri­tis­che und kom­plexe Kom­po­nen­ten,

  • Verbesserung der sta­tis­chen Code-Analyse durch automa­tisierte, werkzeuggestützte Über­prü­fun­gen zur Ein­hal­tung von Pro­gram­mier­richtlin­ien und sys­tem­a­tis­che automa­tisierte Erken­nung von Laufzeit­fehlern,

  • Automa­tisierung der White-Box-Teste,

  • Verbesserung der Black-Box-Teste durch sys­tem­a­tis­che Meth­o­d­en zum Entwurf von Prüf­fällen,

  • Die Durch­führung ein­er dre­it­eili­gen Sys­tem­prü­fung auss­chließlich durch den öffentlichen Auf­tragge­ber mit den Anteilen »Funk­tionale Prü­fung«, »Usabil­i­ty Prü­fung« sowie »Last- und Stressprü­fung«.

Alle Maß­nah­men wur­den im laufend­en Entwick­lung­sprozess noch vor der Sys­tem­inte­gra­tion umge­set­zt. Sie wur­den auf alle neu entwick­el­ten Anteile für den Waf­fenein­satz und die Lage­bilder­stel­lung sowie für wesentliche von der Fre­gat­te 124 und der Korvette 130 über­nommene Anteile angewen­det. Dieser mit der Stufe I geschaf­fene Stand der Qual­itätssicherung wird auch bei der Stufe II zur Anwen­dung kom­men.