Zehn hoch Minus Neun – Der höchste Qualitätsanspruch an sichere Software ausgedrückt in einer einzigen Zahl. Ein Milliardstel, das den Unterschied ausmacht zwischen einer marketingwirksamen Idee und einer marktfähigen Innovation. Und während Safety heute meist noch als einschränkendes Hindernis empfunden wird, liegt in diesen Zehn hoch Minus Neun eigentlich eine unserer größten Chancen. Denn die Kompetenz, neue Produkte nicht nur innovativ, sondern zugleich sicher entwickeln zu können, bietet einen Marktvorsprung, der durch Innovationen im Safety Engineering weiter ausgebaut werden kann.
Wie selbstverständlich verlassen wir uns darauf, dass uns Autos, Flugzeuge und Züge sicher ans Ziel bringen. Während wir bei der Software auf unseren Computern, Smartphones oder Tablets ganz selbstverständlich davon ausgehen und akzeptieren, dass eigentlich immer irgendwelche Fehler zu Problemen führen, haben wir an technische Produkte wie ein Automobil offensichtlich eine völlig andere Qualitätserwartung. Und dies, obwohl wir uns eigentlich bewusst sind, dass auch ein Auto mittlerweile nichts anderes als ein hoch komplexes Softwaresystem ist. Die in technischen Geräten und Maschinen eingebettete Software erbt die Qualitätserwartung an das Gesamtprodukt. Und in der Tat haben Qualitätsprobleme völlig unterschiedliche Auswirkungen. Während wir bei klassischen Softwaresystemen beispielsweise über ärgerliche Verzögerungen und im Maximalfall über einen finanziellen Schaden reden, können Fehler in eingebetteten Systemen leicht zu Flugzeugabstürzen oder Autounfällen und somit zum Tod von Menschen führen.
Wenn Software lebenswichtig wird
Aus diesem Grund werden an Software in sicherheitskritischen Systemen die höchsten Qualitätsanforderungen gestellt. Dabei fällt immer wieder die Zahl »Zehn hoch Minus Neun«, die sehr vereinfacht ausgedrückt bedeutet,
dass es tausend Mal wahrscheinlicher ist, bei der nächsten Lottoziehung den Jackpot zu knacken, als bei der nächsten Flugreise aufgrund eines Softwarefehlers zu verunglücken.
Würde umgekehrt betrachtet ein Flugzeug von Systemen in der Qualität eines Smartphones gesteuert werden, wäre die nachweisbare Überlebenswahrscheinlichkeit der Passagiere vermutlich nicht viel höher als zu Zeiten der Flugpioniere, und das Flugzeug wäre als Massenverkehrsmittel unbrauchbar. Trotzdem scheint die Verlockung groß, die technologischen Errungenschaften vom Smartphone bis zur Cloud in sicherheitskritische Systeme zu übernehmen.
In eingebetteten Systemen ist man gerade erst dabei, diese neue Hardwaregeneration einzuführen, da es nach wie vor schwierig ist, die Sicherheit von multicore-Systemen nachzuweisen.
Und Softwareriesen bewegen sich immer mehr in den Bereich technischer Systeme, die sie mit Verfahren und Technologien entwickeln, die bislang auf klassische Softwaresysteme beschränkt waren. Auf den ersten Blick mögen dann angestammte Automobil- oder Flugzeughersteller sehr rückständig anmuten. Während beispielsweise Multicore-Prozessoren in PCs und Smartphones schon längst als Standard gelten, ist man in eingebetteten Systemen gerade erst dabei, diese neue Hardwaregeneration einzuführen, da es nach wie vor schwierig ist, die Sicherheit von Multicore-Systemen nachzuweisen. Auf den zweiten Blick wird man daher feststellen, dass die Softwareriesen die Hürde »Zehn hoch Minus Neun« noch vor sich haben, und da sich ein nicht von Anfang an sicher entwickeltes System nur sehr schwer nachträglich absichern lässt, liegt noch ein beträchtlicher Weg zwischen diesen marketingwirksamen Ideen und einem zulassungsfähigen Produkt. Genau darin liegt die Chance für deutsche und europäische Unternehmen, da die notwendigen Kompetenzen, Prozesse und Technologien zur Entwicklung sicherer Produkte bereits vorhanden sind.
Der Vorsprung der deutschen und europäischen Industrie liegt auf der Hand: Sie kann Innovationen nicht nur entwickeln, sondern auch deren Sicherheit nachweisen.
Safety im Zeitalter von Smartphones und Clouds
Gleichzeitig führen Smartphone, Cloud & Co. aber unausweichlich zu einer Änderung der Erwartungshaltung der Kunden. Während Software in eingebetteten Systemen bislang längere Entwicklungs- und Innovationszyklen hatte und die Technologie langsamer voranschritt, wird es künftig immer schwerer werden, sich der Entwicklungsgeschwindigkeit von IT-Systemen zu entziehen. Kunden erwarten immer häufiger auch für technische Systeme die Flexibilität und Intelligenz, die sie beispielsweise von Smartphones und Cloud-Anwendungen gewohnt sind. Allerdings ist es von entscheidender Bedeutung, sich nicht auf eine Aufholjagd zu den Softwareriesen einzulassen. Stattdessen sollte man sich seiner Stärken bewusst sein und den Vorsprung im Safety Engineering nutzen. Dazu ist es allerdings notwendig, die Safety-Kultur in Unternehmen weiter zu stärken und Innovationen nicht nur beschränkt auf die Systemfunktionalität zu betrachten, sondern auf die Fähigkeit auszudehnen, auch den zugehörigen Sicherheitsnachweis führen zu können. Denn Safety ist kein Hindernis, sondern eine Chance, im internationalen Wettbewerb nicht nur zu bestehen, sondern eine Vorreiterrolle einnehmen zu können.
Mit Innovationen sicher zum Erfolg
Vor dem Hintergrund immer schnellerer Systemerweiterungen und der hohen Variantenvielfalt erweisen sich Sicherheitsnachweise bereits heute zunehmend als Flaschenhals. Die Systementwicklung entwickelt sich mit neuen Ansätzen wie beispielsweise der modellbasierten Entwicklung methodisch und technologisch stetig weiter. Dadurch lassen sich immer komplexere Systeme in immer kürzeren Zyklen entwickeln. Die eingesetzten Sicherheitsnachweisverfahren haben sich allerdings nur sehr langsam weiterentwickelt und skalieren nicht – was aber nötig ist, um die Sicherheit trotz der schnell wachsenden Systemkomplexität effizient nachweisen zu können. Es sind daher verstärkte Investitionen in innovative Sicherheitsverfahren erforderlich.
Eine sichere Perspektive
So stehen heute beispielsweise bereits Verfahren zur Verfügung, um auch den Safety-Lebenszyklus vollständig modellbasiert durchzuführen. Basierend auf denselben Konzepten wie die modellbasierte Systementwicklung lässt sich Safety nahtlos in die Entwicklung und die dafür vorhandene Werkzeugkette integrieren – modular, hierarchisch, automatisierbar und als integrierter Teil des Variantenmanagements. Gerade bei den häufigen Anpassungen und der Variantenvielfalt heutiger Systeme führt dies zu wesentlich effizienteren Sicherheitsnachweisen. Wie beispielsweise in dem vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekt SPES_XT in enger Zusammenarbeit zwischen Forschung und Industrie gezeigt wurde, lässt sich der gesamte Sicherheitslebenszyklus von der ersten Gefahrenanalyse bis zum abschließenden Sicherheitsnachweis nahtlos in die modellbasierte Entwicklung integrieren. Dass diese Konzepte längst die Kinderschuhe reiner Forschung verlassen haben, zeigt sich in der immer häufigeren praktischen Anwendung im Industriealltag – von der Automobilindustrie über den Schienenverkehr bis zur Medizintechnik.
Eingebettete Systeme werden in schnellen Innovationsintervallen immer intelligenter, flexibler und vernetzter. Damit Safety auch künftig nicht zum Hindernis wird, müssen neben der Funktion selbst auch die Sicherheitsmechanismen intelligenter und flexibler werden. Safety-Modelle bieten auch hier eine ideale Basis, indem man sie in die Laufzeit überträgt. Wenn sich Systeme durch die Modelle ihrer Sicherheit »bewusst« werden, können sie zur Laufzeit intelligent und trotzdem sicher auf neue Situationen reagieren. Wenn beispielsweise ein Landwirt Anbaugerät und Traktor unterschiedlicher Hersteller verbindet und das Anbaugerät zur Optimierung des Prozesses die Steuerung des Traktors übernimmt, kann keine Sicherheitsüberprüfung durch einen Spezialisten mehr erfolgen. Alle möglichen Kombinationen in allen denkbaren und undenkbaren Einsatzszenarien vorab zu prüfen ist praktisch nicht umsetzbar. Stattdessen kann man aber den Maschinen mit modellbasierten Laufzeitzertifikaten eine Safety-Intelligenz verleihen, sodass sie dynamisch selbst prüfen können, ob oder unter welchen Einschränkungen eine sichere Kooperation möglich ist. Solche Ansätze bieten ein großes Potenzial für die Zukunft und werden daher auch in Forschungsprojekten wie dem Artemis-Projekt EMC² stetig weiter entwickelt.
Modelle für eine sichere Zukunft
Auch wenn Safety heute oftmals noch als Hindernis empfunden wird, liegt darin gerade im internationalen Wettbewerb eine große Chance. Denn der Aufbau von Erfahrung, Technologie und Prozessen, um die Hürde »Zehn hoch Minus Neun« nehmen zu können, kostet Zeit und Geld. Darin liegt ein großer Vorsprung von Unternehmen, die bereits heute sicherheitskritische Systeme entwickeln. Diesen Vorsprung können sie als Wettbewerbsvorteil nutzen, wenn sie auch weiterhin in Innovationen im Safety Engineering investieren. Gerade die Nutzung von modellbasierten Ansätzen bietet ein großes Potenzial mit Zukunft. Bereits heute lässt sich die Effizienz von Sicherheitsnachweisen erhöhen. Durch die Nutzung von Modellen zur Laufzeit werden sie aber insbesondere auch die Basis für den Sicherheitsnachweis von offenen, intelligenten und dynamisch vernetzten Systemen bilden.