Die neue EN 50716:2023 «Anforderungen für Software Entwicklung» Teil 2
Im November 2023 hat CENELEC die neue EN 50716:2023 „Railway Applications - Requirements for software development“ zur Verfügung gestellt (DAV: 2023-11-17). Damit wird die bisherige Norm EN 50128 abgelöst. In unserer Tätigkeit bei CSA Engineering, mit Kundenmandaten und Projekten im sicherheitsrelevanten Bereich, ist diese Ablösung und die damit verbundenen Änderungen relevant für unsere Arbeit. Basierend auf der schweizerischen Ausgabe der neuen EN 50716:2023 fokussieren wir uns in diesem Beitrag auf einige Hauptänderungen zur Vorgängernorm EN 50128:2011.
Die Hauptänderungen in den Kapiteln 1 bis 7 haben wir in Teil 1 beschrieben, siehe Die neue EN 50716:2023 «Anforderungen für Software Entwicklung» Teil 1. In diesem Beitrag konzentrieren wir uns nun auf die Kapitel 8 und 9.
Folgende Hauptänderungen resultieren in den Kapiteln 8 und 9
8 Development of application data: systems configured by application data
Der Begriff „application algorithms“ wurde gelöscht und die entsprechenden Stellen textlich angeglichen. Das Kapitel beschreibt, wie generische Software durch ein Set von Anwendungsdaten (application data) oder Anwendungssoftware (applications software *) konfiguriert werden kann. Für SIL1 bis SIL4 soll der Entwicklungsprozess begutachtet werden. Für Anwendungssoftware gelten die Vorgaben von Kapitel 4 bis 7 und 9.
Neu sind in dieser Phase zusätzliche Dokumente zu erstellen für „Application Integration Test Specification“, „Application Integration Test Report“ und eine „Application Release Note“.
Zum Entwicklungsprozess der Anwendungssoftware wurde als Notiz ergänzt, dass dieser im „Application Preparation Plan“ zu beschreiben ist. Nachfolgend einige Details dazu:
8.4.1.8 Anstelle einer Risiko Analyse wird nun eine Ausfall Analyse gefordert. Die anzuwendende Methode ist nicht genauer festgelegt.
8.4.5 hier wird nun entsprechend der Überschrift der Begriff „Application Integration Test“ verwendet. Die Notiz weist darauf hin, dass in 8.4.4 typischerweise eine simulierte Umgebung verwendet wird und die Integration auf einem repräsentativen Zielsystem erfolgen soll.
8.4.7.7 verlangt neu eine „Application Release Note“, die die Anwendungsdaten begleiten sollen.
8.4.7.8 listet die Anforderungen an die „Application Release Note“ auf.
8.4.8 Entwicklung von generischer Software entfällt, da Kapitel 4 bis 7 und 9 anzuwenden sind.
Techniken und Methoden in Tabelle A.11 sind gleichgeblieben, ausser dass nun für funktionale Tests auf Tabelle A.13 referenziert wird. Tabelle A.13 enthält weitere Techniken aus der nun leeren Tabelle A.14 wie Process Simulation (D.42), Prototyping (D.43), Tests auf Basis von Ursache- Wirkungsdiagrammen (D.6). Leistungs-Modellierung (D.39) wird nicht mehr aufgelistet. Tests mit Äquivalenzklassen und Eingangsdaten-Unterteilung (D.18) ist nun bereits ab SIL 1 highly recommened (HR).
*) Definition von Anwendungssoftware: Software, die speziell auf die Lösung eines von einem Endnutzer gestellten Problems ausgerichtet ist [SOURCE IEC 60050: 171-05-04 übersetzt].
Das nebenstehende Beispiel zeigt, wie die Verbindungen von Anwendungsdaten (Application Data) und Software sein könnten. In diesem Beispiel scheint der Bootlader keine Anwendungsdaten zu nutzen und somit wäre unseres Erachtens das Kapitel 8 nur für „Application Software“ und „Firmware“ anzuwenden. Prüft der Bootloader allerdings die Integrität der Firmware, bevor diese gestartet wird, stimmt diese Annahme nicht. Das nebenstehende Bild müsste dann so ergänzt werden, dass die Verbindung „Bootloader prüft Integrität der Firmware“ sichtbar ist. Abhängig vom Ergebnis der Integritätsprüfung wird sich der Bootloader anders verhalten müssen. Somit wäre Kapitel 8 auch für den Bootloader anwendbar.
9 Software deployment and maintenance
9.1 Software deployment: Der Software Release und Deployment Plan sowie die Release Notes entfallen.
Unseres Erachtens soll der Inhalt der entfernten Dokumente durch die neue Release Note in Kapitel 8 abgedeckt werden. Es wird wohl davon ausgegangen, dass jede Software durch Anwendungsdaten konfiguriert wird. Bei modernen Systemen mit Kommunikationsschnittstellen, die mindestens eine spezifische Netzwerk Adresse benötigten, wird dies auch zutreffen.
9.2 Software maintenance: Es wurde explizit ergänzt, dass für SIL 1 bis SIL 4 der Gutachter einen Software Assessment Report erstellen muss. Der Verweis auf die zurückgezogene ISO/IEC 9126 „Software Quality“ bezüglich Wartbarkeit wurde gelöscht. Die Nachfolgenormen ISO/IEC 25002:2024, ISO/IEC 25010:2023, ISO/IEC 25019:2023 „Systems and Software Quality Requirements and Evaluation (SQuaRE)“ ist nicht explizit aufgelistet.
Techniken und Methoden in Tabelle A.10 sind gleichgeblieben.
Fazit
Die Analyse (Teil 1 und Teil 2) hat gezeigt, dass die neue [SN EN 50716:2023] strukturell der Vorgängernorm [SN EN 50128:2011] angeglichen ist und dadurch eine einfache Einarbeitung und Auffindbarkeit erreicht wurde. Mit den angepassten Punkten ist die [SN EN 50716:2023] unserer Meinung nach ein gelungener Wurf und beschreibt einheitlich, wie Software für Eisenbahnanwendungen, unabhängig ob für Infrastruktur oder Fahrzeuge, entwickelt werden muss. Für die Anpassung bestehender Vorlagen, Checklisten und Templates basierend auf den alten Normständen, wird eine detaillierte Analyse notwendig sein.
Stehen bei Ihnen normative oder allgemeine Requirements Engineering Arbeiten an?
Wir von der CSA Engineering AG unterstützen Sie gerne bei Ihrem Vorhaben. Kontaktieren Sie uns für ein unverbindliches Gespräch über die Möglichkeiten und den geeignetsten Support.