Qualitätssicherung im Rahmen von SWAL3 in der Luftfahrt

In einer auf Sicherheit bedachten Branche wie der Luftfahrt ist Qualität weder ein Ziel noch ein Luxus - sie ist unerlässlich. Ob es um Hardware, Wartung oder Software geht - jedes Element und/oder System muss einwandfrei funktionieren. An jede Komponente, jeden Prozess und jedes System werden höchste Anforderungen gestellt, denn schon der kleinste Fehler kann schwerwiegende Folgen haben.

Bei der Entwicklung kundenspezifischer Software für die Luftfahrt sind diese Standards sogar noch anspruchsvoller geworden. Die Software für die Luftfahrt muss sehr strenge behördliche Anforderungen erfüllen und in jeder Phase der Entwicklung einer strengen Bewertung unterzogen werden. Um dies zu bewältigen, verwendet die Luftfahrtindustrie ein gut strukturiertes Rahmenwerk namens Software Assurance Levels (SWAL).

Den SWAL-Rahmen verstehen

Software Assurance Levels oder SWAL ist ein Rahmenwerk, das in sicherheitskritischen Branchen wie der Luftfahrt, der Nuklearindustrie oder im Automobilsektor für das Software-Sicherheitsmanagement eingesetzt wird. SWAL ermöglicht es Unternehmen, die Strenge der Entwicklung mit dem potenziellen Risiko in Einklang zu bringen und so sicherzustellen, dass Softwaresysteme, die kritische Vorgänge steuern, mit angemessener Intensität überprüft werden.

Während SWAL1 und SWAL2 sich auf die kritischsten Systeme konzentrieren und SWAL4 und SWAL5 Systeme abdecken, die keine oder nur geringe Auswirkungen auf die Sicherheit haben, ist SWAL3 der kritische Mittelweg in der Qualitätssicherung der Luftfahrt. Der strukturierte Ansatz des SWAL-Rahmens für das Risikomanagement ist besonders wichtig, da der Trend in der Luftfahrttechnologie zu immer mehr automatisierten und vernetzten Systemen geht.

SWAL3 deckt keine lebensbedrohlichen Systeme ab wie SWAL1, keine gefährlichen Systeme wie SWAL2 und keine Funktionen, die keine Auswirkungen auf die Sicherheit des Fluges haben (z.B. Kabinenbeleuchtung) wie SWAL5. SWAL3 deckt jedoch Systeme ab, deren Ausfall zwar nicht katastrophal ist, deren Auswirkungen jedoch, insbesondere in einem Szenario mit hoher Belastung, die Überlastung des Piloten erhöhen und den Flug beeinträchtigen können. Dieser Mittelweg macht SWAL3 zu einer Schlüsselebene für die Gewährleistung der Zuverlässigkeit der Software.

Die entscheidende Rolle von SWAL3 für die Sicherheit in der Luftfahrt

Software Assurance Level 3 ist in Systeme eingebettet, die operativ relevant sind und die Entscheidungsfindung des Piloten unterstützen, die mentale Belastung verringern und bei einem Teilausfall Redundanz bieten. Der Ausfall eines Systems, z.B. einer Kommunikationsmanagement-Software, gefährdet den Flug vielleicht nicht sofort, wird aber oft zum kritischen Glied in einer Krise.

Fallstudien aus der kommerziellen Luftfahrt zeigen, wie sekundäre Instrumentierungs- und Informationssysteme eine wichtige Rolle bei der Aufrechterhaltung der betrieblichen Effizienz unter nicht standardmäßigen Bedingungen spielen. SWAL3-Systeme versorgen Piloten mit zusätzlichen Datenquellen, die unverzichtbar werden, wenn die Primärsysteme Unstimmigkeiten aufweisen oder bei komplexen Betriebsszenarien wie Wetterproblemen, Notabstiegen oder Landungen usw. Branchenanalysen zeigen, dass gut funktionierende Unterstützungssysteme die Arbeitsbelastung der Besatzung bei unregelmäßigen Einsätzen erheblich reduzieren und so eine effektivere Entscheidungsfindung und Ressourcenverwaltung ermöglichen.

Qualitätssicherung für die SWAL3-Implementierung

Sobald die Bedeutung von SWAL3 verstanden ist, ist es ebenso wichtig, die Rolle der Qualitätssicherung (QS) im Allgemeinen zu erkennen. Im Kern zielt die Qualitätssicherung darauf ab, Risiken zu reduzieren. Im Rahmen von SWAL3 mindern QS-Aktivitäten - einschließlich rigoroser Überprüfung, strikter Einhaltung von Prozessen und umfassender Abdeckung - direkt verschiedene Risiken, wie z.B. operative, finanzielle, rechtliche und Sicherheitsrisiken.

Umfassende Abdeckung und Rückverfolgbarkeit

Eine strukturierte Technik zur Erreichung einer umfassenden Abdeckung ist die Requirements Traceability Matrix (RTM). Mit ihrer Hilfe überprüft das QS-Team, dass jede Anforderung (ob funktional oder sicherheitstechnisch), die während der SWAL3-Betriebsanalyse identifiziert wurde, ihre eigenen entsprechenden Testfälle und Ergebnisse hat und keine Anforderung übersehen wird.

Diese Art der Rückverfolgbarkeit, die als bidirektional bezeichnet wird, garantiert eine vollständige Abdeckung der Anforderungen. Einerseits wird eine Anforderung, die nicht durch Tests abgedeckt ist, gekennzeichnet, und andererseits wird der Zweck eines Testfalls in Frage gestellt, wenn er nicht auf eine bestimmte Anforderung zurückgeführt werden kann.

Softwareanomalien in Luftfahrtsystemen sind häufig auf eine unvollständige Rückverfolgbarkeit der Anforderungen zurückzuführen. Wenn kritische Signale zwischen miteinander verbundenen Systemen fehlinterpretiert werden, kann dies Auswirkungen auf die Flugzeugabfertigung und die Sicherheit der Passagiere haben. Eine gründliche Abdeckung der Anforderungen stellt sicher, dass diese Integrationspunkte ordnungsgemäß verifiziert werden, insbesondere bei redundanten Komponenten, die in gestörten Betriebsmodi kritisch werden.

Eine hohe Codeabdeckung ist im Zusammenhang mit SWAL3 unerlässlich, um das Vertrauen zu gewinnen, dass das System unter verschiedenen Testbedingungen gründlich getestet wurde. Eine solche Abdeckung ist ein Indikator für einen rigorosen QA-Prozess, der Aufschluss über die Reife und Stabilität der Software gibt. Ein weiterer Vorteil einer hohen Codeabdeckung ist das Aufdecken von Pfaden, die noch nicht getestet wurden. Wie sieht das in der Praxis aus? Das QA-Team stellt sicher, dass nicht nur das normale Betriebsszenario abgedeckt wird, sondern auch die Ausfälle und sogar die Randfälle, und zwar im Einklang mit der von SWAL3 geforderten Gründlichkeit.

Indem das QA-Team eine umfassende Abdeckung erreicht, liefert es den dokumentierten Nachweis, dass alle kritischen Pfade und Funktionen getestet wurden, was bei sicherheitskritischer Software häufig bereits eine behördliche Erwartung ist.

Strenge Überprüfung und Validierung

Im Rahmen der Qualitätssicherung wird die Verifizierung methodisch in mehreren Stufen durchgeführt, um zu bestätigen, dass das Produkt unter Einhaltung der festgelegten Anforderungen richtig gebaut wurde. Die Validierung hingegen stellt sicher, dass das richtige Produkt gebaut wurde - sein Verwendungszweck ist erfüllt.

Verifizierungsaktivitäten sind in den SWAL3-Entwicklungszyklus integriert, da die Verifizierung sicherstellt, dass die spezifizierten Anforderungen und Standards erfüllt werden und gleichzeitig eine hohe Qualität während des gesamten Entwicklungsprozesses aufrechterhalten wird. Darüber hinaus werden systematisch Einheitstests, Integrationstests und Systemtests durchgeführt und dokumentiert, d.h. jede Anforderung wird durch einen oder mehrere Tests überprüft (dies ist im RTM zu sehen).

Während der Verifizierung schreibt ein gut strukturierter QS-Prozess sowohl die Eintritts- als auch die Austrittskriterien für jede Phase des Lebenszyklus vor (was auch bedeutet, dass die Testphase so lange fortgesetzt wird, bis 100% der Anforderungen verifiziert sind). Durch die Einhaltung dieser Kriterien gewährleistet das QS-Team nicht nur eine hohe Softwarequalität, sondern fängt auch Fehler frühzeitig ab. Verschiedene Studien und Praktiken haben gezeigt, dass es sowohl billiger als auch sicherer ist, Probleme, die in den Anforderungen (oder ihrem Design) gefunden werden, in einem möglichst frühen Stadium der Entwicklung zu beheben.

Die Validierung selbst beinhaltet das Testen des integrierten Systems durch die Durchführung realistischer Betriebsszenarien, um sicherzustellen, dass die Leistung des Systems die vorgesehene Rolle erfüllt.

Durch die Kombination von Verifizierung und Validierung kann das QS-Team darauf vertrauen, dass die Software nicht nur ihre Spezifikationen erfüllt, sondern dass diese Spezifikationen auch den Anforderungen entsprechen, die sie erfüllen müssen. Ein solcher Ansatz ist von entscheidender Bedeutung, denn auch wenn die SWAL3-Software nicht die kritischste ist, kann sie dennoch zu erheblichen Gefahren beitragen, wenn sie nicht ordnungsgemäß verifiziert wird.

Einhaltung der Prozesse im SWAL3-Qualitätsmanagement

Neben ihrer Rolle bei der Entwicklung betonen die QA-Teams auch die Bedeutung des Prozesses selbst. Die Einhaltung eines gut definierten und standardkonformen Prozesses ist ebenso wichtig.

In der Luftfahrt, wo die Sicherheit von zentraler Bedeutung ist, ist die Einhaltung verschiedener Sicherheitsstandards, wie z.B. ED-109 für die ATM-Software, mehr als oft vorgeschrieben.

Bei der Software-Qualitätssicherung (SQA) wird sichergestellt, dass die Software die vordefinierten Standards erfüllt, während die Entwicklungsprozesse systematisch überwacht und verbessert werden.

Die praktische Seite der Qualitätssicherung

Was bedeutet das in der Praxis? Das QA-Team führt Kontrollen und Überprüfungen durch, um zu verifizieren:

✓ Alle Tests werden ausgeführt und erfolgreich bestanden

✓ Alle Anforderungen und Änderungen sind gut dokumentiert

✓ Vollständige Rückverfolgbarkeit wird während des gesamten Prozesses aufrechterhalten

Falls Abweichungen festgestellt werden, ergreift das QA-Team sofortige Korrekturmaßnahmen:

• Fehlgeschlagene Tests lösen Fehlerberichte aus
• Unklare Anforderungen werden vertieft geklärt
• Prozesslücken werden gezielt verbessert

Wichtige Faktoren für die strikte Einhaltung der QA-Prozesse

Die Vorfälle bei der Boeing 737 MAX in den Jahren 2018 und 2019 unterstreichen die absolute Notwendigkeit der strikten Einhaltung von definierten Prozessen und strengen Software-Testverfahren. Der Fehler der MAX - die MCAS-Software - war von höherer Kritikalität (SWAL1/SWAL2). Diese Vorfälle zeigen anschaulich, welche Folgen es haben kann, wenn die QS-Prozesse und die Strenge der Tests nicht ausreichen, und unterstreichen die entscheidende Bedeutung der disziplinierten Einhaltung von Prozessen selbst bei SWAL3.

Das Einhalten eines Qualitätssicherungsprozesses gewährleistet Konsistenz und Wiederholbarkeit. Durch die konsequente Einhaltung eines genau definierten Prozesses kann das QS-Team den Nachweis erbringen (Tests, Testergebnisse, Dokumentation, Prüfprotokolle), dass die Software gemäß SWAL3 mit der gebotenen Sorgfalt entwickelt wurde. Das ist ein wichtiger Beweis nicht nur für die Interessenvertreter, sondern auch für die Regulierungsbehörden.

Ein weiterer Aspekt des Qualitätsprozesses ist das Konfigurationsmanagement. Die Qualitätssicherung stellt sicher, dass die Dokumentation, der Quellcode und die Testartefakte versionskontrolliert sind und alle Änderungen genauestens nachverfolgt werden. Auf diese Weise wird ein häufiges Risiko vermieden - den Überblick über die gelieferte Software zu verlieren und/oder die falsche Version der Software zu testen.

Und nicht zuletzt - kontinuierliche Verbesserung. Nach jeder Projektphase oder jedem wichtigen Meilenstein kann eine retrospektive oder Lessons-Learned-Analyse durchgeführt werden. Dies geschieht auf der Grundlage von Daten/Beweisen und den daraus gewonnenen Erkenntnissen. Mit der Zeit steigern diese Verbesserungen die Effizienz und verringern die Fehlerquote.

Wie implementiert unser Dreamix QA-Team SWAL3?

Wenn es um die Entwicklung von SWAL3 geht, wenden wir bei Dreamix das gleiche Maß an Disziplin und Strenge an, das von jedem sicherheitskritischen Bereich erwartet wird. Unser Prozess beginnt mit einer umfassenden Planungsphase, in der alle Software Assurance-Aktivitäten in Übereinstimmung mit den jeweiligen Richtlinien, z.B. ICAO Doc 4444, NM B2B Reference Manual und IFPS Dictionary of Messages, festgelegt werden. Jede Anforderung wird einer Rückverfolgbarkeitsabbildung von den Anforderungen zu den Tests unterzogen, um eine bidirektionale Abdeckung durch strukturierte Anforderungsrückverfolgbarkeitsmatrizen, z.B. über Xray von Jira, zu gewährleisten. Unser Entwicklungsworkflow umfasst obligatorische Peer-Reviews, unabhängige Verifizierung und mehrstufige Teststrategien, einschließlich Entscheidungsabdeckung und Edge-Case-Validierung.

Unsere kontinuierlichen Verbesserungsprozesse umfassen:

• Strukturierte Lessons-Learned-Reviews nach jeder größeren Entwicklungsphase
• Funktionsübergreifende Retrospektiven unter Einbeziehung von Softwareentwicklungs-, QA- und Projektmanagement-Teams
• Systematische Bewertung von Erfolgen und Herausforderungen
• Dokumentation aller Ergebnisse und Erkenntnisse
• Direkte Integration der gewonnenen Erkenntnisse in zukünftige Planungszyklen
• Kontinuierliche Weiterentwicklung zur Verbesserung von Effizienz und Widerstandsfähigkeit
• Anpassung an sich verändernde regulatorische Erwartungen und betriebliche Realitäten

Unsere Infrastruktur zur Qualitätssicherung zeichnet sich durch folgende Merkmale aus:

• Strikte Trennung zwischen Entwicklungs- und Verifizierungsteams
• Unabhängige Versicherung zur Vermeidung von Verzerrungen
• Qualifizierte oder dokumentierte Prozesse zur Bewertung von Werkzeugen
• Umfassendes Konfigurationsmanagement
• Systematische Verfahren zur Verfolgung von Anomalien
• Versionskontrolle für alle Artefakte
• Überprüfen Sie die Protokollierung für vollständige Prüfpfade
• Revisionssichere Dokumentation in jeder Phase

Letztendlich geht es bei unserem SWAL3-Sicherheitskonzept nicht nur um die Einhaltung von Standards, sondern auch um proaktives Risikomanagement, den Aufbau von Vertrauen in jede Version und darum, dass Sicherheit ein integraler Bestandteil unserer Softwarelösungen ist, die die Zukunft der Luftfahrt gestalten.

Zusammenfassung

Zusammenfassend lässt sich sagen, dass die Qualitätssicherung im Rahmen von SWAL3 weit mehr als nur die Einhaltung gesetzlicher Vorschriften bedeutet. Es handelt sich um eine umfassende und proaktive Disziplin, die Risiken durch eine umfassende Testabdeckung, eine rigorose Verifizierung und Validierung und die unerschütterliche Einhaltung klar definierter Prozesse akribisch verwaltet.

Diese strenge Qualitätskontrolle gewährleistet nicht nur die Betriebssicherheit, sondern schützt auch Menschenleben, fördert das Vertrauen der Beteiligten und hält die strengen Sicherheitsstandards der Luftfahrt ein. Dreamix hält sich während des gesamten Lebenszyklus der Softwareentwicklung an diese anspruchsvollen Qualitätssicherungs- und Entwicklungsverfahren. In einer Branche, in der selbst kleine Fehler zu kritischen Zwischenfällen führen können, sind robuste Qualitätssicherungspraktiken innerhalb von SWAL3 unerlässlich, um das Vertrauen zu erhalten, die Sicherheit zu gewährleisten und die tadellosen Standards zu bewahren, die die moderne Luftfahrt definieren.