Entwicklung eines Vorgehens zum Safety Assessment für sicherheits-kritische Informationssysteme. Christina Schäfer
• Stress (Stress)
• Lack of Awareness (Fehlende Übersicht)
• Norm (Standardisierung, ungeschriebene Regeln)
Die aufgeführte Liste stellt auch potentielle Risiken dar, die in der Entwicklung von neuen Systemen Berücksichtigung finden sollten, damit während der Nutzung die Fehlerrate reduziert werden kann.
Darüber hinaus zeigt das vorangegangene Beispiel deutlich die Probleme in der Automatisierung von Arbeitsabläufen und dem Zusammenspiel von Mensch und Technik. Vielfach müssen Menschen nur noch überwachende Tätigkeiten ausführen, sollen dann aber in Störungssituationen eingreifen und spontan folgerichtig handeln. Der Mensch muss so in schwierigen Fällen die Aufgaben erledigen, die sonst eine Maschine oder System übernimmt. Das Wissen über den Umgang mit dem System ist dann jedoch reduziert, da eine geringere Häufigkeit der Nutzung festzustellen ist [BaHL12]. Dieses Phänomen ist ebenfalls in der Luftfahrt vorzufinden, z.B. seit der Einführung des Autopiloten. Auch Herczeg (siehe [Herc14]) führt aus, dass ein durchdachtes Zusammenspiel zwischen menschlicher Kontrolle und technischer Automatisierung zu beachten ist.
Die zivile Gefahrenabwehr ist dazu differenziert zu betrachten. Eine vollständige Automatisierung ist auszuschließen, aber die Unterstützung durch Technologien und demnach auch durch Informationssysteme steigt stetig. Auf diese Weise rückt die Bedeutung von SKIS in den Mittelpunkt der Arbeit als eine Systemklasse, die nicht direkt in das Umfeld des Menschen eingreift, aber durch die Informationsbereitstellung weitreichend Einfluss nehmen kann.
Die Arbeit setzt folgerichtig drei Phasen für die Zielerreichung voraus: Es werden Entwicklungsmethodiken zur Entwicklung von SKIS analysiert und dabei auch Verfahren zur Entwicklung von SKS betrachtet, ein Methodenportfolio erstellt und daraus Vorgehensempfehlungen abgeleitet, um ein nachhaltiges Safety Assessment zu etablieren, siehe Abbildung 1-4.
Quelle: Verfasser
Abbildung 1-4 Relevante Themen in der Arbeit
Zur systematischen Identifikation von Potentialen und Bedarfen werden Schritt 1 und Schritt 2 aus Abbildung 1-4 weiter untergliedert:
Zu Schritt 1: Systementwicklung
1. Entwicklungsmethodik für SKS
2. Entwicklungsmethodik für Mensch-Maschine-Systeme
Zu Schritt 2: Methodenbaukasten
1. Wissen des Designers und Entwicklers über den Nutzer erhöhen:
• Methoden und Kreativtechnik zur Analyse (vgl. z.B. [PoRu15])
• Methoden des Usability Engineering’s (vgl. z.B. [Niel93])
2. Wissen der Einsatzkräfte selbst durch und über das System erhöhen:
• Methoden des Wissensmanagements (vgl. z.B. [Lehn14])
• Methoden des Lernens
3. Den Nutzer als Individuum in der Entwicklung anerkennen und das „Wissen des Systems“ über den Nutzer erhöhen:
• Methoden der Individualisierung und Benutzermodellierung (vgl. z.B. [Kobs04])
Alle aufgeführten Klassen von Methoden ermöglichen eine zielgerichtete Gestaltung von SKIS und bedürfen einer Prüfung und Adaption auf den beschriebenen Kontext. Zudem können darüber Eingangsgrößen für einen Safety Assessment Process gewährleistet werden. Insgesamt soll eine risikobewusste Entwicklung von SKIS ermöglicht werden.
Zur Erreichung des Ziels wird für die Arbeit folgendes Vorgehen festgelegt:
• Zunächst sollen bestehende Problem- und Bedarfsanalysen durchgeführt werden, um den Rahmen der Arbeit zu fixieren. In Kapitel 2 werden vom Verfasser Praxisbeispiele aufgeführt, die verschiedene Problemstellungen im Umgang mit SKIS darstellen. Zusätzlich werden in Kapitel 3 relevante Grundlagen zur Softwareentwicklungsparadigmen wie auch Methoden des Usability Engineerings, Benutzermodellierung und Wissensmanagements erarbeitet, sodass insgesamt ein Handlungsbedarf bestimmt werden kann (Kapitel 4).
• Auf Basis der Ergebnisse aus Kapitel 2, 3 und 4 sollen dann Indikatoren und Einflussgrößen in der zivilen Gefahrenabwehr erhoben werden, die grundsätzliche Risikopotentiale beinhalten (Kapitel 5).
• Damit kann dann anschließend ein valides Konzept zur Integration eines Safety Assessment in die Entwicklung von SKIS aufgebaut (siehe Kapitel 6) und evaluiert werden (siehe Kapitel 7). Die genannten Methoden wurden vom Verfasser im Zusammenhang zur zivilen Gefahrenabwehr durchgeführt, der überwiegende Teil bezieht sich also auf die Entwicklung von SKIS für die zivile Gefahrenabwehr. Zusätzlich wurden aber auch Methoden aufgeführt, die für die Analyse von Systemen oder zur Erhebung von Anforderungen genutzt wurden, die als Endanwender nicht Einsatzkräfte der zivilen Gefahrenabwehr haben, sich aber im Kontext auch auf Vorgänge in der zivilen Gefahrenabwehr beziehen, z.B. Systeme, die den Selbstschutz von Bürgern erhöhen sollen.
Das Vorgehen in der vorliegenden Arbeit wird in Abbildung 1-5 gezeigt.
Quelle: Verfasser
Abbildung 1-5 Vorgehen in der Arbeit
2 Handlungsbedarf – Nutzungsperspektive
Ein Handlungsbedarf ergibt sich zum einen aus identifizierten Lücken im aktuellen Stand der Technik und zum anderen aus beobachtbaren Problemen in der entsprechenden Domäne.
An dieser Stelle setzt Kapitel 2 an und diskutiert beobachtete bzw. identifizierte Probleme aus der Domäne „zivile Gefahrenabwehr“ bzw. aus der Nutzung von SKIS, sodass ein erster Handlungsbedarf abgeleitet werden kann. Dazu legt Kapitel 2.1 erste Grundsteine zur Definition von Problemen und Komplexität in der besagten Domäne. Darüber hinaus werden die Rolle von Erfahrung und Wissen zum Problemlösen beschrieben und schließlich individuelle Faktoren in der Systemgestaltung identifiziert.
Zur Einordnung des Handlungsbedarfs werden im Verlauf des Kapitels Annahmen (Annahme 1 bis Annahme 6) in Bezug zur Entwicklung und Nutzung von SKIS aufgestellt. Die Annahmen werden in Kapitel 4 wieder aufgegriffen, um den Handlungsbedarf mit dem Hintergrund des Stands der Technik zu vervollständigen. Diese Annahmen basieren auf den identifizierten Bedarfen, die im Folgenden vorgestellt werden.
Der Handlungsbedarf wird hier in zwei Aspekten aufgezeigt:
• Zunächst soll ein grundsätzlicher Bedarf der IT-Unterstützung und Potentiale für SKIS auch in komplexen Situationen aufgezeigt werden (siehe Kapitel 2.1)
• Neben dem grundsätzlichen Potential an IT-Unterstützung stehen bereits identifizierte Probleme in der Nutzung. Hier sollen in den folgenden Kapiteln 2.2 und 2.3 Beispiele aufgeführt werden, die zum einen den Differenzierungsbedarf zwischen einzelnen Nutzern, insbesondere mit Berücksichtigung von unterschiedlichen Wissens- und Erfahrungsständen, in den Mittelpunkt stellen (siehe Kapitel 2.2 und 2.3)
2.1 Bedarf an IT-Unterstützung im Problemlösungsprozess zur Erhöhung des Wissens von Akteuren in der zivilen Gefahrenabwehr
Probleme lassen sich im Allgemeinen mit dem „Kopf“ oder dem „Bauch“ lösen und insbesondere mit wachsender Erfahrung kann der „Bauch“ zur Entscheidungsfindung und so zur Problemlösung beitragen [Bund12].
Nicht immer ermöglicht der Handlungsrahmen (z. B. eines Feuerwehreinsatzes) die nötige Zeit für lang andauernde Analysen. Speziell Akteure, die SKIS in komplexen Kontexten verwenden, müssen schnell und effektiv auf Unerwartetes reagieren und dabei in einer risikobehafteten Umgebung nahezu fehlerfrei agieren, da ein Fehlverhalten der Akteure schwerwiegende Auswirkungen haben kann. [Mist05] Daraus kann folgende Annahme abgeleitet werden:
Annahme 1:. Fehler im Umgang mit zeit-