Entwicklung eines Vorgehens zum Safety Assessment für sicherheits-kritische Informationssysteme. Christina Schäfer
zu vergleichen. Letztlich können auch erste Maßnahmen geplant werden, die auf der Analyse fußen. Eine IT-Unterstützung, in der z.B. über die eigenen Erfahrungen hinaus, auch Erfahrungen anderer im System aufgenommen, gepflegt und bereitgestellt werden, erzeugt einen großen Mehrwert.
3. Das Aufzeigen und Abschätzen von Handlungsalternativen (z.B. auch durch Simulation von potentiellen alternativen Verläufen) kann durch geeignete Informationssysteme begleitet werden.
4. In sicherheits-kritischen Systemen übernimmt das System viele Aufgaben und die Verantwortung für die Sicherheit wird an das System übergeben. In sicherheits-kritischen Mensch-Maschine-Systemen erfolgt das vielfach nicht auf diese Weise. Während Automatisierung dem Menschen an vielen Stellen die Arbeit abnimmt, kann sie auch Probleme auslösen. Wie bereits in vorherigen Abschnitten erwähnt, ist mit einem hohen Grad der Automatisierung für die Feuerwehr nicht zu rechnen.
Alle Schritte werden durch ein Selbstmanagement des Akteurs begleitet, wodurch die eigene Regulation von Stress wie auch psychischer und zeitlicher Druck zu verstehen ist.
Aus dem grundsätzlichen Bedarf an IT-Unterstützung und der Bedeutungsschwere der Aufgaben im komplexen Problemlösen kann ein grundsätzlicher Handlungsbedarf abgelesen werden, die Entwicklung von benötigten SKIS zu optimieren. Dazu verfolgt die vorliegende Arbeit eine Kombination aus risikobasiertem Softwareentwicklungsansatz und der Verwendung von verschiedenen Methoden – auch des Usability Engineerings. Um den Bedarf weiter auszuführen werden in den folgenden Abschnitten Nutzungsprobleme aufgezeigt.
Quelle: Verfasser nach [Dörn14], [Dörn11] und [Funk03]
Abbildung 2-4 Detaillierter Problemlösungsprozess
2.2 Erfahrung und die Bedeutung des Wissens des Designers / Entwicklers über den Nutzer
Der Mensch macht Fehler, ist ungenau und variiert seine Strategie für die Lösung von komplexen Aufgaben. Zwar weicht eine Maschine in ihrem Vorgehen nicht ab, dennoch kann auch hier ein Fehler auftreten, insbesondere verursacht durch unerwartete Einflüsse aus der Umwelt. Das Zusammenspiel aus Mensch, Maschine und Umwelt ist von großer Bedeutung für ein funktionierendes Gesamtsystem [ShPl10]. Die Umwelt lässt sich oftmals nur schwer beeinflussen, sodass die Optimierung der Schnittstelle, also des Zusammenspiels zwischen Mensch und Maschine, thematisiert wird.
Die Menschen, die hier betrachtet werden, müssen komplexe Probleme bzw. Aufgaben unter hohem Zeitdruck erfüllen. Dabei bewegen sie sich in komplexen, dynamischen Kontexten, was eine Problemlösung nicht vereinfacht. Die Schnittstelle zu einem unterstützenden Informationssystem ist daher von entscheidender Bedeutung für eine zeitgerechte, korrekte Aufgabenerfüllung. Daraus ergibt sich folgende Annahme, die auch durch das anschließende Beispiel gestützt wird.
Annahme 3: Komplexe Kontexte beeinflussen maßgeblich die Analyse im Softwareentwicklungsprozess, sowohl in Bezug auf die Auswahl als auch die Durchführung von Methoden.
Im Arbeitsverhalten gibt es zwischen dem Technischen Service und Arbeiten in der zivilen Gefahrenabwehr Parallelen (siehe [LiSK11]). Daher werden hier auch als Beispiel Störungen im Produktionsprozess betrachtet, die selten planbar sind und ein schnelles Eingreifen erfordern, um wirtschaftliche Verluste für ein Unternehmen so gering wie möglich zu halten. Es lassen sich daran weitere Aspekte für die Entwicklung von SKIS ableiten.
Es werden divergierende Geschäftsmodelle zur Realisierung des technischen Service verfolgt und sie verändern sich stetig, insbesondere durch die beginnende Etablierung von Industrie 4.0 [EmDö15]. Der Technische Service kann an externe Unternehmen ausgelagert werden, die speziell für diesen Zweck geschult und ausgerüstet sind. Des Weiteren kann die Fehlerbehebung von spezifischen Mitarbeitern im entsprechenden Unternehmen selbst oder in erster Instanz auch von den Bedienern der betroffenen Maschine durchgeführt werden. Alle Modelle bieten Vor- und Nachteile und es konnten hierzu Beobachtungen im In- und Ausland in unterschiedlichen Firmen, die dieselbe Maschine nutzen, getätigt werden [Reck07].
Stakeholder sind in verschiedenen Bereichen zu finden, vertreten jedoch alle das Interesse nach einer schnellen Lösungsfindung für ein aktuelles Problem.
Quelle: Verfasser
Abbildung 2-5 Stakeholder Analyse
Für das Management der Firma bis zum Bediener der Maschine steht eine adäquate Behandlung des Problems im Vordergrund2. Aber auch externe Parteien wie Zulieferer oder der Hersteller der Maschine sind an einem reibungslosen Betrieb interessiert. Eine weitere Analyse der Stakeholder ist Abbildung 2-5 zu entnehmen und zeigt Akteure, die auf unterschiedliche Art und Weise auf einen Störungsbehebungsprozess einwirken. Einige nehmen bereits vor dem Eintritt einer Störung bei der Entwicklung der Maschine selbst Einfluss, andere durch die Bestimmung von organisatorischen Rahmenbedingungen und wieder andere, wie der Bediener, direkt im Lösungsprozess.
Nachfolgend wird durch einen Fehlerbaum ein spezifischer Fehler an einer Verpackungsmaschine analysiert. Es wird deutlich, dass Ursachen für das gegebene Problem sehr vielschichtig sein können. Um eine zielgerichtete Fehlerbehebung durchführen zu können, müssen Abhängigkeiten zwischen Ursache und Wirkung bekannt sein. Zentrale Aufgabe ist es daher im Störungsfall, das Problem zu identifizieren, unter Berücksichtigung von möglichen Fehlerketten und Abhängigkeiten in der Maschine eine Ursache herzuleiten und den Fehler schließlich zu beheben. In einem Ursache-Wirkungsdiagramm werden die Kategorien Management, Mensch, Material, Maschine, Mitwelt und Methode betrachtet. Da die Hauptursachen für die Störung „620 Seitenlaschenumleger“, in den Komponenten Mensch, Maschine, Methode und Material zu finden sind, wurden diese in Abbildung 2-6 verwendet.
Quelle: Reck [Reck07]
Abbildung 2-6 Beispiel Ursachen-Wirkungs-Diagramm
Bergmann (siehe [Berg02]) beschreibt als Kriterium für ein komplexes Problem den benötigten Aufwand, das erforderliche Wissen und Erfahrung für die Lösung des Problems. Die hohe Komplexität von aktuellen Maschinen durch hinreichend viele Abhängigkeiten von Baugruppen und Bauteilen erschweren die Ermittlung einer Fehlerursache, sodass vielfach unnötige Aktionen durchgeführt werden, die auch das eigentliche Problem verschärfen können.
Im Folgenden wird ein Störungsbehebungsprozess zu dem zuvor dargestellten Problem aufgezeigt, der im Verlauf einer Beobachtung durch den Verfasser der Arbeit in einem Unternehmen aufgenommen werden konnte. In diesem Fall sind die Bediener der Maschine in erster Instanz ebenfalls für den Technischen Service verantwortlich und können nur im Notfall Rücksprache mit anderen Mechanikern oder dem Hersteller der Maschinen halten. In der Abbildung 2-7 ist der optimale Pfad zur Beseitigung der Störung dargestellt und ebenfalls beobachtete Pfade, die insbesondere als negativ zu bewerten sind.
Quelle: Verfasser nach Reck [Reck07]
Abbildung 2-7 Störungsbehebungsprozess
Der Verlauf des dargestellten Prozesses zeigt deutlich, dass neben dem „Ignorieren“ der Störung (siehe Zyklus 1; 2; 3; 4) und der Durchführung von nicht notwendigen Operationen an der Maschine (siehe Zyklus 5; 6; 7; 8; 9 oder 10; 11; 12; 13; 14), auch zwei weitere Mechaniker um Hilfe gefragt wurden, um die tatsächliche Lösung herzuleiten. Dabei wurden auch Lösungsstrategien angestrebt, die weitere Störungen verursacht haben (siehe Zyklus 18; 19; 20; 21; 22; 23; 24; 25). Nach Schritt 30 konnte die Lösung herbeigeführt werden, die Störung wurde quittiert, die Produktion gestartet und die Störungsmeldung trat nicht wieder auf.
Wäre eine ideale Herangehensweise an die Störmeldung verfolgt worden, hätte das Problem identifiziert, angemessen analysiert, bewertet und anschließend behandelt werden müssen (siehe Abbildung 2-2 und Abbildung 2-4).
Hier