Gibt es ein agiles V-Modell?

Bild 2: Beispielhaftes ‚agiles‘ V-Modell, das die Anforderungen und das Design klassisch ‚statisch‘ vorsieht und die Implementierung und das Testen agil interpretiert und integriert.

© Infoteam Software

Bei Betrachtung des klassischen V-Modells (siehe Bild 2 in Rot) fällt auf, dass die linke Seite (Entwicklung) parallel zur rechten Seite (Testen) angegangen werden kann. Eine Möglichkeit dafür ist, sowohl die Phase ‚Implementation‘ als auch ‚Test/Überprüfung‘ wie ein agiles Projekt anzugehen. Doch warum erst ab der Phase der Implementation?

Bild 3: Vereinfacht dargestellt: Für das ‚iterative‘ V-Modell werden zu Beginn einmal die Anforderungspakete erstellt, welche später für die einzelnen Iterationsschritte als Grundlage dienen.

© Infoteam Software

Der Grund hierfür liegt in der Risikobetrachtung, die bei den beiden vorangehenden Schritten einen hohen Stellenwert einnimmt. Für das Definieren der Anforderungen und für die Dokumentation eines Systementwurfs ist deshalb ein ‚statischer‘Ablauf die effizientere Methode im Vergleich zu einem (hoch-) dynamischen Design, das die Konsequenz aus Änderungen der Anforderungen wäre.

Verfechter agiler Modelle schütteln bei einem solchen ‚agilen V-Modell‘ zu Recht den Kopf und argumentieren, dass ein solches Vorgehen nicht agil, sondern ‚nur‘ iterativ sei. Denn einen elementaren Teil ignoriert dieses Modell: die Dynamik innerhalb der Anforderungen, was gerade einen der Vorteile der agilen Vorgehensweise darstellt. Das ‚agile V-Modell‘ definiert dagegen nur einmal Anforderungen als unveränderliche Grundlage für die nachfolgenden Iterationen (Bild 3).

Bild 4. Beispielhaftes Modell für einen Safety-Scrum-Prozess: Der eigentliche Sprint wird ummantelt von den Aktivitäten Safety-Analyse zu Beginn und Safety-Validierung am Ende.

© Infoteam Software

Möglicherweise wäre es aufgrund dieser Tatsache konsequent, einen sicheren Scrum-Prozess zu definieren. Das sieht erstmal nicht so schwierig aus: Für jeden Sprint muss zunächst eine neue Aktivität ‚Safety-Analyse‘ durchgeführt werden, auf die der eigentliche Sprint und mit der ‚Safety-Validierung‘ eine zusätzliche Aktivität als Abschluss folgen (Bild 4). 

So einfach ist es allerdings nur in der Theorie, denn für die Entwicklung ergeben sich auf diese Weise tatsächlich zwei überlappende Prozessmodelle – unter Berücksichtigung der Zertifizierungsprüfung sind es sogar drei: Da ist zum einen die ‚Safety-Analyse‘, also die Betrachtung der Risiken. Hier werden während des ‚backlog grooming‘ Einträge im Produkt-Backlog erstellt, welche die Sicherheitsanforderungen an das System definieren. Während der Sprint-Planung ist  wiederum eine Safety-Analyse durchzuführen. Grund dafür sind die in das Sprint-Backlog übernommenen Einträge. Durch sie entstehen erneut Risiken im System, die es zu betrachten gilt, da der vorher entstandene Systemzustand geändert wird und somit der Bezug auf Systemrisiken durch Änderung-Auswirkung-Analysen zu überprüfen ist. Letztlich ist auch im abschließenden Sprint-Review eine Safety-Analyse durchzuführen.

Beim Validierungsanteil sind in Bezug auf das Scrum-Prozessmodell während des ‚backlog grooming‘ ebenfalls Einträge vorzunehmen, die im Weiteren zu beachten und für gewöhnlich während des abschließenden Sprint-Reviews durchzuführen beziehungsweise zu prüfen sind. Vergleichbar dazu liefern daneben die Zertifizierungsprüfungen Aufgaben, die in das Produkt-Backlog einzupflegen und dann umzusetzen sind – also im ‚daily scrum‘, im Sprint-Review und in der ­Sprint-Retrospektive adressiert werden. Dieses Safety-Assessment sollte kontinuierlich und parallel über die gesamte Entwicklung begleitend durchgeführt werden, damit das daraus resultierende Feedback so früh wie möglich wieder berücksichtigt werden kann.

Das Safety-Assessment ist dadurch ein eigenständiger Scrum-Prozess, der parallel zur Entwicklung durchlaufen wird und eigene Safety-bezogene Aktivitäten und Rollen kennt – wie bei­spielsweise ‚Assessment Owner‘ und ‚Assessment Backlog‘. Ange­sichts dieser notwendigen Vorgehensweise ist die Frage gerecht­fertigt, ob ein Safety-Scrum-Prozess tatsächlich die ursprüngliche Motivation agiler Entwicklungsmethoden hinsichtlich Flexibilität und „schlanker als klassische Vorgehensmodelle“ erfüllt.

Im Übrigen ist das hier beispielhaft genannte Scrum nur eines von mehreren agilen Vorgehensmodellen. Allen Modellen ist jedoch gemein, dass sie Eigenschaften aufweisen, die Vertreter agiler Methoden zwar gewahrt haben möchten, die jedoch diametral zu den Anforderungen der Normen für Funktionale Sicherheit verlaufen oder sich nur wenig effizient in Safety-Projekten anwenden lassen. 

Der Ansatz, wenigstens Teilaspekte aus der agilen Welt in den Safety-Prozess zu übernehmen und so den Entwicklungsprozess im Rahmen der Möglichkeiten etwas variabler und optimierter zu gestalten, ist tatsächlich nicht so schwierig. In der Prozessphase ‚Wartung und Pflege‘ beispielsweise findet sich schon immer eine iterative Vorgehensweise: das ‚Change-Management‘. Eine legitime und normenkonforme Vorgehensweise ist es, schon während der noch laufenden, nicht abgeschlossenen Entwicklung diesen Change-Management-Prozess zu verinnerlichen und umzusetzen. 

Lösung: V-Modell mit Iterationen?

Dadurch wird zum einen eine Annäherung an agile Vorgehensweisen geschaffen. Zum anderen schult ein solches Vorgehen gleichzeitig die Entwicklungsteams für den Prozess, den sie nach der Abnahme/Übergabe/Zertifizierung zu leben haben.

Zusammenfassend lässt sich festhalten: Im normativ regulierten Umfeld, wie etwa der Entwicklung funktional sicherer Software, ist es in der Tat schwierig, ein Prozessmodell zu finden, das für alle Projekte die exakt passende Lösung darstellt. Wichtig ist große Erfahrung im Umgang sowohl mit den Anforderungen der Safety-Normen als auch mit dem Vorgehen agiler Entwicklungsmethoden, denn nicht alle Aufgabenstellungen lassen sich in der Funktionalen Sicherheit agil besser und effizienter bewältigen. Dennoch zeigen erfolgreich abgeschlossene Softwareprojekte, dass die Antwort auf die Frage „Agilität in Safety-Projekten – geht das?“ durchaus „Ja!“ lauten kann.

Autor:
Frank Poignée ist Consultant Safety und Chief Engineer bei der Infoteam Software.