ZVEI-Merkblatt regelt automatisierte Softwaretests für Brandmeldesysteme

  • Siemens nutzt als einer der großen Hersteller von Brandmeldetechnik seit Jahren entsprechende Testsysteme. Dort lässt sich heute schon ein großer Teil der gesamten Funktionalität in verschiedenen Entwicklungsphasen automatisch prüfenSiemens nutzt als einer der großen Hersteller von Brandmeldetechnik seit Jahren entsprechende Testsysteme. Dort lässt sich heute schon ein großer Teil der gesamten Funktionalität in verschiedenen Entwicklungsphasen automatisch prüfen
  • Siemens nutzt als einer der großen Hersteller von Brandmeldetechnik seit Jahren entsprechende Testsysteme. Dort lässt sich heute schon ein großer Teil der gesamten Funktionalität in verschiedenen Entwicklungsphasen automatisch prüfen
  • Ein automatisiertes Testsystem setzt sich aus intelligent kombinierten realen und simulierten Komponenten zusammen
  • Das Testsystem ist in der Lage, alle möglichen Situationen zu simulieren und durch einen „virtuellen Prüfer“ die normenkonforme Funktionalität zu überprüfen und zu bestätigen
  • Axel Kunze, Leiter Software-Architektur Brandmeldesysteme, Siemens Building Technologies Divisio
  • Jorge Zingg, Leiter Systemtest Brandmeldeanlagen, Siemens Building Technologies Division

Die etablierten Prüfverfahren für Brandmeldesysteme gewährleisten schon lange höchste Sicherheitsstandards. Allerdings entsprachen sie zuletzt nicht mehr heutigen Anforderungen an Schnelligkeit und Flexibilität, wie sie softwarebasierte Technik in einer digitalisierten Welt stellt. Abhilfe schafft nun ein aktueller Leitfaden des Branchenverbandes ZVEI, der erstmals Empfehlungen zu einer automatisierten Softwareprüfung am Beispiel von Brandmelderzentralen ausspricht.

Das CE-Kennzeichen belegt auch für Komponenten von Brandmeldesystemen, dass sie den Anforderungen der Europäischen Bauproduktenverordnung (BauPVO) entsprechen. Der Nachweis dieser Konformität erfolgt durch eine notifizierte Prüfstelle (Notified Body, NB) auf der Grundlage definierter funktionaler Tests. Allerdings steckt heute auch in Brandmeldesystemen immer mehr Software, die zwingend regelmäßige Updates erfordert. Damit stehen die Hersteller entsprechender Systeme ständig vor der Herausforderung, ihre Produkte CE-konform zu halten. Denn jedes Update erfordert eine erneute Prüfung und Freigabe durch die externe Prüfstelle – in der Regel in deren Labor und nur in vertraglich zu klärenden Ausnahmefällen in den Räumlichkeiten des Herstellers.

Die Nachteile dieser Regelung liegen auf der Hand: Sie ist nicht nur teuer, sondern vor allem auch extrem zeitaufwendig. Damit entspricht sie vor allem in Hinblick auf die IT-Sicherheit nicht mehr den heutigen Anforderungen von Anwendern wie auch von Herstellern. Denn wenn zum Beispiel ein Virus oder eine Cyber-Attacke droht, ist zuallererst Schnelligkeit gefragt. Anders gesagt: Das systemerhaltende Software-Update kann nicht erst eine monatelange Prüfung bei einer notifizierten Prüfstelle durchlaufen. Gleiches gilt, weniger dramatisch, für Updates, die zum Beispiel Effizienz und Funktionsumfang der Anlage erhöhen.

Mögliche Auswege
Einen möglichen Weg aus diesem Dilemma zeigt die Informationstechnologie. So hat sich dort das aus der agilen Softwareentwicklung stammende Konzept der Testpyramide bewährt: Intensive Testautomatisierung auf allen Ebenen der Pyramide ermöglicht es dabei, neue Features in kurzer Folge zu realisieren und gleichzeitig sicherzustellen, dass die bestehende Funktionalität nicht in Mitleidenschaft gezogen wird.

Der Unterschied zur Welt der Bauproduktenverordnung wird jedoch schnell klar: Für eine Software ist in aller Regel kein definierter Zulassungsprozess durch eine externe Prüfstelle notwendig, für ein Brandmeldesystem hingegen durchaus.

Um schnellere Reaktionszeiten zu erreichen, sind dabei prinzipiell zwei unterschiedliche Ansätze denkbar: Entweder man unterteilt das Gesamtsystem in einen zulassungsrelevanten und einen nicht zulassungsrelevanten Teil. Oder man integriert das Thema Zulassung in den agilen Testprozess.

Die erste Variante scheidet schnell aus, weil in den aktuellen softwareintensiven Systemen eine solche Trennung prinzipiell sehr schwer realisierbar ist. Auf eingebetteten Systemen sind viele Systemteile über gemeinsam genutzte Ressourcen indirekt miteinander gekoppelt, so dass eine vollständige Trennung gar nicht möglich ist. Auch treten Cybersecurity-Lücken oft in tiefen Schichten der Software auf, die potenziell die gesamte Software betreffen.

Bleibt die zweite Lösung, die Zusammenführung von Zulassungsprozess und agilen, automatisierten Testmethoden. Dazu hat nun der Fachverband Sicherheit im ZVEI (Zentralverband der Elektrotechnik- und Elektronikindustrie), in dem alle Hersteller von Brandschutztechnik vertreten sind, Lösungsvorschläge entwickelt und in einem ZVEI-Merkblatt zusammengestellt. Denn selbstverständlich kann es nicht darum gehen, das bewährte Zulassungssystem auszuhöhlen, sondern praktikabel in die neue Zeit zu überführen.

Lösungsvorschlag des ZVEI
Der Ende 2017 veröffentlichte Leitfaden gilt für Produkte in Anlagen der Sicherheitstechnik wie Brandmelderzentralen, Rauch- und Wärmeabzugsanlagen etc., die von der Bauproduktenverordnung (EU) 305/2011 erfasst sind. Am Beispiel von Brandmelderzentralen klärt das Dokument die Frage, wie mit Softwareänderungen im Verhältnis zwischen Hersteller und notifizierter Produktzertifizierungsstelle gemäß BauPVO umzugehen ist. Insbesondere beschreibt es in Form eines Anforderungsprofils, wie sich der Zulassungsprozess in den agilen Entwicklungsprozess integrieren lässt. Oder anders gesagt: wie der Prozess der agilen Softwarezertifizierung in diesem Bereich künftig gestaltet werden soll.

Dazu zunächst ein Blick auf die bisherige Praxis: Ist eine neu entwickelte Brandmelderzentrale (BMZ) marktreif, beauftragt der Hersteller eine Prüfstelle mit der Erstprüfung. Verläuft die Prüfung erfolgreich, stellt die Prüfstelle das erforderliche Zertifikat für genau diese Version aus. Im Zentrum des ZVEI-Vorschlags steht nun ein automatisiertes Testsystem, das in der Lage ist, die funktionalen Tests durchzuführen, die heute von der notifizierten Prüfstelle durchgeführt werden, und diese in einem ausführlichen Testprotokoll zu dokumentieren. In Zukunft definiert die Prüfstelle also bei der Erstprüfung zunächst gemeinsam mit dem Hersteller ein Testsystem. Das Testsystem und das Testprotokoll werden von der Prüfstelle abgenommen. Erst dann erfolgt die eigentliche Prüfung und das Testsystem wird „versiegelt“. Mit „Versiegelung“ ist die Dokumentation eines bestimmten, nachprüfbaren Leistungs- und Funktionsumfanges durch Festhalten von Software- und Hardware-Ausgabeständen (Testsystem) sowie ein entsprechendes Konfigurationsmanagement gemeint. Die Prüfung des Testsystems kann gemeinsam mit der Prüfung des Produkts oder auch zeitlich getrennt davon stattfinden.

Das Testsystem unterliegt einer Versionskontrolle. Modifikationen sind nur in Absprache mit der Prüfstelle erlaubt. Änderungen am zu testenden System (Prüfling), die zu einem „grünen“ Testreport führen, können nach Absprache ohne erneute Vorführung bei der Prüfstelle offiziell für den Markt freigegeben werden, je nach Wunsch des Herstellers mit oder ohne Neuausstellung der Zertifikate. Änderungen am Prüfling, die eine Anpassung am Testsystem erforderlich machen, erfordern eine erneute Abnahme des Testsystems.

Der Vorteil dieses Vorschlags zeigt sich nun, wenn die Software der BMZ geändert wird: Anstelle einer kompletten neuen Prüfung werden die Änderungen und das komplette System mit dem definierten automatisierten Testsystem getestet. Nach bestandenem Test erhält die Prüfstelle dann zum einen eine Dokumentation bzw. Beschreibung der Software-Änderung und zum anderen den Prüfbericht aus dem Testsystem.

Umsetzung
Bleibt die Frage, wie ein solches Testsystem konkret auszusehen hat bzw. welche Anforderungen es erfüllen muss. So müssen genau und beliebig oft reproduzierbare Resultate ebenso gewährleistet sein wie die komplette Verifizierung der Norm EN 54-2. Es muss klar ersichtlich sein, welche Version des Testsystems gebraucht wird, und diese soll von der Zulassungsstelle abgenommen sein. Außerdem muss jederzeit detailliert klar sein, welche Funktion wie getestet wurde. Das Testsystem muss sich zudem an ständig wechselnde Produkteigenschaften anpassen. Auch die Gesamtbeurteilung der Funktionalität muss möglich sein. Und nicht zuletzt soll das Testsystem möglichst ohne großen personellen und zeitlichen Aufwand arbeiten, um praktikabel zu sein.

Im konkreten Testbetrieb dürfen keine Fehlfunktionen unerkannt bleiben. Die verschiedenen Eingangsstimuli müssen realitätsnah simuliert werden. Störungen müssen normengerecht simuliert werden. Gleichzeitig sollen die Reaktionen durch das System in Funktion und Ausführungszeit verifiziert werden.

In der Praxis setzt sich ein automatisiertes Testsystem aus intelligent kombinierten realen und simulierten Komponenten zusammen. Siemens zum Beispiel nutzt als einer der großen Hersteller von Brandmeldetechnik seit Jahren solche Testsysteme. Dort lässt sich heute schon ein großer Teil der gesamten Funktionalität in verschiedenen Entwicklungsphasen automatisch prüfen. Die Systeme sind insbesondere in der Lage, alle möglichen Situationen zu simulieren und durch einen „virtuellen Prüfer“ die normenkonforme Funktionalität zu überprüfen und zu bestätigen. Alle Siemens-Testsysteme werden sukzessive zur Validierung bei den externen Prüfstellen vorgestellt.

Fazit
Mit dem aktuellen Leitfaden gibt der ZVEI konkrete und praxisnahe Empfehlungen, wie sich das bewährte Zulassungssystem gemäß Bauproduktenverordnung (BauPVO) und agile, zeitgemäße Testverfahren für softwarebasierte Brandschutztechnik verbinden lassen. Das Ergebnis: Anwender wie Hersteller können sich auf unverändert hohe Sicherheitsstandards verlassen, aber auch sehr schnell auf neue Anforderungen oder Sicherheitslücken reagieren.

ZVEI-Merkblatt
Das ZVEI-Merkblatt 33015:2017-12 „Leitfaden – Verfahrensweise zum Nachweis der fortbestehenden Konformität bei Änderungen von Software am Beispiel von Brandmelderzentralen – Anforderungen der Industrie“; herausgegeben vom ZVEI – Zentralverband Elektrotechnik und Elektronikindustrie e.V. / Fachverband Sicherheit, Frankfurt/Main; kostenloser Download unter www.sicherheit.org

Kontaktieren

Siemens AG, Building Technologies Division
Lyoner Straße 27
60528 Frankfurt am Main
Germany
Telefon: +49 800 100 76 39
Telefax:

Jetzt registrieren!

Die neusten Informationen direkt per Newsletter.

To prevent automated spam submissions leave this field empty.