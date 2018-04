In Abschnitt 5.5.5 fordert die IEC 62304 für Software der Klassen B und C lediglich: "Der Hersteller soll Software-Unit-Verifikation durchführen und die Ergebnisse dokumentieren". Für ein besseres Verständnis sind zunächst zwei Fragen zu beantworten: Was versteht die IEC 62304 unter einer Software-Unit und was bedeutet Verifikation im Sinne dieser Norm?

Was ist eine Software-Unit?

Abschnitt 3.25 definiert eine Software-Unit als ein Software-Element ("item"), das sich auf der untersten Ebene des Software-Systems befindet und das nicht weiter unterteilt wird (Bild 1), Abschnitt 3.28 wiederholt dies sinngemäß. Allerdings gibt die zugehörige Notiz an, dass der Hersteller die Granularität der Software-Units definiert. In Abschnitt B.5.4 kommt noch ein weiteres Merkmal für eine Software-Unit hinzu: Software-Units können separat getestet werden. Insgesamt definiert die Norm eine Software-Unit also dadurch, dass sie zu Testzwecken nicht weiter unterteilt ist und sich sinnvoll separat testen lässt. Dass der Hersteller die Granularität der Software-Units selbst bestimmen kann, schwächt diese Charakterisierung allerdings ab. Der Grund dafür ist, dass die IEC 62304 universell einsetzbar sein soll, unabhängig beispielsweise vom Umfang der Software oder der Programmiersprache. Dies legt aber auch Verantwortung in die Hände des Herstellers: Er sollte die Granularität vernünftig wählen und weder zu große noch zu kleine Units spezifizieren.

Es ist verlockend, die gesamte Software in nur wenige, große Units aufzuteilen, in der (falschen) Annahme, dadurch den Unit-Testaufwand zu reduzieren. Das Gegenteil ist richtig: Durch übergroße Units steigt die Komplexität und der Aufwand des Tests, weil das "teile und herrsche"-Prinzip, welches dem Unit-Test zugrunde liegt, nicht ausreichend umgesetzt wird. Abgesehen von dieser Freiheit des Herstellers, legt die Programmiersprache fest, was eine Software-Unit ist: Für die Programmiersprache C ist es eine Funktion im Sinne von C, für die objektorientierten Programmiersprachen wie C++, Java, C# ist es eine Methode, für Programmiersprachen wie Ada oder Pascal eine Prozedur beziehungsweise Funktion.

Bei medizinischer Software für eingebettete Systeme ist oftmals C die Programmiersprache der Wahl, weshalb der Beitrag im Folgenden von dieser Sprache ausgeht. Die Software-Architektur legt fest, welche Units beziehungsweise Funktionen (im Sinne von C) existieren und welche Anforderungen sie erfüllen sollen. Eine gute Software-Architektur stellt somit sicher, dass die Units nicht zu groß ausfallen und dass sie schmale Schnittstellen zu anderen Units besitzen. Mehrere kleine Funktionen lassen sich zu einer Unit zusammenfassen.

In Bild 2 ruft die Funktion is_value_in_range() die Funktion absolute() auf. Obwohl sich sowohl is_value_in_range() als auch absolute() isoliert testen lassen, ist es vertretbar, die beiden Funktionen zu einer Unit zusammenzufassen, da absolute() sehr übersichtlich ist. Zudem würde ein Fehler in absolute() mit hoher Wahrscheinlichkeit beim Test von is_value_in_range() auffallen.

Was bedeutet Verifikation?

Abschnitt 3.33 der IEC 62304 definiert Verifikation als "Bestätigung durch Bereitstellung eines objektiven Nachweises, dass spezifizierte Anforderungen erfüllt ...

