28. November 2023

Endlich ROSI? Die „Rule of 10“

Die „Rule of 10“ im Engineering besagt, dass die Kosten für die Behebung eines Fehlers mit jedem Schritt im Entwicklungsprozess exponentiell ansteigen. Diese Regel, die ursprünglich aus der Fertigungstechnik und dem Qualitätsmanagement stammt, unterstreicht die Bedeutung der frühzeitigen Fehlererkennung. Die Behebung eines Fehlers in der Entwurfsphase ist wesentlich kostengünstiger als in späteren Phasen.

Übliche Anwendungsfälle

Die „Regel der 10“ wird in verschiedenen Phasen der Produktentwicklung angewandt, um Kosten und Risiken zu minimieren. In Branchen wie der Automobilindustrie, der Luft- und Raumfahrt und der Elektronikfertigung ist diese Regel ein wesentlicher Bestandteil des Qualitätsmanagements. Sie trägt dazu bei, dass Fehler frühzeitig erkannt und behoben werden, bevor sie zu kostspieligen Rückrufaktionen oder Reparaturen führen.

Ein konkreter Fall

Ein typischer Anwendungsfall im Bereich der Softwareentwicklung kann die Entwicklung einer Professional Services Automation (PSA) und Quality Assurance (Q&A) in einem großen Unternehmensprojekt sein. In solchen Projekten kann es vorkommen, dass Anwendungen über einen Zeitraum von zwei Jahren entwickelt und erst dann an den Product Safety Manager übergeben werden. In dieser Phase werden oft manuelle Tests durchgeführt, bei denen viele triviale Fehler entdeckt werden, die schon früher hätten gefunden und behoben werden können. Den alten Code zu verstehen und die Fehler zu beheben, kann zu erheblichen Verzögerungen führen.

Ein markantes Beispiel für die Anwendung der „Regel der 10“ war die Rückrufaktion eines bekannten Automobilherstellers wegen eines fehlerhaften Airbag-Sensors. Der in der Konstruktionsphase übersehene Fehler führte zu massiven Rückrufaktionen, nachdem das Fahrzeug bereits auf dem Markt war. Die Kosten für die Behebung des Fehlers in der Produktion hätten nur einen Bruchteil dessen betragen, was der Hersteller letztlich für Rückrufe und Reparaturen aufwenden musste.

Skandal um ROSI

Zugegeben: Der Titel ist geklaut. Ich hatte Anfang der 2000er Jahre einen Vortrag so betitelt und fand den Bezug zur Spider Murphy Gang damals schon witzig. Es geht natürlich nicht um die Rotlichtbezirke von München, sondern um den „Return on Security Invest“, also um die Frage: Was habe ich eigentlich davon, wenn ich mich um Sicherheit kümmere? Vielleicht ist die Rule of 10 ein Schlüssel.

Wenn man der Rule of 10 folgt, spart es Zeit und Ressourcen, wenn man Bugs in frühen Entwicklungsphasen findet. Trifft man also wohlüberlegte Entscheidungen im Design, schult seine Entwickler:innen, hat eine gute Qualitätssicherung, wird es am Ende günstiger und das deutlich. Ansonsten erlebt man nach der Veröffentlichung oft Ausfallzeiten, Performanceprobleme und Schwachstellen.

Die Kosten für die Behebung eines Fehlers können dramatisch ansteigen, wenn er erst nach der Veröffentlichung der Software entdeckt wird. So werden Fehler, die in der Designphase mit einem Aufwand von angenommenen 10 EUR behoben werden können, in der Produktion um ein Vielfaches teurer.

Die zweite Komponente der „Regel der 10“ bezieht sich auf die Bedeutung einer hohen Fehlerrate. Wenn z.B. ein Softwaretestprozess eine Erkennungsrate von 90% hat, werden nur 0,1% aller Fehler in die Produktionsphase gelangen. Eine Reduzierung der Erkennungsrate auf 80% würde jedoch die Entwicklungskosten deutlich erhöhen und die Anzahl der Fehler, die in die Produktion gelangen, steigern. Umso wichtiger ist es, den Quellcode bereits während der Entwicklung zu analysieren und Penetrationstests für die ersten Proof-of-Concepts durchzuführen, anstatt erst kurz vor der Veröffentlichung.

Fazit

Die Anwendung der „Regel der 10“ auch in der Softwareentwicklung kann ein mächtiges Werkzeug sein. Sie unterstreicht die Bedeutung der Fehlerfrüherkennung und des präventiven Qualitätsmanagements. Vielleicht gelingt es so, ohne Regulierung endlich für mehr Qualität in der Software zu sorgen.