Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
vom BÜ die Anzeige des Befahrbarkeitszustandes und fordert via HET gegebenenfalls die<br />
Sicherung an).<br />
• Sollte system-intern ein Fehler auftreten, so muss das System auf diesen Fehler in geeigneter<br />
Weise reagieren und beispielsweise in eine sichere Rückfallebene fallen. Im Fall<br />
der Bahnübergangssicherungsanlage muss unter anderem beim Ausfall von einer entsprechenden<br />
Anzahl an Rotlichtern auf einer Seite zwar der noch anstehende Sicherungszyklus<br />
beendet werden, dann aber der Bahnübergang für weitere Sicherungen gesperrt werden,<br />
da der Sicherungszustand für den Kraftfahrzeugverkehr nicht mehr eindeutig erkennbar<br />
ist. Diese Reaktionsmöglichkeit auf Fehler wird im Baum der Anwendungsfälle durch den<br />
Use-Case „Stoerungsbetrieb durchführen” dargestellt. Dieser kapselt die einzelnen Funktionen,<br />
die für die Reaktion auf Systemfehler erforderlich sind.<br />
Nach Ableitung dieser vier grundlegenden Anwendungsfälle wurden diese in weiteren Iterationen<br />
verfeinert. Für den Anwendungsfall „Regelbetrieb durchführen” wurden so z.B. die Anwendungsfälle<br />
„Annäherung Sfz überwachen”, „Räumung BUe ueberwachen”, „BUe sichern”,<br />
„Grundstellung herstellen” und „Selbsttest durchfuehren” abgeleitet. Diese lassen sich auf Ebene<br />
der Anwendungsfälle nicht mehr sinnvoll verfeinern und bilden damit die Blätter des Anwendungsfall-Baumes.<br />
Sie stellen somit die atomaren Funktionen dar, die die Bahnübergangssicherungsanlage<br />
ihrer Umgebung anbietet.<br />
Insgesamt ergeben sich für alle Zweige des Baumes nach Abschluss des Prozessschrittes P1 insgesamt<br />
13 Anwendungsfälle. Davon bilden 10 Anwendungsfälle die atomaren Systemfunktionen.<br />
Dies ist in Bild 6.13 dargestellt. Während des Prozessablaufes wurde zudem festgestellt, dass für<br />
die ordnungsgemäße Funktion ein weiterer Akteur („LST-Mitarbeiter”) für Wartungsarbeiten,<br />
zur Störungsbehebung und Konfiguration des Systems erforderlich ist. Der neue Akteur wurde<br />
daraufhin in der Systemfunktionssicht eingeführt. Gemäß dem Konsistenzkriterium für Akteure<br />
(siehe Abschnitt 5.1.5.2) muss er auch in der Systemabgrenzungssicht enthalten sein. Bei der<br />
nächsten Ausführung des Subprozesses S1 wurde er dann auch in die Systemabgrenzungssicht<br />
aufgenommen, wo er in Bild 6.20 zusammen mit den für die Kommunikation erforderlichen<br />
Schnittstellen zu erkennen ist. Diese Darstellung zeigt anschaulich, wie sich bereits bestehende<br />
Modellartefakte durch das weitere Fortschreiten des Prozesses ändern und an vorgenommene<br />
Modifikationen und Ergänzungen anpassen.<br />
6.3.3. P2 - Spezifikation des Systemverhaltens<br />
Ziel der Phase P2 ist ein ausführbares und funktionsgetestetes Anforderungsmodell. Am Ende<br />
der Phase soll das Verhalten aller Systemfunktionen ausmodelliert und das Modell ausführbar<br />
sein. Integriert in diese Phase ist zudem eine Prüfung des Modellverhaltens durch Testfälle und -<br />
wenn technisch verfügbar - auch durch eine formale Verifikation gegen Sicherheitsbedingungen.<br />
Nebenziel der Phase 2 ist die Schaffung einer möglichst breit abdeckenden Basis von Systemtestfällen.<br />
Zur Erreichung des Ziels dieser Phase werden im Modell enthaltene Systemfunktionen zunächst<br />
durch Interaktionsszenarien genauer spezifiziert, wodurch die Szenariensicht (siehe 5.1.4.3)<br />
aufgebaut wird. Parallel dazu wird das Systemverhalten spezifiziert, so dass ein ausführbares<br />
Anforderungsmodell entsteht. Aus diesem iterativ entstehenden Verhaltensmodell werden<br />
gleichzeitig Testfälle generiert, die in der jeweils nachfolgenden Modellierungsiteration für Regressionstests<br />
verwendet werden können. Nach Abschluss der Modellierung stellen sie die Testbasis<br />
für Systemtestfälle dar.<br />
113