Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

Weiterhin wird im Beispielmodell angenommen, dass durch den Betreiber der Bahnübergangssicherung gewünscht wird, die Steuerung der Funktionen des Bahnübergangs durch eine zentrale BÜ-Steuerung zu realisieren. Diese Designvorgabe wird durch eine Komponente „BUe- Steuerung” repräsentiert, die im Diagramm der Subsystemarchitektur entsprechend dargestellt wird. Nachdem in der oben beschriebenen Weise die Systemarchitektur der nächst tieferen Ebene beschrieben wurde, wurde anschließend jedes Verhaltenskonstrukt einer dieser Komponenten zugeordnet. Bild 5.19 zeigt diese Zuordnung beispielhaft an einem Aktivitätsdiagramm. 6.3.5. P4 - Fortschreibung/Anpassung des Anforderungsmodells Zu Beginn der Phase 4 sind entsprechend dem Konzept der Aufgabenorientierung alle Aufgaben aktiv, wodurch in jeder Iteration alle Subprozesse einmal durchlaufen werden. In dieser Phase entspricht der Prozessablauf einem klassischen iterativ-inkrementellen Prozess. Eine in dieser Phase an beliebiger Stelle eingepflegte Änderung im Modell verursacht eine Anpassung aller Sichten, bis das Modell wieder konsistent ist. Zudem führt jede Anpassung zu einem Test des Modellverhaltens und zu einem Verifikationslauf. Diese Phase dient im Wesentlichen dem Einpflegen von Änderungen und der Lebenszyklus- Begleitung des fertigen Produkts. Sie berücksichtigt, dass auch nach abgeschlossener Subsystem- Architektur (aber noch während der Erstellung des Anforderungsmodells) die Möglichkeit für Änderungen und Ergänzungen am Modell gegeben sein muss. Zudem wird so auch die Tatsache berücksichtigt, dass in späteren Lebenszyklusphasen noch Modellanpassungen durchgeführt werden müssen. Soll beispielsweise während der Systementwicklung oder sogar am fertigen Produkt noch eine Änderung an der Funktionalität vorgenommen werden, ist es sinnvoll, diese Modifikationen auch im Anforderungsmodell zu berücksichtigen. Zum einen kann somit die Konsistenz zwischen Anforderungsmodell und realem System sichergestellt werden, zum anderen lassen sich die funktionalen Auswirkungen der Modifikationen durch die Testund Verifikations-Subprozesse vor Implementierung im realen System erproben. Auf Grund der Lebenszyklus-begleitenden Funktion dieser Phase endet sie erst, wenn der Gesamt-Lebenszyklus des Systems beendet ist. Je nach dem, ob eine Subsystem-Architektur durchgeführt wurde, oder nicht, entsprechen die Abläufe innerhalb der Phase entweder den Abläufen der Phase P2 (ohne Subsystemarchitektur) oder P3 (mit Subsystemarchitektur). Für die Beschreibung der Abläufe innerhalb der Phase wird daher auf die entsprechenden Unterkapitel verwiesen. Aspekt Iteration Iterationsendkriterium Phasenendkriterium Für jede Änderung am Modell wird eine Iteration angesetzt. Die Art der Änderung bestimmt dabei die exakte Ausgestaltung der Iteration, diese wird dann entsprechend einer der Iterationskonzepte aus den Kapiteln 6.3.1 bis 6.3.4 ausgestaltet. Entspricht den Endkriterien des jeweils genutzten Iterationskonzeptes. Ende des Systemlebenszyklus Tabelle 6.6.: Prozesskriterien Phase 3 129
6.4. Subprozesse Die eigentlichen Arbeitsschritte zur Erstellung der Sichten im funktionalen Modell sind in acht Subprozessen definiert. Dabei werden die Abläufe innerhalb der einzelnen Subprozesse durch SysML-Aktivitätsdiagramme modelliert. Die Modellierung erfolgt dabei so, dass hinreichend viel Freiraum für die Anpassung des Prozesses an die jeweiligen Gegebenheiten des Projekts bzw. des jeweiligen Anwenders besteht. Die innerhalb der Subprozesse beschriebenen Aktivitäten sind daher eine Art Platzhalter, die bei der Prozessanpassung (dem so genannten Tailoring) dann durch konkrete Aktivitäten ersetzt werden müssen. Weiterhin ist nicht zwingend vorgegeben, in welcher Reihenfolge die einzelnen Aktivitäten innerhalb der Subprozesse ausgeführt werden. Vielmehr muss je nach Kontext der Subprozessausführung eine geeignet erscheinende Arbeitsweise durch den Modellierer selbst definiert werden. Aus diesem Grund wird der Arbeitsfluss innerhalb der Subprozesse durch parallele Aktivitäten dargestellt, wodurch diese Freiheit repräsentiert wird. Ein weiterer Freiheitsgrad ergibt sich aus der Tatsache, dass die in einer konkreten Situation tatsächlich in den einzelnen Aktivitäten durchgeführten Arbeitsschritte vom Iterationskonzept der übergeordneten Phase abhängig sind. Dabei legt die Phasendefinition fest, ob im Subprozess lediglich bestehende Modellartefakte angepasst oder zusätzlich neue Elemente ins Modell eingeführt werden sollen. Dies zeigt sich auch in den entsprechenden Bezeichnungen der einzelnen Aktivitäten innerhalb der Subprozesse in der Form „Artefakt erstellen/überarbeiten”. Eine striktere Definition mit entsprechenden Fallunterscheidungen als Verzweigungen im Kontrollfluss wäre zwar möglich gewesen, wurden aber aus Gründen der Verständlichkeit und Übersichtlichkeit nicht weiter verfolgt. Die Subprozesse S1 bis S4 und S7 beziehen sich auf die Erstellung des funktionalen Modells und ähneln sich in ihrer grundlegenden Struktur: In ihnen werden parallel mehrere Aktivitäten ausgeführt, die die Modellelemente der zugehörigen Sicht bearbeiten. Die Anzahl der Aktivitäten richtet sich dabei nach der Anzahl der Modellelemente in der Sicht. So werden im Subprozess S1 beispielsweise fünf Aktivitäten ausgeführt, von der jede eins der fünf Modellelemente (SuB, Akteure, Kommunikationsflüsse, Portdefinitionen, Signale) der Systemabgrenzungssicht (siehe Abschnitt 5.1.4.1) modifiziert. Die Modellelemente selbst (siehe Abschnitt 5.1.2) werden im Prozess-Metamodell durch je einen persistenten DataStoreNode [OMG07-2, S. 358] repräsentiert und sind über eine Datenfluss-Beziehung mit der Aktivität verbunden. Der DataStoreNode macht dabei deutlich, dass die Modifikationen über die aktuelle Ausführung des Subprozesses hinaus dauerhaft erhalten bleibt. Die einzelnen DataStores stehen dabei für die Menge aller Modellelemente eines Typs. So repräsentiert beispielsweise der DataStore „Menge der Port-Definitionen” alle Port-Defnitionen im Teilmodell. Die Subprozesse S5 (Systemverhalten testen) und S6 (Systemverhalten verifizieren) weisen auf Grund ihrer prinzipiell anderen Zielrichtung eine zu den anderen Subprozessen abweichende Struktur auf. Ebenfalls eine Sonderstellung nimmt der Subprozess S8 ein. Dieser dient der Verwaltung der nicht-funktionalen Anteile der <strong>Anforderungsspezifikation</strong> und stellt die Verknüpfungen mit dem funktionalen Modell her. 6.4.1. S1 - Systemabgrenzungssicht bearbeiten Im Subprozess S1 sind diejenigen Aktivitäten definiert, die zur Überarbeitung der Systemabgrenzungssicht erforderlich sind. Zunächst wird das SuB erstellt bzw. überarbeitet, dann erfolgt die Erstellung/Überarbeitung der Akteure, Portdefinitionen, Informationsflüsse und Signale sowie eine permanente Überprüfung der Konsistenzkriterien. Das Aktivitätsdiagramm für die Abläufe im Subprozess findet sich in Bild B.5 im Anhang. 130
Seite 1:
Modellbasierte Anforderungsspezifik
Seite 4 und 5:
5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7:
1. Abstract In common with other te
Seite 8 und 9:
2. Einleitung Wie in anderen techni
Seite 10 und 11:
5 % der späteren Fehler aufgedeckt
Seite 12 und 13:
3. Bestandsaufnahme und Identifikat
Seite 14 und 15:
dest |−> q, adr |−> msg.adr] :
Seite 16 und 17:
Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19:
und Testmodell und erweitert somit
Seite 20 und 21:
für LST-Modulverträge für die De
Seite 22 und 23:
Im Kontext des BMW-Prinzips lässt
Seite 24 und 25:
• Die zweite Unterklasse umfasst
Seite 26 und 27:
Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29:
Insgesamt ergibt sich somit die in
Seite 30 und 31:
Abbildung 5.1.: Einordnung des funk
Seite 32 und 33:
5.1.1.3. Objektorientierung im Eise
Seite 34 und 35:
• Eignung für das Systems Engine
Seite 36 und 37:
5.1.2. Metamodell und Subset der Sy
Seite 38 und 39:
Für die Anzahl der Ebenen gibt es
Seite 40 und 41:
Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43:
(a) Das funktionale Konzept betrach
Seite 44 und 45:
bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47:
dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49:
• die Folgen von Gefährdungen zu
Seite 50 und 51:
uc [view] Systemfunktionssicht [ Te
Seite 52 und 53:
dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55:
Im Rahmen des Anforderungsmodells k
Seite 56 und 57:
Inhaltselement SysML-Sprachelement
Seite 58 und 59:
5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61:
hat beispielsweise Arabestani in [A
Seite 62 und 63:
Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65:
wird - sofern möglich - eben diese
Seite 66 und 67:
act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69:
• Kontinuierliche Übertragung vo
Seite 70 und 71:
in einer Aktionssprache an den Kont
Seite 72 und 73:
der Subsystemarchitektur (siehe 5.1
Seite 74 und 75:
Verhaltensmuster Senden von Signale
Seite 76 und 77:
5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79:
enthalten ist. So verfügt die beis
Seite 80 und 81:
Inhaltselement Diagrammart SuB Port
Seite 82 und 83:
77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85: 5.1.5. Konsistenzregeln Für die in
Seite 86 und 87: 5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89: dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91: Diese Aufstellung zeigt, dass es si
Seite 92 und 93: 87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95: 6. Inkrementell-iterativer Erstellu
Seite 96 und 97: zen, wenn die Arbeitsschritte durch
Seite 98 und 99: 6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101: Von Nach Ausgetauschte Information
Seite 102 und 103: Ein solches Anforderungsprofil best
Seite 104 und 105: den könnte. Vielmehr soll diese ja
Seite 106 und 107: Letztendlich lässt sich keine eind
Seite 108 und 109: 103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111: NoMagic in der Version 14.0 zum Ein
Seite 112 und 113: Ideenskizzen, implizite Vorstellung
Seite 114 und 115: bdd [Modell] Data[ Kontexktkommunik
Seite 116 und 117: 111 Abbildung 6.12.: Detaillierung
Seite 118 und 119: vom BÜ die Anzeige des Befahrbarke
Seite 120 und 121: bdd [Modell] Data[ Kontexktkommunik
Seite 122 und 123: act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125: Entwicklungsziel angestrebt werden,
Seite 126 und 127: Als Ergebnis liefert der Subprozess
Seite 128 und 129: diagramm dargestellte Soll-Kommunik
Seite 130 und 131: Testfallgenerierung ein bei der man
Seite 136 und 137: 6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139: schriebene Vorgehen an: • Zunäch
Seite 140 und 141: die Szenariensicht ist: Letztere ze
Seite 142 und 143: act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145: Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147: act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149: nicht auszugehen. Die zusätzliche,
Seite 150 und 151: 7. Zusammenfassung, Ergebnisse und
Seite 152 und 153: de ein iterativ-inkrementelles Vorg
Seite 154 und 155: Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157: [ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159: [WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161: dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163: dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165: dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167: B. Metamodell-Aktivitätsdiagramme
Seite 172 und 173: act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175: act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177: act [Aktivitaet] S5 Systemverhalten
Seite 178: act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?