Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
das Testen nicht nur der Qualitätssicherung des Anforderungsmodells an sich, sondern auch<br />
anderen Prozessschritten im Gesamtlebenszyklus.<br />
Festzuhalten ist allerdings, dass durch Testen nie das gesamte Verhalten des Systems geprüft<br />
werden kann. Testen ist prinzipiell eine Falsifizierungs- und keine Verifizierungsmethode. Durch<br />
Testfälle kann zwar die Inkorrektheit eines Systems nachgewiesen werden (nämlich dann, wenn<br />
das Ergebnis eines Tests die Spezifikation verletzt), nicht aber die Korrektheit (da immer noch<br />
ein Fehler im nicht von den Testfällen abgedeckten Verhaltensbereich vorhanden sein kann).<br />
Jedoch steigt durch eine gute Testfallabdeckung die Wahrscheinlichkeit, die Zahl der Fehler in<br />
der <strong>Anforderungsspezifikation</strong> zu verringern.<br />
6.4.5.1. Ziele des Testens in diesem Subprozess<br />
Um eine geeignete Teststrategie und entsprechende Werkzeuge auswählen zu können, werden in<br />
diesem Unterabschnitt anhand der in Abschnitt 6.3.3.4 beschriebenen Grundlagen die Anforderungen<br />
an den Test-Subprozess formuliert. In Abschnitt 6.4.5.3 wird anschließend das daraufhin<br />
gewählte Vorgehen beschrieben.<br />
Für das Testen im Rahmen des in dieser Arbeit beschriebenen Prozesses lassen sich zwei wesentliche<br />
Ziele definieren:<br />
• Ziel A: Prüfung der Verhaltenssicht auf Konsistenz mit der Szenariensicht („Erfüllt mein<br />
Verhaltensmodell die Betriebsszenarien?”).<br />
• Ziel B: Hilfestellung bei der Ableitung einer möglichst vollständigen Szenariensicht („Wie<br />
kann ich die Testbasis verbreitern? Habe ich implizit mehr modelliert, als in den Szenarien<br />
definiert ist?”)<br />
Beide Ziele sollen dabei möglichst direkt auf Basis des momentanen Arbeitsstandes des funktionalen<br />
Modells erreicht werden, also ohne dass ein Bruch im Beschreibungsmittel, der Methodik<br />
oder der Werkzeuge erforderlich wird. Daraus lässt sich ableiten, dass auch das Testverfahren<br />
modellbasiert sein muss. Üblicherweise wird unter diesem Begriff verstanden, dass zur Ableitung<br />
von Testfällen eine modellhafte Beschreibung der Umwelt oder des idealisierten Systemverhaltens<br />
verwendet wird [UPL06, S. 1]. Die aus diesem Modell beispielsweise durch ein Testfallgenerierungswerkzeug<br />
erstellten Testfälle können dann auf das zu testende Artefakt (z.B. eine Steuersoftware<br />
als konkrete Realisierung des Systemverhaltens) angewendet werden. Üblicherweise<br />
sind Testmodell und zu testendes Artefakt dabei nicht identisch und können durchaus verschiedenen<br />
Lebenszyklusphasen angehören: Ein Testmodell aus der Phase der Systemanforderungen<br />
kann beispielsweise zum Testen der - viel später erfolgenden - Systemintegration verwendet<br />
werden.<br />
Im Rahmen dieser Arbeit soll die Bedeutung des modellbasierten Testens dahingehend ausgedehnt<br />
werden, dass das Anforderungsmodell sowohl der Ableitung der Testfälle dient, als auch<br />
Testgegenstand gleichermaßen ist. Das Testen erfolgt hier also innerhalb ein- und desselben Modells.<br />
Allerdings nehmen verschiedene Modellteile unterschiedliche Rollen ein: Die Szenariensicht<br />
repräsentiert die Testfälle, die Verhaltenssicht den Testgegenstand. Durch dieses Vorgehen<br />
soll überprüft werden, ob das in der Verhaltenssicht modellierte Verhalten die Vorgaben der<br />
Szenarien erfüllt. Durch Ziel A soll somit die Konsistenz beider Modellelemente sichergestellt<br />
werden.<br />
Ziel B lässt sich dahingehend konkretisieren, dass es möglich sein soll, die Elemente der Verhaltenssicht<br />
derart zu analysieren, dass sich daraus Szenarien entsprechend der Szenariensicht<br />
ableiten lassen. Dies ist prinzipiell möglich, da die Verhaltenssicht inhaltlich immer „reicher” als<br />
134