Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

dest |−> q, adr |−> msg.adr] : q \in IF \/ msg. type = " GetExclusive " \/ writer = InMemory THEN r e a d e r s \ {msg . cmdr} ELSE ( readers \cup { writer }) \ {msg . cmdr} } ELSE {} Eine solche Spezifikation ähnelt dabei stark dem Quellcode üblicher Programmiersprachen, was auf Grund des ähnlichen Grades an Formalismus auch zu erwarten ist. Diese recht sperrige Syntax ist gleichzeitig jedoch eine sehr hohe Einstiegshürde für Nutzer ohne formal-mathematische Vorbildung. 3.1.1.3. Grafische Einzelbeschreibungsmittel und kombinierte Ansätze Ein anderer Ansatz für die Beschreibung von Systemen besteht in der Nutzung formaler, grafischer Beschreibungsmittel, wobei diese üblicherweise nur einzelne Aspekte eines Systems beschreiben, z.B. dessen Verhalten, die Struktur oder Kommunikationsbeziehungen. Zu diesen gehören beispielsweise Petrinetze und Message Sequence Charts. Petrinetze [PET62] eignen sich gut zur Beschreibung von Abläufen, die in diskreten Zeitschritten ablaufen und Nebenläufigkeiten enthalten. Sie lassen sich mathematisch analysieren und können somit einer formalen Prüfung unterworfen werden. Ein anderer Aspekt von Systemen, nämlich die Kommunikationsbeziehungen, lässt sich mit Message Sequence Charts (MSC) darstellen. Dabei handelt es sich um ein hybrides Beschreibungsmittel für das sowohl eine textuelle (MSC/PR), als auch eine grafische Repräsentation (MSC/GR) vorliegt. MSCs sind von der internationalen Telekommunikations-Union (ITU) entwickelt worden und werden von dieser auch weiterentwickelt und gepflegt [ITU04]. Als eine weitere Untergruppe lassen sich grafische Beschreibungsmittel abgrenzen, die mehrere Einzelbeschreibungsmittel integrieren und zu einem durchgängigen Gesamtkonzept vereinen. Dieser Gruppe sind unter anderem die Strukturierte Analyse (SA) von Tom deMarco [MAR79] zuzuordnen, die verschiedene Beschreibungsmittel (Kontextdiagramm, Datenflussdiagramm, Datenwörterbuch, Entscheidungstabellen) methodisch zusammenfasst. Aus dem Zusammenwirken der einzelnen Beschreibungsmittel der strukturierten Analyse kann Code für Programmiersprachen erzeugt werden. Allerdings lässt sich das objektorientierte Paradigma mit der SA nicht umsetzen, weswegen ihre Verwendung in Praxisprojekten rückläufig ist. Weiterhin existiert mit SCADE ein integriertes Beschreibungsmittel, das auf der formalen Sprache LUSTRE [CPH87] basiert. Es handelt sich dabei um eine Arbeitsumgebung, in der nicht nur Modelle von Systemen entwickelt werden können, sondern auch um eine Test- und Verifikationsplattform und um einen zertifizierten Code-Generator, mit dem sicherheitskritische Software direkt aus dem Modell erstellt werden kann. Der Grad an Integration ist dabei sehr hoch. 3.1.1.4. <strong>Modellbasierte</strong> Spezifikation mit der Unified Modeling Language (UML) und der Systems Modeling Language (SysML) Ausgehend von den grafischen Einzelbeschreibungsmitteln wurde unter Einfluss des objektorientierten Paradigmas Mitte der 1990er Jahre eine vereinheitlichte, grafische Beschreibungssprache für Software entwickelt, die Unified Modeling Language (UML). Prinzipiell vereint die UML 9
Beschreibungsmittel für verschiedene konzeptuelle und dynamische Aspekte eines Systems und basiert dabei auf dem objektorientierten Paradigma, das ein System als eine Menge interagierender Objekte versteht. Die einzelnen Aspekte eines Systems können in der UML durch insgesamt 13 verschiedene Diagrammarten beschrieben werden, die die Struktur eines Systems (z.B. in Klassen- und Komponentendiagrammen) und dessen Verhalten (in Aktivitätsdiagrammen, Zustandsdiagrammen, Sequenzdiagrammen, etc.) erfassen. Umfassende, weiterführende Informationen zu den Diagrammarten, der Syntax und Semantik der UML finden sich in zahlreichen Literaturquellen, z.B. in [RQZ07], weswegen hier nicht weiter darauf eingegangen wird. Die UML wird durch die Object Management Group (OMG) verwaltet und weiterentwickelt. Aktuell liegt die UML-Spezifikation in der erheblich umfangreicheren Version 2.1.2 2 vor. Die Sprachdefinition untergliedert sich dabei in drei wesentliche Elemente: • Die Infrastructure Definition definiert die internen Bestandteile, aus denen sich die UML zusammensetzt [OMG07-3] • Die Superstructure Definition [OMG07-2] legt die eigentlichen, vom Anwender nutzbaren Sprachelemente auf Basis der Infrastructure Definition fest • Die vom IBM entwickelte Object Constraint Language (OCL), die in die UML-Spezifikation aufgenommen wurde, um bestimmte Zusicherungen, wie z.B. Invarianten in Klassendiagrammen oder Bedingungen in Sequenzdiagrammen ausdrücken zu können [OMG06-1]. Daneben existiert noch eine Spezifikation für den Austausch von grafischen Diagramminformationen mit der Diagram Interchange Specification. Die UML hat mittlerweile weiter Verbreitung im ingenieurwissenschaftlichen und industriellen Umfeld gefunden und wird durch eine fast unüberschaubare Zahl an Werkzeugen, ergänzenden Tools und sonstigen Produkten unterstützt. Allerdings ist sie nach wie vor sehr durch Konzepte aus der Softwareentwicklung geprägt, was für Ingenieure ohne Informatik-Hintergrund abschreckend wirken kann. Diese Ausrichtung zeigt sich auch in den einzelnen Sprachelementen: zwar können diese durch die semantische Umdeutung auch für die Spezifikation von kompletten Systemen verwendet werden, allerdings fehlen dafür wiederum wesentliche Elemente, wie beispielsweise kontinuierliche Stoff- und Informationsflüsse, parametrische Beschreibungen von mathematischen Funktionen und die Einbindung von textlichen Requirements. Dieser Mangel wurde erkannt und führte zur Entwicklung einer speziellen Sprache für die Spezifikation von Systemen, der auf der UML basierenden SysML [OMG07-1]. Sie ist besonders für die Spezifikation der Anforderungen, des Verhaltens, der Struktur sowie der Randbedingungen komplexer Systeme entwickelt worden und zielt weniger auf software-orientierte Problemstellungen ab als die UML. Die SysML eignet sich daher besser, wenn über die konkrete Realisierung eines Systems und die Verteilung der Funktionalität auf Hardware und Software noch nichts bzw. wenig bekannt ist. Da die SysML auf der UML basiert, besteht eine Abhängigkeit zwischen beiden Sprachen. Das Verhältnis zwischen UML und SysML lässt sich dabei durch die folgenden drei Aussagen definieren und ist in Abbildung 3.1 grafisch dargestellt: • Zahlreiche UML-Konstrukte wurden direkt in die SysML übernommen und werden dort mit gleicher inhaltlicher Bedeutung verwendet (als „UML4SysML”), wurden aber teilweise umbenannt. • Einige Konstrukte der UML werden für die SysML nicht benötigt 2 Im Rahmen dieser Arbeit wird jedoch die frühere Version 2.1.1 der UML-Spezifikation verwendet, die zum Zeitpunkt der Modellierungsarbeiten aktuell war. Um Versionskonflikte in Referenzen zu vermeiden, wurde entschieden, auch nach Veröffentlichung der neueren Version 2.1.2 weiterhin die Version 2.1.1 zu verwenden. 10
Seite 1: Modellbasierte Anforderungsspezifik
Seite 4 und 5: 5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7: 1. Abstract In common with other te
Seite 8 und 9: 2. Einleitung Wie in anderen techni
Seite 10 und 11: 5 % der späteren Fehler aufgedeckt
Seite 12 und 13: 3. Bestandsaufnahme und Identifikat
Seite 16 und 17: Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19: und Testmodell und erweitert somit
Seite 20 und 21: für LST-Modulverträge für die De
Seite 22 und 23: Im Kontext des BMW-Prinzips lässt
Seite 24 und 25: • Die zweite Unterklasse umfasst
Seite 26 und 27: Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29: Insgesamt ergibt sich somit die in
Seite 30 und 31: Abbildung 5.1.: Einordnung des funk
Seite 32 und 33: 5.1.1.3. Objektorientierung im Eise
Seite 34 und 35: • Eignung für das Systems Engine
Seite 36 und 37: 5.1.2. Metamodell und Subset der Sy
Seite 38 und 39: Für die Anzahl der Ebenen gibt es
Seite 40 und 41: Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43: (a) Das funktionale Konzept betrach
Seite 44 und 45: bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47: dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49: • die Folgen von Gefährdungen zu
Seite 50 und 51: uc [view] Systemfunktionssicht [ Te
Seite 52 und 53: dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55: Im Rahmen des Anforderungsmodells k
Seite 56 und 57: Inhaltselement SysML-Sprachelement
Seite 58 und 59: 5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61: hat beispielsweise Arabestani in [A
Seite 62 und 63: Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65:
wird - sofern möglich - eben diese
Seite 66 und 67:
act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69:
• Kontinuierliche Übertragung vo
Seite 70 und 71:
in einer Aktionssprache an den Kont
Seite 72 und 73:
der Subsystemarchitektur (siehe 5.1
Seite 74 und 75:
Verhaltensmuster Senden von Signale
Seite 76 und 77:
5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79:
enthalten ist. So verfügt die beis
Seite 80 und 81:
Inhaltselement Diagrammart SuB Port
Seite 82 und 83:
77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85:
5.1.5. Konsistenzregeln Für die in
Seite 86 und 87:
5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89:
dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91:
Diese Aufstellung zeigt, dass es si
Seite 92 und 93:
87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95:
6. Inkrementell-iterativer Erstellu
Seite 96 und 97:
zen, wenn die Arbeitsschritte durch
Seite 98 und 99:
6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101:
Von Nach Ausgetauschte Information
Seite 102 und 103:
Ein solches Anforderungsprofil best
Seite 104 und 105:
den könnte. Vielmehr soll diese ja
Seite 106 und 107:
Letztendlich lässt sich keine eind
Seite 108 und 109:
103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111:
NoMagic in der Version 14.0 zum Ein
Seite 112 und 113:
Ideenskizzen, implizite Vorstellung
Seite 114 und 115:
bdd [Modell] Data[ Kontexktkommunik
Seite 116 und 117:
111 Abbildung 6.12.: Detaillierung
Seite 118 und 119:
vom BÜ die Anzeige des Befahrbarke
Seite 120 und 121:
bdd [Modell] Data[ Kontexktkommunik
Seite 122 und 123:
act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125:
Entwicklungsziel angestrebt werden,
Seite 126 und 127:
Als Ergebnis liefert der Subprozess
Seite 128 und 129:
diagramm dargestellte Soll-Kommunik
Seite 130 und 131:
Testfallgenerierung ein bei der man
Seite 132 und 133:
Seite 134 und 135:
Weiterhin wird im Beispielmodell an
Seite 136 und 137:
6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139:
schriebene Vorgehen an: • Zunäch
Seite 140 und 141:
die Szenariensicht ist: Letztere ze
Seite 142 und 143:
act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145:
Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147:
act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149:
nicht auszugehen. Die zusätzliche,
Seite 150 und 151:
7. Zusammenfassung, Ergebnisse und
Seite 152 und 153:
de ein iterativ-inkrementelles Vorg
Seite 154 und 155:
Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157:
[ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159:
[WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161:
dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163:
dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165:
dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167:
B. Metamodell-Aktivitätsdiagramme
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175:
act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177:
act [Aktivitaet] S5 Systemverhalten
Seite 178:
act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?