Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

act [Aktivitaet] S5 Systemverhalten testen[ Ablauf S5 ] Testlauf gegen Testfaelle durchfuehren [Test versagt] Menge der Aktivitaeten Testversagen zurueckmelden [Test erfolgreich] Menge der Interaktionen Menge der Zustandsmaschinen : Testfallgenerierung durchfuehren : Neue Testfaelle und vorhandene Szenarien abgleichen [neue Szenarien gefunden] [keine neuen Szenarien gefunden] Neue Szenarien zurueckmelden Abbildung 6.23.: Aktivitätsdiagramm Subprozess S5 Szenarien entsprechen. Das Testfallgenerierungswerkzeug vermag dabei natürlich keine fachliche Einordnung der gefundenen Szenarien vorzunehmen, wodurch sich in deren Gesamtmenge üblicherweise einige unbrauchbare Sequenzen finden: • Triviale Szenarien mit nur einer eingehenden Nachricht, die unmittelbar zum Erreichen des ersten Zustands des Modells führt. Ein solches Szenario erscheint aus Sicht von ATG sinnvoll, da damit z.B. ein noch fehlender Zustand angefahren werden konnte. Aus Sicht des Systemtests ist ein solches Szenario jedoch nicht aussagekräftig. • Szenarien, die Teilmengen von ausführlicheren Szenarien sind. Diese Szenarien enden, obwohl ein realer betrieblicher Vorgang noch nicht abgeschlossen ist. Diese Szenarien sind zwar aussagekräftig als Testfall, sollten aber beispielsweise durch Vereinigung mit anderen Szenarien auch in einen geeigneten betrieblichen Kontext gebracht werden. Aus diesem Grund muss im Prozess eine Aktivität vorgesehen werden, die die automatisch generierten Testfälle einem inhaltlichen Review unterzieht. Diese Eigenschaft reduziert den oftmals angeführten Zeitvorteil der automatischen Testfallgenerierung, da zwar Arbeitsaufwand bei der Erstellung der Testfälle eingespart wird, im Gegenzug aber zusätzlicher Aufwand entsteht, um die generierten Testfälle zu reviewen. Unabhängig davon bleiben jedoch der Vorteil der automatisierten Analyse des Verhaltensmodells und die damit verbundene Aussicht auf eine höhere Testfallabdeckung bestehen. 6.4.5.4. Vorgehen Das für den Subprozess S5 gewählte Vorgehen kann dem Aktivitätsdiagramm in Abbildung 6.23 entnommen werden. 137
Der Subprozess beginnt mit der Aktivität „Testlauf gegen Testfälle durchführen” und setzt damit Testziel A um. Wurde hierbei festgestellt, dass das modellierte Verhalten nicht den in den Szenarien spezifizierten Systemreaktionen entspricht, wird der Subprozess beendet. In der übergeordneten Phase muss dann die Inkonsistenz zwischen Szenarien und Verhaltensmodell behoben werden. War der Test jedoch erfolgreich, wird auf Basis des gesamten bis zum momentanen Zeitpunkt modellierten Verhaltens die Testfallgenerierung angestoßen. Die dabei erzeugten Szenarien werden einem Review unterzogen und mit der bereits bestehenden Menge an Szenarien abgeglichen. Sollten sich dabei neue Szenarien ergeben, wird dies ebenfalls der übergeordneten Phase angezeigt und in deren weiteren Abläufen berücksichtigt. Diese Aktivität setzt damit das Testziel B um. Der Review der generierten Szenarien und deren Integration in die bestehende Menge an Szenarien erfolgt dabei zurzeit durch einen rein manuellen Vergleich der einzelnen Szenarien. Dies ist für größere Mengen an Testfällen, wie sie bereits bei mäßig komplexen Systemen entstehen können, kaum praktikabel. Daher sollte in weiteren Forschungsarbeiten eine Möglichkeit zum teilautomatisierten Abgleich zwischen neu generierten Testfällen und der bereits existierenden Testfallbasis erörtert werden. Als erster Schritt könnte ein automatischer Abgleich eines neuen Szenarios mit den bereits bestehenden Szenarien über eine einfache Vergleichsfunktion durchgeführt werden. Damit könnte schneller erkannt werden, ob ein durch die Testfallgenerierung ermitteltes Szenario bereits in der Menge der Szenarien enthalten ist oder nicht. Eine mögliche Implementierung zeigt die Funktion „Sequence Diagram Compare” von IBM/telelogic Rhapsody, die zwei Sequenzdiagramme vergleicht und das Ergebnis durch farbige Markierungen darstellt. Abbildung 6.24 zeigt das Ergebnis eines solchen Vergleichs. Eine mögliche Weiterentwicklung dieser Funktion könnte dann automatisiert größere Mengen von Sequenzdiagrammen vergleichen und Unterschiede entsprechend melden. 6.4.6. S6 - Systemverhalten verifizieren Eine weitere Möglichkeit zur Prüfung des Systemverhaltens besteht in der Anwendung eines Model-Checkers zur formalen Verifikation des Verhaltensmodells. Dabei wird das Verhalten eines Systems gegen eine Spezifikation verglichen, die aus einzelnen Sicherheits- oder Lebendigkeitsbedingungen besteht. Sicherheitsbedingungen beschreiben dabei Systemzustände, die vom System niemals eingenommen werden dürfen. Lebendigkeitsbedingungen prüfen hingegen, ob das System einen bestimmten - beispielsweise betriebswichtigen - Zustand überhaupt erreicht. Im Gegensatz zum Testen überprüft der Model-Checker dabei den gesamten Zustandsraum des Systems und somit das gesamte Verhalten auf Konformität mit der Spezifikation. Mit Model- Checking kann daher ein Korrektheitsnachweis auf dem Niveau eines mathematischen Beweises durchgeführt werden [CGP00, S. 1]. Grundsätzlich gibt es jedoch deutliche Einschränkungen bezüglich der Komplexität des zu prüfenden Systems, da Modellchecker systembedingt dem Problem der so genannten Zustandsraumexplosion unterworfen sind. Dieses Phänomen bezeichnet das rasche Anwachsen des Speicherbedarfs, insbesondere bei Systemen mit nebenläufigen Prozessen, das bereits bei mäßig komplexen Systemen zur Nicht-Anwendbarkeit des Model-Checking führen kann [ARA05, S. 152 ff.]. Das Ergebnis des Model-Checkings ist entweder die Aussage, dass das Verhaltensmodell die Spezifikation nicht verletzt, oder aber ein Gegenbeispiel, das diejenige Folge von Stimuli zeigt, die zu einer Verletzung der Randbedingungen führen. Arabestani [ARA05] zeigte in seiner Arbeit, wie sich diese Technologie prinzipiell auf ingenieurwissenschaftliche Problemstellungen anwenden lässt. 138
Seite 1:
Modellbasierte Anforderungsspezifik
Seite 4 und 5:
5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7:
1. Abstract In common with other te
Seite 8 und 9:
2. Einleitung Wie in anderen techni
Seite 10 und 11:
5 % der späteren Fehler aufgedeckt
Seite 12 und 13:
3. Bestandsaufnahme und Identifikat
Seite 14 und 15:
dest |−> q, adr |−> msg.adr] :
Seite 16 und 17:
Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19:
und Testmodell und erweitert somit
Seite 20 und 21:
für LST-Modulverträge für die De
Seite 22 und 23:
Im Kontext des BMW-Prinzips lässt
Seite 24 und 25:
• Die zweite Unterklasse umfasst
Seite 26 und 27:
Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29:
Insgesamt ergibt sich somit die in
Seite 30 und 31:
Abbildung 5.1.: Einordnung des funk
Seite 32 und 33:
5.1.1.3. Objektorientierung im Eise
Seite 34 und 35:
• Eignung für das Systems Engine
Seite 36 und 37:
5.1.2. Metamodell und Subset der Sy
Seite 38 und 39:
Für die Anzahl der Ebenen gibt es
Seite 40 und 41:
Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43:
(a) Das funktionale Konzept betrach
Seite 44 und 45:
bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47:
dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49:
• die Folgen von Gefährdungen zu
Seite 50 und 51:
uc [view] Systemfunktionssicht [ Te
Seite 52 und 53:
dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55:
Im Rahmen des Anforderungsmodells k
Seite 56 und 57:
Inhaltselement SysML-Sprachelement
Seite 58 und 59:
5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61:
hat beispielsweise Arabestani in [A
Seite 62 und 63:
Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65:
wird - sofern möglich - eben diese
Seite 66 und 67:
act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69:
• Kontinuierliche Übertragung vo
Seite 70 und 71:
in einer Aktionssprache an den Kont
Seite 72 und 73:
der Subsystemarchitektur (siehe 5.1
Seite 74 und 75:
Verhaltensmuster Senden von Signale
Seite 76 und 77:
5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79:
enthalten ist. So verfügt die beis
Seite 80 und 81:
Inhaltselement Diagrammart SuB Port
Seite 82 und 83:
77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85:
5.1.5. Konsistenzregeln Für die in
Seite 86 und 87:
5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89:
dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91:
Diese Aufstellung zeigt, dass es si
Seite 92 und 93: 87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95: 6. Inkrementell-iterativer Erstellu
Seite 96 und 97: zen, wenn die Arbeitsschritte durch
Seite 98 und 99: 6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101: Von Nach Ausgetauschte Information
Seite 102 und 103: Ein solches Anforderungsprofil best
Seite 104 und 105: den könnte. Vielmehr soll diese ja
Seite 106 und 107: Letztendlich lässt sich keine eind
Seite 108 und 109: 103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111: NoMagic in der Version 14.0 zum Ein
Seite 112 und 113: Ideenskizzen, implizite Vorstellung
Seite 114 und 115: bdd [Modell] Data[ Kontexktkommunik
Seite 116 und 117: 111 Abbildung 6.12.: Detaillierung
Seite 118 und 119: vom BÜ die Anzeige des Befahrbarke
Seite 120 und 121: bdd [Modell] Data[ Kontexktkommunik
Seite 122 und 123: act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125: Entwicklungsziel angestrebt werden,
Seite 126 und 127: Als Ergebnis liefert der Subprozess
Seite 128 und 129: diagramm dargestellte Soll-Kommunik
Seite 130 und 131: Testfallgenerierung ein bei der man
Seite 134 und 135: Weiterhin wird im Beispielmodell an
Seite 136 und 137: 6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139: schriebene Vorgehen an: • Zunäch
Seite 140 und 141: die Szenariensicht ist: Letztere ze
Seite 144 und 145: Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147: act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149: nicht auszugehen. Die zusätzliche,
Seite 150 und 151: 7. Zusammenfassung, Ergebnisse und
Seite 152 und 153: de ein iterativ-inkrementelles Vorg
Seite 154 und 155: Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157: [ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159: [WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161: dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163: dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165: dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167: B. Metamodell-Aktivitätsdiagramme
Seite 172 und 173: act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175: act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177: act [Aktivitaet] S5 Systemverhalten
Seite 178: act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?