Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

7. Zusammenfassung, Ergebnisse und Ausblick In der vorliegenden Arbeit wurde ein auf dem BMW-Prinzip basierendes Konzept zur Modellierung von Anforderungen vorgestellt. Dazu wurde zunächst die aktuelle Situation sowohl bei der Anforderungserstellung, als auch bei der sich anschließenden Phase der Systementwicklung untersucht. Dabei zeigte sich, dass bei der Systementwicklung die Anwendung von semi-formalen, objektorientierten Beschreibungsmitteln und daran angepassten Vorgehensmodellen viel weiter fortgeschritten ist, als im Bereich der Anforderungsmodellierung. Dort haben sich Konzepte zur Modellierung funktionaler Anforderungen und entsprechende Prozesse zur ihrer Erstellung noch nicht durchsetzen können. Gleichzeitig ist die Anforderungserstellung aber diejenige Phase, in der die meisten Fehler in das spätere System eingebracht werden. Daraus wurde die Notwendigkeit abgeleitet, das aktuelle Vorgehen bei der Anforderungsspezifikation für Bahnsysteme zu optimieren. Das im Rahmen dieser Arbeit entwickelte Konzept basiert dabei auf zwei wesentlichen Bestandteilen: Der Entwicklung einer praxistauglichen Struktur für eine Anforderungsspezifikation auf Basis der Modellierungssprache SysML(A) einerseits und andererseits die Ableitung eines geeigneten Prozessmodells, das die Erstellung der Anforderungsspezifikation steuert und die einzelnen Arbeitsschritte spezifiziert. Kernelement der Anforderungsspezifikation ist das funktionale Modell. Zur Ermittlung eines geeigneten Beschreibungsmittels für dieses Modell wurden verschiedene prinzipielle Möglichkeiten analysiert, unter anderem natürliche und formale Sprachen, sowie semi-formale, objektorientierte Beschreibungsmittel. Letztendlich wurde ein Subset der Systems Modeling Language (SysML) als geeignet identifiziert, das als SysML(A) bezeichnet wird und alle für die Modellierung von Anforderungen notwendigen Konstrukte enthält. Der Sprachumfang von SysML(A) wurde in einem Top-Down-Vorgehen festgelegt. Es analysiert die einzelnen Aspekte, die innerhalb des Modells berücksichtigt werden müssen und verfeinert deren Abbildung bis auf die Ebene einzelner Sprachelemente. Im funktionalen Anforderungsmodell werden diese Aspekte durch einzelne Sichten repräsentiert, die spezifische Informationen innerhalb des Modells bündeln. Als weitere Gliederungsdimension wurden einzelne Ebenen eingeführt, mit denen sich durch eine einfache, zweistufige Hierarchie von Systemen und Subsystemen alle denkbaren Systemarchitekturen beschreiben lassen. Ein wesentliches Ziel beim Entwurf des funktionalen Anforderungsmodells war dessen möglichst frühe Ausführbarkeit. Zur Erreichung dieses Ziels wurden zunächst die prinzipiellen Anforderungen für die Ausführbarkeit von Modellen untersucht und anschließend eine primär auf Aktivitätsdiagrammen beruhende Modellierungsstrategie des Systemverhaltens vorgeschlagen. Diese ermöglicht - trotz noch offener Diskussionspunkte bezüglich der Formalität von Aktivitätsdiagrammen - eine für den Modellierer einfach durchzuführende Verhaltensspezifikation und die Modellausführung mit entsprechenden Werkzeugen. Dadurch werden bereits bei der Erstellung der Systemanforderungen Technologien wie Test des Modells, Testfallgenerierung und formale Verifikation zugänglich. Somit lässt sich die Qualität der Anforderungsspezifikation gegenüber einer rein textlichen Beschreibung deutlich steigern. 145
Die hier vorliegende Arbeit greift damit Ideen aus älteren Arbeiten in diesem Bereich (wie beispielsweise die Dissertation von Arabestani [ARA05]) auf. Sie passt diese an die aktuelle Situation an und ergänzt sie um Elemente, die für eine Migration hin zur modellbasierten Anforderungsspezifikation im Produktiveinsatz zwingend erforderlich sind. Zwei wichtige Elemente sind dabei der Übergang zur gegenüber der UML besser geeigneten SysML(A) als Modellierungssprache sowie die beschriebenen Mechanismen für die Modellorganisation. Für diese beiden Aspekte wurden geeignete Lösungen im Rahmen dieser Arbeit aufgezeigt. Über den erreichten Arbeitsstand hinaus lassen sich aber auch weitere, zukünftige Entwicklungen skizzieren: So wäre es beispielsweise sinnvoll, wenn auch für Aktivitätsdiagramme eine vollständige, formale Semantikdefinition entwickelt werden würde. Zusammen mit den formalen Definitionen der UML-Modellelemente in [ARA05] - die an die Eigenschaften der SysML angepasst werden müssten - läge damit für alle in der SysML(A) verwendeten Sprachelemente eine formale Definition vor. Dies würde es ermöglichen, die Modelle der Anforderungsspezifikation direkt für die Systementwicklung weiterzuverwenden und sie durch Transformationen, Verfeinerung und Ergänzungen so zu modifizieren, dass sie unmittelbar zur Erzeugung des Produktivcodes für die Zielplattform eingesetzt werden können. Damit könnte eine mit SCADE vergleichbare Modell- Durchgängigkeit für den gesamten Lebenszyklus erreicht werden. Im Gegensatz zu SCADE lägen die Modelle jedoch in einer offenen, standardisierten Beschreibungssprache vor. Weiteres interessantes Forschungsgebiet sind Metamethoden für die Beschreibung des Systemverhaltens. Wie in Abschnitt 6.4.4 beschrieben, wird von Hon momentan an der Umsetzung von Entscheidungstabellen in aussagenlogische Formeln geforscht. Diese könnten dann in Verhaltensdiagrammen genutzt werden und deren Erstellung vereinfachen. Damit wäre es einem Modellierer von Anforderungsmodellen möglich, sich stärker auf die fachlichen Inhalte des Modells zu konzentrieren, als auf deren Umsetzung durch bestimmte Sprachelemente von Aktivitäts- und Zustandsdiagrammen. Es erscheint lohnenswert, diesen Ansatz einer zusätzlichen Abstraktionsebene oberhalb der in der SysML oder UML definierten Verhaltensdiagramme weiterzuverfolgen. So könnten in Zukunft neben den für logische Aufgabenstellungen geeigneten Entscheidungstabellen ähnliche Konzepte auch für andersartige Problemstellungen integriert werden. Weiterhin wird auch die Integration nicht-funktionaler Anforderungen berücksichtigt. Das für diese Art von Anforderungen gewählte Konzept geht davon aus, dass sich nicht-funktionale Anforderungen üblicherweise inhaltlich schlecht durch Konstrukte der SysML(A) ausdrücken lassen. Vielmehr erwies es sich als zielführend, nicht-funktionale Anforderungen als freitextliche Elemente abzubilden, die über definierte Relationen an Entitäten des funktionalen Modells angekoppelt werden. Das in der vorliegenden Arbeit beschriebene Konzept basiert auf der externen Verwaltung der nicht-funktionalen Anforderungen. Diese werden in das funktionale Modell gespiegelt und mit Modellartefakten durch -, -, - Verknüpfungen sowie über einfache Dependency- und Containment-Relationen verbunden. Das beschriebene Vorgehen kann zudem dazu verwendet werden, um die Erfüllung externer, unveränderlicher Vorgaben, Normen und Richtlinien durch das Anforderungsmodell zu dokumentieren. Genauso lassen sich über diesen Mechanismus auch informelle Anforderungen aus der Frühphase der Systementwicklung an das Modell ankoppeln. Als zweites Kernelement der vorliegenden Arbeit wurde ein Prozess entwickelt, der die Erstellung der Anforderungsspezifikation von ersten Ideen bis hin zur Lebenszyklusbegleitung eines fertigen Systems strukturiert und steuert. Dieses Prozessmodell füllt somit die in der Analyse erkannte methodische Lücke im BMW-Konzept aus. Zur Ableitung eines geeigneten Prozessmodells wurden zunächst die besonderen Eigenschaften der Erstellung von Anforderungsspezifikationen ermittelt. Anschließend wurden verschiedene Arten von Vorgehensmodellen untersucht, die als Basis für das zu definierende Prozessmodell dienen. Letztendlich wur- 146
Seite 1:
Modellbasierte Anforderungsspezifik
Seite 4 und 5:
5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7:
1. Abstract In common with other te
Seite 8 und 9:
2. Einleitung Wie in anderen techni
Seite 10 und 11:
5 % der späteren Fehler aufgedeckt
Seite 12 und 13:
3. Bestandsaufnahme und Identifikat
Seite 14 und 15:
dest |−> q, adr |−> msg.adr] :
Seite 16 und 17:
Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19:
und Testmodell und erweitert somit
Seite 20 und 21:
für LST-Modulverträge für die De
Seite 22 und 23:
Im Kontext des BMW-Prinzips lässt
Seite 24 und 25:
• Die zweite Unterklasse umfasst
Seite 26 und 27:
Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29:
Insgesamt ergibt sich somit die in
Seite 30 und 31:
Abbildung 5.1.: Einordnung des funk
Seite 32 und 33:
5.1.1.3. Objektorientierung im Eise
Seite 34 und 35:
• Eignung für das Systems Engine
Seite 36 und 37:
5.1.2. Metamodell und Subset der Sy
Seite 38 und 39:
Für die Anzahl der Ebenen gibt es
Seite 40 und 41:
Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43:
(a) Das funktionale Konzept betrach
Seite 44 und 45:
bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47:
dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49:
• die Folgen von Gefährdungen zu
Seite 50 und 51:
uc [view] Systemfunktionssicht [ Te
Seite 52 und 53:
dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55:
Im Rahmen des Anforderungsmodells k
Seite 56 und 57:
Inhaltselement SysML-Sprachelement
Seite 58 und 59:
5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61:
hat beispielsweise Arabestani in [A
Seite 62 und 63:
Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65:
wird - sofern möglich - eben diese
Seite 66 und 67:
act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69:
• Kontinuierliche Übertragung vo
Seite 70 und 71:
in einer Aktionssprache an den Kont
Seite 72 und 73:
der Subsystemarchitektur (siehe 5.1
Seite 74 und 75:
Verhaltensmuster Senden von Signale
Seite 76 und 77:
5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79:
enthalten ist. So verfügt die beis
Seite 80 und 81:
Inhaltselement Diagrammart SuB Port
Seite 82 und 83:
77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85:
5.1.5. Konsistenzregeln Für die in
Seite 86 und 87:
5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89:
dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91:
Diese Aufstellung zeigt, dass es si
Seite 92 und 93:
87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95:
6. Inkrementell-iterativer Erstellu
Seite 96 und 97:
zen, wenn die Arbeitsschritte durch
Seite 98 und 99:
6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101: Von Nach Ausgetauschte Information
Seite 102 und 103: Ein solches Anforderungsprofil best
Seite 104 und 105: den könnte. Vielmehr soll diese ja
Seite 106 und 107: Letztendlich lässt sich keine eind
Seite 108 und 109: 103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111: NoMagic in der Version 14.0 zum Ein
Seite 112 und 113: Ideenskizzen, implizite Vorstellung
Seite 114 und 115: bdd [Modell] Data[ Kontexktkommunik
Seite 116 und 117: 111 Abbildung 6.12.: Detaillierung
Seite 118 und 119: vom BÜ die Anzeige des Befahrbarke
Seite 120 und 121: bdd [Modell] Data[ Kontexktkommunik
Seite 122 und 123: act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125: Entwicklungsziel angestrebt werden,
Seite 126 und 127: Als Ergebnis liefert der Subprozess
Seite 128 und 129: diagramm dargestellte Soll-Kommunik
Seite 130 und 131: Testfallgenerierung ein bei der man
Seite 134 und 135: Weiterhin wird im Beispielmodell an
Seite 136 und 137: 6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139: schriebene Vorgehen an: • Zunäch
Seite 140 und 141: die Szenariensicht ist: Letztere ze
Seite 142 und 143: act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145: Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147: act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149: nicht auszugehen. Die zusätzliche,
Seite 152 und 153: de ein iterativ-inkrementelles Vorg
Seite 154 und 155: Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157: [ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159: [WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161: dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163: dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165: dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167: B. Metamodell-Aktivitätsdiagramme
Seite 172 und 173: act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175: act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177: act [Aktivitaet] S5 Systemverhalten
Seite 178: act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?