Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
(a) Das funktionale Konzept betrachtet das System als Blackbox, die auf bestimmte Input-<br />
Stimuli mit einer internen Zustandsänderung und einem zugehörigen Output reagiert.<br />
(b) Das strukturelle Konzept beschreibt ein System als die Ganzheit miteinander verknüpfter<br />
Elemente. Je nach Art der Verknüpfung dieser Elemente können unterschiedliche Systeme<br />
mit verschiedenem Verhalten entstehen.<br />
(c) Das hierarchische Konzept schließlich trägt dem Umstand Rechnung, dass Systeme selbst<br />
wieder Subsysteme eines größeren Supersystems sein können. Gleichfalls können Subsysteme<br />
in einer tieferen Hierarchie als eigenständige Systeme betrachtet werden.<br />
In [ROP99, S. 77 f.] wird - als Synthese dieser Aussagen - ein System beschrieben als<br />
„. . . das Modell einer Ganzheit, die (a) Beziehungen zwischen Attributen (Inputs,<br />
Outputs, Zuständen etc.) aufweist, die (b) aus miteinander verknüpften Teilen bzw.<br />
Subsystemen besteht, und die (c) von ihrer Umgebung bzw. von einem Supersystem<br />
abgegrenzt wird.”<br />
Vergleicht man diese Systemdefinitionen aus der Literatur mit den Begriffsdefinitionen der CE-<br />
NELEC-Normen, zeigt sich eine durchaus gute Übereinstimmung. Dabei finden sich in der DIN<br />
EN 50126 im Wesentlichen die obigen Definitionen (a) und (b), wohingegen die DIN EN 50129<br />
weitgehend nur die Definition von (b) aufgreift.<br />
Um nun vom Systembegriff zur Systemabgrenzungssicht zu gelangen, bietet es sich an, zunächst<br />
die Definitionen nach (a) und (c) genauer zu analysieren. Es zeigt sich, dass durch sie implizit<br />
bereits eine bestimmte Art von Systemabgrenzung vorgegeben wird. Aus der Blackbox-Definition<br />
kann abgeleitet werden, dass es zum einen eine definierte Grenze zur Abgrenzung eben dieser<br />
Blackbox geben muss, zum anderen, dass über diese Grenze Inputs in das System hinein- und zugehörige<br />
Outputs hinaus gelangen können. Weiterhin kann gefolgert werden, dass das Verhalten<br />
des Systems durch die Blackbox gekapselt wird, d.h., dass sämtliche verhaltensbestimmenden<br />
Entitäten sich innerhalb der Blackbox befinden. Weiterhin kann aus dem hierarchischen Konzept<br />
nach (c) abgeleitet werden, dass ein System auch immer Teil eines größeren, umgebenden Supersystems<br />
ist und mit Artefakten dieses Supersystems in Verbindung steht. Diese hierarchische<br />
Struktur wird im Anforderungsmodell durch das Konzept der Ebenen (siehe 5.1.3.1) realisiert.<br />
Daher muss bei der Systemabgrenzungssicht jedes Teilmodells auch berücksichtigt werden, welche<br />
Beziehungen das System zu Elementen des umgebenden Supersystems hat.<br />
Aussage (b) fließt nicht direkt in die Spezifikation der Systemabgrenzungssicht ein. Allerdings<br />
gibt das strukturelle Konzept Hinweise darauf, dass zu einem systemorientierten Anforderungsmodell<br />
auch eine Beschreibung der Subsystemarchitektur gehört. Dieser Aspekt wir in Abschnitt<br />
5.1.4.5 bei der Beschreibung der Subsystem Whitebox-Sicht aufgegriffen.<br />
Fasst man die obigen Aussagen (a) bis (c) sowie die Definitionen in den CENELEC-Normen<br />
zusammen, lassen sich die folgenden Anforderungen an eine geeignete Beschreibung der Systemabgrenzung<br />
formulieren:<br />
Die Systemabgrenzung muss<br />
• die Grenze zwischen System und Umgebung<br />
• die hinein fließenden (Inputs) und heraus fließenden Informationen (Outputs)<br />
• die Artefakte des umgebenden Supersystems und deren Beziehungen zum System<br />
darstellen können.<br />
37