Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Modellbasierte Anforderungsspezifikation sicherheitskritischer ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
ungsmodell und dabei insbesondere die Konsistenzen zwischen Akteuren, Informationsflüssen<br />
und Signalen in der Systemabgrenzungssicht und der Systemfunktionssicht (siehe 5.1.4.2). Details<br />
dazu können den Unterabschnitten von Kapitel 5.1.5 entnommen werden.<br />
Aus der Systemabgrenzungssicht kann zusammenfassend abgelesen werden:<br />
• wie sich das SuB des aktuellen Teilmodells gegen andere Systeme in seiner Umgebung<br />
abgrenzt<br />
• welche Systeme innerhalb des umgebenden Supersystems mit dem SuB in Beziehung stehen<br />
• welche Informationen zwischen dem SuB und der Umgebung über welche Schnittstellen<br />
ausgetauscht werden<br />
Damit sind die Forderungen aus 5.1.4.1.1 an die Systemabgrenzung erfüllt.<br />
5.1.4.2. Systemfunktionssicht<br />
In diesem Kapitel wird erörtert, wie die Sicht auf die Funktionen des Systems modelliert werden<br />
soll. Zunächst wird dazu hergeleitet, aus welchen Gründen überhaupt eine Sicht auf die<br />
Systemfunktionen erforderlich ist, da es für ein ausführbares Modell genügen würde, neben<br />
den strukturellen Merkmalen das Verhalten des Systems durch geeignete Beschreibungsmittel<br />
zu spezifizieren.<br />
5.1.4.2.1. Gründe für eine funktionsorientierte Sicht<br />
Ein Anforderungsmodell ist zunächst, wie auch eine textliche <strong>Anforderungsspezifikation</strong>, ein<br />
Kommunikationsmittel. Wichtigste Anforderungen an ein solches Kommunikationsmittel sind<br />
Eindeutigkeit, Verständlichkeit, Korrektheit und Konsistenz der übermittelten Informationen.<br />
Ein Modell, das neben den strukturellen Merkmalen lediglich eine detaillierte Verhaltensbeschreibung<br />
durch Zustandsmaschinen oder Aktivitätsdiagramme enthält, ist zwar eindeutig, für<br />
einen Leser aber nicht unbedingt verständlich. Erst durch eine explizite Darstellung der Systemfunktionen<br />
kann für diesen ein sinnvolles Abstraktionsniveau erreicht werden. Gleichzeitig<br />
dienen die Systemfunktionen als Gliederungselement und Navigationshilfe durch das Modell,<br />
indem sie als funktionaler Oberbegriff einzelne Aktivitäten oder Zustandsmaschinen zusammenfassen.<br />
Diese Abstraktionsebene erleichtert auch die Diskussion des Systementwurfs bezüglich<br />
des vorgesehenen Zwecks des Systems, also der Diskussion der Frage, „was das System überhaupt<br />
machen soll”. Erst wenn dieser Sachverhalt auf abstrakter Ebene hinreichend geklärt ist,<br />
kann sich eine detaillierte Verhaltensdefinition durch eine schrittweise Verfeinerung des Systemverhaltens<br />
anschließen.<br />
Ein weiterer Nutzen der expliziten Modellierung von Systemfunktionen ist die Wiederverwendbarkeit<br />
in der Risikoanalyse. Risikoanalysen sind elementarer Bestandteil des Sicherheitsnachweises<br />
für sicherheitskritische technische Systeme und werden von den DIN EN Normen 50126<br />
und 50129 als zwingend notwendiger Arbeitsschritt bei der Systementwicklung festgelegt. Als<br />
Ziele der Risikoanalyse nennt Braband in [BRA05, S. 27]:<br />
„Es ist Aufgabe des Betreibers, eine Risikoanalyse durchzuführen, die darin besteht<br />
• die Funktionsanforderungen für das betreffende System (unabhängig von dessen<br />
technischer Ausführung) festzulegen<br />
• systemrelevante Gefährdungen zu identifizieren<br />
42