Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

• die Folgen von Gefährdungen zu analysieren • sicherzustellen, dass das sich ergebende Risiko tolerabel ist und • die tolerierbaren Gefährdungsraten (THR) abzuleiten.” Besonders relevant für diese Arbeit sind dabei die ersten beiden Punkte „Festlegung der Funktionsanforderungen” und „Identifikation der Gefährdungen”: Für die Festlegung der Funktionsanforderungen (erster Punkt) ist eine Systemfunktionssicht direkt hilfreich, aus der die benötigten Informationen unmittelbar entnommen werden können. Ebenso ist eine saubere Funktionsdefinition des Systems wichtige Grundlage für die Identifikation der relevanten Gefährdungen (zweiter Punkt). Dies geschieht üblicherweise in einem zweistufigen Prozess, der aus einer empirischen und einer kreativen Arbeitsphase besteht [BRA05, S. 32]. Während in der empirischen Phase beispielsweise Unfallanalysedaten ausgewertet werden, werden in der kreativen Phase mögliche Gefährdungen durch strukturierte Analysen herausgearbeitet. Ein gängiges Werkzeug für eine solche Analyse sind Fehlerzustandsart- und Fehlerauswirkungsanalysen (failure mode and effects analyses, FMEA). Der zugehörigen Norm IEC60812 lässt sich entnehmen, dass ein wichtiger Arbeitsschritt in einer FMEA die Ableitung einer funktionalen Struktur des Systems ist [IEC60812, S. 20]. Diese Aufgabe wird deutlich erleichtert, wenn bereits im Anforderungsmodell eine nachvollziehbare, logische Strukturierung der Systemfunktionen vorgenommen wurde. Es zeigt sich somit, dass eine dedizierte Aufnahme einer Systemfunktionssicht in das Anforderungsmodell nicht nur diesem selbst zugute kommt, sondern auch verschiedene, umgebende Prozesse unterstützen kann. 5.1.4.2.2. Begriffsdefinitionen Bevor nun die Einzelheiten der Systemfunktionssicht vorgestellt werden, sollen zunächst die verwendeten Begriffe - Funktion, Szenario und Anwendungsfall - für die weitere Verwendung in dieser Arbeit definiert werden. Dies ist erforderlich, da für eben diese Begriffe in verschiedenen Kontexten voneinander abweichende Bedeutungen existieren. Die für diese Arbeit relevanten Begriffsdefinitionen werden ausgehend von der SysML/UML-Spezifikation und den CENELEC- Normen entwickelt. Grundlage ist der Funktionsbegriff in der DIN EN 50129. Dort wird der Begriff Funktion beschrieben als „Art von Aktion oder Tätigkeit, durch die ein Produkt seinen beabsichtigten Zweck erfüllt [EN50129, S. 11]”. Diese Definition ist weitgehend deckungsgleich mit der der use cases (Anwendungsfalls) im Sinne der UML/SysML. In der entsprechenden Spezifikation wird ein Anwendungsfall beschrieben als „A use case is the specification of a set of actions performed by a system, which yields an observable result that is, typically, of value for one or more actors or other stakeholders of the system. [. . . ] Each use case specifies a unit of useful functionality that the subject provides to its users.” [OMG07-2, S. 590] Insbesondere der letzte zitierte Satz entspricht inhaltlich weitgehend der Definition aus der DIN EN 50129. Auf Grund der Ähnlichkeit dieser Definitionen werden die Begriffe Funktion und Anwendungsfall (use case) im Folgenden synonym verwendet. In der UML-Spezifikation heißt es weiterhin „A use case can include possible variations of its basic behavior, including exceptional behavior and error handling.” [OMG07-2, S. 590] Daraus lässt sich die Existenz einer weiteren Gliederungsebene unterhalb der Anwendungsfälle herleiten: Jeder Anwendungsfall enthält verschiedene Variationen des durch ihn repräsentierten Verhaltens. Dieses Konzept wird für den Rahmen dieser Arbeit insofern übernommen, als dass 43
zu jedem Anwendungsfall eine Menge an Szenarien definiert wird, die den Anwendungsfall sowohl unter Regelbedingungen als auch für Fehlerfälle spezifizieren. Der Begriff Szenario wird somit für eine spezielle Ausprägung eines Anwendungsfalls unter spezifischen Randbedingungen verwendet. 5.1.4.2.3. Modellierung der Systemfunktionssicht mit der SysML Die Modellierung der Systemfunktionssicht erfolgt durch das UML/SysML-Konstrukt der use cases (Anwendungsfälle). Zugehöriges Diagramm ist das use case diagram (Anwendungsfalldiagramm). Diese Diagrammart stellt die Anwendungsfälle für ein System und die Beziehungen zwischen den Anwendungsfällen und den Akteuren im Systemumfeld dar. Die wesentlichen Modellelemente sind die einzelnen Anwendungsfälle, die Akteure und die Darstellung der Systemgrenze. Für jedes Teilmodell innerhalb des Anforderungsmodells existiert eine eigene Systemfunktionssicht, die sich auf die Anwendungsfälle des SuB in diesem Teilmodell bezieht. Ein solches Diagramm zeigt beispielhaft Abbildung 5.7 auf der nächsten Seite. Dabei ist zu beachten, dass das Ergebnis des entsprechenden Prozessschrittes (siehe Kapitel 6.3.2) ein hierarchischer Baum von Anwendungsfällen sein kann. Dies liegt im Verfahren begründet, das sich für die Ableitung der Anwendungsfälle bei komplexen Systemen anbietet. Für die Systemfunktionssicht sind allerdings nur diejenigen Anwendungsfälle relevant, die sich auf der untersten Hierarchieebene befinden, also die „Blätter” des Hierarchiebaumes bilden. Daher wird zur besseren Übersicht empfohlen, diese in einem separaten Use-Case-Diagramm darzustellen (Bild 5.7). Im Anwendungsfalldiagramm repräsentiert jedes Oval einen use case (Anwendungsfall), der entsprechend der Begriffsdefinition in 5.1.4.2.2 eine Funktion des Systems repräsentiert. Über Assoziationen ist der Anwendungsfall mit denjenigen Akteuren verbunden, die die entsprechende Funktion vom System einfordern oder eine Ausgabe des Systems weiterverarbeiten. Dabei muss aus Konsistenzgründen sichergestellt sein, dass alle Akteure, die als Systemumgebung festgelegt wurden (siehe 5.1.4.1), auch in den Diagrammen der Systemfunktionssicht enthalten und mit mindestens einem der Anwendungsfälle des Systems assoziiert sind. Lässt sich ein bestimmter Akteur mit keinem der Anwendungsfälle assoziieren, bedeutet dies, dass er offenbar keinen Einfluss auf das Systemverhalten hat und somit auch im Anforderungsmodell nicht erforderlich ist. Ebenso repräsentiert ein Anwendungsfall ganz offensichtlich keine für die Umgebung wichtige Systemfunktion, wenn er keine Verbindung zu den Akteuren besitzt. Damit ist der Anwendungsfall entbehrlich. Alle für die Systemfunktionssicht relevanten Konsistenzbedingungen sind in Kapitel 5.1.5 formal definiert. Als Ergänzung zu den gängigen Modellierungspraktiken werden in der Systemfunktionssicht auch Angaben zu den Informationsflüssen im Anwendungsfalldiagramm dargestellt. Diese laufen entlang der Assoziationen entweder in den Anwendungsfall hinein oder aus dem Anwendungsfall heraus, was durch entsprechende schwarze Pfeile an den Assoziationen dargestellt wird. Hineinströmenden Informationen bedeuteten, dass der Anwendungsfall diese Informationen entweder für seine Funktionalität benötigt oder auf die eingehende Information auf eine bestimmte Weise reagieren soll. Letzteres trifft vor allem zu, wenn es sich bei den eingehenden Informationen um Serviceanforderungen (typischerweise über einen Service-Port) handelt. Ausgehende Datenflüsse stellen Informationen dar, die im Anwendungsfall generiert wurden und den jeweiligen Akteuren zur Verfügung gestellt werden. Sprachelemente für die Modellierung der Datenflüsse sind ObjectFlows (Objektflüsse) entlang der Assoziationen und signals (Signale). Für die Informationsflüsse gelten dabei ganz ähnliche Konsistenzregeln wie für die Akteure: Zu jedem Informationsfluss im Anwendungsfalldiagramm muss ein entsprechendes Gegenstück in 44
Seite 1: Modellbasierte Anforderungsspezifik
Seite 4 und 5: 5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7: 1. Abstract In common with other te
Seite 8 und 9: 2. Einleitung Wie in anderen techni
Seite 10 und 11: 5 % der späteren Fehler aufgedeckt
Seite 12 und 13: 3. Bestandsaufnahme und Identifikat
Seite 14 und 15: dest |−> q, adr |−> msg.adr] :
Seite 16 und 17: Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19: und Testmodell und erweitert somit
Seite 20 und 21: für LST-Modulverträge für die De
Seite 22 und 23: Im Kontext des BMW-Prinzips lässt
Seite 24 und 25: • Die zweite Unterklasse umfasst
Seite 26 und 27: Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29: Insgesamt ergibt sich somit die in
Seite 30 und 31: Abbildung 5.1.: Einordnung des funk
Seite 32 und 33: 5.1.1.3. Objektorientierung im Eise
Seite 34 und 35: • Eignung für das Systems Engine
Seite 36 und 37: 5.1.2. Metamodell und Subset der Sy
Seite 38 und 39: Für die Anzahl der Ebenen gibt es
Seite 40 und 41: Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43: (a) Das funktionale Konzept betrach
Seite 44 und 45: bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47: dd [Modell] Data[ Systemabgrenzungs
Seite 50 und 51: uc [view] Systemfunktionssicht [ Te
Seite 52 und 53: dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55: Im Rahmen des Anforderungsmodells k
Seite 56 und 57: Inhaltselement SysML-Sprachelement
Seite 58 und 59: 5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61: hat beispielsweise Arabestani in [A
Seite 62 und 63: Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65: wird - sofern möglich - eben diese
Seite 66 und 67: act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69: • Kontinuierliche Übertragung vo
Seite 70 und 71: in einer Aktionssprache an den Kont
Seite 72 und 73: der Subsystemarchitektur (siehe 5.1
Seite 74 und 75: Verhaltensmuster Senden von Signale
Seite 76 und 77: 5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79: enthalten ist. So verfügt die beis
Seite 80 und 81: Inhaltselement Diagrammart SuB Port
Seite 82 und 83: 77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85: 5.1.5. Konsistenzregeln Für die in
Seite 86 und 87: 5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89: dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91: Diese Aufstellung zeigt, dass es si
Seite 92 und 93: 87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95: 6. Inkrementell-iterativer Erstellu
Seite 96 und 97: zen, wenn die Arbeitsschritte durch
Seite 98 und 99:
6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101:
Von Nach Ausgetauschte Information
Seite 102 und 103:
Ein solches Anforderungsprofil best
Seite 104 und 105:
den könnte. Vielmehr soll diese ja
Seite 106 und 107:
Letztendlich lässt sich keine eind
Seite 108 und 109:
103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111:
NoMagic in der Version 14.0 zum Ein
Seite 112 und 113:
Ideenskizzen, implizite Vorstellung
Seite 114 und 115:
bdd [Modell] Data[ Kontexktkommunik
Seite 116 und 117:
111 Abbildung 6.12.: Detaillierung
Seite 118 und 119:
vom BÜ die Anzeige des Befahrbarke
Seite 120 und 121:
bdd [Modell] Data[ Kontexktkommunik
Seite 122 und 123:
act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125:
Entwicklungsziel angestrebt werden,
Seite 126 und 127:
Als Ergebnis liefert der Subprozess
Seite 128 und 129:
diagramm dargestellte Soll-Kommunik
Seite 130 und 131:
Testfallgenerierung ein bei der man
Seite 132 und 133:
Seite 134 und 135:
Weiterhin wird im Beispielmodell an
Seite 136 und 137:
6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139:
schriebene Vorgehen an: • Zunäch
Seite 140 und 141:
die Szenariensicht ist: Letztere ze
Seite 142 und 143:
act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145:
Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147:
act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149:
nicht auszugehen. Die zusätzliche,
Seite 150 und 151:
7. Zusammenfassung, Ergebnisse und
Seite 152 und 153:
de ein iterativ-inkrementelles Vorg
Seite 154 und 155:
Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157:
[ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159:
[WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161:
dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163:
dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165:
dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167:
B. Metamodell-Aktivitätsdiagramme
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175:
act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177:
act [Aktivitaet] S5 Systemverhalten
Seite 178:
act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?