Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

5.1.4.4. Systemverhaltenssicht Mit den bisher beschriebenen Sichten können die folgenden Sachverhalte im funktionalen Modell dargestellt werden: (a) wie sich das System von seiner Umgebung abgrenzt und mit welchen Elementen seiner Umgebung es kommuniziert (b) welche Systemfunktionen es seiner Umgebung bereitstellt (c) wie diese Systemfunktionen in bestimmten Situationen mit der Umgebung interagieren sollen Diese Elemente sind jedoch noch nicht hinreichend für ein ausführbares Modell, das die Grundlage für die Umsetzung der in Abschnitt 4 formulierten Ziele ist: Nur ausführbare Modelle sind test- und verifizierbar, wobei eine Verhaltensspezifikation - wie im nachfolgenden Unterkapitel gezeigt werden wird - wesentliche Voraussetzung für die Ausführbarkeit ist. Das funktionale Modell muss daher zwingend um eine Modellierung des Verhaltens ergänzt werden. Im nachfolgenden Unterabschnitt 5.1.4.4.1 wird zunächst der Begriff der Ausführbarkeit für den Rahmen dieser Arbeit definiert und anschließend die Möglichkeiten beschrieben, die sich daraus ergeben. Anschließend wird in Unterabschnitt 5.1.4.4.2 dargelegt, welches Beschreibungsmittel für die Verhaltensmodellierung von Anforderungsmodellen geeignet erscheint. Verschiedene Aspekte der Verhaltensmodellierung werden dann in den Unterkapiteln 5.1.4.4.3 bis 5.1.4.4.6 beschrieben. 5.1.4.4.1. Möglichkeiten ausführbarer Modelle Wesentliches Ziel einer Verhaltensspezifikation ist die Schaffung eines ausführbaren Anforderungsmodells, das die Grundlage für die Verhaltensvisualisierung, die Durchführung von Tests und Erzeugung von Testfällen und die formale Verifikation ist. Bevor im Folgenden die genannten Möglichkeiten einzeln vorgestellt werden, soll zunächst der Begriff ausführbar für die weitere Verwendung in dieser Arbeit definiert werden: Ein Modell ist dann ausführbar, wenn sich die Modellinformationen in eine entsprechende Zielsprache (wie C++, Java) übersetzen lassen und sich der erzeugte Quellcode in ein ausführbares Programm kompilieren lässt. Dazu sind im vorliegenden Fall dieser Arbeit 1 die folgenden Vorbedingungen zu erfüllen: • Das Verhalten des Modells muss deterministisch sein, wobei - analog zu einer deterministischen Turing-Maschine - zu jedem möglichen Zustand des Systems der Folgezustand eindeutig definiert sein muss [WES00] • Die Struktur des Systems und seiner Umgebung muss durch Klassendiagramme (UML) oder Blockdefinitionsdiagramme (SysML) modelliert worden sein • Das Verhalten des Systems muss mit entsprechenden Modellierungselementen der UML/- SysML (Zustandsmaschine, Aktivitätsdiagramm) abgebildet worden sein Bei Verwendung einer entsprechenden Modellierungsumgebung (im Rahmen dieser Arbeit: IB- M/telelogic Rhapsody) lässt sich unter Berücksichtigung dieser Vorbedingungen das Modell kompilieren und ausführen. Das Verhalten des ausführbaren Modells wird in Form animierter Zustands- und Aktivitätsdiagramme angezeigt und kann intuitiv nachvollzogen werden. Durch die Rückmeldung lässt sich auffälliges Fehlverhalten bereits während der Erstellung der <strong>Anforderungsspezifikation</strong> erkennen. Zu beachten ist dabei, dass zurzeit noch keine durchgängig 1 Dies meint die gegebenen Randbedingungen für die Modellierung, wie: Modellierungssprache (UML/SysML), Modellierungswerkzeug und verwendete Zielsprache (C++). 53
formal definierte Semantik für die UML bzw. SysML vorhanden ist. Die Übersetzung des Modells in ausführbaren Code erfolgt daher auf Grundlage semantischer Definitionen, die jeder Werkzeughersteller nach eigenem Ermessen erstellt. Gleiche Modelle können somit in unterschiedlichen Werkzeugen zu unterschiedlichem ausführbaren Code führen. Die Schaffung einer einheitlichen semantischen Definition der UML-Sprachelemente (die auch in der SysML weiterverwendet werden könnte) ist jedoch Gegenstand verschiedener Forschungsvorhaben, beispielsweise des UML Sematics Project. Eine Darstellung des aktuellen Arbeitsstandes findet sich beispielsweise in [BCD07]. Eine stringentere Methode zur Überprüfung des Modellverhaltens ist das systematische Anwenden von Testfällen. Dabei wird das zu untersuchende System von seiner Umgebung frei geschnitten und die Umwelt durch die Testumgebung simuliert. Bei der Testausführung versorgt diese den Testling mit bestimmten Stimuli und zeichnet die Reaktionen des Systems beispielsweise in Form von Sequenzdiagrammen auf. Das Testprotokoll kann dann mit dem Soll-Verhalten verglichen werden, wodurch sich Abweichungen übersichtlich erkennen lassen. Auf die allgemeinen Möglichkeiten und Grenzen des Testens mit Testfällen und die konkrete Umsetzung im Rahmen dieser Arbeit wird in Abschnitt 6.4.5 eingegangen. Eine nochmals strengere Möglichkeit zur Überprüfung des Systemverhaltens stellt die Anwendung des Model Checkings (Modellprüfung) dar. Dabei handelt es sich um eine Technik zur Prüfung eines Systems aus einem endlichen Automaten [CGP00, S. 3] gegen eine formale Spezifikation. Ergebnis dieser Prüfung ist eine ja/nein-Aussage, ob das Verhalten des Systems die Spezifikation erfüllt oder verletzt. Auch diese Verifikationstechnik kann mit bestimmten Einschränkungen auf ausführbare UML/SysML-Modelle angewendet werden, was in Abschnitt 6.4.6 beschrieben wird. Zu beachten ist, dass zwischen der Systemverhaltenssicht und der Szenariensicht eine inhaltliche Abhängigkeit besteht. Die einzelnen Szenarien stellen dabei exemplarische, kontextabhängige Protokolle des Systemverhaltens dar, das durch die Verhaltensmodellierung bestimmt wird. Da die Szenariensicht und die Verhaltenssicht jedoch zunächst unabhängig voneinander erstellt werden, müssen Mechanismen vorgesehen werden, die beide Sichten inhaltlich aneinander koppeln. Dies geschieht durch Integration von Testausführungs- und Testerzeugungstechniken, durch die ein bidirektionaler Abgleich zwischen Szenariensicht und Verhaltenssicht möglich wird. Dadurch kann sowohl überprüft werden, ob das Verhaltensmodell des SuB die als Soll-Vorgabe dienenden Szenarien erfüllt, als auch, ob tatsächlich alle zur Beschreibung des gewünschten Systemverhaltens erforderlichen Interaktionsszenarien ermittelt wurden. Diese wechselseitige Abhängigkeit ist Grundlage der im Prozess verfolgten internen Teststrategie. Details dazu finden sich in Abschnitt 6.4.5. 5.1.4.4.2. Diskussion des Beschreibungsmittels Für die Verhaltensmodellierung bieten sich zwei Beschreibungsmittel an, die fast unverändert aus der UML 2 in die SysML übernommen wurden [OMG07-1, S. 85]: Die Modellierung durch State Machines (Zustandsmaschinen) oder die Modellierung mit Activity Diagrams (Aktivitätsdiagrammen). Im Bezug auf die Ausführbarkeit sind beide Beschreibungsmittel als gleichwertig anzusehen, da sowohl durch Zustandsmaschinen, als auch durch Aktivitätsdiagramme mit geeigneten Werkzeugen ausführbare Modelle im Sinne der Definition in 5.1.4.4.1 erstellt werden können. Unterschiedlich ist jedoch der Reifegrad der Formalität beider Beschreibungsmittel. Die Zustandsmaschinen der UML/SysML basieren auf den Zustandsdiagrammen von Harel [HAR87] [OMG07-2, S. 519], für die eine formale Ausführungssemantik abgeleitet werden kann. Dies 54
Seite 1:
Modellbasierte Anforderungsspezifik
Seite 4 und 5:
5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7:
1. Abstract In common with other te
Seite 8 und 9: 2. Einleitung Wie in anderen techni
Seite 10 und 11: 5 % der späteren Fehler aufgedeckt
Seite 12 und 13: 3. Bestandsaufnahme und Identifikat
Seite 14 und 15: dest |−> q, adr |−> msg.adr] :
Seite 16 und 17: Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19: und Testmodell und erweitert somit
Seite 20 und 21: für LST-Modulverträge für die De
Seite 22 und 23: Im Kontext des BMW-Prinzips lässt
Seite 24 und 25: • Die zweite Unterklasse umfasst
Seite 26 und 27: Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29: Insgesamt ergibt sich somit die in
Seite 30 und 31: Abbildung 5.1.: Einordnung des funk
Seite 32 und 33: 5.1.1.3. Objektorientierung im Eise
Seite 34 und 35: • Eignung für das Systems Engine
Seite 36 und 37: 5.1.2. Metamodell und Subset der Sy
Seite 38 und 39: Für die Anzahl der Ebenen gibt es
Seite 40 und 41: Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43: (a) Das funktionale Konzept betrach
Seite 44 und 45: bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47: dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49: • die Folgen von Gefährdungen zu
Seite 50 und 51: uc [view] Systemfunktionssicht [ Te
Seite 52 und 53: dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55: Im Rahmen des Anforderungsmodells k
Seite 56 und 57: Inhaltselement SysML-Sprachelement
Seite 60 und 61: hat beispielsweise Arabestani in [A
Seite 62 und 63: Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65: wird - sofern möglich - eben diese
Seite 66 und 67: act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69: • Kontinuierliche Übertragung vo
Seite 70 und 71: in einer Aktionssprache an den Kont
Seite 72 und 73: der Subsystemarchitektur (siehe 5.1
Seite 74 und 75: Verhaltensmuster Senden von Signale
Seite 76 und 77: 5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79: enthalten ist. So verfügt die beis
Seite 80 und 81: Inhaltselement Diagrammart SuB Port
Seite 82 und 83: 77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85: 5.1.5. Konsistenzregeln Für die in
Seite 86 und 87: 5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89: dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91: Diese Aufstellung zeigt, dass es si
Seite 92 und 93: 87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95: 6. Inkrementell-iterativer Erstellu
Seite 96 und 97: zen, wenn die Arbeitsschritte durch
Seite 98 und 99: 6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101: Von Nach Ausgetauschte Information
Seite 102 und 103: Ein solches Anforderungsprofil best
Seite 104 und 105: den könnte. Vielmehr soll diese ja
Seite 106 und 107: Letztendlich lässt sich keine eind
Seite 108 und 109:
103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111:
NoMagic in der Version 14.0 zum Ein
Seite 112 und 113:
Ideenskizzen, implizite Vorstellung
Seite 114 und 115:
bdd [Modell] Data[ Kontexktkommunik
Seite 116 und 117:
111 Abbildung 6.12.: Detaillierung
Seite 118 und 119:
vom BÜ die Anzeige des Befahrbarke
Seite 120 und 121:
bdd [Modell] Data[ Kontexktkommunik
Seite 122 und 123:
act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125:
Entwicklungsziel angestrebt werden,
Seite 126 und 127:
Als Ergebnis liefert der Subprozess
Seite 128 und 129:
diagramm dargestellte Soll-Kommunik
Seite 130 und 131:
Testfallgenerierung ein bei der man
Seite 132 und 133:
Seite 134 und 135:
Weiterhin wird im Beispielmodell an
Seite 136 und 137:
6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139:
schriebene Vorgehen an: • Zunäch
Seite 140 und 141:
die Szenariensicht ist: Letztere ze
Seite 142 und 143:
act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145:
Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147:
act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149:
nicht auszugehen. Die zusätzliche,
Seite 150 und 151:
7. Zusammenfassung, Ergebnisse und
Seite 152 und 153:
de ein iterativ-inkrementelles Vorg
Seite 154 und 155:
Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157:
[ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159:
[WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161:
dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163:
dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165:
dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167:
B. Metamodell-Aktivitätsdiagramme
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175:
act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177:
act [Aktivitaet] S5 Systemverhalten
Seite 178:
act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?