Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

5.1.4.5. Subsystem-Struktur/Whitebox-Sicht Gemeinsam war den in den vorherigen Kapiteln vorgestellten Sichten eine Blackbox-Perspektive auf das SuB, das als monolithischer Block ohne Angaben zu dessen innerer Struktur betrachtet wurde. In diesem Abschnitt wird nun die Sicht auf die Interna der Blackbox beschrieben. Diese interne Sicht auf die einzelnen Komponenten des SuB dient gleichzeitig als Schnittstelle zur Modellierung der nächst tieferen Detaillierungsebene entsprechend dem in Abschnitt 5.1.3.1 beschriebenen Gliederungskonzept. Die Subsystemsicht ist daher zur Umsetzung des Ebenenkonzepts zwingend nötig. 5.1.4.5.1. Begriffsdefinitionen Folgt man den Grundsätzen einer rein funktionalen Spezifikation, ist eine ausschließliche Blackbox-Darstellung der Systemanforderungen ausreichend, da die Whitebox-Spezifikation eine Aufgabe des Herstellers ist. Prinzipiell ist dieser Gedanke nachvollziehbar, weil so die Menge der möglichen Lösungen für das in der Anforderungsspezifikation beschriebene Problem nicht unnötig eingeschränkt wird. Auch hat jeder Hersteller damit die Freiheit, eine an seine Produkt- und Entwicklungsstrategie angepasste Systemarchitektur zu entwickeln - der nicht spezifizierte Leerraum kann mit eigenen Ideen und Konzepten ausgefüllt werden. Wenn dieses Paradigma auch bei der Software-Entwicklung durchaus sinnvoll ist, ist es bei der Anforderungsspezifikation von komplexen Systemen aus nachfolgend aufgeführten Gründen nicht immer zielführend. Bei der Entwicklung von Software ist aus Auftraggeber-Sicht die Funktionalität die wesentliche Eigenschaft. Die Bedeutung der Architektur der Software tritt hinter die funktionalen Eigenschaften zurück, da an die einzelnen, internen Software-Komponenten meist keine Kundenanforderungen gestellt werden. Zudem benötigt Software im Gegensatz zu Hardware per se keine physische Struktur, verschleißt nicht und bedarf keiner regelmäßigen Wartung zur Erhaltung der Verfügbarkeit 4 . Anders ist dies bei heterogenen Systemen. Insbesondere wenn mechanische, verschleißbehaftete Bauteile wie Relais, Schalter, Motoren, Leuchtmittel oder ähnliches eingesetzt werden, kann es sinnvoll sein, auch die Systemarchitektur in der Anforderungsspezifikation zu beschreiben. Hat sich beispielsweise eine bestimmte Aufteilung der logischen Systemfunktionen auf eine physische Systemstruktur bewährt, kann es sinnvoll für den Kunden sein, diese bei Neuanschaffungen in der Systemanforderungsspezifikation vorzugeben 5 . Ähnliches gilt auch für die Bevorratung von Ersatzteilen und die gesamte Instandhaltungslogistik. Hier liegt das Einsparpotenzial in der Verwendung von bestimmten Komponenten, die schon in großer Stückzahl an anderer Stelle beim Betreiber verwendet werden. Das Anforderungsmodell muss somit auch eine Möglichkeit zur Spezifikation der internen Architektur des SuB vorsehen. Diese Whitebox-Sicht auf das SuB muss dabei die folgenden Anforderungen erfüllen: • Definition von Subsystemkomponenten innerhalb des SuB • Darstellung der Subsystemarchitektur innerhalb des SuB Die Subsysteme bilden weiterhin die Menge an Artefakten, auf die das in der Blackbox-Sicht modellierte Verhalten zugeteilt werden kann. Dieser Vorgang wird in Abschnitt 5.1.4.4.6 beschrieben. 4 Davon ausgenommen sind Änderungen an der Software zur Beseitigung von Fehlern und von Sicherheitslücken 5 Für eine Grubenbahn in stark staubiger Umgebung kann es beispielsweise sinnvoll sein, möglichst viele Komponenten der Leit- und Sicherungstechnik an einer zentralen, abgeschotteten Stelle zu konzentrieren, um übermäßiger Verschmutzung vorzubeugen. In anderen Fällen mag hingegen eine möglichst verteilte Systemarchitektur sinnvoll sein. 71
5.1.4.5.2. Modellierung der Subsystemsicht mit der SysML Die Subsystemsicht besteht aus zwei wesentlichen Elementen: Der Definition der Subsystemkomponenten und der Zusammenstellung dieser Komponenten zu einer Subsystemarchitektur. Die Definition der Subsystemkomponenten erfolgt dabei auf Blockebene, was bedeutet, dass diese zunächst als generische Komponenten ohne Betrachtung ihrer spezifischen Verwendung in einem System modelliert werden. Die konkrete Rolle, die eine Subsystemkomponente im betrachteten Teilsystemkontext übernimmt, wird dann in der Systemarchitektursicht festgelegt. Verfügt eine Bahnübergangssicherungsanlage beispielsweise über zwei Radsensoren, die als Einschaltbzw. Ausschaltkontakt verwendet werden, so ist die abzubildende Subsystemkomponente der Radsensor. Einschalt- und Ausschaltkontakt sind die konkreten Verwendungen dieser Komponente in einem speziellen Systemkontext 6 . Geeignetes SysML-Sprachelement für die Subsystemkomponenten sind Blöcke, die mit dem Stereotyp Subsystem gekennzeichnet werden. Um zu zeigen, dass sich die Subsystemkomponenten in der Gliederungshierarchie unterhalb des jeweils zugehörigen SuB befinden, sollten sie als dessen innere Elemente modelliert werden. Die Zusammenstellung der so definierten Subsystemkomponenten zur Subsystemarchitektur erfolgt über internal block diagrams (interne Blockdiagramme). Diese stellen die SysML-Variante der aus der UML bekannten composite structure diagrams (Kompositionsstrukturdiagramme) dar und dienen einem ähnlichen Zweck, der in der UML-Spezifikation folgendermaßen definiert ist: „A composite structure diagram depicts the internal structure of a classifier, as well as the use of a collaboration in a collaboration use.” [OMG07-2, S. 191] Insbesondere der erste Teil dieser Spezifikation entspricht der im Folgenden beschriebenen Nutzung der internen Blockdiagramme. Über die Forderungen der UML hinausgehend, erzwingt die SysML-Spezifikation eine strengere Zuordnung eines internen Blockdiagramms zum übergeordneten Block. So heisst es in [OMG07-1, S. 40]: „The diagram heading name for an internal block diagram [. . . ] must identify the name of a SysML block as its modelElementName. [. . . ] All the properties and connectors that appear inside the internal block diagram belong to the block that is named in the diagram heading name.” Im Anforderungsmodell wird diese Vorgabe durch die Modellierung des internen Blockdiagramms als inneres Element des SuB umgesetzt, wodurch alle im internen Blockdiagramm hinzugefügten Strukturen automatisch auch Teil des übergeordneten SuB sind. Das SuB selbst wird im internen Blockdiagramm durch den Diagrammrahmen repräsentiert. Alle Ports des SuB werden durch Portsymbole auf der Rahmenlinie dargestellt. Als Konsistenzbedingung (formale Definition in 5.1.5) muss gelten, dass alle Ports, die in der Systemabgrenzungssicht modelliert wurden, auch in der Subsystemsicht enthalten sind. In Bild 5.21 sind beispielsweise die Ports „p_Schrankenanlage” und „p_LZA” Beispiele für die Ports des SuB, die in der Subsystemsicht dargestellt werden. Die einzelnen Subsysteme werden durch parts (Teile) abgebildet, die eine spezifische Nutzung einer Subsystemkomponente darstellen. Teile sind deren Instanzen und entsprechen somit den Objekten im Kompositionsstruktur-Diagramm der UML. Konkret erfolgt die Instanziierung durch die Typ-Zuweisung einer der definierten Subsystemkomponenten zum jeweiligen Teil. Im obigen Beispiel des Bahnüberganges existieren im internen Blockdiagramm beispielsweise die Teile „Einschaltkontakt” und „Ausschaltkontakt”, beide vom Typ „Radsensor”. Teile können über Multiplizitäten verfügen, die angeben, wie oft ein bestimmtes Teil im konkreten Subsystementwurf 6 Der Radsensor könnte in einem anderen Kontext beispielsweise auch als Achszählpunkt verwendet werden 72
Seite 1:
Modellbasierte Anforderungsspezifik
Seite 4 und 5:
5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7:
1. Abstract In common with other te
Seite 8 und 9:
2. Einleitung Wie in anderen techni
Seite 10 und 11:
5 % der späteren Fehler aufgedeckt
Seite 12 und 13:
3. Bestandsaufnahme und Identifikat
Seite 14 und 15:
dest |−> q, adr |−> msg.adr] :
Seite 16 und 17:
Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19:
und Testmodell und erweitert somit
Seite 20 und 21:
für LST-Modulverträge für die De
Seite 22 und 23:
Im Kontext des BMW-Prinzips lässt
Seite 24 und 25:
• Die zweite Unterklasse umfasst
Seite 26 und 27: Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29: Insgesamt ergibt sich somit die in
Seite 30 und 31: Abbildung 5.1.: Einordnung des funk
Seite 32 und 33: 5.1.1.3. Objektorientierung im Eise
Seite 34 und 35: • Eignung für das Systems Engine
Seite 36 und 37: 5.1.2. Metamodell und Subset der Sy
Seite 38 und 39: Für die Anzahl der Ebenen gibt es
Seite 40 und 41: Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43: (a) Das funktionale Konzept betrach
Seite 44 und 45: bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47: dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49: • die Folgen von Gefährdungen zu
Seite 50 und 51: uc [view] Systemfunktionssicht [ Te
Seite 52 und 53: dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55: Im Rahmen des Anforderungsmodells k
Seite 56 und 57: Inhaltselement SysML-Sprachelement
Seite 58 und 59: 5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61: hat beispielsweise Arabestani in [A
Seite 62 und 63: Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65: wird - sofern möglich - eben diese
Seite 66 und 67: act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69: • Kontinuierliche Übertragung vo
Seite 70 und 71: in einer Aktionssprache an den Kont
Seite 72 und 73: der Subsystemarchitektur (siehe 5.1
Seite 74 und 75: Verhaltensmuster Senden von Signale
Seite 78 und 79: enthalten ist. So verfügt die beis
Seite 80 und 81: Inhaltselement Diagrammart SuB Port
Seite 82 und 83: 77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85: 5.1.5. Konsistenzregeln Für die in
Seite 86 und 87: 5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89: dd [Paket] Konsistenzen [ Allokatio
Seite 90 und 91: Diese Aufstellung zeigt, dass es si
Seite 92 und 93: 87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95: 6. Inkrementell-iterativer Erstellu
Seite 96 und 97: zen, wenn die Arbeitsschritte durch
Seite 98 und 99: 6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101: Von Nach Ausgetauschte Information
Seite 102 und 103: Ein solches Anforderungsprofil best
Seite 104 und 105: den könnte. Vielmehr soll diese ja
Seite 106 und 107: Letztendlich lässt sich keine eind
Seite 108 und 109: 103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111: NoMagic in der Version 14.0 zum Ein
Seite 112 und 113: Ideenskizzen, implizite Vorstellung
Seite 116 und 117: 111 Abbildung 6.12.: Detaillierung
Seite 118 und 119: vom BÜ die Anzeige des Befahrbarke
Seite 122 und 123: act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125: Entwicklungsziel angestrebt werden,
Seite 126 und 127:
Als Ergebnis liefert der Subprozess
Seite 128 und 129:
diagramm dargestellte Soll-Kommunik
Seite 130 und 131:
Testfallgenerierung ein bei der man
Seite 132 und 133:
act [Aktivitaet] P3 Spezifikation S
Seite 134 und 135:
Weiterhin wird im Beispielmodell an
Seite 136 und 137:
6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139:
schriebene Vorgehen an: • Zunäch
Seite 140 und 141:
die Szenariensicht ist: Letztere ze
Seite 142 und 143:
act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145:
Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147:
act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149:
nicht auszugehen. Die zusätzliche,
Seite 150 und 151:
7. Zusammenfassung, Ergebnisse und
Seite 152 und 153:
de ein iterativ-inkrementelles Vorg
Seite 154 und 155:
Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157:
[ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159:
[WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161:
dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163:
dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165:
dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167:
B. Metamodell-Aktivitätsdiagramme
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175:
act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177:
act [Aktivitaet] S5 Systemverhalten
Seite 178:
act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?