Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Weitere Magazine

Empfehlungen

Info

Diese Aufstellung zeigt, dass es sich dabei üblicherweise um Informationen handelt (mitunter nur um einzelne Zahlenwerte), die sich inhaltlich nur schwierig durch eine modellbasierte Sprache wie die SysML ausdrücken lassen. Vielmehr scheint dazu die Nutzung kurzer Textfragmente sinnvoll, zumal die in Abschnitt 3.1 aufgeführten Mängel der natürlichen Sprache wegen der geringen Komplexität kaum zu Tage treten. Allerdings muss es möglich sein, die nicht-funktionalen Anforderungen (beispielsweise Angaben zu THRs oder Umgebungsbedingungen) einzelnen Elementen des funktionalen Modells zuzuordnen, beispielsweise einem Subsystem oder einer Systemfunktion. Daher muss eine Methode gefunden werden, die nicht-funktionalen Anforderungen zwar inhaltlich textlich abzubilden, sie aber dennoch mit den Mitteln der SysML an eine Entität des funktionalen Modells anzukoppeln und in das funktionale Modell zu integrieren. 5.2.2. Externe Dokumente Eine ähnliche Problemstellung wie für die nicht-funktionalen Anforderungen ergibt sich für die Nachverfolgbarkeit von Anforderungen, die in externen Dokumenten 7 enthalten sind. Im Eisenbahnwesen, aber auch in vielen anderen Fachdomänen, existieren für die Entwicklung sicherheitskritischer Systeme zahlreiche Randbedingungen in Form von Normen, Gesetzen und Verordnungen sowie unternehmensinternen Richtlinien. Ein durch das Anforderungsmodell beschriebenes System muss diesen Randbedingungen genügen, was gegenüber der zulassenden Stelle (beispielsweise dem Eisenbahnbundesamt) nachgewiesen werden muss. Die oben genannten Randbedingungen liegen dabei meist in Form natürlich-sprachlicher Dokumente vor und bilden eine Ebene externer, unbeeinflussbarer Anforderungen. Das Anforderungsmodell muss Mechanismen aufweisen, durch die die Erfüllung der in Textform beschriebenen Randbedingungen dargestellt werden kann. Weiterhin existieren oftmals schon vor Beginn der eigentlichen Modellierung informelle Sammlungen von Informationen, deren Nachverfolgbarkeit und korrekte Umsetzung ebenfalls nachgewiesen werden muss. Wie in Abschnitt beschrieben wird, lassen sich auch diese Informationen wie die oben genannten externe Dokumente behandeln. Bei beiden Arten von externen Dokumenten zeigen sich deutliche Analogien zu den in Abschnitt 5.2.1 beschriebenen nicht-funktionalen Anforderungen: Diese Informationsmengen können inhaltlich nicht sinnvoll durch die SysML abgebildet werden, weisen aber dennoch Beziehungen zum funktionalen Modell auf. Unterschiedlich ist nur die Herkunft der Informationen: Während die nicht-funktionalen Anforderungen und die Informationen aus dem Modellierungsvorlauf durch den Ersteller der Anforderungsspezifikation beeinflusst werden können, sind die Inhalte externer Dokumente meist unveränderbar. Prinzipiell ist die Berücksichtigung externer Anforderungen nur ein Spezialfall der nicht-funktionalen Anforderungen. Im folgenden Abschnitt soll daher ein Konzept vorgestellt werden, wie nicht-funktionale Anforderungen und Fragmente externer Dokumente mit dem funktionalen Modell verknüpft werden können. Die gewählte Lösung soll sich dabei gut in das funktionale Modell integrieren. Diese Integration soll dabei so weitreichend sein, dass der Ersteller der Anforderungsspezifikation einem Auftragnehmer lediglich das funktionale Modell übergeben muss, um sowohl alle funktionalen, als auch alle nicht-funktionalen Anforderungen abzudecken. Dies bedeutet, dass die text-basierten Informationen ins funktionale Modell gespiegelt werden müssen, auch wenn sie außerhalb des Modells verwaltet werden. Beschrieben wird im folgenden Kapitel ein grobes Konzept. Die tatsächliche Umsetzung und technische Ausgestaltung dieses Konzeptes kann dann Gegenstand weiterführender Arbeiten sein. 7 Gemeint sind damit Dokumente, deren Inhalt nicht im Verantwortungsbreich des Erstellers der Anforderungsspezifikation liegt 85
5.2.3. Konzept zur Einbindung textbasierter Informationen Die SysML sieht spezielle Konstrukte vor, um textliche Anforderungen darzustellen: Das requirement-Artefakt dient zur Einbindung einzelner textlicher Spezifikationen und Anforderungen, verschiedene Arten von Beziehungen ermöglichen Relationen zwischen Anforderungen und Modellelementen. Die Verwendung dieser Konstrukte setzt allerdings voraus, dass alle textlichen Anforderungen direkt im jeweiligen SysML-Modell verwaltet werden. Nachteilig ist dabei, dass die Requirements in der SysML durch stereotypisierte Klassen abgebildet [OMG07-1, S. 141] werden, innerhalb der die Anforderungen durch mehrere Freitextfelder natürlich-sprachlich definiert werden. Das Klassensymbol agiert dabei weitgehend nur als Hülle für den Text. Diese Darstellung wird jedoch bereits bei einer geringen Zahl an Requirements unübersichtlich, und häufige Änderungen sind nur unkomfortabel durchzuführen. Die Verwaltung der Anforderungen in einem dedizierten Requirements-Management-Werkzeug und damit der Verzicht auf die Integration der textlichen Anforderungen in das funktionale Modell hätte jedoch den Nachteil, dass eine direkte Verknüpfung von textlichen Requirements und Elementen des funktionalen Modells nicht mehr möglich ist und zudem vertragsrelevante Informationen durch verschiedene Datenquellen repräsentiert werden. Anzustreben ist daher ein hybrides Konzept, bei dem die nicht-funktionalen Anforderungen zwar durch SysML-Requirements-Artefakte abgebildet werden, die Verwaltung des textlichen Inhalts jedoch außerhalb des Modells geschieht. Dies ermöglicht die Verwendung eines besser geeigneten Werkzeugs für diese Aufgabe, wie beispielsweise IBM/telelogic DOORS. So kann der Vorteil der Integration von funktionalen und nicht-funktionalen Anforderungen ausgenutzt werden, ohne die Nachteile einer geringeren Übersichtlichkeit in Kauf nehmen zu müssen. Dieses Vorgehen erfordert jedoch eine geeignete Synchronisierung zwischen den textlichen Anforderungen außerhalb und innerhalb des funktionalen Modells. Jede externe Änderung der Anforderungen muss dabei unmittelbar in die Menge der Requirements im funktionalen Modell übernommen werden. Die beschriebene mögliche Umsetzung dieser Idee ist in Abbildung 5.29 dargestellt. Zu erkennen sind in der Abbildung die folgenden Elemente: • Auf der linken Seite ist ein Dokument mit einzelnen, natürlich-sprachlichen Anforderungen dargestellt, die durch unterschiedliche Farben hervorgehoben sind. Diese textlichen Informationen werden außerhalb des funktionalen Modells verwaltet. Dazu gehört auch, dass Beziehungen zwischen einzelnen Textfragmenten definiert und Passagen der Ursprungsdokumente (z.B. Konzernrichtlinien der DB AG) aufgegliedert werden können, wenn sie mehr als eine atomare Anforderung enthalten. Die grün, orange und lila dargestellten Passagen stehen dabei für Anforderungen in externen Dokumenten, die blau symbolisierten Textabschnitte für nicht-funktionale Anforderungen, die vom Modellierer selbst festgelegt wurden. • Durch eine geeignete technische Umsetzung werden aus den textlichen Informationen automatisiert SysML-Requirements erstellt, die dann in das funktionale Modell eingebunden werden. Dabei werden die Verknüpfungen zwischen den einzelnen Textfragmenten in entsprechende SysML-Beziehungen umgesetzt. Diese Konstrukte sind in dem mittleren Requirements-Diagramm dargestellt. • Zwischen den SysML-Requirements und den Elementen des funktionalen Modells können dann ebenfalls Beziehungen modelliert werden, beispielsweise um die Nachverfolgbarkeit externer Anforderungen oder die Zuordnung bestimmter nicht-funktionaler Anforderungen zu Modellbestandteilen darzustellen. Beispielhafte Verknüpfungen sind zwischen den 86
Seite 1:
Modellbasierte Anforderungsspezifik
Seite 4 und 5:
5.1.5.2. Konsistenz der Akteure . .
Seite 6 und 7:
1. Abstract In common with other te
Seite 8 und 9:
2. Einleitung Wie in anderen techni
Seite 10 und 11:
5 % der späteren Fehler aufgedeckt
Seite 12 und 13:
3. Bestandsaufnahme und Identifikat
Seite 14 und 15:
dest |−> q, adr |−> msg.adr] :
Seite 16 und 17:
Abbildung 3.1.: Das Verhältnis von
Seite 18 und 19:
und Testmodell und erweitert somit
Seite 20 und 21:
für LST-Modulverträge für die De
Seite 22 und 23:
Im Kontext des BMW-Prinzips lässt
Seite 24 und 25:
• Die zweite Unterklasse umfasst
Seite 26 und 27:
Abbildung 4.1.: Herunterbrechen der
Seite 28 und 29:
Insgesamt ergibt sich somit die in
Seite 30 und 31:
Abbildung 5.1.: Einordnung des funk
Seite 32 und 33:
5.1.1.3. Objektorientierung im Eise
Seite 34 und 35:
• Eignung für das Systems Engine
Seite 36 und 37:
5.1.2. Metamodell und Subset der Sy
Seite 38 und 39:
Für die Anzahl der Ebenen gibt es
Seite 40 und 41: Modell_Ebene_Teilmodell_Sichten pac
Seite 42 und 43: (a) Das funktionale Konzept betrach
Seite 44 und 45: bdd [Modell] Data[ Kontexktkommunik
Seite 46 und 47: dd [Modell] Data[ Systemabgrenzungs
Seite 48 und 49: • die Folgen von Gefährdungen zu
Seite 50 und 51: uc [view] Systemfunktionssicht [ Te
Seite 52 und 53: dd [Modell] Data[ Systemfunktionssi
Seite 54 und 55: Im Rahmen des Anforderungsmodells k
Seite 56 und 57: Inhaltselement SysML-Sprachelement
Seite 58 und 59: 5.1.4.4. Systemverhaltenssicht Mit
Seite 60 und 61: hat beispielsweise Arabestani in [A
Seite 62 und 63: Abbildung 5.11.: Einordnung des Sys
Seite 64 und 65: wird - sofern möglich - eben diese
Seite 66 und 67: act [Aktivitaet] Druckluft erzeugen
Seite 68 und 69: • Kontinuierliche Übertragung vo
Seite 70 und 71: in einer Aktionssprache an den Kont
Seite 72 und 73: der Subsystemarchitektur (siehe 5.1
Seite 74 und 75: Verhaltensmuster Senden von Signale
Seite 76 und 77: 5.1.4.5. Subsystem-Struktur/Whitebo
Seite 78 und 79: enthalten ist. So verfügt die beis
Seite 80 und 81: Inhaltselement Diagrammart SuB Port
Seite 82 und 83: 77 Abbildung 5.22.: Beispielhafte E
Seite 84 und 85: 5.1.5. Konsistenzregeln Für die in
Seite 86 und 87: 5.1.5.2. Konsistenz der Akteure Die
Seite 88 und 89: dd [Paket] Konsistenzen [ Allokatio
Seite 92 und 93: 87 Abbildung 5.29.: Prinzip der Ver
Seite 94 und 95: 6. Inkrementell-iterativer Erstellu
Seite 96 und 97: zen, wenn die Arbeitsschritte durch
Seite 98 und 99: 6.1.3. Einordnung in den Gesamtlebe
Seite 100 und 101: Von Nach Ausgetauschte Information
Seite 102 und 103: Ein solches Anforderungsprofil best
Seite 104 und 105: den könnte. Vielmehr soll diese ja
Seite 106 und 107: Letztendlich lässt sich keine eind
Seite 108 und 109: 103 Abbildung 6.7.: Rekursive Anwen
Seite 110 und 111: NoMagic in der Version 14.0 zum Ein
Seite 112 und 113: Ideenskizzen, implizite Vorstellung
Seite 116 und 117: 111 Abbildung 6.12.: Detaillierung
Seite 118 und 119: vom BÜ die Anzeige des Befahrbarke
Seite 122 und 123: act [Aktivitaet] P2 Spezifikation S
Seite 124 und 125: Entwicklungsziel angestrebt werden,
Seite 126 und 127: Als Ergebnis liefert der Subprozess
Seite 128 und 129: diagramm dargestellte Soll-Kommunik
Seite 130 und 131: Testfallgenerierung ein bei der man
Seite 132 und 133: act [Aktivitaet] P3 Spezifikation S
Seite 134 und 135: Weiterhin wird im Beispielmodell an
Seite 136 und 137: 6.4.2. S2 - Systemfunktionssicht be
Seite 138 und 139: schriebene Vorgehen an: • Zunäch
Seite 140 und 141:
die Szenariensicht ist: Letztere ze
Seite 142 und 143:
act [Aktivitaet] S5 Systemverhalten
Seite 144 und 145:
Abbildung 6.24.: Automatisierter Ve
Seite 146 und 147:
act [Aktivitaet] S7 Subsystemsicht
Seite 148 und 149:
nicht auszugehen. Die zusätzliche,
Seite 150 und 151:
7. Zusammenfassung, Ergebnisse und
Seite 152 und 153:
de ein iterativ-inkrementelles Vorg
Seite 154 und 155:
Literaturverzeichnis [ALE02] ALEXAN
Seite 156 und 157:
[ISO19005] Norm ISO 19005-1. Docume
Seite 158 und 159:
[WES00] WEISSTEIN, Eric W.: Determi
Seite 160 und 161:
dd [Modell] Data[ Systemabgrenzungs
Seite 162 und 163:
dd [Modell] Data[ Szenariensicht ]
Seite 164 und 165:
dd [Modell] Data[ Subsystemsicht ]
Seite 166 und 167:
B. Metamodell-Aktivitätsdiagramme
Seite 168 und 169:
act [Aktivitaet] P1 Spezifikation S
Seite 170 und 171:
act [Aktivitaet] P3 Spezifikation S
Seite 172 und 173:
act [Aktivitaet] S1 Systemabgrenzun
Seite 174 und 175:
act [Aktivitaet] S3 Szenariensicht
Seite 176 und 177:
act [Aktivitaet] S5 Systemverhalten
Seite 178:
act [Aktivitaet] S8 Nicht-funktiona
Alle anzeigen

Modellbasierte Anforderungsspezifikation sicherheitskritischer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?