中科院需求工程 需求工程(第九讲)文档驱动的方法_

1、金芝中国科学院数学与系统科学研究院需求文档的重要性四变量模型SCR需求方法形式化SCR和表演算机制总结 工程师的职责之一：保证产品的适用性 要求和应用专家准确、细致地沟通 沟通必须以写下来的需求陈述为基础 用户和实现者能够阅读和分析 能够在产品开发完成后用于评估这个产品 能够用于评定产品完成后的关于产品缺陷的争论 没有文档，任何工程师做不到这一点 发现需求是一门艺术，文档化需求并验证它的完整性是一门学科 需求文档不表达如何开发产品,需求文档是关于将开发什么产品要做什么的描述 三个术语 描述：关于该产品的一些信息,可以不完整,但必须是真实的 规格说明：该产品需求属性的一个描述,软件产品的外部可见

2、的行为 模型：具有产品的部分属性，以及可能不属于产品的属性，维护完整性一致性，方便验证 可以描述已经存在的软件我们可以不用读代码就能够回答关于该软件的问题 可以描述还不存在的软件程序员和客户可以就需求达成一致意见 验证产品是否满足需求（测试和/或审查） 可以建立工具检查规格说明 可以建立工具模拟系统并检查系统 描述必须比代码容易理解 文档必须用一种不限制解决方案的方式陈述需求 测试和证明最终能够自动化 在计算机出现之前，工程师使用经典数学来描述和分析产品 在计算机科学中，大多数研究者发明新的“语言” 我们将软件作为产品来开发 我们为什么不能简单地用我们习惯的数学来建模？ 传统产品是无生命的东西

3、（X） 我们需要描述被程序遵循的过程（X） 功能不是连续的（） 在开始构建产品之前，决定要构建什么 在设计之前显式地说出是“什么决定”，而不是象设计中那样隐式地给出 确定你构建的是必需的 让用户在产品构建之前进行评判 为软件开发者提供有组织的参考文档 提供精确，一致的信息 关于约束的问题只涉及一次 让他们不用决定什么对用户来说是最好的 补偿他们对环境的知识的缺少 给他们足够的信息进行设计决策 让他们准确地估计需要的时间和资源 容许人员的更替 为质量保证组提供参考文档 测试设计不应该以来程序 授权的需要质量保证组和程序员可能不一致 说明实现相关的所有约束 知道你面临什么 为应付客户的变化提供某种

4、形式的保护 能够评判可行性和代价 说明未来修订的约束 硬件/软件系统的传统模型基于两个假设： 系统具有输入和输出 输出是输入的数学函数 其中，输入是系统的实际物理输入 数学函数可能很复杂并难以描述 难以得到应用专家的审查 在系统的外部，存在物理变量，一些是监视变量、一些是控制变量、一些两者都是 外部设备感应监视变量，决定计算机的输入，读取计算机输出，影响控制变量的值 系统需求说明在监视变量和控制变量之间希望存在的关系 领域专家根据监视变量和控制变量来审查需求，而不是根据输入和输出变量 软件需求使用输入和输出变量来描述影响系统行为的环境量由系统控制的环境量度量被监测的量设置被控制的量NAT：物理

5、世界的法则核系统环境引入的约束REQ：系统必须维护的被监视的量和被控制的量之间的其他约束IN：从被监视的量到输入数据项的映射OUT：从输出数据项到被控制的量的映射 整个系统：满足监视变量和控制变量之间的关系 输入设备：满足监视变量和输入变量之间的关系 输出设备：满足输出变量和控制变量之间的关系 软件系统：满足输入设备和输出设备之间的关系 识别监视变量：(mt1, mt2, , mtn) 识别控制变量：(ct1, ct2, , ctp)主要的监视变量是系统外的东西，它的值应该影响系统的输入，比如： 客户计量器的读数 蒸汽温度主要的控制变量是系统外的东西，它的值应该由系统来决定，比如： 操作者来计

6、算机屏幕上看到的东西 什么将出现在帐单上 NAT关系：mt ct mt：m在t时刻的取值 ct：c在t时刻的取值 (mt, ct) NAT 当且仅当ct描述的环境控制量是环境约束在mt描述的环境监视量下是允许的 REQ关系：mt ct mt：m在t时刻的取值 ct：c在t时刻的取值 (mt, ct) REQ 当且仅当ct描述的环境控制量是计算机系统在mt描述的环境监视量下是允许的关系满足的条件1. domain(REQ) domain(NAT)2. domain(REQNAT) = domain(REQ) domain(NAT)其中，（1）表示系统需求文档的完整性；（1）和（2）表示系统需求文

7、档的可行性 IN关系：mt it mt：m在t时刻的取值 it：c在t时刻的取值 (mt, it) IN 当且仅当在mt描述的环境监视量下输入设备正常工作时可能产生的值 OUT关系：ot ct ot：m在t时刻的取值 ct：c在t时刻的取值 (ot, ct) OUT 当且仅当输出设备正常工作时并输出ot描述的取值时可能的环境控制量的取值 软件需求由系统需求决定： REQ (mt, ct) IN (mt, it) OUT (ot, ct) NAT (mt, ct) 实际软件描述为 SOF (it, ot)： (it, ot) SOF 当且仅当ot描述的是软件在输出it描述的取值时可能的产生的输出

8、变量的取值 完整包含上述内容 验证REQ在NAT定义的条件下的满足系统可行性条件 一些其它简单检查 SOF中出现的输入变量都是IN中的输入变量 OUT中出现的输出变量都是SOF中的输出变量 IN中出现的监视变量都是REQ中的监视变量 OUT中出现的控制变量都是REQ中的控制变量 REQ和NAT中的变量相同 让软件是可接受的，SOF必须满足： mt it ot ct IN (mt, it) SOF (it, ot) OUT (ot, ct) NAT (mt, ct) REQ (mt, ct) 采用功能表述： mt mt domain(NAT) (REQ(mt) = OUT(SOF(IN(mt)

9、更简洁的表述： （NAT（INSOFOUT） REQ 定义“控制变量”的完整列表 定义“监测变量”的完整列表 对每个监测变量，说明其可能的取值集合（如果和时间相关，则定义为时间函数）。这个监测变量的取值集合是NAT的值域 对每个控制变量，将它的取值描述为监测变量的取值的函数 说明系统：“理想”系统的行为 假设能够获得被检测系统变量的精确值 假设能够计算出被控制系统变量的精确值 期望要保持的监测变量和控制变量之间的关系，用NAT和REQ表示 定义可允许的软件行为： 对软件系统行为的可容忍的程度，包括： 对度量被检测的属性值和计算被控制的属性值的时间延迟和精度要求，用IN和OUT表示 SCR：So

10、ftware Cost Reduction 提出：Heninger,K.L., 80年代初期 成功应用领域： A-7操作飞行程序 潜水艇通讯系统 加拿大Darlington核电站安全组件 Lockheeds C-130j操作飞行程序 基本表示法表表示法状态机 构造子一：模式类 定义在被监护变量上一个状态机 其中的状态称为系统模式 变迁由事件触发 构造子二：项 定义在输入变量，模式，或者其它项之上的辅助函数 是一个抽象概念，或者高层概念 引入的目的是为了减少冗余说明 构造子三：条件 定义某个事件点上的一个或多个系统实体上的谓词，比如：关系式等 其中，系统实体可以是输入/输出变量，模式或者项 刻画

11、系统某个特定可度量时期的某方面的性质 当一个条件的值从真变为假，或者从假变为真，就发生一个事件。从这个意义上说，条件主要用于刻画事件发生的时机 构造子四：事件 当系统的任何实体的值发生了变化，就有一个事件出现 SCR描述两类事件发生的时机：T（c）：当条件c变为真F（c）：当条件c变为假 由检测变量的变化引起的事件为检测事件 在特定条件下发生的事件为条件事件T（c）WHEN d：在条件d为真的情况下，当条件c变为真F（c）WHEN d：在条件d为真的情况下，当条件c变为假 基本需求： 负责打开和关闭安全注入阀。 需要监测水压，当水压低于阈值以下时，打开注入阀，向反应堆内核填加冷冻剂 系统操作员

12、可以用Block（或Reset）开关阻止安全注入（或恢复安全注入）Overridden：表示安全喷射被阻止三个被三个被监测量监测量每个感应器产每个感应器产生一个输入量生一个输入量被控制被控制的量的量两个模两个模式类式类重载重载三个系三个系统模式统模式 系统有两个模式类： “压力”模式 “重载”模式 模式类“压力”中有三个系统模式： 压力太低，WaterPress = Low 允许的范围，Low WaterPress = Permit 压力高， Permit WaterPress 模式变迁表：定义软件可以处于的模式（状态）及其模式变迁 一个系统将包含不同的模式类，每个模式类有一个模式表，展示引起

13、模式之间的变迁的条件 函数表示形式：模式 事件 模式当前模式事件下一模式TooLowT(WaterPress Low)PermittedPermittedT(WaterPress Permit)HighPermittedT(WaterPress Low)TooLowHighT(WaterPress ， v TY(r)复合条件：简单条件通过连接词组合而成连接词：，基本表示法T事件种类原始事件： T(r=v), rRF, vTY(r)监测事件： T(r=v), rIR, vTY(r)基本事件： T(c), c是一个简单条件简单条件事件： T(c) WHEN d, T(c)是一个基本事件，d是一个简

14、单条件或者复合条件条件事件：简单条件事件的和取或析取 简单事件 T(c) = c c 如果c = rv，则c = (rv) = rv 简单条件事件 T(c) WHEN d = c c dT(Block=On) WHEN Reset=OffBlockOn Block=On Reset=Off 一个系统为一个四元组： Em输入事件的集合 S可能的系统状态的集合 s0初始状态 T系统变换，为Em S到S上的一个部分函数，表示被允许的系统状态变迁 假设： 单输入假设：每次系统变迁正好只有一个监测事件出现 同步假设：系统在响应下一个监测事件之前，对当前的监测事件的响应必须全部完成 构造实体的新状态依赖集

15、 监测变量的新状态依赖集为空 由条件表定义的实体，其新状态依赖集包含所关联的模式类名，和出现在条件表中的所有实体名 由事件表或模式变迁表定义的实体，其新状态依赖集包含出现在表中作为一个基本事件的一部分的所有实体 新状态依赖集构成了RF上的一个偏序关系 条件表 描述从模式和条件到控制变量或项上的一个函数 函数表示形式：模式 条件 控制变量的取值 | 项的取值当前模式条件High, PermittedTrueFalseTooLowOverridden OverriddenSafetyInjectionOffOnSafetyInjection在新状态中依赖模式类Pressure和项Overridde

16、n 模式变迁表：定义软件可以处于的模式（状态）及其模式变迁 一个系统将包含不同的模式类，每个模式类有一个模式表，展示引起模式之间的变迁的条件 函数表示形式：模式 事件 模式当前模式事件下一模式TooLowT(WaterPress Low)PermittedPermittedT(WaterPress Permit)HighPermittedT(WaterPress Low)TooLowHighT(WaterPress Permit )Permitted模式类Pressure在新状态中依赖WaterPress 事件表 描述从模式和事件到控制变量或项的取值上的一个函数 函数表示形式：模式 事件 控制

17、变量的取值 | 项的取值当前模式 事件 HighFalseT(Inmode)TooLow, PermittedT(Block=On) WHEN Reset=Off T(Inmode) T(Reset=On) OverriddenTrue False Overridden在新状态中依赖模式类Pressure和监测变量Block和Reset 一种可能性： R = 当前模式条件High, Permitted TrueFalseTooLowOverridden OverriddenSafetyInjectionOffOn当前模式事件下一模式TooLowT(WaterPress Low)Permitte

18、dPermittedT(WaterPress Permit)HighPermittedT(WaterPress Low)TooLowHighT(WaterPress Permit )Permitted当前模式事件下一模式TooLowT(WaterPress Low)PermittedPermittedT(WaterPress Permit)HighPermittedT(WaterPress Low)TooLowHighT(WaterPress Permit )Permitted 合适的语法 类型正确性 变量和模式定义的完整性 初始值：模式类、输入变量、输出变量 可达性：模式类忠的每个模式都是初始模式静态可达的 互斥性：条件相互之间是互斥的 覆盖：条件表中的变量，其域中每点有定义 无循环性：实体依赖无循环 检验的方面包括 需求描述的良构性 语法：我们是否