软件工程课件 09关键系统规格说明文档资料.pptVIP

关键系统规格说明 Critical Systems Specification 关键系统规格说明 开发一个系统可获性，可靠性，安全性和保密性的规格说明的过程和技术 （Processes and techniques for developing a specification for system availability, reliability, safety and security） Objectives 说明如何通过分析关键系统所面临的风险来识别出系统的可信度需求。 说明如何从系统的风险分析中获得安全需求。 解释保密性需求的来历。 描述用作可靠性规格说明的测量尺度。 Topics covered 基于风险驱动的规格说明 安全性规格说明 保密性规格说明 软件可靠性规格说明 可信度需求 用功能需求来定义差错检查、恢复工具和对系统失效的防范措施。 用非功能需求来定义系统所需要的可获性和可靠性。 用排它需求来定义千万不能发生的状态和条件。 基于风险驱动的规格说明 关键系统的规格说明应该是由风险驱动的（ risk-driven ）。 该方法已经在安全和保密性至关重要的系统上广泛使用。 规格说明过程的目标应该在于了解系统所面临的风险以及说明降低这些风险的需要做的事情。 风险分析的步骤 风险识别（Risk identification） 识别出可能发生的潜在风险。 风险分析和分类（Risk analysis and classification） 评估每个风险的严重程度 风险分解（Risk decomposition） 找出风险的潜在根源 降低风险评估（Risk reduction assessment） 说明在系统设计阶段如何消除和降低每一个风险。 基于风险的规格说明 风险识别 识别出关键系统所面临的风险。 在安全性关键的系统中，风险就是那些能够导致意外的危险。 在保密性关键的系统中，风险就是那些对系统的潜在攻击。 在风险识别中，需要识别出风险的类型及风险在这些分类中的地位 服务失效； 电气上的风险； … 胰岛素泵的风险 胰岛素过量（服务失效）。 胰岛素剂量不足（服务失效）。 由于电池耗尽引起的电源故障（电气的） 与其它医疗设备的电气接口（电气的）。 传感器和致动器的接触很差（物理的）。 在体内的机器部件脱落（物理的）。 由于引入机器而导致感染（生物的）。 对原料或胰岛素的过敏反应（生物的）。 风险分析和分类 包含对发生一个风险的可能性以及对将要发生的一个意外或事故的潜在后果的理解 把风险分类为： 不可接受的（Intolerable）。必须不能让它发生或不能让它引起一个意外。 在实际许可下尽可能低的（ALARP）。在给定成本和进度的限制下，必须使风险的可能性降到最小。 可以接受的（Acceptable）。风险的后果是可以接受的，并且不需要付出额外的成本来降低危险的可能性。 风险级别 风险的社会接受度 一个风险的接受度是被社会和政治的因素所左右的。 在大多数社会而言，随着时间的推移，上面的三角形区域中的两条边界会逐渐向上靠，也就是说，社会越来越不愿意接收风险 例如，虽说清除污染的成本可能会小于预防成本，但这可能不为社会所接受。 风险评估是主观的 风险被认定为类似于“大概的”，“可能的”等等。这取决于由谁来进行评估。 风险评估 评估风险的可能性和严重程度。 通常不可能很精确，因此用一些相对值表达，例如“不太可能的”、“很少的”、“很高的”等等。 目标是排除那些最有可能发生的或者是后果严重的风险。 胰岛素泵的风险评估 风险分解（decomposition） 在一个特定的系统里，找出风险的主要原因（root causes） 技术大多来源于安全性关键的系统，并可以是： 归纳法（Inductive），自下而上的技术。从提出的一个系统失效开始，评估由该失效可能导致的危险。 演绎法（Deductive），自上而下的技术。以一个危险为起点，推断出可能引起它原因是什么。 失误-树（Fault-tree）分析 一种自上而下的演绎法技术。 把风险或危险放在树的根上，再找出可以导致该危险的系统状态。 在合适的地方加入‘and’ 或 ‘or’条件。 目标应该是使引起系统失效的单一原因（single causes）的数量降至最低。 胰岛素泵的失误-树 降低风险的评估 这个过程的目标是识别出可信度需求，即说明应该如何管理风险以及确保不会发生意外和事故。 降低风险的策略（strategies） 风险规避（Risk avoidance）； 风险检测与排除（Risk detection and removal）； 危害限制（Damage limitation）。 策略应用（Strategy use） 通常在关键系统上要综合使用降低风险的策略。 在一个化工厂的控制