Anforderungen und Spezifikationen Terminologie

LITERATUR 

Anforderungen und Spezifikationen 

1 

Michael Jackson. Problems and requirements. In Proceedings of the IEEE 

Second International Symposium on Requirements Engineering. ACM 

Press, 1995. 

Michael Jackson und Pamela Zave. Deriving specifications from 

requirements: an example. In Proceedings 17th Int. Conf. on Software 

Engineering, Seattle, USA, S. 15–24. ACM Press, 1995. 

Pamela Zave und Michael Jackson. Four dark corners of requirements 

engineering. ACM Transactions on Software Engineering and 

Methodology, 6(1):1–30, January 1997. 

Erhältlich unter http://www.research.att.com/˜pamela/ori.html#fre 

3 

INHALT 

➠ Terminologie 

Was ist der Unterschied zwischen Anforderungen und Spezifikationen? 

Was ist eine Maschine? 

Wozu braucht man Begriffsbestimmungen? 

➠ Korrektheitskriterien für Spezifikationen 

Wie ist die Maschine zu bauen, damit die Anforderungen erfüllt werden? 

➠ Vorgehen bei der Anforderungsermittlung 

Methode, bestehend aus wohldefinierten Schritten 

➠ Beispiel: Ableitung von Spezifikationen aus Anforderungen 

Wir gehen in den Zoo 

2 

Terminologie 

4

Ziel: Konstruktion eines Systems mit vorgegebenen Eigenschaften. 

Beispiel: Ein Fahrstuhlsystem soll es Personen in einem Gebäude 

ermöglichen, von einem Stockwerk in ein anderes zu gelangen. 

Bestandteile des Systems: 

Umgebung: Für Problemstellung relevanter Teil der “realen Welt” 

Beispiel: Stockwerke, Personen, Fahrstuhlkabine, Türen, Antrieb, 

Knöpfe, Sensoren, ... 

Maschine: Steuersoftware und zugehörige Hardware 

Klar: Eigenschaften der Umgebung fest. Wir müssen die Maschine bauen, um 

die gewünschten Eigenschaften des Systems zu erreichen. 

➠ Bekannt: 

(1) Feste Eigenschaften der Umgebung (Domänenwissen) 

(2) Gewünschte Eigenschaften des Systems (Anforderungen) 

➠ Klar: Maschine muss “Lücke” zwischen (1) und (2) schließen 

➠ Gesucht: Spezifikation für die Maschine 

“Wie muss sich die Maschine verhalten, damit das System die 

Anforderungen erfüllt?” 

5 

7 

Zustand und Verhalten der Umgebung können durch Phänomene beschrieben 

werden. Beispiele: 

Fahrstuhl 

Person drückt Knopf, erwartet, dass Fahrstuhl kommt. 

Bank 

Kunde gibt Auszahlungsanweisung, erhofft eine Auszahlung. 

Maschine kann mit Umgebung interagieren, indem sie bestimmte Phänomene 

wahrnehmen kann (Eingabe) 

auslösen kann (Ausgabe) 

6 

Merke: 

Anforderungen beschreiben die Umgebung, wie sie 

sein soll, wenn die Maschine in sie integriert ist. 

8

FUNKTIONALE VS. NICHTFUNKTIONALE ANFORDERUNGEN 

➠ Funktionale Anforderungen: sagen aus, wie das System sich verhalten soll 

➠ Nichtfunktionale Anforderungen: betreffen Qualitätsmerkmale wie z.B. 

Effizienz oder Benutzerfreundlichkeit 

Erfüllung der funktionalen Anforderungen 

Erfüllung der nichtfunktionalen Anforderungen 

¡ 

¡ 

Korrektheit 

Entscheidungen über Erfüllung nichtfunktionaler Anforderungen bedürfen der 

Definition gesonderter Kriterien! 

Im Folgenden: nur funktionale Anforderungen 

DEFINITIONEN 

9 

??? 

➠ erweitern das vorhandene Vokabular, nicht aber seine Aussagekraft 

➠ definierter Begriff kann überall durch seine Definition ersetzt werden 

➠ können unsinnig oder nutzlos, nicht aber falsch sein 

Beispiel: 

student¥ s§ 

¡ 

¤ 

£ 

vl 

Vorlesung 

11 

eingeschrieben¥ s¦ vl§ 

BEGRIFFSBESTIMMUNGEN (DESIGNATIONS) 

➠ Systembeschreibungen benötigen Begriffsbestimmungen als 

Basisvokabular 

➠ Für jede Begriffsbestimmung gibt es 

(1) einen Namen 

(2) eine (ausführliche) Erklärung 

Bsp.: Ein Student ist jemand, der an einer Hochschule eingeschrieben ist. 

➠ Mit Begriffsbestimmungen können Aussagen gebildet werden, z.B. 

¢ 

s£ 

Student 

¤ 

£ 

vl 

Vorlesung 

eingeschrieben¥ s¦ vl§ 

Merke: Aussagen zeichnen sich dadurch aus, dass sie wahr 

oder falsch sein können. 

ARTEN VON AUSSAGEN 

10 

Indikative Aussagen beschreiben die Umgebung unabhängig davon, wie die 

Maschine gebaut wird. 

Anderer Begriff: Domänenwissen. 

Beispiel: Eine Tür kann nicht gleichzeitig offen und geschlossen sein. 

Optative Aussagen beschreiben die Umgebung, wie wir sie gerne hätten, 

nachdem die Maschine in sie integriert ist. 

Beispiel: Wenn der Knopf gedrückt wurde, hält der Aufzug irgendwann am 

zugehörigen Stockwerk. 

Anforderungen sind also optative Aussagen. 

12

Annahmen beschreiben Voraussetzungen, die gemacht werden müssen, 

damit die Anforderungen erfüllbar werden. 

Bsp.: Wenn der Fahrstuhl an meinem Stockwerk ankommt, steige ich ein. 

(Diese Annahme braucht man, um die Anforderung zu erfüllen, dass der 

Fahrstuhl alle wartenden Personen an ihr Ziel befördern soll.) 

Die Grundbausteine für alle Arten von Aussagen: 

“begriffsbestimmte” Konzepte 

definierte Begriffe 

KATEGORIEN VON AKTIONEN 

1. von der Umgebung kontrolliert, von der Maschine nicht wahrnehmbar 

Beispiel: Warten vor dem Aufzug 

2. von der Umgebung kontrolliert, von der Maschine wahrnehmbar 

Beispiel: Knopf im Aufzug drücken 

3. von der Maschine kontrolliert, von der Umgebung wahrnehmbar 

Beispiel: Tür des Aufzuges schließen 

Es gibt keine Kategorie “von der Maschine kontrolliert, von der Umgebung 

nicht wahrnehmbar”, da interne Phänomene der Maschine nicht zu den 

Anforderungen gehören. 

13 

15 

AKTIONEN/EREIGNISSE/OPERATIONEN 

➠ sind Phänomene, die in der Umgebung vorkommen 

➠ wichtig, um Aussagen auszudrücken 

➠ können von der Umgebung bzw. der Maschine kontrolliert bzw. 

wahrgenommen werden 

Beispiele: 

Warten vor dem Aufzug 

Knopf im Aufzug drücken 

Tür des Aufzuges schließen 

14 

Anforderungen vs. Spezifikationen 

16

SPEZIFIKATIONEN 

➠ sind Beschreibungen, die ausreichen, um die Maschine zu bauen 

➠ sind implementierbare Anforderungen 

➠ Korrektheitsbedingung: Wenn die Maschine die Spezifikation erfüllt, 

erfüllt das System die Anforderungen. 

ZUSAMMENFASSUNG DER TERMINOLOGIE 

Sie sollten folgende Begriffe gelernt haben: 

Maschine 

Umgebung 

Begriffsbestimmung 

Definition 

17 

19 

indikative Aussage 

optative Aussage 

Annahme 

Aktion/Ereignis/Operation 

Anforderung 

Spezifikation 

ANFORDERUNGEN SIND nicht IMPLEMENTIERBAR, WENN SIE 

➠ Aktionen einschränken, die von der Umgebung kontrolliert werden. 

Beispiel: Der Aufzug darf nicht überladen werden. 

➠ sich auf Aktionen beziehen, die von der Maschine nicht wahrnehmbar sind. 

Beispiel: Der Aufzug soll zu einem Stockwerk fahren, wo Leute warten. 

➠ Einschränkungen an die Zukunft machen. 

Beispiel: Wenn der Benutzer die letzte Ziffer gewählt hat, bekommt er den 

Freiton, den Besetztton, oder die Ansage “kein Anschluss unter dieser 

Nummer”. 

Umwelt 

Umgebung 

(für das Problem 

relevanter Teil der Umwelt) 

18 

20 

umgebungsgesteuerte Ereignisse 

maschinengesteuerte Ereignisse 

Zu konstruierende 

Maschine (Programm) 

Für die Maschine sichtbarer 

Teil der Umgebung

WEG ZUR SPEZIFIKATION 

Ableitung von Spezifikationen 

aus Anforderungen 

➠ Frage: Wie gewinnt man die Spezifikation S, mit der Eigenschaft, dass 

D 

A 

D 2 

S R (Korrektheit der Spezifikation) 

¡ 

A 3 

A 2 

D 1 

D 4 

D 3 

A 1 

S 2 

S 1 

S 4 

21 

23 

S 3 

WEG ZUR SPEZIFIKATION 

➠ Gesucht: Spezifikation der Maschine 

➠ Bekannt: Domänenwissen D, Annahmen A und Anforderungen R 

D 2 

A 3 

A 2 

D 1 

D 4 

D 3 

A 1 

? 

22 

Ein negatives Beispiel 

24 

R 1 

R5 

R 2 

R 6 

R 3 

R 4 

R 7

AIRBUS-UNFALL IN WARSCHAU 

Anforderung: Rückwärtsschub erlaubt 

Umsetzung: 

Schlussfolgerung: 

flugzeug gelandet 

Problem: Aquaplaning! 

¡ 

rader 

drehen sich schnell 

¡ 

ruckwartsschub 

moglich 

¡ 

¡ 

r 

¡ 

Flugzeug gelandet 

ader drehen sich schnell D ¢ 

impulse D ¢ 

impulse S ¢ 

Ergebnis: Flugzeug verweigerte Gegenschub bei Landung im Regen 

25 

Seien R Anforderungen, D Domänenwissen, A Annahmen, S Spezifikationen. 

1. Jedes Element von R ist vom Kunden als akzeptabel anerkannt, und R 

enthält alle Kundenwünsche bzgl. des Softwareentwicklungsprojektes. 

2. Jedes Element von D wurde auf seine Richtigkeit überprüft. 

3. Jedes Element von A wurde auf seine Plausibilität überprüft. 

4. Alle Elemente von S sind implementierbar. 

5. D 

A 

S R ist gezeigt. 

¡ 

6. Es ist gezeigt, dass D, A und S konsistent sind. 

Wenn diese Kriterien erfüllt sind, kann mit der Konstruktion einer Maschine 

begonnen werden, die S erfüllt. 

27 

Korrektheitskriterien 

26 

Vorgehen bei der Anforderungsermittlung 

28

1. Führe die notwendigen Begriffsbeschreibungen und Definitionen durch, 

d.h. etabliere das Vokabular. 

2. Beschreibe Eigenschaften des Anwendungsbereiches unabhängig von 

den Anforderungen als indikative Aussagen. 

3. Beschreibe die Anforderungen als optative Aussagen. 

4. Beschreibe die Annahmen, die gemacht werden. 

5. Zähle alle relevanten Aktionen auf. 

6. Klassifiziere die Aktionen. 

7. Entwickle eine Spezifikation der Maschine. 

8. Weise die Korrektheit der entwickelten Spezifikation nach. 

29 

Beispiel: Eintritt in einen Zoo 

31 

BEMERKUNG 

Diese Methode ist sehr allgemein. 

Die Mächtigkeit einer Methode ist umgekehrt proportional zu ihrer 

Allgemeinheit. 

Später: Problem Frames zur Spezialisierung der Methode. 

VERBALE PROBLEMBESCHREIBUNG 

➠ Eingang eines Zoos mit Drehkreuz und Münzeinwurf 

Mechanik bereits vorhanden (Teile der Umgebung) 

Aufgabe: Steuersoftware schreiben 

➠ Benutzung des Drehkreuzes: 

Besucher muss Drehkreuz in Zwischenposition drücken. 

Drehkreuz bewegt sich dann automatisch in Ausgangsposition und 

befördert dabei Besucher in den Zoo 

➠ Drehkreuz besitzt Verriegelungsmechanismus 

Wenn verriegelt, drücken in Zwischenposition nicht möglich. 

30 

32

SCHRITT 1: BEGRIFFSBESTIMMUNGEN 

Ereignisse: 

push Besucher drückt Drehkreuz in Zwischenposition. 

enter Drehkreuz bewegt sich in Anfangsposition, Besucher betritt Zoo. 

coin Gültige Münze wird in Münzeinwurf geworfen. 

lock Drehkreuz erhält Verriegelungssignal. 

unlock Drehkreuz erhält Entriegelungssignal. 

BEMERKUNG 

Bei der Eigenschaft IND1 handelt es sich um eine Sicherheitseigenschaft. 

Diese sagen aus, was in einem Zustand nicht passieren kann oder darf. 

Hier: nach einem push kann kein weiteres push ohne vorheriges enter 

auftreten. 

IND1 wäre auch wahr, wenn die Ereignisse push und enter nie aufträten. 

Im Gegensatz zu Sicherheitseigenschaften, die besagen dass etwas 

Unerwünschtes nicht passieren darf, besagen Lebendigkeitseigenschaften, 

dass etwas Erwünschtes passieren muss. 

33 

35 

SCHRITT 2: EIGENSCHAFTEN DES ANWENDUNGSBEREICHES 

IND1 Die Ereignisse push und enter alternieren, wobei zuerst ein push auftritt. 

Diese Beschreibung behauptet einen Zusammenhang zwischen den 

Ereignissen push und enter, der z.B. durch die Beobachtung (push¦ push) 

falsifiziert werden könnte. 

IND2 Wenn lock- und unlock-Ereignisse alternieren, beginnend mit unlock, 

dann kann ein push-Ereignis nur nach einem unlock-Ereignis und vor dem 

nächsten lock-Ereignis auftreten. 

(Was passiert, wenn lock- und unlock-Ereignisse nicht alternieren? 

Nimmt evtl. das Drehkreuz Schaden?) 

SCHRITT 3 ANFORDERUNGEN 

Grundsätzlich soll sichergestellt werden: 

➠ Niemand darf den Zoo betreten, ohne zu zahlen. 

➠ Jeder, der gezahlt hat, wird auch eingelassen. 

34 

Es wird nicht verlangt, dass Zahlungen und Eintritte alternieren. Das wäre z.B. 

für Lehrer, die mit ihrer Klasse in den Zoo gehen, unpraktisch. 

36

Die Anforderungen lauten also: 

OPT1 Die Summe der enter-Ereignisse darf nicht größer sein als die Summe 

der coin-Ereignisse. 

OPT2 Wenn die Anzahl der coin-Ereignisse echt größer als die Anzahl der 

enter-Ereignisse ist, verhindert die Maschine kein weiteres enter-Ereignis. 

Streng genommen ist die Anforderung “jeder, der zahlt, wird eingelassen” nicht 

erfüllbar, denn andere Menschen könnten den Besucher, nachdem er gezahlt 

hat, am Eintritt hindern. Statt dessen müssen wir fordern, dass die Maschine 

den Besucher nicht am Eintritt hindert. 

SCHRITT 5 RELEVANTE AKTIONEN 

Dies sind die Ereignisse push, enter, coin, lock, unlock, wie in Schritt 1 

beschrieben. 

SCHRITT 6 KLASSIFIKATION DER AKTIONEN 

1. von der Umgebung kontrolliert, von der Maschine nicht wahrnehmbar: 

enter 

2. von der Umgebung kontrolliert, von der Maschine wahrnehmbar: 

push¦ coin 

3. von der Maschine kontrolliert, von der Umgebung wahrnehmbar: 

unlock¦ lock 

37 

39 

¡ 

SCHRITT 4 ANNAHMEN 

Jackson und Zave, von denen dieses Beispiel stammt, betrachten Annahmen 

nicht gesondert, sondern rechnen sie zum Domänenwissen. Allerdings: 

IND1 ist eine Annahme. Denn theoretisch könnte ein Besucher, nachdem 

er gegen die Barriere gedrückt hat, rückwärts wieder herausspringen. Es 

ist also physikalisch möglich, dass auf ein push eben doch kein enter folgt. 

Eine weitere sinnvolle Annahme ist, dass andere Besucher einen 

Besucher, der gezahlt hat, nicht am Eintritt hindern. 

SCHRITT 7 ABLEITUNG DER SPEZIFIKATION 

OPT1, OPT2 sind keine Spezifikationen, da sie enter-Ereignisse enthalten. 

Realisierung von OPT1: 

verhindere enter-Ereignisse oder erzwinge coin-Ereignisse. 

Letzteres geht nicht, weil coin-Ereignisse von der Umgebung kontrolliert 

werden. 

Ausserdem: OPT1 muss für alle (auch zukünftige) Intervalle gelten. 

¡ 

OPT1 muss nach jeder Aktion der Maschine gelten. 

38 

40

¡ 

Setze Domänenwissen ein, um OPT1 in eine Spezifikation umzuformen, d.h. 

enter-Ereignisse zu eliminieren. 

IND1 ¡ 

Anzahlen der push- und enter-Ereignisse unterscheiden sich um höchstens 1 

Anzahl der enter-Ereignisse ist kleiner oder gleich Anzahl der push-Ereignisse 

Ersetze also in OPT1 die enter-Ereignisse durch push-Ereignisse: 

OPT1a Die Summe der push-Ereignisse darf nicht größer sein als die Summe 


BEMERKUNG 

OPT3 bezieht sich auf alle Zeitpunkte, auch zukünftige. 

¡ 

OPT3 ist eigentlich keine Spezifikation. 

Verfeinerung von OPT3: 

wenn nach dem letzten lock-Ereignis kein unlock-Ereignis mehr 

41 

stattgefunden hat oder noch überhaupt kein unlock-Ereignis stattgefunden 

hat, dann darf kein lock-Ereignis ausgelöst werden 

wenn nach dem letzten unlock-Ereignis noch kein lock-Ereignis 

stattgefunden hat, dann darf kein unlock-Ereignis ausgelöst werden 

Diese Verfeinerung geht für alle derartigen Anforderungen gleich. 

43 

¡ 

¡ 

OPT1a ist Verschärfung von OPT1. 

OPT1a ist keine Spezifikation, da push und coin von der Umgebung kontrolliert 

werden. 

Wenn Anzahl push-Ereignisse = Anzahl coin-Ereignisse, muss die Maschine 

ein weiteres push-Ereignis verhindern. 

IND2 mit beschränkt push-Ereignisse, aber nur, falls lock- und 

unlock-Ereignisse alternieren. 

¡ 

OPT3 lock- und unlock-Ereignisse dürfen nur alternierend auftreten, 

¡ 

beginnend mit unlock. 

42 

behandle Anforderungen, die sich eigentlich auf die Zukunft beziehen, 

ansonsten aber Spezifikationen sind, ohne weitere Verfeinerung als 

Invarianten, die die Maschine respektieren muss. 

Invariante: gilt in Initialzustand, und Maschine darf keine Aktion ausführen, die 

die Eigenschaft ungültig machen würde. 

44

¡ 

OPT1a Die Summe der push-Ereignisse darf nicht größer sein als die Summe 


Verfeinere OPT1a zu Sicherheitseigenschaft OPT4 und 

Lebendigkeitseigenschaft OPT5: 

OPT4 Wenn die Anzahl der push- und der coin-Ereignisse gleich sind, darf 

kein unlock-Ereignis stattfinden. 

OPT5 Wenn nach dem letzten unlock-Ereignis kein lock-Ereignis mehr 

stattgefunden hat und die Anzahl der push- und der coin-Ereignisse gleich 

sind, muss ein lock-Ereignis stattfinden. 

Insgesamt: Umwandlung von Anforderung OPT1 in Spezifikationen OPT3, 

OPT4, OPT5 

BEMERKUNG 

Die entwickelten Spezifikationen sind Implikationen und keine Äquivalenzen! 

45 

Prinzip: 

Entwickle die schwächste Spezifikation, die hin- 

reicht, um die Anforderungen zu erfüllen. 

Grund: schränke Konstrukteure der Maschine möglichst wenig ein 

¡ 

Maschine kann nach nichtfunktionalen Kriterien optimiert werden 

47 

¡ 

¡ 

OPT2 Wenn die Anzahl der coin-Ereignisse echt größer als die Anzahl der 

enter-Ereignisse ist, verhindert die Maschine kein weiteres enter-Ereignis. 

Verfeinere OPT2 zu Sicherheitseigenschaft OPT6 und 

Lebendigkeitseigenschaft OPT7: 

OPT6 Wenn die Anzahl der coin-Ereignisse echt größer ist als die Anzahl der 

push-Ereignisse, darf kein lock-Ereignis stattfinden. 

OPT7 Wenn nach dem letzten lock-Ereignis kein unlock-Ereignis mehr 

stattgefunden hat und die Anzahl der coin-Ereignisse echt größer ist als 

die Anzahl der push-Ereignisse, muss ein unlock-Ereignis stattfinden. 

OPT6 und OPT7 sind Spezifikationen 

¡ 

Ausgangspunkt für Entwicklung der Maschine ist etabliert 

SCHRITT 8 KORREKTHEITSNACHWEIS 

Die abgeleitete Spezifikation ist per Konstruktion korrekt: 

Spezifikationen wurden aus Anforderungen durch Verschärfung unter 

Zuhilfenahme des Domänenwissens gewonnen 

¡ 

Korrektheitsbedingung S 

D 

46 

A R gilt ¡ 

Sicherstellen der Konsistenz von S, D und A durch Inspektion des 

Anwendungsbereiches 

48

WAS HABEN WIR GELERNT? 

➠ Aufgabe bei der Softwareentwicklung ist es, eine Maschine zu bauen. Die 

Maschine wird in eine Umgebung integriert, um das Verhalten der 

Umgebung zu verbessern. 

➠ (Funktionale) Anforderungen beschreiben die Umgebung, wie sie sich 

nach Integration der Maschine verhalten soll. Sie beschreiben nicht die 

Maschine. 

➠ Anforderungen werden als optative Aussagen ausgedrückt. 

➠ Indikative Aussagen beschreiben die Umgebung unabhängig von der 

Maschine. 

➠ Annahmen sind manchmal nötig, um die Anforderungen verwirklichen zu 

können. 

49 

➠ Die Begriffe, die in den verschiedenen Aussagen verwendet werden, sind 

entweder begriffsbestimmt oder definiert. 

➠ Maschine und Umgebung können mittels gemeinsamer Phänomene 

interagieren. Diese Phänomene werden entweder von der Umgebung oder 

von der Maschine kontrolliert. 

➠ Spezifikationen sind implementierbare Anforderungen. 

➠ Um Anforderungen in Spezifikationen umzuwandeln, werden 

Domänenwissen und Annahmen (indikative Aussagen) verwendet. 

➠ Dieser Ansatz kann gemäß einer Methode durchgeführt werden. 

50

Anforderungen und Spezifikationen Terminologie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?