Anforderungen und Spezifikationen Terminologie

¡
OPT1a Die Summe der push-Ereignisse darf nicht größer sein als die Summe
der coin-Ereignisse.
Verfeinere OPT1a zu Sicherheitseigenschaft OPT4 und
Lebendigkeitseigenschaft OPT5:
OPT4 Wenn die Anzahl der push- und der coin-Ereignisse gleich sind, darf
kein unlock-Ereignis stattfinden.
OPT5 Wenn nach dem letzten unlock-Ereignis kein lock-Ereignis mehr
stattgefunden hat und die Anzahl der push- und der coin-Ereignisse gleich
sind, muss ein lock-Ereignis stattfinden.
Insgesamt: Umwandlung von Anforderung OPT1 in Spezifikationen OPT3,
OPT4, OPT5
BEMERKUNG
Die entwickelten Spezifikationen sind Implikationen und keine Äquivalenzen!
45
Prinzip:
Entwickle die schwächste Spezifikation, die hin-
reicht, um die Anforderungen zu erfüllen.
Grund: schränke Konstrukteure der Maschine möglichst wenig ein
¡
Maschine kann nach nichtfunktionalen Kriterien optimiert werden
47
¡
¡
OPT2 Wenn die Anzahl der coin-Ereignisse echt größer als die Anzahl der
enter-Ereignisse ist, verhindert die Maschine kein weiteres enter-Ereignis.
Verfeinere OPT2 zu Sicherheitseigenschaft OPT6 und
Lebendigkeitseigenschaft OPT7:
OPT6 Wenn die Anzahl der coin-Ereignisse echt größer ist als die Anzahl der
push-Ereignisse, darf kein lock-Ereignis stattfinden.
OPT7 Wenn nach dem letzten lock-Ereignis kein unlock-Ereignis mehr
stattgefunden hat und die Anzahl der coin-Ereignisse echt größer ist als
die Anzahl der push-Ereignisse, muss ein unlock-Ereignis stattfinden.
OPT6 und OPT7 sind Spezifikationen
¡
Ausgangspunkt für Entwicklung der Maschine ist etabliert
SCHRITT 8 KORREKTHEITSNACHWEIS
Die abgeleitete Spezifikation ist per Konstruktion korrekt:
Spezifikationen wurden aus Anforderungen durch Verschärfung unter
Zuhilfenahme des Domänenwissens gewonnen
¡
Korrektheitsbedingung S
D
46
A R gilt ¡
Sicherstellen der Konsistenz von S, D und A durch Inspektion des
Anwendungsbereiches
48