軟件工程課件 09關(guān)鍵系統(tǒng)規(guī)格說明

關(guān)鍵系統(tǒng)規(guī)格說明CriticalSystemsSpecification關(guān)鍵系統(tǒng)規(guī)格說明CriticalSystemsSpeci1關(guān)鍵系統(tǒng)規(guī)格說明開發(fā)一個(gè)系統(tǒng)可獲性，可靠性，安全性和保密性的規(guī)格說明的過程和技術(shù)（Processesandtechniquesfordevelopingaspecificationforsystemavailability,reliability,safetyandsecurity）關(guān)鍵系統(tǒng)規(guī)格說明開發(fā)一個(gè)系統(tǒng)可獲性，可靠性，安全性和保密性的2Objectives說明如何通過分析關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)來識別出系統(tǒng)的可信度需求。說明如何從系統(tǒng)的風(fēng)險(xiǎn)分析中獲得安全需求。解釋保密性需求的來歷。描述用作可靠性規(guī)格說明的測量尺度。Objectives說明如何通過分析關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)來識3Topicscovered基于風(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明安全性規(guī)格說明保密性規(guī)格說明軟件可靠性規(guī)格說明Topicscovered基于風(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明4可信度需求用功能需求來定義差錯(cuò)檢查、恢復(fù)工具和對系統(tǒng)失效的防范措施。用非功能需求來定義系統(tǒng)所需要的可獲性和可靠性。用排它需求來定義千萬不能發(fā)生的狀態(tài)和條件?？尚哦刃枨笥霉δ苄枨髞矶x差錯(cuò)檢查、恢復(fù)工具和對系統(tǒng)失效的防5基于風(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明關(guān)鍵系統(tǒng)的規(guī)格說明應(yīng)該是由風(fēng)險(xiǎn)驅(qū)動(dòng)的（risk-driven）。該方法已經(jīng)在安全和保密性至關(guān)重要的系統(tǒng)上廣泛使用。規(guī)格說明過程的目標(biāo)應(yīng)該在于了解系統(tǒng)所面臨的風(fēng)險(xiǎn)以及說明降低這些風(fēng)險(xiǎn)的需要做的事情?；陲L(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明關(guān)鍵系統(tǒng)的規(guī)格說明應(yīng)該是由風(fēng)險(xiǎn)驅(qū)動(dòng)的（6風(fēng)險(xiǎn)分析的步驟風(fēng)險(xiǎn)識別（Riskidentification）識別出可能發(fā)生的潛在風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析和分類（Riskanalysisandclassification）評估每個(gè)風(fēng)險(xiǎn)的嚴(yán)重程度風(fēng)險(xiǎn)分解（Riskdecomposition）找出風(fēng)險(xiǎn)的潛在根源降低風(fēng)險(xiǎn)評估（Riskreductionassessment）說明在系統(tǒng)設(shè)計(jì)階段如何消除和降低每一個(gè)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的步驟風(fēng)險(xiǎn)識別（Riskidentificatio7基于風(fēng)險(xiǎn)的規(guī)格說明基于風(fēng)險(xiǎn)的規(guī)格說明8風(fēng)險(xiǎn)識別識別出關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)。在安全性關(guān)鍵的系統(tǒng)中，風(fēng)險(xiǎn)就是那些能夠?qū)е乱馔獾奈ｋU(xiǎn)。在保密性關(guān)鍵的系統(tǒng)中，風(fēng)險(xiǎn)就是那些對系統(tǒng)的潛在攻擊。在風(fēng)險(xiǎn)識別中，需要識別出風(fēng)險(xiǎn)的類型及風(fēng)險(xiǎn)在這些分類中的地位服務(wù)失效；電氣上的風(fēng)險(xiǎn)；…風(fēng)險(xiǎn)識別識別出關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)。9胰島素泵的風(fēng)險(xiǎn)胰島素過量（服務(wù)失效）。胰島素劑量不足（服務(wù)失效）。由于電池耗盡引起的電源故障（電氣的）與其它醫(yī)療設(shè)備的電氣接口（電氣的）。傳感器和致動(dòng)器的接觸很差（物理的）。在體內(nèi)的機(jī)器部件脫落（物理的）。由于引入機(jī)器而導(dǎo)致感染（生物的）。對原料或胰島素的過敏反應(yīng)（生物的）。胰島素泵的風(fēng)險(xiǎn)胰島素過量（服務(wù)失效）。10風(fēng)險(xiǎn)分析和分類包含對發(fā)生一個(gè)風(fēng)險(xiǎn)的可能性以及對將要發(fā)生的一個(gè)意外或事故的潛在后果的理解把風(fēng)險(xiǎn)分類為：不可接受的（Intolerable）。必須不能讓它發(fā)生或不能讓它引起一個(gè)意外。在實(shí)際許可下盡可能低的（ALARP）。在給定成本和進(jìn)度的限制下，必須使風(fēng)險(xiǎn)的可能性降到最小。可以接受的（Acceptable）。風(fēng)險(xiǎn)的后果是可以接受的，并且不需要付出額外的成本來降低危險(xiǎn)的可能性。風(fēng)險(xiǎn)分析和分類包含對發(fā)生一個(gè)風(fēng)險(xiǎn)的可能性以及對將要發(fā)生的一個(gè)11風(fēng)險(xiǎn)級別風(fēng)險(xiǎn)級別12風(fēng)險(xiǎn)的社會接受度一個(gè)風(fēng)險(xiǎn)的接受度是被社會和政治的因素所左右的。在大多數(shù)社會而言，隨著時(shí)間的推移，上面的三角形區(qū)域中的兩條邊界會逐漸向上靠，也就是說，社會越來越不愿意接收風(fēng)險(xiǎn)例如，雖說清除污染的成本可能會小于預(yù)防成本，但這可能不為社會所接受。風(fēng)險(xiǎn)評估是主觀的風(fēng)險(xiǎn)被認(rèn)定為類似于“大概的”，“可能的”等等。這取決于由誰來進(jìn)行評估。風(fēng)險(xiǎn)的社會接受度一個(gè)風(fēng)險(xiǎn)的接受度是被社會和政治的因素所左右的13風(fēng)險(xiǎn)評估評估風(fēng)險(xiǎn)的可能性和嚴(yán)重程度。通常不可能很精確，因此用一些相對值表達(dá)，例如“不太可能的”、“很少的”、“很高的”等等。目標(biāo)是排除那些最有可能發(fā)生的或者是后果嚴(yán)重的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估評估風(fēng)險(xiǎn)的可能性和嚴(yán)重程度。14胰島素泵的風(fēng)險(xiǎn)評估胰島素泵的風(fēng)險(xiǎn)評估15風(fēng)險(xiǎn)分解（decomposition）在一個(gè)特定的系統(tǒng)里，找出風(fēng)險(xiǎn)的主要原因（rootcauses）技術(shù)大多來源于安全性關(guān)鍵的系統(tǒng)，并可以是：歸納法（Inductive），自下而上的技術(shù)。從提出的一個(gè)系統(tǒng)失效開始，評估由該失效可能導(dǎo)致的危險(xiǎn)。演繹法（Deductive），自上而下的技術(shù)。以一個(gè)危險(xiǎn)為起點(diǎn)，推斷出可能引起它原因是什么。風(fēng)險(xiǎn)分解（decomposition）在一個(gè)特定的系統(tǒng)里，找16失誤-樹（Fault-tree）分析一種自上而下的演繹法技術(shù)。把風(fēng)險(xiǎn)或危險(xiǎn)放在樹的根上，再找出可以導(dǎo)致該危險(xiǎn)的系統(tǒng)狀態(tài)。在合適的地方加入‘a(chǎn)nd’或‘or’條件。目標(biāo)應(yīng)該是使引起系統(tǒng)失效的單一原因（singlecauses）的數(shù)量降至最低。失誤-樹（Fault-tree）分析一種自上而下的演繹法技術(shù)17胰島素泵的失誤-樹胰島素泵的失誤-樹18降低風(fēng)險(xiǎn)的評估這個(gè)過程的目標(biāo)是識別出可信度需求，即說明應(yīng)該如何管理風(fēng)險(xiǎn)以及確保不會發(fā)生意外和事故。降低風(fēng)險(xiǎn)的策略（strategies）風(fēng)險(xiǎn)規(guī)避（Riskavoidance）；風(fēng)險(xiǎn)檢測與排除（Riskdetectionandremoval）；危害限制（Damagelimitation）。降低風(fēng)險(xiǎn)的評估這個(gè)過程的目標(biāo)是識別出可信度需求，即說明應(yīng)該如19策略應(yīng)用（Strategyuse）通常在關(guān)鍵系統(tǒng)上要綜合使用降低風(fēng)險(xiǎn)的策略。在一個(gè)化工廠的控制系統(tǒng)中，它含有檢測和校正反應(yīng)器過壓的傳感器。然而，它也含有一個(gè)單獨(dú)的保護(hù)系統(tǒng)，以便在檢測到危險(xiǎn)高壓后打開某個(gè)安全閥（reliefvalve）。策略應(yīng)用（Strategyuse）通常在關(guān)鍵系統(tǒng)上要綜合使20胰島素泵的軟件風(fēng)險(xiǎn)算術(shù)誤差（Arithmeticerror）一個(gè)計(jì)算導(dǎo)致一個(gè)變量值上溢（overflow）和下溢（underflow）；可能包含一個(gè)對每類算術(shù)誤差的例外句柄（exceptionhandler）。算法誤差（Algorithmicerror）把將要分發(fā)的劑量與前次劑量或與安全最小劑量進(jìn)行比較。如果劑量太高則要降低它。胰島素泵的軟件風(fēng)險(xiǎn)算術(shù)誤差（Arithmeticerror21胰島素泵的安全需求SR1：每次注射劑量不能超過系統(tǒng)用戶的指定最大量。SR2：每天注射的累計(jì)劑量不能超過系統(tǒng)用戶的指定最大量。SR3：系統(tǒng)應(yīng)該含有一個(gè)硬件診斷設(shè)施，每小時(shí)至少執(zhí)行4次。SR4：系統(tǒng)應(yīng)該含有一個(gè)可以針對所有已經(jīng)識別的例外的處理程序。SR5：當(dāng)發(fā)現(xiàn)任何硬件和軟件的異常以及收到診斷信息的時(shí)候，發(fā)出聲音警報(bào)。SR6：在系統(tǒng)警報(bào)時(shí)，胰島素注射應(yīng)該中止，直到用戶消除警報(bào)和進(jìn)行系統(tǒng)復(fù)位為止。胰島素泵的安全需求SR1：每次注射劑量不能超過系統(tǒng)用戶的指定22安全性規(guī)格說明一個(gè)系統(tǒng)的安全性需求應(yīng)該分別進(jìn)行說明。這些需求應(yīng)該建立在對風(fēng)險(xiǎn)和對可能發(fā)生的危險(xiǎn)的分析基礎(chǔ)上。安全性需求通常被應(yīng)用于一個(gè)系統(tǒng)的整體而不是個(gè)別的子系統(tǒng)。在系統(tǒng)工程術(shù)語中，一個(gè)系統(tǒng)的安全性是一種自然特性（emergentproperty）。安全性規(guī)格說明一個(gè)系統(tǒng)的安全性需求應(yīng)該分別進(jìn)行說明。23國際電工委員會標(biāo)準(zhǔn)(IEC61508)是一項(xiàng)專門為保護(hù)系統(tǒng)而設(shè)計(jì)的安全管理國際標(biāo)準(zhǔn)，它并不適用于所有的安全性關(guān)鍵的系統(tǒng)。它結(jié)合了一個(gè)安全生命周期模型，涵蓋了從范圍定義到系統(tǒng)退役的所有安全管理的方面。國際電工委員會標(biāo)準(zhǔn)(IEC61508)是一項(xiàng)專門為保護(hù)系24控制系統(tǒng)的安全需求控制系統(tǒng)的安全需求25?IanSommerville2000 Dependablesystemsspecification Slide26安全生命周期?IanSommerville2000 Dependa26安全性需求功能安全性需求（Functionalsafetyrequirements）這些需求定義了保護(hù)系統(tǒng)的安全功能，即定義了系統(tǒng)應(yīng)該提供什么樣的保護(hù)。安全完整性需求（Safetyintegrityrequirements）這些需求定義了保護(hù)系統(tǒng)的可獲性和可靠性。它們以預(yù)期的用法為基礎(chǔ)并且采用從一至四個(gè)安全完整性級別進(jìn)行分類。安全性需求功能安全性需求（Functionalsafety27保密性規(guī)格說明與安全性規(guī)格說明有些相似對保密性需求進(jìn)行定量規(guī)格說明是不可能的；需求常常用“不應(yīng)該”而不是用“應(yīng)該”來描述。差別對一個(gè)保密性管理的生命周期還沒有定義完備的觀念。它沒有標(biāo)準(zhǔn)；只有一般性的威脅而沒有系統(tǒng)特定的危險(xiǎn)；具有成熟的保密技術(shù)（加密，等等）。然而，當(dāng)把這些技術(shù)轉(zhuǎn)化到一般性的用途上的時(shí)候就會出現(xiàn)問題；單獨(dú)的供應(yīng)商（微軟）的主導(dǎo)地位意味著大量的系統(tǒng)可能會受到保密性失效的影響。保密性規(guī)格說明與安全性規(guī)格說明有些相似28保密性規(guī)格說明過程保密性規(guī)格說明過程29保密性規(guī)格說明步驟財(cái)產(chǎn)識別和估值識別出財(cái)產(chǎn)（數(shù)據(jù)和程序）和它們所需要的保護(hù)程度。保護(hù)程度依賴于財(cái)產(chǎn)的價(jià)值，因此一個(gè)密碼文件要比一組公共網(wǎng)頁更有價(jià)值。威脅分析和風(fēng)險(xiǎn)評估要識別出可能發(fā)生的保密性威脅，并要估計(jì)到與每個(gè)這種威脅有關(guān)的風(fēng)險(xiǎn)。威脅分配把已經(jīng)識別的威脅與財(cái)產(chǎn)聯(lián)系起來，這樣就可以就每個(gè)已經(jīng)識別的財(cái)產(chǎn)列出一張與威脅關(guān)聯(lián)的表格。保密性規(guī)格說明步驟財(cái)產(chǎn)識別和估值30Stagesinsecurityspecification技術(shù)分析對獲得的保密技術(shù)及其是否可用在識別出的威脅上進(jìn)行評估。保密性需求規(guī)格說明要對保密性需求進(jìn)行規(guī)格說明。在規(guī)格說明中適當(dāng)?shù)牡胤?，要明確解釋保密技術(shù)用在保護(hù)系統(tǒng)免受各種不同威脅的作用。Stagesinsecurityspecificati31保密性需求的種類Identificationrequirements.識別需求。Authenticationrequirements.鑒定需求。Authorizationrequirements.授權(quán)需求。Immunityrequirements.免疫需求（抗病毒性）。Integrityrequirements.完整性需求。Intrusiondetectionrequirements.侵入檢測需求。Non-repudiationrequirements.非否定需求。Privacyrequirements.隱匿需求。Securityauditingrequirements.保密審計(jì)需求。Systemmaintenancesecurityrequirements.系統(tǒng)維護(hù)保密性需求。保密性需求的種類Identificationrequire32LIBSYS保密性需求LIBSYS保密性需求33系統(tǒng)可靠性規(guī)格說明硬件可靠性（Hardwarereliability）硬件組件失敗的可能性有多大以及修復(fù)該組件需要多長時(shí)間？軟件可靠性（Softwarereliability

）一個(gè)軟件組件產(chǎn)生不正確的輸出的情況是怎樣的。軟件和硬件失效的區(qū)別在于軟件是沒有損耗的。即使是在產(chǎn)生不正確的結(jié)果之后它也能繼續(xù)運(yùn)行。操縱員可靠性（Operatorreliability）一個(gè)系統(tǒng)操作員出差錯(cuò)（makeanerror）的情況是怎樣的？系統(tǒng)可靠性規(guī)格說明硬件可靠性（Hardwarereliab34功能可靠性需求舉例需要定義出操作員全部輸入值的預(yù)定范圍，系統(tǒng)應(yīng)該對所有落在該預(yù)定范圍的操作員輸入值進(jìn)行檢查。在系統(tǒng)初始化的時(shí)候，它應(yīng)該對所有磁盤上的壞塊進(jìn)行檢查。系統(tǒng)必須用N版本編程方法來實(shí)現(xiàn)減速控制系統(tǒng)。系統(tǒng)必須才用Ada安全子集來實(shí)現(xiàn)，并用靜態(tài)分析方法進(jìn)行檢查。功能可靠性需求舉例需要定義出操作員全部輸入值的預(yù)定范圍，系統(tǒng)35系統(tǒng)可靠性所需要達(dá)到的水平必須能夠定量表達(dá)出來?？煽啃允莿?dòng)態(tài)的系統(tǒng)特性，與源代碼有關(guān)的可靠性規(guī)格說明是沒有意義的。每1000行的失誤數(shù)目不大于N個(gè)；它只對軟件交付后的過程分析有用。那時(shí)你可以試著對你的開發(fā)技術(shù)有多好做出評價(jià)。需要選擇合適的可靠性標(biāo)尺來說明整個(gè)系統(tǒng)的可靠性。非功能可靠性規(guī)格說明系統(tǒng)可靠性所需要達(dá)到的水平必須能夠定量表達(dá)出來。非功能可靠性36可靠性標(biāo)尺是系統(tǒng)可靠性的測量單位。系統(tǒng)可靠性測量是通過計(jì)算操作失效次數(shù)來實(shí)現(xiàn)的。并且在適當(dāng)?shù)牡胤剑€要把測量與加在系統(tǒng)上的要求和系統(tǒng)已經(jīng)運(yùn)行了多長的時(shí)間聯(lián)系起來。評估關(guān)鍵系統(tǒng)的可靠性需要一個(gè)長期的測量計(jì)劃。可靠性標(biāo)尺(metrics)可靠性標(biāo)尺是系統(tǒng)可靠性的測量單位?？煽啃詷?biāo)尺(metrics37可靠性標(biāo)尺(metrics)請求失效率——POFOD(Probabilityoffailureondemand)當(dāng)發(fā)出一個(gè)服務(wù)請求時(shí)系統(tǒng)失效的可能性。例如，0.001的響應(yīng)失效率意味著1000次服務(wù)請求中有一次可能會失效失效發(fā)生率——ROCOF(Rateoffailureoccurrence)出現(xiàn)未預(yù)期行為的發(fā)生概率。例如，2/100的失效發(fā)生率的意思是指在每100個(gè)操作時(shí)間單位里可能會失效2次。有時(shí)也把它稱為失效強(qiáng)度。失效平均時(shí)間——MTTF(Meantimetofailure)觀察到系統(tǒng)失效的平均時(shí)間。例如一個(gè)500MTTF的意思是在每500個(gè)時(shí)間單位里可能有一次失效。修復(fù)平均時(shí)間——MTTR(Meantimetorepair)從一個(gè)系統(tǒng)失效到它恢復(fù)服務(wù)的平均時(shí)間可獲率——AVAIL(Availability)在一個(gè)給定時(shí)間內(nèi)系統(tǒng)可以獲得使用的概率。例如，一個(gè)0.998的可獲率意味著在每1000個(gè)時(shí)間單位里系統(tǒng)可以獲得998個(gè)。可靠性標(biāo)尺(metrics)請求失效率——POFOD(Pro38請求失效率（POFOD)這是系統(tǒng)在接到服務(wù)請求時(shí)失效的幾率。這對于服務(wù)請求不連續(xù)和比較稀少的情況來說是有用的。適合于保護(hù)系統(tǒng)，其中的服務(wù)請求偶爾發(fā)生并且如果不交付服務(wù)可能會產(chǎn)生嚴(yán)重后果。相應(yīng)于許多具有例外管理組件的安全性關(guān)鍵系統(tǒng)一個(gè)化工廠里的緊急關(guān)閉系統(tǒng)。請求失效率（POFOD)這是系統(tǒng)在接到服務(wù)請求時(shí)失效的幾率。39失效發(fā)生率（ROCOF）反映系統(tǒng)失效的發(fā)生比率。失效發(fā)生率等于0.002意味著在每1000個(gè)操作時(shí)間單位里可能有2次失效。例如1000小時(shí)的運(yùn)行失效2次。相對于操作系統(tǒng)或事務(wù)處理系統(tǒng)而言，其中系統(tǒng)要頻繁處理大量的類同的請求信用卡處理系統(tǒng)，航線預(yù)定系統(tǒng)。失效發(fā)生率（ROCOF）反映系統(tǒng)失效的發(fā)生比率。40失效平均時(shí)間(MTTF)是觀察到系統(tǒng)失效的相隔時(shí)間度量。對穩(wěn)定的系統(tǒng)來說，它是失效發(fā)生率的倒數(shù)。失效平均時(shí)間等于500意味著失效相隔的平均時(shí)間是500個(gè)時(shí)間單位。對應(yīng)于長時(shí)交易系統(tǒng)，即系統(tǒng)處理要很長時(shí)間。失效平均時(shí)間應(yīng)該大于交易時(shí)間計(jì)算機(jī)輔助設(shè)計(jì)系統(tǒng)，其一個(gè)設(shè)計(jì)者要用好幾個(gè)小時(shí)進(jìn)行設(shè)計(jì)工作，還有文字處理器系統(tǒng)。失效平均時(shí)間(MTTF)是觀察到系統(tǒng)失效的相隔時(shí)間度量。對穩(wěn)41可獲率（AVAIL）系統(tǒng)可以獲得使用所占的時(shí)間比率值。計(jì)入修復(fù)和重新啟動(dòng)系統(tǒng)的時(shí)間?？色@率等于0.998意味著在1000個(gè)時(shí)間單位里有998個(gè)是可獲得的。對應(yīng)于不中斷的、連續(xù)運(yùn)行的系統(tǒng)

電話交換系統(tǒng)、鐵路信號燈系統(tǒng)?？色@率（AVAIL）系統(tǒng)可以獲得使用所占的時(shí)間比率值。42非功能需求規(guī)格說明可靠性測量沒有考慮到失效的后果。瞬時(shí)失誤可能沒有什么實(shí)際后果，但除此之外的其它失誤卻可能導(dǎo)致數(shù)據(jù)損失或毀壞，甚至使系統(tǒng)不服務(wù)。有必要區(qū)別不同的失效類型并對每種類型采取不同的測量標(biāo)準(zhǔn)。一定要構(gòu)建好可靠性規(guī)格說明。非功能需求規(guī)格說明可靠性測量沒有考慮到失效的后果。43失效后果在對可靠性進(jìn)行規(guī)格說明的時(shí)候，不僅要考慮系統(tǒng)失效的數(shù)目，而且要考慮這些失效的后果。很顯然，失效的后果遠(yuǎn)比能夠修正和恢復(fù)的那部分損害要大得多。因此，在某些情況下要針對不同的失效類型定義不同的可靠性規(guī)格說明。失效后果在對可靠性進(jìn)行規(guī)格說明的時(shí)候，不僅要考慮系統(tǒng)失效的數(shù)44失效分類（Failureclassification）失效分類（Failureclassification）45對每個(gè)子系統(tǒng)，分析可能發(fā)生的系統(tǒng)失效結(jié)果。通過系統(tǒng)失效分析，把失效劃分成適當(dāng)?shù)念愋?。對分出的每種失效類型，采用合適的測量標(biāo)準(zhǔn)來測定可靠性?？梢杂貌煌臉?biāo)準(zhǔn)針對不同的可靠性需求。識別功能可靠性需求以降低嚴(yán)重失效的發(fā)生機(jī)會。可靠性規(guī)格說明步驟對每個(gè)子系統(tǒng)，分析可能發(fā)生的系統(tǒng)失效結(jié)果?？煽啃砸?guī)格說明步驟46銀行自動(dòng)出納系統(tǒng)每臺在網(wǎng)絡(luò)上的機(jī)器每天使用300次。銀行有1000臺機(jī)器。軟件發(fā)行版本的生命期是2年。每臺機(jī)器處理約200,000交易。每天總數(shù)約有300,000個(gè)數(shù)據(jù)庫交易。銀行自動(dòng)出納系統(tǒng)每臺在網(wǎng)絡(luò)上的機(jī)器每天使用300次。47一個(gè)ATM的可靠性規(guī)格說明例子一個(gè)ATM的可靠性規(guī)格說明例子48規(guī)格說明確認(rèn)憑經(jīng)驗(yàn)來驗(yàn)證高可靠性的規(guī)格說明是很難做到的。數(shù)據(jù)庫無損傷（Nodatabasecorruptions）意味著請求失效率要小于兩百萬分之一。如果一個(gè)交易時(shí)間是一秒鐘，那么模擬一天的交易需要三天半的時(shí)間。測試可靠性花費(fèi)的時(shí)間將要比系統(tǒng)生命期還要長。規(guī)格說明確認(rèn)憑經(jīng)驗(yàn)來驗(yàn)證高可靠性的規(guī)格說明是很難做到的。49要點(diǎn)（Keypoints）風(fēng)險(xiǎn)分析是建立在識別系統(tǒng)可靠性需求的基礎(chǔ)之上的。風(fēng)險(xiǎn)分析包括對一個(gè)風(fēng)險(xiǎn)發(fā)生的機(jī)會進(jìn)行評估和對風(fēng)險(xiǎn)按照它們的嚴(yán)重程度進(jìn)行分類。保密性需求就是要識別財(cái)產(chǎn)和說明應(yīng)該如何保護(hù)這些財(cái)產(chǎn)?？煽啃孕枨笫强梢远棵枋龅摹？煽啃詼y量標(biāo)準(zhǔn)包括請求失效率（POFOD）、失效發(fā)生率（ROCOF）、失效平均時(shí)間（MTTF）和可獲率（AVAIL）。非功能可靠性規(guī)格說明能夠引出功能系統(tǒng)需求，該需求旨在減少失效或者是對失效后果進(jìn)行處理。要點(diǎn)（Keypoints）風(fēng)險(xiǎn)分析是建立在識別系統(tǒng)可靠性需50習(xí)題：簡述基于風(fēng)險(xiǎn)的規(guī)格說明過程的主要活動(dòng)及其產(chǎn)物。風(fēng)險(xiǎn)分解有哪幾種技術(shù)？失誤-數(shù)分析屬于哪一種？對下面幾種軟件系統(tǒng)選用適當(dāng)?shù)目煽啃詷?biāo)尺，并說明你的理由。在醫(yī)院的一間深切護(hù)理室里的監(jiān)視系統(tǒng)；文字處理系統(tǒng)；自動(dòng)販賣機(jī)控制系統(tǒng)；剎車控制系統(tǒng)；一個(gè)制冷單元的控制系統(tǒng)；一個(gè)管理報(bào)表生成器。簡述保密性規(guī)格說明過程及其步驟。在定義一個(gè)系統(tǒng)的可靠性規(guī)格說明時(shí)，如何考慮失效后果的影響。習(xí)題：簡述基于風(fēng)險(xiǎn)的規(guī)格說明過程的主要活動(dòng)及其產(chǎn)物。51關(guān)鍵系統(tǒng)規(guī)格說明CriticalSystemsSpecification關(guān)鍵系統(tǒng)規(guī)格說明CriticalSystemsSpeci52關(guān)鍵系統(tǒng)規(guī)格說明開發(fā)一個(gè)系統(tǒng)可獲性，可靠性，安全性和保密性的規(guī)格說明的過程和技術(shù)（Processesandtechniquesfordevelopingaspecificationforsystemavailability,reliability,safetyandsecurity）關(guān)鍵系統(tǒng)規(guī)格說明開發(fā)一個(gè)系統(tǒng)可獲性，可靠性，安全性和保密性的53Objectives說明如何通過分析關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)來識別出系統(tǒng)的可信度需求。說明如何從系統(tǒng)的風(fēng)險(xiǎn)分析中獲得安全需求。解釋保密性需求的來歷。描述用作可靠性規(guī)格說明的測量尺度。Objectives說明如何通過分析關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)來識54Topicscovered基于風(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明安全性規(guī)格說明保密性規(guī)格說明軟件可靠性規(guī)格說明Topicscovered基于風(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明55可信度需求用功能需求來定義差錯(cuò)檢查、恢復(fù)工具和對系統(tǒng)失效的防范措施。用非功能需求來定義系統(tǒng)所需要的可獲性和可靠性。用排它需求來定義千萬不能發(fā)生的狀態(tài)和條件?？尚哦刃枨笥霉δ苄枨髞矶x差錯(cuò)檢查、恢復(fù)工具和對系統(tǒng)失效的防56基于風(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明關(guān)鍵系統(tǒng)的規(guī)格說明應(yīng)該是由風(fēng)險(xiǎn)驅(qū)動(dòng)的（risk-driven）。該方法已經(jīng)在安全和保密性至關(guān)重要的系統(tǒng)上廣泛使用。規(guī)格說明過程的目標(biāo)應(yīng)該在于了解系統(tǒng)所面臨的風(fēng)險(xiǎn)以及說明降低這些風(fēng)險(xiǎn)的需要做的事情?；陲L(fēng)險(xiǎn)驅(qū)動(dòng)的規(guī)格說明關(guān)鍵系統(tǒng)的規(guī)格說明應(yīng)該是由風(fēng)險(xiǎn)驅(qū)動(dòng)的（57風(fēng)險(xiǎn)分析的步驟風(fēng)險(xiǎn)識別（Riskidentification）識別出可能發(fā)生的潛在風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析和分類（Riskanalysisandclassification）評估每個(gè)風(fēng)險(xiǎn)的嚴(yán)重程度風(fēng)險(xiǎn)分解（Riskdecomposition）找出風(fēng)險(xiǎn)的潛在根源降低風(fēng)險(xiǎn)評估（Riskreductionassessment）說明在系統(tǒng)設(shè)計(jì)階段如何消除和降低每一個(gè)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的步驟風(fēng)險(xiǎn)識別（Riskidentificatio58基于風(fēng)險(xiǎn)的規(guī)格說明基于風(fēng)險(xiǎn)的規(guī)格說明59風(fēng)險(xiǎn)識別識別出關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)。在安全性關(guān)鍵的系統(tǒng)中，風(fēng)險(xiǎn)就是那些能夠?qū)е乱馔獾奈ｋU(xiǎn)。在保密性關(guān)鍵的系統(tǒng)中，風(fēng)險(xiǎn)就是那些對系統(tǒng)的潛在攻擊。在風(fēng)險(xiǎn)識別中，需要識別出風(fēng)險(xiǎn)的類型及風(fēng)險(xiǎn)在這些分類中的地位服務(wù)失效；電氣上的風(fēng)險(xiǎn)；…風(fēng)險(xiǎn)識別識別出關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)。60胰島素泵的風(fēng)險(xiǎn)胰島素過量（服務(wù)失效）。胰島素劑量不足（服務(wù)失效）。由于電池耗盡引起的電源故障（電氣的）與其它醫(yī)療設(shè)備的電氣接口（電氣的）。傳感器和致動(dòng)器的接觸很差（物理的）。在體內(nèi)的機(jī)器部件脫落（物理的）。由于引入機(jī)器而導(dǎo)致感染（生物的）。對原料或胰島素的過敏反應(yīng)（生物的）。胰島素泵的風(fēng)險(xiǎn)胰島素過量（服務(wù)失效）。61風(fēng)險(xiǎn)分析和分類包含對發(fā)生一個(gè)風(fēng)險(xiǎn)的可能性以及對將要發(fā)生的一個(gè)意外或事故的潛在后果的理解把風(fēng)險(xiǎn)分類為：不可接受的（Intolerable）。必須不能讓它發(fā)生或不能讓它引起一個(gè)意外。在實(shí)際許可下盡可能低的（ALARP）。在給定成本和進(jìn)度的限制下，必須使風(fēng)險(xiǎn)的可能性降到最小?？梢越邮艿模ˋcceptable）。風(fēng)險(xiǎn)的后果是可以接受的，并且不需要付出額外的成本來降低危險(xiǎn)的可能性。風(fēng)險(xiǎn)分析和分類包含對發(fā)生一個(gè)風(fēng)險(xiǎn)的可能性以及對將要發(fā)生的一個(gè)62風(fēng)險(xiǎn)級別風(fēng)險(xiǎn)級別63風(fēng)險(xiǎn)的社會接受度一個(gè)風(fēng)險(xiǎn)的接受度是被社會和政治的因素所左右的。在大多數(shù)社會而言，隨著時(shí)間的推移，上面的三角形區(qū)域中的兩條邊界會逐漸向上靠，也就是說，社會越來越不愿意接收風(fēng)險(xiǎn)例如，雖說清除污染的成本可能會小于預(yù)防成本，但這可能不為社會所接受。風(fēng)險(xiǎn)評估是主觀的風(fēng)險(xiǎn)被認(rèn)定為類似于“大概的”，“可能的”等等。這取決于由誰來進(jìn)行評估。風(fēng)險(xiǎn)的社會接受度一個(gè)風(fēng)險(xiǎn)的接受度是被社會和政治的因素所左右的64風(fēng)險(xiǎn)評估評估風(fēng)險(xiǎn)的可能性和嚴(yán)重程度。通常不可能很精確，因此用一些相對值表達(dá)，例如“不太可能的”、“很少的”、“很高的”等等。目標(biāo)是排除那些最有可能發(fā)生的或者是后果嚴(yán)重的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估評估風(fēng)險(xiǎn)的可能性和嚴(yán)重程度。65胰島素泵的風(fēng)險(xiǎn)評估胰島素泵的風(fēng)險(xiǎn)評估66風(fēng)險(xiǎn)分解（decomposition）在一個(gè)特定的系統(tǒng)里，找出風(fēng)險(xiǎn)的主要原因（rootcauses）技術(shù)大多來源于安全性關(guān)鍵的系統(tǒng)，并可以是：歸納法（Inductive），自下而上的技術(shù)。從提出的一個(gè)系統(tǒng)失效開始，評估由該失效可能導(dǎo)致的危險(xiǎn)。演繹法（Deductive），自上而下的技術(shù)。以一個(gè)危險(xiǎn)為起點(diǎn)，推斷出可能引起它原因是什么。風(fēng)險(xiǎn)分解（decomposition）在一個(gè)特定的系統(tǒng)里，找67失誤-樹（Fault-tree）分析一種自上而下的演繹法技術(shù)。把風(fēng)險(xiǎn)或危險(xiǎn)放在樹的根上，再找出可以導(dǎo)致該危險(xiǎn)的系統(tǒng)狀態(tài)。在合適的地方加入‘a(chǎn)nd’或‘or’條件。目標(biāo)應(yīng)該是使引起系統(tǒng)失效的單一原因（singlecauses）的數(shù)量降至最低。失誤-樹（Fault-tree）分析一種自上而下的演繹法技術(shù)68胰島素泵的失誤-樹胰島素泵的失誤-樹69降低風(fēng)險(xiǎn)的評估這個(gè)過程的目標(biāo)是識別出可信度需求，即說明應(yīng)該如何管理風(fēng)險(xiǎn)以及確保不會發(fā)生意外和事故。降低風(fēng)險(xiǎn)的策略（strategies）風(fēng)險(xiǎn)規(guī)避（Riskavoidance）；風(fēng)險(xiǎn)檢測與排除（Riskdetectionandremoval）；危害限制（Damagelimitation）。降低風(fēng)險(xiǎn)的評估這個(gè)過程的目標(biāo)是識別出可信度需求，即說明應(yīng)該如70策略應(yīng)用（Strategyuse）通常在關(guān)鍵系統(tǒng)上要綜合使用降低風(fēng)險(xiǎn)的策略。在一個(gè)化工廠的控制系統(tǒng)中，它含有檢測和校正反應(yīng)器過壓的傳感器。然而，它也含有一個(gè)單獨(dú)的保護(hù)系統(tǒng)，以便在檢測到危險(xiǎn)高壓后打開某個(gè)安全閥（reliefvalve）。策略應(yīng)用（Strategyuse）通常在關(guān)鍵系統(tǒng)上要綜合使71胰島素泵的軟件風(fēng)險(xiǎn)算術(shù)誤差（Arithmeticerror）一個(gè)計(jì)算導(dǎo)致一個(gè)變量值上溢（overflow）和下溢（underflow）；可能包含一個(gè)對每類算術(shù)誤差的例外句柄（exceptionhandler）。算法誤差（Algorithmicerror）把將要分發(fā)的劑量與前次劑量或與安全最小劑量進(jìn)行比較。如果劑量太高則要降低它。胰島素泵的軟件風(fēng)險(xiǎn)算術(shù)誤差（Arithmeticerror72胰島素泵的安全需求SR1：每次注射劑量不能超過系統(tǒng)用戶的指定最大量。SR2：每天注射的累計(jì)劑量不能超過系統(tǒng)用戶的指定最大量。SR3：系統(tǒng)應(yīng)該含有一個(gè)硬件診斷設(shè)施，每小時(shí)至少執(zhí)行4次。SR4：系統(tǒng)應(yīng)該含有一個(gè)可以針對所有已經(jīng)識別的例外的處理程序。SR5：當(dāng)發(fā)現(xiàn)任何硬件和軟件的異常以及收到診斷信息的時(shí)候，發(fā)出聲音警報(bào)。SR6：在系統(tǒng)警報(bào)時(shí)，胰島素注射應(yīng)該中止，直到用戶消除警報(bào)和進(jìn)行系統(tǒng)復(fù)位為止。胰島素泵的安全需求SR1：每次注射劑量不能超過系統(tǒng)用戶的指定73安全性規(guī)格說明一個(gè)系統(tǒng)的安全性需求應(yīng)該分別進(jìn)行說明。這些需求應(yīng)該建立在對風(fēng)險(xiǎn)和對可能發(fā)生的危險(xiǎn)的分析基礎(chǔ)上。安全性需求通常被應(yīng)用于一個(gè)系統(tǒng)的整體而不是個(gè)別的子系統(tǒng)。在系統(tǒng)工程術(shù)語中，一個(gè)系統(tǒng)的安全性是一種自然特性（emergentproperty）。安全性規(guī)格說明一個(gè)系統(tǒng)的安全性需求應(yīng)該分別進(jìn)行說明。74國際電工委員會標(biāo)準(zhǔn)(IEC61508)是一項(xiàng)專門為保護(hù)系統(tǒng)而設(shè)計(jì)的安全管理國際標(biāo)準(zhǔn)，它并不適用于所有的安全性關(guān)鍵的系統(tǒng)。它結(jié)合了一個(gè)安全生命周期模型，涵蓋了從范圍定義到系統(tǒng)退役的所有安全管理的方面。國際電工委員會標(biāo)準(zhǔn)(IEC61508)是一項(xiàng)專門為保護(hù)系75控制系統(tǒng)的安全需求控制系統(tǒng)的安全需求76?IanSommerville2000 Dependablesystemsspecification Slide77安全生命周期?IanSommerville2000 Dependa77安全性需求功能安全性需求（Functionalsafetyrequirements）這些需求定義了保護(hù)系統(tǒng)的安全功能，即定義了系統(tǒng)應(yīng)該提供什么樣的保護(hù)。安全完整性需求（Safetyintegrityrequirements）這些需求定義了保護(hù)系統(tǒng)的可獲性和可靠性。它們以預(yù)期的用法為基礎(chǔ)并且采用從一至四個(gè)安全完整性級別進(jìn)行分類。安全性需求功能安全性需求（Functionalsafety78保密性規(guī)格說明與安全性規(guī)格說明有些相似對保密性需求進(jìn)行定量規(guī)格說明是不可能的；需求常常用“不應(yīng)該”而不是用“應(yīng)該”來描述。差別對一個(gè)保密性管理的生命周期還沒有定義完備的觀念。它沒有標(biāo)準(zhǔn)；只有一般性的威脅而沒有系統(tǒng)特定的危險(xiǎn)；具有成熟的保密技術(shù)（加密，等等）。然而，當(dāng)把這些技術(shù)轉(zhuǎn)化到一般性的用途上的時(shí)候就會出現(xiàn)問題；單獨(dú)的供應(yīng)商（微軟）的主導(dǎo)地位意味著大量的系統(tǒng)可能會受到保密性失效的影響。保密性規(guī)格說明與安全性規(guī)格說明有些相似79保密性規(guī)格說明過程保密性規(guī)格說明過程80保密性規(guī)格說明步驟財(cái)產(chǎn)識別和估值識別出財(cái)產(chǎn)（數(shù)據(jù)和程序）和它們所需要的保護(hù)程度。保護(hù)程度依賴于財(cái)產(chǎn)的價(jià)值，因此一個(gè)密碼文件要比一組公共網(wǎng)頁更有價(jià)值。威脅分析和風(fēng)險(xiǎn)評估要識別出可能發(fā)生的保密性威脅，并要估計(jì)到與每個(gè)這種威脅有關(guān)的風(fēng)險(xiǎn)。威脅分配把已經(jīng)識別的威脅與財(cái)產(chǎn)聯(lián)系起來，這樣就可以就每個(gè)已經(jīng)識別的財(cái)產(chǎn)列出一張與威脅關(guān)聯(lián)的表格。保密性規(guī)格說明步驟財(cái)產(chǎn)識別和估值81Stagesinsecurityspecification技術(shù)分析對獲得的保密技術(shù)及其是否可用在識別出的威脅上進(jìn)行評估。保密性需求規(guī)格說明要對保密性需求進(jìn)行規(guī)格說明。在規(guī)格說明中適當(dāng)?shù)牡胤?，要明確解釋保密技術(shù)用在保護(hù)系統(tǒng)免受各種不同威脅的作用。Stagesinsecurityspecificati82保密性需求的種類Identificationrequirements.識別需求。Authenticationrequirements.鑒定需求。Authorizationrequirements.授權(quán)需求。Immunityrequirements.免疫需求（抗病毒性）。Integrityrequirements.完整性需求。Intrusiondetectionrequirements.侵入檢測需求。Non-repudiationrequirements.非否定需求。Privacyrequirements.隱匿需求。Securityauditingrequirements.保密審計(jì)需求。Systemmaintenancesecurityrequirements.系統(tǒng)維護(hù)保密性需求。保密性需求的種類Identificationrequire83LIBSYS保密性需求LIBSYS保密性需求84系統(tǒng)可靠性規(guī)格說明硬件可靠性（Hardwarereliability）硬件組件失敗的可能性有多大以及修復(fù)該組件需要多長時(shí)間？軟件可靠性（Softwarereliability

）一個(gè)軟件組件產(chǎn)生不正確的輸出的情況是怎樣的。軟件和硬件失效的區(qū)別在于軟件是沒有損耗的。即使是在產(chǎn)生不正確的結(jié)果之后它也能繼續(xù)運(yùn)行。操縱員可靠性（Operatorreliability）一個(gè)系統(tǒng)操作員出差錯(cuò)（makeanerror）的情況是怎樣的？系統(tǒng)可靠性規(guī)格說明硬件可靠性（Hardwarereliab85功能可靠性需求舉例需要定義出操作員全部輸入值的預(yù)定范圍，系統(tǒng)應(yīng)該對所有落在該預(yù)定范圍的操作員輸入值進(jìn)行檢查。在系統(tǒng)初始化的時(shí)候，它應(yīng)該對所有磁盤上的壞塊進(jìn)行檢查。系統(tǒng)必須用N版本編程方法來實(shí)現(xiàn)減速控制系統(tǒng)。系統(tǒng)必須才用Ada安全子集來實(shí)現(xiàn)，并用靜態(tài)分析方法進(jìn)行檢查。功能可靠性需求舉例需要定義出操作員全部輸入值的預(yù)定范圍，系統(tǒng)86系統(tǒng)可靠性所需要達(dá)到的水平必須能夠定量表達(dá)出來?？煽啃允莿?dòng)態(tài)的系統(tǒng)特性，與源代碼有關(guān)的可靠性規(guī)格說明是沒有意義的。每1000行的失誤數(shù)目不大于N個(gè)；它只對軟件交付后的過程分析有用。那時(shí)你可以試著對你的開發(fā)技術(shù)有多好做出評價(jià)。需要選擇合適的可靠性標(biāo)尺來說明整個(gè)系統(tǒng)的可靠性。非功能可靠性規(guī)格說明系統(tǒng)可靠性所需要達(dá)到的水平必須能夠定量表達(dá)出來。非功能可靠性87可靠性標(biāo)尺是系統(tǒng)可靠性的測量單位。系統(tǒng)可靠性測量是通過計(jì)算操作失效次數(shù)來實(shí)現(xiàn)的。并且在適當(dāng)?shù)牡胤?，還要把測量與加在系統(tǒng)上的要求和系統(tǒng)已經(jīng)運(yùn)行了多長的時(shí)間聯(lián)系起來。評估關(guān)鍵系統(tǒng)的可靠性需要一個(gè)長期的測量計(jì)劃?？煽啃詷?biāo)尺(metrics)可靠性標(biāo)尺是系統(tǒng)可靠性的測量單位?？煽啃詷?biāo)尺(metrics88可靠性標(biāo)尺(metrics)請求失效率——POFOD(Probabilityoffailureondemand)當(dāng)發(fā)出一個(gè)服務(wù)請求時(shí)系統(tǒng)失效的可能性。例如，0.001的響應(yīng)失效率意味著1000次服務(wù)請求中有一次可能會失效失效發(fā)生率——ROCOF(Rateoffailureoccurrence)出現(xiàn)未預(yù)期行為的發(fā)生概率。例如，2/100的失效發(fā)生率的意思是指在每100個(gè)操作時(shí)間單位里可能會失效2次。有時(shí)也把它稱為失效強(qiáng)度。失效平均時(shí)間——MTTF(Meantimetofailure)觀察到系統(tǒng)失效的平均時(shí)間。例如一個(gè)500MTTF的意思是在每500個(gè)時(shí)間單位里可能有一次失效。修復(fù)平均時(shí)間——MTTR(Meantimetorepair)從一個(gè)系統(tǒng)失效到它恢復(fù)服務(wù)的平均時(shí)間可獲率——AVAIL(Availability)在一個(gè)給定時(shí)間內(nèi)系統(tǒng)可以獲得使用的概率。例如，一個(gè)0.998的可獲率意味著在每1000個(gè)時(shí)間單位里系統(tǒng)可以獲得998個(gè)?？煽啃詷?biāo)尺(metrics)請求失效率——POFOD(Pro89請求失效率（POFOD)這是系統(tǒng)在接到服務(wù)請求時(shí)失效的幾率。這對于服務(wù)請求不連續(xù)和比較稀少的情況來說是有用的。適合于保護(hù)系統(tǒng)，其中的服務(wù)請求偶爾發(fā)生并且如果不交付服務(wù)可能會產(chǎn)生嚴(yán)重后果。相應(yīng)于許多具有例外管理組件的安全性關(guān)鍵系統(tǒng)一個(gè)化工廠里的緊急關(guān)閉系統(tǒng)。請求失效率（POFOD)這是系統(tǒng)在接到服務(wù)請求時(shí)失效的幾率。90失效發(fā)生率（ROCOF）反映系統(tǒng)失效的發(fā)生比率。失效發(fā)生率等于0.002意味著在每1000個(gè)操作時(shí)間單位里可能有2次失效。例如1000小時(shí)的運(yùn)行失效2次。相對于操作系統(tǒng)或事務(wù)處理系統(tǒng)而言，其中系統(tǒng)要頻繁處理大量的類同的請求信用卡處理系統(tǒng)，航線預(yù)定系統(tǒng)。失效發(fā)生率（ROCOF）反映系統(tǒng)失效的發(fā)生比率。91失效平均時(shí)間(MTTF)是觀察到系統(tǒng)失效的相隔時(shí)間度量。對穩(wěn)定的系統(tǒng)來說，它是失效發(fā)生率的倒數(shù)。失效平均時(shí)間等于500意味著失效相隔的平均時(shí)間是500個(gè)時(shí)