軟件工程課件 09關(guān)鍵系統(tǒng)規(guī)格說明.ppt

1、關(guān)鍵系統(tǒng)規(guī)格說明,Critical Systems Specification,關(guān)鍵系統(tǒng)規(guī)格說明,開發(fā)一個(gè)系統(tǒng)可獲性，可靠性，安全性和保密性的規(guī)格說明的過程和技術(shù) （Processes and techniques for developing a specification for system availability, reliability, safety and security）,Objectives,說明如何通過分析關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)來識別出系統(tǒng)的可信度需求。 說明如何從系統(tǒng)的風(fēng)險(xiǎn)分析中獲得安全需求。 解釋保密性需求的來歷。 描述用作可靠性規(guī)格說明的測量尺度。,Topics c

2、overed,基于風(fēng)險(xiǎn)驅(qū)動的規(guī)格說明 安全性規(guī)格說明 保密性規(guī)格說明 軟件可靠性規(guī)格說明,可信度需求,用功能需求來定義差錯(cuò)檢查、恢復(fù)工具和對系統(tǒng)失效的防范措施。 用非功能需求來定義系統(tǒng)所需要的可獲性和可靠性。 用排它需求來定義千萬不能發(fā)生的狀態(tài)和條件。,基于風(fēng)險(xiǎn)驅(qū)動的規(guī)格說明,關(guān)鍵系統(tǒng)的規(guī)格說明應(yīng)該是由風(fēng)險(xiǎn)驅(qū)動的（ risk-driven ）。 該方法已經(jīng)在安全和保密性至關(guān)重要的系統(tǒng)上廣泛使用。 規(guī)格說明過程的目標(biāo)應(yīng)該在于了解系統(tǒng)所面臨的風(fēng)險(xiǎn)以及說明降低這些風(fēng)險(xiǎn)的需要做的事情。,風(fēng)險(xiǎn)分析的步驟,風(fēng)險(xiǎn)識別（Risk identification） 識別出可能發(fā)生的潛在風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)分析和分類（Ri

3、sk analysis and classification） 評估每個(gè)風(fēng)險(xiǎn)的嚴(yán)重程度 風(fēng)險(xiǎn)分解（Risk decomposition） 找出風(fēng)險(xiǎn)的潛在根源 降低風(fēng)險(xiǎn)評估（Risk reduction assessment） 說明在系統(tǒng)設(shè)計(jì)階段如何消除和降低每一個(gè)風(fēng)險(xiǎn)。,基于風(fēng)險(xiǎn)的規(guī)格說明,風(fēng)險(xiǎn)識別,識別出關(guān)鍵系統(tǒng)所面臨的風(fēng)險(xiǎn)。 在安全性關(guān)鍵的系統(tǒng)中，風(fēng)險(xiǎn)就是那些能夠?qū)е乱馔獾奈ｋU(xiǎn)。 在保密性關(guān)鍵的系統(tǒng)中，風(fēng)險(xiǎn)就是那些對系統(tǒng)的潛在攻擊。 在風(fēng)險(xiǎn)識別中，需要識別出風(fēng)險(xiǎn)的類型及風(fēng)險(xiǎn)在這些分類中的地位 服務(wù)失效； 電氣上的風(fēng)險(xiǎn)； ,胰島素泵的風(fēng)險(xiǎn),胰島素過量（服務(wù)失效）。 胰島素劑量不足（服務(wù)失效）

4、。 由于電池耗盡引起的電源故障（電氣的） 與其它醫(yī)療設(shè)備的電氣接口（電氣的）。 傳感器和致動器的接觸很差（物理的）。 在體內(nèi)的機(jī)器部件脫落（物理的）。 由于引入機(jī)器而導(dǎo)致感染（生物的）。 對原料或胰島素的過敏反應(yīng)（生物的）。,風(fēng)險(xiǎn)分析和分類,包含對發(fā)生一個(gè)風(fēng)險(xiǎn)的可能性以及對將要發(fā)生的一個(gè)意外或事故的潛在后果的理解 把風(fēng)險(xiǎn)分類為： 不可接受的（Intolerable）。必須不能讓它發(fā)生或不能讓它引起一個(gè)意外。 在實(shí)際許可下盡可能低的（ALARP）。在給定成本和進(jìn)度的限制下，必須使風(fēng)險(xiǎn)的可能性降到最小。 可以接受的（Acceptable）。風(fēng)險(xiǎn)的后果是可以接受的，并且不需要付出額外的成本來降低危險(xiǎn)

5、的可能性。,風(fēng)險(xiǎn)級別,風(fēng)險(xiǎn)的社會接受度,一個(gè)風(fēng)險(xiǎn)的接受度是被社會和政治的因素所左右的。 在大多數(shù)社會而言，隨著時(shí)間的推移，上面的三角形區(qū)域中的兩條邊界會逐漸向上靠，也就是說，社會越來越不愿意接收風(fēng)險(xiǎn) 例如，雖說清除污染的成本可能會小于預(yù)防成本，但這可能不為社會所接受。 風(fēng)險(xiǎn)評估是主觀的 風(fēng)險(xiǎn)被認(rèn)定為類似于“大概的”，“可能的”等等。這取決于由誰來進(jìn)行評估。,風(fēng)險(xiǎn)評估,評估風(fēng)險(xiǎn)的可能性和嚴(yán)重程度。 通常不可能很精確，因此用一些相對值表達(dá)，例如“不太可能的”、“很少的”、“很高的”等等。 目標(biāo)是排除那些最有可能發(fā)生的或者是后果嚴(yán)重的風(fēng)險(xiǎn)。,胰島素泵的風(fēng)險(xiǎn)評估,風(fēng)險(xiǎn)分解（decomposition）

6、,在一個(gè)特定的系統(tǒng)里，找出風(fēng)險(xiǎn)的主要原因（root causes） 技術(shù)大多來源于安全性關(guān)鍵的系統(tǒng)，并可以是： 歸納法（Inductive），自下而上的技術(shù)。從提出的一個(gè)系統(tǒng)失效開始，評估由該失效可能導(dǎo)致的危險(xiǎn)。 演繹法（Deductive），自上而下的技術(shù)。以一個(gè)危險(xiǎn)為起點(diǎn)，推斷出可能引起它原因是什么。,失誤-樹（Fault-tree）分析,一種自上而下的演繹法技術(shù)。 把風(fēng)險(xiǎn)或危險(xiǎn)放在樹的根上，再找出可以導(dǎo)致該危險(xiǎn)的系統(tǒng)狀態(tài)。 在合適的地方加入and 或 or條件。 目標(biāo)應(yīng)該是使引起系統(tǒng)失效的單一原因（single causes）的數(shù)量降至最低。,胰島素泵的失誤-樹,降低風(fēng)險(xiǎn)的評估,這個(gè)過程

7、的目標(biāo)是識別出可信度需求，即說明應(yīng)該如何管理風(fēng)險(xiǎn)以及確保不會發(fā)生意外和事故。 降低風(fēng)險(xiǎn)的策略（strategies） 風(fēng)險(xiǎn)規(guī)避（Risk avoidance）； 風(fēng)險(xiǎn)檢測與排除（Risk detection and removal）； 危害限制（Damage limitation）。,策略應(yīng)用（Strategy use）,通常在關(guān)鍵系統(tǒng)上要綜合使用降低風(fēng)險(xiǎn)的策略。 在一個(gè)化工廠的控制系統(tǒng)中，它含有檢測和校正反應(yīng)器過壓的傳感器。 然而，它也含有一個(gè)單獨(dú)的保護(hù)系統(tǒng)，以便在檢測到危險(xiǎn)高壓后打開某個(gè)安全閥（relief valve）。,胰島素泵的軟件風(fēng)險(xiǎn),算術(shù)誤差（Arithmetic error）

8、一個(gè)計(jì)算導(dǎo)致一個(gè)變量值上溢（overflow）和下溢（underflow）； 可能包含一個(gè)對每類算術(shù)誤差的例外句柄（exception handler）。 算法誤差（Algorithmic error） 把將要分發(fā)的劑量與前次劑量或與安全最小劑量進(jìn)行比較。如果劑量太高則要降低它。,胰島素泵的安全需求,SR1：每次注射劑量不能超過系統(tǒng)用戶的指定最大量。 SR2：每天注射的累計(jì)劑量不能超過系統(tǒng)用戶的指定最大量。 SR3：系統(tǒng)應(yīng)該含有一個(gè)硬件診斷設(shè)施，每小時(shí)至少執(zhí)行4次。 SR4：系統(tǒng)應(yīng)該含有一個(gè)可以針對所有已經(jīng)識別的例外的處理程序。 SR5：當(dāng)發(fā)現(xiàn)任何硬件和軟件的異常以及收到診斷信息的時(shí)候，發(fā)出聲

9、音警報(bào)。 SR6：在系統(tǒng)警報(bào)時(shí)，胰島素注射應(yīng)該中止，直到用戶消除警報(bào)和進(jìn)行系統(tǒng)復(fù)位為止。,安全性規(guī)格說明,一個(gè)系統(tǒng)的安全性需求應(yīng)該分別進(jìn)行說明。 這些需求應(yīng)該建立在對風(fēng)險(xiǎn)和對可能發(fā)生的危險(xiǎn)的分析基礎(chǔ)上。 安全性需求通常被應(yīng)用于一個(gè)系統(tǒng)的整體而不是個(gè)別的子系統(tǒng)。在系統(tǒng)工程術(shù)語中，一個(gè)系統(tǒng)的安全性是一種自然特性（emergent property）。,國際電工委員會標(biāo)準(zhǔn)(IEC 61508),是一項(xiàng)專門為保護(hù)系統(tǒng)而設(shè)計(jì)的安全管理國際標(biāo)準(zhǔn)，它并不適用于所有的安全性關(guān)鍵的系統(tǒng)。 它結(jié)合了一個(gè)安全生命周期模型，涵蓋了從范圍定義到系統(tǒng)退役的所有安全管理的方面。,控制系統(tǒng)的安全需求,Ian Sommervi

10、lle 2000Dependable systems specification Slide 26,安全生命周期,安全性需求,功能安全性需求（Functional safety requirements） 這些需求定義了保護(hù)系統(tǒng)的安全功能，即定義了系統(tǒng)應(yīng)該提供什么樣的保護(hù)。 安全完整性需求（Safety integrity requirements） 這些需求定義了保護(hù)系統(tǒng)的可獲性和可靠性。它們以預(yù)期的用法為基礎(chǔ)并且采用從一至四個(gè)安全完整性級別進(jìn)行分類。,保密性規(guī)格說明,與安全性規(guī)格說明有些相似 對保密性需求進(jìn)行定量規(guī)格說明是不可能的； 需求常常用“不應(yīng)該”而不是用“應(yīng)該”來描述。 差別 對一

11、個(gè)保密性管理的生命周期還沒有定義完備的觀念。它沒有標(biāo)準(zhǔn)； 只有一般性的威脅而沒有系統(tǒng)特定的危險(xiǎn)； 具有成熟的保密技術(shù)（加密，等等）。然而，當(dāng)把這些技術(shù)轉(zhuǎn)化到一般性的用途上的時(shí)候就會出現(xiàn)問題； 單獨(dú)的供應(yīng)商（微軟）的主導(dǎo)地位意味著大量的系統(tǒng)可能會受到保密性失效的影響。,保密性規(guī)格說明過程,保密性規(guī)格說明步驟,財(cái)產(chǎn)識別和估值 識別出財(cái)產(chǎn)（數(shù)據(jù)和程序）和它們所需要的保護(hù)程度。保護(hù)程度依賴于財(cái)產(chǎn)的價(jià)值，因此一個(gè)密碼文件要比一組公共網(wǎng)頁更有價(jià)值。 威脅分析和風(fēng)險(xiǎn)評估 要識別出可能發(fā)生的保密性威脅，并要估計(jì)到與每個(gè)這種威脅有關(guān)的風(fēng)險(xiǎn)。 威脅分配 把已經(jīng)識別的威脅與財(cái)產(chǎn)聯(lián)系起來，這樣就可以就每個(gè)已經(jīng)識別的財(cái)

12、產(chǎn)列出一張與威脅關(guān)聯(lián)的表格。,Stages in security specification,技術(shù)分析 對獲得的保密技術(shù)及其是否可用在識別出的威脅上進(jìn)行評估。 保密性需求規(guī)格說明 要對保密性需求進(jìn)行規(guī)格說明。在規(guī)格說明中適當(dāng)?shù)牡胤剑鞔_解釋保密技術(shù)用在保護(hù)系統(tǒng)免受各種不同威脅的作用。,保密性需求的種類,Identification requirements. 識別需求。 Authentication requirements. 鑒定需求。 Authorization requirements. 授權(quán)需求。 Immunity requirements. 免疫需求（抗病毒性）。 Integri

13、ty requirements. 完整性需求。 Intrusion detection requirements. 侵入檢測需求。 Non-repudiation requirements. 非否定需求。 Privacy requirements. 隱匿需求。 Security auditing requirements. 保密審計(jì)需求。 System maintenance security requirements. 系統(tǒng)維護(hù)保密性需求。,LIBSYS 保密性需求,系統(tǒng)可靠性規(guī)格說明,硬件可靠性（Hardware reliability ） 硬件組件失敗的可能性有多大以及修復(fù)該組件需要多長

14、時(shí)間？ 軟件可靠性（Software reliability ） 一個(gè)軟件組件產(chǎn)生不正確的輸出的情況是怎樣的。軟件和硬件失效的區(qū)別在于軟件是沒有損耗的。即使是在產(chǎn)生不正確的結(jié)果之后它也能繼續(xù)運(yùn)行。 操縱員可靠性（Operator reliability ） 一個(gè)系統(tǒng)操作員出差錯(cuò)（make an error）的情況是怎樣的？,功能可靠性需求舉例,需要定義出操作員全部輸入值的預(yù)定范圍，系統(tǒng)應(yīng)該對所有落在該預(yù)定范圍的操作員輸入值進(jìn)行檢查。 在系統(tǒng)初始化的時(shí)候，它應(yīng)該對所有磁盤上的壞塊進(jìn)行檢查。 系統(tǒng)必須用N版本編程方法來實(shí)現(xiàn)減速控制系統(tǒng)。 系統(tǒng)必須才用Ada安全子集來實(shí)現(xiàn)，并用靜態(tài)分析方法進(jìn)行檢查。

15、,系統(tǒng)可靠性所需要達(dá)到的水平必須能夠定量表達(dá)出來。 可靠性是動態(tài)的系統(tǒng)特性，與源代碼有關(guān)的可靠性規(guī)格說明是沒有意義的。 每1000行的失誤數(shù)目不大于N個(gè)； 它只對軟件交付后的過程分析有用。那時(shí)你可以試著對你的開發(fā)技術(shù)有多好做出評價(jià)。 需要選擇合適的可靠性標(biāo)尺來說明整個(gè)系統(tǒng)的可靠性。,非功能可靠性規(guī)格說明,可靠性標(biāo)尺是系統(tǒng)可靠性的測量單位。 系統(tǒng)可靠性測量是通過計(jì)算操作失效次數(shù)來實(shí)現(xiàn)的。并且在適當(dāng)?shù)牡胤?，還要把測量與加在系統(tǒng)上的要求和系統(tǒng)已經(jīng)運(yùn)行了多長的時(shí)間聯(lián)系起來。 評估關(guān)鍵系統(tǒng)的可靠性需要一個(gè)長期的測量計(jì)劃。,可靠性標(biāo)尺(metrics),可靠性標(biāo)尺(metrics),請求失效率POFOD(

16、Probability of failure on demand) 當(dāng)發(fā)出一個(gè)服務(wù)請求時(shí)系統(tǒng)失效的可能性。例如，0.001的響應(yīng)失效率意味著1000次服務(wù)請求中有一次可能會失效 失效發(fā)生率ROCOF(Rate of failure occurrence) 出現(xiàn)未預(yù)期行為的發(fā)生概率。例如，2/100的失效發(fā)生率的意思是指在每100個(gè)操作時(shí)間單位里可能會失效2次。有時(shí)也把它稱為失效強(qiáng)度。 失效平均時(shí)間MTTF(Mean time to failure) 觀察到系統(tǒng)失效的平均時(shí)間。例如一個(gè)500MTTF的意思是在每500個(gè)時(shí)間單位里可能有一次失效。 修復(fù)平均時(shí)間MTTR(Mean time to r

17、epair) 從一個(gè)系統(tǒng)失效到它恢復(fù)服務(wù)的平均時(shí)間 可獲率AVAIL(Availability) 在一個(gè)給定時(shí)間內(nèi)系統(tǒng)可以獲得使用的概率。例如，一個(gè)0.998的可獲率意味著在每1000個(gè)時(shí)間單位里系統(tǒng)可以獲得998個(gè)。,請求失效率（POFOD),這是系統(tǒng)在接到服務(wù)請求時(shí)失效的幾率。這對于服務(wù)請求不連續(xù)和比較稀少的情況來說是有用的。 適合于保護(hù)系統(tǒng)，其中的服務(wù)請求偶爾發(fā)生并且如果不交付服務(wù)可能會產(chǎn)生嚴(yán)重后果。 相應(yīng)于許多具有例外管理組件的安全性關(guān)鍵系統(tǒng) 一個(gè)化工廠里的緊急關(guān)閉系統(tǒng)。,失效發(fā)生率（ROCOF）,反映系統(tǒng)失效的發(fā)生比率。 失效發(fā)生率等于0.002 意味著在每1000個(gè)操作時(shí)間單位里可

18、能有2次失效。例如1000小時(shí)的運(yùn)行失效2次。 相對于操作系統(tǒng)或事務(wù)處理系統(tǒng)而言，其中系統(tǒng)要頻繁處理大量的類同的請求 信用卡處理系統(tǒng)，航線預(yù)定系統(tǒng)。,失效平均時(shí)間(MTTF),是觀察到系統(tǒng)失效的相隔時(shí)間度量。對穩(wěn)定的系統(tǒng)來說，它是失效發(fā)生率的倒數(shù)。 失效平均時(shí)間等于500意味著失效相隔的平均時(shí)間是500個(gè)時(shí)間單位。 對應(yīng)于長時(shí)交易系統(tǒng)，即系統(tǒng)處理要很長時(shí)間。失效平均時(shí)間應(yīng)該大于交易時(shí)間 計(jì)算機(jī)輔助設(shè)計(jì)系統(tǒng)，其一個(gè)設(shè)計(jì)者要用好幾個(gè)小時(shí)進(jìn)行設(shè)計(jì)工作，還有文字處理器系統(tǒng)。,可獲率（AVAIL）,系統(tǒng)可以獲得使用所占的時(shí)間比率值。 計(jì)入修復(fù)和重新啟動系統(tǒng)的時(shí)間。 可獲率等于0.998意味著在1000個(gè)

19、時(shí)間單位里有998個(gè)是可獲得的。 對應(yīng)于不中斷的、連續(xù)運(yùn)行的系統(tǒng) 電話交換系統(tǒng)、鐵路信號燈系統(tǒng)。,非功能需求規(guī)格說明,可靠性測量沒有考慮到失效的后果。 瞬時(shí)失誤可能沒有什么實(shí)際后果，但除此之外的其它失誤卻可能導(dǎo)致數(shù)據(jù)損失或毀壞，甚至使系統(tǒng)不服務(wù)。 有必要區(qū)別不同的失效類型并對每種類型采取不同的測量標(biāo)準(zhǔn)。一定要構(gòu)建好可靠性規(guī)格說明。,失效后果,在對可靠性進(jìn)行規(guī)格說明的時(shí)候，不僅要考慮系統(tǒng)失效的數(shù)目，而且要考慮這些失效的后果。 很顯然，失效的后果遠(yuǎn)比能夠修正和恢復(fù)的那部分損害要大得多。 因此，在某些情況下要針對不同的失效類型定義不同的可靠性規(guī)格說明。,失效分類（Failure classification）,對每個(gè)子系統(tǒng)，分析可能發(fā)生的系統(tǒng)失效結(jié)果。 通過系統(tǒng)失效分析，把失效劃分成適當(dāng)?shù)念愋汀?對分出的每種失效類型，采用合適的測量標(biāo)準(zhǔn)來測定可靠性?？梢杂貌煌臉?biāo)準(zhǔn)針對不同的可靠性需求。 識別功能可靠性需求以降低嚴(yán)重失效的發(fā)生機(jī)會。,可靠性規(guī)格說明步驟,銀行自動出納系統(tǒng),每臺在網(wǎng)絡(luò)上的機(jī)器每天使用300