第9章 软件体系结构的评估.ppt

第9章 软件体系结构评估,第9章 软件体系结构评估,9.1 体系结构评估概述,性能,性能是指系统的响应能力，即要经过多长时间才能对某个事件做出响应，或者在某段事件内系统所能处理的事件的个数。经常用单位事件内所处理事务的数量或系统完成某个事务处理所需的时间来对性能进行定量的表示。性能测试经常要使用基准测试程序（用以测量性能指标的特定事务集或工作量环境）。,可靠性(1),可靠性是软件系统在应用或系统错误面前，在意外或错误使用的情况下维持软件系统的功能特性的基本能力。可靠性通常用平均失效等待时间（MTTF）和平均失效间隔时间（MTBF）来衡量。在失效率为常数和修复时间很短的情况下，MTTF和MTBF几乎相等。,第9章 软件体系结构评估,9.1 体系结构评估概述,可靠性(2),容错 健壮性,第9章 软件体系结构评估,9.1 体系结构评估概述,第9章 软件体系结构评估,9.1 体系结构评估概述,可用性,可用性是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。,第9章 软件体系结构评估,9.1 体系结构评估概述,安全性,安全性是指系统在向合法用户提供服务的同时能够阻止非授权用户使用的企图或拒绝服务的能力。安全性是根据系统可能受到的安全威胁的类型来分类的。安全性又可划分为机密性、完整性、不可否认性及可控性等特性。其中，机密性保证信息不泄露给未授权的用户、实体或过程；完整性保证信息的完整和准确，防止信息被非法修改；可控性保证对信息的传播及内容具有控制的能力，防止为非法者所用。,第9章 软件体系结构评估,9.1 体系结构评估概述,可修改性,可维护性 可扩展性 结构重组 可移植性,第9章 软件体系结构评估,9.1 体系结构评估概述,功能性,功能性是系统所能完成所期望的工作的能力。一项任务的完成需要系统中许多或大多数构件的相互协作。,第9章 软件体系结构评估,9.1 体系结构评估概述,可变性,可变性是指体系结构经扩充或变更而成为新体系结构的能力。这种新体系结构应该符合预先定义的规则，在某些具体方面不同于原有的体系结构。当要将某个体系结构作为一系列相关产品（例如，软件产品线）的基础时，可变性是很重要的。,第9章 软件体系结构评估,9.1 体系结构评估概述,集成性,可集成性是指系统能与其他系统协作的程度。,第9章 软件体系结构评估,9.1 体系结构评估概述,互操作性,作为系统组成部分的软件不是独立存在的，经常与其他系统或自身环境相互作用。为了支持互操作性，软件体系结构必须为外部可视的功能特性和数据结构提供精心设计的软件入口。程序和用其他编程语言编写的软件系统的交互作用就是互操作性的问题，这种互操作性也影响应用的软件体系结构。,第9章 软件体系结构评估,9.1 体系结构评估概述,基本概念,（1）敏感点和权衡点 敏感点是一个或多个构件（和/或构件之间的关系）的特性。研究敏感点可使设计人员或分析员明确在搞清楚如何实现质量目标时应注意什么。权衡点是影响多个质量属性的特性，是多个质量属性的敏感点。例如，改变加密级别可能会对安全性和性能产生非常重要的影响。提高加密级别可以提高安全性，但可能要耗费更多的处理时间，影响系统性能。如果某个机密消息的处理有严格的时间延迟要求，则加密级别可能就会成为一个权衡点。,第9章 软件体系结构评估,9.1 体系结构评估概述,基本概念,（2）风险承担者系统的体系结构涉及到很多人的利益，这些人都对体系结构施加各种影响，以保证自己的目标能够实现。,第9章 软件体系结构评估,9.1 体系结构评估概述,基本概念,（3）场景(1)在进行体系结构评估时，一般首先要精确地得出具体的质量目标，并以之作为判定该体系结构优劣的标准。我们把为得出这些目标而采用的机制叫做场景。场景是从风险承担者的角度对与系统的交互的简短描述。在体系结构评估中，一般采用刺激、环境和响应三方面来对场景进行描述。,第9章 软件体系结构评估,9.1 体系结构评估概述,基本概念,（3）场景(2)刺激是场景中解释或描述风险承担者怎样引发与系统的交互部分。例如，用户可能会激发某个功能，维护人员可能会做某个更改，测试人员可能会执行某种测试等，这些都属于对场景的刺激。环境描述的是刺激发生时的情况。例如，当前系统处于什么状态？有什么特殊的约束条件？系统的负载是否很大？某个网络通道是否出现了阻塞等。响应是指系统是如何通过体系结构对刺激作出反应的。例如，用户所要求的功能是否得到满足？维护人员的修改是否成功？测试人员的测试是否成功等。,第9章 软件体系结构评估,9.2 SA评估的主要方式,主要的评估方式,基于调查问卷或检查表的评估方式 基于场景的评估方式 基于度量的评估方式,第9章 软件体系结构评估,基于调查问卷或检查表的评估方式(1),CMU/SEI的软件风险评估过程采用了这一方式。调查问卷是一系列可以应用到各种体系结构评估的相关问题，其中有些问题可能涉及到体系结构的设计决策；有些问题涉及到体系结构的文档，有的问题针对体系结构描述本身的细节问题。检查表中也包含一系列比调查问卷更细节和具体的问题，它们更趋向于考察某些关心的质量属性。,9.2 SA评估的主要方式,第9章 软件体系结构评估,基于调查问卷或检查表的评估方式(2),这一评估方式比较自由灵活，可评估多种质量属性，也可以在软件体系结构设计的多个阶段进行。但是由于评估的结果很大程度上来自评估人员的主观推断，因此不同的评估人员可能会产生不同甚至截然相反的结果，而且评估人员对领域的熟悉程度、是否具有丰富的相关经验也成为评估结果是否正确的重要因素。尽管基于调查问卷与检查表的评估方式相对比较主观，但由于系统相关的人员的经验和知识是评估软件体系结构的重要信息来源，因而它仍然是进行软件体系结构评估的重要途径之一。,9.2 SA评估的主要方式,第9章 软件体系结构评估,基于场景的评估方式(1),基于场景的方式由SEI首先提出并应用在体系结构权衡分析方法（ATAM）和软件体系结构分析方法（SAAM）中。这种软件体系结构评估方式分析软件体系结构对场景也就是对系统的使用或修改活动的支持程度，从而判断该体系结构对这一场景所代表的质量需求的满足程度。例如，用一系列对软件的修改来反映易修改性方面的需求，用一系列攻击性操作来代表安全性方面的需求等。,9.2 SA评估的主要方式,第9章 软件体系结构评估,基于场景的评估方式(2),这一评估方式考虑到了包括系统的开发人员、维护人员、最终用户、管理人员、测试人员等在内的所有与系统相关的人员对质量的要求。基于场景的评估方式涉及到的基本活动包括确定应用领域的功能和软件体系结构的结构之间的映射，设计用于体现待评估质量属性的场景以及分析软件体系结构对场景的支持程度。不同的应用系统对同一质量属性的理解可能不同，例如，对操作系统来说，可移植性被理解为系统可在不同的硬件平台上运行，而对于普通的应用系统而言，可移植性往往是指该系统可在不同的操作系统上运行。由于存在这种不一致性，对一个领域适合的场景设计在另一个领域内未必合适，因此基于场景的评估方式是特定于领域的。这一评估方式的实施者一方面需要有丰富的领域知识以对某以质量需求设计出合理的场景，另一方面，必须对待评估的软件体系结构有一定的了解以准确判断它是否支持场景描述的一系列活动。,9.2 SA评估的主要方式,第9章 软件体系结构评估,基于度量的评估方式(1),度量是指为软件产品的某一属性所赋予的数值，如代码行数、方法调用层数、构件个数等。传统的度量研究主要针对代码，但近年来也出现了一些针对高层设计的度量，软件体系结构度量即是其中之一。代码度量和代码质量之间存在着重要的联系，类似地，软件体系结构度量应该也能够作为评判质量的重要的依据。赫尔辛基大学提出的基于模式挖掘的面向对象软件体系结构度量技术、Karlskrona和Ronneby提出的基于面向对象度量的软件体系结构可维护性评估、西弗吉尼亚大学提出的软件体系结构度量方法等都在这方面进行了探索，提出了一些可操作的具体方案。我们把这类评估方式称作基于度量的评估方式。,9.2 SA评估的主要方式,第9章 软件体系结构评估,基于度量的评估方式(2),基于度量的评估技术都涉及三个基本活动：首先需要建立质量属性和度量之间的映射原则，即确定怎样从度量结果推出系统具有什么样的质量属性；然后从软件体系结构文档中获取度量信息；最后根据映射原则分析推导出系统的某些质量属性。因此，这些评估技术被认为都采用了基于度量的评估方式。基于度量的评估方式提供更为客观和量化的质量评估。这一评估方式需要在软件体系结构的设计基本完成以后才能进行，而且需要评估人员对待评估的体系结构十分了解，否则不能获取准确的度量。自动的软件体系结构度量获取工具能在一定程度上简化评估的难度，例如MAISA可从文本格式的UML图中抽取面向对象体系结构的度量。,9.2 SA评估的主要方式,第9章 软件体系结构评估,三种评估方式的比较,9.2 SA评估的主要方式,第9章 软件体系结构评估,9.3 ATAM评估方法,ATAM评估的步骤,整个ATAM评估过程包括九个步骤，按其编号顺序分别是描述ATAM方法、描述商业动机、描述体系结构、确定体系结构方法、生成质量属性效用树、分析体系结构方法、讨论和分级场景、分析体系结构方法（是第六步的重复）、描述评估结果。,第9章 软件体系结构评估,描述ATAM方法,ATAM评估的第一步要求评估小组负责人向参加会议的风险承担者介绍ATAM评估方法。在这一步，要解释每个人将要参与的过程，并预留出解答疑问的时间，设置好其他活动的环境和预期结果。关键是要使每个人都知道要收集哪些信息，如何描述这些信息，将要向谁报告等。特别是要描述以下事项：（1）ATAM方法步骤简介；（2）获取和分析技术：效用树的生成，基于体系结构方法的获取/分析，场景的映射等；（3）评估结果：所得出的场景及其优先级，用户理解/评估体系结构的问题，描述驱动体系结构的需求并对这些需求进行分类，所确定的一组体系结构方法和风格，一组所发现的风险点和无风险点、敏感点和权衡点。,9.3 ATAM评估方法,第9章 软件体系结构评估,描述商业动机,参加评估的所有人员必须理解待评估的系统，在这一步，项目经理要从商业角度介绍系统的概况,商业环境/驱动描述（约12张幻灯片，45分钟）（1）描述商业环境、历史、市场划分、驱动需求、风险承担者、当前需要以及系统如何满足这些需要（3-4张幻灯片）。（2）描述商业方面的约束条件（例如：推向市场的时间、客户需求、标准和成本等）（1-3张幻灯片）。（3）描述技术方面的约束条件（例如：COTS、与其他系统的互操作、所需要的软硬件平台、遗留代码的重用等）（1-3张幻灯片）。（4）质量属性需求（例如：系统平台、可用性、安全性、可修改性、互操作性、集成性和这些需求来自的商业需要）（2-3张幻灯片）。（5）术语表（1张幻灯片）。,9.3 ATAM评估方法,第9章 软件体系结构评估,描述商业动机,除了初步从高级抽象层介绍系统本身外，一般来说，还要描述：系统最重要的功能需求。技术、管理、经济或政治方面的约束条件。商业目标和环境。主要的风险承担者。体系结构驱动因素（形成体系结构的主要质量属性目标）。,9.3 ATAM评估方法,第9章 软件体系结构评估,描述体系结构(1),在这一步中，首席设计师或设计小组要对体系结构进行详略适当的介绍，这里的“详略适当”取决于多个因素，例如有多少信息已经决定了下来，并形成了文档；可用时间是多少；系统面临的风险有哪些等。这一步很重要，将直接影响到可能要做的分析及分析的质量。在进行更详细的分析之前，评估小组通常需要收集和记录一些额外的体系结构信息。,9.3 ATAM评估方法,第9章 软件体系结构评估,描述体系结构(2),体系结构描述（约20张幻灯片，60分钟）（1）驱动体系结构的需求（例如：性能、可用性、安全性、可修改性、互操作性、集成性等），以及与这些需求相关的可度量的量和满足这些需求的任何存在的标准、模型或方法（2-3张幻灯片）。（2）高层体系结构视图（4-8张幻灯片）。功能：函数、关键的系统抽象、领域元素及其依赖关系、数据流；模块/层/子系统：描述系统功能组成的子系统、层、模块，以及对象、过程、函数及它们之间的关系（例如：过程调用、方法使用、回调和包含等）；进程/线程：进程、线程及其同步，数据流和与之相连的事件；硬件：CPU、存储器、外设/传感器，以及连接这些硬件的网络和通信设备。,9.3 ATAM评估方法,第9章 软件体系结构评估,描述体系结构(3),（3）所采用的体系结构方法或风格，包括它们所强调的质量属性和如何实现的描述（3-6张幻灯片）。（4）COTS的使用，以及如何选择和集成（1-2张幻灯片）。（5）介绍1-3个最重要的用例场景，如果可能，应包括对每个场景的运行资源的介绍（1-3张幻灯片）。（6）介绍1-3个最重要的变更场景，如果可能，应描述通过变更构件、连接件或接口所带来的影响（1-3张幻灯片）。（7）与满足驱动体系结构需求相关的体系结构问题或风险（2-3张幻灯片）。（8）术语表（1张幻灯片）。,9.3 ATAM评估方法,第9章 软件体系结构评估,确定体系结构方法,ATAM评估方法主要通过理解体系结构方法来分析体系结构，在这一步，由设计师确定体系结构方法，由分析小组捕获，但不进行分析。ATAM评估方法之所以强调体系结构方法和体系结构风格的确定，是因为这些内容代表了实现最高优先级的质量属性的体系结构手段。也就是说，它们是保证关键需求按计划得以实现的手段。这些体系结构方法定义了系统的重要结构，描述了系统得以扩展的途径，对变更的响应，对攻击的防范以及与其他系统的集成等。,9.3 ATAM评估方法,第9章 软件体系结构评估,生成质量属性效用树(1),评估小组、设计小组、管理人员和客户代表一起确定系统最重要的质量属性目标，并对这些质量目标设置优先级和细化。这一步很关键，它对以后的分析工作起指导作用。即使是体系结构级的分析，也并不一定是全局的，所以，评估人员需要集中所有相关人员的精力，注意体系结构的各个方面，这对系统的成败起关键作用。这通常是通过构建效用树的方式来实现的。效用树的输出结果是对具体质量属性需求（以场景形式出现）的优先级的确定，这种优先级列表为ATAM评估方法的后面几步提供了指导，它告诉了评估小组该把有限的时间花在哪里，特别是该在哪里去考察体系结构方法与相应的风险、敏感点和权衡点。另外，效用树可使质量属性需求具体化，使评估小组和客户能精确地定义自己的需求。,9.3 ATAM评估方法,第9章 软件体系结构评估,生成质量属性效用树(2),9.3 ATAM评估方法,第9章 软件体系结构评估,分析体系结构方法(1),一旦有了效用树的结果，评估小组可以对实现重要质量属性的体系结构方法进行考察。这是通过注意文档化这些体系结构决策和确定它们的风险、敏感点和权衡点等来实现的。在这一步中，评估小组要对每一种体系结构方法都考察足够的信息，完成与该方法有关的质量属性的初步分析。这一步的主要结果是一个体系结构方法或风格的列表，与之相关的一些问题，以及设计师对这些问题的回答。通常产生一个风险列表、敏感点和权衡点列表。,9.3 ATAM评估方法,第9章 软件体系结构评估,分析体系结构方法(2),9.3 ATAM评估方法,第9章 软件体系结构评估,分析体系结构方法(3),9.3 ATAM评估方法,第9章 软件体系结构评估,讨论和分级场景(1),风险承担者需进行两项相关的活动：集体讨论用例场景（描述风险承担者期望使用系统的方式）和改变场景（描述风险承担者所期望的系统在将来变更的方式）。用例场景是场景的一种，在用例场景中，风险承担者是一个终端用户，使用系统执行一些功能。改变场景代表系统的变更，可分为成长场景和考察场景两类。成长场景描述的是体系结构在中短期的改变，包括期望的修改、性能或可用性的变更、移植性、与其他软件系统的集成等。考察场景描述的是系统成长的一个极端情形，即体系结构由下列情况所引起的改变：根本性的性能或可用性需求（例如数量级的改变）、系统基础结构或任务的重大变更等。成长场景能够使评估人员看清在预期因素影响系统时，体系结构所表现出来的优缺点，而考察场景则试图找出敏感点和权衡点，这些点的确定有助于评估者评估系统质量属性的限制。,9.3 ATAM评估方法,第9章 软件体系结构评估,讨论和分级场景(2),一旦收集了若干个场景后，必须要设置优先级。评估人员可通过投票表决的方式来完成，每个风险承担者分配相当于总场景数的30%的选票，且此数值只入不舍。例如，如果共有17个场景，则每个风险承担者将拿到6张选票，这6张选票的具体使用则取决于风险承担者，他可以把这6张票全部投给某一个场景，或者每个场景投2-3张票，还可以一个场景一张票等。一旦投票结果确定，所有场景就可设置优先级。设置优先级和投票的过程既可公开也可保密。,9.3 ATAM评估方法,第9章 软件体系结构评估,讨论和分级场景(3),9.3 ATAM评估方法,第9章 软件体系结构评估,讨论和分级场景(4),9.3 ATAM评估方法,第9章 软件体系结构评估,分析体系结构方法,在收集并分析了场景之后，设计师就可把最高级别的场景映射到所描述的体系结构中，并对相关的体系结构如何有助于该场景的实现做出解释。在这一步中，评估小组要重复第6步中的工作，把新得到的最高优先级场景与尚未得到的体系结构工作产品对应起来。在第7步中，如果未产生任何在以前的分析步骤中都没有发现的高优先级场景，则在第8步就是测试步骤。,9.3 ATAM评估方法,第9章 软件体系结构评估,描述评估结果,最后，要把ATAM分析中所得到的各种信息进行归纳，并反馈给风险承担者。这种描述一般要采用辅以幻灯片的形式，但也可以在ATAM评估结束之后，提交更完整的书面报告。在描述过程中，评估负责人要介绍ATAM评估的各个步骤，以及各步骤中得到的各种信息，包括商业环境、驱动需求、约束条件和体系结构等。最重要的是要介绍ATAM评估的结果：（1）已文档化了的体系结构方法/风格；（2）场景及优先级；（3）基于属性的问题；（4）效用树；（5）所发现的风险决策；（6）已文档化了的无风险决策；（7）所发现的敏感点和权衡点。,9.3 ATAM评估方法,第9章 软件体系结构评估,ATAM评估的阶段,第一个阶段以体系结构为中心，重点是获取体系结构信息并进行分析。第二个阶段以风险承担者为中心，重点是获取风险承担者的观点，验证第一个阶段的结果。之所以要分为两个阶段，是因为评估人员要在第一个阶段收集信息。在整个ATAM评估过程中，评估小组中的部分人（通常是1-3人）要与体系结构设计师和1-2个其他关键的风险承担者（例如，项目经理，客户经理，市场代表）一起工作，收集信息。对支持分析而言，在大多数情况下，这种信息是不完整的或不适当的，所以，评估小组必须与体系结构设计师一起协作引导出必须的信息，这种协作通常要花几周的时间。当评估人员觉得已经收集了足够的信息，并已把这些信息记录成文档，则就可进入第二个阶段了。,9.3 ATAM评估方法,第9章 软件体系结构评估,第一阶段(1),ATAM评估小组要与提交待评估的体系结构的小组见面（或许这是双方第一次会见），这一会议有两方面的目的，一是组织和安排以后的工作，二是收集相关信息。从组织角度来看，体系结构小组负责人要保证让合适的人选参加后续会议，还要保证这些人为参加相关会议做了充分的准备，抱着正确的态度。第一天通常作为整个ATAM过程的一个缩影，主要关注1-6步的工作。第一次会议所收集的信息意味着要保证体系结构能得到正确的评估。同时，在第一次会议也会收集和分析一些初步的场景，作为理解体系结构、需要收集和提交的信息、所产生的场景的含义的一种途径。,9.3 ATAM评估方法,第9章 软件体系结构评估,第一阶段(2),例如，在第一天，体系结构设计师可能提交部分体系结构，确定部分体系结构风格或方法，创建初步的效用树，就选定的一组场景进行工作，展示每个场景是如何影响体系结构的（例如可修改性），体系结构又是如何作出响应的（例如：对质量属性而言，可以是性能、安全性和可用性）。其他的风险承担者（例如：关键开发人员、客户、项目经理等）可以描述商业环境、效用树的构建，以及产生场景的过程。第一个阶段是一个小型会议，评估小组需要尽可能多地收集有关信息，这些信息用来决定：（1）后续评估工作是否可行，能否顺利进行；（2）是否需要更多的体系结构文档。如果需要，则应明确需要哪些类型的文档，如何提交这些文档；（3）哪些风险承担者应参与第二个阶段的工作。,9.3 ATAM评估方法,第9章 软件体系结构评估,第一阶段(3),在这一天的最后，评估人员将对项目的状态和环境、驱动体系结构需求，以及体系结构文档都有较清晰的认识。在第一次会议和第二次会议之间有一段中断时间，其长短取决于第一个阶段完成的情况。在这段时间内，体系结构设计小组和要评估小组协作，做一些探索和分析工作。前面已经提到过，在第一个阶段中评估小组并不构建详细的分析模型，而是构建一些初步模型，以使评估人员和设计人员能对体系结构有更充分的认识，从而保证第二个阶段的工作更有效率。另外，在这段时间内，还要根据评估工作的需要、可用人员的状况和计划来决定评估小组的最终人选。例如，如果待评估的系统对安全性的要求很高，则需要让安全专家参与评估工作；如果待评估的系统是以数据为中心的，则需要让数据库设计方面的专家参与评估。,9.3 ATAM评估方法,第9章 软件体系结构评估,第二阶段,这时，体系结构已经被文档化，且有足够的信息来支持验证已经进行的分析和将要进行的分析。已经确定了参与评估工作的合适的风险承担者，并且给他们提供了一些书面阅读材料，如对ATAM方法的介绍，某些初步的场景，包括体系结构、商业案例和关键需求的系统文档等。这些阅读材料有助于保证风险承担者建立对ATAM评估方法的正确期望。因为将有更多的风险承担者参与第二次会议，且因为在第一次会议和第二次会议之间，可能还要间隔几天或几个星期，所以第二个阶段首先有必要重新简单介绍ATAM方法，以使所有与会者达成共同的理解。另外，在每一步进行之前，简单扼要地介绍该步的工作，也是很有好处的。,9.3 ATAM评估方法,第9章 软件体系结构评估,ATAM各步骤中相关的风险承担者,9.3 ATAM评估方法,第9章 软件体系结构评估,ATAM评估日程安排(1),9.3 ATAM评估方法,第9章 软件体系结构评估,ATAM评估日程安排(2),9.3 ATAM评估方法,第9章 软件体系结构评估,9.4 SAAMM评估方法,SAAM的评估步骤：（1）形成场景；（2）描述体系结构；（3）对场景进行分类和确定优先级；（4）对间接场景进行单个评估；（5）评估场景的相互作用；（6）形成总体评估。,第9章 软件体系结构评估,本章作业与思考题,1、为什么要评估软件体系结构？2、从哪些方面评估软件体系结构？3、ATAM评估方法的基本步骤是什么？,谢 谢！,