23、系统需求验证与模型仿真详解

系统需求验证与模型仿真详解

1. 验证与确认的概念

在系统开发过程中，验证（Verification）和确认（Validation）是两个关键概念。大多数工程师认为，验证意味着证明系统满足其需求，而确认则意味着证明系统满足实际需求。

验证可分为两种类型：
- 语法验证（Syntactic Verification） ：也称为形式合规性验证，主要验证模型是否符合项目建模标准指南，如模型的组织方式、包含的信息、命名约定、基本动作的动作语言等。每个项目都应有建模指南标准，以此来验证模型的语法正确性。
- 语义验证（Semantic Verification） ：即意义合规性验证，旨在证明模型内容的正确性。即使句子语法正确，也可能存在内容错误或无意义的情况，Douglass定律指出：任何能够表达有用信息的语言，也足以表达无意义的内容。

语义验证有以下几种技术：
| 验证技术 | 说明 | 优点 | 缺点 |
| — | — | — | — |
| 语义审查（Semantic Review） | 通过人工查看模型来确定其正确性 | 能发现模型中的微妙问题 | 审查者的注意力难以长时间集中，审查结果不够可靠，不能作为唯一的验证方式 |
| 测试（Testing） | 确定一组测试用例，包括特定输入值、顺序、时间和预期输出，将其应用于系统以验证其是否按预期运行 | 能更有效地证明系统的正确性，发现实际与期望的差异 | 无法完全测试系统，输入值、顺序和时间的组合几乎是无限的，成本和工作量会随着测试覆盖度的提高而增加 |
| 形式化（数学）分析（Formal (Mathematical) Analysis） | 将系统用数学精确的语言（如Z语言或谓词逻辑）表示，然后应用形式数学规则来证明系统的普遍性 | 是最强有力的验证形式 | 实施难度大，需要专业知识和大量努力；对不变量违反敏感，分析依赖于一些假设，违反这些假设会导致分析结果不可信 |

综合来看，语义验证的最佳方法是将审查、测试和分析三种方法结合使用。

验证和确认并不相同。确认意味着模型反映或满足利益相关者的真实需求，即使这些需求与系统要求中所述不同。传统方法中，通常通过创建利益相关者需求并审查描述系统的工作产品来进行确认，但这种方法存在利益相关者需求与实际需求之间的差距问题。许多系统虽然满足了需求，但未能满足真实需求而失败。敏捷方法强调客户在开发过程中的持续参与，以便尽早发现需求与客户真实需求的差异，从而调整开发方向和修改需求。而构建可执行模型，即使在模拟环境中执行，也能展示系统在利益相关者操作环境中的运行情况，提供更准确的系统有效性信息。

2. 模型模拟的基础概念

在系统开发中，模型模拟是一种重要的验证手段。这里所说的模型模拟并非指测试最终的系统，而是在详细设计、实现和制造之前验证系统模型。

SysML具有一些用于表示和捕获结构与行为的表达视图，Rhapsody SysML工具和Cameo Magic Draw Simulation Toolkit等工具都具备执行和调试模型、可视化和控制执行的强大功能。

• 可计算模型（Computable Model） ：指能够进行计算的模型，如F = ma，给定其中两个值，系统可以计算出第三个值。
• 可执行模型（Executable Model） ：是一种计算具有特定方向的可计算模型，有些过程是不可逆的，如鸡蛋无法复原、炸弹无法不爆炸。

模型模拟可应用于任何具有行为方面的模型，包括可执行需求模型和架构模型等。其目的包括：
- 评估模型的正确性。
- 探索假设情况。
- 理解元素在特定上下文中的协作方式。

3. 模型模拟的操作步骤

模型模拟的一般操作步骤如下：

graph LR
    A[定义模拟目的] --> B[定义结构上下文]
    B --> C[定义行为]
    C --> D[确定期望的输出或结果]
    D --> E[定义模拟结构]
    E --> F[创建模拟]
    F --> G[运行模拟]
    G --> H[分析模拟输出和结果]

• 定义模拟目的 ：明确进行模型模拟的原因，不同的目的会导致不同的模拟设置。常见的模拟目的包括：
  • 确保与用例关联的一组需求的完整性和正确性。
  • 证明一组接口的充分性。
  • 探索设计模型某部分的行为选项。
  • 证明架构符合一组需求。
  • 揭示复杂设计的涌现行为和属性。
  • 验证系统规范。
  • 验证系统架构。
  • 探索各种输入值、时间和顺序变化的后果（假设分析）。
• 定义结构上下文 ：确定在模拟期间将表现出行为或被用于表现行为的结构元素，包括块、用例、参与者及其结构属性，如值和流属性、端口以及结构元素之间的关系。
• 定义行为 ：从高层来看，活动和状态模型等行为规范提供系统上下文或单个结构元素的整体行为；从详细层面来看，操作和活动指定基本行为元素，通常用C、C++、Java或Ada等动作语言表达。需要注意的是，直接参与模拟和代码生成的SysML视图是活动和状态图，以及动作和操作定义中的动作语言代码片段，序列图仅部分具有建设性，用于描述特定示例，不指定行为。
• 确定期望的输出或结果 ：根据模拟目的，明确期望的输出或结果，如一组展示正确性的输出交互、不同条件下输出计算的正确性证明，或者只是观察某种操作的结果。清晰的期望有助于获得满意的结果。
• 定义模拟结构 ：指用于创建模拟的元素以及模拟配置或编译器选项。在Rhapsody中，表现为GMR（Generate - Make - Run）过程中要包含的包和元素集合，可能还包括外部模型库、编译代码库或手动开发的源代码文件。Rhapsody中的组件是由一组源元素构建的可执行文件，每个组件可以有多个配置，可指定不同的执行目标环境，如初始实例、要包含的外部文件、仪器级别、目标操作系统和编译器选择及选项。对于系统模型模拟，常见的设置是将仪器模式设置为动画，目标操作系统与建模环境相同（通常为Windows）。
• 创建模拟 ：在Rhapsody中，点击GMR按钮（或根据版本不同点击Simulate按钮）即可运行模型编译器生成代码，然后运行源代码编译器并执行生成的可执行文件。如果模型或基本动作存在问题，需要修复缺陷后重试。
• 运行模拟 ：创建可执行文件后，可以根据需要多次运行。使用GMR按钮时，可执行文件会自动运行，在Rhapsody中，可执行文件开始时处于暂停状态，需要点击执行工具栏中的Go或Go Idle按钮启动。为了记录结构元素在执行期间的交互，可以启动动画序列图。
• 分析模拟输出和结果 ：运行模拟的目的是产生输出或结果，分析这些输出可以得出结论，如需求是否完整、接口是否充分、架构是否按预期执行、在特定条件下出现了什么行为等。

3. 模型模拟示例

以Pegasus模型为例，模拟其中一个用例，具体步骤如下：
- 定义模拟目的 ：识别用例所代表的需求中的错误和差距。
- 定义结构上下文 ：模拟的执行上下文由内部块图展示，包括prtTrainingApp::aEBG_TrainingApp和prtRider::aEBG_Rider参与者块的连接实例，以及itsUc_EmulatedBasicGearing:Uc::EmulateBasicGearing用例块的实例。模型采用规范的组织结构，FunctionalAnalysisPkg包为每个用例包含一个子包，此例中的用例分析对应EmulateBasicGearingPkg包，主要结构元素包括用例块和参与者块，参与者块位于EmulateBasicGearingActorPkg嵌套包中。
- 定义行为 ：用例块状态机指定了系统在执行该用例时的行为，是需求的简洁可执行重述，而非系统设计规范。参与者块的状态机用于支持模拟，对参与者行为的详细说明称为参与者插桩，这是非规范性的，仅为方便模拟而进行。
- 确定期望的输出或结果 ：通过应用不同的测试用例，识别缺失的需求或证明模型所代表的需求是充分的。生成不同情况的动画序列图，检查捕获的序列，并与客户确认是否满足其需求。同时，监控输出值，确保骑手输入得到正确处理，正确信息发送到训练应用程序。此模拟为低保真模拟，不模拟将骑手输入扭矩和节奏转换为输出阻力所需的所有物理因素。期望验证骑手在齿轮限制内进行升档和降档操作时，内部齿轮能够正确改变并通知训练应用程序，并且输入功率相同时，较大的齿轮应产生较大的输出扭矩。模拟中要评估的条件包括：
- 升档时齿轮正确增加。
- 尝试超过最大齿轮时，齿轮不再增加。
- 降档时齿轮正确减少。
- 尝试低于最小齿轮时，齿轮不再减少。
- 给定输入力时，升档时输出阻力增加。
- 给定输入力时，降档时输出阻力减少。
- 定义模拟结构 ：EmulateBasicGearingExecutionScopePkg嵌套包包含与模拟结构相关的三个重要内容：
- 单个组件Emulate_Basic_GearingSim，指定模拟中要包含的模型范围，此例中仅需EmulateBasicGearingPkg。
- 组件可以有多个配置，Animate配置的重要设置包括仪器级别设置为动画，编译器设置为宿主开发环境的Cygwin C++，使用默认编译器开关。
- 内部块图中定义的部件或实例。此外，还可以使用简单的面板图来可视化和输入值、输入事件。
- 创建模拟 ：点击Generate/Make/Run（GMR）按钮或使用菜单选项Code | Generate生成模拟代码，然后使用Code | Build编译和构建。如果模型检查器、编译器或链接器发现问题，会停止并显示错误消息，需要修复问题后重试。
- 运行模拟 ：成功构建可执行文件后，使用GMR按钮时会自动运行。可执行文件开始时处于暂停状态，点击Go按钮启动应用程序并打开用于可视化和控制模拟的控制面板。同时启动动画序列图记录结构元素的交互。
- 分析模拟输出和结果 ：通过多次模拟运行捕获输入和输出。例如，第一次运行时，初始化模拟输出阻力为100，骑手提供功率值为200，增加齿轮后观察到齿轮增加，训练应用程序也随之更新。第二次运行时，尝试在最低档位降档，发现齿轮未减少，动画状态机显示选择了[else]路径。第三次运行时，将齿轮设置为135，两次增加齿轮，第一次增加后阻力值上升，第二次尝试超过最大齿轮（140）时，齿轮未增加。

通过以上步骤和示例可以看出，模型模拟在系统开发中能够有效验证模型的正确性，发现潜在问题，为系统的后续开发提供有力支持。

系统需求验证与模型仿真详解

4. 模型模拟在不同场景的应用

模型模拟在多种场景下都能发挥重要作用，以下是一些常见的应用场景：

4.1 需求验证场景

在需求验证阶段，模型模拟可以帮助确保需求的完整性和正确性。通过模拟不同的用例场景，检查系统是否能按照需求进行响应。例如，在一个电商系统中，模拟用户的下单、支付、退款等操作，验证系统是否能正确处理这些需求。具体操作步骤如下：
1. 定义模拟目的 ：验证电商系统需求的完整性和正确性。
2. 定义结构上下文 ：确定系统中的用户、商品、订单、支付等结构元素及其关系。
3. 定义行为 ：使用活动图或状态图描述用户下单、支付、退款等行为的流程。
4. 确定期望的输出或结果 ：期望系统能正确处理订单创建、支付成功、退款完成等操作，并记录相关信息。
5. 定义模拟结构 ：确定模拟所需的组件和配置，如数据库连接、接口调用等。
6. 创建模拟 ：使用工具生成模拟代码并编译运行。
7. 运行模拟 ：模拟不同用户的操作，记录系统的响应。
8. 分析模拟输出和结果 ：检查系统是否按照需求进行响应，是否存在需求遗漏或错误。

4.2 架构验证场景

架构验证时，模型模拟可以证明架构是否符合一组需求。例如，在一个分布式系统中，模拟不同节点之间的通信和数据传输，验证架构的合理性。操作步骤与需求验证场景类似，但重点在于验证架构的性能和可靠性。
1. 定义模拟目的 ：验证分布式系统架构的合理性和性能。
2. 定义结构上下文 ：确定系统中的节点、网络、数据存储等结构元素及其关系。
3. 定义行为 ：描述节点之间的通信协议、数据传输方式等行为。
4. 确定期望的输出或结果 ：期望系统能在不同负载下保持稳定的性能，数据传输准确无误。
5. 定义模拟结构 ：设置模拟的节点数量、网络带宽等参数。
6. 创建模拟 ：生成模拟代码并编译运行。
7. 运行模拟 ：模拟不同负载下的系统运行情况。
8. 分析模拟输出和结果 ：评估架构的性能和可靠性，发现潜在的瓶颈和问题。

4.3 探索设计选项场景

在设计过程中，模型模拟可以帮助探索不同的设计选项。例如，在一个机械设计中，模拟不同的结构和材料组合，评估其性能和成本。
1. 定义模拟目的 ：探索机械设计的最佳结构和材料组合。
2. 定义结构上下文 ：确定机械部件的结构和材料属性。
3. 定义行为 ：描述机械部件在不同工况下的力学行为。
4. 确定期望的输出或结果 ：期望找到性能最优且成本最低的设计方案。
5. 定义模拟结构 ：设置不同的结构和材料参数进行模拟。
6. 创建模拟 ：生成模拟代码并编译运行。
7. 运行模拟 ：模拟不同设计选项的性能。
8. 分析模拟输出和结果 ：比较不同设计选项的性能和成本，选择最优方案。

5. 模型模拟的优势与挑战

模型模拟在系统开发中具有诸多优势，但也面临一些挑战。

5.1 优势

• 提前发现问题 ：在详细设计和实现之前，通过模拟可以发现系统中的潜在问题，避免后期修改带来的高成本。例如，在软件开发中，提前发现算法的性能问题或接口的兼容性问题。
• 节省成本 ：避免了构建实际系统进行测试的高昂成本。例如，在航空航天领域，模拟飞行器的飞行性能可以节省大量的试飞成本。
• 支持决策 ：通过模拟不同的场景和选项，为决策提供依据。例如，在项目规划阶段，模拟不同的资源分配方案，选择最优的方案。
• 增强理解 ：帮助团队成员更好地理解系统的行为和工作原理。例如，通过动画序列图展示系统的交互过程，使非技术人员也能理解系统的运行机制。

5.2 挑战

• 模型准确性 ：模型的准确性直接影响模拟结果的可靠性。如果模型不能准确反映实际系统的行为，模拟结果可能会误导决策。例如，在模拟复杂的物理系统时，可能需要考虑多种因素，模型的简化可能导致结果不准确。
• 计算资源需求 ：复杂的模拟可能需要大量的计算资源和时间。例如，在模拟大规模的分布式系统时，需要高性能的计算机集群来支持。
• 人员技能要求 ：进行模型模拟需要具备一定的专业知识和技能。例如，使用专业的建模工具和编程语言，理解模拟的原理和方法。

6. 总结

模型模拟作为系统开发中的重要手段，在验证系统需求、架构以及探索设计选项等方面具有不可替代的作用。通过对验证与确认概念的理解，掌握模型模拟的基础概念和操作步骤，并结合实际应用场景，可以有效地利用模型模拟来提高系统开发的质量和效率。

虽然模型模拟面临一些挑战，但随着技术的不断发展，这些问题将逐步得到解决。未来，模型模拟将在更多领域得到广泛应用，为复杂系统的开发提供更强大的支持。在实际应用中，我们应根据具体的需求和场景，选择合适的模拟方法和工具，充分发挥模型模拟的优势，为系统的成功开发保驾护航。

以下是模型模拟在不同场景应用的操作步骤对比表格：
| 应用场景 | 定义模拟目的 | 定义结构上下文 | 定义行为 | 确定期望的输出或结果 | 定义模拟结构 | 创建模拟 | 运行模拟 | 分析模拟输出和结果 |
| — | — | — | — | — | — | — | — | — |
| 需求验证 | 验证需求完整性和正确性 | 确定系统中相关结构元素及其关系 | 描述需求对应的行为流程 | 系统按需求响应，无需求遗漏或错误 | 确定模拟所需组件和配置 | 生成模拟代码并编译运行 | 模拟不同操作，记录响应 | 检查系统响应，发现需求问题 |
| 架构验证 | 验证架构合理性和性能 | 确定架构中的结构元素及其关系 | 描述架构中元素的行为 | 系统在不同负载下稳定运行，数据传输准确 | 设置模拟参数，如节点数量、带宽等 | 生成模拟代码并编译运行 | 模拟不同负载下系统运行 | 评估架构性能和可靠性，发现瓶颈 |
| 探索设计选项 | 探索最佳设计方案 | 确定设计元素的属性 | 描述设计元素在不同工况下的行为 | 找到性能最优且成本最低方案 | 设置不同设计参数进行模拟 | 生成模拟代码并编译运行 | 模拟不同设计选项性能 | 比较不同方案，选择最优 |

下面是模型模拟在系统开发中的整体流程 mermaid 流程图：

graph LR
    A[明确系统开发需求] --> B[进行验证与确认规划]
    B --> C[构建系统模型]
    C --> D[定义模型模拟参数]
    D --> E[创建模拟]
    E --> F[运行模拟]
    F --> G[分析模拟结果]
    G --> H{结果是否满足需求}
    H -- 是 --> I[进行详细设计与实现]
    H -- 否 --> J[修改模型或参数]
    J --> D

通过以上内容，我们对系统需求验证和模型模拟有了更全面的了解，希望能为相关领域的开发者和研究者提供有益的参考。