1、本资料来源软件体系结构的分析与评估软件体系结构的分析与评估体系结构评估概述体系结构评估概述体系结构评估是一种避免灾难的低成本手体系结构评估是一种避免灾难的低成本手段;段;体系结构评估的时机一般是在明确了体系体系结构评估的时机一般是在明确了体系结构之后、具体实现开始之前;结构之后、具体实现开始之前;实践原则是:应该在开发小组开始制定依实践原则是:应该在开发小组开始制定依赖于体系结构的决策时、修改这些决策的赖于体系结构的决策时、修改这些决策的代价超过体系结构的评估的代价时,实施代价超过体系结构的评估的代价时,实施体系结构评估。体系结构评估。体系结构评估的参与者体系结构评估的参与者评估小组:负责组织
2、评估并对评估结果进评估小组:负责组织评估并对评估结果进行分析。组成人员通常为评估小组负责人、行分析。组成人员通常为评估小组负责人、评估负责人、场景书记员、进展书记员、评估负责人、场景书记员、进展书记员、计时员、过程观察员、过程监督者、提问计时员、过程观察员、过程监督者、提问者。者。风险承担者:在该体系结构及根据该体系风险承担者:在该体系结构及根据该体系结构开发的系统中有既得利益的人。有些结构开发的系统中有既得利益的人。有些也将是开发小组成员,如编程人员、集成也将是开发小组成员,如编程人员、集成人员、测试人员和维护人员。比较特殊的人员、测试人员和维护人员。比较特殊的是项目决策者,包括体系结构设计
3、师、组是项目决策者,包括体系结构设计师、组件设计人员和项目管理人员。件设计人员和项目管理人员。评估所关注的质量属性评估所关注的质量属性性能(性能(performance)性能是指系统的响应能力,即要经过多长时性能是指系统的响应能力,即要经过多长时间才能对某个事件做出响应,或者在某段事间才能对某个事件做出响应,或者在某段事件内系统所能处理的事件的个数。件内系统所能处理的事件的个数。经常用单位事件内所处理事务的数量或系统经常用单位事件内所处理事务的数量或系统完成某个事务处理所需的时间来对性能进行完成某个事务处理所需的时间来对性能进行定量的表示。定量的表示。性能测试经常要使用基准测试程序(用以测性能
4、测试经常要使用基准测试程序(用以测量性能指标的特定事务集或工作量环境)。量性能指标的特定事务集或工作量环境)。评估所关注的质量属性评估所关注的质量属性可靠性(可靠性(reliability)(1)可靠性是软件系统在应用或系统错误面前,可靠性是软件系统在应用或系统错误面前,在意外或错误使用的情况下维持软件系统的在意外或错误使用的情况下维持软件系统的功能特性的基本能力。功能特性的基本能力。可靠性通常用平均失效等待时间(可靠性通常用平均失效等待时间(MTTF)和平均失效间隔时间(和平均失效间隔时间(MTBF)来衡量。在)来衡量。在失效率为常数和修复时间很短的情况下,失效率为常数和修复时间很短的情况下
5、,MTTF和和MTBF几乎相等。几乎相等。评估所关注的质量属性评估所关注的质量属性可靠性(可靠性(reliability)(2)容错容错:在错误发生时确保系统正确的行为,:在错误发生时确保系统正确的行为,并进行内部修复。如在一个分布式软件系统并进行内部修复。如在一个分布式软件系统中失去了一个与远程构件的连接,接着恢复中失去了一个与远程构件的连接,接着恢复了连接,在修复这样的错误后,系统可以重了连接,在修复这样的错误后,系统可以重新或重复执行进程间的操作。新或重复执行进程间的操作。健壮性健壮性:保护应用程序不受错误使用和错误:保护应用程序不受错误使用和错误输入的影响,在遇到意外错误事件时确保应输
6、入的影响,在遇到意外错误事件时确保应用系统处于已经定义好的状态。用系统处于已经定义好的状态。评估所关注的质量属性评估所关注的质量属性可用性(可用性(availability)可用性是系统能够正常运行的时间比例。经可用性是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。时系统能够恢复正常的速度来表示。评估所关注的质量属性评估所关注的质量属性安全性(安全性(security)安全性是指系统在向合法用户提供服务的同安全性是指系统在向合法用户提供服务的同时能够阻止非授权用户使用的企图或拒绝服时能够阻止非授权用户使
7、用的企图或拒绝服务的能力。安全性是根据系统可能受到的安务的能力。安全性是根据系统可能受到的安全威胁的类型来分类的。全威胁的类型来分类的。安全性又可划分为机密性、完整性、不可否安全性又可划分为机密性、完整性、不可否认性及可控性等特性。其中,机密性保证信认性及可控性等特性。其中,机密性保证信息不泄露给未授权的用户、实体或过程;完息不泄露给未授权的用户、实体或过程;完整性保证信息的完整和准确,防止信息被非整性保证信息的完整和准确,防止信息被非法修改;可控性保证对信息的传播及内容具法修改;可控性保证对信息的传播及内容具有控制的能力,防止为非法者所用。有控制的能力,防止为非法者所用。评估所关注的质量属性
8、评估所关注的质量属性可修改性(可修改性(modifiability)指能够快速地以较高的性能价格比对系统进指能够快速地以较高的性能价格比对系统进行变更的能力。行变更的能力。通常以某些具体的变更为基准,通过考察这通常以某些具体的变更为基准,通过考察这些变更的代价衡量可修改性。些变更的代价衡量可修改性。评估所关注的质量属性评估所关注的质量属性可修改性(可修改性(modifiability)可维护性(可维护性(maintainability):主要体现在问主要体现在问题的修复上:在错误发生后题的修复上:在错误发生后“修复修复”软件系软件系统;统;可扩展性(可扩展性(extendibility):使用
9、新特性来扩使用新特性来扩展软件系统,以及使用改进版本来替换构件展软件系统,以及使用改进版本来替换构件并删除不需要或不必要的特性和构件。为实并删除不需要或不必要的特性和构件。为实现可扩展性,需要松散耦合的构件。现可扩展性,需要松散耦合的构件。评估所关注的质量属性评估所关注的质量属性可修改性(可修改性(modifiability)结构重组(结构重组(reassemble):重新组织软件系重新组织软件系统的构件及构件间的关系。统的构件及构件间的关系。可移植性(可移植性(portability):使软件系统适用于使软件系统适用于多种硬件平台、用户界面、操作系统、编程多种硬件平台、用户界面、操作系统、编
10、程语言或编译器。是系统能够在不同计算环境语言或编译器。是系统能够在不同计算环境(硬件或软件)下运行的能力。(硬件或软件)下运行的能力。评估所关注的质量属性评估所关注的质量属性功能性功能性(functionality)功能性是系统所能完成所期望的工作的能力。功能性是系统所能完成所期望的工作的能力。一项任务的完成需要系统中许多或大多数构一项任务的完成需要系统中许多或大多数构件的相互协作。件的相互协作。评估所关注的质量属性评估所关注的质量属性可变性可变性(changeability)可变性是指体系结构经扩充或变更而成为新可变性是指体系结构经扩充或变更而成为新体系结构的能力。这种新体系结构应该符合体系
11、结构的能力。这种新体系结构应该符合预先定义的规则,在某些具体方面不同于原预先定义的规则,在某些具体方面不同于原有的体系结构。当要将某个体系结构作为一有的体系结构。当要将某个体系结构作为一系列相关产品(例如,软件产品线)的基础系列相关产品(例如,软件产品线)的基础时,可变性是很重要的。时,可变性是很重要的。评估所关注的质量属性评估所关注的质量属性可集成性可集成性(integrability)可集成性是指系统能与其他系统协作的程度。可集成性是指系统能与其他系统协作的程度。评估所关注的质量属性评估所关注的质量属性互操作性(互操作性(interoperation)作为系统组成部分的软件不是独立存在的,
12、作为系统组成部分的软件不是独立存在的,经常与其他系统或自身环境相互作用。为了经常与其他系统或自身环境相互作用。为了支持互操作性,软件体系结构必须为外部可支持互操作性,软件体系结构必须为外部可视的功能特性和数据结构提供精心设计的软视的功能特性和数据结构提供精心设计的软件入口。程序和用其他编程语言编写的软件件入口。程序和用其他编程语言编写的软件系统的交互作用就是互操作性的问题,这种系统的交互作用就是互操作性的问题,这种互操作性也影响应用的软件体系结构。互操作性也影响应用的软件体系结构。基本概念基本概念 敏感点(敏感点(sensitivity point)和权衡点)和权衡点(tradeoff poi
13、nt)是关键的体系结构决策。)是关键的体系结构决策。敏感点敏感点是一个或多个构件(和是一个或多个构件(和/或构件之间的关系)或构件之间的关系)的特性。研究敏感点可使设计人员或分析员明确在的特性。研究敏感点可使设计人员或分析员明确在搞清楚如何实现质量目标时应注意什么。搞清楚如何实现质量目标时应注意什么。权衡点权衡点是影响多个质量属性的特性,是多个质量属是影响多个质量属性的特性,是多个质量属性的敏感点。例如,改变加密级别可能会对安全性性的敏感点。例如,改变加密级别可能会对安全性和性能产生非常重要的影响。提高加密级别可以提和性能产生非常重要的影响。提高加密级别可以提高安全性,但可能要耗费更多的处理时
14、间,影响系高安全性,但可能要耗费更多的处理时间,影响系统性能。如果某个机密消息的处理有严格的时间延统性能。如果某个机密消息的处理有严格的时间延迟要求,则加密级别可能就会成为一个权衡点。迟要求,则加密级别可能就会成为一个权衡点。基本概念基本概念场景场景(1)在进行体系结构评估时,一般首先要精确地在进行体系结构评估时,一般首先要精确地得出具体的质量目标,并以之作为判定该体得出具体的质量目标,并以之作为判定该体系结构优劣的标准。我们把为得出这些目标系结构优劣的标准。我们把为得出这些目标而采用的机制叫做而采用的机制叫做场景场景。场景是从风险承担者的角度对与系统的交互场景是从风险承担者的角度对与系统的交
15、互的简短描述。在体系结构评估中,一般采用的简短描述。在体系结构评估中,一般采用刺激刺激、环境环境和和响应响应三方面来对场景进行描述。三方面来对场景进行描述。基本概念基本概念场景场景(2)刺激刺激是场景中解释或描述风险承担者怎样引是场景中解释或描述风险承担者怎样引发与系统的交互部分。例如,用户可能会激发与系统的交互部分。例如,用户可能会激发某个功能,维护人员可能会做某个更改,发某个功能,维护人员可能会做某个更改,测试人员可能会执行某种测试等,这些都属测试人员可能会执行某种测试等,这些都属于对场景的刺激。于对场景的刺激。环境环境描述的是刺激发生时的情况。例如,当描述的是刺激发生时的情况。例如,当前
16、系统处于什么状态?有什么特殊的约束条前系统处于什么状态?有什么特殊的约束条件?系统的负载是否很大?某个网络通道是件?系统的负载是否很大?某个网络通道是否出现了阻塞等。否出现了阻塞等。响应响应是指系统是如何通过体系结构对刺激作是指系统是如何通过体系结构对刺激作出反应的。例如,用户所要求的功能是否得出反应的。例如,用户所要求的功能是否得到满足?维护人员的修改是否成功?测试人到满足?维护人员的修改是否成功?测试人员的测试是否成功等。员的测试是否成功等。体系结构评估的结果体系结构评估的结果一份报告,提供若干信息:一份报告,提供若干信息:该体系结构是否与所要开发的系统相适应?该体系结构是否与所要开发的系
17、统相适应?针对所要开发的系统,在备选的两个或多个体系针对所要开发的系统,在备选的两个或多个体系结构中,哪一个是最合适的?结构中,哪一个是最合适的?体系结构评估的结果体系结构评估的结果适宜性:适宜性:根据体系结构开发出来的系统能够满足其质量要根据体系结构开发出来的系统能够满足其质量要求,即系统将会满足预期的性能要求、安全性要求,即系统将会满足预期的性能要求、安全性要求、功能需求等求、功能需求等可以利用现有的资源实现系统的开发。这些资源可以利用现有的资源实现系统的开发。这些资源包括人力、资金、旧的软件和所规定的系统交付包括人力、资金、旧的软件和所规定的系统交付的时间。的时间。体系结构评估的结果体系
18、结构评估的结果划分了优先级的质量属性需求。划分了优先级的质量属性需求。获取作为评估依据获取作为评估依据的质量属性需求是体系结构评估中的一项重要工作。的质量属性需求是体系结构评估中的一项重要工作。任何一个构架都不可能满足很多的质量属性需求,任何一个构架都不可能满足很多的质量属性需求,所以这些评估方法都使用某种广泛认同的优先级排所以这些评估方法都使用某种广泛认同的优先级排列。列。方法与质量属性的映射。方法与质量属性的映射。对所分析问题的解答可以对所分析问题的解答可以得出一种映射,这种映射表明了如何用体系结构方得出一种映射,这种映射表明了如何用体系结构方法实现所期望的质量属性。这种映射构成了体系结法
19、实现所期望的质量属性。这种映射构成了体系结构的基本机理。构的基本机理。有风险决策和无风险决策有风险决策和无风险决策。有风险决策是那些可能。有风险决策是那些可能带来问题的构架决策。无风险决策是指依赖于经常带来问题的构架决策。无风险决策是指依赖于经常含在体系结构中的假设好的决策。含在体系结构中的假设好的决策。体系结构评估的好处体系结构评估的好处把各个风险承担者召集到一起把各个风险承担者召集到一起迫使对具体质量目标做出清楚的表述迫使对具体质量目标做出清楚的表述为相互冲突的目标划分优先级为相互冲突的目标划分优先级迫使对体系结构作出清楚的解释迫使对体系结构作出清楚的解释提高体系结构文档的质量提高体系结构
20、文档的质量发现项目之间交叉重用的可能性发现项目之间交叉重用的可能性提高体系结构设计水平提高体系结构设计水平主要的评估方式主要的评估方式基于调查问卷或检查表的评估方式基于调查问卷或检查表的评估方式 基于场景的评估方式基于场景的评估方式 基于度量的评估方式基于度量的评估方式 体系结构评估方法体系结构评估方法SAAM(软件架构分析方法):(软件架构分析方法):是最早形成文档并得到广泛应用的体系结构分析是最早形成文档并得到广泛应用的体系结构分析方法,最初是用来分析体系结构的可修改性的。方法,最初是用来分析体系结构的可修改性的。软件开发人员经常对一些质量属性(可维护性、软件开发人员经常对一些质量属性(可
21、维护性、可修改性、强健性等)进行空洞的描述,使得测可修改性、强健性等)进行空洞的描述,使得测试工作无法进行,试工作无法进行,SAAM方法用场景代替这些对方法用场景代替这些对质量的空洞描述,使得测试成为可能。质量的空洞描述,使得测试成为可能。体系结构评估方法体系结构评估方法ATAM(体系结构权衡分析方法):(体系结构权衡分析方法):可以揭示出体系结构对特定目标质量的满足情况,可以揭示出体系结构对特定目标质量的满足情况,而且可以更有效地权衡诸多质量目标。而且可以更有效地权衡诸多质量目标。是一种结构化的评估方法,分析过程是可重复的,是一种结构化的评估方法,分析过程是可重复的,可以在系统需求确定阶段或
22、系统设计阶段保证所可以在系统需求确定阶段或系统设计阶段保证所提出的问题是恰当的,并且以相对较低的代价解提出的问题是恰当的,并且以相对较低的代价解决所发现的问题。决所发现的问题。可以对需要做较大更改或与其他系统集成的旧系可以对需要做较大更改或与其他系统集成的旧系统进行分析。统进行分析。帮助我们更深刻地认识系统的质量属性。帮助我们更深刻地认识系统的质量属性。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)ATAM评估的步骤评估的步骤 整个整个ATAM评估过程包括九个步骤,按其编号顺评估过程包括九个步骤,按其编号顺序分别是描述序分别是描述ATAM方法、描述商业动机、描述方法、描述商业动机、描
23、述体系结构、确定体系结构方法、生成质量属性效体系结构、确定体系结构方法、生成质量属性效用树、分析体系结构方法、讨论和分级场景、分用树、分析体系结构方法、讨论和分级场景、分析体系结构方法(是第六步的重复)、描述评估析体系结构方法(是第六步的重复)、描述评估结果。结果。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述描述ATAM方法方法 ATAM评估的第一步要求评估小组负责人向参加评估的第一步要求评估小组负责人向参加会议的风险承担者介绍会议的风险承担者介绍ATAM评估方法。在这一评估方法。在这一步,要解释每个人将要参与的过程,并预留出解步,要解释每个人将要参与的过程,并预留出解答疑问的
24、时间,设置好其他活动的环境和预期结答疑问的时间,设置好其他活动的环境和预期结果。果。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述描述ATAM方法方法 关键是要使每个人都知道要收集哪些信息,如何关键是要使每个人都知道要收集哪些信息,如何描述这些信息,将要向谁报告等。特别是要描述描述这些信息,将要向谁报告等。特别是要描述以下事项:以下事项:ATAM方法步骤简介;方法步骤简介;获取信息和进行分析的技术:效用树的生成,基于体获取信息和进行分析的技术:效用树的生成,基于体系结构方法的获取系结构方法的获取/分析,对场景的集体讨论及优先级分析,对场景的集体讨论及优先级的划分等;的划分等;评估
25、结果:所得出的场景及其优先级,用户理解评估结果:所得出的场景及其优先级,用户理解/评评估体系结构的问题,描述驱动体系结构的需求并对这估体系结构的问题,描述驱动体系结构的需求并对这些需求进行分类,所确定的一组体系结构方法和风格,些需求进行分类,所确定的一组体系结构方法和风格,一组所发现的风险点和无风险点、敏感点和权衡点。一组所发现的风险点和无风险点、敏感点和权衡点。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述商业动机描述商业动机 参加评估的所有人员必须理解待评估的系统,在参加评估的所有人员必须理解待评估的系统,在这一步,项目经理要从商业角度介绍系统的概况。这一步,项目经理要从商业
26、角度介绍系统的概况。系统最重要的功能系统最重要的功能技术、管理、经济和政治方面的任何相关限制技术、管理、经济和政治方面的任何相关限制与该项目相关的商业目标和上下文与该项目相关的商业目标和上下文主要的风险承担者主要的风险承担者体系结构的驱动因素,即促使形成该架构的主要质量体系结构的驱动因素,即促使形成该架构的主要质量属性目标属性目标ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述体系结构描述体系结构(1)首席设计师或设计小组要对体系结构进行详略适首席设计师或设计小组要对体系结构进行详略适当的介绍,这里的当的介绍,这里的“详略适当详略适当”取决于多个因素,取决于多个因素,例如有多少信息
27、已经决定了下来,并形成了文档;例如有多少信息已经决定了下来,并形成了文档;可用时间是多少;系统面临的风险有哪些等。这可用时间是多少;系统面临的风险有哪些等。这一步很重要,将直接影响到可能要做的分析及分一步很重要,将直接影响到可能要做的分析及分析的质量。在进行更详细的分析之前,评估小组析的质量。在进行更详细的分析之前,评估小组通常需要收集和记录一些额外的体系结构信息。通常需要收集和记录一些额外的体系结构信息。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述体系结构描述体系结构(2)诸如要求使用的操作系统、硬件、中间件之类的诸如要求使用的操作系统、硬件、中间件之类的技术约束条件技术约束
28、条件该系统必须要与之交互的其他系统该系统必须要与之交互的其他系统用以满足质量属性需求的体系结构方法用以满足质量属性需求的体系结构方法ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)确定体系结构方法确定体系结构方法ATAM评估方法主要通过理解体系结构方法来分评估方法主要通过理解体系结构方法来分析体系结构,在这一步,由设计师确定体系结构析体系结构,在这一步,由设计师确定体系结构方法,由分析小组捕获,但不进行分析。方法,由分析小组捕获,但不进行分析。评估小组要求设计师清楚地说明所使用的体系结评估小组要求设计师清楚地说明所使用的体系结构方法,这些架构方法确定了系统的重要结构,构方法,这些架构方
29、法确定了系统的重要结构,描述了系统扩展的方式、对更改的响应、对攻击描述了系统扩展的方式、对更改的响应、对攻击的防范以及与其他系统的集成等内容。的防范以及与其他系统的集成等内容。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)生成质量属性效用树生成质量属性效用树评估小组、设计小组、管理人员和客户代表一起评估小组、设计小组、管理人员和客户代表一起确定系统最重要的质量属性目标,并对这些质量确定系统最重要的质量属性目标,并对这些质量目标设置优先级和细化,进一步优化。目标设置优先级和细化,进一步优化。这一步很关键,它对以后的分析工作起指导作用。这一步很关键,它对以后的分析工作起指导作用。即使是体
30、系结构级的分析,也并不一定是全局的,即使是体系结构级的分析,也并不一定是全局的,所以,评估人员需要集中所有相关人员的精力,所以,评估人员需要集中所有相关人员的精力,注意体系结构的各个方面,这对系统的成败起关注意体系结构的各个方面,这对系统的成败起关键作用。这通常是通过构建效用树的方式来实现键作用。这通常是通过构建效用树的方式来实现的。的。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)生成质量属性效用树生成质量属性效用树效用树的输出结果是对具体质量属性需求(以场效用树的输出结果是对具体质量属性需求(以场景形式出现)的优先级的确定,这种优先级列表景形式出现)的优先级的确定,这种优先级列表
31、为为ATAM评估方法的后面几步提供了指导,它告评估方法的后面几步提供了指导,它告诉了评估小组该把有限的时间花在哪里,特别是诉了评估小组该把有限的时间花在哪里,特别是该在哪里去考察体系结构方法与相应的风险、敏该在哪里去考察体系结构方法与相应的风险、敏感点和权衡点。感点和权衡点。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)生成质量属性效用树生成质量属性效用树根据以下标准为效用树设置优先级:根据以下标准为效用树设置优先级:每个场景对系统成功的重要影响程度每个场景对系统成功的重要影响程度体系结构设计师所估计的实现这种场景的难度体系结构设计师所估计的实现这种场景的难度ATAM(体系结构权衡分
32、析方法)(体系结构权衡分析方法)效用可修改性(M,M)使认证服务器的平均吞吐量最大化(H,M)提供实时视频图象(M,L)把客户数据库的存储延迟减到最小值(200ms)交易吞吐量数据延迟性能(H,L)以小于4人周的工作量更改Web用户界面(L,H)以小于20人月的工作量添加CORBA中间件商业产品的改变新产品目录(M,M)若磁盘出现故障,要在5分钟内重新启动(L,H)若站点1断电,要求在3秒内将任务重定向到站点3(H,M)要在1.5分钟内检测并恢复网络故障硬件故障商业软件故障可用性(L,H)客户数据库认证在99.999%的时间内能正常工作(L,H)信用卡交易在99.999%的时间内是安全的数据机
33、密性数据完整性安全性效效用用树树样样例例代表系代表系统的整统的整体质量体质量ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)效用可修改性(M,M)使认证服务器的平均吞吐量最大化(H,M)提供实时视频图象(M,L)把客户数据库的存储延迟减到最小值(200ms)交易吞吐量数据延迟性能(H,L)以小于4人周的工作量更改Web用户界面(L,H)以小于20人月的工作量添加CORBA中间件商业产品的改变新产品目录(M,M)若磁盘出现故障,要在5分钟内重新启动(L,H)若站点1断电,要求在3秒内将任务重定向到站点3(H,M)要在1.5分钟内检测并恢复网络故障硬件故障商业软件故障可用性(L,H)客户数
34、据库认证在99.999%的时间内能正常工作(L,H)信用卡交易在99.999%的时间内是安全的数据机密性数据完整性安全性效效用用树树样样例例二级节点构二级节点构成质量属性成质量属性ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)效用可修改性(M,M)使认证服务器的平均吞吐量最大化(H,M)提供实时视频图象(M,L)把客户数据库的存储延迟减到最小值(200ms)交易吞吐量数据延迟性能(H,L)以小于4人周的工作量更改Web用户界面(L,H)以小于20人月的工作量添加CORBA中间件商业产品的改变新产品目录(M,M)若磁盘出现故障,要在5分钟内重新启动(L,H)若站点1断电,要求在3秒内将
35、任务重定向到站点3(H,M)要在1.5分钟内检测并恢复网络故障硬件故障商业软件故障可用性(L,H)客户数据库认证在99.999%的时间内能正常工作(L,H)信用卡交易在99.999%的时间内是安全的数据机密性数据完整性安全性效效用用树树样样例例优先级高(优先级高(H H)、中)、中(M M)、低()、低(L L)ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)分析体系结构方法分析体系结构方法一旦有了效用树的结果,评估小组可以对实现重一旦有了效用树的结果,评估小组可以对实现重要质量属性的体系结构方法进行考察。这是通过要质量属性的体系结构方法进行考察。这是通过注意文档化这些体系结构决策和确
36、定它们的风险、注意文档化这些体系结构决策和确定它们的风险、敏感点和权衡点等来实现的。敏感点和权衡点等来实现的。在这一步中,评估小组要对每一种体系结构方在这一步中,评估小组要对每一种体系结构方法都考察足够的信息,完成与该方法有关的质量法都考察足够的信息,完成与该方法有关的质量属性的初步分析。评估小组的目标是确定该体系属性的初步分析。评估小组的目标是确定该体系结构方法在所评估体系结构中的实例化是否能够结构方法在所评估体系结构中的实例化是否能够满足质量属性需求。满足质量属性需求。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)分析体系结构方法的结果分析体系结构方法的结果与效用树中每个高优先级
37、的场景相关的体系结构与效用树中每个高优先级的场景相关的体系结构方法或决策方法或决策与每个体系结构方法相联系的待分析问题与每个体系结构方法相联系的待分析问题体系结构设计师对问题的解答体系结构设计师对问题的解答有风险点、无风险点、敏感点、权衡点的确认有风险点、无风险点、敏感点、权衡点的确认ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)捕获体系结构方法的框架捕获体系结构方法的框架 体系结体系结构方法构方法分析分析ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)集体讨论并确定场景优先级集体讨论并确定场景优先级根据所有风险承担者的意见形成更大的场景集合,根据所有风险承担者的意见形成更大
38、的场景集合,由所有风险承担者通过表决决定这些场景的优先由所有风险承担者通过表决决定这些场景的优先级。级。用例场景:用例场景:描述风险承担者对系统使用情况的期描述风险承担者对系统使用情况的期望。在用例场景中,风险承担者是最终用户,使望。在用例场景中,风险承担者是最终用户,使用所评估系统执行一些功能。用所评估系统执行一些功能。成长场景成长场景:描述的是体系结构在中短期的改变,:描述的是体系结构在中短期的改变,包括期望的修改、性能或可用性的变更、移植性、包括期望的修改、性能或可用性的变更、移植性、与其他软件系统的集成等。与其他软件系统的集成等。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)
39、集体讨论并确定场景优先级集体讨论并确定场景优先级考察场景:考察场景:描述的是系统成长的一个极端情形,描述的是系统成长的一个极端情形,即体系结构由下列情况所引起的改变:根本性的即体系结构由下列情况所引起的改变:根本性的性能或可用性需求(例如数量级的改变)、系统性能或可用性需求(例如数量级的改变)、系统基础结构或任务的重大变更等。成长场景能够使基础结构或任务的重大变更等。成长场景能够使评估人员看清在预期因素影响系统时,体系结构评估人员看清在预期因素影响系统时,体系结构所表现出来的优缺点,而考察场景则试图找出敏所表现出来的优缺点,而考察场景则试图找出敏感点和权衡点,这些点的确定有助于评估者评估感点和
40、权衡点,这些点的确定有助于评估者评估系统质量属性的限制。系统质量属性的限制。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)集体讨论并确定场景优先级集体讨论并确定场景优先级一旦收集了若干个场景后,必须要设置优先级。一旦收集了若干个场景后,必须要设置优先级。评估人员可通过投票表决的方式来完成,每个风评估人员可通过投票表决的方式来完成,每个风险承担者分配相当于总场景数的险承担者分配相当于总场景数的30%的选票,且的选票,且此数值只入不舍。例如,如果共有此数值只入不舍。例如,如果共有17个场景,个场景,则每个风险承担者将拿到则每个风险承担者将拿到6张选票,这张选票,这6张选票张选票的具体使用
41、则取决于风险承担者,他可以把这的具体使用则取决于风险承担者,他可以把这6张票全部投给某一个场景,或者每个场景投张票全部投给某一个场景,或者每个场景投2-3张票,还可以一个场景一张票等。张票,还可以一个场景一张票等。一旦投票结果确定,所有场景就可设置优先级。一旦投票结果确定,所有场景就可设置优先级。设置优先级和投票的过程既可公开也可保密。设置优先级和投票的过程既可公开也可保密。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)对某车辆调度系统进行评估时所得到的几个对某车辆调度系统进行评估时所得到的几个场景及其得票情况场景及其得票情况ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)场
42、景与质量属性场景与质量属性ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)分析体系结构方法分析体系结构方法 在收集并分析了场景之后,设计师就可把最高级在收集并分析了场景之后,设计师就可把最高级别的场景映射到所描述的体系结构中,并对相关别的场景映射到所描述的体系结构中,并对相关的体系结构如何有助于该场景的实现做出解释。的体系结构如何有助于该场景的实现做出解释。这一步是第这一步是第6步的重复,但使用的是在第步的重复,但使用的是在第7步中步中得出的高优先级的场景。这些场景被认为是用来得出的高优先级的场景。这些场景被认为是用来确认迄今为止所作分析的测试案例。这种分析可确认迄今为止所作分析的测试
43、案例。这种分析可能会发现更多的体系结构方法、有风险点、无风能会发现更多的体系结构方法、有风险点、无风险点、敏感点、权衡点等,要将这些内容记入文险点、敏感点、权衡点等,要将这些内容记入文档。档。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)分析体系结构方法分析体系结构方法 在这一步中,评估小组要重复第在这一步中,评估小组要重复第6步中的工作,步中的工作,把新得到的最高优先级场景与尚未得到的体系结把新得到的最高优先级场景与尚未得到的体系结构工作产品对应起来。在第构工作产品对应起来。在第7步中,如果未产生步中,如果未产生任何在以前的分析步骤中都没有发现的高优先级任何在以前的分析步骤中都没有
44、发现的高优先级场景,则在第场景,则在第8步就是测试步骤。步就是测试步骤。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述评估结果描述评估结果 最后,要把最后,要把ATAM分析中所得到的各种信息进行分析中所得到的各种信息进行归纳,并反馈给风险承担者。这种描述一般要采归纳,并反馈给风险承担者。这种描述一般要采用辅以幻灯片的形式,但也可以在用辅以幻灯片的形式,但也可以在ATAM评估结评估结束之后,提交更完整的书面报告。束之后,提交更完整的书面报告。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)描述评估结果描述评估结果 在描述过程中,评估负责人要介绍在描述过程中,评估负责人要介绍
45、ATAM评估的评估的各个步骤,以及各步骤中得到的各种信息,包括各个步骤,以及各步骤中得到的各种信息,包括商业环境、驱动需求、约束条件和体系结构等。商业环境、驱动需求、约束条件和体系结构等。最重要的是要介绍最重要的是要介绍ATAM评估的结果:评估的结果:已文档化了的体系结构方法已文档化了的体系结构方法/风格;风格;场景及优先级;场景及优先级;基于质量属性的若干问题;基于质量属性的若干问题;效用树;效用树;所发现的有风险点;所发现的有风险点;已文档化了的无风险点;已文档化了的无风险点;所发现的敏感点和权衡点。所发现的敏感点和权衡点。ATAM(体系结构权衡分析方法)(体系结构权衡分析方法)ATAM评
46、估工具评估工具 提供一套设备:提供一套设备:分析文档管理和版本控制分析文档管理和版本控制过程向导过程向导数据模型约束检查数据模型约束检查体系结构转换支持体系结构转换支持模型数据项关系维持模型数据项关系维持用于快速扫描相关信息片断的用户自定义约束和模版用于快速扫描相关信息片断的用户自定义约束和模版的支持的支持协调数据模型的维持协调数据模型的维持Rational Rose提供给设计者一个集成的体系结提供给设计者一个集成的体系结构来解决用户案例设计和实现构来解决用户案例设计和实现SAAM(软件体系结构分析方法)(软件体系结构分析方法)SAAM通过构造一组领域驱动的场景来反映通过构造一组领域驱动的场景
47、来反映最终软件产品的质量,为评估系统的体系结最终软件产品的质量,为评估系统的体系结构提供了一个基于应用环境的评估方法。构提供了一个基于应用环境的评估方法。场景分为:场景分为:直接场景:主要用于检查软件的功能直接场景:主要用于检查软件的功能间接场景:主要用于检查非功能特性间接场景:主要用于检查非功能特性场景涉及的参与者包括用户、开发人员、管场景涉及的参与者包括用户、开发人员、管理人员、维护人员等。理人员、维护人员等。SAAM(软件体系结构分析方法)(软件体系结构分析方法)SAAM评估的步骤评估的步骤包括包括6个步骤:体系结构的描述、场景的形成、个步骤:体系结构的描述、场景的形成、场景的分类和优先
48、级的确定、对间接场景的单个场景的分类和优先级的确定、对间接场景的单个评估、场景相互作用的评估、形成总体评估。评估、场景相互作用的评估、形成总体评估。SAAM(软件体系结构分析方法)(软件体系结构分析方法)体系结构的描述体系结构的描述是体系结构评估的前提和基础。是体系结构评估的前提和基础。体系结构描述应能体现系统的计算构件、数据构体系结构描述应能体现系统的计算构件、数据构件以及构件之间的关系(数据和控制)。件以及构件之间的关系(数据和控制)。应采用某种参评各方都能理解的形式对待评估的应采用某种参评各方都能理解的形式对待评估的一个或多个体系结构进行描述。一个或多个体系结构进行描述。SAAM(软件体
49、系结构分析方法)(软件体系结构分析方法)场景的形成场景的形成主要开发一些任务场景,这些场景应表明系统必主要开发一些任务场景,这些场景应表明系统必须支持的活动类型,还应表明客户希望对该系统须支持的活动类型,还应表明客户希望对该系统所作出的更改。所作出的更改。在形成这些场景的过程中,要注意全面捕捉系统在形成这些场景的过程中,要注意全面捕捉系统的主要用途、系统的用户、预期将对系统做的更的主要用途、系统的用户、预期将对系统做的更改、系统在当前及可预见的未来必须满足的质量改、系统在当前及可预见的未来必须满足的质量属性等信息。属性等信息。SAAM(软件体系结构分析方法)(软件体系结构分析方法)场景的分类和
50、优先级的确定场景的分类和优先级的确定场景就是对所预计或期望的系统某个使用情况的场景就是对所预计或期望的系统某个使用情况的简短表述。简短表述。首先进行场景分类,即将其分为直接场景和间接首先进行场景分类,即将其分为直接场景和间接场景。场景。直接场景:开发的系统已能满足的场景直接场景:开发的系统已能满足的场景间接场景:要对现有的体系结构中的构件和连接件适间接场景:要对现有的体系结构中的构件和连接件适当地变化才能满足的场景。当地变化才能满足的场景。如果所评估的体系结构不能直接支持某一场景,如果所评估的体系结构不能直接支持某一场景,就必须对所描述的体系结构作些修改。就必须对所描述的体系结构作些修改。评估