第1章什么是基于模型的系统工程3 系统行为和特性的表述。很明显，为确保我们正在构建的系统满足于利益攸关者，我们需要 在这两种需求间建立相关的特定表述。 系统需求规范的主要工作关注于两种特定种类的需求：功能需求和QoS需求。功能需求 规定系统做什么一系统的行为、用户和其他系统如何交互、系统提供什么能力以及系统所 消耗和传递的信息。这些是系统的动词。与此相反，QoS需求规定行为达成得多好（副词）： 例如行为的性能、可靠性和安全性。除了QS需求外，还有其他非功能需求，包括可承受 性、成本、系统效能、可处置性、可维护性、包装和处理等[1]。 简而言之，功能需求规定系统执行的控制和数据转换，而Q0S需求是这些转换的非功能 方面。 系统需求不做的是规定内部架构、设计和实现技术③。常见的错误是，通过规定不必要 的约束过分地约束内部设计，导致架构师和下游工程师有效工作的灵活性受到限制。对所需 的数据或控制转换进行规定是完全恰当的，但在需求中规定该转换的设计或实现通常是不恰 当的。 1.1.3评估可依赖性 术语“可依赖性”指的是我们在预期的环境下以预期的使用方式以及在违反了这些假设 的情况下依赖于系统的能力。可依赖性有三个主要方面：安全性、可靠性和安保性。从图1.1 中可以注意到，该活动与所有其他工程活动并行完成。这是因为可依赖性关注既是内在的又是 外在的。内在的关注是从系统或其背景环境的基本本质属性中产生的。例如，汽车是很重的东 西，它的主要作用是移动，因此内在的关注是能够开始、控制和结束移动。这些关注点不管用 什么技术启动汽车都是存在的。可是，如果在设计中选择燃油发动机，那么这个决策引入了对 燃油可燃性和烟雾的关注：如果选择电动发动机，则引入了对触电和危险材料泄漏的关注。因 而，在做出技术决策时，必须评估这些关注对安全性、可靠性和安保性的影响。 1.1.4评价备选架构和技术 系统需求是从黑盒的视角不断细化的。这意味着不应规定设计内部的技术解决方案。系 统工程师的任务是识别要使用的系统架构和关键技术。这是因为系统工程师有整体的系统视 角并处在最佳位置做出可能影响多重学科（如电子和软件）的权衡。凭借他们的自由发挥④， 电子工程师可以以软件和机械设计对系统成本或性能产生负面影响为代价做出对他们的设计 的最优决策。但如果决策的后果完全特定于某个工程学科，那么这种决策最好留给特定学科 的专家去做。 换句话说，除非缺乏此类规范会对其他工程学科或系统整体产生负面影响，否则系统工 程师不应规定内部软件架构、电子组件或机械零件。 由于系统工程师具备这种整体视角，他们的职责之一是定义大规模系统架构。为此，他 们通常必须评价备选方法。这被称为进行权衡研究。在权衡研究中，为定义设计的某一方面 ③或至少不该做的！ ④双关语第1章 什么是基于模型的系统工程 3 系统行为和特性的表述。很明显，为确保我们正在构建的系统满足于利益攸关者，我们需要 在这两种需求间建立相关的特定表述。 系统需求规范的主要工作关注于两种特定种类的需求：功能需求和QoS需求。功能需求 规定系统做什么——系统的行为、用户和其他系统如何交互、系统提供什么能力以及系统所 消耗和传递的信息。这些是系统的动词。与此相反，QoS需求规定行为达成得多好(副词)： 例如行为的性能、可靠性和安全性。除了QoS需求外，还有其他非功能需求，包括可承受 性、成本、系统效能、可处置性、可维护性、包装和处理等[1]。 简而言之，功能需求规定系统执行的控制和数据转换，而QoS需求是这些转换的非功能 方面。 系统需求不做的是规定内部架构、设计和实现技术c。常见的错误是，通过规定不必要 的约束过分地约束内部设计，导致架构师和下游工程师有效工作的灵活性受到限制。对所需 的数据或控制转换进行规定是完全恰当的，但在需求中规定该转换的设计或实现通常是不恰 当的。 1.1.3 评估可依赖性 术语“可依赖性”指的是我们在预期的环境下以预期的使用方式以及在违反了这些假设 的情况下依赖于系统的能力。可依赖性有三个主要方面：安全性、可靠性和安保性。从图1.1 中可以注意到，该活动与所有其他工程活动并行完成。这是因为可依赖性关注既是内在的又是 外在的。内在的关注是从系统或其背景环境的基本本质属性中产生的。例如，汽车是很重的东 西，它的主要作用是移动，因此内在的关注是能够开始、控制和结束移动。这些关注点不管用 什么技术启动汽车都是存在的。可是，如果在设计中选择燃油发动机，那么这个决策引入了对 燃油可燃性和烟雾的关注；如果选择电动发动机，则引入了对触电和危险材料泄漏的关注。因 而，在做出技术决策时，必须评估这些关注对安全性、可靠性和安保性的影响。 1.1.4 评价备选架构和技术 系统需求是从黑盒的视角不断细化的。这意味着不应规定设计内部的技术解决方案。系 统工程师的任务是识别要使用的系统架构和关键技术。这是因为系统工程师有整体的系统视 角并处在最佳位置做出可能影响多重学科(如电子和软件)的权衡。凭借他们的自由发挥d， 电子工程师可以以软件和机械设计对系统成本或性能产生负面影响为代价做出对他们的设计 的最优决策。但如果决策的后果完全特定于某个工程学科，那么这种决策最好留给特定学科 的专家去做。 换句话说，除非缺乏此类规范会对其他工程学科或系统整体产生负面影响，否则系统工 程师不应规定内部软件架构、电子组件或机械零件。 由于系统工程师具备这种整体视角，他们的职责之一是定义大规模系统架构。为此，他 们通常必须评价备选方法。这被称为进行权衡研究。在权衡研究中，为定义设计的某一方面 c 或至少不该做的！ d 双关语