Einführung

Neben der Verifikation von Geschäftsprozessen hinsichtlich Kontrollflussfehlern, wie Verklemmungen oder fehlender Synchronisation, ist die Analyse der Verwendung von Prozessdaten zur Gewährleistung einer fehlerfreien Prozessausführung von Interesse [5]. Typische Fehler in diesem Zusammenhang sind beispielsweise der lesende Zugriff auf noch uninitialisierte oder bereits gelöschte Daten, das parallele Schreiben und Lesen von Daten oder das Überschreiben ungelesener Daten. Enthält ein Prozessmodell auch Informationen zur Verwendung der Prozessdaten, in Form der durch Prozessaktivitäten geschriebenen, gelesenen und gelöschten Daten, kann eine Überprüfung auf derartige Datenflussfehler erfolgen.

Ein insbesonders für die Analyse des Datenflusses geeignetes Verfahren ist die statische Datenflussanalyse [2,3]. Im Gegensatz zu Verifikationstechniken die auf einer vollständigen Modellprüfung beruhen erlaubt die Datenflussanalyse eine effiziente Ableitung von konservativer Datenflussinformation, verzichtet aber im Gegenzug auf exakte Ergebnisse. Auf diese Weise kann der exponentielle Verifikationsaufwand vermieden werden, der sich sonst bei einer präzisen Analyse ergibt. Der hohe Aufwand ist dabei auf die zur Überprüfung des Datenflusses notwendige Identifikation parallel ausführbarer Prozessaktivitäten zurückzuführen, die schon für strukturierte Prozesse und unter Ausschluß von Schleifen exponentielle Kosten verursachen kann [1]. Zusätzlich wird auch keine endliche Abstraktion für die in einem Geschäftsprozess auftretenden Daten benötigt, da lediglich der Datenfluss zwischen den Prozessaktivitäten berücksichtigt werden muss. Im vorliegenden Beitrag zeigen wir, wie das Verfahren der Datenflussanalyse zur Überprüfung eines strukturierten Geschäftsprozesses auf Datenflussfehler genutzt werden kann. In Abschnitt 2 wird dazu zunächst ein Überblick zu Datenflussfehlern und dem hier verwendeten Prozessmodell gegeben. Danach erfolgt in Abschnitt 3 eine Beschreibung der Bestimmung von fehlenden, gelöschten sowie definierenden Daten mit Hilfe einer statischen Datenflussanalyse. Auf Grundlage der so für einen Prozess effizient ableitbaren Datenflussinformationen können wir dann in Abschnitt 4 Fehlermengen einführen, die Abschätzungen zu den im Prozess enthaltenen Datenflussfehlern in Form sicherer und möglicher Fehler bilden. Schließlich wird der Beitrag in Abschnitt 5 kurz zusammengefasst.

Grundbegriffe

Datenflussfehler

In der Arbeit [5] wird eine Sammlung der in Geschäftsprozessen auftretenden Datenflussfehler beschrieben. Dabei werden mehrere Anti-Muster vorgestellt, die Schwachstellen hinsichtlich einer fehlerfreien Verwendung von Prozessdaten darstellen. Wir beziehen uns im Folgenden auf diese, in Tabelle 1 angegebenen, Anti-Muster, wenn wir von Datenflussfehlern sprechen. Im Gegensatz zu [5]

Split cond(V ) V = (V , V ) 2 1 π Merge 6 U = (U , U ) 0 1 π 6 G = write(G ) 2 1 D = write(D ) A = write(A ) 0 0 H = write(H ) 4 H = (H , H ) 0 2 π 4 G = write(G ) 1 B = write(B ) 1 0 0 2 5 V = (V , V ) 0 1 π V = write(V ) U = write(U ) 2 6 read(E ) 1 read(A ) 1 V = (V , V ) 0 π 2 U = write(U ) 1 V = write(V ) 4 read(H ) 5 U = (U , U ) 0 π 5 2 H = (H , H ) 1 π 5 2 5 4 D = destroy(D ) 1 2 Join B = destroy(B ) 2 1 F = write(F ) 1 0 C = write(C ) read(A ) E = write(E ) 1 1 0 0 0 5 1 1 1 1 Fork read(F ) 2 read(H ) 3 read(U ) 4 F = destroy(F ) 3 2 E = destroy(E ) 2 G = destroy(G ) 4 3 1 H = (H , H ) U = (U , U ) V = (V , V ) 3 Φ 1 Φ 1 Φ 1 3 4 3 2 2 read(B ) 3 read(G ) 3 U = (U , U ) 3 π 7 1 read(U ) 7 H = (H , H ) 0 π 6 1 F = write(F ) 2 1 H = write(H ) 2 6 G = (G , G ) 3 Φ 2 U = (U , U ) Φ 0 B = (B , B ) Φ 2 3 3 2 1 1 6

Abb. 1. Beispielprozess in BPMN-Notation (l.) und als Workflow-Graph (r.)

Abbildung 1 ist der erweiterte Workflow-Graph für den aus [5] übernommenen Beispielprozess dargestellt. Zum Vergleich bildet die linke Seite den Prozess auch in BPMN-Notation ab. In der BPMN-Darstellung sind die Prozessknoten mit Annotationen versehen, die in den Knoten gelesene, geschriebene oder gelöschte Daten in Form von Variablen (A,B,...) bezeichnen. Ferner wurde die bedingte Aufspaltung des Kontrollflusses mit der Verzweigungsbedingung versehen. Im erweiterten Workflow-Graphen sind die Annotationen übernommen, nur dass diese nun im Format der Concurrent Static Single Assignment Form (CSSA-Form) [2] vorliegen. Zu diesem Zweck wurden die auf Daten operierenden Prozessaktivitäten auf vier Instruktionstypen abgebildet:

read(V i ) liest das Datum in Variable V i , cond(V i ) bestimmt den Wert einer Verzweigungsbedingung über Variable V i , -V i = write(V j ) überschreibt die alte Definition des Datums in Variable V j mit einem neuen Datum und legt dieses in der Variablen V i ab, -V i = destroy(V j ) löscht das Datum in Variable V j und setzt dadurch den Wert der Variablen V i auf undefiniert.

Charakteristische Eigenschaft der CSSA-Form ist, dass jede Variable statisch einmal definiert ist, so dass für jede Variablendefinition durch die Instruktionen write oder destroy ein eigener Name eingeführt, und Variablenzugriffe entsprechend angepasst wurden (beispielsweise G 1 , . . . , G 4 für Variable G). Treffen mehrere Definitionen einer Variablen auf verschiedenen Pfaden des Kontrollflusses in einem Knoten zusammen, wurden spezielle Instruktionen mit wie folgt definierten Φ-Funktionen eingefügt, um die Definitionen zusammenzufassen:

Definition 2 (Φ-Funktion). Eine Φ-Funktion für Variable V hat die Form Φ(V 1 , . . . , V n ),

wobei die Operanden V i den im Knoten der Funktion zusammenfließenden Definitionen von V entsprechen. Der Wert der Funktion ist der Operand V i , der die zur Prozesslaufzeit tatsächlich, beziehungsweise als letztes, ausgeführte Instruktion mit einer Definition der Variablen V repräsentiert.

Neben den Instruktionen mit Φ-Funktionen enthält die CSSA-Form weitere spezielle Instruktionen mit π-Funktionen, um Schreib-/Lese-Konflikte zwischen parallelen Prozessaktivitäten modellieren zu können: Definition 3 (π-Funktion). Eine π-Funktion für Variable V hat die Form π(V 1 , . . . , V n ), wobei die Operanden V i den im Knoten der Funktion konkurrierenden Definitionen von V entsprechen. Der Wert der Funktion ist der Operand V i , der die zur Prozesslaufzeit letzte Definition von V repräsentiert. Um die so definierten Datenflussinformationen für einen Geschäftsprozess exakt bestimmen zu können, ist eine Analyse der parallel ausführbaren Prozessaktivitäten notwendig. Grundsätzlich ist eine solche Analyse Co-NP-schwer [1]. Daher verzichten wir auf die exakte Bestimmung und ermitteln stattdessen konservative Abschätzungen. Zu diesem Zweck wird das Verfahren der statischen Datenflussanalyse angewendet. Dieses erlaubt für die Charakterisierung eines Datenflussproblems durch ein System rekursiver Gleichungen eine Fixpunktlösung zu berechnen, die eine Abschätzung zur gesuchten Information bildet. Das Gleichungssystem zu den definierenden Daten ergibt sich beispielsweise wie folgt: Die Menge Fehlende Daten (sichere Fehler) enthält Instruktionen s der Instruktionstypen V i = destroy(V j ), read(V j ) und cond(V j ), die für alle Kontrollflusspfade auf ein fehlendes Datum V j zugreifen. Dazu wird überprüft, ob M ISS M U ST für die V j definierende Instruktion def (V j ) dem Wahrheitswert true entspricht. Die Menge Fehlende Daten (mögliche Fehler) umfasst Instruktionen, die für einen Pfad auf ein fehlendes Datum zugreifen können, und wurde analog über die Wahrheitswerte in M ISS M AY definiert. Auf gleiche Weise ergeben sich die Fehlermengen Doppelt gelöschte Daten, nur das diese destroy-Instruktionen enthalten und als Datenflussinformation DEL M U ST , DEL M AY genutzt wird.

DAT A M U ST (s) = i∈{1,...,n} DAT A M U ST (def (V i )) für s : V = Φ(V 1 , . . . , V n ) DAT A M U ST (s) = i∈{1,...,n} DAT A M U ST (def (V i )) für s : V = π(V 1 , . . . , V n ) DAT A M AY (s) = i∈{1,...,n} DAT A M AY (def (V i )) für s : V = Φ(V 1 , . . . , V n ) DAT A M AY (s) = i∈{1,...,n} DAT A M AY (def (V i )) für s : V = π(V 1 , . . . , V n ) DAT A M U ST (s) = DAT A M AY (s) = {V i } für s : V i = write(V j ) DAT A M U ST (s) = DAT A M AY (s) = ∅

Die Fehlermenge Redundante oder überschriebene Daten (sichere Fehler) umfasst write-Instruktionen, die Daten schreiben auf die im Prozess nie lesend, also durch Instruktionen read oder cond zugegriffen wird. Zu diesem Zweck wird die Menge aller im Prozess auf mindestens einem Kontrollflusspfad gelesenen Daten bestimmt, als Vereinigung der Mengen DAT A M AY (def (V k )) für alle durch Instruktionen s : read(V k ) und s : cond(V k ) gelesenen Variablen V k . Ist eine durch Instruktion s : V i = write(V j ) definierte Variable V i kein Element dieser Menge, wird nie lesend auf V i zugegriffen und die Instruktion erfüllt den Fehler. Die Menge Redundante oder überschriebene Daten (mögliche Fehler) ergibt sich analog, nur dass nun überprüft wird, ob eine durch Instruktion s : V i = write(V j ) definierte Variable V i nicht auf allen Kontrollflusspfaden gelesen wird, unter Ausnutzung der Datenflussinformation DAT A M U ST und der Postdominanz-Relation.

In [5] wird zusätzlich eine Unterscheidung zwischen redundanten und überschriebenen Daten vorgenommen. Um auch eine solche Unterscheidung durchzuführen, kann die Menge s:

V l =write(V k ) DAT A M AY (def (V k ))