ISSN 0239-8044. Rok XLI 1 2006 TECHNIKI KOMPUTEROWE BIULETYN INFORMACYJNY

ISSN 0239-8044 Rok XLI 1 2006 TECHNIKI KOMPUTEROWE BIULETYN INFORMACYJNY INSTYTUT MASZYN MATEMATYCZNYCH WARSZAWA 2006

ISSN 0239-8044 Rok XLI 1 2006 TECHNIKI KOMPUTEROWE BIULETYN INFORMACYJNY INSTYTUT MASZYN MATEMATYCZNYCH WARSZAWA 2006

Wydaje: INSTYTUT MASZYN MATEMATYCZNYCH UL KRZYWICKIEGO 34 020-78 WARSZAWA TEL: (0 22) 621 84 41, FAX: (0 22) 629 92 70 E-MAIL: imasmat@immorgpl INTERNET: wwwimmorgpl Copyright by Instytut Maszyn Matematycznych, Warszawa 2006

TECHNIKI KOMPUTEROWE 1/2006 Spis tre ci Problemy integracji modeli aspektowych UML, Marek Kacprzak, Electronic voting, Andrzej Kaczmarczyk Multiple Criteria Decision Making: selecting variants along compromise lines, Ignacy Kaliszewski Laserowy przyrz d do oceny chropowato ci powierzchni na podstawie pomiaru parametru TIS, Romuald Synak, Marcin Pawe czak, W odzimierz Lipi ski, Tomasz Lis 5 21 49 67

TECHNIKI KOMPUTEROWE 1/2006 Marek Kacprzak Instytut Maszyn Matematycznych Problemy integracji modeli aspektowych j zyka UML Problems of the integration of UML language particular models Streszczenie Przedstawiono problemy integracji modeli aspektowych j zyka UML 20 Rozpatrzono przyk ad integracji dwóch podstawowych diagramów: aktywno ci i klas Opisano kryteria poprawno ci diagramów aktywno ci, algorytm integracji obu rodzajów diagramów i kryteria spójno ci modelu zintegrowanego Abstract Problems of the integration of UML language particular models are presented An example of the integration of two basic diagrams: activity diagrams and class diagrams is considered Correctness criteria for activity diagrams, an integration algorithm of the both kinds of diagrams and consistency criteria for the integrated model are also described 1 Wst p Technika modelowania komputerowego systemów, stanowi ca podstaw wszelkich dzia a in ynierskich, polega na tworzeniu modeli, opisuj cych rozpatrywany system wed ug okre lonego kryterium, czyli tzw modeli aspektowych (ang particular models) W najbardziej rozpowszechnionych rodzinach technik modelowania, takich jak IDEF [1], [2], czy UML [3] stosowane s ró ne techniki tworzenia modeli aspektowych W ka dej z tych rodzin podstawowe znaczenie maj modele funkcyjne i informacyjne Poniewa przy u yciu ró nych modeli aspektowych opisywany jest ten sam system, wi c rzecz naturaln jest próba po czenia ich w jeden model, zwany modelem zintegrowanym Cele integracji s dwojakie: w odniesieniu do metod IDEF i UML jest nim utworzenie bardziej precyzyjnego i czytelnego modelu systemu, uwzgl dniaj cego oba aspekty systemu funkcyjny i informacyjny, w przypadku metod UML jest to dodatkowo stworzenie podstawy dla programistów do szybkiego zaimplementowania systemu informatycznego Wyniki prac nad integracj modeli funkcyjnych i informacyjnych zapisanych przy u yciu metod IDEF przedstawiono w publikacji [4] Przedmiotem rozwa a by y modele funkcyjne opisywane przy u yciu metody IDEF0 [1] i modele informacyjne opisywane przy u yciu metody IDEF1X [2] Opracowano oryginalne zasady: a) weryfikacji poprawno ci modeli funkcyjnych,

6 M Kacprzak b) tworzenia modeli zintegrowanych IDEF0/IDEF1X, tzn stanowi cych po czenie modeli funkcyjnych z informacyjnymi, c) weryfikacji spójno ci modeli zintegrowanych Przedmiotem niniejszej publikacji jest przedstawienie problemów integracji dla j zyka UML 20 na przyk adzie dwóch podstawowych typów diagramów j zyka UML: aktywno ci i klas Diagramy aktywno ci (ang activity diagrams), oznaczane jako AD, maj charakter modeli funkcyjnych Diagramy klas (ang class diagrams), oznaczane jako CD, s modelami informacyjnymi Uk ad publikacji jest nast puj cy: w p 2 omówiono kryteria poprawno ci diagramów AD, w p 3 opisano sposób integracji diagramów AD i CD oraz kryteria spójno ci dla zintegrowanych diagramów AD i CD, w p 4 podano przyk ad integracji obu diagramów 2 Kryteria poprawno ci dla diagramów czynno ci Rozpatrywana jest klasa diagramów AD j zyka UML wed ug specyfikacji 20 [3], spe niaj cych nast puj ce warunki: ka dy diagram ma dok adnie jeden punkt rozpocz cia i zatrzymania, z punktu rozpocz cia wychodzi dok adnie jedna strza ka przep ywu, do punktu zako czenia dochodzi dok adnie jedna strza ka przep ywu Diagram AD mo e by opisany przez 4 zbiory: {Activities} zbiór bloków czynno ci, {Objects} zbiór bloków obiektów, {Flows} {Points} zbiór strza ek przep ywów (danych i sterowania), dwuelementowy zbiór punktów: rozpocz cia i zatrzymania diagramu Zbiór przep ywów {Flows} jest sum trzech roz cznych podzbiorów: {Flows} = {InputObjectFlows} + {OutputObjectFlows} + {NoObjectFlows}, gdzie: {InputObjectFlows} zbiór strza ek wej ciowych do obiektów, {OutputObjectFlows} zbiór strza ek wyj ciowych z obiektów, {NoObjectFlows} zbiór strza ek nie zwi zanych z obiektami Dla potrzeb weryfikacji poprawno ci diagramu AD musi on zosta uzupe niony w nast puj cy sposób: dla ka dego bloku czynno ci musi by okre lony szczegó owy opis jego zachowania, tzn zale no ci mi dzy przep ywami wej ciowymi i wyj ciowymi, do diagramu musz by wprowadzone warunki czasowe: dla wszystkich bloków czynno ci oraz dla przep ywów Wymieniony uzupe niaj cy opis AD jest wprowadzany do diagramu w postaci notatek Sposób opisu zachowa bloków czynno ci, traktowanych jako automaty ze sko czon liczb stanów podano w [5] Dzia anie automatów polega na wykonywaniu przej w zale no ci od pewnych warunków Dla ka dego przej cia mo e by przypisany czas jego wykonania W przypadku przep ywu danych

Problemy integracji modeli aspektowych j zyka UML 7 przedstawianych jako obiekty ze strza kami wej ciowymi do obiektów i strza kami wyj ciowymi od obiektów czas przep ywu przypisywany jest jedynie strza kom wej ciowym do obiektu Po wprowadzeniu do danego diagramu AD powy szych uzupe nie powstaje diagram rozszerzony oznaczany jako AD* (rys 1) Diagram AD Dodatkowa wiedza: - opis zachowania bloków aktywno ci, - parametry czasowe Diagram rozszerzony AD* SAD* - specyfikacja w Estelle diagramu rozszerzonego 2 kryteria poprawno ci: formalne i funkcjonalne Rys 1 Sposób utworzenia diagramu AD* i specyfikacji SAD* Dla celów weryfikacji poprawno ci AD wygodne jest opisanie diagramu AD* w j zyku Estelle uzasadnienie podano w publikacji [4] J zyk Estelle, uniwersalny j zyk do specyfikacji systemów rozproszonych, jest opisany w normie ISO 9074 [6] Pewne niezb dne rozszerzenia j zyka Estelle opisano w [5] W specyfikacjach w rozszerzonym j zyku Estelle poszczególne elementy AD* s reprezentowane w sposób przedstawiony w tabeli 1 Diagram AD* zostaje opisany w j zyku Estelle w specyfikacji oznaczanej jako SAD* Do weryfikacji poprawno ci SAD* mo na sformu owa dwa kryteria poprawno ci: formalnej i funkcjonalnej Kryterium poprawno ci formalnej specyfikacji SAD* Specyfikacja SAD* jest poprawna formalnie, je eli wyst puj w niej reprezentacje w Estelle wszystkich elementów diagramu AD*, to jest zbiorów: {Activities}, {Objects}, {Flows}, {Points}

8 M Kacprzak Sprawdzenie tego kryterium dokonuje si przez analiz statyczn tekstu specyfikacji SAD* Tabela 1 Reprezentacja elementów diagramu AD* w j zyku Estelle Element diagramu AD* Reprezentacja w Estelle blok aktywno ci instancja modu u blok obiektu wraz ze strza k przep ywu wej ciow i wyj ciow strza ka przep ywów sterownia lub danych mi dzy blokami aktywno ci (nie zwi zana z obiektem) punkt rozpocz cia diagramu punkt zatrzymania diagramu interakcja bez parametrów przesy ana przez kana mi dzy instancjami modu ów interakcja bez parametrów przesy ana przez kana mi dzy instancjami modu ów instancja modu u EntryPoint instancja modu u ExitPoint Kryterium poprawno ci funkcjonalnej diagramu AD* Diagram AD* jest poprawny funkcjonalnie, je eli: w sko czonym czasie symulacyjnym zostaje osi gni ty punkt zatrzymania diagramu, wszystkie przej cia w instancjach modu ów zosta y zako czone, wszystkie kolejki wej ciowe we wszystkich instancjach modu ów s puste, adne interakcje nie s w fazie przesy ania mi dzy instancjami modu ów Je eli plan symulacji obejmowa wszystkie mo liwe kombinacje przep ywów (pe ny plan symulacji), to dodatkowo mo na okre li jeszcze jeden nast puj cy warunek: ka de przej cie by o wykonane przynajmniej jeden raz Je eli plan symulacji jest pe ny i oba kryteria poprawno ci s spe nione, to diagram rozszerzony AD*, a tak e diagram AD s uznawane za poprawne Je eli które z kryteriów nie jest spe nione, to nale y zmieni opis bloków aktywno ci i/lub warunki czasowe lub nawet sam diagram AD Je eli plan symulacji nie jest pe ny, a oba kryteria poprawno ci s spe nione, to diagram rozszerzony AD*, a tak e diagram AD s uznawane za poprawne dla danego planu symulacji Je eli które z kryteriów nie jest spe nione, to nale y zmieni opis bloków aktywno ci i/lub warunki czasowe lub nawet sam diagram AD 3 Integracja diagramów czynno ci z diagramami klas 31 Zasady integracji Rozpatrywane s dwa diagramy opracowane dla tego samego systemu: rozszerzony diagram czynno ci AD* i diagram klas CD Poprawno AD* zosta a sprawdzona wed ug kryteriów opisanych w p 2 Zak ada si, e CD jest poprawny, ale kryteria poprawno ci nie s w tym opracowaniu rozwa ane Typowe stosowane kryteria poprawno ci dla CD przedstawiono syntetycznie

Problemy integracji modeli aspektowych j zyka UML 9 w [7] Rozpatrywana jest klasa diagramów CD, w których klasy powi zane s jedynie zwi zkiem uogólnienia (ang generalization) Dla potrzeb integracji diagramów AD* i CD, diagram CD jest reprezentowany przez dwa zbiory: {Classes} zbiór klas, {Attributes} zbiór atrybutów wyst puj cych we wszystkich klasach diagramu CD cznie Je eli w CD s podane identyfikatory metod, to dla celów integracji nie s brane pod uwag Integracja diagramów AD* i CD jest dokonywana przy za o eniu, e prawdziwa jest nast puj ca hipoteza (hipoteza o reprezentacji informacji przez atrybuty): Informacja w systemie, reprezentowana przez zbiór atrybutów diagramu klas, jest tworzona w blokach czynno ci diagramu czynno ci i przesy ana do innych bloków czynno ci, zgodnie z przep ywami danych diagramu czynno ci Idea integracji diagramów AD* i CD polega na przypisaniu klas z CD obiektom z AD* oraz okre leniu, w których blokach czynno ci AD* s nadawane warto ci atrybutom wyst puj cym w CD Dla okre lenia integracji AD* i CD konieczne jest wi c zdefiniowanie dwóch odwzorowa zbiorów: : {Classes} {Objects}, : {Attributes} {Activities} Diagram zintegrowany zgodnie z odwzorowaniami i jest oznaczany jako AD*/CD (rys 2) Graficzny opis diagramu zintegrowanego jest tworzony na bazie diagramu AD*: przypisanie klas obiektom jest zapisywane w nast puj cy sposób: obiekt: Klasa Obiektu, atrybuty, których warto ci s tworzone w bloku aktywno ci s wymieniane w nawiasach okr g ych po oznaczeniu VC (od ang Value Created) i oddzielone od siebie przecinkami, np VC(a,b) 32 Kryterium spójno ci formalnej diagramu zintegrowanego Konieczne jest wprowadzenie definicji pomocniczych Definicja 1 Zbiór atrybutów, których warto ci s tworzone w danym bloku czynno ci oraz atrybutów, które blok czynno ci mo e otrzyma wraz z przep ywami wej ciowymi nazywa si atrybutami dysponowanymi przez blok czynno ci Definicja 2 Dla danego zbioru atrybutów klasa zawieraj ca te atrybuty i o minimalnej liczbie atrybutów nazywa si klas minimaln dla tego zbioru atrybutów

10 M Kacprzak Diagram rozszerzony AD* Diagram CD Dodatkowa wiedza: odwzorowania i Diagram zintegrowany AD*/CD Kryterium spójno ci formalnej SAD* - specyfikacja w Estelle diagramu rozszerzonego SAD*/CD specyfikacja w Estelle diagramu zintegrowanego Kryterium spójno ci funkcjonalnej Rys 2 Sposób utworzenia diagramu zintegrowanego i jego specyfikacji Zak ada si prawdziwo nast puj cej hipotezy (hipoteza o propagacji atrybutów): Dla bloków czynno ci obowi zuje zasada propagacji atrybutów: obiekty wysy ane przez blok czynno ci zawieraj wszystkie atrybuty dysponowane przez blok czynno ci Definicja 3 Dla danego obiektu przep ywu wyj ciowego bloku czynno ci, klasa przypisana obiektowi wynikaj ca z zasady propagacji atrybutów nazywa si klas wynikow obiektu Definicja 4 Klasa obiektu okre lona przez u ytkownika nazywa si klas wymagan obiektu Przy za o eniu poprawno ci hipotezy o propagacji atrybutów, dla diagramu zintegrowanego AD*/CD wed ug odwzorowa i mo na sformu owa nast puj ce kryterium spójno ci formalnej: Diagram zintegrowany jest spójny formalnie, je eli dla ka dego obiektu klasa wynikowa jest klas wymagan lub jej pochodn 33 Algorytm wyznaczania odwzorowa integruj cych Algorytm wyznaczania odwzorowa i jest nast puj cy

Problemy integracji modeli aspektowych j zyka UML 11 1 Okre l wymagane odwzorowania dla wybranych obiektów 2 Okre l przypuszczalne odwzorowanie 3 Stosuj c zasad propagacji atrybutów okre l klasy wynikowe dla wszystkich obiektów 4 Czy spe nione jest kryterium poprawno ci formalnej? Je eli TAK model zintegrowany jest formalnie spójny Je eli NIE nale y zmieni odwzorowania lub, albo nawet diagramy AD* lub CD, a nast pnie powtórzy procedur weryfikacji od nowa Dzia ania u ytkownika wykonuj cego integracj wed ug powy szego algorytmu wymagaj wsparcia specjalizowanym programem komputerowym, wykonywanym w trybie dialogowym 34 Kryterium spójno ci funkcjonalnej diagramu zintegrowanego Dla diagramu zintegrowanego AD*/CD, który spe nia warunek spójno ci formalnej, mo na sformu owa kryterium spójno ci funkcjonalnej: Diagram zintegrowany jest spójny funkcjonalnie, je eli dla okre lonych obiektów ich atrybuty maj nadane warto ci Obiekty, o których mowa w tym kryterium s nazywane obiektami obserwowanymi Kryterium to mo e by zweryfikowane jedynie przez symulacj komputerow diagramu zintegrowanego W tym celu model zintegrowany musi by opisany w j zyku Estelle Na bazie ju utworzonej (zgodnie z regu ami podanymi w p 2) specyfikacji SAD* tworzona jest nowa specyfikacja, oznaczana jako SAD*/CD W specyfikacji SAD*/CD bloki obiektów s reprezentowane inaczej, ni w przypadku specyfikacji SAD*, jak to przedstawiono w tabeli 2 Tabela 2 Reprezentacja elementów diagramu AD* w j zyku Estelle Element diagramu AD*/CD Reprezentacja w Estelle blok obiektu wraz ze strza k przep ywu wej ciow i wyj ciow interakcja z parametrami przesy ana przez kana mi dzy instancjami modu ów Do specyfikacji SAD*/CD dla celów weryfikacji funkcjonalnej dodatkowo wprowadzane s bufory wej ciowe; szczegó y podane s w [4] Weryfikacja metod symulacji wykonywana jest dla planu symulacji okre lonego ju wcze niej, przy weryfikacji poprawno ci diagramu AD* (p 2) Je eli plan symulacji jest pe ny i oba kryteria spójno ci s spe nione, to diagram zintegrowany jest uznawany za spójny dla okre lonych obiektów obserwowanych Je eli które z kryteriów nie jest spe nione, to nale y zmieni odwzorowania lub, albo diagramy AD* lub CD, a nast pnie powtórzy procedur weryfikacji od nowa Je eli plan symulacji nie jest pe ny, a oba kryteria s spe nione, to diagram zintegrowany jest uznawany za spójny dla danego planu symulacji i dla okre lonych obiektów obserwowanych Je eli które z kryteriów nie jest

12 M Kacprzak spe nione, to nale y zmieni odwzorowania lub, albo diagramy AD* lub CD, a nast pnie powtórzy procedur weryfikacji od nowa 4 Przyk ad Rozpatrywany jest model procesu sprzeda y za gotówk produktów, opisany diagramami AD i CD 41 Weryfikacja poprawno ci AD* Diagram AD jest przedstawiony na rys 3 Diagram zosta uzupe niony opisem dzia ania wszystkich bloków czynno ci wszystkie dzia aj na zasadzie rendez-vous: odebranie wszystkich przep ywów wej ciowych powoduje wykonanie wszystkich przep ywów wyj ciowych Czasy trwania wszystkich przej wszystkich bloków czynno ci przyj to za równe 1 jednostce czasu symulacyjnego, a wszystkie czasy przep ywów za zerowe Dla czytelno ci diagramu powy sze uzupe nienia nie s pokazane na rys 3, tylko podane w tabeli 3 Tabela 3 Opis dzia a bloków czynno ci Blok czynno ci Przej cie Czas wykonania przej cia Environment In Operation (Entry Flow) >> Cash Payment, 1 Customer Order Enter Order (Customer Order) >> Completed 1 Order Form Receive Cash Payment (Cash Payment) ^ (Completed Order 1 Form) >> Receipt of Payment Issue an Invoice (Receipt of Payment) >> Invoice 1 Ship Product (Invoice) >> Shipped Product 1 Update DBs (Invoice) ^ (Receipt of Payment) ^ (Completed Order Form) >> Order DB Update, Customer DB Update 1 Environment Out Operation (Shipped Product) ^ (Invoice) ^ (Order DB Update) ^ (Customer DB Update) >> Exit Flow Exit Point (Exit Flow) >> 1 Czas wykonania przej podany jest w jednostkach czasu symulacyjnego Symbol oznacza, e blok czynno ci nie ma przep ywów wyj ciowych

Problemy integracji modeli aspektowych języka UML 13 Environment In Operation Cash Payment Customer Order Enter Order Completed Order Form Completed Order Form Receive Cash Payment Receipt of Payment Receipt of Payment Issue an Invoice Invoice Invoice Invoice Update DBs Ship Product Shipped Product Order DB Update Customer DB Update Environment Out Operation Rys 3 Przykład diagramu aktywności

14 M Kacprzak Wykonano specyfikacj SAD* Dla specyfikacji SAD* sprawdzono z wynikiem pozytywnym kryterium poprawno ci formalnej W tym prostym przyk adzie plan symulacji obejmowa tylko jeden eksperyment i by planem pe nym Metod symulacji, u ywaj c symulatora EDT [8], sprawdzono kryterium poprawno ci funkcjonalnej Stwierdzono, e: w czasie 6 jednostek czasu symulacyjnego (wirtualnego) zosta osi gni ty punkt zatrzymania diagramu, wszystkie przej cia w instancjach modu ów zosta y zako czone, wszystkie kolejki wej ciowe we wszystkich instancjach modu ów s puste, adne interakcje nie s w fazie przesy ania mi dzy instancjami modu ów, ka de przej cie by o wykonane przynajmniej jeden raz Wobec spe nienia obu kryteriów poprawno ci diagram AD*, a wi c tak e i diagram AD, nale y uzna za poprawne 42 Utworzenie diagramu zintegrowanego AD*/CD i weryfikacja kryterium formalnego spójno ci Diagram CD dla procesu sprzeda y produktów jest przedstawiony na rys 4 Wykaz klas wraz z atrybutami jest przedstawiony w tabeli 4 U ytkownik okre li wymagane odwzorowanie dla trzech wybranych obiektów tabela 5 U ytkownik okre li przypuszczalne odwzorowanie tabela 6 Tabela 4 Atrybuty w asne i dziedziczone dla klas diagramu CD Klasa Atrybuty w asne i dziedziczone CUSTOMER cust-no,company-data,cust-name,cust-phone PRODUCT prod-name,prod-price,prod-qty ORDER order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone PRODUCT-ORDER prod-order-qty,case-no prod-name,prod-price,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone INVOICE invoice-no,total-value,invoice-clerk-id prod-order-qty,case-no, prod-name,prod-price,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone

Problemy integracji modeli aspektowych j zyka UML 15 CUSTOMER cust-no company-data cust-name cust-phone PRODUCT prod-name prod-price prod-qty ORDER order-no date salesperson-id PRODUCT-ORDER prod-order-qty case-no INVOICE invoice-no total-value invoice-clerk-id Rys 4 Przyk ad diagramu klas Tabela 5 Wymagane odwzorowanie dla wybranych obiektów Obiekt Wymagane atrybuty Wymagana klasa minimalna Order DB Update order-no, cust-no, date, salespersonid, prod-name, prod-qty, prod-orderqty, case-no, invoice-no INVOICE Customer DB Update Invoice cust-no, company-data, cust-name, cust-phone, date invoice-no, total-value, prod-name, order-no, cust-no, date, prod-price, prod-order-qty, company-data, invoice-clerk-id PRODUCT- ORDER INVOICE

16 M Kacprzak Tabela 6 Odwzorowanie Blok aktywno ci Environment In Operation Enter Order Receive Cash Payment Issue an Invoice Atrybuty, których warto ci powinny by nadane w bloku aktywno ci company-data, cust-name, cust-phone order-no, cust-no, date, salesperson-id, prodname, prod-qty, prod-order-qty prod-price, total-value case-no, invoice-no, invoice-clerk-id Stosuj c zasad propagacji atrybutów zosta y okre lone klasy wynikowe dla wszystkich obiektów tabela 7 Poniewa klasy wynikowe dla wybranych obiektów s klasami pochodnymi klas wymaganych, wi c kryterium spójno ci formalnej jest spe nione 43 Weryfikacja kryterium funkcjonalnego spójno ci diagramu zintegrowanego Dla odwzorowa opisanych w p 42 wykonano specyfikacj SAD*/CD Ustalono nast puj cy zbiór obiektów obserwowanych: Order DB Update, Customer DB Update, Invoice Metod symulacji, przy u yciu symulatora EDT, dla panu symulacji stosowanego w p 41, stwierdzono, e wszystkie obiekty obserwowane maj nadane warto ci, a zatem dla odwzorowa (tabela 5) i (tabela 6), dla ustalonego zbioru obiektów obserwowanych, jest spe nione kryterium funkcjonalne spójno ci diagramu zintegrowanego AD*/CD Diagram AD*/CD zintegrowany odwzorowaniami i jest pokazany na rys 5 Zadanie integracji diagramów AD* i CD zosta o wi c pomy lnie wykonane, ale w diagramie zintegrowanym liczba atrybutów obiektów jest nadmiarowa i znacznie ró ni si od wymaganej, co ilustruje tabela 8 Nadmiarowo atrybutów i jako konsekwencja brak klarowno ci diagramu zintegrowanego AD*/CD wynika z przyj tego domy lnie za o enia, e oba diagramy s opracowywane ca kowicie niezale nie od siebie W praktyce taka sytuacja nie powinna mie miejsca W szczególno ci, idea ewolucyjnego tworzenia oprogramowania, przeniesiona do obszaru stosowania UML, powinna zagwarantowa, e diagramy aspektowe, cho by mo e tworzone przez ró ne zespo y, s w trakcie tworzenia diagramów ci gle ze sob integrowane, weryfikowane i poprawiane Doprowadzi to do modeli aspektowych i zintegrowanych nie tylko bardziej zrozumia ych, ale tak e minimalnych w sensie liczby elementów stosowanych w diagramach

Problemy integracji modeli aspektowych j zyka UML 17 Tabela 7 Klasy wynikowe obiektów Obiekt Dost pne atrybuty, zgodnie z hipotez o propagacji atrybutów Minimalna klasa wynikowa Customer Order company-data,cust-name,cust-phone CUSTOM ER Completed Order Form Receipt of Payment prod-order-qty, prod-name,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone invoice-no,total-value,invoice-clerk-id prod-order-qty,case-no, prod-name,prod-price,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone Order DB Update invoice-no,total-value,invoice-clerk-id prod-order-qty,case-no, prod-name,prod-price,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone Customer DB Update Invoice invoice-no,total-value,invoice-clerk-id prod-order-qty,case-no, prod-name,prod-price,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone invoice-no,total-value,invoice-clerk-id prod-order-qty,case-no, prod-name,prod-price,prod-qty, order-no,date,salesperson-id, cust-no,company-data,cust-name,cust-phone Shipped Product - - PRODUCT -ORDER INVOICE INVOICE INVOICE INVOICE Tabela 8 Liczby atrybutów wymaganych i wynikowych Obiekt Liczba wymaganych atrybutów Liczba wynikowych atrybutów Order DB Update 9 15 Customer DB Update 5 15 Invoice 10 15

18 M Kacprzak Environment In Operation VC(comp-data,cust-name,cust-phone) Cash Payment Customer Order: CUSTOMER Enter Order VC(order-no,cust-no,date,salesperson-id,prod-name,prod-qty,prod-order-qty) Completed Order Form: PRODUCT-ORDER Completed Order Form: PRODUCT-ORDER Receive Cash Payment VC(prod-price,total-value) Receipt of Payment: INVOICE Receipt of Payment: INVOICE Issue an Invoice VC(case-no,invoice-no,invoice-clerk-id) Invoice: INVOICE Invoice: INVOICE Invoice: INVOICE Update DBs Ship Product Shipped Product Order DB Update: INVOICE Customer DB Update: INVOICE Environment Out Operation Rys 5 Diagram zintegrowany

Problemy integracji modeli aspektowych j zyka UML 19 5 Wnioski Integracja diagramów aspektowych j zyka UML jest zagadnieniem o istotnym znaczeniu praktycznym W j zyku UML stosowanych jest a 13 rodzajów diagramów aspektowych W niniejszej pracy przedstawiono zasady integracji dwóch podstawowych diagramów j zyka UML 20 diagramów czynno ci z diagramami klas W rozwa aniach przyj ta by a poprawno dwóch hipotez: o reprezentacji informacji przez atrybuty i propagacji atrybutów W obu hipotezach za o ono, e informacja utworzona w blokach czynno ci, jest w innych blokach wykorzystywana, ale nie jest konsumowana (usuwana) Ze wzgl dów praktycznych nale y w dalszych pracach zagadnienie to pog bi, dopuszczaj c mo liwo usuwania informacji Problemy integracji diagramów aspektowych UML powinny by tak e dalej rozwijane w dwóch uj ciach: zastosowania metod integracji do szerszej, ni przyj to obecnie, klasy diagramów klas, opracowania zasad integracji diagramów aktywno ci i klas tak e z innymi diagramami, w pierwszej kolejno ci z diagramami stanów Literatura [1] FIPS [Federal Information Processing Standards] Publication 183 Integration Definition for Function Modeling (IDEF0), 1993 [2] FIPS [Federal Information Processing Standards] Publication 184 Integration Definition for Information Modeling (IDEF1X), 1993 [3] UML [Unified Modeling Language] http://wwwumlorg/ [4] Kacprzak M, Kaczmarczyk A, Verification of integrated IDEF models Journal of Intelligent Manufacturing, 17, 5, October 2006, 585-596 [5] Kacprzak M, Synchroniczna obs uga interakcji w j zyku Estelle Biuletyn Informacyjny IMM, 2, 2004 [6] ISO 9074 Estelle: A formal description technique based on an extended transition model 1997 [7] Kaczmarczyk A, Sprawozdanie z pracy naukowo-badawczej, temat nr 1056 Weryfikator spójno ci modeli, etap 1: Studium zagadnienia spójno ci modeli, Instytut Maszyn Matematycznych, 2006 [8] EDT Estelle Development Toolset Institut Nationale des Télécommunications, Evry, France, 1999

TECHNIKI KOMPUTEROWE 1/2006 Andrzej Kaczmarczyk Instytut Maszyn Matematycznych Electronic voting G osowanie elektroniczne Abstract The paper is a chapter of the author s book under preparation, titled Cyberdemocracy A Future Democratic Paradigm of the Information Society In the paper present state of technology of electronic voting and its application is discussed, with particular consideration for the internet voting Standards for electronic voting equipment, systems and programming languages are discussed also Streszczenie Artyku jest rozdzia em ksi ki przygotowywanej przez autora w j zyku angielskim, zatytu owanej Cyberdemokracja Przysz y paradygmat demokracji spo ecze stwa informacyjnego Przedstawiono w nim obecny stan technologii elektronicznego g osowania oraz jej zastosowania ze szczególnym uwzgl dnieniem g osowania internetowego Omówiono tak e standardy dotycz ce urz dze, systemów i j zyków programowania dla g osowania elektronicznego 1 Introduction One can observe two trends in modernization of conventional voting systems One of them consists in substitution of ordinary paper ballot box by more advanced devices in order to make ballot casting easiest, and the process of voices counting more efficient and less time-consuming Second trend consists in weighing anchor of voting system from polling station in order to enable voting from other places, easiest to access for a voter, and to enable absentee voting in days other then particular election day; the purpose is to increase both voters convenience and turnout First voting devices substituting classic ballot boxes, implemented in the USA, it were mechanical lever machines where voters cast ballots by pulling down levers that correspond to each candidate or issue choice Each lever has a mechanical counter that records the number of votes for that position Then, just in the computer epoch in the middle of XX century, punch card systems based on the IBM technology have been introduced, in which voters, using mechanical holepunch stylus, punch holes in computer-readable ballot cards After punch card, optical scan devices (called also marksense systems) have appeared in polling places Here voters, instead of punching holes, record choices by filling in a rectangle (or circle) on the ballot card The ballots are read by running them through a computer scanner, which then records the vote Since the 1990s, so called Direct Recording Electronic (DRE) devices have appeared DRE devices

22 A Kaczmarczyk are special-purpose or PC-based computers Voters push buttons or touch designated areas on a screen corresponding to their selections The votes are recorded in a computer memory Second innovation trend toward alternative voting systems has produced postal and telephone voting In postal voting an ordinary paper ballot is delivered to voters by post (usually), and is returned by post for counting In telephone voting, conducted with use of stationary or mobile phones with SMS option as well, dialing particular number or sending particular alphanumeric SMS message corresponds to use a particular lever in mechanical voting device, ie corresponds to particular voter s selection For the sake of difficulty with voter s authentication and low voting security, telephone voting is used rather for informal voting (eg in entertainment settings) Both trends meet together in complete online voting solution Going along the line of voting devices development, one will find the technical name of the solution as Public Network DRE Voting System or Remote Electronic Voting System System of this kind uses electronic ballots and transmits vote data from the polling place to another location (such as a central count facility) over a public network - public telephone lines and the Internet The name e-voting is interpreted as a shortened notation of electronic voting in general or of online voting If exactly the Internet is used for voting, the term Internet voting is applied, and even a shortened notation i-voting appears 2 Electronic voting in the field Alternative voting systems are used both in public and private elections Public elections are conducted under the jurisdiction of election officials and are subject to election laws, whereas private elections, conducted by corporations, organizations etc, are less rigid and rigorous In further discussion focus will be on systems for public elections, and yet private election systems, that stimulate advances in technology 1 and provide experience for public systems, will be considered also Postal voting, an old alternative system, is used both in private and public elections In Germany postal voting was first introduced in 1956 and is still in use in public elections In England, in local government elections in 2002, all-postal voting was conducted in 30 cities and towns, where polling stations weren t organized at all; the same in Stirling, Scotland [1] But a multitude of alternative voting systems in contemporary practice are electronic ones, more and more using ICT Among them, telephone system is popular only in private voting, mainly conducted by public media in polls both on show and political issues Only seldom telephone voting is used in public elections at local level (eg in above mentioned local government elections in UK in 2002) Punch card systems still have application, but are going out of use Widely used 1 An example: an international professional organization The Institute of Electrical and Electronics Engineers IEEE (a member of which the author is) for years applies postal voting In 2004 Internet voting has been introduced as an option for choice

Electronic voting 23 are optical scan and DRE systems that are subjects of various improvements Internet voting systems come into practice but are still in their infancy For the sake of its importance for the future, Internet voting will be discussed in the separate paragraph Electronic voting devices are in use in public elections in some European countries For example in France, the French Electoral Code authorizes the use of electronic voting machines for private or public elections since 1969 In Belgium, the legal possibility for municipalities to conduct elections using automated voting systems exists since 1994 In the Netherlands, the Election Regulation has approved use of voting machines since 1997 [2] In UK Representation of the People Act 2000 has allowed local authorities to run innovative electoral pilot schemes that take account of technological developments at local elections in England and Wales; Scotland Act 2002 has extended this to Scotland [3] But hot places for electronic voting systems use seem to be outside of Europe in Brazil, India, and in the USA of course In Brazil, electronic ballot boxes were used for the first time in 1996 Only cities with population larger then 200 thousand inhabitants were authorized to use electronic system in that election, and electronic ballot boxes were used in 57 cities with 33% of Brazilian voters In the 1998 elections access to electronic voting was extended to all cities with more then 40500 inhabitants In 2000 more then 300 thousand electronic ballot boxes were installed in 5600 cities Almost all of the votes were counted in less than 24 hours, and the level of abstentions dropped from 215% in 1998 to 15% in 2000 said Ellen Gracie Northfleet, Brazilian Chief Justice for the Supreme Court and Superior Electoral Tribunal on the 3 rd Worldwide Forum on Electronic Democracy in Issy-les Moulineaux [4] In 2002 first completely electronic national election, with use of 400 thousand voting machines, was conducted in Brazil having then 115 million electorate Interim results were available at once in the election day, official results next morning 2 [5] In Brazil DRE voting machines were applied Designed by the government, the machines called urnas were made by two Brazilian companies since acquired by the US Diebold Election Systems The urna costs USD 420 on average [7] Each machine has a screen and numeric keypad with three additional function keys: green, red and white After entering a booth in the polling station where machines are installed, a voter may use white key for abstention or to key assigned number of a candidate Then, he or she can see a name, a photo, and a party affiliation of the chosen candidate on the screen Now, use of green key means a vote confirmation, red key possibility to make correction Votes are recorded in memory of the machine and transferred to a floppy disk At the end of election, encrypted floppy disks are delivered, by voting officials, to a count station A part of machines used in 2002 election was equipped with small printer for making hard copy of the vote, which could be seen through the window only - by the voter The printed votes fell into a receptacle, making possible a hand recount for verification of voting correctness Before voting, each voter have to 2 Of course, there were critical opinions in Brazil about national system of electronic voting Critic point of view is presented eg in [6]

24 A Kaczmarczyk use special box, with connection to computer loaded with voter list, for identification as registered and authorized to vote in that constituency Keypad of that special box is used for identification procedure and finally produces signal enabling voting machine to start its function for this voter In India, electronic voting machines began to be used in the late 1990s, and had been used by federal agency under auspices of the Election Commission of India in several state elections In 2004 they were used on a mass scale in the largest democratic electronic election in the world, the election of the India national parliament The electronization of the election was performed under the rule of Bharatiya Janata Party, and the opposition Congress Party unexpectedly won the election, what can deliver an argument for trustworthiness of the chosen electronic solution 3 India has an electorate of more than 668 million, covering 543 parliamentary constituencies, and over one million voting machines were used in the election [9] Indian machines are of the DRE type, but of simplest design than those used in Brazil, easy to operate, even by the illiterate The voting machine consists of two units One of them it s a battery-powered control unit of the size of handheld calculator, with the software burned into the microprocessor - so with no room for manipulation - operated by voting officer Voting keyboard, operated by the voter, connected to the control unit by five-meter cable, is the second unit The voter must begin from his or her identification, carried out on noelectronic way, that ends when an official record book is signed and an identification number assigned to the voter After that, the voting officer presses the ballot button on the control unit to release one vote A green lamp lights up on the voting keyboard located in a screened-off area There are candidates names and party symbols on the keyboard The voter press the button next to the chosen candidate name, a red lamp glows, the machine emits a beep, and the control unit records the vote There is result button on the control unit to indicate, after completion of voting, the result as the total number of votes polled and the number cast in favor of each candidate The machine is able to produce a hard copy of the votes also, what ought to be done by election officials if empowered by a court Mechanical design of both control unit and voting keyboard enables to protect them against manipulation by pieces of string with wax seals (when machines are placed in a protective custody) Each machine can record six votes per minute or an estimated 3000 in a polling day Machines are of own Indian design, and Election Commission holds the patent for their production They are manufactured by two government firms and priced at USD 230 [10] The USA has the longest and the richest experience in electronic voting The use of voting machines began early, and a variety of machines in use is great, because there are different legal solutions in different states, and individual states - and even smaller jurisdictions in some states - purchase machines from different private manufacturers Therefore it can t be surprising, that one can meet in the USA contradictory opinions about electronic voting, frequently stimulated by market competition and conflicts of political interests The issue of electronic voting has been hot and controversial matter particularly since 2000, when machines marred the presidential election Punch card devices used then in Florida 3 However, at 1789 polling stations revoting was required (according to [8])

Electronic voting 25 produced incomplete punches, resulting in errors in reading the cards, and laborious manual inspecting of hanging chads on the cards was presented mockingly by mass-media all over the world Moreover, so called butterfly ballot, caused by poor alignment of the name of a candidate with the corresponding hole to punch for choosing this candidate, took place at Palm Beach County, and as it was spoken - cost Al Gore the presidency Punch card machines, efficiency of which could be judged as questionable that way, had been installed elsewhere also According to a report about voting systems used for the 2000 election in California, presented by Conny BMcCormack, Registrar- Recorder/County Clerk of County of Los Angeles [11], in 27 from among 58 counties of California the motherland of Silicon Valley voting machines it were punch card machines approved to use in 1964 and 1968 More then 9 million electorate, ie almost 60% of the whole 15,707,307 California then electorate used those machines 4 A circumstance, that election results could be considered untrustworthy because of voting machines resulted not only from use of punch card devices Incidents occurred with optical scan devices also In a Volusia County precinct, where only 412 people voted, the tabulation system of an optical scan machine deleted votes for Gore, giving him minus 16,022 votes whereas Bush received 2,813 votes Spokesman of the machine manufacturer explained, that the problem wasn't the machine but the result of someone uploading a second, faulty memory card to the county server after workers had already uploaded the real precinct results from another card This error was immediately detected, through normal auditing procedures, and the votes were re-tabulated The manufacturer of the machine was Diebold Election Systems, the biggest election machine provider in the USA, controlling about 50% of the market Sequoia Voting Systems and Election Systems & Software (ES&S) are two top competitors of Diebold 5, which besides is well known manufacturer of ATMs and security devices, and voting systems occupy only few percent of the whole company s business Diebold is an object of interest and criticism - particularly from the side of democrats - not only because of the company s top role in the electronic voting business, but also because the company is spoken to have close ties to the Republican Party, and the Diebold CEO is known as a fund-raiser for President Bush New Diebold s DRE machines with touch screen were an object of accusation also As a result of independent investigation of the integrity of new electronic voting machines, surprising facts related to Diebold's AccuVote machine (used then in 37 States) were revealed by an investigator Bev Harris [12] I found that Diebold Election Systems had been storing 40,000 of its files on an open web site, an obscure site, never revealed to public interest groups, but generally known among election industry insiders, and available to any hacker with a laptop - wrote Harris - They contained diagrams of remote communications setups, passwords, encryption keys, source code, user manuals, testing protocols, and simulators, as well as files loaded with votes and voting machine software Harris s revelations were diffused by other authors also, often 4 In the further course of matter all California counties with punch card voting systems are required by court order to convert from these systems to a new system no later than March 2, 2004 5 Yet ES&S has family connections with Diebold

26 A Kaczmarczyk with alarming comments that e-voting threatens democracy Polemics about and campaigns pro and contra electronic voting in the USA became especially intensive after HAVA - Help America Vote Act passed by Congress in 2002 The HAVA allocated 39 billion of US dollars in matching federal funds to help states upgrade their voting systems It added fuel to the flame of market and political competition And yet one strong conclusion has resulted from disputes: voting machines must provide a voter-verifiable audit trail ie a permanent record of each vote that can be checked for accuracy by the voter before the vote is submitted, and is difficult or impossible to alter after it has been checked Two promising technical solutions of this problem have been proposed One of them is a method of voter-verified paper trail proposed by a graduate Harvard student named Rebecca Mercuri in her doctor s thesis (Dr Mercuri is a renowned expert in the e-voting area now) According to the Mercuri method [13], after a ballot is cast on DRE machine and recorded electronically, the system prints a paper ballot and displays it behind a glass widow The voter reviews the printed ballot If it not represents the voter s choice, the voter calls an election official who voids the ballot and the voting can be repeated In the case of approval of the printed ballot, it drops into a ballot box for possible later tallying (As it was mentioned before, the paper-trail scheme was in use on a trial basis in Brazil) Another solution proposed in the USA is the frog voting system presented by Dr Rivest, Dr Shuki Bruck of the California Institute of Technology and Dr David Jefferson of Lawrence Livermore National Laboratory in their Voting Technology Project [14],[15] A frog a nick, not associated with elections, is a memory card, it means a piece of plastic with a bit of digital memory Before the election, a voter gets a frog filled with all the candidates and other ballot options Now, the voter can make his or her choice using first type machine of the voting system, and the choice will be stored on the frog; machines of the first type can be located at voting stations and at public places Casting a ballot consists in inserting the frog into the voting terminal the second type machine of the voting system The machine reads the frog's content and displays the voter s choice on the screen If the readout doesn t satisfy the voter for some reason, the voter can reprogram the frog If the voter is satisfied, he or she pushes a button and make the cast official The frog is "frozen," so that its data could no longer be altered, and deposited in a ballot box as a backup record The principle of voter-verifiable audit trail provision comes into legislation California, Nevada, Vermont, Missouri, Washington and West Virginia are mandating, or announcing mandates, that all e- voting systems in the state must produce voter-verifiable trail Bills requiring such trail nationwide and forcing companies to open their software for public inspection are introduced also But legislative measures couldn t be effective before the 2004 presidential election About 100 million people in the USA voted using electronic voting machines of the types offered earlier, almost half of them using optical scan machines, and other half using DRE machines with touch screen (priced at USD 3000) Punch card and mechanical machines were in use in some counties in 2004 too, and also paper ballot in sparse cases Similarly as in 2000, numerous irregularities appeared in the 2004 presidential election, some of them caused by voting machines Machine irregularities were the same as previously, and such, that could be expected in the light of pre-election criticism Thus, there were both butterfly ballot and

Electronic voting 27 hanging chads caused by outdated punch card machines In Cleveland 77 000 of the 96 000 spoiled ballots came from punch card devices [16] It happened that a ballot went into not clearly marked machine calibrated not for the voter s precinct, and was counted for another candidate then selected by the voter In several precincts, there were more votes counted by voting machines than signatures in poll books Cases of malfunction of DRE machines were reported after pushing a button for a candidate the machine went blank or even the vote jump for another candidate There were also irregularities with tabulation, both caused by malfunction or negligence as anecdotal recording a negative 25 million votes in Mahoning County, Ohio - and intentionally Inconsistently with law, that prohibits election machinery from being serviced, modified, or altered in any way subsequent to an election, unless it is so done in the presence of the full board of elections and other observers, there were cases of reprogramming of machines, ie altering tabulating software, prior to the start of the recount, done by technicians of the machine provider as a standard procedure for the company It s worth to notice, that the main election irregularities wasn t connected with voting devices themselves Raised objections [16] concerned among other things rejections of voters registration applications, restriction provisional ballots (although HAVA states, that all those who appear at a polling place and assert their eligibility to vote irrespective of the fact that their eligibility may be subject to question by the people at the polling place shall be issued a provisional ballot), and preventing voters - particularly seniors - for absentee voting A most spectacular irregularity of this election, reported by mass-media all over the world, it were unprecedented long lines of voters waiting to cast their votes Long waits were caused, as claim democrats, by misallocation of voting machines, and substantial discrepancies in the number of voting machines per voter in low-income areas, being places of residence of many democratic voters, as compared to other areas Another widely discussed problem of 2004 election was a discrepancy between exit pollster, it means results of interviews with voters after they have cast their votes, and official election results Exit pollster was conducted by wellknown consortium Edison Media Research and Mitofsky International, and its results have been issued in January 2005 [17] The Edison/Mitofsky s poll results projected a Kerry victory by 30%, whereas the official count had Bush winning by 25% This discrepancy cannot be attributed to chance, and the discussion that ensued, concerned the discrepancy interpretation Authors of another report [18], being response to the Edison/Mitofsky result, concluded their considerations as follows: we believe that the absence of any statistically-plausible explanation for the discrepancy between Edison/Mitofsky s exit poll data and the official presidential vote tally is an unanswered question of vital national importance that needs thorough investigation As to voting machines, the Edison/Mitofsky report includes data about error rates for different type of voting equipment used at polling place Table 1 shows the percentage discrepancy between election results and exit poll results for

28 A Kaczmarczyk various types of voting equipment, expressed as a median WPE (Within Precinct Error) 6, given in the Edison/Mitofsky report Table 1 Discrepancies for Various Types of Voting Equipment Type of voting equipment Median WPE Paper ballot 09 Mechanical voting machine 103 Punch cards 73 Optical scan 55 Touch screen 70 Authors of the report express their opinion, that these errors are not necessarily a function of the voting equipment They appear to be a function of the equipment s location and the voters responses to the exit poll at precincts that use this equipment The value of the WPE for the different types of equipment may be more a function of where the equipment is located than of the equipment itself The larger urban areas had higher WPEs than the rural/small towns The low value of the WPE in paper ballot precincts may be due to the location of those precincts in rural areas, which had a lower WPE than other places And yet, authors of the previously mentioned response report consider voting machines as possibly connected with corruption in the vote They also formulate a hypothesis, that if indeed there was corruption of vote counts among the Bush strongholds, this statistic presented in the Edison/Mitofsky report suggests that its distribution was far from uniform, and would be consistent with large-scale vote count corruption in a small proportion of precincts [19] So, even if voting machines were used for vote fraud, it wasn t a wide range phenomenon, and what s more, there is a way to detect such incidents statistically Both electronic voting systems and ways of its implementation as well as operation have a great deal of imperfections A development will follow, and use of some framework to do this is necessary 3 Framework for electronic voting Aspirations for credibility of electronic voting systems make an intensive development of performance standards, evaluation methods and test criteria, and of certification procedures based on the above The philosophy of the play is well tried with standards in different areas, in the real- and cyberspace First, requirements and performance specification of systems in question are formed This is done with participation of users and manufacturers, so real systems that 6 The error is the difference between the percentage margin between Kerry and Bush in the exit poll (more favorable to Kerry) and the actual vote (more favorable to Bush) WPE can be roughly thought of as the percentage discrepancy between election results and exit poll results within sampled precincts Median WPE means the middle WPE when the WPEs under consideration are arranged in order of size