CMMI软件风险定量研究-极限值.docx

?

?

CMMI软件风险定量研究

极限值

?

?

论文导读:：基于CMMI的风险管理模型。基于CMMI的软件风险管理实践。对软件过程和产品都有定量的理解与控制。定义5极限值：对每一风险类别。

论文关键词：CMMI，软件风险管理，定量，极限值

?

0引言

随着企业和社会信息化的日益普及，与信息技术紧密相关的各类软件项目，诸如软件开发、组建计算机网络和信息系统集成等软件项目和我们生活的联系越来越频繁。随着软件建设环境的日趋复杂，软件项目的投资和建设规模也急剧增加。软件项目所固有的需求很难准确定义、建设标准和目标不易统一、技术人员流动频繁、研发技术发展迅速等特点决定了它要充分考虑项目管理中可能遭遇的各种风险，还面临着其他类型项目所不具备的特殊风险。这些风险的存在很可能会造成数据丢失、进度推迟、成本增加等不良后果，更为严重的可能会导致项目中断甚至整个项目的失败。

软件项目风险管理是指贯穿于软件项目生命周期，保证项目按计划进行的策略、方法、技术和工具的集合，它含有风险辨识、评估、排序、计划、监督和控制活动，并成为软件项目管理的主要部分之一。软件项目风险管理的目标是识别可能影响软件项目成功的任何风险；提供识别和评估风险的标准过程和方法；通过适当的行动将风险产生的概率或后果压至最低；实时监测和报告风险，为制定防范和应对风险的措施提供决策依据。

项目风险管理强调对项目目标的主动控制，对项目实现过程中遭遇的风险和干扰因素可以做到防患于未然，以避免和减少损失。

1基于CMMI的风险管理模型

美国卡内基梅隆大学软件工程研究院(SEI)在CMM（能力成熟度模型)的基础上提出了CMMI（能力成熟度模型集成)。

1.1CMMI介绍

CMMI把各种能力成熟度模型集成到一个框架中去，这个框架有两个功能极限值，第一，软件采购方法的改革；第二，建立一种从集成产品与过程发展的角度出发、包含健全的系统开发原则的过程改进。CMMI是CMM的修订本。CMMI的源模型为：CMM2.0（C稿）；电子行业协会临时标准（EIA/IS）731；集成产品开发能力成熟度模型（IPD-CMM）v0.98。CMMI共有五个等级，分别标志着软件企业能力成熟度的五个层次。

（1）初始级：软件过程是无序的，有时甚至是混乱的，对过程几乎没有定义，成功取决于个人努力。管理是反应式的。

（2）已管理级：建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的过程纪律，能重复早先类似应用项目取得的成功经验论文格式。

（3）已定义级：已将软件管理和工程两方面的过程文档化、标准化，并综合成该组织的标准软件过程。所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件，软件产品的生产在整个软件过程是可见的。

（4）量化管理级：分析对软件过程和产品质量的详细度量数据，对软件过程和产品都有定量的理解与控制。管理有一个做出结论的客观依据，管理能够在定量的范围内预测性能。

（5）优化管理级过程的量化反馈和先进的新思想、新技术促使过程持续不断改进。每个等级都被分解为若干关键过程域，特殊目标和特殊实践，通用目标、通用实践和共同特性。风险管理过程在CMMI第三级―已定义级中描述。[1]

1.2CMMI风险管理模型

风险管理是一种连续的、前瞻性的过程。它要识别潜在的可能危及关键目标的因素，以便策划应对风险的活动和在必要时实施这些活动，缓解不利的影响，最终实现组织的目标。CMMI的风险管理被清晰地描述为实现三个目标，每个目标的实现又通过一系列的活动来完成（见图1）[2]。

图1.CMMI的风险管理模型

（1）目标1：准备风险管理

包括三个活动：确定风险来源和类别；定义风险参数；建立风险管理策略。在该目标实施过程中，将产生：①风险来源清单和风险类别清单；②风险可能性（也就是风险发生的机率）、风险结果（也就是风险发生的影响和严重性）、引发管理活动的极限值；③项目风险管理策略等数据，并写进风险库。

（2）目标2：识别并分析风险

包括两个活动：识别风险；评估、分类和排序风险。在该目标实施过程中，将产生：④已识别的风险清单；⑤风险清单（包含各个风险的优先级）等数据，并写进风险库。

（3）目标3：降低风险

包括两个活动：制订风险降低计划；执行风险降低计划。在该目标实施过程中，将产生：⑥每个已识别风险的处理方案、风险降低计划、紧急应变计划、负责追踪和解决每个风险的人员清单；⑦更新后的风险状态清单、更新后的风险可能性、结果和极限值的评估、更新后的风险处理方案清单、更新后的风险处理行为清单、风险降低计划等数据，并写进风险库。

CMMI强调将所做的工作记录下来，作为后续工作的历史参考。该模型中各个目标的每个活动都会更新风险库，从而实现了管理的可追溯性。

2基于CMMI的软件风险管理实践

2.1风险形式化描述

定义1