Để quyết định nên kiểm thử những vấn đề nào trước, chúng ta cần phải biết vấn đề nào trong số những vấn đề này có thể gây ra nguy hiểm nhất. Amland đã đưa ra một ví dụ mô tả phương pháp sử dụng độ phơi nhiễm rủi ro để lựa chọn chức năng cần kiểm thử trước. Đây là một ví dụ về lựa chọn các kiểm thử theo rủi ro đối với một ứng dụng được phát triển cho dịch vụ bán lẻ của ngân hàng. Trong khi thực hiện dư án này, người ta nhận ra rằng không
có đủ nguồn lực để kiểm thử mọi thứ. Hệ thống này bao gồm hai phần và mỗi phần sử dụng một cách tiếp cận khác nhau để quyết định nên kiểm thử cái gì.
Trong phần thứ nhất của hệ thống, một tổ hợp gồm 20 giao tác quan trọng nhất và tất cả những giao tác có hơn 10 lỗi đã được kiểm thử trước đó. Việc này được tiến hành từ khá sớm và có rất ít thông tin có thể lấy được từ đội phát triển hệ thống.
Sau đó, khi đã có nhiều thông tin hơn, nhiều nhân tố đã được xem xét thêm. Những nhân tố như thiệt hại do lỗi gây ra cho khách hàng C(c) và cho người bán hàng C(v) trong các lĩnh vực gồm bảo trì, các phát sinh từ luật pháp và uy tín đã được xem xét đối với từng chức năng. Thiệt hại do lỗi gây ra cho khách hàng và người bán hàng có tầm quan trọng như nhau nên thiệt hại đối với mỗi chức năng được tính bằng công thức (C(c) + C(v))/2.
Xác suất mắc lỗi của từng chức năng f ký hiệu là P(t) sẽ được tính toán mỗi khi mã nguồn phải thay đổi hoặc một chức năng mới cần thêm vào, hoặc do chất lượng thiết kế, do độ lớn và độ phức tạp.
Các nhân tố này được gán các trọng số có giá trị từ 1 đến 5 với ý nghĩa là trọng số cao hơn thì thể hiện chất lượng thấp hơn:
+ Bị thay đổi hoặc chức năng mới: 5 + Chất lượng thiết kế: 5
+ Độ phức tạp 3
+ Độ lớn chương trình: 1
Sau đó, đối với mỗi chức năng của hệ thống, xác xuất cho tất cả các chỉ số sẽ được xem xét để được gán các giá trị từ 1 đến 3. Tiếp theo, các trọng số và các giá trị tương ứng của các nhân tố đối với từng chức năng sẽ được nhân với nhau để tính trung bình (trung bình theo trọng số).
P(f) = Trung bình theo trọng số của f / Max của trung bình theo trọng số của tất cả các chức năng.
Độ phơi nhiễm rủi ro của chức năng f được tính theo công thức:
RE(f) = P(f) * (C(c) + C(v))/2
Bảng 2.1 là bảng được đung để tính độ phơi nhiễm rủi ro cho giao tác f là “đóng tài khoản”. Trong ví dụ này, thiệt hại do một lỗi gây ra cho người bán hàng tương đối thấp (nên được gán giá trị là 1), nhưng thiệt hại đối với khách hàng lại cao (nên được gán giá trị là 3). Vậy thiệt hại trung bình là 2.
Các giá trị cho các nhân tố (từ 1 đến 3) đã được cho trong bảng theo thứ tự là 2, 2, 2, 3. Ngoài ra, trong ví dụ này Trung bình theo trọng số lớn nhất là 10.5.
Trung bình theo trọng số = Average(5*2)+(5*2)+(1*2)+ (3*3) = 7.75 P(f) = 7.75 / 10.5 = 0.74
RE(f) = P(f) * (C(c)+C(v))/2 = 0.74 * 2 = 1.48
Thiệt hại Xác suất
Chức năng C(v) C(c) Avrg. C Chức năng mới 5 Chất lượng TK 5 Độ lớn 1 Độ phức tạp 3 Trung bình TS Xác suất P(f) Độ phơi nhiễm rủi ro RE(f) Đóng Tài khoản 1 3 2 2 2 2 3 7.75 0.74 1.48
Bảng 2.1: Độ phơi nhiễm rủi ro đối với chức năng “Đóng tài khoản”