Лекции о надёжности

1.5. Модели надежности программного и информационного обеспечения

Надежность является важным и естественным требованием, предъявляемым к качеству разрабатываемых программных и инфор­мационных компонентов АСОИУ. Теория надежности аппаратных средств АСОИУ разработана достаточно глубоко, поэтому при иссле­довании надежности программного и информационного обеспечения большинство методов используют идеи теории надежности техничес­ких средств. Это позволяет инженеру не только оценивать, но и про­гнозировать надежность программно-информационных продуктов.

С точки зрения надежности между техническими устройствами и программными продуктами кроме несомненных аналогий имеются существенные различия. Так, небрежно написанный и отлаженный программный модуль, непродуманная схема технического устройства могут давать неправильные результаты уже на первых этапах тести­рования. Однако на этом сходство заканчивается. Дело в том, что любое, даже самое надежное, техническое устройство подвержено эксплуатационному износу и со временем начинает отказывать из-за старения. Программные же модули лишены подобных недостатков, и их надежность может в ходе эксплуатации только увеличиваться за счет устранения выявляемых ошибок. Поэтому теоретически может возникнуть ситуация, когда при тестировании программного модуля ошибки уже не будут обнаруживаться.

В процессе анализа надежности программное и информационное обеспечение (ИО) можно рассматривать как подсистемы АСОИУ.

Работоспособным называется такое состояние программного сред­ства, при котором оно способно выполнять заданные функции с па­раметрами, установленными требованиями технического задания. С переходом в неработоспособное состояние связано событие отказа. Причиной отказа программного средства является невозможность его полной проверки в процессе тестирования и испытаний. При эксплуатации программного средства в реальных условиях может возникнуть такая комбинация входных данных, которая вызовет от­каз. Следовательно, работоспособность программного средства зави­сит от входных данных, и чем меньше эта зависимость, тем выше уро­вень надежности.

В общем случае отказы программного обеспечения определяются как отклонения от правильного хода выполнения программы вслед­ствие ошибок, допущенных в процессе преобразования исходного алгоритма в действующую программу. А ошибка — это регистрируемый пользователем факт неудовлетворенности качеством программы, причина дефекта системы программного обеспечения; и наоборот, дефект рассматривается как проявление допущенной ранее ошибки.

Таким образом, надежность программного (и информационного) обес­печения можно определить как вероятность того, что отказ программно­го обеспечения, вызывающий отклонение получаемых результатов — выход их за допустимые пределы, не произойдет в течение заданно­го периода времени (при определенных условиях внешней среды).

Следует иметь в виду, что не все отказы приводят к уменьшению надежности программного обеспечения, а только те, которые вызы­вают отклонение результата расчета от допустимых пределов.

Под определенными условиями внешней среды обычно понимается со­стояние АСОИУ и описание входных данных в процессе выполне­ния программы. Состояние АСОИУ определяется в основном возмож­ностями вычислительных средств обработки и хранения информа­ции (например, объемом главной оперативной памяти) и зависит от требований к программному обеспечению в части его способности нормально функционировать при наличии отказов. Под способнос­тью подразумеваются свойства программного обеспечения, которые закладываются при его проектировании (например, возможность смены программ в памяти; возможность возобновления работ с не­которых контрольных точек и т. д.). В общем случае работа в услови­ях внешней среды, не предусмотренных техническим заданием и проектом программного обеспечения, приведет к снижению надеж­ности последнего.

Временной факторпри расчете надежности учитывает время, необ­ходимое для вычислительного процесса решения той или иной зада­чи. Выделение определенного временного интервала для оценки ка­чества программного обеспечения, по-видимому, целесообразно для систем реального времени, в которых непредсказуемыми являются число расчетов по любой из действующих программ, состояние базы данных и моменты начала выполнения той или иной программы. Каж­дый раз перед повторным запуском программы необходимо либо вос­станавливать исходное состояние памяти, либо осуществлять серию последовательных просчетов программы, при которых определенным образом последовательно изменяется состояние базы данных.

Модель надежности программного и информационного обеспечения—это математическая модель, построенная для оценки зависимости надеж­ности программного и информационного обеспечения от некоторых определенных параметров. Например, параметров, связанных с ка­кой-либо ветвью программы на подмножестве наборов входных дан­ных, с помощью которых эта ветвь контролируется. Или частоты ошибок, которая позволяет оценить качество систем реального вре­мени, функционирующих в непрерывном режиме, и при этом полу­чить косвенные данные о надежности программного и информаци­онного обеспечения.

Известные модели надежности программного и информационно­го обеспечения АСОИУ можно классифицировать по различным признакам, в частности по тому, какой из перечисленных процессов они поддерживают (предсказывающие, прогнозные, оценивающие, измеряющие). Модели надежности, которые в качестве исходной информации используют данные об интервалах между отказами, мож­но отнести к измеряющим или к оценивающим в равной степени. Некоторые модели, основанные на информации, полученной в ходе тестирования программного средства, дают возможность делать про­гнозы его поведения в процессе эксплуатации.

Аналитические модели позволяют рассчитать количественные показатели надежности, основываясь на данных о поведении про­граммы в процессе тестирования (измеряющие и оценивающие модели).

Аналитические модели реализуются в виде динамических и стати­ческих. В динамических моделях надежности программно-информа­ционных средств поведение программы (появление отказов) рассмат-ривается во времени. В статических моделях появление отказов не связывают со временем, а учитывают только зависимость количества ошибок от числа тестовых прогонов (по области ошибок) или зави­симость количества ошибок от характеристики входных данных (по области данных). Именно аналитическим моделям уделено особое внимание в данном параграфе.

Эмпирические модели базируются на анализе структурных особен­ностей программ. При разработке эмпирических моделей надежно­сти программного и информационного обеспечения предполагает­ся, что связь между надежностью и другими параметрами является статической.

Эти модели рассматривают зависимость показателей надежности от числа межмодульных связей, количества циклов в модулях, отно­шения количества прямолинейных участков к количеству точек вет­вления и т. п. Иначе говоря, при разработке эмпирической модели стремятся иметь дело с такими параметрами, соответствующее изме­нение значений которых должно приводить к повышению надежно­сти программного и информационного обеспечения. Необходимо отметить, что нередко эмпирические модели не дают конечных ре­зультатов показателей надежности.

Основные количественные показатели надежности программного и информационного обеспечения

Для оценки надежности используются три группы показателей: качественные, порядковые и количественные.

К основным количественным показателям надежности программ­ного средства относятся:

Вероятность безотказной работы P(t₃) — это вероятность того, что в пределах заданной наработки отказ системы не возникает. При этом под наработкой понимается продолжительность или объем работ.

где t— случайное время работы программно-информационного обес­печения до отказа; t₃ — заданная наработка.

Вероятность отказа — вероятность того, что в пределах заданной наработки отказ программно-информационной системы возникает. Это показатель, обратный предыдущему:

^{где f(t) — плотность вероятности отказа в момент времени L}

Связь между λ(t) и P(t) определяется следующим соотношением:

Интенсивность отказов ПО и ИО системы λ( t) — это условная плот­ность вероятности возникновения отказа программного или инфор­мационного обеспечения в определенный момент времени при усло­вии, что до этого времени отказ не возник.

В частном случае при λ ■ const

Если в процессе тестирования фиксируется определенное число отказов за некоторый интервал времени, то интенсивность отказов системы λ(t) характеризует число отказов в единицу времени.

где t— время работы программного или информационного обеспече­ния от (i -1 )-го до i -го отказа.

Средняя наработка до отказа Т. — математическое ожидание време­ни работы программного или информационного обеспечения АСОИУ до очередного отказа.

где t_i— время работы программного средства между отказами; ι = 1, 2, ..., n —количество отказов.

Среднее время восстановления T_i — математическое ожидание времени восстановления (t_вi), времени, затраченного на восстанов­ление и локализацию отказа (t_олi), времени устранения отказа (i_yoi), времени пропускной проверки работоспособности (t_nni):

Для этого показателя термин «время» означает время, затрачен­ное программистом на перечисленные виды работ.

Коэффициент готовности К_i оценивается как вероятность того, что программное и информационное обеспечение АСОИУ будет нахо­диться в работоспособном состоянии в произвольный момент вре­мени его использования по назначению:

Напомним, что работоспособным называется такое состояние программно-информационного обеспечения, при котором оно спо­собно выполнять заданные функции с параметрами, установленны­ми требованиями технического задания. С переходом в неработо­способное состояние связано событие отказа.

Причиной отказа программного и информационного обеспечения является невозможность его полной проверки в процессе тестирова­ния и испытаний. При эксплуатации ПО и ИО в реальных условиях может возникнуть такая комбинация входных данных, которая мо­жет вызвать отказ. Следовательно, работоспособность рассматриваемых подсистем может зависеть и от значений входных данных. Причем чем меньше эта зависимость, тем выше уровень надежности подсистем АСОИУ.

Основным средством определения количественных показателей надежности являются модели надежности, под которыми понимают математические модели, построенные для оценки зависимости на­дежности от заранее известных или оцененных в ходе создания про­граммного средства параметров. В связи с этим определение надеж­ности показателей принято рассматривать в единстве трех процес­сов — предсказание, измерение, оценивание.

Предсказание — определение количественных показателей надеж­ности исходя из характеристик будущего программно-информацион­ного продукта.

Измерение— определение количественных показателей надежнос­ти, основанное на анализе данных об интервалах между отказами, полученных при выполнении программных заданий в условиях тес­товых испытаний.

Оценивание— определение количественных показателей надежно­сти, основанное на данных об интервалах между отказами, получен­ных в процессе испытания ПО и ИО АСОИУ в реальных условиях функционирования.

Динамические модели

Аналитическое моделирование надежности программного сред­ства включает четыре шага:

• определение предположений, связанных с процедурой тестиро­вания программного средства;

• разработку или выбор аналитической модели, базирующейся на предположениях о процедуре тестирования;

• выбор параметров моделей с использованием полученных данных;

• применение модели расчета количественных показателей надеж­ности.

Аналитические модели представлены двумя группами: динамичес­кие и статические модели надежности. Наиболее известными дина­мическими моделями являются модели Шумана, La Padula, Джелин-ского-Моранды, Шика-Волвертона, Муса. К статическим относят модели Миллса, Липова, Коркорэна, Нельсона.