46391 (Информационная система университета), страница 8

Модель Муса. Модель Муса относят к динамическим моде­лям непрерывного времени. Это значит, что в процессе тестиро­вания фиксируется время выполнения программы (тестового прогона) до очередного отказа. Но считается, что не всякая ошибка ПС может вызвать отказ, поэтому допускается обнару­жение более одной ошибки при выполнении программы до воз­никновения очередного отказа.

Считается, что на протяжении всего жизненного цикла ПС может произойти М₀ отказов и при этом будут выявлены все N₀ ошибки, которые присутствовали в ПС до начала тестирования.

Общее число отказов Мо связано с первоначальным числом ошибок N₀ соотношением

N₀ = ВМ₀, (36)

где В — коэффициент уменьшения числя ошибок.

В момент, когда производится оценка надежности, после проведения тестирования, на которое потрачено определенное время , зафиксировано m отказов и выявлено п ошибок.

Тогда из соотношения:

п=Вт (15) , (37)

можно определить коэффициент уменьшения числа ошибок В как число, характеризующее количество устраненных ошибок, приходящихся на один отказ.

В модели Муса различают два вида времени:

1) суммарное время функционирования , которое учитывает чистое время тестирования до контрольного момента, когда производится оценка надежности;

2) оперативное время t- время выполнения программы, пла­нируемое от контрольного момента и далее, при условии, что дальнейшего устранения ошибок не будет (время безотказной работы в процессе эксплуатации).

Для суммарного времени функционирования предполага­ется:

• интенсивность отказов пропорциональна числу не устраненных ошибок;

• скорость изменения числа устраненных ошибок, измеряемая относительно суммарного времени функционирования,. пропорциональна интенсивности отказов.

Один из основных показателей надежности, который рассчи­тывается по модели Муса, - средняя наработка на отказ. Этот показатель определяется как математическое ожидание временного интервала между последовательными отказами и связан с надежностью:

, (38)

где t — время работы до отказа.

Если интенсивность отказов постоянна (т.е. когда длитель­ность интервалов между последовательными отказами имеет экспоненциальное распределение), то средняя наработка на отказ обратно пропорциональна интенсивности отказов. По модели Муса средняя наработка на отказ зависит от суммарного времени функционирования :

, (39)

где T₀ — средняя наработка на отказ в начале испытаний (тестирования);

С - коэффициент сжатия тестов, который вводится для устранения избыточ­ности при тестировании. Если, например, один час тестирования соответствует 12 ч работы в реальных условиях, то коэффициент сжатия тестов равен 12.

Параметр То - средняя наработка на отказ до начала тести­рования, можно предсказать из следующего соотношения:

, (40)

где f — средняя скорость исполнения программы, отнесенная к числу команд (операторов);

К — коэффициент проявления ошибок, связывающий частоту возникновения ошибок со "скоростью ошибок", которая представляет собой скорость, с которой бы встречались ошибки программы, если бы программа выполнялась линейно (последовательно по командам). В настоящее время значение К приходится определять эмпирическим путем по однотипным программам. Его значение изменяется от 1.54*10^-7 до 3.99*10^-7;

N₀ — начальное число ошибок — можно рассчитать с помощью другой модели, позволяющей определить эту величину на основе статистических данных, полу­ченных при тестировании (например, модель Шумана). Надежность R для опера­тивного периода выражается равенством:

. (41)

Если в договоре с заказчиком оговорена требуемая величина наработки на отказ Т_F, то можно определить число отказов m и дополнительное время функционирования (тестирования) , обеспечивающее заданное Т_F. Их можно рассчитать по фор­мулам:

, (42)

. (43)

По результатам тестовых испытаний можно определить значение коэффициента В из соотношения (37) и М₀ - из соот­ношения (34). По договорной величине требуемой средней наработки на отказ Т_F и рассчитанной по модели Муса текущей средней наработки на отказ Т можно сделать заключение о необходимости продолжать или, возможно, закончить тестиро­вание программ. В случае необходимости продолжения работ по тестированию для достижения требуемой средней наработки на отказ модель дает возможность предсказать число возможных отказов m (формула (42)) и дополнительное время тестирова­ния (формула (43)).

Модель переходных вероятностей. Эта модель основана на марковском процессе, протекающем в дискретной системе с непрерывным временем.

Процесс, протекающий в системе, называется марковским (или процессом без последствий), если для каждого момента времени вероятность любого состояния системы в будущем зависит только от состояния системы в настоящее время t₀ и не зависит от того, каким образом система пришла в это состо­яние. Процесс тестирования ПС рассматривается как марков­ский процесс.

В начальный момент тестирования (t=0) в ПС было n ошибок. Предполагается, что в процессе тестирования выявляется по одной ошибке. Тогда последовательность состояний системы (n, n-1, n-2, n-3} и т.д. соответствует периодам времени, когда предыдущая ошибка уже исправлена, а новая еще не обнару­жена. Например, в состоянии n-5 пятая ошибка уже исправ­лена, а шестая еще не обнаружена.

Последовательность состояний {т, т-1, т-2, т-3 и т.д.} соответствует периодам времени, когда ошибки исправляются. Например, в состоянии т-1 вторая ошибка уже обнаружена, но еще не исправлена. Ошибки обнаруживаются с интенсивностью , а исправляются с интенсивностью .

Предположим, в какой-то момент времени процесс тестиро­вания остановился. Совокупность возможных состояний сис­темы будет: 5={ n, т, n-1, n-1, n-2, m-2, . . . }.

Система может переходить из одного состояния в другое с определенной вероятностью P_ij. Время перехода системы из одного состояния в другое бесконечно мало.

Вероятность перехода из состояния n-k в состояние m-k есть _n-kt ( для k = 0, 1, 2, ... . Соответственно вероятность пере­хода из состояния m-k в состояние n-k-1 будет _m-kt для k=0,1,2,....

Общая схема модели представлена на рисунке 34. Если считать, что ₁ и ₁ зависят от текущего состояния системы, то можно составить матрицу переходных вероятностей представленной в таблице 12.

Общая схема модели

Рис. 34

Таблица 12 - Модель многих состояний ПС

Пусть S'(t) - случайная переменная, которой обозначено состояние системы в момент времени t.

В любой момент времени система может находиться в двух возможных состояниях: работоспособном либо неработоспособ­ном (момент исправления очередной ошибки).

Вероятности нахождения системы в том или ином состоянии определяются как:

Pn-k(t) = P(S’(t)=n-k), k=1,2,3,… (44)

Pm-k(t) = P(S’(t)=m-k), k=1,2,3,… (45)

Готовность системы определяется как сумма вероятностей нахождения ее в работоспособном состоянии:

. (46)

Под готовностью системы к моменту времени t понимается вероятность того, что система находится в рабочем состоянии во время t.

Надежность системы после t (времени отладки, за которое уже выявлено К ошибок, т.е. система находится в состоянии n-k (К-я ошибка исправлена, а (К+1)-я еще не обнаружена), может быть определена из состояния:

, (47)

где — интервал времени, когда может появиться (К+ 1)-я ошибка;

— принятая постоянная интенсивность проявления ошибок.

Рассмотрим решение модели для случая, когда интенсив­ность появления ошибок и интенсивность их исправления - постоянные величины. Составляется система дифференциаль­ных уравнений:

;

, k=1,2,3,… (48)

, k=0,1,2,3,…

Начальными условиями для решения системы могут яв­ляться:

P_n(0) = 1;

P_n-k(0) = 0; k=1,2,3,… (49)

P_m-k(0) = 0; k=1,2,3,…

При имеющихся начальных условиях система уравнений может быть решена классически или с использованием преобра­зований Лапласа.

В результате решения определяются P_n-k и P_m-k для случая, когда и - константы.

Для общего случая отбросим ограничение постоянства интенсивностей появления и исправления ошибок и предположим, что

, k=1,2,3,…, (50)

т.е. являются функциями числа ошибок, найденных к этому времени в ПС. Система дифференциальных уравнений для такого случая имеет вид:

, K=1,2,3, … (51)

, K=1,2,3, …

Начальные условия для решения системы будут:

P_n(0)=1;

P_n-k(0)=0; k=1,2,3,… (52)

P_m-k(0)=0; k=1,2,3,…

Система может быть решена методом итераций Эйлера. Предполагается, что в начальный период использования модели значения Х и р должны быть получены на основе преды­дущего опыта разработчика. В свою очередь, модель позволяет накапливать данные об ошибках, что дает возможность повы­шения точности анализа на основе предыдущего моделиро­вания. Практическое использование модели требует громозд­ких вычислений и делает необходимым наличие ее програм­мной поддержки.

10.3. Статические модели надежности

Статические модели принципиально отличаются от динами­ческих прежде всего тем, что в них не учитывается время появления ошибок в процессе тестирования и не используется никаких предположений о поведении функции риска А..((). Эти модели строятся на твердом статистическом фундаменте.

Модель Миллса. Использование этой модели предполагает необходимость перед началом тестирования искусственно вносить в программу ("засорять") некоторое количество извест­ных ошибок. Ошибки вносятся случайным образом и фикси­руются в протоколе искусственных ошибок. Специалист, прово­дящий тестирование, не знает ни количества, ни характера вне­сенных ошибок до момента оценки показателей надежности по модели Миллса. Предполагается, что все ошибки (как есте­ственные, так и искусственно внесенные) имеют равную вероят­ность быть найденными в процессе тестирования.

Тестируя программу в течение некоторого времени, соби­рается статистика об ошибках. В момент оценки надежности по протоколу искусственных ошибок все ошибки делятся на собственные и искусственные. Соотношение:

, (53)

дает возможность оценить N - первоначальное число ошибок в программе. В данном соотношении, которое называется форму­лой Миллса, S - количество искусственно внесенных ошибок, n - число найденных собственных ошибок, V - число обнару­женных к моменту оценки искусственных ошибок. Например, если в программу внесено 50 ошибок и к некоторому моменту тестирования обнаружено 25 собственных и 5 внесенных оши­бок, то по формуле Миллса делается предположение, что первоначально в программе было 250 ошибок.

Вторая часть модели связана с проверкой гипотезы от N Предположим, что в программе имеется К собственных ошибок| и внесем в нее еще S ошибок. В процессе тестирования были обнаружены все S внесенных ошибок и n собственных ошибок.

Тогда по формуле Миллса мы предполагаем, что первона­чально в программе было N = n ошибок. Вероятность, с которой можно высказать такое предположение, возможно рассчитать по следующему соотношению:

1 , если n

С = ; если nK . (54)

Например, если утверждается, что в программе нет ошибок (К=0), и при внесении в программу 10 ошибок все они в процессе тестирования обнаружены, но при этом не выявлено ни одной собственной, то С=0,9. То есть с вероятностью 0,9 можно утверж­дать, что в программе нет ошибок. Но если в процессе тестиро­вания была обнаружена одна собственная ошибка, то С=1, так как n > К, и наше предположение о том, что в программе нет ошибок, на 100% не подтвердилось.

Таким образом, величина С является мерой доверия к модели и показывает вероятность того, насколько правильно найдено значение N. Эти два связанных между собой по смыслу соотношения образуют полезную модель ошибок: первое пред­сказывает возможное число первоначально имевшихся в про­грамме ошибок, а второе используется для установления доверительного уровня прогноза. Однако формула (54) для расчета С не может быть использована в случае, когда не обнаружены все искусственно рассеянные ошибки. Для этого случая, когда оценка надежности производится до момента обнаружения всех 5 рассеянных ошибок, величина С рассчиты­вается по модифицированной формуле (55):

1 , если n>K

C= , если nK, (55)