Лекция 8. Надёжность системы (Лекции)

НАДЁЖНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯЛекция 8:Надёжность системыВМиК МГУ им. М.В. Ломоносова,Кафедра АСВК, Лаборатория Вычислительных КомплексовАссистент Волканов Д.Ю.О чём этот курс• Концепции и связи• Аналитические модели и средстваподдержки• Методы для увеличения надёжности ПО:––––––ВерификацияСтатический анализТестированиеРасчёт надёжностиАнализ статистики ошибокБезопасностьПлан лекции• Надёжность последовательных ипараллельных систем• Блок-схема расчёта надёжности• Анализ эксплуатационнойбезопасности• Анализ типов и последствий отказов• Анализ дерева неисправностей3ЭпиграфВ жизни нет гарантий, существуютодни вероятностиТом КлэнсиЧто такое надежность?Надежность - вероятность того, чтопрограммная система будет работатьпо спецификации.Дефект – код, приводящий к ошибке.Ошибка – проявление дефекта.Ошибки приводят к отказам –неверной работе программы.Модели надёжности• Граф надёжности (Reliability Graph)• Дерево неисправностей (Fault Treemodel)• Блок-схема расчёта надёжности(Reliability Block Diagram)6Системная Надёжность (1)• Система состоит из модулей• Модуль состоит из компонент• Компоненты могут иметь– Разную надёжность– Разную зависимость между ними• Надёжность системы – это функциянадёжности компонентов изависимости между компонентами7Надежностьпоследовательных систем• Система состоит из n компонент,соединенных друг с другом• Отказ каждого компонента приводитк отказу всей системыR1/1R2 /2...• Надежность системы меньшенадежности ее компонентов (т.к.

Rk 1).8Суммированиенадежностей• Надежность системы может быть выраженачерез надежности ее компонентов, еслиони отказывают независимо.• Для систем из отдельных компонентов:QpQp число компонентовk 1Rk надежность компонентаR   Rk• Надежности компонентов (Rk) должныбыть заданы в одном интервале.9Суммированиенадежностей• Используя связь между надежностью ичастотой ошибок ln R• Получаем:orR  e Qp   kk 1• Т.е. общая частота есть сумма частототдельных компонентов10Пример системы• Система из 4 независимыхкомпонентов– R1– R2– R3– R4= 0.95= 0.87= 0.82= 0.73Rsystem = 0.95  0.87  0.82  0.73 =0.4947• Надежность системы меньшенадежности каждого из компонентов 11Надежностьпараллельных систем• Система состоит из n компонентов,работающих параллельно• Только отказ всех компонентовприводит к отказу всей системы.R1nUnreliability Fp(t)   Fi(t)i1ni1i1Reliabilit y Rp(t)  1   Fi(t)  1   (1 - Ri(t))R2...n12Пример параллельнойсистемы• Система состоит из 4 параллельноработающих компонентов––––R1 = 0.95R2 = 0.87R3 = 0.82R4 = 0.73Rsystem = 1 – ((1 – 0.95)  (1 – 0.87) (1 – 0.82)  (1 – 0.73)) =0.9996• Надежность системы больше, чемнадежности отдельных компонентов.13Параллельнопоследовательные системыR11R12R1jR1nR21R22R2jR2nRi1Ri2RijRinRm1Rm2RmjRmnpathnPath reliabilit y Ri   Rijj1mmni1i1j1Systemreliabilit y R  1   (1 - Ri)  1   (1 -Rij)14Параллельнопоследовательные системыR11R12R1jR1nR21R22R2jR2nRi1Ri2RijRinRm1Rm2RmjRmnsubsystemmSubsystemreliabilit y Rj  1   (1 - Rij )i1mSystemreliabilit y R  R j   1   (1 - Rij)j1j1 i1nn15Другие архитектуры• Однополосный мост• Двуполосный мост16Горячее резервирование• Использует параллельность.• Все компоненты работают одновременно• Каждый компонент достаточен длякорректной работы• Только один компонент необходим длякорректной работы• Каждый компонент удовлетворяеттребованиям к надежности• Система отказывает, если отказывают всекомпоненты.17Система m – из – n• Система из n компонентов• Для корректной работынужно не меньше mкомпонент (m  n).– m=n: последовательная– m=1: параллельная• Например, самолет с 4моторами может лететьпри отказе двух моторовm1R1R2m/nRiRnniniR(t)(1R(t)) i  Предположение:R sys (t)  1 Все компонентыi 0имеютодинаковую надежностьnn!   i  i! (n  i)!18Блок-схема надежности(RBD)• RBD показывает, как соединены компоненты системы дляобеспечения надежности• Самые частые конфигурации – последовательные ипараллельные компоненты.• В последовательной конфигурации отказ каждогокомпонента приводит к отказу системы.

Общая надежностьменьше надежности отдельных компонентов.• В параллельной конфигурации отказ всех компонентовприводит к отказу системы. Общая надежность большенадежности отдельных компонентов.• Система содержит некую комбинацию этих конфигураций• Анализ диаграмм необходим для вычисления надежностисистем.19RBD: пример /120RBD: пример /221RBD: когда и как?• Когда использовать RBD?– Когда нужно оценить надежность сложнойсистемы и найти в системе уязвимые места• Как использовать RBD?– Нарисовать схему– Найти надежность системы– Вычислить другие характеристики(доступность, время работы etc)• Есть автоматизированные средствасоздания и анализа диаграмм,интегрированные с другими методами,например, с FTA.22RBD: плюсы и минусы• RBD – самый простой метод визуализации характеристикнадежности.• Преимущества:–––––Помогает найти цели по надежностиОценивает влияние отказа компонента на работу системыПозволяет простой анализ различных сценариев работыПодсчитывает MTBF системыУменьшает стоимость исправления проблем в большихсистемах– Позволяет анализировать разные конфигурации– Указывает на потенциальные проблемы в системе– Определяет чувствительность системы к отказам компонентов• Недостаток в том, что сложные конфигурации (ожидание,ветвление, распределение нагрузки и.т.д.) не могут бытьописаны RBD.23Дерево неисправностей(FTA)• Дерево неисправностей – графическое представлениеосновных ошибок и отказов в системе, их причин и способових устранения.

Деревья позволяют находить уязвимые местапри проектировании новой системы или анализесуществующей. Они также помогают находить методырешения проблем.• Дерево неисправностей можно рассматривать какграфическую модель поведения системы, ведущего кнежелательному событию. Поведение определяетсясобытиями и условиями и записывается логическимвыражением.• Анализ деревьев неисправностей полезен как припроектировании новых систем и программных продуктов,так и при поиске недостатков в существующих. Онипомогают найти корень проблемы и исправить ее.24Шаги в FTA• FMEA определяет условия, приводящие к нежелательнымсобытиям.

Затем определяется, какие локальные ошибки могутпривести к отказу системы. FMEA отвечает на вопрос, “Чтоможет пойти не так?” даже если спецификация выполнена.Для работы FTA необходимо иметь FMEA.25FTA: пример26FTA: плюсы и минусы• Плюсы: FTA дают осмысленные данные,позволяющие оценить и улучшитьнадежность системы. Они также даютоценку необходимости и эффективностирезервирования.• Минусы: Ограничение FTA в том, чтонежелательное событие необходимопредвидеть и знать основные источникипроблемы. Это может быть очень долго идорого.

Успех зависит от способностейаналитика, работающего над этой задачей.27Спасибо за внимание!28.