Лекции о надёжности (1088462), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

тестировании (например, с помощью модели Шумана). Надежность R для оперативного периода τ выражается равенством

В литературе указывается, что практическое использование рас­сматриваемой модели требует громоздких вычислений и делает не­обходимым наличие ее программной поддержки.

Статические модели надежности

Статические модели принципиально отличаются от динамичес­ких прежде всего тем, что в них не учитывается время появления ошибок в процессе тестирования. Этот тип моделей учитывает толь­ко статистические характеристики появления ошибок.

Модель Миллса. Использование этой модели предполагает внесе­ние в программу некоторого количества известных ошибок. Они вно­сятся случайным образом и фиксируются в протоколе искусственных ошибок. Специалист, проводящий тестирование, не знает ни коли­чества, ни характера внесенных ошибок до момента оценки показа­телей надежности по модели Миллса. Предполагается, что все ошиб­ки (как имеющиеся в исследуемой программе, так и искусственно внесенные) имеют равную вероятность быть найденными в процес­се тестирования. Тестируя программу в течение некоторого време­ни, собирают статистику об ошибках. В момент оценки надежности по протоколу искусственных ошибок все ошибки делятся на ошибки собственно программы и искусственные.

С помощью соотношения (формулы Миллса)

можно оценить первоначальное число ошибок в программе (N). Здесь S- количество искусственно внесенных ошибок, η — число найден­ных собственных ошибок, V— число обнаруженных к моменту оцен­ки искусственных ошибок.

Например, если в программу внесено дополнительно 50 ошибок и к некоторому моменту тестирования обнаружено 25 собственных и 5 внесенных, то по формуле Миллса делается предположение, что пер­воначально в программе было 250 ошибок.

Вторая часть модели связана с проверкой гипотезы об оценке пер­воначального числа ошибок Nb программе. Допустим, что в програм­ме имеется Л" собственных ошибок. Внесем в нее еще S ошибок.

Положим, что в процессе тестирования были обнаружены все S внесенных и л собственных ошибок программы. Тогда по формуле Миллса получим, что первоначально в программе было N= n оши­бок. Вероятность, с которой можно высказать такое предположение, рассчитывается с помощью следующих соотношений:

Величина С является мерой «доверия» к модели и показывает ве­роятность того, насколько правильно найдено значение N. Эти два связанных между собой по смыслу соотношения образуют полезную модель ошибок: первое предсказывает возможное число первоначаль­но имевшихся в программе ошибок, а второе используется для уста­новления доверительного уровня прогноза. Однако приведенная выше формула для расчета С не может быть использована, если не обнаружены все внесенные ошибки.

где числитель и знаменатель при n < К являются биноминальными коэффициентами вида

Если оценка надежности производится до момента обнаружения всех внесенных ошибок (S), величина С рассчитывается по модифи­цированной формуле:

В реальной практике модель Миллса можно использовать для оцен­ки N после каждой найденной ошибки. Предлагается во время всего периода тестирования отвечать на графике число найденных оши­бок и текущие значения N

К достоинствам модели относят простоту применяемого матема­тического аппарата, наглядность и возможность использования в процессе тестирования.

Самым существенным недостатком считают необходимость вне­сения искусственных ошибок (этот процесс плохо формализуем) и достаточно вольное допущение величины К, которое основывается исключительно на интуиции и опыте испытателя, проводящего оцен­ку, т. е. допускает большое влияние субъективного фактора.

Модель Липова. Липов модифицировал модель Миллса, рассмот­рев вероятность обнаружения ошибки при использовании различно­го числа тестов. Если сделать то же предположение, что и в модели Миллса, т. е. что собственные и внесенные ошибки имеют равную вероятность быть найденными, то вероятность обнаружения n соб­ственных и Vвнесенных ошибок может быть определена с помощью соотношения

где т — количество тестов, используемых при тестировании; q— ве­роятность обнаружения ошибки в каждом из т тестов, рассчитан­ная по формуле; S- общее количество внесенных ошибок; N— коли­чество собственных ошибок, имеющихся в программе до начала те­стирования.

Оценки максимального правдоподобия (наиболее вероятное зна­чение) для N осуществляются с помощью соотношений

Для использования модели Липова должны выполняться следую­щие условия:

Модель Липова дополняет модель Миллса, позволяя оценить ве­роятность обнаружения определенного количества ошибок к момен­ту оценки.

Модель Коркорэна относится к статическим моделям надежности ПО, так как в ней не используются параметры времени тестирова­ния, а учитывается только результат N испытаний, в которых выяв­лено N_i ошибок i-ro типа.

Применение модели предполагает знание следующих ее показа­телей:

• модель содержит изменяющуюся вероятность отказов для раз­личных источников ошибок и соответственно разную вероятность их исправления;

• в модели используются такие параметры, как результат Nиспы­таний, в которых наблюдается N_i ошибок г-го типа;

• обнаруженные в ходе ^испытаний ошибки г-го типа появляются с вероятностью а_i

Показатель уровня надежности R вычисляют по формуле

где N₀ — число безотказных (или безуспешных) испытаний, выпол­ненных в серии из ^испытаний; к— известное число типов ошибок; Y— вероятность появления ошибок: при N>0 Y. = аi при N = 0 У>0.

Отметим, что в данной модели вероятность а. оценивается на ос­новании априорной информации или данных предшествующего пе­риода функционирования однотипных программных средств.

Модель Нельсона создана в аэрокосмической компании США TRW. При расчете надежности программно-информационного обеспече­ния учитывается вероятность выбора определенного тестового на­бора для очередного выполнения программы.

Для описания модели вводятся следующие обозначения.

Совокупность действий, включающая ввод Е_i выполнение про­граммы и получение результата F'(E), называется прогоном програм­мы. При этом значения входных переменных, образующих E_i не дол­жны одновременно подаваться на вход программ. Таким образом, вероятность (P) того, что прогон программы приведет к обнаруже­нию дефекта, равна вероятности того, что набор данных E_i исполь­зуемый в прогоне, принадлежит множеству E_i.

Если обозначить через п_е число различных наборов входных дан­ных, содержащихся в Е. то

есть вероятность того, что прогон программы на наборе входных данных E_i случайно выбранном из E среди равновероятных, закон­чится обнаружением дефекта.

Однако в процессе функционирования программы выбор входных данных из E обычно осуществляется не с одинаковыми априорными вероятностями, а диктуется определенными условиями работы. Эти условия характеризуются некоторым распределением вероятностей (р) того, каким будет выбран определенный набор входных данных E_i

Распределение P может быть найдено через р. с помощью величи­ны у., которая принимает значение О, если прогон программы на набо­ре £ заканчивается получением приемлемого результата, и значение 1, если этот прогон заканчивается обнаружением дефекта. Поэтому

есть вероятность того, что прогон программы на наборе входных данных E_i, выбранных случайно с распределением вероятностей р_i, закончится обнаружением дефекта. При этом

есть вероятность того, что прогон программы на наборе входных данных E_i выбранных случайно с распределением вероятностей р_i, приведет к получению приемлемого результата.

Так как R- вероятность того, что единичный прогон программы не закончится отказом на наборе входных данных, выбранных в со­ответствии с распределением р_i то вероятность успешного выполне­ния n прогонов этой программы при независимом для каждого про­гона выборе входных данных в соответствии с распределением Рбу-дет равна

Таким образом, можно дать следующее математическое определе­ние надежности программы: надежность программы - это вероятность безотказного выполнения n прогонов программы. Поэтому прогон являет­ся единичным испытанием программы.

На практике выбор входных данных для каждого прогона нельзя считать независимым. Исключение составляют лишь такие последо­вательности прогонов, которые определяются возрастающими зна­чениями некоторой входной переменной или некоторым порядком установленных процедур, как в случае программ, работающих в ре­альном масштабе времени.

С учетом введенного определения функциональный разрез дол­жен быть переопределен в терминах вероятностей р выбора £ в ка­честве входных данных при j-м прогоне из некоторой последователь­ности прогонов. Тогда вероятность того, что j-й прогон закончится отказом, может быть записана в виде

Надежность R(n) программы равна вероятности того, что в после­довательности из η прогонов ни один из них не закончится отказом:

^{Эта формула может быть представлена в виде}

Некоторые свойства функции R(n) могут стать более явными при следующих допущениях:

_для Р_j << 1

^если Р_j ^{= P для вcex j, то}

С помощью соответствующих замен переменных и подстановок можно выразить функцию R(п) через время функционирования tОбо­значим через Δt время выполнения j-гo прогона, а через ΣΔt_i - суммарное время выполнения первых jпрогонов программы. Введем h(t)\

В случае Р_j << 1 функция h(t_j) может быть интерпретирована как функция интенсивности отказов, которая, будучи умноженной на Δt дает условную вероятность появления отказов в интервале (t_j, t_j+ t_j) при отсутствии отказов до момента t_j

Тогда

На практике вероятность выбора очередного набора данных для прогона (P_i) определяется путем разбиения всего множества значе­ний входных данных на подмножества и нахождения вероятностей того, что выбранный для очередного прогона набор данных будет принадлежать конкретному подмножеству. Определение этих веро­ятностей основано на эмпирической оценке вероятности появления тех или иных входов в реальных условиях функционирования.

Поскольку в основу модели Нельсона положены свойства про­граммного обеспечения, она допускает развитие за счет более деталь­ного описания других аспектов надежности. Некоторые из получен­ных обобщений модели могут рассматриваться в контексте исследо­вания проблемы безопасности программ. Вследствие отмеченных особенностей модели ее можно рассматривать в целом как математи­ческую теорию надежности программного и информационного обес­печения, а не как простую модель надежности.

Эмпирические модели надежности

Характеристики

Список файлов лекций