Лавричева методичка. Анализ методов оценки надежности оборудования и систем. Практика применения методов

Рис. 1. Рис 2.
График этой зависимости представлен областью 1 (рис. 3), для которой М
1
=
1, 2, ... – номера наблюдений, а τ
1,
τ
2 …
τ
M1
– время между отказами. Область 2
(рис.3) соответствует достижению средней наработки Т
р
на отказ за время Δτ.
Рис. 3.
По собранным данным об ошибках оцениваются параметры T
0
и M
0,
с помощью которых определяются дополнительное число ошибок по формуле:
Δm = M
0
T
0
[
Т
1
-
0 1
Т
].
2. Модель Муса–Окумото (логарифмическая) допускает, что некоторые дефекты имеют большую вероятность проявления в виде отказов, снижают интенсивность отказов с каждым устраненным дефектом и дают экспоненциальное распределение. Функция m(t) зависит от времени проявления отказов и имеет вид:
m (t)= ln (loqt + 1),
где q – задает экспоненциальный спад интенсивности отказов с каждым устраненным дефектом, а функция интенсивности отказов

(t) имеет вид:

(t) =

0
/

0

t + 1.
Т
Т
F
Т
0
…
…
…
1 2

T

M
0


3. Модель Гоело–Окумото (экспоненциального роста) обеспечивает процесс обнаружения ошибок с помощью неоднородного пуассоновского процесса. В ней интенсивность отказов зависит от времени, а количество выявленных ошибок при тестировании трактуется как случайная величина.
Исходные данные m, X
i
и Т аналогичны данным предыдущих моделей.
Функция среднего числа отказов, обнаруженных к моменту t, имеет вид:
m (t
) = N (1 – e
–bt
), где b – интенсивность обнаружения отказов; q(t
)=b - показатель роста надежности.
Функция интенсивности

(t) зависит от времени работы системы до отказа:

(t) = Nbе
–bt
, t

0, где N и b решаются с помощью уравнения:
– m/N –1 + exp(–bT) = 0
Процесс оценки надежности включает:
– протоколирование отказов в ходе функционирования системы, измерение надежности по отказам и использование результатов измерений для определения потерь надежности в период времени эксплуатации;
– анализ частоты и серьезности отказов при определении порядка устранения соответствующих ошибок;
– оценка влияния времени функционирования системы на надежность с помощью инструментов разработки системы для измерения надежности.
3.1. Оценка надежности систем реального времени
Некоторые типы систем реального времени с обеспечением безопасности требуют высокой надежности
(недопустимость ошибок, точность, достоверность и др.), которая в значительной степени зависит от количества оставшихся и не устраненных ошибок в процессе ее разработки на этапах ЖЦ.
В ходе эксплуатации ошибки также могут обнаруживаться и устраняться. Если при их исправлении не вносятся новые ошибки или их меньше, чем устраняется, то в ходе эксплуатации надежность системы непрерывно растет. Чем интенсивнее проводится эксплуатация, тем интенсивнее выявляются ошибки и быстрее растет надежность.
На надежность ПО влияют, с одной стороны, угрозы, приводящие к неблагоприятным последствиям, риск нарушения безопасности системы, с другой стороны, способность совокупности компонентов системы сохранять устойчивость в процессе ее эксплуатации. Риск уменьшает свойства надежности, особенно если обнаруженные ошибки могут быть результатом проявления угрозы извне [16].
Методы и модели надежности постоянно развиваются и уточняются, поскольку надежность является одной из ключевых проблем измерения качества современных распределенных по Интернет систем.

Появилось новое направление – инженерия надежности ПО (Software reliability engineering – SRE), которое ориентировано на количественное изучение операционного поведения компонентов системы по отношению к пользователю, ожидающему получить надежную работу системы [16-20] путем:
1) измерения надежности, т.е. проведения количественной ее оценки методами предсказаний, собранными данными о поведении системы в процессе тестирования и эксплуатации системы;
2) оценки стратегии и применения метрик для готовых компонентов, созданных в процессе разработки компонентов системы в заданной среде и стандартов на измерение надежности системы;
3) современных методов инспектирования, верификации, валидации и тестирования в процессе разработки отдельных компонентов и системы в целом.
3.2. Обеспечение надежности на этапах ЖЦ
Для получения высокой надежности системы требуется наблюдать за достижением показателей надежности и качества на всех этапах ЖЦ согласно рекомендациям стандарта ISO/IEC 12207: ЖЦ [16]. К основным процессам стандарта ЖЦ относятся:
– спецификация требований,
– проектирование,
– реализация,
– тестирование,
– испытание,
– сопровождение.
На этапе спецификации требований определяются задачи и внешние спецификации основных (целевых) требований к системе с заданием метрик для оценки надежности, в терминах интенсивности отказов или вероятности безотказного его функционирования. Разработчики системы формируют:
– приоритеты функций системы по критерию важности их реализации;
– параметры среды и интенсивности использования функций и их отказов;
– входные и выходные данные для каждой функции модели;
– категорий отказов и их интенсивности при выполнении функций в единицу календарного времени.
На этапе проектирования определяются:
– размеры информационной и алгоритмической сложности всех типов проектируемых компонентов;
– категории дефектов, свойственные всем типам компонентов системы;

– стратегии функционального тестирования компонентов по принципу
«черного ящика» с помощью тестов для выявления дефектов в классе категорий данных.
Для достижения надежного продукта проводится анализ:
– вариантов архитектуры системы на соответствие требованиям к надежности;
– анализ рисков, режимов отказов, деревьев ошибок для критических компонентов с целью обеспечения отказоустойчивости и восстанавливаемости системы;
– прогнозирование показателей размера системы, чувствительности к ошибкам, степени тестируемости, оценки риска и сложности системы.
На этапе реализации и тестирования системы проектные спецификации переводятся в коды и подготавливаются наборы тестов для автономного и комплексного их тестирования. При проведении автономного тестирования обеспечение надежности состоит в предупреждении появления дефектов в компонентах и создание эффективных методов защиты от них. Все последующие этапы разработки не могут обеспечить надежность систем, а лишь способствуют повышению уровня надежности за счет обнаружения ошибок с помощью тестов различных категорий.
На этапе испытаний проводится системное тестирование для соответствия внешних спецификаций функций целям проекта. Испытание проводится в реальной среде функционирования или на испытательном стенде для имитации функций компонентов. При подготовке к испытаниям изучается "история" тестирования на процесса ЖЦ в целях использования ранее разработанных тестов, а также составления специальных тестов испытаний.
На этом этапе осуществляется:
– управление ростом надежности путем неоднократного исправления и регрессионного тестирования ПС;
– принятие решения о степени готовности ПС и возможности его передачи в эксплуатацию;
– оценка надежности по результатам системного тестирования и испытаний по соответствующим моделям надежности, подходящих для заданных целей.
На этапе сопровождения оценка надежности ПС проводится:
– протоколирование отказов в ходе работы системы, измерения надежности функционирования и использования результатов измерений для определения потерь надежности в период времени эксплуатации;
– анализ частоты и серьезности отказов для определения порядка их устранения;
– оценка влияния функционирования системы на надежность в условиях усовершенствования технологии и применения новых инструментов разработки.

3.3. Применение моделей для оценки надежности ПО
Практика применения моделей показывает, что среди названных моделей наиболее перспективными являются модели оценочного типа, которые базируются на пуассоновских процессах (модели Мусы, Гоэла–Окомото, S- образные и др.). По этим моделям надежность стремиться к 1. Одним из недостатков является форма кривой интенсивности выявленных отказов или неисправностей (экспоненциальная) и строго спускается при t>0. Это говорит о том, что при тестировании проведено недостаточно экспериментов или мало найдено ошибок, когда интенсивность отказов была близка 0. В системе остаются ошибки и их поиск требует больше времени.
Что касается S-образной модели, функция интенсивности

(t) выявления ошибок в зависимости от времени работы имеет вид:

(t) = a

2
t exp(–

t), где a – общее количество дефектов, обнаруженных от начала и до конца тестирования;

– скорость изменения функции интенсивности выявления отказов.
Введение в формулу параметра в степени 1 модели Мусы и Гоэла–Окомото дает изменение формы кривой так, что она сначала растет, а потом спадает.
Практика применения этих моделей в автоматизированных системах привела к уточнению функции интенсивности при введении дополнительного параметра n:

(t) = a

n+1
t
n
exp(–

t), где n отражает сложность и размер проекта некоторой системы. Это позволяет более точно определить форму кривой интенсивности с учетом получаемых практических результатов.
В таблице 1 представлены практические значения функций интенсивности отказов

(t) и количество отказов µ(t) для базовых и общих моделей. В них значения a и

находятся в следующих соотношениях:
N= a,

= a, b =

,

1
=

, a
0
=
a

.
Таблица 1. Характеристика моделей надежности Пуассоновского типа
Название модели
Функции интенсивности отказов

(t)
Функции кумулятивного количества отказов µ(t)
Mодель Гоэла-Окумото

(t) = Nb exp(–bt)
µ(t)= N (1- exp(–bt))
Модель Мусы

(t) =

0

1
exp(–

1
t)
µ(t)=

0
(1- exp(–

1
t))
S –подобная модель

(t) = a

2
t exp(–

t)

(t) = a{1-(1+

t) exp(
–

t)
Модель Шнайдевинда

(t) = a
0
exp(–

t)
µ(t)= a
0
/

(1- exp(–

t))

Название модели
Функции интенсивности отказов

(t)
Функции кумулятивного количества отказов µ(t)
Общая модель пуассо- новского процесса

(t) = a

n+1
t
n
exp(–

t)
µ(t)= a (n
1
–

n

n-1
/(n-
1)
1
t
n
exp(-

t)))
Для метода максимального правдоподобия задаются данные a,

, n, решим систему уравнений:
0 1
1 0
!
1
exp(
)
(
)!
exp(
)
1
!
1
exp(
)
(
)!
n i n i
n
m
m
i
n n
m
m
m
k
n i n i
n
k
m
m
i
m
n
t
t
n i
m t
t
n
m
t
n
t
t
n i
















 





















где параметр n зависит от процесса тестирования и его рекомендуемых значений:
n=0 – для небольшого проекта, в котором разработчик является также тестером (модель Мусы, Гоэло-Окомото и др.);
n=1 – для среднего проекта, в котором тестирование и проектирование ПО исполняются несколькими разработчиками из одной рабочей группы (S- образная модель);
n=2 – для большого проекта, в котором группы тестирования и проектирования работают параллельно;
n=3 – для очень большого проекта, в котором группы тестирования и разработки работают независимо друг от друга.
На основе экспериментальных данных получены функции о количестве отказов µ(t) и интенсивности отказов

(t) на выходных данных и значениях параметра n (рис. 4). Этот рисунок показывает вид функций µ(t) при разных значений n=0,1, 2, 3.
Наибольшее приближение достигается при n=3, а наименьшее при n=0
(модель Мусы, Гоэло-Окомото и др.). Это подтверждается соответствующими статистическими данными (табл.2), которые задают разницу между выходными данными (t_2) и соответствующими значениями функции µ(t) при значениях n = 0, 1, 2, 3.
На основе экспериментальных данных a,

, n, (табл. 2) приведены значения функций µ(t) и

(t) при n = 3, 2, 1, полученные при использовании методов оценки надежности Мусы, Мусы-Окомото и Шнайдевинда. Функции µ(t) для этих методов приведены на графике (рис. 4). Им соответствуют кривые экспоненциального типа. Графики этих функций близки друг другу из-за близких значений, полученных по заданным моделям.

Таблица 2. Статистические данные к разнице µ(t) при n=3, 2, 1 и данных t_2
Статистические
показатели
Разница
функций
t_2 - µ_3
Разница
функций
t_2 - µ_2
Разница
функций
t_2 - µ_1
Разница
функций
t_2 - µ
Среднее отклонение
16.13522 16.22889 19.88387 58.93807
Медианное отклонение
15.27700 14.11600 16.0000 60.89700
Максимум отклонение
33.58100 54.23600 49.10800 88.80200
Минимум отклонение
4. 848000
-1.280000 4.175000 15.96200
Среднеквадрати- ческое отклонение
8.374089 17.37143 14.07056 23.63765
Рис. 4.
Для более эффективного применения приведеннях моделей надежности требуется значительное количество статистических данных о количестве и распределении отказов. А это требует увеличения большего количества экспериментов на процесах тестирования, системного тестирования для покрытия тестами всех компонентов и маршрутов их прохождения.

3.4. Технологический модуль (ТМ) оценки надежности систем
ТМ разработан в рамках работ по проекту ПРОТВА ВПК (1986-1989). В состав ТМ надежности входит четыре программных модуля (ПТМ) [15, 16, 22 c.283-296]: распределение надежности, прогнозирование плотности дефектов, прогнозирование надежности и оценки надежности.
1. ПТМ «Распределения надежности» реализует метод распределения надежности по компонентам системы путем парного их сравнения и построения квадратной матрицы A размером n

n из элементов вида:
1 22 11




nn
a
a
a
,
ji
ij
a
a
1

, и, j = 1,…,n; i
 j; n=k, l, m,
где n – количество сравниваемых компонентов, k, l, m – количество функций и модулей соответственно. Матрица включает относительный вес i-го компонента и вычисляется по формулам:






n
i
n
j
ij
n
j
ij
i
a
a
w
1 1
1
,
1 1



n
i
i
w
В случае больших размеров матрицы в целях получения более точных относительных оценок компонентов иерархии, вычисляются, так называемые, собственный вектор и собственные значения матрицы согласно известным уравнениям [24]. В них используются следующие данные:

max
–
максимальное собственное значение матрицы А n–порядка, w
i
– коэффициент относительного веса элементов матрицы А, W = (w
1
, w
2
, … w
n
) – собственный вектор, которому соответствует

max
. Общность решения задачи сравнения устанавливается соотношением



n
i
i
w
1

и значением
1 1



n
i
i
w
. Если матрица A имеет n-1 собственных значений

, равных нулю и

max
= n, то она является согласованной.
Определение индекса согласованности CI и коэффициента согласованности
CR проводится по формулам:
1
max



n
n
CI

,
)
(CI
E
CI
CR 
, где
E(CI) – математическое ожидание для матрицы парных сравнений A (n

n
).
Критерий приемлемости парного сравнения элементов в матрицах размером n

3 получен такой:
05 0

CR
и CR < 0.1 для n>5. По результатам сравнения формируется квадратная матрица F(k

k).

Аналогично проводится сравнение приложений ПС. В результате сравнения получают k матриц. Возможный порядок каждой матрицы – l, а максимальный порядок каждой из них – m.
Инструмент для поддержки метода сравнения – ExpertChoice для входной матрицы A автоматически получает собственный вектор W, собственное значение

max
и коэффициент согласованности CR. Для вычисления

max
и W используются соответствующие функции пакета Matlab [15].
Результаты сравнений заносятся в форму, содержащую перечень весовых коэффициентов программ, критерии, индексы и коэффициенты согласованности. Они предоставляются в виде готовых результатов обработки матриц. Полученные весовые коэффициенты синтезируются с помощью пакета MATLAB 6.5. Результаты отображаются в виде отчета о распределении надежности по объектам системы.