Лекции надежность. Конспект лекций по дисциплине Диагностика и надежность автоматизированных систем Новосибирск2014 2 содержание

72

























)
1
(
)
1
(
1 1
1
г
m
i
гi
г
m
i
i
i
К
К
n
К
(2)
В этих формулах приняты следующие обозначения:
λ – интенсивность отказов n(m) последовательной (n(m) параллельной) системы из n(m) подсистем.
К
г
– коэффициент готовности последовательной (параллельной) подсистемы группы из n(m).
Те же переменные с индексом i обозначают соответствующие показатели отдельных подсистем.
Если в системе применяется скользящее резервирование, то для определения коэффициента готовности применяется формула:
i
m
гп
i
гп
m
r
i
i
m
г
К
К
C
К





)
1
(
,
(3) где r – минимально необходимое по требованиям производительности число работоспособных подсистем;
К
гп
– коэффициент готовности подсистем
(при скользящем резервировании все подсистемы однотипны).
Интенсивность восстановления в случае скользящего резервирования определяется по формуле:
µ = (m-r+1)∙µ
n
,
(4)
µ
n
– интенсивность восстановления подсистем.
В случае указанных выше допущений интенсивность отказов
λ численно равна параметру потока отказов w.
Рассмотрим КС, состоящую из шести подсистем: ЦП, ОЗУ, МД, МЛ,
ПУ и УВ. Данные для подсистем приведены в таблице 1:
Используя приближенные формулы, рассчитать показатели надежности.
Таблица 1.
Наименование
Значения
m(r)
Интенсивность
Коэффициент готовности К
гi
Отказов
λ
i
,1/ч
Восстанов- лений µ
n
, 1/ч
Центральный процессор (ЦП)
1 152∙10
-6 1
1-1,52∙10
-4
Модуль ОЗУ
4(3)
300∙10
-6 0,01 1-3∙10
-2
Устройство памяти на дисках
(МД)
3(2)
250∙10
-6 0,025 1-10
-2

73
Устройство памяти на магнитных лентах (МЛ)
8(2)
350∙10
-6 0,0035 1-10
-1
Печатающее устройство (ПУ)
2(1)
420∙10
-6 0,021 1-2∙10
-2
Устройство ввода с перфоленты (УВ)
2(1)
250∙10
-6 0,025 1-10
-2
Схема расчета надежности КС имеет вид:
Рис. 1. Схема расчета надежности.
Контрольные вопросы и задания
1. Определите понятие надежности ИС.
2. Какие виды отказов учитываются при расчете надежности последовательно-параллельных структур?
3. Как определяется интенсивность восстановления при последовательном соединении подсистем КС?
4. Определите значение коэффициента готовности при параллельном соединении подсистем КС.
5. Как определяется интенсивность восстановления при скользящем резервировании подсистем КС?
6. Приведите структурную схему надежности особо ответственных КС для расчета показателей безотказности систем.
7. Какова значения интенсивности отказов современного процессора?
8. Какой вид резервирования использован для повышения надежности оперативного запоминающего устройства (рис. 1)?
Литературы: 1, 2, 3, 5, 8.
λ
1
µ
1
λ
2
µ
2
λ
2
µ
2
λ
2
µ
2
λ
2
µ
2
λ
3
µ
3
λ
3
µ
3
λ
3
µ
3
λ
4
µ
4
λ
4
µ
4
λ
4
µ
4
λ
4
µ
4
λ
4
µ
4
λ
4
µ
4
λ
4
µ
4
λ
4
µ
4
λ
5
µ
5
λ
5
µ
5
λ
5
µ
5
λ
5
µ
5
ЦП
ОЗУ
МД
МЛ
ПУ
УВ

74
Лекция 13
Тема: Надежность программного обеспечения информационных систем
План
1. Основные понятия и определения надежности программного обеспечения.
2. Показатели надежности программного обеспечения.
3. Причины отказов программного обеспечения, признаки появления ошибок.
4. Способы обеспечения и повышения надежности программ.
Ключевые слова
Надежность программного обеспечения, ПО, отказ, скрытые ошибки, спецификация, корректность программы, контроль ПО, логические ошибки, ошибки ввода-вывода, сбой, резервирование программ, ошибки манипулирования.
Основные понятия надежности ПО
Надежность работы вычислительной аппаратуры следует рассматривать совместно с программным обеспечением как надежность вычислительного процесса.
Под надежностью программного обеспечения (ПО) будем понимать свойство программы выполнять заданные функции, сохранять свои характеристики в установленных переделах при определенных условиях эксплуатации.
Надежность
ПО определяется его безотказностью и восстанавливаемостью.
Безотказность программы или программного обеспечения есть его
(ее) свойство сохранять работоспособность при использовании в процессе обработки информации на компьютере.
Безотказность ПО можно оценивать вероятностью его работы без отказов при определенных условиях внешней среды в течении заданного времени наблюдения.
Безотказность программного средства можно также характеризовать средним временем между возникновениями отказов в функционировании программы. При этом предполагается, что аппаратура компьютера находится полностью в работоспособном состоянии.
С точки зрения надежности принципиальное отличие ПО от аппаратуры состоит в том, что программы не изнашиваются и, следовательно, не выходят из строя из-за поломки.

75
Безотказность ПО определяется его корректностью (правильностью) и, следовательно, целиком зависит от наличия в нем ошибок, внесенных на этапах его создания. В то время как безотказность аппаратуры определяется в основном случайными отказами, зависящими от изменений параметров аппаратуры во время эксплуатации.
Механизм возникновения отказа аппаратуры и отказа ПО существенно отличаются друг от друга. Отказ аппаратуры обусловлен разрушением каких- либо элементов аппаратуры. Отказ ПО обусловлен несоответствием ПО поставленным задачам.
Несоответствие может возникать по двум причинам: либо разработчиком программы допущено нарушение спецификации – технических требований к программе, либо спецификация неточная или неполная.
Корректность программы – ее соответствие спецификации.
Важной характеристикой надежности
ПО является его
восстанавливаемость, которая определяется затратами времени и труда не устранение отказа из-за проявившейся ошибки в программе и его последствий.
Восстановление после отказа в программе может заключаться в корректировке и восстановлении текста программы, исправлении данных, внесении изменений в организацию вычислительного процесса.
Восстанавливаемость
ПО может быть оценена средней продолжительностью устранение ошибки в программе и восстановления ее работоспособности. Восстанавливаемость ПО зависит от многих факторов: от сложности структуры комплекса программ, алгоритмического языка, на котором разрабатывалась программа, стиля программирования, качества документации на программу и т.д.
Причины отказов программного обеспечения
Основными причинами непосредственно вызывающими нарушение нормального функционирования программы, являются [1, 2, 3, 10, 11]:
1. ошибки, скрытые в самой программе;
2. искажения входной информации, подлежащей обработке;
3. неверные действия пользователя;
4. неисправность аппаратуры установки, на которой реализуется вычислительный процесс.
1. Скрытые ошибки программы являются главным фактором нарушения нормальных условий его функционирования;
Можно выделить следующие основные ошибки в программе:

Ошибки вычислений – ошибки данного класса содержаться в закодированных математических выражениях или получаемых с их помощью результатах. Примерами таких ошибок является неверное преобразование типов переменных, неверный знак операции, ошибка в

76 выражении индекса, переполнение или потеря значимости при вычислениях.

Логические ошибки – являются причиной искажения алгоритма решения задачи. Такого рода ошибки возникают в связи с неверной передачей управления, неверном задании диапазона изменения параметров цикла, неверных условий и т.д.

Ошибки ввода-вывода – связаны с такими действиями, как управление вводом-выводом, формирование выходных записей и определение размеров записей.

Ошибки манипулирования данными – примерами таких ошибок являются неверно определенное число элементов данных, неверные начальные значения, присвоенные данным, неверно указанная длина операнда, имя переменной и т.д.
Ошибки совместимости связанны с отсутствием совместимости с операционной системой или другими прикладными программами используемыми в данной программе.
Ошибки сопряжений вызывают неверное взаимодействие программы с другими программами (подпрограммами), с системными программами, устройствами компьютера, входными данными и т.д.
В качестве примеров ошибок сопряжения можно привести – несовместимость аргументов и параметров подпрограммы, нарушение синхронизации при синхронном выполнении программы и т.д.
2. Искажения информации, подлежащей обработке, вызывает нарушение функционирования ПО, когда входные данные не попадают в область допустимых значений переменных программы. В этом случае между исходной информацией и характеристиками программы возникает несоответствие.
Причинами искажения вводимой информации могут быть, например, следующие:

искажения данных на первичных носителях информации;

сбои и отказы в аппаратуре ввода данных с первичных носителей информации;

шумы и сбои в каналах связи при передачи сообщений по линиям связи и т.д.
3. Неверные действия пользователя, приводящие к отказу в процессе функционирования ПО связаны, прежде всего, с неправильной интерпретацией сообщений, неправильными действами пользователя в процессе диалога с компьютером и т.д.
4. Неисправность аппаратуры – неисправности, возникающие при работе аппаратуры, используемой для реализации вычислительного процесса, оказывают влияние на характеристику надежности ПО. Появление отказа или сбоя в работе аппаратуры приводит к нарушению нормального хода вычислительного процесса и во многих случаях к искажению данных и текстов программ в основной и внешней памяти.

77
Признаки появления ошибок
Наиболее типичными симптомами появления ошибок в программе являются:

преждевременное окончание выполнения программы;

недопустимое увеличение времени некоторой последовательности команд одной из программ;

полная потеря или значительное искажение накопленных данных, необходимых для успешного выполнения решаемых задач;

нарушение последовательности вызова отдельных программ, в результате чего происходит пропуск необходимых программ;

искажение отдельных элементов данных (входных, выходных, промежуточных) в результате обработки искаженной исходной информации.
Способы обеспечения и повышения надежности программ
Они определены на следующие основные категории:
1. усовершенствование технологии программирования;
2. выбор алгоритмов, не чувствительных к различного рода нарушениям вычислительного процесса (использование алгоритмической избыточности);
3. резервирование программ
– дуальное или
N-версионное программирование, другие методы введения структурной избыточности;
4. контроль и тестирование программ с последующей коррекцией.
Выбор алгоритмов, не чувствительных к нарушениям вычислительного процесса, основан на исследовании их чувствительности. Мерой чувствительности могут являться погрешности, вызванные этими нарушениями.
Результаты вычислений искажаются погрешностями:

исходных данных, трансформированными в ходе вычислений:

округления;

методическими;

обусловленными отказами, сбоями и ошибками в программе.
Контрольные вопросы и задания
1. Что понимается под надежностью программного обеспечения (ПО)?
2. Что такое корректность ПО?
3. От чего зависит восстанавливаемость ПО компьютера и КС?
4. Определите основные причины отказов ПО.
5. Какие существуют пути повышения надежности ПО компьютеров и
КС?

78 6. Почему при мультипрограммной обработке информации используют принцип виртуальных машин?
7. Какой из способов обеспечения надежности программ считается более эффективным?
8. Что значит «усовершенствование технологии программирования»?
9. Дайте определение понятию
«дуальное и
N-версионное» программирование.
10. Как оценить вероятность безотказной работы программ?
11. Что означает термин «алгоритмическая избыточность»?
Литература: 1, 2, 3, 9, 10, 11.

79
Лекция 14
Тема: Методы введения структурной избыточности в программы
План
1. Понятие о дуальном и N-версионном программировании.
2. Модифицированное дуальное программирование.
3. Виртуальные машины в надежности.
4. Избыточность операционной системы ИС.
Ключевые слова
Дуальное программирование,
N-версионное программирование, тестирование программ, алгоритмическая избыточность, виртуальная машина, мультипрограммная обработка, монитор, режим реального времени.
Методы введения структурной избыточности в программы
Надежность программ повышают путем резервирования. Для этого подготавливаются две или несколько версий программ для решения одной и той же задачи. Желательно, чтобы эти версии значительно отличались друг от друга, т.е. основывались, по возможности на различных алгоритмах или были выполнены различными программистами.
Ошибки в программах могут быть обнаружены в ходе отладки версии и программ сравнением результатов. Однако, даже в случае простых программ проверить в ходе отладки все возможные комбинации исходных данных или все возможные последовательности прохождения элементов программы невозможно.
Поэтому была предложена идея параллельного (одновременного) или последовательного во времени выполнения различных версий программ непосредственно в процессе эксплуатации. Версии программ могут быть две или больше. Если версий две – дуальное программирование. При дуальном
программировании, если обнаруживается расхождение в результатах
(результаты сравниваются соответствующими аппаратными средствами), то необходимо определить, по каким-либо дополнительным критериям, какой из результатов правильный и после этого отбрасывать другой результат.
При N-версионном программировании подготавливаются N-версий программ, и правильный результат определяется по мажоритарному признаку при помощи аппаратных или программных средств.
При дуальном или N-версионном программировании требуется в два или N раз больше времени для вычислений, если последние выполняются последовательно во времени. Кроме того, объем труда программистов возрастает во столько же раз.

80
Дуальное и
N-версионное программирование целесообразно использовать в случае, если имеет место нагруженное резервирование вычислительной аппаратуры [1, 2, 51].
Создание нескольких версий программ – трудоемкий и дорогостоящий процесс. Поэтому часто используют модифицированное дуальное
программирование, где наряду с достаточно точной, но сложной программой используется менее точная, но простая резервная программа. Если при одинаковых исходных данных результаты работы программ отличаются на величину большую, чем допустимая погрешность, делается предположение о том, что отказала основная программа, как менее надежная, и в качестве правильного результата принимается результат, полученный при помощи резервной программы. В результате средняя погрешность работы двух программ несколько увеличивается, но вероятность отказа уменьшается.
Обозначим погрешность первой программы через δ
1
и допустимую погрешность второй программы через δ
2
. Пусть вероятность отказа
(возникновение погрешности значительно больше допустимой) первой программы составляет q
1
и второй программы – q
2
При независимости этих программ возможны следующие несовместимые события:
1) обе программы работают безотказно, вероятность возникновения этого события
2 1
2 1
1
q
q
q
q
P





, погрешность результата – δ
1
;
2) откажет основная программа, вероятность возникновения этого события
2 1
1 2
1 01
)
1
(
q
q
q
q
q
q






, погрешность результата – δ
2
;
3) откажет резервная программа, вероятность возникновения этого события
2 1
2 1
2 10
)
1
(
q
q
q
q
q
q






, погрешность результата – весьма значительная, допустим δ
3
(погрешность отказавшей резервной программы);
4) откажут и основная, и резервная программы, вероятность возникновения этого события
2 1
11
q
q
q


, погрешность δ
3
Средняя погрешность неотказавшей системы из двух программ равна:
2 1
1 1
2 2
2 1
1 1
2 2
1 2
1 01 2
01 1
12
)
1
(
1 1
1


























q
q
q
q
q
q
q
q
q
q
q
q
P
q
P
, при вероятности отказа системы:
2 2
1 2
1 2
11 10
q
q
q
q
q
q
q
q
q
c








В случае, когда имеется только основная программа, погрешность результата равна δ
1
, а вероятность отказа –
1
q
Пример расчета надежности и точности системы с применением модифицированного дуального программирования. Пусть δ
1
= 0,01;

81
δ
2
= 0,1; q
1
= 0,05; q
2
= 0,001. Тогда
0145
,
0 1
,
0 05
,
0 01
,
0 95
,
0 12






и
001
,
0 2


q
q
c
Следовательно, при использовании системы, состоящей из точной и грубой программы с решающим органом, средняя погрешность работы системы по сравнению с точной программой возрастает в 1,5 раза, а вероятность отказа уменьшается в 50 раз.
Решающим органом при этом является простейшая программа, которая сравнивает результаты работы грубой и точной программы и реализует алгоритм:












2 1
2 1
2 2
1 2
1 1
|
| еcли
,
|
| еcли
,
-y
y
y
-y
y
y
y
у
1
– результат первой программы;
у
2
– результат второй программы.
В случае, когда абсолютная разность превышает максимальную суммарную погрешность двух программ, алгоритм осуществляет отбрасывание результата
1
y
первой и выдачу результата
2
y
второй программы.
Эта описанная система эффективна в случае, когда критерием ее эффективности является усредненная по времени погрешность. Если же эффективность системы определяется максимальным значением погрешности, описанный способ резервирования не эффективен.