Лекции надежность. Конспект лекций по дисциплине Диагностика и надежность автоматизированных систем Новосибирск2014 2 содержание
Скачать 1.19 Mb.
|
Избыточность операционной системы Методы дуального и N-версионного резервирования программ применяются, как относительно программ пользователя, так и относительно операционных систем. Повышение надежности программ обеспечит применение принципа виртуальной машины в случае мультипрограммной обработки. Виртуальные машины образуются при помощи монитора – специальной программы или программно-аппаратной системы, которая создает для каждого пользователя иллюзию работы на отдельной вычислительной машине. Виртуальная память (кажущаяся память компьютера), система ЗУ, организованы таким образом, что программист может рассматривать их как одну большую оперативную память, что существенно упрощает процедуру составления программ для мультипрограммных компьютеров. При этом важна высокая степень изоляции каждой виртуальной машины. Тогда ошибка в программе одной виртуальной машины не влияет на другие. Высокая степень изоляции может быть достигнута созданием отдельных операционных систем для каждого пользователя. Тогда ошибка в 82 одной операционной системе не сказывается на работе операционных систем других виртуальных машин. На рис. 1 изображена структура мультипрограммной обработки на одном компьютере без применения принципа виртуальной машины. Пользователи П 1 , П 2 , … , П n имеют общую операционную систему ОС. Ошибка в ОС выводит из строя всех пользователей. На рис. 2 изображена структура системы с виртуальными машинами высокой степени изоляции. Только ошибка в сравнительно небольшой программе – мониторе М влечет за собой нарушение работы пользователей П 1 , П 2 , … , П n . Отказы индивидуальных операционных систем ОС 1 , ОС 2 , … , ОС n вызывают нарушения в работе только «своего» пользователя. Метод контрольных функций. Методы введения избыточности в программы основаны на повторении программ в различных версиях (дуальное, N-версионное программирование). Такие методы повышения надежности не экономичны как в смысле расхода ручного труда программиста, так и в смысле использования объема памяти для записи программ, так и экономии машинного времени. Существует более экономический метод повышения надежности программ – метод контрольных функций. При этом методе, наряду с вычисляемой функцией, по иной программе определяется другая функция, находящаяся с основной вычисляемой функцией в соотношениях, называемых контрольными соотношениями. Эти соотношения позволяют не только обнаружить отказ одной из программ, но также и восстановить искаженный результат отказавшей программы на основании результата, полученного по безошибочно работающей программе (программам). Простейшим примером применения метода контрольных соотношений является вычисление функций x sin и x cos по отдельным программам. Контрольным соотношениям в данном случае будет соотношение 1 cos sin 2 2 x x П n П 2 ЭВМ М П 1 ОС 1 ОС 2 ОС n Рис. 2. Структура мультипрограммной обработки с разделением ОС Рис. 1. Структура мультипрограммной обработки П n П 2 П 1 ЭВМ ОС 83 Пусть имеются две независимые программы, вычисляющие числовые функции ƒ 1 и ƒ 2 (аргументы функции для простоты записи опущены). Необходимо исправлять любую одиночную ошибку в программах. Опишем подход, требующий три дополнительные программы, вычисляющие значения вспомогательных контрольных функций ƒ 3 , ƒ 4 , ƒ 5 [1]. Эти функции могут, например, удовлетворять уравнениям 0 3 13 2 12 1 11 f a f a f a 0 4 24 2 22 1 21 f a f a f a (1) 0 5 35 1 31 f a f a , где a ij ≠ 0 – произвольные постоянные. Пусть имеются k-процессоров, вычисляющих числовые функции k f f ,..., 1 , и ошибки вычислений k f f ,..., 1 – независимы. Необходимо исправлять любую одиночную программную ошибку. (1) была построена на основе контрольной матрицы (код Хэмминга) [ ]. Система 1 0 0 0 1 0 1 0 1 1 0 0 1 1 1 H Для построения контрольных функций 1 1 0 k j j ij f a при i = 1,…, r, где a ij – постоянные, необходимо выбрать двоичную ) ( r k r матрицу [h ij ] с отличающимися друг от друга столбцами, не равными нулю, а затем применить соотношение ij ij ij h a a , (2) где 0 ij a произвольные постоянные. Таким образом, изложенный в подход является обобщением методов кодирования с обнаружением и исправлением ошибок и позволяет исправлять не элемент кода, а вычисляемую функцию, содержащую ошибку. Метод целесообразно использовать тогда, когда имеются независимые программы для вычисления различных функций. Пример исправления одиночной ошибки с помощью контрольных функций. Пусть вычисляются четыре функции ƒ 1 , ƒ 2 , ƒ 3 , ƒ 4 . Необходимо построить систему, позволяющую исправлять ошибку в одной из функции. Для построения системы уравнений используется матрица Н Хэмминга вида 84 1 0 0 1 0 1 1 0 1 0 1 1 0 1 0 0 1 1 1 1 0 H Выбирая коэффициенты d ij равными единице, непосредственно по матрице Н с учетом (2) записывается система уравнений: 0 5 4 3 2 f f f f , 0 6 4 3 1 f f f f , 0 7 4 2 1 f f f f , где дополнительные контрольные функции ƒ 5 , ƒ 6 и ƒ 7 определяются по следующим очевидным соотношениям: ) ( 4 3 2 5 f f f f ; ) ( 4 3 1 6 f f f f ; ) ( 4 2 1 7 f f f f . Если, например, возникает ошибка е 2 при вычислении функции ƒ 2 , то 2 2 1 e S S , 0 S 2 . По виду синдрома ( 0 , 0 , 0 3 2 1 S S S ) определяется, что ошибка соответствует второму столбцу матрицы Н, т.е. ошибка е 2 относится к функции ƒ 2 и последняя может быть скорректирована вычитанием этой ошибки. Аналогично исправляются ошибки и в функциях ƒ 1 , ƒ 3 , ƒ 4 Контрольные вопросы и задания. 1. Какие существуют методы повышения надежности ПО? 2. Определите разницу между дуальными и N-версионным программированием. 3. Что такое мультимпрограммный режим работы компьютера? 4. Дайте определение понятию монитор. 5. В каких случаях используется модифицированное дуальное программирование? 6. Почему при мультипрограммной обработке информации используют принцип виртуальных машин? 7. Оцените общее число ошибок в тексте программы, если программа проверена тремя специалистами и если первый из них нашел в программе 3 ошибки, второй – 5 ошибок, а третий – 6 ошибок, причем две ошибки из найденных были общими у всех специалистов. Литературы: 2,3,6, 8,11 85 Лекция 15 Тема: Модели надёжности программ План 1. Аналитические модели надёжности программ. Модель надёжности с дискретно-понижающейся интенсивностью проявление ошибок. 2. Экспоненциальная и интуитивная модели, модель надёжности больших программных комплексов и др. 3. Методы оценки и прогнозирование показателей надёжности программного обеспечение. 4. Область использования моделей программного обеспечения ТС Ключевые слова Аналитическая модель, показатели надёжности, модели программ, ошибки, программное обеспечение, интуитивная модель, экспоненциальная модель, ранее прогнозирование, вероятность безотказной работы, сохраняемость программ, безотказность, вероятность отказа, модель Джелинского- Моранды, модель Шумана, модель Шика-Волвертона, интенсивность отказов, время восстановления Аналитические модели надежности дают возможность исследовать закономерности проявления ошибок в программе, а также прогнозировать надежность при разработке и эксплуатации. Модели надежности программ строятся на предположении о том, что проявление ошибки является случайным событием и поэтому имеет вероятностный характер. Такие модели предназначены для оценки показателей надежности программ и программных комплексов в процессе тестирования. Они дают возможность принять обоснованное решение о времени проектирования отладочных работ. При построении моделей используются следующие характеристики надежности программ. Функция надежности P(t), определяется как вероятность того, что ошибки программы не проявляются на интервале времени от 0 до t, т.е временя ее безотказной работы будет больше. Функция надежности Q(t) – вероятность того, что в течение времени t произойдет отказ программы как результат проявления действия ошибки в программе. Таким образом: Q(t) = 1- P(t) 86 Интенсивность отказов λ(t) – условная плотность вероятности времени от возникновения отказа программы при условии, что до момента t отказа не было. ) ( ) ( ) ( ) ( ) ( t P dt t dQ t P dt t dP t Основными типами применяемых моделей надежности программ являются модели, основанные на предположении о дискретном изменении характеристик надежности программ, и модели с экспоненциальным характером изменения числа ошибок в зависимости от времени тестирования и функционирования программы. Прогнозирование надежности программ в ходе эксплуатации осуществляется на основе математических моделей надежности, предложенных Литтлвудом, Джелинским-Морандой, Шуманом, Шика- Вольвертоном. Существуют модели надежности программ с дискретно- понижающейся частотой (интенсивностью) появления ошибок и с дискретным увеличением времени наработки на отказ, экспоненциальная модель. Кроме того, созданы модели надежности для прогнозирования надежности программ на ранних этапах их разработки. Рассмотрим некоторые из них [2, 3, 6, 11]. Анализ надежности функционирования крупных зарубежных и российских программных комплексов показывает, что надежность ПО значительно ниже надежности аппаратных средств. Поэтому неучтенная надежность ПО ведет к значительному её завышению при оценке надежности крупных аппаратно-программных комплексов. Разработанные методы анализа надежности технических средств нельзя автоматически переносить и использовать для оценки надежности ПО, нужны специальные модели анализа надежности ПО. Модель надежности с дискретно-понижающейся интенсивностью проявления ошибок В этой модели предполагается, что интенсивность обнаружения ошибок описывается кусочно-постоянной функцией, пропорциональной числу неустранимых ошибок, т.е. предполагается что интенсивность отказов λ(t) постоянна до обнаружения и исправления ошибки, после чего она снова становиться константой, но с другим, меньшим значением. При этом предполагается, что между λ(t) и числом оставшихся в программе ошибок существует прямая зависимость: i λ M-i K t λ ) ( ) ( , где М – неизвестное первоначальное число ошибок; i – число обнаруженных ошибок, зависящих от времени t; K – некоторая константа. 87 Рис. 1. Зависимость интенсивности отказов программы от времени работы (модель надежности с дискретно-понижающейся интенсивностью проявления ошибок программе) На рис. 1 приведена зависимость λ(t) от времени для некоторого участка эксплуатации программы: 1 – момент первого отказа; 2 – момент второго отказа. Из графика видно, ) , t , , t λ(t n 2 1 ,при n t t t t 2 1 убывает монотонно. Плотность распределения времени обнаружения i-й ошибки задается соотношением: i t i i i e t f ) ( Значение неизвестных параметров К и М может быть оценено на основании последовательности наблюдения интервалов между моментами обнаружения ошибок по методу максимального правдоподобия [1, 11]. Модель надежности программ с дискретным увеличением времени наработки на отказ Она построена на предположении о том, что устранение ошибки в программе приводит к увеличению времени наработки на одну и ту же случайную величину. Модель Джелинского-Моранды. Эта модель основана на следующих предположениях: 1. Время до следующего отказа распределено экспоненциально; 2. Интенсивность отказов программы пропорциональна количеству оставшихся в программе ошибок. К 1-момент 1-го отказа 2-момент 2-го отказа t 1 t 2 t n λ(t) t 88 Согласно этим допущениям ВБР программ как функция времени t i равна: i t i i e t P ) ( )) 1 ( ( i N C D i , (1) где i – число обнаруженных ошибок; C D – коэффициент пропорциональности, C D 0,02 (определяется по методу максимума правдоподобия); N – первоначальное число ошибок программы. В выражении (1) отчет времени начинается от момента последнего (i–1)-го отказа программы. Модель Шумана. Данная модель отличается от модели Джелинского-Моранды только тем, что периоды времени отладки и эксплуатации программ рассматриваются отдельно. Модель Шика-Вольвертона. Основой этой модели является предположение о том, что интенсивность ошибок программы пропорциональна не только количеству оставшихся в программе ошибок, но и времени потраченному на отладку. Экспоненциальная модель надежности программ. Модель основана на предположении об экспоненциальном характере изменения во времени числа ошибок в программе. В этой модели прогнозируется надежность программы на основе данных, полученных во время тестирования. В модели вводится суммарное время функционирования τ, которое отсчитывается от момента начала тестирования программы (с устранением обнаруженных ошибок) до конца контрольного момента, когда производится оценка надежности. Предполагается, что все ошибки в программе независимы и проявляются в случайные моменты времени с постоянной средней интенсивностью в течении всего времени выполнения программы. Основное отличие данной модели от предыдущих состоит в том, что интенсивность отказов предполагается непрерывной функцией. Это упрощает математическое описание модели. Пусть М – число ошибок, имеющихся в программе перед тестированием (М рассматривается как некоторая константа); m(τ)– конечное число исправленных ошибок; m 0 (τ)– число оставшихся ошибок. Тогда: ) ( ) ( 0 m M m , (2) Предполагается, что интенсивность отказов пропорциональна числу оставшихся ошибок m 0 (τ), т.е.: ) ( ) ( 0 m C (3) 89 С – коэффициент пропорциональности учитывающий реальное быстродействие компьютера и число команд в программе. Считаем (дополнительное предположение), что в процессе корректировки новые ошибки не порождаются, т.е. что интенсивность исправления ошибок dt dm будет равна интенсивности их обнаружения, т.е.: ) ( dt dm (4) Решая совместно два вышеуказанных уравнения (3) и (4) получаем: M C m C dt dm (5) Перед началом работы компьютера (t = 0) ни одна ошибка исправлена не была (τ = 0), поэтому решением управления является: )] exp( 1 [ C M m , (6) где m – число исправленных ошибок в течении времени τ. Среднее время наработки на отказ в течении времени τ после тестирования характеризуют надежность программы: ) ( 1 cp t Следовательно: ) exp( ) 1 ( C M C t cp (7) Среднее время наработки на отказ увеличивается по мере выявления и исправления ошибок. Рассмотренная модель может применяться для определения времени испытаний программ с целью достижения заданного уровня надежности, а также для оценки числа оставшихся в программе ошибок. Модель надежности больших программных комплексов. Для прогноза надежности больших программных комплексов может быть использована марковская модель. Надежность всего программного комплекса определяется как функция надежности ее составных частей. Подобная оценка значительно облегчается, если программа строится по модульному принципу. Надежность программного комплекса будет зависеть от последовательности выполняемых модулей и надежности каждого из этих модулей. Прогнозирование надежности на ранних этапах их разработок. В настоящее время наиболее отработаны способы прогнозирования ожидаемого числа ошибок в программах [1, 11]. Оценка ожидаемого числа ошибок Y в программе выражается через линейную зависимость: 90 j r j j Z a Y 1 , где r – число существующих параметров; a j – коэффициент, зависящий от типа программ (управляющий, ввода- вывода, вычислительные, служебные); j Z – j-параметр программы. В качестве параметров j Z выбраны величины: 1 Z – сложность уловных операторов IF 2 Z – общее число ветвлений; 3 Z – общее число связей с прикладными программами; 4 Z – общее число связей с системными программами; 5 Z – число операций ввода-вывода; 6 Z – число вычислительных операторов; 7 Z – число операторов обработки данных; 8 Z – число комментариев. Если число ожидаемых в программе ошибок оценено, то интенсивность отказов программы оценивается по выражению: реш пр t Y , (8) где t реш – среднее время однократного прохождения программы; – усредненное по всем ошибкам значение γ – условной вероятности того, что ошибка в программе проявляется при прохождении программы. Рекомендуется оценивать γ экспериментально (статистически), определяя интенсивность отказа и количество ошибок для нескольких программ. Тогда: n i i i реш Y t n 1 1 λ i , Y i , t реш – соответственно интенсивность отказов, количество ошибок и время решения для i-й программы; n – количество испытанных программ. Интуитивная модель. Эта модель используется при экспериментальной оценке числа ошибок в программе. Согласно этой модели число ошибок в программе оценивается как: 12 2 1 Y Y Y Y , 91 где Y 1 , Y 2 – число ошибок, обнаруженных первым и вторым программистами, отлаживающих независимо друг от друга первоначальный текст программы, а Y 12 – число ошибок, обнаруженных как первым, так и вторым программистами. Очевидно, что первоначальный текст программы должен быть разработан при этом третьим программистом, чтобы поставить отлаживающих текст программистов в равные условия. Для прогнозирования надежности ПО, в частности для прогнозирования количества не выявленных ошибок на этапе тестирования имеется интуитивная модель. Пусть одна группа тестирования обнаруживает N 1 , а другая N 2 ошибок, N 12 – количество ошибок, обнаруженных обеими группами. Обозначим через N общее количество ошибок ПО. Если ввести понятие эффективности тестирования групп как отношения количества выявленных ошибок к их общему числу, то эффективности тестирования групп соответственно N N E 1 1 , N N E 2 2 ; Предполагается, что эффективность тестирования каждой группы одинакова как на всем множестве пространства ошибок ПО, так и на любом его подмножестве. В этом случае справедливо соотношение: N N N N E 12 1 1 ; Подстановка N 2 приводит к выражению вида: 2 1 12 E E N N , где 2 12 1 N N E ; 1 12 2 N N E ; Пример. Пусть группы тестирования обнаружили соответственно 20 и 25 ошибок, из них 5-ошибки обнаруженные обеими группами. В этом случае Е 1 = 0,2; Е 2 = 0,25. Общее количество ошибок N = 100, а количество ошибок, оставшихся в не выявленными – 60. |