Таблица 10.3. Модель Средняя Среднее остаточное число дефектов 1 0,9 0,9 = 2 0,375 т = 3 0,100 т = А 0,027 Потоки обоих типов являются суммами некоторого количества независимых с потоков. Поэтому интенсивность суммарного потока находят как сумму интенсивностей слагаемых потоков = Л, + + +где Л, — интенсивность потока ИС, обусловленного изменениями технологических процессов в объекте управления — интенсивность суммарного потока отказов технических средств управления — интенсивность потока заявок от подсистемы дистанционного управления интенсивность потока регулярных. Проектная оценка надежностипрограммного комплексапри выполнении ФСОЕсли программы не используются, то они и не отказывают. Если же они востребованы ив них есть дефекты, то проявление дефекта зависит от случая, состоящего в том, что на вход поступит как раз тот набор значений переменных, при котором дефект проявляется и превращается в ошибку. В этом смысле ошибки носят случайный характер, и можно говорить о вероятности проявления дефекта проявления дефекта при однократном выполнении ФСОПри построении модели вероятности проявления дефекта при однократном выполнении ФСО принимают следующие допущения Во входном векторе можно выделить подвектор переменных, которые можно считать независимыми. В этом смысле не все бинарные сигналы или значения аналоговых переменных, поступающие в систему управления от дискретных или аналоговых датчиков, можно считать независимыми. Например, сигналы от мажорированных датчиков функционально зависимы, и при безотказной работе техники они должны быть одинаковыми. Среди значений входного набора переменных не все комбинации фактически могут появляться на входе программы. Поэтому в множестве значений выделяют область допустимых значений. В режиме МКЦП за один цикл выполняется один прогон программы ив течение одного прогона обнаруживается не более одного дефекта. Вероятность проявления дефекта оценивают в такой последовательности. По формуле (10.25) или (10.26) находят остаточное количество дефектов после автономной отладки для всех структурных единиц ФПО, а затем суммарное количество дефектов. К нему добавляют исходное число дефектов межсекционных и внешних связей рассчитанное по формулами, поскольку Сне участвуют в автономной отладке АО , (О Если размерность входного вектора ФСО равна па длина тестовой последовательности, согласно (10.22), равна то по формуле (10.24) находят распределение вероятностей га по формуле (10.25) при N = — остаточное число дефектов Ф ПО после комплексной отладки Заметим, что есть безусловная вероятность того, что дефект окажется в го ранга, а в осталось непроверенных комбинаций. Это число рассчитывают но формуле -При равномерном распределении вероятность того, что дефект проявится при предъявлении конкретной комбинации из равна = Вероятность проявления одного дефекта при предъявлении одного входного набора 1)= (10.30) /• - где — вероятность того, что предъявленный входной набор принадлежит подмножеству непроверенных комбинаций го ранга. При равномерном распределении предъявляемых наборов r = m+\...n. (Подставляя (10.31) в (10.30), получим 1)= 1)= (Если остаточное число дефектов равно а при однократном выполнении ФСО предъявляется входных наборов, то вероятность проявления хотя бы одного дефекта 1). (Рассмотрим теперь модель проявления дефектов в базах данных. Пусть до проведения отладки ожидаемое число дефектов = в базе данных объемом рассчитывается по формуле (10.13), а при выполнении ФСО используется часть БД объемом Тогда при равномерном распределении вероятностей каждого дефекта по полю число дефектов в объеме V имеет биномиальное распределение с параметрами пир Вероятность того, что в объеме хотя бы один дефект, равна 1 - Если вовремя однократного выполнения ФСО запрашивается фрагмент объемом v и находящийся в нем дефект гарантированно обнаруживается, то вероятность проявления дефекта при однократном выполнении ФСО до отладки i-(i-v V
При отладке только в объеме дефекты подвергаются просеиванию только в этом объеме. Их количество имеет биномиальное распределение с параметрами и q = Если = re,, то отладка уменьшает среднее число дефектов доге где 1 - р — эффективность отладки. Вероятность проявления дефекта после отладки есть вероятность наличия в объеме v хотя бы одного дефекта при условии, что в объеме V есть дефекты Поскольку — случайная величина, имеющая биномиальной распределение с параметрами и = постольку безусловная вероятность Если прогон программы осуществляется после автономной отладки, то если же после комплексной отладки, тор. Вероятность проявления дефекта при многократном выполнении ФСОЕсли при многократном прогоне программы на вход поступают независимые наборы значений переменных, то вероятность проявления дефектов = Дефект в БД не проявится при прогоне, если он не находится в объеме (с вероятностью р = 1 - или находится в объеме V, ноне окажется в выбранных фрагментах объема (с вероятностью ). Если всего в объеме находится п дефектов, то условная вероятность проявления дефектов при М-кратном выполнении ФСО до начала отладки v, V, = (После отладки с параметром разрежения условная вероятность проявления дефектов Безусловные вероятности проявления дефектов = p) = (10.37) Отсюда следует, что при увеличении М вероятность проявления дефектов асимптотически стремится к величине 1 - р. Вероятность безотказной работы ПК в режиме МКЦП при случайном потоке инициирующих событий При простейшем потоке С с параметром Л вероятность безотказной работы находят как безусловную вероятность того, что все циклы выполнения ФСО вин- тервале (0, t) будут безошибочными о Подставляя сюда выражение для из (10.37), получим- p (Po+goA M )"- о Если мало, то можно использовать приближенное выражение Тогда = k))). (Если использовать схему независимых событий, то можно получить нижнюю оценку вероятности безотказной работы системы как произведение вероятностей безотказной работы ФПО и ИО + (Отсюда следует, что интенсивность отказов и средняя наработка на отказ ПК равны = = Т k) k)) Приближенную формулу для можно использовать только прима л ы х. Учет процедур парирования ошибок Процедура парирования ошибок обеспечивает разрежение потока отказов, не допуская перехода обнаруженного дефекта в программах или данных в отказ системы. Зная структуру потока ошибок по типам парируемых ошибок =
получим интенсивности разреженных потоков ошибок: Подставляя ив) вместо и находим = где — вероятность того, что будет обнаружен дефект типа. Пример проектной оценки надежности программного комплекса. Краткое описание аппаратно-программного комплекса1Аппаратно-программный комплекс предназначен для выполнения трех основных функций: • автоматического управления (АУ) безучастия ФПО верхнего уровня системы управления; • дистанционного управления (ДУ) исполнительными механизмами (ИМ) и режимами работы подсистем нижнего уровня с помощью ФПО верхнего уровня; • отображения на мониторах верхнего уровня параметров (ОП, измеряемых на объекте управления, и параметров, отражающих состояние средств самой системы управления, а также регистрации и архивирования информации в базах данных. АПК построена как двухканальная система с нагруженным дублированием ФПО нижнего (НУ) и верхнего (ВУ) уровней и баз данных (рис. Информация в АПК поступает из системы сбора данных (ССД) от измерительных каналов, содержащих дискретные (ДД) и аналоговые (АД) датчики. Управляющие воздействия поступают из АПК в систему вывода данных (СВД), содержащую некоторое количество ИМ. ССД и СВД не входят в рассматриваемую систему и являются буфером между АПК и объектом управления. Подсистема АПК верхнего уровня обменивается информацией со смежными системами. На нижнем уровне структурными единицами ФПО НУ являются алгоритмы А1...А8, секции ввода (СВв) и вывода (СВыв) данных. Секции ввода данных могут принимать информацию от ССД или ФПО ВУ. Секции вывода данных выполняют функции контроллеров для управления ИМ и для передачи служебной информации в адрес ФПО ВУ и ФПО НУ. База данных используется не только для выполнения указанных функций, поэтому объем данных БД превышает объем, необходимый для выполнения функций АУ, ДУ и ОП составлен по материалам реального проекта Рис. 10.2. Структурная схема ФПО и ИО АПК 10.5.2. Оценка исходного числа дефектовНадежность ПК оценивается на стадии проектирования, когда известны структура ФПО и описание каждой структурной единицы по входами выходам. Поэтому для оценки ИЧД используются формулы (10.12) и (10.13). Чтобы оценить влияние структурирования на ожидаемое число дефектов, каждый алгоритм разбивается на секции, размеры которых определяются требованиями технологии программирования, принятой в САПР ПО, и соображениями повышения эффективности работы отдельного программиста с учетом рекомендаций психологии программирования и соображений удобства дальнейшей отладки. Исходные данные для расчетов и результаты расчетов ИЧД по секциями алгоритмам приведены в табл. продолжение Примечание 1 — учитываются все обрабатываемые входы 2 — учитываются все независимые входы — алгоритм без разбиения на секции — алгоритм с разбиением на секции. Расчеты проведены для двух вариантов исходных данных. В первом варианте учтены все обрабатываемые входы и все ветвящиеся выходы. Во втором варианте учтены только независимые входы и выходы. Расчеты показывают, что разбиение алгоритмов на секции приводит к увеличению суммарного количества входов и выходов в первом варианте на 35%, а по отдельным алгоритмам до во втором варианте на 29%, а по отдельным алгоритмам до 60%. Однако суммарное количество дефектов при разбиении на секции сократилось на в варианте 1 и на 30% в варианте 2. Разбиение на секции отдельных алгоритмов не всегда приводит к снижению ИЧД. Так произошло для А в варианте 1 и для А4 в варианте 2. Однако разбиение все-таки проводят по другим причинам. Например, разбиение А полезно для облегчения автономной отладки. В этом случае при разбиении на две секции для полной отладки надо просмотреть 7 + 2 9 = 640 комбинаций значений бинарных входов, а без разбиения — = комбинаций, то есть в 3,2 раза больше. Варианты 1 и 2 могут рассматриваться как крайние для получения двусторонней оценки ИЧД, так как при функцио- Таблица ЛОЛ (продолжение) Наименование Секция А23 Секция А24 Секция А25 Алгоритм Алгоритм А4ц Алгоритм А4с Секции Алгоритм А5ц Алгоритм А5с Секции А51...А54 Алгоритм Алгоритм Секции Алгоритм А7 Алгоритм А8 А1...А8ц А1...А8с Исходные данные Входы 1 5 17 9 12 - 20 5 - 28 7 20 12 - 2 2 6 4 13 8 4 - 20 5 - 20 5 20 8 - 141 1 12 9 9 3 0 15 2 2 11 19 3 2 8 2 8 4 8 12 2 1 2 4 2 0 2 2 7 3 2 4 8 2 1 8 12 19 3 2 8 2 0 3 2 8 2 1 2 0 1 6 0 1 5 3 , 3 38,1 38,1 160,0 6 9 , 5 - 4 8 , 1 92,2 - 3 3 , 2 2 147,2 - 5 3 , 3 104,0 122,2 - - 2 15,51 3 3 , 2 2 2 4 , 0 0 104,0 - 24,0 92,2 - 3 3 , 2 2 9 8 , 1 - 3 3 , 2 2 104,0 9 8 , 1 - - 1 0,439 0,223 0,223 3,95 0,745 0,714 0,357 1,313 0,681 1,170 3,344 1,754 0,439 2,305 26,63 16,05 2 0,002 0,170 0,089 1,67 0,170 0,178 0,089 1,313 0,681 0,170 1,485 0,681 0,170 1,67 1,485 10,34
зависимых входах и выходах независимыми остаются операции адресации, при программировании которых также могут возникать ошибки. Именно поэтому может быть использовано среднее арифметическое оценок. В качестве секций ввода в состав ФПО НУ входят модули сравнения результатов измерения аналоговых параметров с уставками с последующей индикацией нарушения уставки. В качестве секций вывода используют два типа контроллеров, БУ1 и для управления ИМ двух различных типов. Исходные данные о секциях ввода и вывода и результаты расчетов ИЧД приведены в табл. Таблица Исходное число дефектов в секциях и вывода Наименование ИЧД 4 16 0,04 БУ1 42 240 БУ2 28 147 Совокупность секций ввода и вывода сравнима по количеству дефектов со множеством алгоритмов. Оценка числа дефектов ФПО по подсистемам до автономной отладки Для выполнения отдельной ФСО привлекают некоторое подмножество структурных единиц ФПО, образующих подсистему. В нее включают также совокупность межсекционных и внешних связей структурных единиц подсистемы. Сведения о составе подсистем приведены в табл. Таблица 10.6. Состав подсистем ФПО ФСО Количество модулей Количество связей А1...А8 СВв БУ1 БУ2 ВС АУ 1 54 20 2 15 3 ДУ 1 0 20 2 15 ОП 1 54 0 0 15 В структуре ФПО (см. табл. 10.2) предусмотрено два канала обработки. Однако в них используют идентичные копии алгоритмов, модулей и БУ2, секций ввода. Поэтому количество дефектов от появления копий в параллельных каналах не возрастает, лишь увеличивается вдвое количество связей. В каждом канале используется несколько секций БУ1 ив виде идентичных копий, поэтому в расчете ИЧД представлен только один экземпляр каждой секции. В составе секций ввода в основном только адресные операции. Поскольку они различны для различных копий, в расчетах ИЧД присутствуют все экземпляры СВв. Результаты расчетов для одного и двух каналов представлены в табл. Таблица 10.5. Наименование БУ1 БУ2 Исходное 4 42 28 число дефектов 240 в секциях и вывода 3,34 Таблица АУ 10.6. Состав подсистем Количество модулей А1...А8 СВв 1 54 1 0 1 54 ФПО БУ1 20 20 0 БУ2 2 2 Количество связей 15 15 3 21 9
Примечание Здесь п — число входов В — вариант 1; В — вариант Изданных, приведенных в табл. 10.7, видно, что наибольшее количество дефектов ожидается в подсистеме дистанционного управления и возникать они будут в основном из-за большего количества внешних связей. Наименьшее количество дефектов — в подсистеме ОП, в которую не входят секции ввода и вывода. Количество дефектов во всем ФПО примерно на 20% превышает ожидаемое число дефектов в наиболее сложной подсистеме. При оценке ИЧД в базе данных используются следующие исходные данные: • общий объем БД = 6 Мбайт; • объем данных, используемых при выполнении ФСО: V = 0,55 Мбайт для всех ФСО, V = 0,5 Мбайт для ОП и ДУ, V = 0,25 Мбайт для подсистемы АУ; • уровень языка программирования / = Согласно (10.13), ожидаемое число дефектов по всей БД = 352, в подсистемах ДУ и ОП = 29, в подсистеме АУ = 14,5. 10.5.4. Оценка остаточного числа дефектов после автономной отладки Автономная отладка проводится по секциям. Функционирование секций проверяется путем предъявления входных наборов сериями, соответствующими конгруэнтным множествам от-го ранга, начиная с = 1. Для расчета используется формула (10.25) или (10.26). Как следует из табл. 10.4, при т = 9 полностью проверяются секции А, А, А А, А51...А54, А61...А64. Для А21, А22, A3, Аи А число входов более 9. Поэтому эти секции и алгоритмы проверяются лишь частично. При т = 10 полностью проверяется также секция А22. Результаты расчетов ОЧД приведены в табл. Таблица Исходное число дефектов в подсистемах до автономной отладки АУ Все А1... В1 16,1 16,1 16,1 16,1 А8 В2 10,34 10,34 10,34 п 17 8,9 8,9 п 11 3,34 3,34 0 3,34 2,2 0 2,2 2,2 Связи Ка- нал 1 1,21 6,44 Ка 2 2,42 12,87 4,85 20,14 Вариант Ка- нал 1 34,72 20,63 40,54 Канал 49,61 Вариант Ка- нал 1 25,96 29,01 14,92 Капал Таблица 10.8. 9 А 0,0023 0,0065 Среднее А22 0,00007 остаточное 0,199 число дефектов в секциях после А7 0,1965 А 0,005 0,00007 А1...А8 0,424 0,207 АО БУ1 0,4495 0,196 БУ2 0,00208 0,00015
При расчете ОЧД в секциях БУ1 и учитываем, что в них число входов пи п = соответственно. Результаты расчетов приведены в табл. Таблица Результаты автономной отладки (вариант ПС m Среднее остаточное число дефектовАлгоритм БУ БД МВС Всего Ка- Ка- Ка- Ка- Ка- Канал пал 2 нал 1 нал 2 нал 1 нал АУ 9 0,424 0,452 0,73 2,42 2,82 4,03 0,911 АУ 10 0,207 0,196 0,73 1,21 2,34 3,55 0,926 ДУДУ ОП 9 0,424 0 1,45 2,42 4,85 4,30 6,72 0,792 ОП 10 0,207 0 1,45 2,42 4,85 4,08 6,51 0,802 Все 9 0,424 0,452 1,60 10,07 20,14 12,55 22,62 0,544 10 0,207 0,196 1,60 10,07 20,14 12,08 22,14 0,702 0,553 ПРИМЕЧАНИЕЗдесь МВС — и внешние связи эффективности Расчет ОЧД в МВС проведен для пи (подсистемы АУ, ДУ и ОП соответственно. При расчете ОЧД в БД по формуле (10.29) коэффициент полноты проверки принят равным 0,95. Значения взяты из Изданных, приведенных в табл. 10.9, видно, что автономная отладка существенно сокращает ожидаемое число дефектов в секциях по всем подсистемам ФПО (А1...А8 и БУ) от 30,45 допри т = 9 и допри т = 10. В БД число дефектов уменьшается от 32 до 1,6. Эффективность АЛ по таким компонентам ФПО и ИО, как отношение числа устраненных дефектов к исходному числу, составляет при т 9 иприт. Однако в целом но всем компонентам эффективность существенно меньше отв двухканальной системе прите до в одноканальной системе прите. Снижение эффективности объясняется тем, что при АО не проверяют МВС. Остаточное количество дефектов колеблется от 12,1 до 22,6. Это довольно много, поэтому необходима комплексная отладка. Для дальнейших расчетов выбираем вариант с глубиной автономной отладки, соответствующей = 9, последующим причинам. С ростом т быстро возрастает трудоемкость отладки, измеряемая суммарной длиной тестовой последовательности. На все секции, проверенные полностью, при т = 9 затрачивается I = входных наборов. Значения длины тестовой последовательности для остальных секций, рассчитанные по формуле (10.21), приведены в табл. В строке 8 указана сумма значений строк 1...5, в строке 9 к ним добавлено число комбинаций для полностью проверенных секций алгоритмов. ТаблицаАУ АУ m 9 10 9 10 9 10 9 10 10.9. Результаты автономной Среднее остаточное число Алгоритм 0,424 0,207 0.424 0,207 0,424 0,207 0,424 0,207 БУ 0,452 0,196 0,452 0,196 0 0 0,452 0,196 БД 0,73 0,73 1,45 1,45 1,45 1,45 1,60 отладки вариант дефектов Ка- нал 1 1,21 1,21 6,44 6,44 2,42 2,42 10,07 Капал 1) Всего Ка- нал 1 2,82 2,34 8,77 8,29 4,30 4,08 12,55 Канал Канал Канал Для алгоритма А переход = 8кт = 9 означает увеличение трудоемкости отладки на 63,6%, а переход = — увеличение на 42,8%. Переход от = = 10 приводит к увеличению L: для A3 и БУ на для всех алгоритмов на 37,8%, по секциям БУ на 21,1%, по ФПО в целом на Степень снижения остаточного числа дефектов и рост эффективности отладки можно проследить поданным, приводимым в табл. Таблица Зависимость эффективности АО от трудоемкости ФСО т L АУ, ДУ 9 635 159 0,876 АУ 10 859 890 0,403 ОП 9 543 277 0,424 ОП 10 748 277 0,987 Для АУ и увеличение эффективности отладки на 1,7% требует увеличения трудоемкости на 35,4%. Для ОП рост эффективности на 1,3% требует увеличения трудоемкости на 37,7%. 10.5.5. Оценка остаточного числа дефектов после комплексной отладки Комплексная отладка проводится по подсистемам в целом и имеет целью функциональное тестирование и тестирование межсекционных и внешних связей. Остаточное число дефектов и эффективность отладки прогнозируются с помощью модели Таблица 10.10. Длина Наименование Секция Секция А22 Алгоритм Алгоритм А7 Алгоритм А8 Секция БУ1 Секция БУ2 Секции А21...А8 Алгоритмы А1...А8 БУ1, БУ2 А1...А8, БУ2 тестовой последовательности после п 14 10 17 20 12 17 11 — - - - L = 8 12 911 1013 65 536 263 950 3797 65 536 1981 347 207 348 774 67 517 416 т = 914 913 1023 89 846 431 910 4017 89 846 2036 541 709 543 277 91 882 635 й серий т= 10 15 914 1024 109 294 616 666 4083 109 294 2047 746 981 748 549 111 341 859 Таблица ДУ АУ, ДУ 10.11.т910910Зависимость эффективности 159 859 890 543 277 748 277 0,876 0,403 АО от трудоемкости 0,974 0,987 AL/L- 0,354 - 0,377 Результаты расчетов вероятности необнаружения дефекта Р) и среднего остаточного числа дефектов по формулами) для двухканальной системы прите и 1 / приведены в табл. 10.12. Данные для взяты из табл. Таблица Результаты комплексной отладки ФСО п (3) = 9 т 8 ФПО АУ 20 0,1843 3,30 4,03 0,608 0,073 0,681 0,831 ДУ 17 0,0982 13,78 1,45 15,23 1,353 0,145 1,498 ОП 20 0,1843 5,27 1,45 6,72 0,971 0,145 Все - - 21,02 1,60 22,62 2,93 3,09 Для оценки остаточного числа дефектов в БД принят коэффициент эффективности тестирования = 0,9. Трудоемкость КО равна сумме длительностей тестовых последовательностей при отладке подсистем + 950 + 65 536 = 593 i = 0 1 = Полученное значение сравнимо с трудоемкостью автономной отладки = = 635 После КО не полностью проверенными оказались ранга от 9 до 17 для подсистемы ДУ и ранга от 9 до 20 для АУ и ОП. Проанализируем связь эффективности и полноты отладки. Поскольку в пределах наблюдается равномерное распределение вероятности появления дефекта по различным комбинациям, значения полноты отладки как доли числа проверенных комбинаций и эффективности отладки как доли обнаруженных дефектов совпадают. Это значит, что между ними есть линейная зависимость. Коэффициент полноты отладки для ранга и для всей логической структуры в соответствии си) совпадают. Однако при m < < < п коэффициент полноты отладки существенно больше, чем при = п (табл. 10.13), и соответственно больше коэффициента эффективности отладки. Поскольку при увеличении длины тестовой последовательности одновременно тестируются в определенной степени все это порождает нелинейную зависимость числа обнаруженных дефектов и эффективности отладки от полноты отладки логической структуры. Таблица 10.13. Коэффициент полноты отладки различных рангов 2r 9 512 0,998 10 1024 1013 0,989 продолжение Таблица АУ Все 10. п 20 17 20 - 12. Результаты комплексной (3) 0,1843 0,0982 0,1843 - = ФПО 3,30 13,78 5,27 = 9 1,45 1,45 отладки 6,72 0,608 1,353 0,971 2,93 = 8 0,073 0,145 0,145 0,681 1,498 1,116 3,09 0,831 0,901 Таблица 10 10.13. Коэффициент 1024 511 отладки различных рангов 0,989
3. Сравнивая данные, приведенные в табл. 10.12 и 10.13, видим, что для подсистем АУ и ОП (п = 20) при полноте отладки 0,249 коэффициент эффективности отладки достигает значения 0,83 и лежит между значениями коэффициента эффективности для иго рангов. Для подсистемы ДУ (п = при полноте отладки 0,5 коэффициент эффективности отладки = 0,9 иле- жит между значениями для го иго рангов. Для всей совокупности подсистем полнота отладки + 587 436 2 228224 'При этом коэффициент эффективности отладки равен 0,863, зависимость существенно нелинейная. При довольно высокой эффективности комплексной отладки и небольшом среднем остаточном числе дефектов доля непроверенных комбинаций велика. Поэтому при нормальной эксплуатации дефекты могут проявляться в течение очень длительного времени. Оценка вероятности проявления дефекта при однократном и многократном выполнении ФСО после КО Каждая подсистема ФПО характеризуется следующими показателями — среднее остаточное число дефектов после КО k — среднее число значений входного вектора, предъявляемых при однократном выполнении ФСО; — распределение вероятностей наличия дефекта различных рангов п Исходные данные для расчета вероятностей дефектов 1) и по формулами) приведены в табл. 10.14, а результаты расчетов в табл. Таблица 10.13 (продолжение 2r Si- ll 2048 1981 0,972 12 4096 3797 0,927 13 8192 7099 0,867 14 16 384 12 911 0,788 15 32 768 22 819 0,696 16 65 536 39 203 0,598 17 131 072 65 536 0,500 18 262 144 106 762 0,407 19 524 288 169 826 0,324 20 1 048 576 260 950 0,249
Вероятность проявления дефектов при многократном выполнении ФСО рассчитывают по формуле (10.34) с учетом данных, приведенных в табл. 10.15. Результаты расчетов приведены в табл. Таблицах 346,15 384,58 854,65 1888,9 Таблица АУ п 20 17 Распределение вероятностей • 6,32 • 10-" 1,93 • 4,29 • 7,85 • 0,0125 0,01786 0,02365 0,02941 - — — 0,0982 - 9,77 • 5,37 • 1,64 • 3,65 • 6,67 • 0,01518 0,0201 0,0250 9,0296 0,0338 п = 3,62 1,45 4,61 1,15 2,22 3,17 3,17 1,98 — — - - проявления дефекта ю - " • ю- 5 • ю- 5 • • ю- 7 • • ю- 9 Вероятность проявления дефекта 15 20 0,608 1,353 0,971 = 20 3,13 • 1,72 • 10-" 7,82 • 2,93 • • 2,26 • 4,51 • 7,05 • 8,30 • 6,9 • 3,6 • 9,1 • - - однократном • 2,94 • 4,51 • 1) 4,17 • 9,16 • 8,90 • 4,95 • 1,74 • 3,96 • 5,7 • 4,7 • 1,7 • 10-" — — 2,94 • - = 20 9,24 • 1,07 • 6,02 • 2,39 • 6,85 • 1,42 • 2,1 • 2,1 • 3,4 • - 4,51 • ФСО ю- 6 ю- 6 ю- 6 Таблица АУ Вероятность • проявления дефектов М 10 100 1000 10 100 1000 10 100 при многократном выполнении ФСО к • 2,76 • 0,00276 6,21 • 6,21 • 0,00619 8,98 • 8,98 • 0,00894
Условную и безусловную вероятности проявления дефектов БД однократном и многократном обращении к ней до проведения отладки находят по формулами, а при обращении после отладки — по формулами (Расчеты проводят при следующих исходных данных = 6 Мбайт, V = 0,5 Мбайт для подсистем ДУ и ОП V = 0,25 Мбайт для подсистемы АУ, = 1/ = 352, =0,1 Результаты расчетов приведены в табл. 10.17—10.21. До отладки условная и безусловная вероятности практически совпадают, так как р" = 5 • Из-за одинаковых объемов используемых данных У характеристики подсистем ДУ и ОП совпадают. Таблица М 5 10 100 v = АУ 0,4389 0,6782 0,9997 Таблица М 1 5 10 100 1000 Вероятность V) ДУ 0,1107 0,5585 0,6848 0,9999 проявления = АУ 0,6796 0,8883 дефектов БД до отладки 0,6855 0,8968 Условная вероятность АУ 0,0548 0,1059 0,6405 0,9998 Таблица М 1 5 10 100 1000 v АУ 0,0285 0,0551 0,3331 0,5200 0,0077 0,0374 0,0727 0,4988 Безусловная 0,0287 0,0560 0,3841 0,7638 v АУ 0,1063 0,1990 0,8545 вероятность АУ 0,0553 0,1035 0,4444 0,5201 0,0152 0,0730 0,1391 0,7214 0,9999 v = АУ 0,8901 1 0,3748 0,8977 0,9877 1 v= АУ 0,9843 1 1 0,6094 0,9881 1 1 дефектов БД после автономной отладки = АУ 0,2005 0,3544 0,9733 0,9999 0,0301 0,1396 0,2551 0,8982 проявления дефектов БД после 0,0562 0,1071 0,5555 0,7700 v = АУ 0,1043 0,1843 0,5062 0,0232 0,1075 0,1964 0,6916 0,7700 v= АУ 0,3590 0,5447 0,0595 0,2568 0,4347 0,9825 автономной отладки = АУ 0,1867 0,2989 0,5196 0,5201 0,0458 0,1977 0,3347 0,7565 0,7700
Изданных, приведенных в табл. 10.17, видно, что вначале АО первый дефект уверенно обнаруживается уже после первых 10—15 тестов БД. После АО вероятность проявления дефекта снижается, но остается довольно высокой (см. табл. 10.19). Вероятность того, что после АО в БД не останется ни одного дефекта, оценивается величиной р = 0,48 при выполнении АУ и р = 0,23 при выполнении ДУ или ОП. После комплексной отладки, то есть вначале эксплуатации, вероятность отказа ИО при однократном выполнении ФСО оказывается существенно больше (см. табл. 10.21), чем вероятность отказа ФПО (см. табл. 10.15), — почти на два порядка. При многократном выполнении ФСО в число обращений М включают только независимые обращения. Фактически могут наблюдаться многократные обращения к одному и тому же фрагменту данных, и тогда вероятность проявления дефектов не меняется при увеличении числа обращений. Чтобы учесть этот фактор, введем поправочный коэффициент равный доле независимых обращений. Для данной системы принимается 5 Суммарная вероятность отказа ФПО и ИО при однократном выполнении ФСО после комплексной отладки, рассчитанная по схеме независимых событий, приведена в табл. Вероятность отказа существенно зависит от объема v, используемого при однократном обращении фрагмента БД. Таблица М 5 10 100 Условная вероятность = АУ 0,0411 0,0800 0,9996 М 10 100 1000 v = АУ 0,0057 0,0397 0,0707 v= 1 ДУ АУ 0,0041. 0,0220 0,0206 0,0425 0,0411 0,5465 0,3379 0,9830 проявления дефектов БД после 0,0107 0,0219 0,1926 0,8731 v = АУ 0,0115 0,0206 0,8695 0,0232 0,0059 0,0107 0,1020 0,6490 отладки = АУ 0,0057 0,0115 0,0983 0,6419 0,0005 0,0030 0,0059 0,0527 Безусловная вероятность проявления дефектов БД после комплексной отладки 1 ДУ АУ 2,9 • 0,0058 2,9 • 0,0473 0,0239 0,1342 0,0695 2,9 • 0,0030 0,0263 0,1192 = АУ • 0,0015 0,0133 0,0615 1,5 • 0,0015 0,0139 0,0886 v = АУ • 0,0008 0,0070 0,0454 7,3 • 0,0008 0,0072 0,0562
10.5.7. Поток инициирующих событий В систему поступает несколько потоков инициирующих событий Поток технологических событий, инициирующих работу ФПО с участием алгоритмов А1...А8, включает в себя только те события, которые требуют взаимосвязанного управления группой технологических параметров. Средний интервал между событиями ч. Поток заявок на групповое отображение параметров состоит из заявок, поступающих в среднем один разв смену, поэтому = 8 ч. Поток команд с пультов управления и рабочих мест оператора для прямого дистанционного управления исполнительными механизмами и управления режимами работы устройств нижнего уровня имеет средний интервал между событиями ч. Поток отказов средств автоматики состоит в основном из отказов 200 дискретных и аналоговых датчиков, имеющих среднюю наработку на отказ 200 тыс. ч, поэтому средний интервал между событиями этого потока = 100 000/200 = 500 ч. Часть этих отказов (их доля 20%) требует вмешательства оперативного персонала с участием подсистемы ДУ. Средний интервал между этими событиями = = 2500 ч. Интенсивность потоков заявок на выполнение ФСО равна сумме интенсивностей слагаемых потоков Для других подсистем. Вероятность безотказной работы ПК Система в режиме МКЦП работает со случайным интервалами между циклами. Для безотказной работы системы необходимо безотказное выполнение всех Таблица 10.22. Вероятность АУ 2,74 • 5/96 • 8,76 • v отказа ,25 ю- 5 ю- 5 ФПО и = ИО при ю-" однократном выполнении + = 0,25 7,57 • 7,90 • 8,18 • v 2 5,93 •
циклов в течение установленного календарного времени. Расчеты проводятся по формуле (10.38) или по приближенным формулам (10.39) или (10.40). Результаты расчетов приведены в табл. 10.23 и 10.24 для времени функционирования = 1 год = 8760 ч и среднего объема фрагмента данных v = 0,25 Кбайт. Таблица АУ Таблица АУ 10.23. Интенсивность , 1 2 5 4 0 , 0 1 4 2 9 0 , 2 6 6 0 0 , 0 1 2 5 4 0 , 0 0 1 4 3 0 , 0 2 6 отказов • 10 5,96 • 10 8,76 • 10 10.24. Показатели надежности тыс 11700 429 . ч 9586 515 794 5277 подсистем 7,3 • 7,3 • • >д ю- 5 подсистем О 0,9993 0,9798 0,3440 0,9150 0,0852 0,1043 2,330 1,942 0,992 + 1,259 0,1895 4,272 + 0,989 0,9983 В подсистемах АУ и ДУ определяющим фактором ненадежности ПК является вклад информационного обеспечения. Не увеличивая длительности отладки базы данных, можно уменьшить влияние ИО путем введения средств парирования ошибок с вероятностью парирования = 1 - Результаты расчетов по формуле (10.41) при = 1, = 0,1 приведены в табл. 10.25. Таблица АУ 10.25. 2900 429 Показатели 1С. Ч 95860 5150 надежности ФИО 2291 5277 подсистем с учетом 0,99925 парирования 0,99991 ошибок в ИО + 0,9962 0,99916 Более высокая вероятность безотказной работы подсистемы ДУ достигнута в основном за счет существенно меньшей интенсивности потока инициирующих событий. Подсистема имеет худшие показатели, уступая по средней наработке подсистеме АУ более чем враз. Это допустимо, так как функция отображения параметров не связана непосредственно с управлением технологическим объектом, и поэтому цена отказа здесь меньше, чем в подсистемах АУ и ДУ.
10.6. Оценка надежностипрограммного комплексапо результатам отладкии нормальной эксплуатацииВ процессе отладки и опытной или нормальной эксплуатации программного комплекса появляется возможность использовать статистические данные об обнаруженных и исправленных ошибках и уточнить проектные оценки надежности. Для этой цели разработаны модели надежности, содержащие параметры, точечные оценки которых получают путем обработки результатов отладки и эксплуатации ПК. Модели отличаются друг от друга допущениями о характере зависимости интенсивности появления ошибок от длительности отладки и эксплуатации. Некоторые модели содержат определенные требования к внутренней структуре программных модулей. Экспоненциальная модель Шумана Модель основана наследующих допущениях: • общее число команд в программе на машинном языке постоянно; • в начале испытаний число ошибок равно некоторой постоянной величине и по мере исправления ошибок становится меньше входе исправлений программы новые ошибки не вносятся; • интенсивность отказов программы пропорциональна числу остаточных ошибок. О структуре программного модуля сделаны дополнительные допущения: • модуль содержит только один оператор цикла, в котором есть операторы ввода информации, операторы присваивания и операторы условной передачи управления вперед; • отсутствуют вложенные циклы, но может быть k параллельных путей, если имеется k - 1 оператор условной передачи управления. При выполнении этих допущений вероятность безотказной работы находят по формуле (10.42) где — число ошибок вначале отладки / — число машинных команд в модуле и — число исправленных и оставшихся ошибок в расчете на одну команду Т — средняя наработка на отказ т — время отладки С — коэффициент пропорциональности. Для оценки и С используют результаты отладки. Пусть из общего числа прогонов системных тестовых программ — число успешных прогонов п — — число прогонов, прерванных ошибками. Тогда общее время п прогонов, интенсивность ошибок и наработку на ошибку находят по формулам Полагая , найдем: (10.44) где — время тестирования на одну ошибку. Подставляя сюда (10.42) и решая систему уравнений, получим оценки параметров модели: (10.45) Для вычисления оценок необходимо по результатам отладки знать Некоторое обобщение результатов (10.43)—(10.45) состоит в следующем. Пусть и — время работы системы, соответствующее времени отладки и и — число ошибок, обнаруженных в периодах и Тогда Отсюда . (Если и — только суммарное время отладки, то Г, = = и формула) совпадает с (Если входе отладки прогоняется k тестов в интервалах (0, (0, ..., (где < то для определения оценок максимального правдоподобия используют уравнения где число теста, заканчивающихся отказами — время, затраченное на выполнение успешных и безуспешных прогонов теста. При k = 2 (10.47) сводится к предыдущему случаю и решение дает результат (Асимптотическое значение дисперсий оценок (для больших значений nj) определяются выражениями где Коэффициент корреляции оценок Асимптотические значения дисперсии и коэффициента корреляции используются для определения доверительных интервалов значений и Сна основе нормального распределения. В работе [9] отмечается, что наиболее адекватной для модели Шумана является экспоненциальная модель изменения количества ошибок при изменении длительности отладки где и определяются из эксперимента. Тогда Средняя наработка до отказа возрастает экспоненциально с увеличением длительности отладки: Экспоненциальная модель Данная модель является частным случаем модели Шумана. Согласно этой модели, интенсивность появления ошибок пропорциональна числу остаточных ошибок: где — коэффициент пропорциональности — интервал между г'-й и - й обнаруженными ошибками. Вероятность безотказной работы (10.48) При формула (10.48) совпадает с (10.42). В работе показано, что при последовательном наблюдении k ошибок в моменты можно получить оценки максимального правдоподобия для параметров Для этого надо решить систему уравнений (10.49) Асимптотические оценки дисперсии и коэффициента корреляции (при больших определяются с помощью формул Чтобы получить численные значения этих величин, надо всюду заменить и их оценками. Геометрическая модель Моранды Интенсивность появления ошибок принимает форму геометрической прогрессии D К — константы i — число обнаруженных ошибок. Эту модель рекомендуется применять в случае небольшой длительности отладки. Другие показатели надежности находят по формулам где п — число полных временных интервалов между ошибками. Модификация геометрической модели предполагает, что в каждом интервале тестирования обнаруживается несколько ошибок. Тогда где — накопленное к интервала число ошибок т — число полных временных интервалов. Модель [15], Эта модель является модификацией экспоненциальной модели Джелинского- Моранды. Модель основана на допущении того, что интенсивность обнаружения ошибок пропорциональна числу остаточных ошибок и длительности г'-го интервала отладки: (10.50) то есть стечением времени возрастает линейно. Это соответствует рэлеевскому распределению времени между соседними обнаруженными ошибками. Поэтому модель называют также рэлеевской моделью Шумана или рэлеевской моделью Параметр рэлеевского распределения где п — число полных временных интервалов. Тогда вероятность безотказной работы и средняя наработка между обнаруженными ошибками (10.51) Сравнительный анализ моделей [20] показывает, что геометрическая модель Моранды и модель дают устойчиво завышенные оценки числа остаточных ошибок, то есть оценки консервативные или пессимистические. Для крупномасштабных разработок программ или проектов с продолжительным периодом отладки наилучший прогноз числа остаточных ошибок дает модель Модель Липова [17] (обобщение моделей и Шика— Волвертона). Эта модель является смешанной экспоненциально-рэлеевской, то есть содержит в себе допущения и экспоненциальной модели Джелинского-Моранды, и рэлеевской модели Интенсивность обнаружения ошибок пропорциональна числу ошибок, остающихся по истечении (г - го интервала времени, суммарному времени, уже затраченному на тестирование к началу текущего интервала, и среднему времени поиска ошибок в текущем интервале времени: (10.51) где — интервал времени между г'-й и (г - й обнаруженными ошибками. Здесь имеется и еще одно обобщение допускается возможность возникновения на рассматриваемом интервале более одной ошибки. Причем исправление ошибок производится лишь по истечении интервала времени, на котором они воз- никли: где — число ошибок, возникших интервале. Из (10.51) находим вероятность безотказной работы и среднее время между отказами: где — интеграл Лапласа — параметры модели. Параметры модифицированных рэлеевской и смешанной моделей оцениваются с помощью метода максимального правдоподобия. Однако в этом случае функция правдоподобия несколько отличается от рассмотренной при выводе уравнений, так как теперь наблюдаемой величиной является число ошибок, обнаруживаемых в заданном интервале времени, а не время ожидания каждой ошибки. Предполагается, что обнаруженные на определенном интервале времени ошибки устраняются перед результирующим прогоном. Тогда уравнения максимального правдоподобия имеют вид где С = для модели (10.50) и С = для модели (10.51); М — общее число временных интервалов. Коэффициенты Аи В находят с помощью формул для модели и с помощью формул для смешанной модели. Здесь — продолжительность временного интервала, в котором наблюдается ошибок. Заметим, что при = 1 уравнения (приобретают вид (10.49), тогда М = К что соответствует k в (10.49), = г - Модель [18], Модель использует так называемую теорию длительности обработки. Надежность оценивается в процессе эксплуатации, в котором выделяют время т реальной работы процессора (наработку) и календарное время т' с учетом простоя и ремонта. Для числа отказов (обнаруженных ошибок) выводится формула (10.53) где — наработка между отказами перед началом отладки или эксплуатации начальное число ошибок С — коэффициент пропорциональности. Из (10.53) находят: В работе [20] сравниваются экспоненциальная, рэлеевская и смешанная модели. Сравнение проведено на одинаковых наборах данных для предсказания числа ошибок в проекте, состоящем из 4519 небольших программных задач. Результаты предсказания сравниваются с апостериорными данными. Сравнение проводилось и на крупной управляющей программе, содержащей 249 процедур и 115 000 инструкций языка JOVIAL. Было выявлено от 2000 до 4000 ошибок на четырех последовательностях наборов данных. По результатам испытаний определены зависимости числа оставшихся ошибок от времени как для эмпирических данных, таки для предсказанных по рассмотренным моделям. По результатам анализа сделаны следующие выводы. Экспоненциальная и рэлеевская модели дают более точное предсказание числа ошибок, чем смешанная модель. Экспоненциальная и рэлеевская модели более пригодны для небольших программ или для небольших длительностей отладки. Для больших программ или при длительных испытаниях лучшие результаты дают модификации экспоненциальной и рэлеевской моделей 4. Геометрическая модель дает удовлетворительные оценки при любой длине программно лучше ее использовать для коротких программ и небольшой длительности испытаний. Экспоненциальная и рэлеевская модели завышают число оставшихся ошибок, а смешанная модель занижает эту величину по сравнению с действительным значением. Если для большого числа равных интервалов число ошибок на каждом интервале меняется в значительных пределах, то экспоненциальная и рэлеевская модели могут оказаться неудовлетворительными модель (модель Сукерта) Модель задается совокупностью соотношений Достоинство этой модели в том, что она содержит дополнительный по сравнению с экспоненциальной моделью параметр т Подбирая т и X, можно получить лучшее соответствие опытным данным. Значение те-подбирают из диапазона < < 1. Оценки параметров получают с помощью метода моментов. Для параметра формы значение находят как решение уравнения где — гамма-функция. Для параметра масштаба оценка Модель (степенная модель Число обнаруженных и исправленных ошибок определяется с помощью степенной зависимости где М — степень отлаженности программ — эмпирические константы. Отсюда интенсивность отказов (10.54) Величина М выражается в человеко-месяцах испытаний, единицах календарного времени и т. д. Адекватность модели проверена на экспериментальных данных, полученных для систем реального времени и программ на алгоритмическом языке. Для грубого предсказания надежности авторы рекомендуют значение а = 0,5.
Во всех рассмотренных моделях программа представлена как черный ящик», без учета ее внутренней структуры. Кроме того, всюду принято допущение, что при исправлении ошибок новые ошибки не вносятся. Следующие две модели рассматривают программы в виде белого ящика — с учетом внутренней структуры. Поэтому они называются структурными. Структурная модель Нельсона В качестве показателя надежности принимается вероятность Р(п) безотказного выполнения п прогонов программы. Для прогона вероятность отказа представляется в виде где у, — индикатор отказана м наборе данных — вероятность появления г'-го набора прогоне. Тогда Если — время прогона, то интенсивность отказов (10.55) Практическое использование формул (10.54) и (10.55) затруднено из-за множества входов и большого количества трудно оцениваемых параметров модели. На практике надежность программ оценивается по результатам тестовых испытаний, охватывающих относительно небольшую область пространства исходных данных. Для упрощенной оценки в [24] предлагается формула где N — число прогонов — число обнаруженных при прогоне г'-го теста ошибок индикатор отсутствия ошибок при прогоне г'-го теста. Для уменьшения размерности задачи множество значений входных наборов разбивают на пересекающиеся подмножества каждому из которых соответствует определенный путь = Если содержит ошибки, топри выполнении теста на Gj будет отказ. Тогда вероятность правильного выполнения одного теста При таком подходе оценка надежности по структурной модели затруднена, так как ошибка в проявляется не при любом наборе из Gj, а только при некоторых. Кроме того, отсутствует методика оценки по результатам испытаний программ. Структурная модель роста надежности (модель Иыуду) [25].
Модель является развитием модели Нельсона. В ней делают следующие допущения: • исходные данные входного набора выбираются случайно в соответствии с распределением все элементы программ образуют s классов, вероятность правильного исполнения элемента го класса равна ошибки в элементах программ независимы. Вероятность правильного исполнения программы по i-му пути (10.56) где — количество элементов класса в гм пути. Безусловная вероятность безотказной работы при однократном исполнении программы в период времени до первой обнаруженной ошибки (10.57) где п — количество путей исполнения программы. При корректировании программы после обнаружения ошибки учитывается возможность внесения новой ошибки с помощью коэффициента эффективности корректирования Вместо в (10.56) следует использовать — номер интервала времени между соседними ошибками. При вероятность не меняется, при < 1 вероятность увеличивается, а при > 1, напротив, падает. Для интервала вероятность успешного исполнения программы по i-му пути При = q выражение (10.57) можно представить в виде (10.58) Подставляя (10.58) в (10.57), получим: (10.59) Если наиболее вероятные пути проверены, то В формуле (10.59) параметры и q можно оценить по экспериментальным данным. Для плана испытаний [NBr], в котором определяются значения — числа прогонов им с помощью метода максимального правдоподобия найдем уравнения относительно искомых оценок: В частности, при = 2 имеем: Гиперболическая модель роста надежностиПусть — вероятность безотказной работы вовремя цикла испытаний — установившееся значение вероятности. Тогда кривую роста надежности можно аппроксимировать с помощью гиперболической зависимости где а — скорость роста кривой k — номер цикла. Оценки параметров и а можно получить с методом максимального правдоподобия. Для этого организуют испытания по циклам, в каждом из которых выполняют фиксированное число прогонов ..., Число успешных прогонов из общего количества имеет биномиальное распределение с параметрами и Тогда функция максимального правдоподобия где ..., — фактическое количество успешных прогонов в циклах. Приведем уравнения максимального правдоподобия: (10.60) Систему алгебраических уравнений (10.60) решают методом итераций. Однако при / <\ можно найти приближенное решение где Е = — постоянная Эйлера. Если указанное условие не выполняется, то оценки (10.61) можно использовать как начальное приближение в итерационной процедуре. Оценки параметров можно получить и с помощью метода наименьших квадратов. Для этого надо найти значения и а, которые обеспечат минимум выборочной дисперсии: = Дифференцируя эту функцию по а, получим систему уравнений Отсюда найдем решение: (10.62) Эти оценки являются несмещенными. Оценки (10.62) можно использовать для нахождения хороших начальных значений оценок максимального правдо- подобия. Список литературы Холстед М Начала науки о программах / Перс англ. — М Финансы и статистика с Шнейдерман Б Психология программирования. — М Радио и связь, 1984. — 304 с M. L. Probabilistic models for software reliability prediction // Inter- national Fault Tolerant Computing. Newton, Mass.; N. Y., 1972. 4. Shooman M. L. Operation Testing and Software Reliability Estimation during Program Development // Record of the 1973 IEEE Symp. on Computer Software Reliability. N. Y., 1973. - P. 51-57. 5. Shooman M. L. Software Reliability measurement and models // 1975, Reliability and Maintainability Symp. — Vol. 1. — Washington, D. C, 1975. P. 458-491. 6. Shooman M. L. Structural model's software reliability prediction // 2-nd Inter- national Conf. Software Engineering, 1976. P. 268-280. 7. Shooman M. L. Software engineering: Reliability, Development and Management. — McGraw-Hill, International. Book Co, 1983.
8. Тейер Т, Липов М, Нельсон Э Надежность программного обеспечения. — М.: Мир, 1981. - 324 с Липаев В. В Проблемы обеспечения надежности и устойчивости сложных комплексов программ АСУ // УСиМ. — 1977. - № 3. С. 39-45. 10. Moranda P. Final Report of Software Reliability Study. — McDonnell Douglas Astronautic Company. MDC Report № 63921. Dec. 1972. 11. Moranda Software Reliability Research // Statistical Computer Performance Evaluation / Ed. by W. Freiberger. — N. Y.: Academic, 1972. 12. Moranda P. B. Applications of a Probability // Based Model to a Code Reading Experiment, April 30 - May 2, 1973. - P. 78-83. 13. Moranda P. B. Probability-Based Models for the Failures During Burn — In Phase Joint National Meeting ORSA // Tims. - Las Vegas; N. Y.; Nov., 1975. 14. Lipov M. TRW report № Maximum Likehood Estimation of Software Distribution. June, 1973. 15. Shick C.J., R. W. Assessment of Software Reliability // 11-th Annual Meeting of the German Operation Research Society. Hamburg, Germany, 6-8 Sept., 1972. 16. Shick C.J., Wolverton R. W. Achieving reliability in large scale software system // Proc. of the Annual Reliability and Maintainability Los Angeles, 1974. — P. 302-319. Lipov M. Some variation of a Model for Software Time-to-Failure // TRW Systems Group. Correspondence 19-21 Aug., 1974. 18. Hamilton P. A., D. Measuring reliability of Computation Center Software // Proc. 3-th Internat. Conf. on Software. Eng. May 10-12 1978. - P. 29-36. 19. D. Validity of Execution time theory of software reliability // IEEE on reliability. - 1979. - № 3. - P. 199-205. 20. Sukert C. A. An investigation of software reliability models // Proc. Annual Reliability and Maintainability Symp. - 1977. — P. 478-484. 21. Wall]. K., Ferguson P. A. Pragmatic software reliability prediction // Proc. 1977 Annual Reliability and Maintainability Symp. - 1977. - P. 485-488. 22. Nelson E. Software reliability FTC-5 Internat. Symp. Fault Tolerant Computing. Paris; N. Y., 1975. - P. 24-28. 23. Nelson E. C. Estimation software reliability from test data // Microelectronics and reliability. - 1978. - Vol. 17. - P. 61-74. 24. Осима Ю Надежность программного обеспечения // Дзеко сери. —1975. Т. 16, № 10. - С Иыуду КА, Касаткин АИ В. В Прогнозирование надежности программ на ранних этапах разработки // Надежность и контроль качества. — 1982. - № 5. С. 18-30. 26. Ллойд Д, Липов М Надежность. — М Сов. радио, 1964. — 686 с Вопросы для самоконтроля. В чем состоят постановка задачи и этапы проектной оценки надежности программного обеспечения (ПО. Перечислите факторные модели в проектной оценке надежности ПО, их содержание и применение. Каков порядок проектной оценки надежности ПО. Назовите варианты моделей оценки надежности программ по результатам их отладки. Сравните эти модели. Приведите перечень необходимых для расчетов исходных данных. Какие существуют структурные модели оценки надежности программ по результатам испытаний
|