Тихоненков В.А. Конструирование и надежность измерительно-вычислительных комплексов летательных аппаратов
Подождите немного. Документ загружается.
91
альных тестах к функционированию на нормальных исходных данных. В
начале отладки это различие может быть значительным, однако при за-
вершении, тестовые данные практически совпадают с исходными данными
нормальной эксплуатации и К
’
= 1. Тогда интенсивность обнаружения оши-
бок в программе и абсолютное значение устраненных ошибок связываются
уравнением
o
NKnK
d
dn
⋅=⋅+
τ
. (6.2)
Если предположить, что в начале отладки при
τ
= 0 отсутствуют обна-
руженные ошибки, то решение уравнения (6.2) имеет вид:
(
)
[
]
τ
⋅−−⋅= KNn
o
exp1
, (6.3)
а количество оставшихся ошибок в программе
(
)
τ
⋅−⋅= KNn
oo
exp
.
Наработка на отказ, которая рассматривается как обнаруживаемое иска-
жение программ, исходных данных или вычислительного процесса, нару-
шающие работоспособность, равна величине обратной интенсивности обна-
ружения ошибок:
( )
τ
τ
⋅⋅
⋅
=
⋅
== K
NKnKddn
T
oo
exp
111
. (6.4)
Если учесть , что до начала тестирования в программе содержалось N
o
ошибок и этому соответствовала наработка на отказ Т
о
, то функцию наработ-
ки на отказ от длительности проверок можно представить в виде:
⋅
⋅=
oo
o
TN
TT
τ
exp
. (6.5)
Если известны моменты обнаружения ошибок t
i
и каждый раз в эти мо-
менты обнаруживается и достоверно устраняется одна ошибка, то выражение
(6.2) примет вид
(
)
(
)
[
]
1−−⋅= iNKt
oi
λ
, (6.6)
а также, используя метод максимального правдоподобия, можно получить
выражения для определения начального числа ошибок N
o
и коэффициента
пропорциональности К:
92
( )
( )
∑
∑∑
∑
=
==
=
⋅−−⋅
⋅
=
−−
n
i
n
i
i
n
i
io
n
i
i
o
titN
tn
iN
1
11
1
1
1
1
; (6.7)
( )
∑∑
==
⋅−−⋅
=
n
i
i
n
i
io
titN
n
K
11
1
. (6.8)
В результате можно рассчитать число оставшихся в программе ошибок и
среднюю наработку на отказ Т = 1/
λ
, то есть получить оценку времени до
обнаружения следующей ошибки.
В процессе отладки и испытаний программы для повышения наработки
на отказ от Т
1
до Т
2
, необходимо обнаружить и устранить
∆
n ошибок. Ве-
личину
∆
n можно определить, выразив число обнаруживаемых ошибок че-
рез длительность наработки на отказ, для чего в выражение (6.3) нужно под-
ставить уравнение (6.5). Тогда
−⋅⋅=∆
21
11
TT
TNn
oo
. (6.9)
Аналогичными несложными преобразованиями можно получить выра-
жение для определения затрат времени
∆τ
на проведение отладки, которые
позволяют устранить
∆
n ошибок и соответственно повысить наработку на
отказ от значения Т
1
до Т
2
:
⋅
⋅
=∆
1
2
ln
T
T
K
TN
oo
τ
. (6.10)
Дальнейшая детализация модели надежности связана с уточнением со-
держания и значения коэффициента пропорциональности K. В процессе от-
ладки, с одной стороны, при обнаружении отказа часто выявляется не одна
ошибка, а с другой – некоторые корректировки программы могут вносить до-
полнительные ошибки. Например по данным работы [32], для обнаружения
одной ошибки требуется 0,61 прогона теста, а для проверки после корректи-
ровки программы требуется 1,35 прогонов тестов.
Развитие данной модели описания ошибок, является модель, учитываю-
щая число команд R в испытываемой программе. В этом случае измеряется
не абсолютное значение ошибок в программе, а количество ошибок на одну
команду программы Р
о
= n
o
/R. Это позволяет сравнивать характеристики
программ близких по объему. Однако если программы отличаются по объему
на порядок, то относительное количество обнаруживаемых ошибок будет от-
личаться в несколько раз. Таким образом, учет количества ошибок на одну
команду сглаживает, но не компенсирует полностью различие статистических
93
данных для программ разного объема и сложности. При расчете показателей
надежности через относительное количество ошибок, приведенные выше
аналитические зависимости сохраняются, только вместо абсолютного коли-
чества ошибок необходимо использовать значение количества ошибок, нор-
мированное на одну команду в программе.
Модель, учитывающая дискретно-понижающуюся частоту появления
ошибок, построена на гипотезе о том, что частость появления ошибок линей-
но зависит от времени испытания t
i
между моментами обнаружения после-
довательных i и (i – 1) ошибок:
(
)
(
)
[
]
ioi
tiNKt ⋅−−⋅= 1
λ
, (6.11)
где N
o
– начальное количество ошибок;
К – коэффициент пропорциональности, обеспечивающий равенство
единицы площади под кривой вероятности обнаружения ошибок.
Следует обратить внимание на отличие данной модели от предыдущей
[см. (6.6)], заключающееся в появлении множителя t
i
в выражении для ин-
тенсивности отказов. Для оценки наработки на отказ получается выражение,
соответствующее распределению Релея:
( ) ( )
[ ]
⋅−−⋅−=
2
1exp
2
i
oi
t
iNKtT
. (6.12)
Отсюда плотность распределения времени наработки на отказ
( ) ( ) ( )
[ ]
( )
[ ]
⋅−−⋅−⋅⋅−−⋅=−=
2
1exp1
2
'
i
oioii
t
iNKtiNKtTtf
. (6.13)
Используя функцию максимального правдоподобия, можно получить
оценку для общего количества ошибок N
о
и коэффициента К:
( )
⋅−+⋅=
∑
∑
=
=
n
i
i
n
i
i
o
ti
K
n
t
N
1
2
1
2
1
21
; (6.14)
( )
∑
∑
=
=
−−
=
n
i
i
n
i
o
t
iN
K
1
2
1
1
2
. (6.15)
В результате обработки экспериментальных данных моментов обнару-
жения ошибок t
i
может быть построена функция, позволяющая прогнозиро-
94
вать надежность программ и ожидаемое время обнаружения ошибки. Эта
функция отличается от приведенной ранее [см. (6.5)], так как различаются
гипотезы о характере изменения интенсивности отказов в процессе отладки
[ср. (6.6) и (6.11)]. Для выбора наиболее адекватной модели из двух приве-
денных необходимы исследования реальных процессов обнаружения и уст-
ранения ошибок при разработке программ различного типа с большой стати-
стикой выявленных ошибок.
Модель, базирующуюся на распределении Вейбула, основана на ступен-
чатом характере изменения надежности при устранении очередной ошибки.
На рисунке 6.6 представлен график изменения интенсивности отказов про-
граммы от времени отладки [30]. В качестве основной функции в данной
λ
моделе рассматривается распре-
деление времени наработки на
отказ Т(t). Если ошибки не
устраняются, то интенсивность
отказов является постоянной,
что приводит к экспоненциаль-
ной модели для распределения
(
)
(
)
ttT
⋅
−
=
λ
exp .
τ
Отсюда
плотность
распределе
-
1 2
ния
наработки
на
отказ
опре
-
моменты
отказов
деляется
выражением
Рис
. 6.6
(
)
t
etf
⋅−
⋅=
λ
λ
,
где
t > 0,
λ
> 0
и
1/
λ
–
среднее
время
наработки
на
отказ
.
Для
аппроксимации
изменения
частоты
отказов
от
времени
при
обнару
-
жении
и
устранении
ошибок
используется
функция
следующего
вида
:
(
)
1−
⋅⋅=
β
βλλ
tt
. (6.16)
Если
0 <
β
< 1,
то
интенсивность
отказов
снижается
по
мере
отладки
или
в
процессе
эксплуатации
.
При
таком
виде
функции
λ
(t)
плотность
функции
распределения
наработки
на
отказ
описывается
двухпараметрическим
рас
-
пределением
Вейбула
:
(
)
(
)
ββ
λβλ
tttf ⋅−⋅⋅⋅=
−
exp
1
. (6.17)
95
Данная математическая модель [32] использовалась в процессе проекти-
рования и эксплуатации некоторых систем, для которых определены посто-
янные
λ
и
β
. При этом показано, что распределение Вейбула достаточно
хорошо отражает реальные зависимости при расчете функции наработки на
отказ. Обоснование приведенных первой и второй математических моделей,
так же приведено в ряде работ. В процессе обоснования контролировались и
обрабатывались экспериментальные данные интенсивности обнаружения
ошибок dn/d
τ
на фиксированном интервале времени, количества обнару-
женных ошибок n или наработки на отказ Т в зависимости от времени
функционирования программ. Характеристики, полученные расчетами с ис-
пользованием математических моделей, сопоставлялись с полученными экс-
периментальными значениями и применялись для прогнозирования показате-
лей с последующим анализом отклонений от экспериментальных данных. В
[32] показано сравнение первой и второй математических моделей при оцен-
ке количества обнаруженных ошибок и среднего времени наработки на отказ
с экспериментальными данными по программам, предназначенных для обра-
ботки радиолокационной информации в реальном масштабе времени на ко-
мандных пунктах. Статистика обрабатывалась по 1,5 – 2 тыс. выявленных
ошибок. Из проведенного анализа показано, что при малом количестве и от-
носительно редком обнаружении ошибок, возрастает дисперсия прогнози-
руемой величины и трудно отдать предпочтение одной из исследуемых моде-
лей. При значениях n ≈ 300 отклонение реального количества обнаруженных
ошибок от расчетного составило около 21%, которое убывает с ростом вре-
мени накопления ошибок.
6.3. Анализ влияния оперативной помехозащиты
на надежность ПО
Для анализа методов восстановления работоспособности ПО и методов
обнаружения искажений необходимо выделить основные показатели, позво-
ляющие оценить эти методы и построить их математические модели.
Процесс контроля и оперативного обнаружения искажений характеризу-
ется следующими факторами [35]:
- вероятностью обнаружения искажения при использовании процедуры
контроля р
1
;
- длительностью проведения процедуры контроля t
1
;
- интервалом времени между последовательными процедурами кон-
троля t
’
;
- вероятностью ложного обнаружения искажения р
л
.
Выбор метода оперативного восстановления происходит в условиях не-
определенности сведений о характере происшедшего отказа и степени его
96
влияния на работоспособность ПО. Стремление к наименьшим нарушениям в
процессе взаимодействия с внешними абонентами и неопределенность дан-
ных об искажениях приводят к необходимости последовательного иерархиче-
ского применения методов восстановления в порядке увеличения их длитель-
ности реализации и повышения достоверности восстановления. В результате,
во многих случаях, после искажения проходит несколько этапов восстанов-
ления с последовательным применением усложняющихся методов и оценкой
степени восстановления работоспособности после каждого этапа. Каждый
метод восстановления характеризуется следующими параметрами:
- вероятностью полного восстановления нормального функционирова-
ния программ р
3
;
- длительностью проведения работ по восстановлению – суммарным
временем выбора метода восстановления и временем его реализации
t
3
;
- длительностью проявления последствий после искажения
τ
в
.
Показатели восстановления р
3
, t
3
и
τ
в
в разной степени влияют на по-
казатели надежности функционирования программ.
В зависимости от динамических характеристик внешних абонентов мо-
жет быть определено предельное время t
д
, позволяющее разделить сбой и от-
каз. Предельно допустимое время t
д
оговаривает время, в пределах которого
отсутствие работоспособности не учитывается как отказ. Затраты времени на
контроль и восстановление, не превышающие t
д
, рассматриваются как соот-
ветствующие неработоспособному состоянию, не входящему в состояние от-
каза, а искажение не влияет на основные показатели надежности. Это время
рассматривается как отказовая ситуация. Это состояние соответствует опе-
ративному восстановлению системы с временной избыточностью и попол-
няемым резервом времени [36]. Кроме состояния работоспособности и отказа,
можно выделить состояние восстановления, при котором длительность про-
ведения восстановительных работ не влияет на характеристики надежности.
Параметр
τ
в
наиболее труден для оценки при анализе работоспособно-
сти. После восстановления вычислительного процесса и данных программа
начинает обрабатывать информацию и не требуется продолжать восстанови-
тельные работы. Однако может оказаться нарушенной последовательность
решения задач или искажены второстепенные данные, что может некоторое
время отражаться на качестве взаимодействия с внешними абонентами. Есте-
ственный обмен данными с абонентами и продолжение нормального функ-
ционирования через некоторое время полностью ликвидируют последствия
отказа. Поэтому в дальнейшем будем считать, что совокупность восстанови-
тельных процедур обеспечивает полную работоспособность и
τ
в
= 0.
Процесс функционирования ПО на однопроцессорном ЭВМ в реальном
масштабе времени с учетом операций контроля и восстановления можно
представить графом состояний, дуги в котором соответствуют возможным
97
переходам между состояниями (вершины) за некоторый промежуток време-
ни. Граф состояний представлен на рисунке 6.11. Система имеет следующие
состояния:
- полезная работа (состояние 0)
соответствует нормальному функции- 0
онированию работоспособного ПО
при отсутствии искажений; р
3
- состояние контроля (состоя-
ние 1) соответствует переходу програм- 1-р
1
-р
2
-р
л
мы в режим контроля и обнаружения 3 1 4
ошибок; р
1
р
л
- состояние необнаруженного
искажения данных или вычислитель- 1-р
3
р
2
ного процесса (состояние 2) соответ-
ствует функционированию ПО при 2
наличии искажения, не обнаружено-
го средствами контроля; Рис. 6.11
- восстановление после искажения
(состояние 3) характеризует функционирование группы программ восстанов-
ления режима полезной работы и устранением последствий искажений;
- восстановление после ложной тревоги (состояние 4) соответствует
восстановлению режима полезной работы после ложного проявления иска-
жения, когда в действительности состояние полезной работы не нарушалось.
Переходы между состояниями происходят случайно или в некоторых
направлениях детерминировано [32]. Так, например, переход в состояние
контроля может происходить периодически и от его результатов зависит пе-
реход в состояние восстановления (см. рис. 6.12, диаграмма 1).
Полезная работа
t
1
t
1
ξ
t
2
t
3
t
2
t
3
t
2
t
3
1
t
’
t
’
Контроль и отказовые ситуации
t
д
t
д
2
Отказы
t
д
3
t
1
+ t
2
+ t
3
Рис. 6.12
98
Где 1 – полная схема состояний; 2 – простои при запаздывании в обна-
ружении искажения, контроле и восстановлении; 3 – отказы.
Пребывание во всех состояниях кроме нулевого сопряжено с затратами
времени на выполнение операций, не связанных с прямыми функциональны-
ми задачами. Пребывание в этих состояниях можно рассматривать как отказ,
если длительность пребывания вне состояния 0 превышает t
д
(диаграмма
3). При определении влияния на показатели надежности учитывается только
такая цепочка последовательных состояний вне работоспособного, которая
оказывается протяженностью больше t
д
. Все остальные короткие выходы из
состояния 0 не влияют на надежность.
Объекты с временным резервированием для анализа их надежности
можно представить виде условной системы объект – время [36], состоящей
из двух параллельно включенных компонент: технического объекта и резерва
времени. Такая схема аналогична схеме ненагруженного однократного дуб-
лирования замещением, в которой при отказе объекта включается резерв вре-
мени.
Для ПО управления объектами в реальном времени наиболее адекватна
схема с мгновенно пополняемым ресурсом времени и наличием допустимого
времени t
д
, в пределах которого отсутствие работоспособности не учитыва-
ется как отказ. Затраты времени на контроль и восстановление не превы-
шающие t
д
, рассматриваются как соответствующие неработоспособному со-
стоянию не входящему в состояние отказа (см. рис. 6.12). Резерв времени по-
полняется до исходного значения не зависимо от числа предыдущих отказов,
времени на их устранение и наработки на отказ. Суммарное время восстанов-
ления работоспособности не ограничено.
Коэффициент готовности К
г
(Т,t
д
) такой системы включает в себя два
слагаемых:
- вероятность того, что в момент поступления задачи на обработку про-
грамма окажется в работоспособном состоянии k
г
;
- вероятность того, что задача застанет программу в состоянии контро-
ля и восстановления, однако эти операции закончатся до использова-
ния допустимого резерва времени t
д
.
(
)
(
)
{
}
(
)
(
)
qkkttPkktTK
ггдвггдг
−⋅−+=≤⋅−+= 111,
, (6.25)
где Р{t
в
,t
д
} – вероятность проведения всех работ по контролю и восстанов-
лению за время, меньшее t
д
;
q – вероятность того, что отказовая ситуация приведет к полному
отказу при функционировании программы.
Средняя длительность каждого цикла, завершающегося восстановлени-
ем, согласно [32] определяется средним временем наработки на отказ Т, вре-
99
менем пребывания в состоянии необнаруженного отказа
χ
i+1
– ξ и временем
восстановления t
3
:
( ) ( )
∑
∫
∞
=
+
+
+−+=
1
31
1
)(
i
i
i
i
tdFTXT
χ
χ
ξξχ
. (6.26)
Тогда, переходя к длительности каждого цикла, выражение (6.25) можно
представить в следующем виде:
(
)
( )
ХТ
tТtT
K
дв
г
,
+
=
, (6.27)
где t
в
(T,t
д
) – среднее время пребывания программы вне решения функцио-
нальных задач (неработоспособное, контроль, восстановле-
ние), до использования имеющегося резерва времени t
д
.
Для упрощения полученных выражения в [36] вводится ряд ограниче-
ний:
- реализован дискретный и достоверный контроль работоспособности и
отказ может возникнуть только в рабочем режиме;
- затраченное время на каждый акт контроля t
1
меньше периода
контроля t
’
или среднего запаздывания в обнаружении отказа
1
'
2
2/ ttt >>=
и
могут не учитываться;
- наработка между соседними отказными ситуациями Т имеет такое же
распределение, как и наработка до первой отказовой ситуации, то есть рабо-
тоспособность восстанавливается полностью и случайная величина времени
восстановления не зависит от типа отказа и предшествующей наработки;
- наработка Т распределена экспоненциально, а среднее время восста-
новления работоспособности равно
3
t
;
- отказ в программе фиксируется и учитывается только тогда, когда
сумма случайных величин времени ожидания до обнаружения отказа t
2
и
времени восстановления t
3
превышает t
д
.
При приведенных допущениях в [36] представлены выражения для рас-
чета компонент, входящих в выражение (6.25):
(
)
( )
( )
[ ]
TtTtTt
Tt
k
г
'
3
'
'
exp1
exp1
−−⋅+
−−
=
; (6.28)
( )
[ ]
( )
( )
( )
[
]
( )
( )
( )
>
−⋅
+
⋅
−
−
≤−⋅−−⋅⋅
+⋅−
−
=
⋅
+⋅
−
'
3
3
'
3
'
3
3
'
....................................1
1exp
exp
......11
1exp
1
1
3
3
'
3
ttприe
tT
t
Tt
tt
ttприeteT
tTTt
q
д
tT
tTt
д
д
ttTt
дд
. (6.29)
100
Подставляя уравнения (6.28) и (6.29) в выражение (6.25), можно опреде-
лить коэффициент готовности в зависимости от времени избыточности t
д
и
других параметров контроля и восстановления.
Коэффициент простоя К
п
– вероятность того, что в момент решения за-
дачи программа окажется в состоянии необнаруженного отказа, контроля и
восстановления, согласно [32] может быть представлен в виде:
(
)
( )
TttT
tTttttT
K
п
21
212
'
3
3
'''
1
−⋅+
⋅−++⋅
=
. (6.30)
Первое слагаемое в числителе выражения (6.30) соответствует суммар-
ным потерям времени на контроль в интервале между последовательными
обнаружениями искажений Т. Второе слагаемое равно средним потерям вре-
мени при функционировании системы в состоянии неисправленных послед-
ствий искажений между очередными операциями контроля (если его рас-
сматривать с точки зрения эффективности работы системы [32]). Третье сла-
гаемое соответствует затратам времени на восстановление вычислительного
процесса. В знаменателе этого выражения представлено полное среднее вре-
мя между последовательными обнаружениями искажений с учетом затрат на
восстановление.
При проектировании средств защиты вычислительного процесса целесо-
образно оценивать оптимальный период контроля t
’
, в зависимости от кото-
рого выдвигать предложения перед потребителем о назначении величины
временной избыточности t
д
, и, в конечном итоге, коэффициента простоя К
п
,
используемых для контроля и восстановления.
Так как период контроля обычно меньше интервала между искажениями,
то выражение (6.30) можно упростить, пренебрегая в круглых скобках вычи-
таемым
Tt 2
'
. Продифференцировав полученное выражение по t
’
и приров-
няв производную нулю, можно определить оптимальный период контроля:
3
1
'
21
2
c
Tt
t
⋅+
⋅⋅
=
, (6.31)
где с
3
=t
3
/t
’
– потери эффективности за единицу времени восстановления, то
есть доля времени от периода контроля, используемого для
восстановления.
Затраты времени на восстановление в некоторых случаях мало влияют
на временную избыточность, и экономия времени восстановления практиче-
ски не приводит к снижению коэффициента простоя ПО. На рисунке 6.13