Ващенко Г.В., Добронец Б.С. Надежность информационных систем

Подождите немного. Документ загружается.

Надежность информационных систем 61

технических систем, для которых первоначально разрабатывалась теория

надежности:

• не для всех видов программ применимы понятия и методы теории на-

дежности — их можно использовать только к программным средствам, функ-

ционирующим в реальном времени и непосредственно взаимодействующим с

внешней средой;

• при разработке и оценке качества программных компонент к ним не

применимы понятия надежности функционирования, если при обработке ин-

формации они не используют значения реального времени и не взаимодей-

ствуют непосредственно с внешней средой;

• доминирующими факторами, определяющими надежность программ,

являются дефекты и ошибки проектирования и разработки, и второстепенное

значение имеет физическое разрушение программных компонент при внеш-

них воздействиях;

• относительно редкое разрушение программных компонент и необходи-

мость их физической замены приводит к принципиальному изменению поня-

тий сбоя и отказа программ и к разделению их по длительности восстанов-

ления относительно некоторого допустимого времени простоя для функцио-

нирования информационной системы;

• для повышения надежности комплексов программ особое значение име-

ют методы автоматического сокращения длительности восстановления и пре-

образования отказов в кратковременные сбои путем введения в программные

средства временной, программной и информационной избыточности;

• непредсказуемость места, времени и вероятности проявления дефек-

тов и ошибок, а также их редкое обнаружение при реальной эксплуатации

достаточно надежных программных средств не позволяет эффективно ис-

пользовать традиционные методы априорного расчета показателей надежно-

сти сложных систем, ориентированные на стабильные, измеряемые значения

надежности составляющих компонент;

• традиционные методы форсированных испытаний надежности систем

путем физического воздействия на их компоненты не применимы для про-

граммных средств, и их следует заменять на методы форсированного воз-

действия информационных потоков внешней среды.

С учетом перечисленных особенностей применение основных понятий

теории надежности сложных систем к жизненному циклу и оценке качества

комплексов программ позволяет адаптировать и развивать эту теорию в осо-

бом направлении — надежности программных средств. Предметом изуче-

ния теории надежности комплексов программ (Software Reliability) являет-

ся работоспособность сложных программ обработки информации в реальном

62 Надежность ПО

времени. К задачам теории и анализа надежности сложных программных

средств можно отнести следующие:

• формулирование основных понятий, используемых при исследовании

и применении показателей надежности программных средств;

• выявление и исследование основных факторов, определяющих харак-

теристики надежности сложных программных комплексов;

• выбор и обоснование критериев надежности для комплексов программ

различного типа и назначения;

• исследование дефектов и ошибок, динамики их изменения при отладке

и сопровождении, а также влияния на показатели надежности программных

средств;

• исследование и разработка методов структурного построения сложных

ПС, обеспечивающих их необходимую надежность;

• исследование методов и средств контроля и защиты от искажений про-

грамм, вычислительного процесса и данных путем использования различных

видов избыточности и помехозащиты;

• разработка методов и средств определения и прогнозирования харак-

теристик надежности в жизненном цикле комплексов программ с учетом их

функционального назначения, сложности, структурного построения и техно-

логии разработки.

В жизненном цикле ИС значения показателей качества и надежности,

компонент и комплексов программ в целом рекомендуется непрерывно кон-

тролировать. В реальных проектах работы по исследованию и обеспечению

надежности программ целесообразно выделять в отдельную группу под еди-

ным руководством со специальным планом.

В основе теории надежности лежат понятия о двух возможных состоя-

ниях объекта или системы: работоспособном и неработоспособном.

В процессе функционирования возможен переход объекта из работоспо-

собного состояния в неработоспособное и обратно. С этим переходами связа-

ны события отказа и восстановления.

Определение степени работоспособности системы предполагает наличие

в ней средств, способных установить соответствие ее характеристик требова-

ниям технической документации. Для этого должны использоваться мето-

ды и средства контроля и диагностики функционирования системы. Глуби-

на и полнота проверок, степень автоматизации контрольных операций, дли-

тельность и порядок их выполнения влияют на работоспособность системы

и достоверность ее оценки. Методы и средства диагностического контроля

предназначены для установления степени работоспособности системы, лока-

лизации отказов, определения их характеристик и причин и скорейшего вос-

Надежность информационных систем 63

становления работоспособности, для накопления, обобщения и анализа дан-

ных, характеризующих работоспособность системы. Диагноз состояния си-

стемы принято делить на тестовый и функциональный. При тестовом диагно-

зе используются специально подготовленные исходные данные и эталонные

результаты, которые позволяют проверять работоспособность определенных

компонент системы. Функциональный диагноз организуется на базе реальных

исходных данных, поступающих в систему при ее использовании по прямому

назначению. Основные задачи технической диагностики включают в себя:

• контроль исправности системы и полного соответствия ее состояния и

функций технической документации;

• проверку работоспособности системы и возможности выполнения всех

функций в заданном режиме работы в любой момент времени с характери-

стиками, заданными технической документацией;

• поиск, выявление и локализацию источников и результатов сбоев, от-

казов и неисправностей в системе.

Показатели качества и надежности программных средств

Формализации показателей качества программных средств посвящена

группа нормативных документов. В международном стандарте ISO 9126:1991,

при отборе минимума стандартизируемых показателей выдвигались и учиты-

вались следующие принципы: ясность и измеряемость значений, отсутствие

перекрытия между используемыми показателями, соответствие установив-

шимся понятиям и терминологии, возможность последующего уточнения и

детализации. Выделены характеристики, которые позволяют оценивать ПС

с позиции пользователя, разработчика и управляющего проектом. Рекомен-

дуется 6 основных характеристик качества ПС, каждая из которых детали-

зируется несколькими (всего 21) субхарактеристиками:

1)функциональная пригодность — пригодностью для применения, точно-

стью, защищенностью, способностью к взаимодействию и согласованностью

со стандартами и правилами проектирования;

2)надежность — уровнем завершенности (отсутствия ошибок), устойчи-

востью к ошибкам и переза-пускаемостью;

3)применимость — понятностью, обучаемостью и простотой использо-

вания;

4)эффективность — ресурсной и временной экономичностью;

5)сопровождаемость — удобством для анализа, изменяемостью, ста-

бильностью и тестируемостью;

6)переносимость — адаптируемостью, структурированностью, замещае-

мостью и внедряемостью.

Характеристики и субхарактеристики в стандарте определены очень крат-

64 Надежность ПО

ко, без комментариев и рекомендаций по их применению к конкретным си-

стемам и проектам.

Близким к описанному стандарту по идеологии, структуре и содержа-

нию является ГОСТ 28195–89. На верхнем, первом, уровне выделено 6 по-

казателей — факторов качества: надежность, корректность, удобство приме-

нения, эффективность, универсальность и сопровождаемость. Эти факторы

детализируются в совокупности 19 критериями качества на втором уровне.

Дальнейшая детализация показателей качества представлена метриками и

оценочными элементами, которых насчитывается около 240. Каждый из них

рекомендуется экспертно оценивать в пределах от 0 до 1. Состав используе-

мых факторов, критериев и метрик предлагается выбирать в зависимости от

назначения, функций и этапов жизненного цикла ПС.

В ГОСТ 28806–90 формализуются общие понятия программы, программ-

ного средства, программного продукта и их качества. Даются определения

18 наиболее употребляемых терминов, связанных с оценкой характеристик

программ. Уточнены понятия базовых показателей качества, приведенных в

ГОСТ 28195-89.

Функциональная пригодность — это набор атрибутов, определяющий

назначение, номенклатуру, основные необходимые и достаточные функции

ПС, заданные техническим заданием заказчика или потенциального пользо-

вателя. В процессе проектирования ПС атрибуты функциональной пригодно-

сти конкретизируются в спецификации на компоненты. Эти атрибуты мож-

но численно представить точностью вычислений, относительным числом по-

этапно изменяемых функций, числом спецификаций требований заказчиков и

т. д. Кроме них функциональную пригодность отражают множество различ-

ных специализированных критериев, которые тесно связаны с конкретными

функциями программ. Их можно рассматривать как частные критерии или

как факторы, влияющие на основные показатели. В наиболее общем виде

функциональная пригодность проявляется в корректности и надежности

ПС.

Понятие корректной (правильной) программы может рассматриваться

статически вне ее исполнения во времени. Корректность программы не опре-

деляется вне области изменения исходных данных, заданных требованиями

спецификации, и не зависит от динамики функционирования программы в ре-

альном времени. Степень некорректности программ связана с вероятностью

попадания реальных исходных данных в область, которая задана требовани-

ями спецификации и технического задания (ТЗ), однако не была проверена

при тестировании и испытаниях. Значения этого показателя зависят от функ-

циональной корректности применяемых компонент и могут рассматриваться

Надежность информационных систем 65

в зависимости от методов их достижения и оценивания: детерминированно,

стохастически и в реальном времени. При анализе видов корректности и спо-

собов их измерения, естественно, они связываются с видами и методами про-

цесса тестирования и испытания программ.

Надежная программа прежде всего должна обеспечивать достаточно

низкую вероятность отказа в процессе функционирования в реальном вре-

мени. Быстрое реагирование на искажения программ, данных или вычисли-

тельного процесса и восстановление работоспособности за время, меньшее,

чем порог между сбоем и отказом, обеспечивают высокую надежность про-

грамм. При этом некорректная программ может функционировать абсолют-

но надежно. В реальных условиях по различным причинам исходные данные

могут попадать в области значений, вызывающих сбои, не проверенные при

испытаниях, а также не заданные требованиями спецификации и техниче-

ского задания. Если в этих ситуациях происходит достаточно быстрое вос-

становление, такое что не фиксируется отказ, то такие события не влияют

на основные показатели надежности — наработку на отказ и коэффициент

готовности. Следовательно, надежность функционирования программ явля-

ется понятием динамическим, проявляющимся во времени, и существенно

отличается от понятия корректности программ.

При оценке качества программ по показателям надежности регистриру-

ются только такие искажения в процессе динамического тестирования с ис-

полнением программ, которые приводят к потере работоспособности ПС или

их крупных компонент. Первопричиной нарушения работоспособности про-

грамм при безотказности аппаратуры всегда является конфликт между ре-

альными исходными данными, подлежащими обработке, и программой, осу-

ществляющей эту обработку. Работоспособность ПС можно гарантировать

при конкретных исходных данных, которые использовались при отладке и

испытаниях. Реальные исходные данные могут иметь значения, отличающи-

еся от заданных техническим заданием и от использованных при применении

программ. При таких исходных данных функционирование программ трудно

предсказать заранее и весьма вероятны различные аномалии, завершающие-

ся отказами.

Надежность функционирования ИС наиболее широко характеризуется

устойчивостью или способностью к безотказному функционированию и вос-

станавливаемостью работоспособного состояния после произошедших сбоев

или отказов. В свою очередь, устойчивость зависит от уровня неустраненных

дефектов и ошибок и способности ПС реагировать на их проявления так,

чтобы это не отражалось на показателях надежности. Последнее определя-

ется эффективностью контроля данных, поступающих из внешней среды, и

66 Надежность ПО

средств обнаружения аномалий функционирования ИС.

Восстанавлиемость характеризуется полнотой и длительностью восста-

новления функционирования программ в процессе перезапуска — рестарта.

Перезапуск должен обеспечивать возобновления нормального функциониро-

вания ПС, на что требуются ресурсы ЭВМ и время. Поэтому полнота и дли-

тельность восстановления функционирования после сбоев отражают качество

и надежность ИС и возможность его использования по прямому назначению.

Показатели надежности ПС в значительной степени адекватны анало-

гичным характеристикам, принятым для других технических систем. Наи-

более широко используется критерий длительности наработки на отказ.

Для определения этой величины измеряется время работоспособного состо-

яния системы между последовательными отказами или началами нормаль-

ного функционирования системы после них. Вероятностные характеристики

этой величины в нескольких формах используются как разновидности кри-

териев надежности. Критерий надежности восстанавливаемых систем учи-

тывает возможность многократных отказов и восстановлений. Для оценки

надежности таких систем, которыми чаще всего являются сложные ПС, кро-

ме вероятностных характеристик наработки на отказ, важную роль играют

характеристики функционирования после отказа в процессе восстановления.

Основным показателем процесса восстановления является длительность

восстановления и ее вероятностные характеристики. Этот критерий учиты-

вает возможность многократных отказов и восстановлений. Обобщение ха-

рактеристик отказов и восстановлений производится в критерии коэффици-

ент готовности. Этот показатель отражает вероятность иметь восстанавли-

ваемую систему в работоспособном состоянии в произвольный момент вре-

мени. Значение коэффициента готовности соответствует доле времени полез-

ной работы системы на достаточно большом интервале, содержащем отказы

и восстановления.

Наработка на отказ учитывает ситуации потери работоспособности, ко-

гда длительность восстановления достаточно велика и превышает пороговое

значение времени, разделяющее события сбоя и отказа. При этом большое

значение имеют средства оперативного контроля и восстановления (рестар-

та). Качество проведенной отладки программ более полно отражает значение

длительности.

3.2. Ошибки, их причины и последствия

Прежде чем разрабатывать методы повышения надежности, позволяю-

щие избежать ошибок ПО, следует понять их причины.

Надежность информационных систем 67

Один из ведущих специалистов в области надежности ПО Маерс Г. счи-

тает, что [24]:

Единственная важная причина ошибок, в программном обеспечении —

неправильный перевод информации (из одного представления в другое).

Создание программного обеспечения можно описать просто как ряд про-

цессов перевода, начинающих с задачи и заканчивающих большим набором

подробных инструкций, управляющих ЭВМ при решении этой задачи. Дру-

гими словами, программирование — это решение задач, а программное обес-

печение — это совокупность информационных элементов (но не физических

объектов), описывающих решение задачи. Создание программного обеспече-

ния в этом случае — просто совокупность процессов трансляции, т. е. перевода

исходной задачи в различные промежуточные решения, пока наконец не бу-

дет получен подробный набор машинных команд. Когда не удается полно и

точно перевести некоторое представление задачи или решения в другое, более

детальное, тогда и возникают ошибки в программном обеспечении.

Прежде чем решать проблему (скажем, проблему надежности), ее следу-

ет понять. Понимание того, что именно ошибки перевода являются причиной

ошибок в программе, чрезвычайно важно, так как это ключ к пониманию

проблемы надежности [24].

Модель перевода

Чтобы подробнее исследовать проблему ошибок в программном обеспе-

чении, рассмотрим различные типы процессов перевода при его создании. Мо-

дель разработки программного обеспечения изображена на рис. 11.6.. Прежде

чем приступить к ее анализу, сделаем несколько замечаний. В эту модель не

включен процесс тестирования программы. Представлены только два шага

проектирования, хотя в действительности их обычно бывает (и должно быть)

больше.

Задача модели не в том, чтобы перечислить все рекомендуемые действия

(это делается в позднее), а показать лишь основные типы возникающих про-

цессов перевода.

Чтобы лучше понимать проблемы перевода, рассмотрим модель. Чело-

век здесь — любое лицо, описываемое макромоделью: пользователь, систем-

ный аналитик, проектировщик или программист. Этот человек пытается пе-

реводить информацию из формы А в форму В. Для этого ему следует совер-

шить четыре основных шага.

1. Получить информацию с помощью чтения R (областей мозга, управ-

ляющих зрением и слухом).

68 Надежность ПО

Рис. 3.1. Макромодель перевода

2. Запомнить информацию в своей памяти .

3. Выбирать из памяти эту информацию, а также информацию, описы-

вающую процесс перевода, выполнить перевод и послать результат своему

пишущему механизму W (областям мозга, управляющим речью или движе-

нием рук).

4. Распространить информацию с помощью письма, печати на терминале

или речи.

Даже такая упрощенная модель перевода позволяет нам исследовать воз-

никающие на каждом из этапов ошибки.

1. Одной из величайших особенностей человеческого интеллекта являет-

ся способность понимать входную информацию, сопоставляя ее с огромным

набором хранимых в памяти образцов, созданных образованием и жизнен-

ным опытом. Этот принцип лежит в основе человеческой способности “чи-

тать между строк”. К несчастью, эти мощные способности в некоторых слу-

чаях вызывают неточности в процессе перевода, являются причиной ошибок

с программном обеспечении. Ошибки возникают тогда, когда при чтении до-

кумента А человек видит то, что он ожидает или хочет увидеть, а не то, что

написано, когда он пытается восстановить недостающие факты или просто

не замечает существенной информации.

Надежность информационных систем 69

2. В большинстве случаев, для того чтобы правильно запомнить инфор-

мацию, нам надо ее понять. На этом этапе ошибки в программном обеспе-

чении появляются в результате неправильной интерпретации или полного

непонимания входной информации. Она может быть слишком сложной или

двусмысленной, образовательный уровень человека может оказаться недоста-

точно высоким.

3. Основной источник ошибок на этом этапе — забывчивость: человек

может забыть входную информацию А либо точные правила выполнения пе-

ревода. Слабость других умственных способностей, таких как четкость мыш-

ления или умение извлекать из памяти относящиеся к делу знания, также

способствует появлению ошибок.

4. Последний этап, на котором информация может быть искажена или

утрачена, — шаг 4. Многие не умеют ясно писать или выражать свои мысли —

это затемняет смысл их сообщений. Если количество выходной информации

велико, человека начинает раздражать разница между скоростью мышления

и письма. Чтобы справиться с этим, он использует сокращения либо предпо-

лагает, что факты будут “интуитивно очевидны” его адресатам. Это увели-

чивает вероятность того, что следующий участник процесса разработки при

переводе совершит ошибки.

Важно, что для большинства проблем перевода существуют решения,

повышающие надежность. Средства представления проекта на различных

уровнях (например, языки описаний и программирования) влияют на процесс

перевода. Процессы проектирования и свойства самого проекта (например,

его сложность) также существенно влияют на ошибки.

Контрольные вопросы

1. Какие факторы доминируют в надежности ПО?

2. В чем особенности надежности ПО?

3. Каковы оновные задачи ехнической диагностики ИС?

4. Чем характеризется функциональная пригодность ПО, эффективность

ПО, сопровождаемость и перносимость ПО?

5. В чем основные причины ошибок в ПО?

6. Перчислите основные элементы модели перевода?

Глава 4

Проектирование надежного

программного обеспечения

4.1. Основные принципы проектирования

Разработка программы включает задачи двух типов: проектирование и

тестирование. Мы будем использовать термин “проектирование” в смысле:

“придание формы в соответствии с планом”. Это определение охватывает раз-

личные виды деятельности по созданию программного обеспечения, начиная

с определения требований и целей и заканчивая написанием текста програм-

мы, но подразумевает, конечно, наличие различных стадий проектирования.

Фразы “разработка программного обеспечения”, “конструирование программ-

ного обеспечения” и “производство программного обеспечения” обозначают

весь цикл его создания. В этой главе рассматриваются некоторые принципы,

общие для всех стадий проектирования.

Все принципы и методы обеспечения надежности в соответствии с их

целью можно разбить на четыре группы: предупреждение ошибок, обнару-

жение ошибок, исправление ошибок и обеспечение устойчивости к ошиб-

кам. К первой группе относятся принципы и методы, позволяющие миними-

зировать или вообще исключить ошибки. Методы второй группы сосредото-

чивают внимание на функциях самого программного обеспечения, помогаю-

щих выявлять ошибки. К третьей группе относятся функции программного

обеспечения, предназначенные для исправления ошибок или их последствий.

Устойчивость к ошибкам — это мера способности системы программного обес-

печения продолжать функционирование при наличии ошибок.

Предупреждение ошибок

К этой группе относятся принципы и методы, цель которых — не допу-

стить появления ошибок в готовой программе. Большинство методов концен-

трируется на отдельных процессах перевода и направлено на предупреждение

ошибок в этих процессах. Их можно разбить на следующие категории: