Надежностная характеристика программного модуля

Надежность технических систем определяется в основном двумя факторами [13]: надежностью компонент и ошибками в модели системы, допущенными при проектировании или изготовлении. Относительно невысокая надежность компонент, их глубокая взаимозависимость и способность к разрушению, старению или снижению надежности в процессе эксплуатации привели к тому, что этот фактор оказался превалирующим для надежности аппаратуры. Надежность сложных КП определяется теми же двумя факторами. Однако соотношение их влияния иное. Хранение программ на магнитных или иных носителях при отсутствии внешнего вмешательства характеризуется очень высокой надежностью. Доминирующим для надежности КП является второй фактор — ошибки проектирования.

Программа любой сложности и назначения при строго фиксированных исходных данных и абсолютно надежной аппаратуре исполняется по однозначно определенному маршруту и дает на выходе строго определенный результат. Однако случайное изменение исходных данных и накопленной при обработке информации, а также множество условных переходов в программе создают огромное количество различных маршрутов исполнения для каждой программной системе. Такое количество вариантов исполнения программы нельзя проверить полностью из-за ограничений на длительность отладки и приемочных испытаний. Источниками ненадежности являются непроверенные сочетания исходных данных, при которых отлаженный КП дает неверные результаты или отказы. Для последующего изложения следует уточнить фундаментальные понятия теории надежности и особенности их использования для изучения характеристик функционирования программ.

Понятие отказа связано с нарушением работоспособности изделия и его соответствия требованиям технической документации. Отказ при исполнении программ может проявиться как следствие:

§ нарушения кодов записи программ в памяти команд;

§ стирания или искажения данных в оперативной или долговременной памяти ЭВМ;

§ нарушения нормального хода вычислительного процесса.

Во всех случаях программные отказы приводят к прекращению выдачи пользователям информации и управляющих воздействий или к значительному искажению ее содержания и темпа выдачи.

Понятие “сбой” в теории надежности трактуется как самоустраняющийся отказ, не требующий внешнего вмешательства для замены отказавших компонент. Таким образом, понятия сбой и отказ применительно к аппаратуре отличаются степенью физического разрушения компонент и необходимостью их замены. В процессе обработки данных обычно отсутствует физическое разрушение программ и не требуется замена или ремонт каких-либо материальных компонент. Основной принцип классификации сбоев и отказов – разделение по временному показателю длительности восстановления после любого искажения программы, данных или вычислительного процесса. При длительности восстановления, меньшей заданного порога, аномалии при функционировании программ следует относить к сбоям. При восстановлении, превышающем по длительности пороговое значение и нарушающем работоспособность программ, искажения соответствуют отказу. Отсюда возникает задача классификации аномалий при функционировании программ на два типа: достаточные для нарушения работоспособности системы и малые отклонения от требований технической документации, при которых работоспособность сохраняется. Ниже учитываются только значительные искажения программ, данных или вычислительного процесса, достаточные для нарушения работоспособности.

Классификация программных сбоев и отказов по длительности восстановления приводит к необходимости анализа следующих динамических характеристик внешней среды и временных характеристик функционирования программ:

§ инерционности объекта, являющегося источником или потребителем информации;

§ среднего темпа или периодичности решения задач по обработке информации для данного объекта;

§ допустимой длительности ожидания отклика или времени реакции ЭВМ от момента поступления исходных данных до момента выдачи обработанных результатов.

Инерционность объекта управления или потребителя информации, обрабатываемой данными КП, является первичным показателем, используемым для установления необходимого времени реакции программ. Снижение темпа решения задач управления ведет к ухудшению характеристик функционирования, и при некотором низком темпе работоспособность нарушается, что соответствует отказу.

Рисунок 1.1. Типы исходных данных, обрабатываемых программой (1 – спецификации, 2 – процесса отладки, 3 – реального функционирования)

Понятие правильной (корректной) программы может рассматриваться статически вне временного функционирования. Степень некорректности программ можно характеризовать вероятностью попадания в область исходных данных, которая предусматривалась требованиями спецификации (1 на рисунке 1.1), однако не была проверена при тестировании и испытаниях (2 на рисунке 1.1). Таким образом, неправильность программы определяется вероятностью совмещения следующих событий:

§ попадания исходных данных в область, заданную требованиями спецификации, но не проверенную при отладке и испытаниях, — вероятности Р_II и Р_IV;

§ проявления ошибки в программе при обработке таких данных — вероятность Р₀.

Правильность программы неопределенна вне области изменения данных, заданной спецификацией, и не зависит от динамики функционирования программ в реальном времени.

Надежная программа, прежде всего, должна обеспечивать низкую вероятность отказа в процессе реального функционирования. Быстрое реагирование на искажения программ, данных или вычислительного процесса и восстановление работоспособности за время меньшее, чем порог между сбоем и отказом, позволяют обеспечить высокую надежность программы. При этом неправильная программа может функционировать в принципе абсолютно надежно. Действительно, если при каждом появлении реальных исходных данных (3 на рисунке 1.1), попадающих в области II и IV и стимулирующих неправильные результаты, они не приводят к событиям, соответствующим отказу, то такая программа функционирует безотказно и надежно, хотя и не всегда правильно.

В реальных условиях по различным причинам исходные данные могут попадать в область III, не проверенную при отладке и не соответствующую требованиям спецификации или технического задания. Если восстановление происходит за время меньшее, чем пороговое время между отказом и сбоем, то такие события не влияют на основной показатель надежности – наработку на отказ. Следовательно, отказ при функционировании программы является понятием динамическим и произойдет с вероятностью, определяющейся совмещением следующих событий:

§ появление на входе программы реальных данных, попадающих в непроверенные при тестировании и испытаниях области III или IV, – вероятности Р_III и P_IV;

§ проявление ошибки при обработке этих данных, достаточной для вызова отказовой ситуации, – вероятность Р_О,

§ длительность восстановления после возникновения отказовой ситуации превысила пороговое значение между отказом и сбоем – вероятность Р_В.

В некоторой области изменения исходных данных (область IV) правильность и надежность программы оказываются взаимосвязанными. Это соответствует данным, определенным техническим заданием и не проверенным при тестировании.