Базовые сведения о надежности информационных технологий управления

Парадигма Парадигма (от гр. пример, образец) -- теория (или модель, тип постановки проблемы), принятая в качестве образца решения исследовательских задач моделирования -- множество абстракций, которые позволяют “схватить” и выразить суть моделируемой системы. Парадигма статического моделирования представляет структуру системы, но не ее поведение во времени. Парадигма динамического моделирования представляет как структуру, так и поведение во времени.

Основные принципы моделирования позволяют:

· Четко сформулировать цель моделирования;

· Создавать модель не большего размера, чем это необходимо для ответа на поставленные вопросы.

Модель не должна отображать все аспекты моделируемой системы, а лишь те которые необходимы для достижения цели моделирования.

Идеальная модель - это модель, которая полностью отвечает цели моделирования при минимальной стоимости ее создания.

Модель, которая соответствует ясно сформулированной цели, использует соответствующую парадигму, базируется на адекватной информации и создана квалифицированными разработчиками, с большой вероятностью будет успешной.

Методологии IDEF

При моделировании систем, содержащих дискретно выполняемые функции, используется методология IDEF, посредством которой преобразуется некоторая входная информация (объекты) в выходную.

Методологии IDEF (ICAM DEFinition):

· ICAM (Integrated Computer-Aided Manufacturing);

· IDEF0 -- методология создания функциональной модели, которая является структурированным изображением функций производственной системы или среды, а также информации и объектов, связывающих эти функции;

· lDEF1 -- методология создания информационной модели, которая представляет структуру и семантику информации, необходимой для поддержки функций в производственной среде или системе;

· IDEF2 -- методология, позволяющая построить динамическую модель меняющегося во времени поведения функций, информации и ресурсов производственной системы или среды.

Основа IDEF0 - метод SADT, предназначенный для представления функций системы и анализа системных требований.

В терминах IDEF0 система представляется в виде комбинации блоков и дуг:

· Функциональные блоки отображают функции системы;

· Дуги представляют множество различных объектов системы. Они связывают блоки вместе и отображают взаимодействия и взаимосвязи между блоками;

· Между объектами и функциями возможны четыре вида отношения: вход, управление, выход и механизм. Каждое из этих отношений изображается дугой, связанной с определенной стороной блока.

Рис. 4.7. Пример взаимодействия объектов и функций

Структура IDEF0-модели: IDEF0-модели состоят из набора диаграмм, образующих иерархию. Каждая диаграмма обычно содержит
3-5 функциональных блоков и является подробным описанием функционального блока, расположенного на предшествующем уровне иерархии. Декомпозиция: Каждый функциональный блок IDEF0-диаграммы может быть декомпозирован, т.е. представлен в виде совокупности других взаимосвязанных блоков, детально описывающих исходный блок.



Рис. 4.8. Декомпозиция функциональных блоков IDEF-диаграммы

Методология IDEF и анализ стоимостных характеристик

Для представления информации в форме, понятной для персонала фирмы, непосредственно участвующего в бизнес - процессах, распределении накладных расходов в соответствии с детальным просчетом использования ресурсов, подробным представлением о процессах и их влиянием на себестоимость, разработан метод АВС (Activity-Based Costing) как "операционно-ориентированная" альтернатива традиционным финансовым подходам.

Цель создания IDEF-модели для СБП -- достичь улучшений в работе системы по показателям стоимости и производительности. АВС -- один из методов, позволяющий указать на возможные пути улучшения стоимостных показателей.

IDEF и АВС связаны, потому что они оба рассматривают систему как множество последовательно выполняемых функций, дуги управления и дуги механизмов IDEF соответствуют стоимостным факторам и ресурсам АВС.

Связь IDЕF и АВС базируется на трех принципах:

· Функция может иметь число, ассоциированное с ней, которое представляет стоимость выполнения этой функции;

· Стоимость функции, которая не имеет декомпозиции, Декомпозиция - расчленение исходной системы на относительно обособленные части определяется разработчиком модели;

· Стоимость функции, которая имеет декомпозицию, определяется как сумма стоимостей всех функций на ее странице декомпозиции.

Анализ рабочих потоков -- это анализ моделей, которые описывают, каким образом различные документы обрабатываются в организации.

Деятельность организации рассматривается как совокупность взаимосвязанных функций, для выполнения которых требуются ресурсы, такие как персонал, оборудование и т.д.

Оценка моделей рабочих потоков производится на основе отчетов об имитационных экспериментах, в которых оценивается производительность процессов, указывается на задержки в их реализациях (т.е. на "узкие места") и неэффективное использование ресурсов.

Интегрированный подход:

1. Сбор информации о функциях, участвующих в процессе, их взаимодействиях, об использовании ими ресурсов и других параметрах, влияющих на производительность, таких как время и стоимость.

2. Сбор информации относительно ресурсов, используемых в процессе, которая может касаться, например, скорости работы (для оборудования) и их стоимости.

3. Создание функционально-ориентированной графической модели процесса с использованием методологии IDEF0 (Design/IDEF).

4. Трансляция IDEF0-модели в модель цветных сетей Петри
(СР - модель) и получение выполняемой имитационной модели.

Имитационные модели создаются путем импортирования IDEF-диаграмм в иерархическую структуру СР - сетей

5. Использование СР - модели для генерации отчетов об имитационных экспериментах и анализа альтернативных решений.

СР - сети предоставляют язык для описания локальных ситуаций, которые не были определены в IDEF0-модели.

Использование цветных сетей Петри

При проектировании и анализе бизнес - процессов используются цветные сети Петри, так как они позволяют накладывать IDEF-диаграммы на СР - сети с сохранением их первоначальной структуры, имеют графическое представление информации и иерархический подход. Формальное представление параллельных процессов позволяет понять, как работает СР - модель, не вникая детально в реализацию средств моделирования, используемых для ее выполнения

Свойство выполняемости обеспечивает возможность создания имитационных моделей, которые могут быть использованы для анализа производительности и возможных путей реализации системы.

Для понимания функций IDEF служит следующий принцип:

Что6ы перейти к динамической модели необходимо интерпретировать IDEF-модель.

Для документов определяются атрибуты: идентификатор, тип, размер, время поступления в систему.

Для ресурсов определяются атрибуты: идентификатор, тип, скорость, стоимость, начальное и конечное время использования.

Для функций определяется продолжительность выполнения.

Метки входных дуг определяют тип входных документов. Метки дуг механизмов определяют тип ресурсов. Метки выходных дуг определяют: вес, время задержки, тип документов.

При проектировании и анализе бизнес - процессов используется методология IDEF0, которая легко изучаема, поскольку содержит всего лишь несколько базовых элементов и основана на широком использовании графики. Графическое представление, иерархический подход и простота изучения позволили широко использовать эту методологию в целях анализа бизнес - процессов, на ранних стадиях разработки программного обеспечения для крупных проектов Европейского аэрокосмического агентства (Columbus), в качестве федерального стандарта США и как стандарт IEEE, FIPS, ISO.

Инструментарий Design/IDEF хорошо подходит для моделирования рабочих потоков и документооборота в страховых компаниях (модель процесса вычисления квот для различных категорий страховых полисов), в банках для моделирования обработки чеков, для изучения путей увеличения пропускной способности процесса обработки или для оптимизации работы парка машин, предназначенных для перевозки чеков из отделений банка в шифровальные центры для дальнейшей обработки. Уникальный проект использует эту методологию по управлению программой ядерных отходов. Агентство, отвечающее за размещение отработанного ядерного топлива и высокорадиоактивных ядерных отходов, используя этот проект, определяет возможности приемки, транспортировки и хранения ядерных отходов и начать подготовку для размещения отходов в геологическом репозитории в 2010 году.

Примеры использования надежных технологий управления

Информатизация налоговых служб

Современное налоговое законодательство содержит в себе огромный объем документов и законодательных актов, которыми необходимо владеть налоговому инспектору. Отчетная документация налогоплательщиков, представляемая ими по окончании отчетных периодов включает большое количество отчетных форм, которые необходимо проанализировать и проверить правильность исчисления налогов. Эта задача информатизации сложной системы с внешними связями и сложной внутренней структурой, которая должна функционировать в изменяющемся временном и законодательном пространстве и быть адаптированной ко всяким изменениям.

В основе решения данной задачи лежит объектно-ориентированный подход и комплексное рассмотрение всех проблем, позволяющий осуществить следующие функции:

· разработка компьютерной информационной технологии функционирования районных отделений налоговой инспекции;

· разработка комплекса анализа и прогнозирования экономического состояния региона;

· разработка интегрированной электронной базы данных налоговой полиции и налоговой инспекции;

· систематизация управления налоговой инспекции;

· пооперационный подход и внедрение четкого внутреннего разделения труда;

· калькуляция затрат на функционирование;

· определение методологии работы налогового инспектора;

· использование созданных технологий для процесса обучения сотрудников налоговой инспекции.

Технология использования электронных денег

Примером использования устойчивых и надежных информационных технологий в управлении может служить система VeriSmart, предоставляющая удобную и практичную систему использования смарт-карт. Это открытая система, являющаяся программно зависимой, работающая со многими клиентскими приложениями, от VeriFone Personal ATM до smart-phones и set-top-boxes, предоставляющая доступ к большому количеству различных приложений для работы со смарт-картами. Система не связана одной схемой работы со смарт-картами, единственным платежным приложением или стандартной конфигурацией оборудования. Модульная технология client-server системы VeriSmart облегчает установку системы и предоставляет свободу управления отличной программой смарт-карт, как для домашнего, так и для делового применения.

Согласно статистическим данным и прогнозам специалистов в 2000 году в применении находилось более $3.1 млрд. смарт-карт, а уже к 2005 году по всему миру ожидается увеличение объема транзакций по смарт-картам до $1.6 млрд. Такого рода рост показывает, что смарт-карты должны работать в двух направлениях. Во-первых, смарт-карты предоставляют пользователям высоконадежную, безопасную и практичную систему. Во-вторых, финансовые учреждения получают экономическую прибыль, экономят деньги, уменьшая необходимое количество наличности, получая большую защиту от краж.

Технология использования электронных денег VeriSmart предлагает новейшие приложения от проведения банковских операций в режиме “online” до совершения покупок в сети Internet и, при необходимости, возможность произвести upgrade.

Надежность использования технологии смарт-карт позволяет применить их в различных сферах деятельности. Во Франции банками уже выпущено более 20 млн. смарт-карт, которые применяются для дебитных и кредитных платежных операций, а также для оплаты разговоров в телефонах-автоматах. Более 80 млн. граждан Германии вскоре получат смарт-карты, содержащие информацию по медицинскому страхованию держателя. В Юго-Восточной Азии правительства Сингапура и Малайзии запускают в действие многоцелевую программу, основанную на технологии смарт-карт, объединяющую в себе схему электронного кошелька с программой скидок и привилегий, телефонную карточку и многое другое.

Открытая система VeriSmart является программно зависимой и основана на использовании промышленно-стандартизованных протоколов. Она способна работать с большим числом приложений для клиентов и продавцов, предусмотрено объединение в компьютерную хост систему.

Ниже перечислены некоторые характеристики системы, которые позволяют быстро реагировать на изменения рынка смарт-карт:

· Открытая/Интероперативная Архитектура, работающая как с Windows NT, UNIX и другими платформами. Таким образом, VeriSmart может быстро реагировать на изменения рынка, быстро и легко добавляя или изменяя смарт-карт программы;

· Гибкость/независимость карт-схем: VeriSmart поддерживает многоцелевые приложения и способен виртуально работать с любыми карт-схемами; Mondex, VisaCash, Proton и другими. Это делает обслуживание более удобным;

· Надежность и совместимость работы приложений/решений: VeriSmart может не только поддерживать работу огромного спектра пользовательских приложений, но может также быть внедренной и абсолютно совместимой с backend host системами и сетями.

Поэтому VeriSmart представляет собой гибкое программное решение для управления смарт-карт программами. Надежность приложений обеспечивается простой в установке, легкостью и доступностью в применении, элементарностью усовершенствования.

Аналогичные системы, как правило, более сложные и дорогие. Ведь только upgrade такой системы может потребовать замены операционной системы, повторной установки всех приложений, а нередко это грозит и перевыпуском смарт-карт, переподготовкой и переориентацией баз, как производителей, так и клиентов.

Надежность применения VeriSmart позволяет объединить в себе усовершенствованные и надежные методы защиты для обеспечения полной безопасности проведения финансовых операций и передачи конфиденциальной информации. Для идентификации промышленных и персональных электронных ключей VeriSmart использует эллиптическо-инкриционный изменяющийся алгоритм. Таким образом, передача данных приложения между сервером VeriSmart и host компьютером надежно защищена.

Технология VeriSmart может быть интегрирована практически в любое электронное приложение и позволяет использовать смарт-карты с помощью смарт-карт - совместимых домашних персональных компьютеров, сетевых компьютеров, смарт-телефонов, пейджеров, set-top boxes, предназначенных для использования смарт-карт с использованием телевизора и др.

Примеры приложений, использующих методологию Workflow:

· Процедуры, связанные с кадровой работой;

· Документооборот;

· Требования по расходам;

· Покупки;

· Управление проектами;

· Информационный центр;

· Стандарты качества, например, ISO9000;

· Процедуры, связанные с обслуживанием клиентов.

Указанная методология Workflow может также использоваться и на правительственном уровне, а именно в виде приложений для центрального правительства:

· Служба занятости;

· Декларация о доходах;

· Рассмотрение апелляций;

· Обработка жалоб;

· Возмещение убытков.

Местные администрации могут использовать методологию Workflow для следующих целей:

· Выдача разрешений/лицензий;

· Продажа жилого фонда (право на покупку);

· Специальные требования;

· Ссуды на реконструкцию старых зданий;

· Контракты с поставщиками;

· Сбор задолженностей.

Ниже приведен список приложений, связанных с финансовой и юридической деятельностью.

· Финансовые услуги:

* Обработка требований по кредитам;

* Обработка страховых исков;

* Передача заложенного имущества;

* Пересылка пенсий.

· Профессиональный сервис:

* Аудиторское планирование;

* Апелляции, связанные, связанные с арендной платой и местными налогами;

* Передача собственности -- нотариальное оформление актов о передаче имущества;

* Судебные процессы.

Надежные технологии системы обязательного медицинского страхования (ОМС)

Взаимозаменяемые (интероперабельные) карты на микропроцессоре Smart Card в силу их специфических характеристик гибкости и защищенности применяются в медицинских телекоммуникационных службах.

Использование Smart Card в ОМС

Можно выделить три главных направления телекоммуникации здравоохранения, входящих в стратегический план Информационной системы здравоохранения Европы:

· определение и выработка способов обмена и управления потоком информации, содержащейся в “мультимедийной карте” пациента;

· развитие телекоммуникационных предложений, которые увеличивают количество информации для лечащих врачей, для диагностики, лечения и управления службами, действующими как в интересах пациента, так и контролирующих органов;

· телемедицина для помощи пациентам, находящимся в условиях изоляции; выдача информации, касающейся профилактики и распознавания опасных заболеваний как гражданам, так и медицинским специалистам.

Межнациональное взаимное использование медицинских карт может быть достигнуто благодаря наличию общих характеристик и соответствия существующих стандартов, позволит улучшить работу всех участников обязательного медицинского страхования (граждан, медицинских работников, медицинской администрации и заинтересованных промышленных предприятий).

Применение в системе ОМС автоматизированной системы обработки информации с использованием "Евро-Рус-карт" предполагает привлечение и участие пациентов, страховых медицинских организаций системы ОМС, фондов ОМС, лечебно-профилактических учреждений (амбулаторных и стационарных), научно-исследовательских и учебных медицинских учреждений, аккредитованных медицинских ассоциаций, медицинских операторов (врачей и фармацевтов), органов управления здравоохранением, органов исполнительной власти.

Автоматизированная система обработки информации ОМС

Новая система медицинского обслуживания населения на основе автоматизированной системы обработки информации (АСОИ) базируется на следующих технологиях:

· Технология обеспечения полной и достоверной медицинской информации о пациенте, хранимой в базах данных лечебно-профилактических учреждений;

· Технология работы медицинских учреждений и их интеграция с другими социальными фондами и службами;

· Технология системы информатизации здравоохранения;

· Технология экономических методов управления медицинскими учреждениями;

· Технология телекоммуникационной связи между медицинскими операторами.

Необходимо рассматривать систему информатизации здравоохранения как часть единого информационного пространства и перепроектировать ее «снизу вверх» с непосредственным вовлечением медицинских учреждений, учитывая организационную, административную, имущественную, бухгалтерскую, управленческую и техническую автономию. Система контроля над управлением позволит осуществлять сбор данных о стоимости медицинских услуг и о деятельности медицинских учреждений.

Логическая модель АСОИ должна быть выполнена через стандартизацию и интеграцию способов получения аналитической информации, касающейся предоставления медицинских услуг, перестройку и нормализацию существующего информационного фонда (центральная, территориальная, районная и местная базы данных здравоохранения) и выдачу информации для облегчения количественного и качественного анализа расходов, явлений эпидемиологического характера, внедрение новых инструментов и методологий для активных действий органов ОМС и здравоохранения.

Своевременная и контролируемая информация о фактах, влияющих на стоимость системы здравоохранения, облегчает действия и повышает квалификацию механизмов контроля за расходами и упорядочению деятельности медицинских структур. Достижение этой цели осуществляется путем реализации оперативных проектов, касающихся центральных систем информатизации, таких как:

· аналитический учет всех оказанных услуг;

· автоматизации информации, касающейся движения средств;

· упорядочение балансов и смет медицинских учреждений;

· анализ основных данных показателей;

· сбора информации для принятия решений;

· определения бюджета расходов по услугам и расходов в расчете на одного человека;

· нормализованная система управленческих отчетов.

Надежная технология автоматизированной системы обработки информации ОМС позволяет определить бюджет расходов на медицинские услуги в расчете на одного человека, инвестиционный бюджет, рациональное распределение финансовых ресурсов и обеспечит постоянный контроль за динамикой расходов на здравоохранение.

Данная система медицинского обслуживания, должна быть реализована при помощи:

· раздачи медицинских карт обслуживания граждан -- "Евро-Рус-карт";

· создания телекоммуникационных связей между структурами и операторами, что обеспечивает циркуляцию медицинской информации и возможность получения сведений, касающихся важных фактов, имевших место в прошлом и находящихся в памяти местных сетей;

· создания телекоммуникационных связей между службами скорой и неотложной помощи;

· рационализация информатизации и доступ в Центры предварительной записи;

· интеграция с системами оплаты других услуг (коммунальные платежи и др.).

Распространение "Евро-Рус-карты" как средства идентификации и допуска к получению услуг в системе ОМС должно значительно упростить доступ гражданина к основным медицинским службам для получения наиболее эффективной медицинской помощи, а в перспективе -- доступа к ряду других служб.

Использование в системе медицинского обслуживания "Евро-Рус-карт" позволяет:

· четко идентифицировать пациента;

· защитить личную информацию путем кодирования;

· оказать медицинскую консультацию;

· осуществить предварительную запись для получения определенных услуг;

· предоставить связь со службой скорой и неотложной помощи.

Система использования “Евро-рус-карт” позволяет там, где нет препятствий технологического, административного и правового порядка предоставить возможность доступа в систему оплаты (банковские расчеты), в систему страхования и службы местных организаций.

Эта карта является связующим звеном между населением, гражданами и оказанием медицинских услуг, обеспечивает им быстрый и уверенный доступ к информации и дает руководителям возможность эффективного и рационального контроля за реализацией функций, касающихся управления ресурсами и оказания медицинских услуг.

Получение в реальном времени медицинской информации (о предписаниях, предварительной записи, оказанных услугах) по телекоммуникационной сети АСОИ с применением медицинской карты и активизация систем мониторинга, позволяют осуществлять эффективный контроль качества медицинских услуг.

Рационализация существующей информационной и технологической инфраструктур должна быть направлена на:

· создание нового центрального нормализованного банка данных здравоохранения;

· доведение этих данных до региональных периферийных структур нижнего уровня (медицинские учреждения);

· организацию сбора данных, касающихся оказания амбулаторных, диагностических, специализированных, фармацевтических, больничных и др. услуг;

· облегчение оформления документации, требуемой медицинскими органами (полугодовые отчеты, межтерриториальные компенсации и т.д.);

· развитие проектов по медицинским картам, системам взаимосвязи, многофункциональности периферийных структур;

· создание прочной основы для комплексной реализации системы информатизации здравоохранения.

Архитектурная модель АСОИ позволяет организациям, вовлеченным в новый процесс информационной автоматизации в здравоохранении, сотрудничать между собой и с органами ОМС и органами здравоохранения.

Таким образом, телекоммуникационная сеть между компьютерами, установленными в органах обязательного медицинского страхования и медицинских учреждениях, соединенная с "Евро-Рус-картами", образуют комплекс информационных технологий управления, на которых базируется вся технологическая перестройка системы информатизации здравоохранения.

При использовании существующих и перспективных телекоммуникационных сетей при создании системы необходимо уделить особое внимание безопасности и защищенности передачи данных, применяя те же критерии, что и в информационной сети, используя при этом возможности карты на микропроцессоре.

Автоматизация потоков информации, поступающая от медицинских учреждений при помощи телекоммуникаций, явится первым шагом к упрощению управления, даст возможность осуществить более действенный контроль и облегчить взаимосвязь со всеми заинтересованными организациями. Все данные будут автоматически заноситься в создаваемый архив данных с тем, чтобы можно было получить ранее сделанные анализы и другую информацию, нужную органам обязательного медицинского страхования.

АСОИ улучшает качество предоставляемых учреждениями здравоохранения услуг населению; повышает обеспеченность процесса лечения современными лекарственными средствами и лечебными процедурами, в перспективе изделиями медицинского назначения; повышает уровень обеспеченности лечебных и профилактических учреждений диагностической и медицинской аппаратурой; обеспечивает полную и объективную информацию о качестве и полноте диагностики, профилактики и лечении заболеваний, профессиональном уровне медицинского персонала, о соответствии уровня подготовки и переподготовки кадров в соответствии с современными требованиями, формирует базы для лечебно-профилактических и фармацевтических учреждений.

Надежная реализация требований нормативных баз обеспечивается архитектурой АСОИ, структурой взаимодействия в системе ОМС и выбором вычислительных средств и протоколами взаимодействия и доступа к информации, а также требованиями к защите информации.

Рассмотренные методы структурирования процессов (IDEF) и обеспечения надежных потоков (Workflow) в комплексе с рассмотренными ранее методами достижения надежности с использованием базы интеграции процессов в информационных технологиях управления создают предпосылки для комплексного понимания сущности надежности АС, гарантирующих заданные свойства процесса менеджмента.

Однако процессы развития элементной и системной надежности существенно влияют на изменения методов достижения надежности и должны быть постоянно в поле зрения менеджера и взаимодействующих с ним администраторов АСУ.

Для этой цели необходимо осуществлять систематический контроль за такими системами.

Программное обеспечение как надежная система технологий управления

Назначение любой вычислительной системы - решать задачи. Для каждой задачи это означает - выполнить работу (в частности, вычислить значения некоторых величин), определяемую программой решения этой задачи при условии, что входные величины имеют заданные значения.

Сам вычислительный процесс представляет собой сложную систему управления с многочисленными контурами управления. Рассмотрим контур, который представляет собой программу. В каждой программе можно выделить конструктивные средства, выполняющие основное назначение программы, и управляющие средства - средства, обеспечивающие эффективное исполнение конструктивных средств.

В реальных системах часть управляющих функций выполняет операционная система. Тем не менее, и в программе всегда есть управляющие средства. Примером таких средств являются операторы переходов, операторы цикла и т.п. Конечно, целью программы является получение результата решения задачи, но в реальных условиях достоверность полученного результата (даже, если он получен) может быть разной, да и требования, которые предъявит программа к ресурсам (время, стоимость и т.д.) в процессе выполнения могут оказаться чрезмерными,

Поэтому, рассматривая программу как систему управления, можно сформулировать такие цели управления:

· повышение достоверности результата при ограничениях на время выполнения программы, на стоимость решения, на конфигурацию внешней памяти и т.п.;

· снижение времени решения при приемлемом уровне достоверности ;

· снижение стоимости решения задачи при заданных границах времени выполнения программы, достоверности результата и т.д.

Такая система управления схематично показана на рис. 4.11.



Рис. 4.11. Модель программы

N - внешние воздействия X - входные величины Y - результат R - конструктивные средства	S - управляющие средства M - модель результата A - блок выбора реакции C1, C2 - управляющие воздействия

Рассмотрим внешние воздействия N, показанные на схеме. Они могут быть запланированными или неожиданными.

Внешние воздействия могут быть разного происхождения:

· от технических средств;

· от человека (оператора);

· из других программ (подпрограмм);

· вводимая в динамике выполнения информации.

Внешнее воздействие будем называть корректным, если значение его принадлежит ареалу - заранее оговоренному множеству допустимых значений - и поступает оно в программу в оговоренное время. В противном случае воздействие будем называть некорректным. Аналогично, и значения входных величин могут быть корректными и некорректными.

Понятно, что проникновение в программу некорректных значений, будь то внешнее воздействие или входная величина, чаще всего приводит к неправильному функционированию программы, к неправильному результату. Поскольку программа обычно входит в состав комплекса программ, то полученный некорректный результат становится некорректным входным значением и т.д., что может вызвать цепную реакцию неверных результатов и привести к тому, что действия системы станут непредсказуемыми. Можно привести много реальных примеров такого типа; неудача при первом запуске американского исследовательского корабля на Венеру, когда пришлось взорвать этот корабль из-за серьезного отклонения от курса; смертные случаи из-за ошибок в медицинском программном обеспечении; авиакатастрофы из-за ошибки одной из программ комплекса проектирования самолета; уничтожение 72 французских шаров-зондов с измерительными приборами (из 115 запущенных) из-за того, что была послана не та команда управления и т.п. Перечень таких примеров может быть продолжен, хотя не всегда, конечно, ошибки приводят к таким серьезным последствиям.

Застраховаться от таких ситуаций можно только повышением надежности всего вычислительного процесса и, в частности, программного обеспечения.

Позже мы рассмотрим методы повышения надежности программ и покажем целесообразность введения дополнительных контуров управления для достижения этой цели.

Заметим, что для рассмотренной схемы управления можно пренебречь разницей между входными величинами и внешними воздействиями, так как и те, и другие представляются для программы некоторой информацией, подлежащей анализу и/или обработке (случай, когда внешние воздействия искажают саму программу, здесь не рассматриваем). Поэтому, для удобства изложения мы иногда будем говорить о входных значениях, имея в виду и те, и другие.

Рассмотрим управляющие средства контура. Они осуществляют управление программой, олицетворяя и обратные связи в программе.

М - модель результата. Здесь проверяется, соответствует ли результат работы средств R спланированной ранее модели, например, удовлетворяет ли он условию 0 Y 1.

Для того, чтобы модель могла функционировать, в программе должны быть средства измерения результата, обеспечивающие обратную связь, и средства сравнения.

А - блок выбора реакции. В зависимости от результата, выдаваемого моделью, выбирается тот или иной метод воздействия на ход выполнения программы.

Реализация выбранного метода управляющего воздействия показана блоками С1, С2. Таких блоков в сложных случаях может быть больше, но в каждый конкретный момент может выполняться только один из них.

Управляющее воздействие может заключаться в передаче управления тому или иному участку программы (иначе говоря, к изменению значений счетчика адреса команд), в изменении значения какой-то переменной величины (чаще всего - логической), в формировании той или иной конструкции. В отдельных случаях это может быть и сообщение оператору.

Простейшим примером управляющего средства может служить оператор 1F. Например, 1F (Х=1) ТНЕN GО ТО А, ЕLSЕ В:=1

Здесь роль блока М играет вычисление предиката (Х=1), блок А определяет, какой из путей THEN или ЕLSЕ выбрать, а управляющие воздействия: GO TO A и B:=1. Как уже говорилось, целью программы, как системы управления может быть повышение достоверности результата или, по крайней мере, достижение приемлемого уровня достоверности. Для этого программа должна иметь достаточно мощные управляющие средства, обеспечивающие кроме измерения нужных характеристик, выбора и реализации управляющих воздействий, еще и повышение надежности программ.

Само выражение "повышение надежности" предполагает знание того, что такое надежность и как ее измерить (чтобы убедиться, что надежность повысилась). К сожалению, единой точки зрения на надежность программы и способы ее измерения пока нет.

Надежность программ. Разные подходы

Вопрос определения и повышения надежности программ приобретает в последнее время особую важность в связи с возросшим уровнем сложности применения ЭВМ.

В подходе к проблеме надежности программ иногда ориентируются на применение основных положений теории надежности аппаратуры к программам. Вводится понятие отказа программы - это ошибка в программе, вызывающая неправильное функционирование программы в каких-либо условиях. Соответственно может рассматриваться наработка на отказ, время восстановления т.д.

Надо, однако, представлять себе разницу между аппаратурой и программой, которая заключается, прежде всего, в том, что аппаратура отказывает с определенной вероятностью, даже если она не функционирует; программа же не изнашивается, поломка программы невозможна. Практически не влияют на функционирование программ и производственные дефекты (например, ошибки копирования системы во время ее переноса), так как они редки, быстро обнаруживаются и легко устраняются. Ошибки в программах проявляются как систематические и далеко не случайные. Кроме того, в разных применениях одна и та же программа может демонстрировать различную интенсивность отказов, что вызывает серьезные трудности при попытке использовать методы теории надежности аппаратуры для анализа надежности программного обеспечения.

Существует и другой подход, ориентированный на анализ структуры программы с учетом специфики ее применения. Важную роль при таком подходе играет управляющий граф программы. Управляющий граф (граф переходов) программы определяется как ориентированный граф, вершины которого соответствуют одному или нескольким операторам этой программы, а дуги отражают возможности передач управления между соответствующими операторами.

Управляющий граф программы является моделью этой программы, отражающей логику выполнения этой программы, сложность ее функционирования при любых значениях исходных данных. Изучение управляющего графа позволяет понять закономерности поведения программы в динамике, позволяет обнаружить многие некорректности в программе, позволяет преобразовать программу с целью ее оптимизации. Управляющий граф является основой для определения стратегии тестирования программы, ее анализа, отладки.

В литературе можно встретить различные определения надежности программ. Одну группу определений можно свести к такому определению: надежность программы есть качество ее отладки или число оставшихся в программе ошибок.

Вторую группу определений подытоживает определение, приводимое Г.Майерсом: Надежность программного обеспечения есть вероятность его работы без отказов в течение определенного периода времени, рассчитанная с учетом стоимости (важности) для пользователя каждого отказа.

Наличие таких различных подходов, как к самой проблеме надежности программ, так и к определению надежности, неизбежно демонстрирует, что это - понятие не простое, включающее различные аспекты.

Надежная программа должна обладать двумя основными свойствами:

1. Программа должна правильно функционировать при корректной внешней среде. Мы подразумеваем, что задание на проектирование программы оговаривает, что такое правильное функционирование и для какой внешней среды (это и значения входных величин, и параметры управляющих программ, операционной системы, виртуальной и реальной машины, и внешние воздействия и т.п.) должно быть обеспечено это правильное функционирование. Естественно, оно должно быть обеспечено и для конструктивных средств программы и для управляющих средств.

Такое свойство программы назовем безошибочностью.

Естественно, добиться абсолютной безошибочности программы не представляется возможным. Поэтому по отношение к такому свойству, как безошибочность, можно говорить о количестве оставшихся в программе ошибок (еще не обнаруженных); заметим, что существуют методы, позволяющие оценить это количество. Соответственно, можно говорить об уровне безошибочности.

2. Программа должна однозначно реагировать на некорректную внешнюю среду. Для каких-то случаев она должна продолжать функционирование (отметив, что столкнулась с некорректностью), для каких-то должны быть выбраны обходные пути, для каких-то может быть выбран путь снижения производительности (деградации). В каких-то случаях программа может прекратить выполнение, но в любом случае не должно быть непредсказуемого поведения, все отклонения от нормы должны быть заранее предусмотрена, недопустимо распространение некорректностей в другие программы.

Такое свойство программы назовем помехоустойчивостью.

Таким образом, можно говорить о двух видах причин, снижающих надежность функционирования программы.

Во-первых, внутренние причины, ошибки в конструктивных средствах программы, приводящие к нарушению правильности, к тому, что при некоторых корректных значениях входных величин (включая и внешние воздействия) программа либо выдает неправильный результат, либо вообще не завершается. Иначе говоря, снижается уровень безошибочности программ.

Во-вторых, внешние причины, недостаточная защита от некорректных значений входных величин и внешних воздействий. Строго говоря, это можно считать ошибками в управляющих средствах программы, снижающими помехоустойчивость программы, достоверность получения правильного результата.

В соответствии с этим, повышение надежности программы связано либо с повышением уровня безошибочности программы, либо с повышением уровня помехоустойчивости, либо и с тем, и с другим. В дальнейшем мы рассмотрим методы повышения надежности именно с этих позиций.

Технологии повышения безошибочности программ

Методы повышения безошибочности программ можно разделить на две группы: методы, применяемые при проектировании и кодировании программ, и методы, применяемые при отладке готовой программы.

К первой группе методов относятся, в частности:

· использование принципов модульного программирования;

· использование принципов структурного программирования;

· применение языков высокого уровня;

· повышение уровня непроцедурности программы;

· методы синтеза программ по спецификациям и методы автоматического доказательства программ.

Цель всех этих методов - предупредить ошибки, не допустить появления ошибок в готовой программе. Совершенно ясно, что предупреждение ошибок самым серьезным образом повышает вероятность правильности программ. Специалисты называют разные цифры стоимости нахождения, и исправления ошибок в программе в зависимости от времени их обнаружения. Обычно утверждается, что раннее обнаружение дешевле в 10 и более раз.

Но какими бы методами проектирования ни пользовался программист, невозможно гарантировать безошибочность спроектированной только что программы. Программа должна обязательно пройти и этап отладки, в результате которого вероятность правильного функционирования программы окажется выше. Ко второй группе методов повышения безошибочности программ относятся разнообразные методы отладки.

Здесь мы не рассматриваем организационные методы руководства разработкой программного обеспечения, хотя их влияние на надежность создаваемых программ может иногда оказаться решающим.

Технологии, применяемые при подготовке программы

· Модульное программирование предполагает, что программа разбивается на отдельные части-модули, причем разбиение должно в той или иной мере удовлетворять требованиям, среди которых отметим:

· ограничение размера модуля (обычно, в пределах 20-100 операторов);

· семантическое выделение в отдельные модули (неформальная функционально-структурная декомпозиция);

· относительная независимость модуля. Связи между модулями как по управлению, так и по информации должны быть минимальными.

Однако нельзя слишком строго следовать принципам модульности, иначе это может привести к слишком большим накладным расходам. Важнейшую роль в модульном программировании играют интуиция и опыт программиста.

Хорошая модульная программа имеет высокий уровень безошибочности потому, что связи между модулями достаточно просты и могут быть прослежены за столом. В то же время исправление ошибки в одном из модулей не должно по возможности приводить к корректировке других модулей.

Очень важно уметь использовать в программе стандартные модули (подпрограммы). Эти модули заранее отлажены, опробованы в разных применениях и, следовательно, содержат меньше ошибок, чем написанные специально для этой программы.

Можно сказать, что модульное программирование понижает сложность разрабатываемой программы, представляя ее в виде совокупности менее сложных модулей с несложными связями между ними. Тем самым упрощается анализ программы, поиск ошибок в ней и модификация.

Обычно программа разделяется "географически", т.е. модуль создается из операторов, компактно расположенных в программе. Однако, если привлечь технику получения остаточных программ и методы вертикального слоения, можно создавать модули и по другим (более функциональным) принципам.

Разделение на модули предполагает максимальную независимость модулей путем усиления внутренних связей в каждом модуле (повышения прочности модулей) и ослабления связей между модулями (и по данным и по управлению), применяя формализованный механизм передачи параметров. Вот какую цель формулирует академик А.П.Ершов: "Нам надо научиться очень тщательно и доказательно писать небольшие программы и в то же время уметь быстро, уверенно и безошибочно монтировать огромное комплексы программ из полуфабрикатов”.

Структурное программирование - это технология программирования, в которой разрешено использование только трех видов конструкций: последовательность, выбор, итерация.

Конструкции в программе могут комбинироваться друг с другом так, как этого требует программа. Всякая программ, построенная в терминах этих конструкций, может быть постепенно преобразована в одну из этих конструкций. Так реализуется идея вложенной структуры, являющаяся важной в структурном программировании.

Программа, построенная таким образом, является модульной в строгом смысле слова. Потому что, основное в модульном программировании - это возможность замены отдельного модуля его эквивалентом без последствий в остальной части программы.

Принципы структурного программирования реализованы во многих языках программирования. При программировании должны использоваться либо обычные конструктивные операторы для выполнения в линейном порядке, либо перечисленные ранее управляющие средства выбора и повторения.

Структурные программы обладают многими свойствами, облегчающими поиск ошибок. Тем самым повышается надежность программ. Значение структурного программирования не исчерпывается сказанным. По сути, это - дисциплина программирования, представляющая собой, постепенное превращение программирования из ремесла в науку. Наиболее очевидная выгода - рост производительности и уменьшение процента ошибок.

Языки высокого уровня позволяют готовить программу в терминах более соответствующих самой задаче. При программировании на языке высокого уровня не надо учитывать специфику реализации, не надо (или почти не надо) заботиться о распределении ресурсов. В процессе программирования усилия сосредотачиваются на анализе конструктивных средств программы, на связях между ними, на формировании более сложных конструкций. Разные языки высокого уровня предоставляют разные возможности по созданию правильных программ, но в любом случае эти возможности выше, чем в языках типа Ассемблера.

Основные параметры, по которым можно сравнивать языки высокого уровня, с целью выбрать "более надежный" - читабельность подготовленных программ и отсутствие особенностей языка, провоцирующих ошибки.

Непроцедурность программ позволяет уйти от подобного (а значит, чреватого ошибками) расписывания последовательности действий для выполнения того или иного фрагмента программы. Непроцедурное программирование фрагмента означает задание спецификаций входа и выхода этого фрагмента без указания алгоритма преобразования. Иначе говоря, программист оговаривает, ЧТО НАДО СДЕЛАТЬ, не указывая КАК НАДО СДЕЛАТЬ. Реализация фрагмента по его спецификациям выполняется автоматически. Сама программа при этом не меняется. Примером метода повышения непроцедурности может служить использование макросредств - механизма получения открытых подпрограмм, настроенных на значения параметров. Другой пример - использование объектно-ориентированных языков. Предварительная и независимая отлаженность стандартных алгоритмов, привлекаемых для расшифровки спецификаций, позволяет повысить безошибочность подготовленной программы.

Методы синтеза программ и автоматического доказательства их правильности ориентируются на формальные методы, которые позволили бы получать безошибочные, абсолютно правильные программы. По-видимому, построить практическую технологию создания произвольных абсолютно правильных программ невозможно. Но для некоторых классов программ такие исследования ведутся. Тем не менее, в ближайшее время нельзя ожидать реальных синтезаторов и верификаторов для сколько-нибудь практического применения.

Технологии отладка программ

Одна из аксиом программирования гласит: Любая нетривиальная программа содержит хотя бы одну ошибку. Практика показывает справедливость этой аксиомы. Как бы хорошо ни была подготовлена программа, какие бы методы ни применялись при построении программы, следует исходить из "презумпции виновности".

Для обнаружения и устранения ошибок выделяется целый этап - отладка программ. Большинство специалистов считают, что отладка (вместе с тестированием) занимает 50% времени разработки программ.

Цель отладки - изменить программу таким образом, чтобы она была в состоянии решить запланированную задачу.

В процессе отладки можно выделить следующие этапы: тестирование, анализ, внесение изменений. Эти этапы повторяются многократно до тех пор, пока не будет принято решение о прекращении отладки и передаче программы в эксплуатацию.

Цель тестирования - продемонстрировать, что ошибка в программе есть, так что, если результат прогона какого-либо теста совпадает с предполагаемым результатом, считается, что цель тестирования не достигнута. При тестирований может выполняться не вся программа, а только ее часть - от одной заданной точки программы до другой. Существенным для тестирования является построение тестовых наборов, то есть тех значений, которые являются кодами для тестирования.

Само тестирование разделяют на три фазы: составление (генерация) тестовых наборов, выполнение программы на этих наборах, оценка результатов выполнения программы. Для простых случаев все три фазы выполняются "вручную", без машины. Но серьезное тестирование должно, конечно, включать в себя работу на машине. К сожалению, в общем случае полную систему тестовых наборов построить автоматически невозможно.

Хотя цель тестирования - констатация наличия ошибки, тем не менее, цель выполнения каждого отдельного тестового задания - получить корректный результат. Для этого, если результат оказался некорректным, а это определяется анализом результата - следующим этапом отладки, то выполняются какие-либо изменения, направленные на устранение обнаруженной некорректности.

Представим отладку программы в виде контура управления, в котором объектом управления является отлаживаемая программа Р. Целью такой системы является повышение уровня безошибочности программы.

На схеме, представленной на рис. 4.12, субъект управления представляет собой отладочные средства, включают кроме программ еще и человека, выполняющего многие неформализованные действия.

Рис. 4.12. Схема отладки

Т- это задание на тестирование, включающее, естественно, и тестовый набор. Блок М определяет корректность выполнения тестового задания, блок А определяет причину некорректности, блок С осуществляет целенаправленное изменение. Изменение может быть направлено на программу Р, (с тем, чтобы добиться корректного выполнения тестового задания или включить в программу инструментальные вставки - счетчики, команды печати, команды прерываний и т.п. - для облегчения последующего анализа) или на само тестовое задание (если ошибка обнаружена в задании), или на порядок выполнения тестовых заданий (если задание уже выполнилось корректно или полученных результатов недостаточно для определения причины некорректности).