Их отношение можно записать[93]:

(1.4)

Пусть количество ошибок за время t - N(t). Предположим, что ошибки устраняются по мере обнаружения. За основу возьмем экспоненциальную модель. Предполагается, что количество найденных и исправленных ошибок пропорционально количеству существующих ошибок.

Можно показать, что ?₁ определяется как:

, (1.5)

где S - количество инструкций в коде, Q - количество объектных инструкций в каждой инструкции кода и r - уровень выполнения инструкции компьютером k - называется коэффициентом подверженности ошибкам и меняется от 1x10^-7 до 10x10^-7, t измеряется в секундах выполнения процессорного времени.

, (1.6)

где N(0) начальное количество ошибок, общее количество ошибок за время t:

, (1.7)

в общем случае получаем:

, (1.8)

где b_o, общее количество ошибок, которые могут быть обнаружены равно N(0). Это предполагает, что во время отладки не делаются новые ошибки.

Выражение для интенсивности сбоев используя равенство:

(1.9)

Экспоненциальная модель легка для понимания и применения. Преимущество этой модели в том, что параметры ?₀ и ?₁ четко определены еще до начала тестирования.

SGRM может применяться при двух различных ситуациях.

1. До начала теста. Часто надо иметь предварительный план тестирования. Для экcпонентациональной или логарифмической модели можно оценить время для достижения требуемого значения интенсивности сбоев, MTTF или плотности ошибок.

Во многих случаях t должно измеряться в человеко-часах и должно быть умножено на соответствующий коэффициент, который определяется с использованием опыта предыдущих проектов.

2. Во время теста. Используя SGRM, можно оценить дополнительное время тестирования, необходимое для достижения желаемого уровня надежности.

Основные шаги использования SGRM:

1. Сбор данных. Данные об интенсивности сбоев включают множество погрешностей и «шума». Данные часто нуждаются в сглаживании. Наиболее общая форма сглаживания - это использование группировки данных. Группировка включает разделение теста на интервалы, затем рассчитывается средняя величина интенсивности сбоев на каждом интервале.

2. Выбор модели и определение параметров. Лучший способ выбора модели - это положиться на прошлый опыт проектов, использующих такую методику. Экспоненциальная и логарифмическая модели для экстраполяции параметров, используются чаще всего. Данные первых тестов содержат большое количество шума. На самых ранних стадиях тестирования параметры могут очень сильно отклоняться от реальных, и они не могут использоваться пока не будут стабилизированы.

3. Выполнение анализа о количестве дополнительных тестов. Используя подходящую модель, мы можем оценить количество необходимых дополнительных тестов для достижения определенного уровня интенсивности сбоев. Из этого рассчитывается минимальное время, которое необходимо затратить на тестирование.

В модели SGRM предполагается, что во время тестирования используется единая методика поиска ошибок. Каждая новая стратегия изначально эффективна для поиска определенных классов ошибок, но дает «всплески» в интенсивности сбоев. Для этого надо использовать процедуру сглаживания. Большей проблемой является то, что ПО продолжает модифицироваться во время тестов. Если изменения были значительны, то приходится выбрасывать из выборки значения, полученные ранее.

Одним из важных параметров эффективности SGRM является коэффициент покрытия ошибок. Коэффициент покрытия ошибок C_d линейно зависит от С_в - коэффициента покрытия ветвлений. Коэффициент покрытия ветвления показывает, насколько эффективно были «захвачены» все возможные пути ветвления программы.

C_d= - a+bC_в, C_в>0 (1.10)

Значения параметров a и b зависит от размера ПО и начальной плотности ошибок. Преимущество использования коэффициентов покрытия в том, что они напрямую зависят от того, насколько тщательно программа исследуется. Для достижения высокой надежности ПО должна использоваться более строгая мера, такая как коэффициент покрытия предикатов. Предикаты - условные операторы, которые влияют на внутренне поведение программы.

Операционные профили тестирования

Вполне очевидно, что абсолютно полный тест некоторых компонентов ПО практически невозможно выполнить[76]. Это легко представить на примере модуля, находящего корни квадратного уравнения. Входом в модуль является вектор коэффициентов уравнения, а выходом - вектор решений. Каждый входящий элемент может принимать значения от -? до +?. Сразу сталкиваемся с тем ограничением, что компьютерные программы не «умеют» работать с бесконечными числами, т.е. при очень больших или очень малых значениях входных коэффициентов мы даже не можем вычислить решение. Другое ограничение на время тестирования - если, например, перебирать значения коэффициентов от -5000 до 5000 с шагом 0.0001, то получим, что необходимо выполнить 10³⁰ запусков модуля, что может занять несколько лет, при условии, что не будет обнаружено ошибок.

Некоторыми исследователями предлагается составлять так называемые операционные профили. Профили представляют собой таблицы, включающие информацию о диапазонах входных данных модуля и вероятности сбоя на данном диапазоне данных. Субъективные и методологические оценки процесса разработки ПО не должны отображаться в операционных таблицах данных. Конечно, класс и технологии разработчика должны учитываться при выборе компонента, но их роль должна подкрепляться точными техническими данными.

Есть два способа оценки качества ПО:

1. Компонент был признан корректным.

2. Он был действительно (случайным образом) протестирован.

Оба способа требуют формальную спецификацию того, что компонент должен делать. Утверждение того, что компонент был признан корректным - это гарантия его выполнения согласно его спецификации. Заявление, говорящее, что надежность компонента выше за одно выполнение с доверительной вероятностью 99%, означает, что не более, чем в одном из ста случаев ошибка может произойти в одном из 10 000 испытаний.

Отображения профиля. Рабочие операционные профили должны рассматриваться при занесении результатов измерений в таблицу. Так как разработчик компонента не может знать, как его продукт будет использован и, следовательно, с каким профилем он встретится, будучи частью системы, таблица данных должна рассматривать профиль как параметр. Это значит, что в ней определяется отображение профиля в параметры надежности.

Подобласти компонентов. Компонент имеет естественное разделение его входного пространства на функциональные подобласти, и практическое описание его профиля как вектора весов над этими подобластями. Такая форма профиля позволяет разработчику тестировать компонент, не зная заранее, с каким разрезом данных он может позднее встретиться.

Процесс разработки компонента и системы

В общих чертах, процесс создания и использования компонентов можно представить так:

- Разработчик компонента определяет множество входных подобластей для выполнения компонента.

- Разработчик компонента измеряет свойства компонента для каждой подобласти.

- Разработчик компонента размещает в таблице данных список подобластей компонента и надежность.

- Системный проектировщик определяет структуру системы, использующей компоненты.

- Используя таблицы предполагаемых компонентов и испытательных профилей для системы, системный проектировщик вычисляет надежность системы.

- Если нельзя достигнуть требуемой надежности системы, необходимо найти лучшие компоненты, или изменить структуру системы, а после этого повторить вычисления.

Такая идеализированная модель не применима на практике. В настоящее время не существует принципиальной теории надежности программной системы, состоящей из компонентов. Успешное теоретическое обоснование должно использовать сравнительно простую модель, но в то же время пользоваться сложившейся теорией тестирования и теорией надежности.

Рабочие профили компонент программного обеспечения

Если информация о качестве компонента в его таблице данных статистического характера, то она должна быть получена путем случайного тестирования. Профиль, предназначенный для компонента, зависит не только от входного профиля системы, но также от позиции компонента в системе и действий других компонентов. Операционный профиль можно записывать с помощью двух таблиц, содержащих отображения профиля (одна для надежности, другая для изменения профиля). Эти таблицы определяются через разделение на части входной области. Системный проектировщик может использовать эти части для вычисления надежности системы до начала ее работы.

Размер компонентов

Размер компонентов может качественно повлиять на концепцию разработки ПО, основанного на компонентах. Размер компонента во внимание не берется, кроме неявного допущения о том, что разработчик компонента протестировал компонент для подготовки его операционного профиля. ПО размером операционной системы (или даже компилятора) практически не может быть протестировано в целом, так же как не могут быть определены подходящие подобласти. Из этого следует, что такие системы должны быть построены из компонентов меньшего размера, подходящего для прямых оценок. До того, как рассматривать операционную систему в качестве компонента, нужно проанализировать ее собственные компоненты.

1.9 Выводы

Можно сделать следующие выводы:

Оценка и анализ надежности должны осуществляться на каждом шаге создания отказоустойчивого ПО.

В связи с тем, что нет единого подхода, методики и параметров для оценки надежности ПО, в настоящее время существует множество моделей и алгоритмов проверенных практически, но имеющих ряд недостатков. Основной недостаток всех моделей - «узкая специализация». Модели всегда привязаны к какой-либо одной фазе разработки ПО, а иногда имеют чисто теоретическую ценность из-за того, что в них должны быть использованы данные с других стадий разработки ПО, и авторы таких моделей отводят этому факту второстепенное значение.

Наиболее перспективным является подход, направленный на создание некоторой гибридной модели, включающей в себя все достоинства хорошо проверенных моделей и алгоритмов. Существующие модели и алгоритмы необходимо модифицировать таким образом, чтобы выходные данные одной модели стали входными для других; предусмотреть единство понимания параметров, пересчет единиц измерения, нормализацию данных и удовлетворение современным требованиям и тенденциям, например, объектно-ориентированный анализ и программирование. Необходимо использовать как можно больше априорной информации перед началом каждой фазы создания ПО, что обеспечит наиболее приемлемые и точные результаты.

2. Мультиверсионное программное обеспечение

Можно выделить три формы избыточности: аппаратную, программную, временную. Аппаратная избыточность должна предупредить отказы аппаратных средств, а программная и временная - случайные сбои. Программная избыточность включает применение специальных контрольных программ и контрольных кодов. Временная избыточность подразумевает многократное исполнение программ для отдельных функций, надежность которых должна быть особенно высокой. Как известно, концепция избыточного программирования была введена A. Авиженисом [1,63].

Мультиверсионность исполнения программных модулей подразумевает независимую генерацию N і 2 функционально эквивалентных программ (мультиверсий) в соответствии с идентичными исходными спецификациями. Для этих N версий программ предоставляются средства конкурентного исполнения, в ходе которого в назначенных точках контроля (сс-points) программами генерируются вектора сравнения (с-vectors). Составляющие векторов сравнения и контрольные точки предварительно определены еще на этапе исходных спецификаций.

2.1 Базовые элементы мультиверсионного программного обеспечения

программный мультиверсионный алгоритм

Анализируя результаты исследований последних лет в области рассматриваемой методологии, можно выявить три составляющих элемента мультиверсионного программирования, которые являются базовыми при синтезе отказоустойчивого программного обеспечения [6,7,32,42,68,77,108].

1. Процесс исходной спецификации и мультиверсионного программирования (N-version programming - NVP), который предполагает гарантию независимости и функциональной эквивалентности N индивидуальных процессов программирования.

2. Результат (мультиверсионное программное обеспечение - N-version software или NVS) NVP - процесса, для которого имеются в наличии средства конкурентного исполнения со специфицированными точками контроля и с-векторами.

3. Внешние средства поддержки исполнения мультиверсий ПО (N-version executive или NVX), которые обеспечивают исполнение NVS и предусматривают алгоритмы принятия решений в контрольных точках.

Все три элемента NVP объединены целью независимой и конкурентной генерации N і 2 функционально эквивалентных программных компонент, которые затем будут исполнены и будет принято решение о правильности функционирования ПО. В этих элементах совершенно нет необходимости в случае использования одной версии программы, таким образом, концепция NVP (как подход к созданию отказоустойчивого ПО) вводит такие новые направления исследований в области инжиниринга программного обеспечения, как NVP, NVS, NVX, определения которых мы рассмотрели.

Рисунок 2.1. Структура мультиверсионного ПО (NVS)

При анализе структуры мультиверсионного ПО необходимо отметить, что существенное отличие между многоканальными аппаратными средствами и отказоустойчивым ПО заключается в том, что простое дублирование одних и тех же элементов при проектировании является эффективным против случайных ошибок, имеющих физическую природу, в технических системах, но не эффективно при отказах ПО. Простое копирование - это также и копирование необнаруженных на данный момент («спящих») ошибок в программах, поэтому N программных компонент должны разрабатываться отдельно и независимо друг от друга, что и соответствует концепции избыточного проектирования ПО.

Можно выделить два основных направления отказоустойчивого программирования: мультиверсионное программирование - NVP и программирование с восстановительным блоком - RB. Общим является наличие двух или более избыточных компонент (в NVS они названы версиями, а в RB-подходе - альтернативами, объединенными с приемным тестом). Основное же отличие заключается в методе, с помощью которого принимается решение о результатах работы программ. Очевидно, возможны комбинации базовых схем, а также расширение функций ЕЕ-среды как для NVP-процесса (например, многоуровневый решающий алгоритм, общий или индивидуальный RB-блок для мультиверсионной программы), так и для RB - метода (например, кэш-память для восстановления программных компонент, многоуровневый иерархический приемный тест и т.д.).

Реализация восстановительного элемента в обоих методах имеет ограничение: в RB ошибки, которые не будут обнаружены приемным тестом (а такое возможно), не приведут к переключению на восстановление при функционировании ПО; в NVS переключение на восстановление будет неверным, если большинство версий предоставят ошибочный результат в точке восстановления.

Однако, наличие N > 2 версий избыточных компонент ПО еще не подразумевает устойчивость этого ПО к отказам, так как необходимо наличие среды исполнения («execution environment» - EE) для NVS. Как отдельные версии ПО, так и ЕЕ-среда должны отвечать следующим требованиям:

ЕЕ-среда должна предусматривать функции поддержки исполнения N>2 версий программных компонент в режиме контроля ошибок;

Индивидуальные спецификации версий ПО должны определять способы достижения отказоустойчивого исполнения, которые поддерживаются в ЕЕ-среде;

Наилучший исход NVP должен минимизировать вероятность необнаружения (или невозврата для RB) ошибочного исполнения мультиверсионного программного компонента в отличие от обычной программной системы.

Определив основные элементы мультиверсионного программирования, отметим не менее важные проектные этапы, которые относятся, во-первых, к спецификации версий NVS-систем ПО (с учетом требований к их дальнейшему конкурентному исполнению в EE-среде с использованием внешних средств поддержки исполнения NVX); во-вторых, к непосредственному этапу программирования, учитывая, что основное требование NVP - максимальная независимость исходов процесса и, соответственно, версий ПО; в-третьих, к созданию NVX-систем EE-среды исполнения программных компонент мультиверсионного ПО как с высокой надежностью, так и с эффективными показателями по времени исполнения, что особенно важно для использования блоков NVS-систем в ПО автономных комплексов управления, работающих в реальном времени.

Решение первой из указанных проблем основывается на применении системы спецификаций мультиверсионного ПО, названной «V-Spec», которая определяет:

- функцию, которая должна быть выполнена с учетом ограничений по времени исполнения, исходных данных и начального состояния версии ПО;

- требования по внутреннему контролю ошибок и тестированию версий модуля;

- требования по разнообразию программирования;

- контрольные точки (сс-точки), в которых решающий алгоритм NVX-среды будет применен для контроля всех версий;

- точки восстановления (r-точки), в которых осуществляется применение RB-блока для восстановления ошибочно выполненных версий ПО;

- параметры решающего алгоритма NVX-среды, используемые в каждой сс- и r-точке;

- возможные исходы исполнения в NVX-среде, включая случай, когда решающий алгоритм не способен принять решение.

Относительно NVX-систем поддержки исполнения версий можно отметить, что их основные функции должны обеспечивать следующее:

- решающий алгоритм или множество алгоритмов;

- входные последовательности данных для всех версий;

- внутриверсионную коммуникацию;

- синхронизацию исполнения версий (если позволяет аппаратно - программный комплекс) при жестких временных ограничениях;

- «локальное» управление исполнением каждой версии;

- «глобальное» исполнение мультиверсионного ПО в совокупности с решающими функциями восстановления ошибочных версий по r-точкам (локальный RB-блок в составе NVX);

- диалоговый интерфейс пользователя NVX-системы.

2.2 Жизненный цикл мультиверсионного программного обеспечения

Рассмотрим последовательно процедуры методологии мультиверсионного программирования в сравнении со стандартным ЖЦПО.

Фаза системных спецификаций - формирование NVX (NVS - супервизор)

1. Выбор способа реализации NVX-среды и распределение ресурсов.

Очевидно, что вся архитектура системы формируется на фазе системных спецификаций и, тем самым, выбирается конфигурация ПО, количество версий и способ их взаимодействия.

2. Средства поддержки сопровождения и инструментарий.

Существующие NVX-среды могут быть адаптированы и приспособлены к новым приложениям, при этом следует отметить, что NVX-среда может быть организована в виде как программных, так и аппаратных средств (возможны комбинации). Базовые функции NVX в качестве супервизора NVS включают: решающий алгоритм (или множество алгоритмов); средства обеспечения соответствия исходных состояний всех версий; межверсионное взаимодействие; синхронизацию версий и выполнение ограничений по времени; «локальный супервизор» для каждой версии; общее конкурентное исполнение и решающие функции для восстановления ошибочных версий; интерфейс пользователя для контроля, ввода команд управления, сбора информации при мультиверсионном исполнении программ.

3. Выбор структуры аппаратных средств.

Относительно этого аспекта лишь отметим, что в некоторых случаях для исполнения NVS-системы ПО, может потребоваться специально предназначенный для этих целей процессор (или несколько процессоров). Особенно это важно, если NVS применяется в системах реального времени с жесткими ограничениями. Возможна гибридная структура, включающая отказоустойчивые аппаратные средства.

Фаза выработки требований к ПО - выбор способов достижения и степени разнообразия версий ПО

На этой фазе жизненного цикла ПО главная задача - избежать совпадения способов программирования, потенциально влияя на независимость ошибок мультиверсий. Выделим три этапа выбора.

1. Распределение между случайным разнообразием и разнообразием за счет предъявления установленных требований.

Если первое соответствует персональным качествам программиста (способ мышления, программистский индивидуализм), то второе, наоборот, является формальным способом, позволяющим установить требования к языку программирования, способам обеспечения надежности и т.д.

2. Оценка требуемого разнообразия процесса проектирования ПО (по большинству фаз ЖЦПО)

Фактически имеется четыре фазы, которые способствуют разнообразию: спецификация, проектирование, кодирование и тестирование (различные языки программирования, инструментальные средства, алгоритмы, методологии).

3. Разнообразие как проектные ограничения.

Устанавливается через последний из возможных способов, который специфичен для каждой программной разработки, а типичным проектным ограничением является стоимость, строгая последовательность работ, независимость этапов и т.д.

Фаза спецификации ПО - установка определителей ошибок и алгоритмов восстановления

Спецификация версий NVS-ПО осуществляется с помощью «V-spec» [77], которые полностью устанавливают функциональные требования к модулю ПО и на этой фазе должен быть выбран и специфицирован детектор ошибок и алгоритм восстановления (с-точки, с-вектор, RB-блок). При соответствии этих параметров в каждой версии ПО необходимо стремиться избегать факторы, ограничивающие разнообразие, например, использовать различные типы «V-spec», устанавливающие одинаковые требования.

Фаза проектирования и кодирования - ведение C\D-протокола развития NVS

На этой фазе стартует мультипрограммирование конкурентных версий ПО в соответствии со спецификациями «V-spec». Определяется строгий протокол взаимодействия и документирования (C\D-протокол). Одним из положительных последствий протокола является то, что он дает достаточную совокупность деталей при поиске причин ошибочного исполнения NVS-компонента на более поздней стадии эксплуатации ПО.

Фаза тестирования - фаза предварительной эксплуатации NVS

На этом этапе при последовательном тестировании N > 2 версий может осуществляться дополнение состава ПО, если велика вероятность ошибочного исполнения за счет выдачи одинаково неверного результата большинством мультиверсионных компонентов. Здесь же возможно привлечение экспертов для определения по результатам тестового прогона «образцовой» версии ПО.

Фаза оценки и принятия - оценка отказоустойчивости NVS

Фаза сопровождения и развития - выбор и осуществление способа сопровождения NVS

Сущность фазы сопровождения NVS характеризуется следующей спецификой. Во-первых, функционально NVX-среда должна быть соответствующим образом гарантирована от сбоев и ошибок на протяжении этой операционной фазы. Критичные по надежностным требованиям части NVS-супервизора могут быть защищены путем применения мультиверсионной методологии. Аномальные ситуации, регистрируемые в процессе сопровождения, являются объектом дальнейших исследований. Во-вторых, модификация NVS-системы ПО должна следовать проектной парадигме мультиверсионного программирования. При добавлении функций ПО это может касаться как непосредственно мультиверсий, так и составных частей NVX-среды (решающие алгоритмы, приемные тесты и т.д.).

Анализ содержания указанных процедур методологии позволяет сделать заключение о том, что в настоящее время только рассматриваемый нами подход мультиверсионного отказоустойчивого программирования является возможной альтернативой методам тестирования и доказательства правильности программ, обеспечивая высокий уровень надежности исполнения критичных по сбоям и ошибкам программных компонент. Именно данная методология обеспечивает гарантию того, что ошибки одной из версий не приведут к нарушению процесса управления сложными объектами, для которых характерны жесткие требования по надежности и автономности функционирования.

Наконец, на этапе сопровождения отказоустойчивого ПО, при его развитии и модификации основное внимание направлено на разработку спецификаций «V-Spec» с использованием языков высокого уровня, что позволяет привлекать к разработке мультиверсионных компонент непосредственно специалистов по управлению и основное внимание уделять качеству требований на разработку надежного программного обеспечения. Существенным является и то, что при модификации программной системы следование парадигме мультиверсионности обязательно, причем при развитии и добавлении функций ПО это касается как мультиверсий, так и составных частей NVX-среды.

2.3 Восстановление сбойных компонент при мультиверсионном объектно-ориентированном программировании

Надежность отображает вектор профилей с элементами, находящимися в диапазоне (вероятность того, что компонент не даст сбой согласно профилю). Для того чтобы занести это отображение в таблицу данных, разработчик компонента определяет вероятности сбоя f_i внутри каждой подобласти, используя равномерное распределение.

Тогда

(3.22)

Пользуясь данной схемой (где f_i была измерена разработчиком) и профилем (h_i для проектируемой системы), системный проектировщик может вычислить R - надежность компонента при заданном профиле.

Ведение таблиц изменений профиля

Изменение профиля отображает изменение входного вектора профиля в выходной. За параметры берутся выходные подобласти. Отображение должно учитывать возможность произвольного набора выходных подобластей U₁, U₂., U_m, несвязанных с подобластями в таблице компонента. Именно такой набор будет описывать некоторый следующий компонент в системном проекте. Пусть весами, вычисляемыми для выходного профиля, будут Q=<k₁, k₁., k_m> на подобластях U_i. Каждое k_j это вес каждой входной подобласти,