Размещено на http://www.allbest.ru/

Принципы описания надежности автоматической системы управления технологическим процессом

Содержание

• 1. Характеристика проблемы моделирования и оценки надежности АСУ ТП
• 2. Надежность АСУ ТП с учетом взаимосвязи с внешней средой
• 3. Взаимосвязь надежности и иных свойств АСУ ТП
• 4. Надежность АСУ ТП как совокупности комплекса технических средств, программного обеспечения и оперативного персонала
• 4.1 Надежность комплекса технических средств
• 4.2 Надежность программного обеспечения (ПО)
• 5. Оценка надежности ПО по аналогии с невосстанавливаемыми техническими системами
• 5.1 Оценка надежности ПО по наработке (модель Шумана)
• 5.2 Оценка надежности программ по числу прогонов (модель Нельсона)
• 5.3 Надежность оперативного персонала
• 6. Надежность АСУ ТП как совокупности функций. Критерии отказов и показатели надежности функций
• Список литературы

1. Характеристика проблемы моделирования и оценки надежности АСУ ТП

Надежность современных автоматизированных систем управления технологическими процессами является важной составляющей их качества. Научно обоснованный анализ надежности АСУТП предусмотрен требованиями государственных и международных стандартов. Готовность организаций и предприятий, разрабатывающих и эксплуатирующих АСУТП, выполнять научно обоснованный анализ их надежности является обязательным условием государственной и международной сертификации. Такой анализ необходим практически на всех этапах жизненного цикла АСУТП и, прежде всего, на стадиях проектирования, внедрения и промышленной эксплуатации. Главной конечной целью анализа является своевременное получение достоверной информации, необходимой для выработки и реализации обоснованных решений в области обеспечения требуемой надежности АСУТП.

В основе научного анализа надежности современных сложных и высокоразмерных АСУТП лежат математические модели и компьютерные технологии. С их помощью должны осуществляться расчеты значений необходимых показателей, решаться задачи оптимизации, синтеза, выработки и обоснования управленческих решений. От обеспечения возможности достаточно точно и оперативно решать указанные задачи непосредственно зависит экономичность, ресурсосбережение и конкурентоспособность современного производства.

Как объект анализа, АСУТП современных предприятий можно охарактеризовать рядом особенностей, которые необходимо учитывать в математических моделях их надежности:

1. Современные АСУТП как правило состоят из большого числа элементов (до нескольких сотен и даже тысяч);

2. Структуры современных АСУТП характеризуются высокой сложностью;

3. На различных этапах жизненного цикла структуры АСУТП могут существенно изменяться;

4. Элементы АСУТП характеризуются большим разнообразием типов (механические, электронные, эргатические, программные, обработки сигналов, обработки информации, датчики, исполнительные устройства, переключатели и т.д.);

5. Существенно неоднородными могут быть функциональные связи элементов и подсистем в АСУТП (механические, электрические, информационные, организационные и др.);

6. В АСУТП часто применяются многофункциональные элементы;

7. Возможно наличие элементов АСУТП с более чем двумя состояниями;

8. Могут иметь место стохастические зависимости параметров надежности элементов;

9. Современные АСУТП, как правило, являются многофункциональными, что приводит к необходимости строить модели и анализировать их надежность по каждой функции отдельно и по различным их комбинациям;

10. Отказы элементов могут приводить к возникновению различных аварийных ситуаций. Поэтому надежность АСУТП (в указанном смысле) необходимо анализировать одновременно;

11. Надежность АСУТП может существенно зависеть от наличия и реализации различных видов обеспечения - энергетического, информационного, технического обслуживания, ремонта и др.;

12. Современные АСУТП могут являться как системами I-го типа (имеют два вида состояний - полной работоспособности или полного отказа), так и системами II-го типа (имеют более двух видов состояний работоспособности, отказа и риска функционирования);

13. АСУТП в процессе эксплуатации могут иметь разные режимы технического обслуживания. Поэтому в процессе анализа их необходимо рассматривать и как невосстанавливаемые и как восстанавливаемые системные объекты;

14. Основным способом обеспечения надежности современных АСУТП является введение структурной и функциональной избыточности;

15. Цели, задачи, показатели и методики анализа надежности могут существенно различаться в зависимости от режима, условий работы, этапа жизненного цикла АСУТП (исследование, проектирование, эксплуатация, модернизация) и конкретной области применения (типа, вида, класса АСУТП, предприятия, организации).

Указанные особенности приводят к тому, что моделирование и расчет надежности современных АСУТП становится сложной и во многом еще не разрешенной научной, технологической и методической проблемой. До настоящего времени в организациях и на предприятиях промышленности моделирование и расчет надежности АСУТП не производится ни на стадиях проектирования, ни в процессе эксплуатации.

2. Надежность АСУ ТП с учетом взаимосвязи с внешней средой

Решение задач надежности АСУ ТП (как, впрочем, и любой сложной системы) требует учета взаимосвязи этой системы и внешней среды. Под внешней средой понимается все то, что окружает АСУ ТП и оказывает на нее воздействие или же само подвергается воздействию от АСУ ТП.

Рис.1 Взаимосвязь АСУ ТП и внешней среды при решении проблемы надежности

Автоматизированная система управления технологическим процессом вместе с технологическим объектом управления (ТОУ) образуют автоматизированный технологический комплекс (АТК). Элементом внешней среды АСУ ТП является и объект управления (рис.1). Рассмотрим существенные для решения вопросов надежности связи между АСУ ТП и ее внешней средой.

Связь "АСУ ТП - технологический объект управления" отображает наличие управляющих воздействий АСУ ТП на регулирующие органы объекта. Эта связь при решении вопросов надежности является одной из самых важных и проявляется в непосредственном влиянии отказов АСУ ТП на поведение объекта управления.

Связь "ТОУ - АСУ ТП" соответствует поступлению в АСУ ТП информации о состоянии объекта. Эта связь выполняется в изменении режима работы системы в зависимости от поведения объекта, например в виде отключений тех или иных подсистем в зависимости от режима работы объекта.

К компонентам внешней среды АТК, которые существенны для решения задачи надежности АСУ ТП, относятся:

а) органы управления вышестоящего уровня иерархии - например, АСУ предприятием или персонал, руководящий функционированием АТК при неавтоматизированном вышестоящем уровне;

б) окружающая среда, которую характеризуют условия эксплуатации (температура, влажность, вибрация, удары, наличие и характер индустриальных помех и т.д.);

в) ремонтный персонал, не входящий в состав АТК;

г) запасные части, необходимые для проведения ремонтов и технического обслуживания.

Связи между АСУ ТП и этими компонентами имеют различный характер.

Связь "органы управления вышестоящего уровня - АСУТП" осуществляется в виде плановых заданий по производительности объекта, изменению режимов работы установок и агрегатов, ограничениям на расход сырья и т.п. Такие воздействия могут изменять режим работы системы и требования к качеству ее функционирования.

Связь "АСУ ТП - органы управления вышестоящего уровня" соответствует поступлению сведений о выполнении заданий, основных показателях функционирования объекта. Отказы АСУ ТП могут приводить к неправильному вычислению этих показателей или вообще к невыдаче результатов вычислений.

Связь "условия эксплуатации - АСУ ТП" отражает тот факт, что на надежность существенно влияют внешние условия (например, от температуры в помещении зависит работа вычислительного комплекса).

управление технологический процесс система

Технические средства АСУ ТП подвергаются восстановлению после отказов и подлежат техническому обслуживанию. Это приводит к возникновению связи "АСУ ТП - ремонтный персонал", которая заключается в генерировании заявок на восстановление. Их необходимость появляется вследствие отказов. Связь "ремонтный персонал - АСУ ТП" заключается в исполнении заявок на восстановление и в выполнении технического обслуживания согласно инструкциям и регламентам.

Связь "АСУ ТП - запасные части" отображает поступление заявок на получение запасных частей, возникающих вследствие отказов технических средств. Связь "запасные части - АСУ ТП" соответствует отправке запасных частей.

3. Взаимосвязь надежности и иных свойств АСУ ТП

Надежность, хотя и является важным и ответственным свойством, представляет собой лишь одну составляющую качества системы. Качество можно определить как совокупность свойств системы, обусловливающих ее пригодность удовлетворять потребностям потребителя. Оценка и обеспечение надежности АСУ ТП являются частью более общей задачи - оценки и обеспечения качества этих систем.

Надежность нужно рассматривать во взаимосвязи с иными свойствами системы, входящими в понятие "качество", например, такими, как живучесть, безопасность, эффективность, точность управления (рис.2). При анализе качества необходим учет влияния показателей надежности на изменение показателей иных свойств АСУ ТП, а вводя показатели надежности АСУ ТП, нужно понимать возможность их дальнейшего применения в задачах качества.

Рис.2 Взаимосвязь показателей надежности и иных показателей качества АСУ ТП

Рис.3 Поведение управляемого параметра после отказов управляющей системы

Влияние надежности на показатели точности управления. Влияние отказов АСУ ТП на точность управления показана на рис.3. На отрезке времени (0, t₁) выполняется автоматическая стабилизация управляемого параметра y (t) относительно некоторого номинального значения y_НOM. В момент t₁ произошел отказ, под влиянием которого регулирующий орган начинает перемещаться в одно из крайних положений, что вызывает возмущающее воздействие на управляемый объект и приводит к резкому изменению управляемого параметра. Системы управления технологическими объектами проектируют таким образом, чтобы после отказа автоматической управляющей функции оперативный персонал имел возможность вмешаться в процесс управления, выполняя неавтоматическое управление (с худшим, как правило, качеством). Такое управление персонал начинает с момента t₂, перемещая регулирующий орган в направлении уменьшения сигнала ошибки y (t) - y_НОМ. Время t_{2 -} t₁ уходит на выявление отказа (если в системе нет средств автоматического контроля исправности), на принятие оператором решения и на его реализацию. Интервал (t₂, t₃) соответствует неавтоматическому управлению в нестационарном режиме при ликвидации последствий неправильного перемещения регулирующего органа, интервал (t₃, t₄) - неавтоматическому управлению в стационарном режиме, причем среднеквадратическое отклонение управляемого параметра на этом интервале, как правило, выше, чем на интервале (0, t₁). В момент t₄ закончилось восстановление и продолжается режим автоматического управления до следующего отказа в момент t₅ и т.д.

Показатели точности управления применяют для управляющих функций АСУ ТП, реализующих их локальных систем. Показатели точности включают в себя динамические и статические показатели (характеристики) функции автоматического или программного регулирования, показатели безошибочности и своевременности функций логического управления и др.

Влияние надежности на метрологические показатели. Метрологические показатели устанавливают для информационных функций АСУ ТП, реализующих их измерительных систем и средств измерений. В число этих показателей входят систематическая и случайная составляющие погрешности, вариация выходного сигнала, время установления показаний и др.

Из всех этих показателей наиболее важным является погрешность измерений как по своему практическому значению (например, по влиянию на точность управления), так и по степени ухудшения из-за отказов. Например, экспериментальное исследование надежности ряда автоматических потенциометров, мостов и других вторичных приборов показало, что выход погрешности за пределы вследствие отказа наблюдается в 2-3 раза чаще, чем иных метрологических показателей. Выход погрешности измерений за пределы связан с изменением и иных метрологических показателей. Так, в 95% выходов за допустимые пределы вариации показаний одновременно выходила за пределы и погрешность измерений.

Отказы измерительных систем могут приводить к полному прекращению их функционирования, когда персонал не получает никакой информации о значении измеряемого параметра: при изменении этого параметра отсутствует сигнал на выходе измерительной системы (например, из-за того что перегорела электронно-лучевая трубка дисплея, на который выводится информация). Такие отказы являются явными.

Отказы измерительных систем могут вызывать ухудшение метрологических показателей без прекращения функционирования. Если такие отказы обнаруживаются встроенными средствами автоматического контроля, то они практически немедленно устраняются персоналом. Устранение отказов, не выявленных автоматическим контролем, производится, как правило, через значительное время после возникновения - при проведении поверок с помощью специальных измерительных операций, требующих применения образцовых средств измерения. Такие отказы могут приводить к длительным последствиям, связанным со скрытым ухудшением качества управления объектом.

Влияние надежности на показатели живучести. Свойство систем выполнять некоторые заданные функции по управлению объектом с допустимыми эксплуатационными показателями при воздействии особо существенных внешних факторов, не предусмотренных условиями нормальной эксплуатации, называют живучестью АСУ ТП.

Внешние факторы, учитываемые при рассмотрении живучести, отличаются от факторов, имеющих место в процессе нормальной эксплуатации и учитываемых, например, при рассмотрении безотказности. Примерами существенных внешних факторов в задачах живучести являются сейсмические воздействия, пожар. Особенностями таких внешних факторов является то, что они обычно одновременно прикладываются к ряду элементов объекта и АСУ ТП; не предсказываются по моменту появления и по величине; являются редкими событиями, продолжительность которых мала по сравнению с промежутком времени между ними.

В определении живучести в отличие от определения надежности от АСУ ТП требуется выполнение не всех, а только некоторых функций. К тому же допускается снижение качества их выполнения до определенного предела. Обычно в задачах живучести рассматриваются функции, обеспечивающие безопасность персонала, отсутствие неблагоприятных последствий для окружающей среды, предотвращение повреждений технологического оборудования. Например, при внешнем факторе (сильном землетрясении) от АСУ ТП может требоваться выполнение только одной функции - останова технологического процесса.

Показателем живучести при некотором значении воздействия х может являться вероятность Р (х) выполнения заданных функций АСУ ТП.

Отказы элементов АСУ ТП могут приводить к снижению живучести. Например, в момент воздействия элемент может находиться в состоянии восстановления после отказа или в нем может иметь место скрытый отказ (что особенно характерно для устройств, реализующих функцию технологической защиты). Кроме того, отказы могут происходить и при управлении объектом при возникновении воздействий (например, из-за ошибки оператора или несрабатывания защиты).

Влияние надежности на показатели безопасности. Свойство систем не допускать ситуаций, опасных для людей и окружающей среды, называют безопасностью. Это свойство особо существенно для атомных станций: согласно ГОСТ 26291 - 84 под безопасностью атомной станции понимают ее свойство с помощью технических средств и специальных организационных мероприятий исключать превышение установленных доз по внутреннему и внешнему облучению персонала и населения, а также превышение установленных норм содержания радиоактивных продуктов в окружающей среде. Вероятность отсутствия такого превышения является одним из показателей безопасности.

Отказы некоторых элементов АСУ ТП атомной станции (в первую очередь так называемых управляющих систем безопасности, выполняющих функции автоматического включения и контроля устройств защитных, локализующих и обеспечивающих систем безопасности) могут приводить к нарушению безопасности. Поэтому к надежности АСУ ТП атомных станций предъявляют особо высокие как количественные, так и качественные требования, а пути обеспечения надежности и безопасности этих систем во многом совпадают. Примерами качественных требований являются наличие не менее двух независимых каналов, проверка и испытания элементов в процессе эксплуатации, наличие бесперебойного энергопитания и др.

Влияние надежности на показатели эффективности. Свойство систем, проявляющееся при функционировании совместно с технологическим объектом управления и выражающееся в улучшении полезных результатов его функционирования, называют эффективностью АСУ ТП. В зависимости от видов результатов функционирования будем разделять показатели эффективности на технологические и экономические.

Технологические показатели эффективности отражают изменение количества и качества продукции, количества израсходованного топлива, энергии, сырья, изменение использования технологического оборудования вследствие применения АСУ ТП. Примерами этих показателей являются повышение среднесуточного количества выпущенной продукции, снижение удельного расхода сырья и т.п.

Экономические показатели эффективности отражают изменение экономических результатов функционирования объекта вследствие применения АСУ ТП и выражаются либо в денежных единицах, либо в единицах, определяющих степень соответствия затрат на АСУ ТП результатам функционирования объекта. Экономические показатели эффективности АСУ ТП определяются сравнением двух вариантов функционирования объекта: с АСУ ТП в составе АТК и некоторого базового варианта АСУ ТП (например, с применением только локальных автоматических систем).

Примерами экономических показателей эффективности являются:

годовой экономический эффект, определяемый соотношением

W₁ = (Ц_{1 -} Ц₀) - (С_{1 -} С₀) - Е_Н (К_{1 -} К₀),

коэффициент сравнительной экономической эффективности

W₂ = [ (Ц_{1 -} Ц₀) - (С_{1 -} С₀)] / (К_{1 -} К₀),

и др.

Здесь Ц - стоимость выпущенной за год продукции в оптовых ценах; С - себестоимость этой продукции; К - капитальные вложения (включая предпроизводственные затраты) на выпуск этой продукции; Е_Н - нормативный коэффициент экономической эффективности капиталовложений; индексы 1 и 0 относятся к автоматизированному технологическому комплексу, использующему АСУ ТП, и к базовому варианту без АСУ ТП.

Рассмотрим взаимосвязь между надежностью и эффективностью. С одной стороны, повышение надежности систем, как правило, связано с увеличением затрат. Улучшение элементной базы, введение избыточности, приобретение более надежных (и, как правило, более дорогих) технических средств - все это приводит к повышению единовременных затрат на содержание АСУ ТП. Введение более частого и более продолжительного технического обслуживания увеличивает текущие затраты, а значит, и себестоимость продукции, повышение надежности путем улучшения условий эксплуатации введением специального оборудования (например, кондиционеров) увеличивает как единовременные затраты на приобретение этого оборудования, так и текущие затраты на его содержание и обслуживание.

С другой стороны, отказы элементов АСУ ТП приводят к снижению эффективности, причем такое снижение может быть значительным.

Влияние отказов элементов АСУ ТП на технологические показатели эффективности проявляется в том, что последствия отказов элементов сказываются на поведении ТОУ.

Установление связи между надежностью и эффективностью является одним из основных вопросов, возникающих при исследовании надежности любых сложных систем, включая и АСУ ТП. Можно даже сказать, что проблема обеспечения надежности в принципе является частью более общей проблемы - повышения эффективности функционирования систем, причем уровень надежности обычно в значительной степени определяет эффективность.

Коэффициент сохранения эффективности К_ЭФ - это отношение значения показателя эффективности за заданный период эксплуатации к номинальному значению данного показателя, определяемому при условии, что отказы объекта в течение того же периода эксплуатации не возникают:

(1)

где Э_Р - реальное значение эффективности, т.е. с учетом надежности; Э_НОМ - номинальное значение эффективности, т.е. эффективность безотказной системы.

На рис.4 показана связь между отдельными сторонами и видами надежности, а также показателями эффективности и надежности. На рисунке: Э_{НОМ i} - номинальная эффективность объекта в i-м режиме его работы; P_i (t) - вероятность i-ого режима работы на интервале времени 0 - t; Э_Рi - реальная эффективность объекта в i-м режиме работы; - суммарная реальная эффективность объекта; - суммарная номинальная эффективность объекта.

Рис.4 Схема связи между эффективностью и отдельными сторонами и видами надежности

Под режимом работы объекта в данном случае понимаются вполне определенный состав объекта, организация его работы, рабочий ритм и другие факторы, изменение которых приводит к изменению выходного эффекта.

В левой части рис.4 представлена схема алгоритма определения К_ЭФ. Вначале определяются показатели номинальной эффективности для каждого из возможных режимов работы (Э_{НОМ i}). Значения этих показателей умножаются на вероятности режимов, и полученные результаты суммируются. Так определяется показатель суммарной номинальной эффективности . Чтобы получить показатель суммарной реальной эффективности, каждое из произведений Э_НОМi, P_i (t) подвергаются преобразованию с учетом показателей надежности элементов системы.

Преобразованные значения указанных произведений суммируются. В результате получается значение суммарной реальной эффективности объекта . Частным от деления на будет значение К_ЭФ.

4. Надежность АСУ ТП как совокупности комплекса технических средств, программного обеспечения и оперативного персонала

Особенности АСУ ТП, существенные для решения задач установления и обеспечения требуемого уровня надежности, были перечислены в п.1. Анализ и отражение этих особенностей позволяют конкретизировать общие понятия теории надежности, изложенные в гл.1 (отказ, восстановление, состав показателей и др.), применительно к АСУ ТП.

Автоматизированную систему управления, как и любую сложную систему, представим в виде совокупности элементов и рассмотрим взаимосвязь этих элементов между собой. Выбор элементов в зависимости от способа декомпозиции АСУ ТП может быть различен. При декомпозиции по составу в качестве элементов могут быть приняты комплекс технических средств (техническое обеспечение), информационное обеспечение (включающее в себя нормативно-справочную информацию, системы классификации и кодирования информации и др.) и организационное обеспечение (совокупность документов, регламентирующих действия персонала). Свойства информационного и организационного обеспечения влияют на надежность АСУ ТП косвенно, через функционирование технических средств, программного обеспечения и персонала, поэтому ниже при решении вопросов надежности отдельно не будут учитываться.

При функциональной декомпозиции АСУ ТП как многофункциональной системы в качестве элементов системы рассматриваются ее отдельные функции.

Рассмотрим АСУ ТП как совокупность комплекса технических средств, программного обеспечения и оперативного персонала. В п.5 АСУ ТП рассматривается как совокупность функций, выполняемых этой системой.

4.1 Надежность комплекса технических средств

Надежность комплекса технических средств оказывает наиболее существенное влияние на надежность АСУ ТП, поэтому приближенно надежность АСУ ТП зачастую оценивают с учетом только комплекса технических средств.

Критерии отказов технических средств (ТС), как правило, устанавливаются в соответствии с требованиями, указанными в стандартах, технических условиях или другой технической документации на эти ТС. Поскольку большинство ТС имеют общепромышленное назначение, то требования задаются безотносительно к тем системам, в которых эти ТС функционируют. Критерии отказов ТС при этом не зависят от характеристик управляемого объекта и требований к качеству управления.

Рассмотрим классификацию отказов ТС. Отказы ТС в зависимости от характера изменения параметров ТС до момента возникновения отказа можно разделить на внезапные и постепенные.

По степени нарушения работоспособности отказы разделяют на полные (после которых функционирование ТС полностью прекращается) и частичные (после которых может продолжаться функционирование ТС с ухудшенными показателями).

По характеру внешних проявлений отказы разделяют на явные, т.е. обнаруживаемые непосредственно после возникновения, и неявные (скрытые), не обнаруживаемые непосредственно после их возникновения.

По связи с предшествующим отказом отказы разделяют на первичные, не являющиеся следствием ранее возникших отказов, и вторичные, являющиеся следствием ранее возникших отказов.

Конкретизируем определение времени восстановления ТС, для чего рассмотрим его основные составляющие. Время восстановления всегда включает в себя время Т_В1 поиска причины отказа и время Т_в2 его устранения (рис.5, а). Оперативное время восстановления

. (2)

При эксплуатации ТС в (2) могут быть добавлены времена:

- ожидание от момента обнаружения отказа до начала поиска его причины (это время может существенно превышать Т_в1 и Т_в2 на предприятиях, где технологическое оборудование работает круглосуточно, а ремонтный персонал - в одну смену);

Рис.5 Примеры структуры времени восстановления

Т_{в4 -} обеспечение персонала инструментами, материалами, запасными частями; Т_{В5 -} ожидание от момента окончания устранения отказа до момента включения ТС; Т_в6 и Т_{В7 -} демонтаж и монтаж ТС.

На рис.5, б приведена структура времени восстановления, проведенного непосредственно на месте установки отказавшего ТС без его замены. Общее время восстановления

.

На рис.5, в рассмотрен случай, когда восстановление проведено путем демонтажа отказавшего технического средства, его последующего ремонта в мастерской и монтажа на прежнем месте. При этом общее время восстановления

,

где Т_В8 - длительность ожидания ремонта в мастерской; Т_в9 - время устранения отказа в мастерской.

Показатели надежности ТС задаются из числа перечисленных в п.1.2 и 1.5 Как правило, эти показатели устанавливаются при следующих условиях: температура окружающего воздуха (20±10)°С; относительная влажность 30 - 80%; давление 630 - 800 мм рт. ст., отклонение напряжения питания сети +10 - 15%. Время t₁, на котором задается вероятность безотказной работы, обычно принимается равным 2000 ч, за исключением ТС, предназначенных для атомных станций, где t₁ = 8000 ч. Отметим, что задание показателей безотказности и долговечности для ТС, входящих в состав ГСП, является обязательным.

4.2 Надежность программного обеспечения (ПО)

Интерес к оцениванию надежности ПО возник одновременно с появлением программ. Он был вызван естественным стремлением получить традиционную вероятностную оценку надежности технического устройства (ЭВМ), работа которого, в основном, и предназначалась для функционирования ПО. Последнее было определено, как одна из составляющих частей машины, поэтому подход к оцениванию надежности программной части первоначально мало отличался от оценивания надежности техники и заключался в переносе известных статистических методов классической теории надежности на новую почву, образовав ее отдельную ветвь - теорию надежности ПО. В целом этот подход сохранился до сегодняшнего дня. Однако по мере развития вычислительной техники пришло четкое понимание того, что ПО - не просто составная часть ЭВМ. В современных условиях развития цифровой техники специальное ПО перестало быть принадлежностью одной вычислительной системы (как это было раньше), а стало использоваться на сотнях и тысячах аналогичных ЭВМ (в основном - персональных). Даже если не касаться вопросов информационной безопасности, проблема обеспечения устойчивого функционирования расчетных программ, выявления их ошибок сегодня крайне остро стоит перед разработчиками.

При применении понятий надежности к программным средствам (ПС) следует учитывать особенности и отличия этих объектов от традиционных технических систем, для которых первоначально разрабатывалась теория надежности:

не для всех видов программ применимы понятия и методы теории надежности - их можно использовать только к ПС, функционирующим в реальном времени и непосредственно взаимодействующим с внешней средой;

при разработке и оценке качества программных компонент к ним не применимы понятия надежности функционирования, если при обработке информации они не используют значения реального времени и не взаимодействуют непосредственно с внешней средой;

доминирующими факторами, определяющими надежность программ, являются дефекты и ошибки проектирования и разработки, и второстепенное значение имеет физическое разрушение программных компонент при внешних воздействиях;

относительно редкое разрушение программных компонент и необходимость их физической замены, приводит к принципиальному изменению понятий сбоя и отказа программ и к разделению их по длительности восстановления относительно некоторого допустимого времени простоя для функционирования информационной системы;

для повышения надежности комплекса программ особое значение имеют методы автоматического сокращения длительности восстановления и преобразования отказов в кратковременные сбои, путем введения в программные средства временной, программной и информационной избыточности;

непредсказуемость места, времени и вероятности проявления дефектов и ошибок, а также их редкое обнаружение при реальной эксплуатации достаточно надежных программных средств, не позволяет эффективно использовать традиционные методы априорного расчета показателей надежности сложных систем, ориентированные на стабильные, измеряемые значения надежности составляющих компонент;

традиционные методы форсированных испытаний надежности систем путем физического воздействия на их компоненты не применимы для программных средств и их следует заменять на методы форсированного воздействия информационных потоков внешней среды.

С учетом перечисленных особенностей применение основных понятий теории надежности сложных систем к жизненному циклу и оценке качества комплексов программ позволяет адаптировать и развивать эту теорию в особом направлении - надежность программных средств.

К задачам теории и анализа надежности сложных ПС можно отнести следующие:

формулирование основных понятий, используемых при исследовании и применении показателей надежности программных средств (ПС);

выявление и исследование основных факторов, определяющих характеристики сложных программных комплексов;

выбор и обоснование критериев надежности для комплексов программ различного типа и назначения;

исследование дефектов и ошибок, динамики их изменения при отладке и сопровождении, а также влияния на показатели надежности ПС;

исследование методов и средств контроля и защиты от искажений программ, вычислительного процесса и данных путем использования различных видов избыточности и помехозащиты;

разработка методов и средств определения и прогнозирования характеристик надежности в жизненном цикле комплексов программ с учетом их функционального назначения, сложности, структурного построения и технологии разработки.

Результаты решения этих задач являются основой для создания современных сложных ПС с заданными показателями надежности.

Классификация отказов ПС:

программными - из-за не выявленных ошибок в программе, которые возникают при определенном сочетании данных и команд, соответствующем спецификации;

информационными - результаты работы искажаются из-за ошибок входных данных;

аппаратными - возникают в результате перемежающихся отказов технических средств и/или возникновения ошибок в операционных средах (сбоев);

эргатическими - возникают из-за некорректных действий пользователей.

При определении надежности программных средств рассматривают, как правило, только программные отказы, обусловленные наличием не выявленных ошибок в программе.

Свойства программ:

1. Корректность - статическое свойство программы, определяемое как отсутствие ошибок в программе. Корректность программ обеспечивается отладкой (проверкой) на множестве исходных данных, регламентированных документацией.

Устойчивость - динамическое свойство программы, которое характеризует способность программы давать правильные результаты при аппаратных, информационных и эргатических воздействиях. При этом выделяют два вида устойчивости:

толерантность - способность программы продолжать свою работу и выдавать правильные результаты при наличии перечисленных воздействий.

консервативность - способность программы при наличии возмущений, не позволяющих правильно решить задачу, перевести вычислительную систему в состояние отказа, из которого с минимальными потерями можно выполнить процедуру рестарта. Устойчивость программ обеспечивают структурной, информационной, временной и алгоритмической избыточностью.

Показатели качества и надежности современных ПС. Формализации показателей качества ПС посвящена группа нормативных документов, в которых выделены характеристики, позволяющие оценивать ПС с позиции пользователя, разработчика и управляющего проектом. Рекомендуется 6 основных характеристик качества ПС, каждая из которых детализируется несколькими (всего 21) субхарактеристиками:

1. Функциональная пригодность - это набор атрибутов, определяющий назначение, номенклатуру, основные необходимые и достаточные функции ПС, заданные техническим заданием заказчика или потенциального пользователя. Функциональная пригодность детализируется:

пригодностью для применения;

точностью;

защищенностью;

способностью к взаимодействию;

согласованностью со стандартами и правилами проектирования.

Надежность - это способность программы обеспечивать достаточно низкую вероятность отказа в процессе функционирования в реальном времени. Надежность рекомендуется характеризовать:

уровнем завершенности (отсутствия ошибок);

устойчивостью к ошибкам;

перезапускаемостью.

3. Применимость описывается:

понятностью;

обучаемостью;

простотой использования.

4. Эффективность рекомендуется характеризовать:

ресурсной избыточностью;

временной избыточностью.

5. Сопровождаемость детализируется:

удобством для анализа;

изменяемостью;

стабильностью;

тестируемостью.

6. Переносимость предлагается отражать:

адаптируемостью;

структурированностью;

замещаемостью;

внедряемостью.

Дестабилизирующие факторы, влияющие на надежность ПС. При любом виде деятельности людям свойственно непредумышленно ошибаться, результаты чего проявляются в процессе создания или применения изделий или систем. В общем случае под ошибкой подразумевается дефект, погрешность или неумышленное искажение процесса или объекта. При этом предполагается, что известно правильное, эталонное состояние объекта, по отношению к которому может быть определено наличие отклонения - дефекта или ошибки. Для систематической, координированной борьбы с ними необходимы исследования факторов, влияющих на надежность ПС со стороны случайных, существующих и потенциально возможных дефектов в конкретных программах.

Анализ надежности ПС базируется на модели взаимодействия основных компонент, влияющих на надежность ПС:

1. Объекты уязвимости:

динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;

информация, накопленная в базах данных, отражающая объекты внешней среды, и процессы ее обработки;

объектный код программ, исполняемых вычислительными средствами в процессе функционирования ПС;

информация, выдаваемая потребителям и на исполнительные механизмы, являющаяся результатом обработки исходных данных и информации, накопленной в базе данных.

На эти объекты воздействуют различные дестабилизирующие факторы, которые можно разделить на внутренние, присущие самим объектам уязвимости, и внешние, обусловленные средой, в которой эти объекты функционируют. К внутренним дестабилизирующим факторам относятся следующие дефекты программ:

системные ошибки при постановке целей и задач создания ПС, при формулировке требований к функциям и характеристикам решения задач, определении условий и параметров внешней среды, в которой предстоит применять ПС;

алгоритмические ошибки разработки при непосредственной спецификации функций ПС, при определении структуры и взаимодействия компонент комплексов программ, а также при использовании информации баз данных;

ошибки программирования в текстах программ и описаниях данных, а также в исходной и результирующей документации на компоненты и ПС в целом;

недостаточную эффективность используемых методов и средств оперативной защиты программ и данных от сбоев и отказов и обеспечения надежности функционирования ПС в условиях случайных негативных воздействий.

Внешними дестабилизирующими факторами являются:

ошибки оперативного и обслуживающего персонала в процессе эксплуатации ПС;

искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые для конкретной информационной системы характеристики потоков внешней информации;

сбои и отказы в аппаратуре вычислительных средств;

изменения состава и конфигурации комплекса взаимодействующей аппаратуры информационной системы за пределы, проверенные при испытаниях или сертификации и отраженные в эксплуатационной документации.

Методы обеспечения надежности функционирования ПС. В современных автоматизированных технологиях создания и развития сложных ПС с позиции обеспечения их необходимой и заданной надежности можно выделить методы и средства, позволяющие:

создавать программные модули и функциональные компоненты высокого гарантированного качества;

предотвращать дефекты проектирования за счет эффективных технологий и средств автоматизации обеспечения всего жизненного цикла комплексов программ и баз данных;

обнаруживать и устранять различные дефекты и ошибки проектирования, разработки и сопровождения программ путем систематического тестирования на всех этапах жизненного цикла ПС;

удостоверять достигнутые качество и надежность функционирования ПС в процессе их испытаний и сертификации перед передачей в регулярную эксплуатацию;

оперативно выявлять последствия дефектов программ и данных и восстанавливать нормальное, надежное функционирование комплексов программ.

Комплексное, скоординированное применение этих методов и средств в процессе создания, развития и применения ПС позволяют исключать некоторые виды угроз или значительно ослаблять их влияние. Тем самым уровень достигаемой надежности ПС становится предсказуемым и управляемым.

Предотвращение ошибок и улучшение технико-экономических показателей создания ПС обеспечивается применением современных технологий и систем автоматизированного проектирования. Такие технологии позволяют исключать или значительно снижать уровень системных, алгоритмических и программных ошибок в ПС, передаваемых в эксплуатацию.

Для обнаружения и устранения ошибок проектирования все этапы разработки и сопровождения ПС должны быть поддержаны методами и средствами систематического, автоматизированного тестирования. Надежность функционирования ПС непосредственно зависит от полноты применяющихся комплектов тестов и адекватности генераторов тестов реальным объектам внешней среды и условиям будущей эксплуатации.

5. Оценка надежности ПО по аналогии с невосстанавливаемыми техническими системами

5.1 Оценка надежности ПО по наработке (модель Шумана)

Для прогнозирования надежности ПО в этой модели используются данные о числе ошибок, устраненных в процессе компоновки программ в систему ПО и отладки программ. По этим данным вычисляются параметры модели надежности, которая может быть использована для прогнозирования показателя надежности в процессе использования ПО.

Предполагается, что при последовательных прогонах программы наборы входных данных являются случайными и выбираются в соответствии с законом распределения, соответствующим реальным условиям функционирования.

Модель основана на следующих допущениях:

в начальный момент компоновки программ в систему ПО в них имеется Е₀ ошибок; в ходе корректировок новые ошибки не вносятся;

общее число I машинных команд в программах постоянно;

интенсивность отказов программы пропорциональна числу ошибок, оставшихся в ней после отладки в течение времени , т.е.

(3)

где отношение числа ошибок, устраненных в течение времени отладки , к общему числу команд на машинном языке.

Таким образом, в модели различаются два значения времени: время отладки (обычно измеряется месяцами) и время работы программы - суммарная наработка программы (часы и доли часа). Время отладки включает затраты времени на выявление ошибок с помощью тестов, контрольные проверки и т.п. Время исправного функционирования при этом не учитывается.

Таким образом, значение интенсивности отказов считается постоянным в течение всего времени функционирования (). Значение изменяется лишь при обнаружении и исправлении ошибок (при этом время вновь отсчитывается от нуля).

В силу принятых допущений для фиксированного вероятность отсутствия ошибок программ в течение наработки времени ()

(4)

Средняя наработка программы до отказа

(5)

Для практического использования формулы (5) необходимо оценить и по экспериментальным данным. Для этого можно использовать метод моментов или метод максимального правдоподобия.

Применяя метод моментов и рассматривая два периода отладки программ и при < , получаем

где - продолжительность работы системы, соответствующие и ; и - число ошибок в ПО, обнаруженных соответственно в периодах и .

5.2 Оценка надежности программ по числу прогонов (модель Нельсона)

В такой модели за показатель надежности программы принимается вероятность безотказного выполнения n прогонов программы.

Вероятность того, что j-й прогон закончится отказом,

(6)

где - вероятность выбора i-ого набора входных данных при j-м прогоне некоторой последовательности прогонов; - "динамическая переменная", принимающая значение 0, если прогон программы при i-м наборе входных данных оказывается успешным, и значение 1, если этот прогон заканчивается отказом; N - число возможных наборов входных данных.

На практике надежность программы может быть оценена путем прогона программы на n наборах входных данных и вычисления значения оценки

где - число наборов входных данных, при которых произошли отказы.

Для получения вначале находят "функциональный разрез" программы, т.е. множество вероятностей того, что будет сделан выбор i-ого варианта входных данных. Для этого разбивают все пространство входных переменных на подпространства и находят вероятности того, что выбранный набор входных данных будет принадлежать конкретному подпространству. Это можно сделать, оценивая вероятности появления различных входов в реальных условиях функционирования, для которых оценивается надежность программы.

Далее формируют случайную выборку из n наборов входных данных, распределенных в соответствии с (например, с помощью датчика случайных чисел), и проводят n прогонов программы, находят и вычисляют .

Чтобы установить связь между моделями по наработке и по прогонам, запишем

(7) или (8)

Обозначим время выполнения j-ого прогона программы - суммарное время выполнения первых j прогонов программы и примем, что

(9)

при этом

(10)

При функция может рассматриваться как функция интенсивности отказов.

Оценка надежности программ на ранних стадиях проектирования. Описанные выше модели надежности программ требуют оценки ряда параметров по статистическим данным, получаемым при тестировании, отладке программ или на этапе передачи программ в эксплуатацию. На ранних этапах проектирования программ отсутствует возможность проведения экспериментов, могут быть использованы статистические данные об отказах аналогичных программ, созданных ранее той же группой программистов.

Рядом исследователей выявлена стабильность относительной частоты ошибок в различных типовых конструкциях алгоритмических языков высокого уровня. Рассмотрим модель надежности программы, основанную на этом явлении и учитывающую структуру программы и распределение исходных данных.

В этой модели предполагается, что:

а) исходные данные выбираются случайно в соответствии имеющимся распределением их вероятностей;

б) ошибки в элементах программы независимы;

в) программа образована из элементов немногих s классов с одинаковыми вероятностями p_l правильного однократного исполнения элементов класса l.

При этих допущениях условная вероятность p_i правильного однократного пути исполнения программы при условии исполнения пути i

, (11)

где m_li - количество элементов l - ого класса в i-ом пути (путь - последовательность элементов программы, не содержащая ответвлений и используемая при выполнении программы с определенными исходными данными).