課件03-軟件可靠性與安全性-指標分配

1、軟件可靠性與安全性第三部分軟件可靠性指標及其分配提要軟件可靠性度量參數(shù)軟件可靠性指標分配方法3132參數(shù)與指標 可靠性度量參數(shù)v是可靠性定量化描述的數(shù)學屬性是可靠性定量化描述的數(shù)學屬性 可靠性參數(shù)體系v是某種軟件產(chǎn)品可靠性的參數(shù)的集合是某種軟件產(chǎn)品可靠性的參數(shù)的集合 可靠性度量指標v是軟件某一可靠性參數(shù)的要求值是軟件某一可靠性參數(shù)的要求值 可靠性指標體系v是某種軟件所有可靠性參數(shù)的要求值是某種軟件所有可靠性參數(shù)的要求值幾種常見的參數(shù) 可靠度(Reliability) 失效概率(Failure Probability) 失效強度(Failure Intensity) 失效率(Failure Ra

2、te) 平均失效前時間(MTTF, Mean Time To Failure) 平均失效間隔時間(MTBF, Mean Time Between Failures) 可用性(Availability)可靠度 軟件可靠性的基本定義v軟件在規(guī)定條件下和規(guī)定時間內(nèi)軟件在規(guī)定條件下和規(guī)定時間內(nèi), 完成規(guī)完成規(guī)定功能的概率定功能的概率 軟件失效行為的概率描述v在在t0時系統(tǒng)正常的條件下時系統(tǒng)正常的條件下, 系統(tǒng)在時間系統(tǒng)在時間區(qū)間區(qū)間0,t內(nèi)能正常運行的概率內(nèi)能正常運行的概率 用R(t)表示 tTPtR失效概率 軟件在規(guī)定條件下和規(guī)定時間內(nèi), 喪失規(guī)定功能的概率 用F(t)表示 與可靠度R(t)之間的關(guān)

3、系)()(tTPtF)(1)(tRtF失效強度 失效概率的密度函數(shù)v單位時間軟件系統(tǒng)出現(xiàn)失效的概率單位時間軟件系統(tǒng)出現(xiàn)失效的概率 用f(t)表示 如果F(t)是可微分的, 失效強度f(t)是F(t)關(guān)于時間的一階導數(shù) dttdRdttdFtf失效率 軟件在0t時刻內(nèi)沒有發(fā)生失效的條件下, 在t時刻軟件系統(tǒng)的失效強度 又稱為v條件失效強度條件失效強度v風險函數(shù)風險函數(shù)(hazard function) 用(t)表示 tRdttdFtRtft失效率 失效率也是失效數(shù)與測試用例、操作事件或操作時間總數(shù)的比 單位v失效次數(shù)失效次數(shù)/時間時間v失效次數(shù)失效次數(shù)/距離距離v失效次數(shù)失效次數(shù)/周期周期 例如

4、v0.1次失效次失效/CPU小時小時 失效率 在度量間歇性且不常發(fā)生的服務(wù)請求的可靠性時, 可使用服務(wù)失效率(POFOD)vPOFOD(Probability of failure on demand)v對于使用者提出的請求，系統(tǒng)無法提供服對于使用者提出的請求，系統(tǒng)無法提供服務(wù)的概率務(wù)的概率 適應(yīng)于v偶爾有服務(wù)請求，并且若無法提供服務(wù)則偶爾有服務(wù)請求，并且若無法提供服務(wù)則會造成嚴重后果的防護系統(tǒng)會造成嚴重后果的防護系統(tǒng)v安全關(guān)鍵系統(tǒng)的異常管理部件安全關(guān)鍵系統(tǒng)的異常管理部件平均失效前時間 定義(MTTF)v當前時間到下一次失效時間的均值當前時間到下一次失效時間的均值 計算 應(yīng)用v度量軟件可靠性和

5、可用性度量軟件可靠性和可用性NkNtkMTTF1平均失效前時間 舉例vSF1: 180, 675, 315, 212, 278, 503, 431vSF2: 477, 1048, 685, 396vSF3: 894, 1422vMTTFSF1 = 2594/7 = 370.57vMTTFSF2 = 2606/4 = 651.5vMTTFSF3 = 2316/2 = 1158平均失效前時間 當失效呈現(xiàn)指數(shù)分布時vF(t) = 1-exp (-t/MTTF)vR(t) = exp (-t/MTTF) dx xRMTTF0平均失效間隔時間 定義(MTBF)v兩次相繼失效之間的時間間隔的均值。兩次相繼

6、失效之間的時間間隔的均值。MTBF 在實際使用時通常是指當在實際使用時通常是指當 n 很大時，很大時，軟件第軟件第n次失效與第次失效與第n+1次失效之間的平均次失效之間的平均時間時間平均失效間隔時間 當軟件從時刻T1工作到時刻T2, 若發(fā)生了 n次失效, 則： 1nTTMTBF12平均失效間隔時間 單位v時間時間v當量綱取距離時，可以用當量綱取距離時，可以用MDBF表示表示v量綱取周期時，可以用量綱取周期時，可以用MCBF表示表示 是失效率的倒數(shù)1MTBF平均失效間隔時間 MTBF = MTTF + MTTR Mean Time To Repair (MTTR) 維修包括v確定并修正導致失效的

7、缺陷確定并修正導致失效的缺陷v通過重新啟動系統(tǒng)通過重新啟動系統(tǒng), 恢復系統(tǒng)服務(wù)恢復系統(tǒng)服務(wù) Mean Time To Restore (MTTR) Mean Time To Disruption (MTTD)可用性 定義(Availability)v需要時軟件可用的概率需要時軟件可用的概率 計算MTBFMTTF MTTRMTTFMTTF ty Availabili提要軟件可靠性度量參數(shù)軟件可靠性指標分配方法3132原則和因素 基于功能進行分配 選定指標 考慮因素v系統(tǒng)總的可靠性指標系統(tǒng)總的可靠性指標v總的任務(wù)時間總的任務(wù)時間vCSCI數(shù)量數(shù)量v各各CSCI的拓撲結(jié)構(gòu)的拓撲結(jié)構(gòu)/操作剖面操作剖面

8、/關(guān)鍵等級關(guān)鍵等級/復雜度復雜度常用方法 順序執(zhí)行分配法 并行執(zhí)行分配法 復雜度因子分配法 操作剖面分配法 重要度分配法順序執(zhí)行分配法前提 軟件的各個CSCI是順序執(zhí)行, 所有CSCI執(zhí)行時間之和等于系統(tǒng)任務(wù)執(zhí)行時間 所有的CSCI都成功執(zhí)行才能保證軟件不失效 使用失效率指標順序執(zhí)行分配法步驟 確定整個軟件系統(tǒng)的可靠性需求(s) 確定整個軟件系統(tǒng)的CSCI數(shù)量(N) 對于每個CSCI, 分配可靠性需求(i)Si并行執(zhí)行分配法前提 軟件的各個CSCI是并行執(zhí)行, 但這些CSCI代表了整個軟件的一系列的功能, 任何一個CSCI的執(zhí)行不依賴于其他CSCI的執(zhí)行結(jié)果, 所有CSCI執(zhí)行時間均等于系統(tǒng)任

9、務(wù)執(zhí)行時間 任何一個CSCI失效意味著整個軟件系統(tǒng)失效 使用失效率指標并行執(zhí)行分配法步驟 確定整個軟件系統(tǒng)的可靠性需求(s) 確定整個軟件系統(tǒng)的CSCI數(shù)量(N) 對于每個CSCI, 分配可靠性需求(i)NSi復雜度分配法前提 基于每個CSCI 的相應(yīng)復雜度分配失效率 計算CSCI復雜度的方法v源代碼行數(shù)源代碼行數(shù)v功能點功能點v特征點特征點 使用失效率指標復雜度分配法關(guān)鍵因素 為了保證分配的有效性, 對于每個CSCI必須采用相同的方法 選擇的復雜度測量必須能按線性比例轉(zhuǎn)化成失效率(如: 如果CSCI復雜度為4倍, 失效率指標應(yīng)該是等高的比例) 復雜度更高的CSCI, 失效率指標也更高復雜度分

10、配法步驟 確定整個軟件系統(tǒng)的可靠性需求(s) 確定整個軟件系統(tǒng)的CSCI數(shù)量(N) 對于每個CSCI, 確定它的復雜度因子(Wi), CSCI的復雜度越高, Wi值越高 確定系統(tǒng)的任務(wù)持續(xù)時間 (T) 確定系統(tǒng)任務(wù)持續(xù)期內(nèi), 每個CSCI的活動時間(i) 計算系統(tǒng)的失效率調(diào)節(jié)因子(K) 計算每個CSCI分配的失效率指標(i) 復雜度分配法計算方法TwN1iiiKKwiSi失效率調(diào)節(jié)因子每個CSCI分配的失效率指標操作剖面分配法前提 軟件可靠性是由用戶的使用決定的, 對于同一個軟件, 用戶不同的使用方式會導致軟件可靠性的變化。操作剖面用于定義軟件的使用模型, 刻畫用戶使用軟件的模式vPF = (

11、item1，p1)，(item2，p2)， (itemn，pn) v item1item2itemn 使用失效率指標n1ii1p操作剖面分配法步驟 確定整個軟件系統(tǒng)的可靠性需求(s) 確定確定整個軟件系統(tǒng)的操作剖面(PF) 對于每個功能，分配可靠性需求(i)iSip重要度分配法前提 基于對軟件失效影響認知來分配失效率, 將重要度等級與維持系統(tǒng)運行并且保持故障防護能力聯(lián)系起來 對于確定的操作模式或CSCI, 如果其重要度等級高, 應(yīng)分配較低的失效率, 如果其重要度等級較低, 應(yīng)分配高一些失效率 如果必須為某項特定的操作模式分配特別低的失效率, 就需要采用容錯或其它失效緩解設(shè)計技術(shù) 使用失效率指標

12、重要度分配法步驟 確定整個軟件系統(tǒng)的可靠性需求(s) 確定整個軟件系統(tǒng)的CSCI數(shù)量(N) 對于每個CSCI, 確定它的重要度因子(Ci), 對于系統(tǒng)更為重要CSCI, 賦予較低的Ci 值 確定系統(tǒng)的任務(wù)持續(xù)時間 (T) 確定系統(tǒng)任務(wù)持續(xù)期內(nèi), 每個CSCI的活動時間(i) 計算系統(tǒng)的失效率調(diào)節(jié)因子(K) 計算每個CSCI分配的失效率指標(i) 重要度分配法計算方法TCN1iiiKKCiSi失效率調(diào)節(jié)因子每個CSCI分配的失效率指標重要度分配法重要度等級說明重要度因子關(guān)鍵軟件關(guān)鍵軟件直接影響系統(tǒng)使用安全和危直接影響系統(tǒng)使用安全和危及人員安全，或影響關(guān)鍵任及人員安全，或影響關(guān)鍵任務(wù)完成的軟件務(wù)完

13、成的軟件1重要軟件重要軟件不影響系統(tǒng)使用安全，但影不影響系統(tǒng)使用安全，但影響任務(wù)完成的軟件響任務(wù)完成的軟件4一般軟件一般軟件不影響系統(tǒng)使用安全和任務(wù)不影響系統(tǒng)使用安全和任務(wù)完成的軟件完成的軟件8重要度分配法實例 場景v軟件系統(tǒng)的可靠性需求：軟件系統(tǒng)的可靠性需求：s =0.00025次失效次失效/任務(wù)小時任務(wù)小時 v軟件系統(tǒng)的軟件系統(tǒng)的CSCI數(shù)量：數(shù)量：5個個v系統(tǒng)的任務(wù)持續(xù)時間：系統(tǒng)的任務(wù)持續(xù)時間：T = 5小時小時 重要度分配法實例CSCI標識重要度因子執(zhí)行時間CSCI183CSCI212CSCI345CSCI443CSCI513重要度分配法實例 計算系統(tǒng)失效率調(diào)節(jié)因子K TCCCK554

14、4332211CC 5)3)(1 ()4)(3(542138= 12.2 重要度分配法實例 計算各CSCI非規(guī)格化失效率指標(次失效/任務(wù)小時 )KC1S1= 0.00025(8/12.2) = 0.000164KC2S2= 0.00025(1/12.2) = 0.000020KC3S3= 0.00025(4/12.2) = 0.000082KC4S4= 0.00025(4/12.2) = 0.000082KC5S5= 0.00025(1/12.2) = 0.000020重要度分配法實例 規(guī)格化(次失效/任務(wù)小時) (0.00025/0.000368) =0.679351= (0.000164

15、)(0.67935) = 0.0001112= (0 000020)(0.67935) = 0 0000143= (0.000082)(0.67935) = 0.0000564= (0.000082)(0.67935) = 0.0000565= (0 000020)(0.67935) = 0 000014重要度分配法改進 需要考慮的問題v系統(tǒng)中各系統(tǒng)中各CSCI的規(guī)模的規(guī)模(如如: 功能的數(shù)量功能的數(shù)量)可可能存在較大差別能存在較大差別, 規(guī)模大的規(guī)模大的CSCI對系統(tǒng)可對系統(tǒng)可靠性影響大靠性影響大v同一個同一個CSCI中的功能中的功能, 重要度等級不是完重要度等級不是完全一樣的全一樣的改進重要度分配法步驟 確定整個軟件系統(tǒng)的可靠性需求(s) 確定整個軟件系統(tǒng)的功能數(shù)量(N) 對于每個功能, 確定它的重要度因子(Ci) 確定系統(tǒng)的任務(wù)持續(xù)時間 (T) 確定每個功能在系統(tǒng)任務(wù)期內(nèi)活動時間(i) 計算系統(tǒng)的失效率調(diào)節(jié)因子(K) 計算每個功能分配的失效率指標(i) 分級別累