3.4.5. Объединение показателей надежности

При разработке сложных технических систем, состоящих как из ап­паратной части, так и ПО, возникает необходимость рассчитать комплекс­ный показатель надежности системы, т.е. объединить показатели надежно­сти аппаратной и программной подсистем.

В данном учебном пособии мы будем поступать следующим обра­зом. Надежность ПО зависит как собственно от надежности про­граммы, так и от надежности носителя программы, например, ОЗУ или ПЗУ. На­дежность носителя учитывается при расчете аппаратной части.

В качестве примера рассмотрим типовой передающий полукомплект системы телемеханики (тракт телеизмерений – ТИ), структура которого приведена на рис. 3.8.

Рис. 3.8. Структурная схема передающего полукомплекта системы телемеханики

Для расчета воспользуемся методикой, приведенной в подразд. 2.3.2 и подразд. 2.3.5.Система состоит из датчиков (N = 10), подсистемы сбора информации (ПСИ) и подсистемы передачи информации (ППИ). Никакой избыточности с точки зрения надежности (резервирования, встроенных схем контроля) в системе нет.

Предположим, что датчики не интеллектуальные, т.е. не содержат встроенных программных средств. Пусть датчики однотипные и имеют одинаковые интенсивности отказов λ_д = 4,5·10^–5 1/ч и интенсивности вос­становления μ_д = 2 1/ч.

ПСИ и ППИ реализованы с использованием промышленных кон­троллеров, т.е. наряду с аппаратной частью в них «зашито» программное обеспечение. Надежность носителей ПО (ОЗУ, ПЗУ и т.д.) учтена при оп­ределении надежностных характеристик аппаратной части. Примем, что интенсивность отказов аппаратуры ПСИ λ_{ап_пси} = 10^–7 1/ч, интенсивность восстановления аппаратуры ПСИ μ_{ап пси} = 0,4 1/ч, λ_{ап_ппи}, интенсивность от­казов аппаратуры ППИ λ_{ап_ппи} = 10^–7 1/ч, интенсивность восстановления аппаратуры ППИ μ_{ап ппи} = 0,7 1/ч.

Для ПСИ и ППИ дополнительно выделим надежностные характери­стики программной составляющей – λ_{прг_пси}, μ_{прг пси}, λ_{прг_ппи}, μ_{прг ппи}. Опреде­лим значения надежностных характеристик программной составляющей, используя самую простую статистическую модель надежности ПО (под­разд. 3.4.4).

Пусть число операторов в ПО ПСИ – 2500. Тогда, учитывая, что на 1000 операторов приходится 10 оставшихся в программе ошибок, в ПО ПСИ осталось 25 ошибок, приводящих к отказу системы. Если интенсив­ность отказов из-за одной ошибки – 10^–4 1/ч, то λ_{прг_пси} = 2,5·10^–3 1/ч.

Пусть число операторов в ПО ППИ – 3050. Тогда в ПО ППИ оста­лась 31 ошибка (округлим до ближайшего большего). Следовательно, λ_{прг_ппи} = 3,1·10^–3 1/ч.

После отказа системы вследствие ошибки в ПО следует предпринять несколько шагов. Во-первых, определить по симптомам место ошибки. Во-вторых, исправить эту ошибку. И, наконец, загрузить в контроллер ис­правленную версию ПО. Предположим, что в среднем на указанные шаги и для ПСИ, и для ППИ требуется 5 часов. Тогда интенсивность восстанов­лений μ_{прг пси} = μ_{прг ппи} = 0,2 1/ч. Для приблизительных расчетов надежно­сти ПО (а принятая модель надежности ПО позволяет провести только при­близительный расчет) пересчитывать интенсивность отказов блока, в кото­ром была исправлена ошибка (и, следовательно, общее количество ошибок уменьшилось на единицу), нет смысла.

Определив надежностные характеристики блоков, составим усечен­ный граф переходов передающего полукомплекта (рис. 3.9).

Состояние 0 – все элементы исправны.

Состояние 1 – неисправен один из N датчиков.

Состояние 2 – неисправна аппаратная часть ПСИ.

Состояние 3 – неисправна программная часть ПСИ.

Состояние 4 – неисправна аппаратная часть ППИ.

Состояние 5 – неисправна программная часть ППИ.

Рис. 3.9. Усеченный граф переходов для передающего полукомплекта

Составим по графу систему уравнений:

Решив ее относительно P(0) (поскольку только в этом состоянии система работоспособна), мы найдем значение комплексного коэффици­ента готовности, учитывающего как надежность аппаратного, так и надеж­ность программного обеспечения системы передающего полукомплекта:

K_г = P(0) = 0,738.

Выводы

В данной главе были рассмотрены вопросы, касающиеся построе­ния надежного ПО. Было показано, что определение надежности, введен­ное для аппаратного обеспечения, с некоторыми оговорками применимо и для ПО, сформулированы понятия ошибки в ПО и отказа ПО.

Проектирование надежного ПО выполняется иерархически, по­этапно, при этом каждый этап все более приближает к конечной цели – созданию программного комплекса. Ошибки могут возникать как на лю­бом этапе проектирования ПО, так и на сопряжении этапов. Соответст­венно, наиболее рациональным представляется, что для обнаружения оши­бок каждого этапа следует задействовать проектировщиков предыдущего этапа и разработчиков, готовых приступить к следующему этапу.

На этапе проектирования модулей появляется возможность приме­нить пассивные и активные меры обнаружения ошибок в ПО. Пассивные меры предполагают проводить проверку на допустимость входных дан­ных, а для особенно важных данных вводить избыточность, которая позво­лит обнаружить искажение введенных данных. Активные меры применя­ются реже, поскольку требуют внедрения в ПО параллельно работающего диагностического монитора.

Тестирование разработанного ПО также представляет собой слож­ную проблему. Поход к программе как к «черному ящику» (структура про­граммы неизвестна) требует в качестве теста использовать все возможные комбинации входных данных, что нереально из-за их бесконечного коли­чества. Подход к программе как к «белому ящику» (структура программы известна) позволяет сократить количество тестовых наборов, но не дает гарантии, что будут обнаружены все ошибки. На практике рекомендуется творческое сочетание обоих методов.

Для определения характеристик надежности спроектированного ПО существует целый ряд методик, однако все они базируются на серьезных упрощениях, поэтому авторы взяли для примера, позволяющего оценить комплексную надежность программно-аппаратной системы, самую про­стую статистическую модель. Приведенный в учебном пособии пример расчета комплексного коэффициента готовности технической системы может быть рекомендован в качестве базового при выполнении курсовых и дипломных проектов.