3. Описание модели Нельсона

   1. Обоснование выбора модели Нельсона

Модель Нельсона была разработана с учетом основных свойств машинных программ и использует методы теории вероятностей лишь в тех случаях, когда невозможно получение полной информации о том или ином факторе, например при ответе на вопрос, какой набор входных данных следует взять при следующем прогоне программы. Все приближения, принятые модели, четко определены, и известны границы их применимости. Поскольку в основу модели Нельсона положены свойства программного обеспечения, она допускает развитие за счет более детального описания других аспектов надежности. Некоторые из полученных обобщений модели [ТЛН] могут рассматриваться в контексте исследования проблемы безопасности программ и рассматриваются ниже. Вследствие отмеченных особенностей модели ее можно рассматривать в целом как математическую теорию надежности программного обеспечения, а не как простую модель надежности.

2. Общее описание модели

Описание метода Нельсона приведем в соответствии с работой [ТЛН]. Для описания введем сначала следующие обозначения.

Совокупность действий, включающая ввод E_i, выполнение программыП, которое заканчивается получением результатаF'(E_i) называется прогоном программыП. Необходимо также отметить, что значения входных переменных, образующиеE_i, не должны все одновременно подаваться на вход программП. Таким образом, вероятностьPтого, что прогон программы приведет к обнаружению дефекта, равна вероятности того, что набор данныхE_i, используемый в данном прогоне, принадлежит множествуE_e. Если обозначить черезn_eчисло различных наборов значений входных данных, содержащихся вE_e, тоP=n_e/N- есть вероятность того, что прогон программы на наборе входных данныхE_i, случайно выбранном изEсреди равновероятных, закончится обнаружением дефекта. При этомR=1-P- есть вероятность того, что прогон программыПна наборе входных данныхE_i, случайно выбранном изEсреди априорно равновероятных, приведет к получению приемлемого результата.

Однако в процесс функционирования программы выбор входных данных из Eобычно осуществляется не с одинаковыми априорными вероятностями, а диктуется определенными условиями работы. Эти условия характеризуются некоторым распределением вероятностейp_i, того, что будет выбран набор входных данныхE_i. РаспределениеPможет быть определено черезp_iс помощью величиныy_i, которая принимает значение 0, если прогон программы на набореE_iзаканчивается вычислением приемлемого значения функции, и значением 1, если этот прогон заканчивается обнаружением дефекта. Поэтому- есть вероятность того, что прогон программы на наборе входных данныхE_i, выбранных случайно с распределением вероятностейp_i, закончится обнаружением дефекта. При этомR=1-Pесть вероятность того, что прогон программыПна наборе входных данныхE_i, выбранных случайно с распределением вероятностейp_i, приведет к получению приемлемого результата.

Так как R- вероятность того, что единичный прогон программы не закончится отказом на наборе входных данных, выбранных в соответствии с распределениемр_i, то вероятность успешного выполненияп прогонов этой программы при независимом для каждого прогона выборе входных данных в соответствии с распределениемРбудет равнаR(п)=R=(1-Р)ⁿ.

Таким образом, можно дать следующее математическое определение надежности машинной программы: надежность программы -это вероятность безотказного выполнения п прогонов программы. Поэтому прогон является единичным испытанием программы.

На практике обычно выбор входных данных для каждого прогона нельзя считать независимым. Исключение составляют лишь такие последовательности прогонов, которые определяются возрастающими значениями и некоторой входной переменной или некоторым порядком установленных процедур, как в случае программ, работающих в реальном масштабе времени.

С учетом введенного определения функциональный разрез должен быть переопределен в терминах вероятностей p_jiвыбораE_i в качестве входных данных приj-том прогоне из некоторой последовательности прогонов. Тогда вероятность того, чтоj-тый прогон закончится отказом, может быть записана в видеP_i=.

Надежность R(п) программыПравна вероятности того, что в последовательности изп прогонов ни один из них не закончится отказом:

R(n)=(1-P_i)(1-P₂)...(1-P_n)=

Эта формула может быть представлена в виде .

Некоторые из свойств функции R(n) могут стать более зримыми при следующих допущениях:

для P_j<<1

,

если P_j=Pдля всехj, то

R(n)=.

С помощью соответствующих замен переменных и подстановок можно выразить функцию R(n) через время функционированияt. Обозначим черезt_jвремя выполненияj-того прогона, через- суммарное время выполнения первыхjпрогонов программыnпримем, что .Тогда .

Если величина t_j стремится к нулю с ростомn, то сумма в показателе экспоненты становится интегралом и формула для надежности программного обеспечения принимает вид

Эта формула хорошо известна в теории надежности технических устройств. В случаеP_j<<1 функцияh(t_j) может быть интерпретирована как функция интенсивности отказов, которая, будучи умноженной наt_j, дает условную вероятность появления отказов и интервале (t_j,t_j+t_j) при отсутствии отказов до моментаt_j.