课件03-软件可靠性与安全性-指标分配

1、软件可靠性与安全性第三部分软件可靠性指标及其分配提要软件可靠性度量参数软件可靠性指标分配方法3132参数与指标 可靠性度量参数v是可靠性定量化描述的数学属性是可靠性定量化描述的数学属性 可靠性参数体系v是某种软件产品可靠性的参数的集合是某种软件产品可靠性的参数的集合 可靠性度量指标v是软件某一可靠性参数的要求值是软件某一可靠性参数的要求值 可靠性指标体系v是某种软件所有可靠性参数的要求值是某种软件所有可靠性参数的要求值几种常见的参数 可靠度(Reliability) 失效概率(Failure Probability) 失效强度(Failure Intensity) 失效率(Failure Ra

2、te) 平均失效前时间(MTTF, Mean Time To Failure) 平均失效间隔时间(MTBF, Mean Time Between Failures) 可用性(Availability)可靠度 软件可靠性的基本定义v软件在规定条件下和规定时间内软件在规定条件下和规定时间内, 完成规完成规定功能的概率定功能的概率 软件失效行为的概率描述v在在t0时系统正常的条件下时系统正常的条件下, 系统在时间系统在时间区间区间0,t内能正常运行的概率内能正常运行的概率 用R(t)表示 tTPtR失效概率 软件在规定条件下和规定时间内, 丧失规定功能的概率 用F(t)表示 与可靠度R(t)之间的关

3、系)()(tTPtF)(1)(tRtF失效强度 失效概率的密度函数v单位时间软件系统出现失效的概率单位时间软件系统出现失效的概率 用f(t)表示 如果F(t)是可微分的, 失效强度f(t)是F(t)关于时间的一阶导数 dttdRdttdFtf失效率 软件在0t时刻内没有发生失效的条件下, 在t时刻软件系统的失效强度 又称为v条件失效强度条件失效强度v风险函数风险函数(hazard function) 用(t)表示 tRdttdFtRtft失效率 失效率也是失效数与测试用例、操作事件或操作时间总数的比 单位v失效次数失效次数/时间时间v失效次数失效次数/距离距离v失效次数失效次数/周期周期 例如

4、v0.1次失效次失效/CPU小时小时 失效率 在度量间歇性且不常发生的服务请求的可靠性时, 可使用服务失效率(POFOD)vPOFOD(Probability of failure on demand)v对于使用者提出的请求，系统无法提供服对于使用者提出的请求，系统无法提供服务的概率务的概率 适应于v偶尔有服务请求，并且若无法提供服务则偶尔有服务请求，并且若无法提供服务则会造成严重后果的防护系统会造成严重后果的防护系统v安全关键系统的异常管理部件安全关键系统的异常管理部件平均失效前时间 定义(MTTF)v当前时间到下一次失效时间的均值当前时间到下一次失效时间的均值 计算 应用v度量软件可靠性和

5、可用性度量软件可靠性和可用性NkNtkMTTF1平均失效前时间 举例vSF1: 180, 675, 315, 212, 278, 503, 431vSF2: 477, 1048, 685, 396vSF3: 894, 1422vMTTFSF1 = 2594/7 = 370.57vMTTFSF2 = 2606/4 = 651.5vMTTFSF3 = 2316/2 = 1158平均失效前时间 当失效呈现指数分布时vF(t) = 1-exp (-t/MTTF)vR(t) = exp (-t/MTTF) dx xRMTTF0平均失效间隔时间 定义(MTBF)v两次相继失效之间的时间间隔的均值。两次相继

6、失效之间的时间间隔的均值。MTBF 在实际使用时通常是指当在实际使用时通常是指当 n 很大时，很大时，软件第软件第n次失效与第次失效与第n+1次失效之间的平均次失效之间的平均时间时间平均失效间隔时间 当软件从时刻T1工作到时刻T2, 若发生了 n次失效, 则： 1nTTMTBF12平均失效间隔时间 单位v时间时间v当量纲取距离时，可以用当量纲取距离时，可以用MDBF表示表示v量纲取周期时，可以用量纲取周期时，可以用MCBF表示表示 是失效率的倒数1MTBF平均失效间隔时间 MTBF = MTTF + MTTR Mean Time To Repair (MTTR) 维修包括v确定并修正导致失效的

7、缺陷确定并修正导致失效的缺陷v通过重新启动系统通过重新启动系统, 恢复系统服务恢复系统服务 Mean Time To Restore (MTTR) Mean Time To Disruption (MTTD)可用性 定义(Availability)v需要时软件可用的概率需要时软件可用的概率 计算MTBFMTTF MTTRMTTFMTTF ty Availabili提要软件可靠性度量参数软件可靠性指标分配方法3132原则和因素 基于功能进行分配 选定指标 考虑因素v系统总的可靠性指标系统总的可靠性指标v总的任务时间总的任务时间vCSCI数量数量v各各CSCI的拓扑结构的拓扑结构/操作剖面操作剖面

8、/关键等级关键等级/复杂度复杂度常用方法 顺序执行分配法 并行执行分配法 复杂度因子分配法 操作剖面分配法 重要度分配法顺序执行分配法前提 软件的各个CSCI是顺序执行, 所有CSCI执行时间之和等于系统任务执行时间 所有的CSCI都成功执行才能保证软件不失效 使用失效率指标顺序执行分配法步骤 确定整个软件系统的可靠性需求(s) 确定整个软件系统的CSCI数量(N) 对于每个CSCI, 分配可靠性需求(i)Si并行执行分配法前提 软件的各个CSCI是并行执行, 但这些CSCI代表了整个软件的一系列的功能, 任何一个CSCI的执行不依赖于其他CSCI的执行结果, 所有CSCI执行时间均等于系统任

9、务执行时间 任何一个CSCI失效意味着整个软件系统失效 使用失效率指标并行执行分配法步骤 确定整个软件系统的可靠性需求(s) 确定整个软件系统的CSCI数量(N) 对于每个CSCI, 分配可靠性需求(i)NSi复杂度分配法前提 基于每个CSCI 的相应复杂度分配失效率 计算CSCI复杂度的方法v源代码行数源代码行数v功能点功能点v特征点特征点 使用失效率指标复杂度分配法关键因素 为了保证分配的有效性, 对于每个CSCI必须采用相同的方法 选择的复杂度测量必须能按线性比例转化成失效率(如: 如果CSCI复杂度为4倍, 失效率指标应该是等高的比例) 复杂度更高的CSCI, 失效率指标也更高复杂度分

10、配法步骤 确定整个软件系统的可靠性需求(s) 确定整个软件系统的CSCI数量(N) 对于每个CSCI, 确定它的复杂度因子(Wi), CSCI的复杂度越高, Wi值越高 确定系统的任务持续时间 (T) 确定系统任务持续期内, 每个CSCI的活动时间(i) 计算系统的失效率调节因子(K) 计算每个CSCI分配的失效率指标(i) 复杂度分配法计算方法TwN1iiiKKwiSi失效率调节因子每个CSCI分配的失效率指标操作剖面分配法前提 软件可靠性是由用户的使用决定的, 对于同一个软件, 用户不同的使用方式会导致软件可靠性的变化。操作剖面用于定义软件的使用模型, 刻画用户使用软件的模式vPF = (

11、item1，p1)，(item2，p2)， (itemn，pn) v item1item2itemn 使用失效率指标n1ii1p操作剖面分配法步骤 确定整个软件系统的可靠性需求(s) 确定确定整个软件系统的操作剖面(PF) 对于每个功能，分配可靠性需求(i)iSip重要度分配法前提 基于对软件失效影响认知来分配失效率, 将重要度等级与维持系统运行并且保持故障防护能力联系起来 对于确定的操作模式或CSCI, 如果其重要度等级高, 应分配较低的失效率, 如果其重要度等级较低, 应分配高一些失效率 如果必须为某项特定的操作模式分配特别低的失效率, 就需要采用容错或其它失效缓解设计技术 使用失效率指标

12、重要度分配法步骤 确定整个软件系统的可靠性需求(s) 确定整个软件系统的CSCI数量(N) 对于每个CSCI, 确定它的重要度因子(Ci), 对于系统更为重要CSCI, 赋予较低的Ci 值 确定系统的任务持续时间 (T) 确定系统任务持续期内, 每个CSCI的活动时间(i) 计算系统的失效率调节因子(K) 计算每个CSCI分配的失效率指标(i) 重要度分配法计算方法TCN1iiiKKCiSi失效率调节因子每个CSCI分配的失效率指标重要度分配法重要度等级说明重要度因子关键软件关键软件直接影响系统使用安全和危直接影响系统使用安全和危及人员安全，或影响关键任及人员安全，或影响关键任务完成的软件务完

13、成的软件1重要软件重要软件不影响系统使用安全，但影不影响系统使用安全，但影响任务完成的软件响任务完成的软件4一般软件一般软件不影响系统使用安全和任务不影响系统使用安全和任务完成的软件完成的软件8重要度分配法实例 场景v软件系统的可靠性需求：软件系统的可靠性需求：s =0.00025次失效次失效/任务小时任务小时 v软件系统的软件系统的CSCI数量：数量：5个个v系统的任务持续时间：系统的任务持续时间：T = 5小时小时 重要度分配法实例CSCI标识重要度因子执行时间CSCI183CSCI212CSCI345CSCI443CSCI513重要度分配法实例 计算系统失效率调节因子K TCCCK554

14、4332211CC 5)3)(1 ()4)(3(542138= 12.2 重要度分配法实例 计算各CSCI非规格化失效率指标(次失效/任务小时 )KC1S1= 0.00025(8/12.2) = 0.000164KC2S2= 0.00025(1/12.2) = 0.000020KC3S3= 0.00025(4/12.2) = 0.000082KC4S4= 0.00025(4/12.2) = 0.000082KC5S5= 0.00025(1/12.2) = 0.000020重要度分配法实例 规格化(次失效/任务小时) (0.00025/0.000368) =0.679351= (0.000164

15、)(0.67935) = 0.0001112= (0 000020)(0.67935) = 0 0000143= (0.000082)(0.67935) = 0.0000564= (0.000082)(0.67935) = 0.0000565= (0 000020)(0.67935) = 0 000014重要度分配法改进 需要考虑的问题v系统中各系统中各CSCI的规模的规模(如如: 功能的数量功能的数量)可可能存在较大差别能存在较大差别, 规模大的规模大的CSCI对系统可对系统可靠性影响大靠性影响大v同一个同一个CSCI中的功能中的功能, 重要度等级不是完重要度等级不是完全一样的全一样的改进重要度分配法步骤 确定整个软件系统的可靠性需求(s) 确定整个软件系统的功能数量(N) 对于每个功能, 确定它的重要度因子(Ci) 确定系统的任务持续时间 (T) 确定每个功能在系统任务期内活动时间(i) 计算系统的失效率调节因子(K) 计算每个功能分配的失效率指标(i) 分级别累