ОригиналЭТН. - MSTUCA
advertisement
3
ВВЕДЕНИЕ
Одним из наиболее общих показателей качества технической системы
является ее эффективность. Под эффективностью системы принято понимать
совокупность свойств, определяющих степень приспособленности системы к
выполнению
поставленных
перед
ней
задач.
Эффективность
телекоммуникационных систем (ТКС) зависит от большого количества
разнообразных факторов. Наиболее важными из них являются точность
решения задачи, быстродействие, универсальность в отношении многообразия
решаемых задач, эффективность математического обеспечения, экономическая
эффективность и др. Неотъемлемым показателем эффективности является
надежность системы. Под надежностью системы понимают свойство,
обеспечивающее возможность выполнения системой заданных функций с
заданными характеристиками в течение заданного интервала времени при
заданных эксплуатационных условиях. Итак, эффективность системы –
наиболее общая характеристика качества функционирования системы,
включающей в себя надежность [2].
Теория надежности – это научная дисциплина, занимающаяся вопросами
анализа и синтеза систем по критерию эффективности. Более частой задачей
теории надежности является разработка методов анализа и синтеза по
количественным критериям надежности.
В зависимости от того, рассматривают ли полный перечень требований к
системам, установленный нормативно–технической документацией (НТД), или
только перечень тех требований, которые необходимы для выполнения
заданных конкретных функций, различают состояния системы исправное и
неисправное, работоспособное и неработоспособное.
Изменения состояния ТКС носят случайный характер и, следовательно,
наиболее полно описываются функциями распределения соответствующих времён.
На практике показатель эффективности выбирают так, чтобы от был
критичен к тем факторам, влияние которых на систему наиболее существенно в
рассматриваемой конкретной ситуации. Например, для вычислительных
систем, являющихся звеном контура управления, эффективность прежде всего
определяется быстродействием, обеспечивающим возможность работы в
натуральном масштабе времени; характеристиками входных и выходных
сигналов, обеспечивающих удобство согласования с датчиками и
исполнительными органами; надежностью, которая имеет особое значение, так
как невыполнение функций, возложенных на систему, может привести к
серьезным последствиям.
Поэтому, при проектировании и эксплуатации технических систем
необходимо производить комплексную оценку системы по показателям
эффективности с учетом надежности, стремясь к максимальной эффективности
системы.
Состояние, при котором система соответствует всем требованиям,
установленным НТД, называется исправным (исправностью). Если же система
не соответствует хотя бы одному требованию НТД, то она находится в
4
неисправном состоянии (неисправность). Нарушение исправности системы
называется повреждением.
Достаточно сложная система, находясь в состоянии неисправности,
может тем не менее выполнять конкретные функции, возложенные на нее.
Состояние системы, при котором она способна выполнять заданные функции,
сохраняя при этом значения заданных параметров в пределах, установленных
нормами НТД, называется работоспособным (работоспособностью). Если
значение хотя бы одного параметра, характеризующего способность системы
выполнять заданные функции, не соответствует НТД, то система находится в
неработоспособном
состоянии
(неработоспособность).
Нарушение
работоспособности системы называется отказом.
Надежность
системы
является
комплексным
показателем,
объединяющим следующие группы показателей: безотказность, сохраняемость,
долговечность и ремонтопригодность.
Безотказность
–
свойство
системы
непрерывно
сохранять
работоспособность в течение некоторого интервала времени.
Сохраняемость – свойство системы непрерывно сохранять исправное и
работоспособное состояние в течение хранения и (или) транспортирования.
Долговечность – свойство системы сохранять работоспособность до
наступления предельного состояния с необходимыми перерывами для
технического обслуживания. Под предельным состоянием подразумевается
состояние системы, при котором его дальнейшая эксплуатация должна быть
прекращена.
Ремонтопригодность – приспособленность к предупреждению и
обнаружению причин возникновения отказов, повреждений и устранению их
последствий путем проведения ремонтов и технического обслуживания.
В теории надежности различают две основные категории отказов:
внезапные и постепенные. Внезапный отказ возникает вследствие
скачкообразного изменения выходного параметра системы, в результате чего
он оказывается вне области допустимых значений. Причинами внезапных
отказов являются, например, обрывы, нарушения контактов, короткие
замыкания и др. По характеру проявления такой отказ – устойчивый, т.е.
приводит к потере работоспособности аппаратуры на время устранения отказа.
Постепенный отказ возникает вследствие дрейфов параметров системы под
влиянием внешних факторов: изменения температуры среды, влажности,
питающих напряжений, времени и др.
Кроме того, необходимо отметить, что для ТКС в защищенном
исполнении, характерен двойной подход к оценки надежности. Он заключается
в возможных вариантах ответов на вопрос о работоспособности системы [7, 8]:
1) работает ли безотказно сама ТКС и средства защиты информации (ЗИ)?
2) не произошёл ли отказ только средств ЗИ?
Причем расчет показателей надежности аппаратных средств ЗИ
полностью аналогичен методам анализа надежности иных сложных систем, а
анализ надежности программных средств ЗИ имеет свои особенности.
Далее рассмотрим основные характеристики надежности и методы их
определения.
5
1.
ХАРАКТЕРИСТИКИ НАДЕЖНОСТИ ТКС
Показатели надежности – это количественные характеристики свойств,
определяющих надежность системы. Если показатели характеризуют одно из
свойств надежности, то они называются единичными. Различают единичные
показатели
безотказности,
ремонтопригодности,
сохраняемости,
долговечности. Если показатели характеризуют одновременно два (или более)
свойства надежности, то они называются комплексными. Наиболее часто
комплексные показатели используют для количественной оценки безотказности
и ремонтопригодности восстанавливаемых систем.
1.1. Характеристики надежности простых систем
Единичные показатели надежности. Среди единичных показателей
надежности рассмотрим следующие [4].
Показатели безотказности. Отказ системы является случайным событием.
Интервал времени от момента включения системы до первого отказа
представляет собой случайную величину и называют наработкой до первого
отказа.
Вероятность безотказной работы
это вероятность того, что
наработка до первого отказа превышает заданную величину :
(1.1)
Если предположить, что в момент включения система исправна, то
функция
представляет собой монотонно убывающую функцию от (при
) до (при
).
Вероятность отказа
это вероятность того, что наработка до первого
отказа не превышает заданную величину :
(1.2)
Функция
представляет собой функцию распределения времени
наработки до первого отказа.
Такие два события, как отказ и работоспособность, образуют полную
группу событий, поэтому
(1.3)
Если функция распределения
дифференцируема, то безотказность
можно характеризовать полностью вероятностей момента первого отказа,
которая называется параметром потока отказов или частотой отказов
:
(1.4)
Вероятность отказа
и вероятность безотказной работы
быть выражены через параметр потока отказов:
могут
(1.5)
6
(1.6)
Распределение вероятностей наработки до первого отказа называется
аналитической моделью безотказности.
Средняя наработка до отказа
это математическое ожидание
наработки до первого отказа, иначе называемое среднем временем до отказа
или средним временем безотказной работы. Как математическое ожидание
непрерывной случайной величины, среднее время безотказной работы:
(1.7)
Удобно выразить среднее время безотказной работы через вероятность
безотказной работы. Интегрируя по частям уравнение (1.7), получим
Для восстанавливаемых систем иногда более удобной характеристикой
оказывается среднее время между отказами
, которое представляет собой
отношение времени исправной работы системы к математическому ожиданию
количества отказов в течение этого времени. Если после каждого отказа
система восстанавливается до первоначального состояния, то среднее время
между отказами равно среднему времени безотказной работы:
.
Интенсивность отказов
это условная плотность вероятности отказа
системы в момент времени при условии, что от начала до момента система
работала безотказно.
Рассмотрим на оси времени момент , от которого отложим интервал
времени длиной . Пусть случайное событие состоит в том, что первый отказ
в системе наступит на интервале , не превосходящим величину
, т.е. при
. Пусть случайное событие
состоит в том, что первый отказ в
системе наступит на интервале, превосходящим величину , т.е. при
.
Тогда произведение событий
состоит в том, что отказ появится на
интервале , следующим за интервалом безотказной работы системы. Найдем
условную вероятность того, что первый отказ произойдет на интервале ,
следующим за интервалом , на котором система проработала без отказа:
Интенсивность отказа
условной вероятности отказа
:
представляет собой предел отношения
к длине интервала при условии, что
7
(1.8)
или
(1.9)
При
значение
. Интегрируя выражение (1.8), получим
или
(1.10)
Выражение (1.10) определяют как основное уравнение надежности. [1].
Через интенсивность отказа можно выразить частоту отказа, если
воспользоваться выражениями (1.9), (1.10):
(1.11)
Наибольшее распространение на практике получил экспоненциальный
закон распределения наработки до первого отказа, при котором частота отказа,
интенсивность отказа, вероятность безотказной работы и среднее время
безотказной работы определяется соответственно как
(1.12)
Теоретические распределения наработки до отказа
В теории надежности для оценки характеристики её составляющих
наиболее часто используются законы распределения наработок до отказа,
которые позволяют определить различные зависимости от наработки
основного параметра – вероятность безотказной работы, представленные в
табл. 1.1.
Если принять, что для различных законов распределения средняя
наработка до отказа примерно одинакова, то функции надежности имеют вид,
представленный на рис. 1.1.
8
Таблица 1.1
Области применения теоретических наработок до отказа
Характеристики
ТКС
Вид распределения
Функция плотности
распределения
времени наработки
до отказа
Разнородные
элементы с
различными
характеристикам
и
Показательные
Изделия, отказы которых
вызваны многими факторами
Постепенные отказы ЭВП,
транзисторов, ИМС,
резисторов
и т.п.
Отказы ТКС, наработка
между которыми есть
сумма независимых
случайных величин
Нормальные
Вейбула и Релея*
Гамма
Вероятность
П
А безотказной работы
Р
А
М Наработка на отказ
Е
Т
Р
Дисперсия
Ы наработки до отказа
Вспомогательные
параметры
параметры масштаба
9
Рис. 1.1. Функции распределения времени безотказной работы
На рис. 1.1 показаны: 1 – показательное распределение; 2 – равномерное;
3 - нормальное усеченное
; 4 – гамма-распределение при
(аналогичный вид имеют распределение Вейбула при
и распределение
Релея при
); 5 – гамма-распределение при
(такой же вид у
распределения Вейбула при
).
Области применения теоретических распределений можно в общих
чертах определить следующим образом [3]:
1) показательное (экспоненциальное) распределение – для простейших
потоков отказов; для сложных систем, состоящих из разнородных элементов с
отличающимися
характеристиками;
при
ограниченном
объеме
статистических данных об отказах объекта;
2) нормальное распределение – для простых электронных, механических
и других изделий с однородными характеристиками деградации и имеющими
малый разброс скорости износа:
при анализе надежности в случае простейших отказов;
для функциональных элементов, отказы которых вызываются
различными факторами, но каждый из них влияет на возникновение отказов
незначительно по сравнению с другими;
3) распределения Вейбула (Вейбула–Гнеденко) и Релея:
для
простейших
отказов
электровакуумных
приборов,
полупроводников, резисторов и др. радиоэлементов;
для отказов, вызываемых старением и износом;
для описания надежности нерезервированных ТКС, состоящих из
многочисленных комплектующих элементов;
4) гамма – распределение (распределение Эрланга):
для определения показателей безотказности ТКС в период
приработки;
10
для описания отказов, наработка между которыми есть сумма
независимых случайных наработок, имеющих одинаковые распределения;
для функциональных элементов с цифровой обработкой информации
на этапе нормальной эксплуатации.
Показатели ремонтопригодности. Будем считать, что интервал времени от
момента возникновения отказа до момента восстановления складывается из
интервалов времени, затрачиваемых на обнаружение отказа, поиск его причины
и устранение, и представляет собой случайную величину , полным описанием
которой является ее закон распределения.
Вероятностью восстановления
называется вероятность того, что
после наступления отказа работоспособность системы будет восстановлена за
время, не превышающее заданное время :
(1.13)
Функция
представляет
собой
интегральную
функцию
распределения случайной величины .
Вероятность невосстановления
это вероятность того, что после
наступления отказа работоспособность системы не будет восстановлена к
рассматриваемому моменту времени , т.е.
(1.14)
Параметр потока восстановлений
представляет собой плотность
вероятности восстановления, определенную для рассматриваемого момента
времени :
(1.15)
и часто называется частотой восстановления. Принято называть распределение
вероятностей длительности интервалов восстановления математической
моделью восстанавливаемости системы.
Среднее время восстановления
это математическое ожидание
времени восстановления работоспособности:
(1.16)
Интенсивность восстановления
представляет собой условную
плотность вероятности восстановления системы в момент времени
при
условии, что после отказа система не была восстановления до момента :
(1.17)
Вероятность восстановления
может быть
интенсивность восстановления
следующим образом:
выражена
через
11
(1.18)
Комплексные показатели надежности. Наиболее распространенными
комплексными показателями являются следующие.
Функция готовности
характеризует вероятность работоспособности
состояния системы в производный момент времени . Вероятность того, что в
производный момент времени система будет находиться в состоянии отказа,
называется функцией простоя
. Очевидно, для любого момента времени
справедливо соотношение
(1.19)
Асимптотическое значение функции готовности при неограниченном
возрастании называется коэффициентом готовности:
(1.20)
Асимптотическое значение, к которому стремиться функция простоя при
неограниченном увеличении времени, называется коэффициентом простоя:
(1.21)
При довольно общих предположениях можно показать, что
(1.22)
Отметим, что выражение (1.22) характеризует готовность системы в
стационарном режиме, т.е. не учитывает возможность использования системы в
необходимый момент времени. Этот недостаток устраняется введением
коэффициента оперативной готовности
, определяемым следующим
соотношением:
(1.23)
где
вероятность безотказной работы.
Также к комплексным показателям относится коэффициент технического
использования
:
(1.24)
В (1.24)
время продолжительности технического обслуживания,
зависящее от формы регламентных работ, проводимых на конкретном изделии.
1.2. Характеристики надежности сложных систем
Отличительными особенностями сложных систем, примерами которых
могут служить большинство ТКС, являются: многоканальность – наличие
нескольких каналов, предназначенных для выполнения определенных функций,
частных по отношению к общей задаче системы; наличие вспомогательных и
дублирующих устройств. Благодаря такой структурной избыточности отказ
отдельных элементов не вызывает полного отказа системы, т.е. прекращения
выполнения системой заданных функций, но ухудшает качество ее
12
функционирования. В связи с этим при количественной оценке надежности
сложных систем необходимо выбирать такие показатели, которые
характеризовали бы изменение эффективности системы, обусловленное
отказами ее элементов. Связь между показателями эффективности системы и
надежностью отдельных элементов наиболее часто устанавливают двумя
способами.
Первый способ заключается в определении снижения эффективности
системы из–за возникновения отказов отдельных элементов. При этом
необходимо каким–либо образом вычислить «идеальное» значение
эффективности
при абсолютно надежных элементах и «реальное» значение
эффективности , учитывающей фактическую надежность элементов. Разность
характеризует снижение эффективности. Обычно используют
нормированное значение разности
Второй способ заключается в определении среднего значения
эффективности системы с учетом изменений ее в процессе функционирования
вследствие отказов элементов. Если
множество возможных состояний
системы,
вероятность пребывания системы в состоянии ,
условный
показатель эффективности, вычисленный при условии, что системы находится
в
состоянии, то эффективность системы
(1.25)
Обычно в качестве условных показателей эффективности используют
нормированные показатели. Нормирование осуществляется показателем
эффективности «главного» состояния, в котором все элементы системы
исправлены. В этом случае показатель эффективности
(1.26)
где:
.
При оценке эффективности вычислительных систем необходимо
принимать во внимание, что с точки зрения пользователя работа ТКС может
быть представлена как решение одного или нескольких потоков задач. Это
характерно для режимов реального времени, разделения времени, пакетной
обработки и др. В этих условиях наиболее естественным показателем качества
функционирования ТКС является достоверность.
Под достоверностью ТКС обычно понимают количественную меру
правильности выходных данных. При этом достоверность функционирования
ТКС зависит не только от надежности аппаратурной части ТКС, но и от
алгоритма обработки информационным процессом. Достоверность зависит
также от характеристик входящего потока задач, их важности, допустимого
времени решения. Если ТКС обрабатывает один поток задач, то достоверность
13
ТКС обычно определяется как вероятность получения правильного результата,
численно равная отношению количества правильно решенных задач за
достаточно большой интервал времени [2].
При параллельной обработке нескольких потоков задач необходимо
ввести обобщенный критерий достоверности, в качестве которого наиболее
часто используют среднюю достоверность
, численно равную взвешенной
сумме достоверности решения задач всех потоков:
(1.27)
где
весовой коэффициент, отражающий значимость задач
го потока
(весовые коэффициенты должны удовлетворять условию нормировки
);
достоверность решения задач
го потока.
Рассмотрим наиболее подробно описанные характеристики для
восстанавливаемых (ВН) и невосстанавливаемых (НВН) изделий.
Критерии и показатели надежности для невосстанавливаемых
изделий
Вероятностные характеристики наработки
являются показателями
безотказности НВО. Их особенность состоит в том, что они определяются по
результатам наблюдения за некоторым множеством экземпляров однотипных
изделий, но используются в качестве показателей надежности каждого
конкретного изделия. Поэтому в дальнейшем кроме вероятностного приводится
и статистическое определение, которое можно использовать как один из
способов статистической оценки искомой вероятностной характеристики.
Вероятность безотказной работы
. Как отмечалось ранее
(1.28)
По статистическим данным об отказах вероятность безотказной работы
определяют по формуле:
1.3.
(1.29)
где
число изделий в начале наблюдения;
число отказавших за
время изделий. В начальный момент времени
, если при включении
отказы невозможны, и
, если при включении изделие может
отказать. При увеличении времени вероятность
монотонно уменьшается и
для любых технических изделий асимптотически приближается к нулю.
Вероятность отказа
есть вероятность того, что при заданных
условиях эксплуатации в течение заданной наработки произойдет хотя бы один
отказ, то есть
(1.30)
очевидно, что
14
(1.31)
Из (1.29) и (1.31) следует, что
(1.32)
можно трактовать как функцию
Согласно (1.30) функцию
распределения случайной величины .
Дифференциал функции
называется элементом вероятности и
представляет собой вероятность того, что отказ произойдет в бесконечно малой
окрестности точки :
(1.33)
Частота отказов
есть плотность распределения времени безотказной
работы (наработки) изделий до первого отказа. Согласно вероятностному
определению
(1.34)
При наблюдении за работой
изделий можно определить частоту
отказов как отношение числа отказавших за единицу времени изделий к
общему числу изделий при условии, что отказавшие изделия не
восстанавливаются:
где
число отказавших изделий в
интервале
Интенсивность отказов
.
. Согласно вероятностному определению
(1.35)
По статистическому определению, интенсивность отказов есть
отношение числа отказавших в единицу времени изделий к среднему числу
работоспособных на рассматриваемом отрезке времени изделий:
где Ncp N (0) n t t 2 n t t 2 2 .
Поскольку существует однозначная связь между функциями
, достаточно задать лишь одну из них, чтобы по формулам
связи найти все остальные, то есть в смысле полноты сведений о надежности
15
изделия эти функции эквивалентны. Они определяются по статистическим
данным о количестве отказов невосстанавливаемых изделий.
Если же до начала интересующего нас интервала времени изделие уже
проработало в течение времени , то для оценки надежности необходимо
вводить условные показатели при условии, что изделие уже некоторое время
проработало безотказно. Рассмотрим ряд параметров, считая, что одна из
функций
известна.
Вероятность безотказной работы
. Вероятность безотказной работы
в интервале
определяется как вероятность того, что отказа не будет в
интервале
при условии, что его не было в течение времени :
(1.36)
Прочие показатели надежности определяются по формулам
(1.37)
Средняя наработка до первого отказа
есть математическое ожидание
наработки до первого отказа . Используя определение элемента вероятности
(1.33), можно записать:
(1.38)
Если функция
получим:
дифференцируема при всех
Заменяя в (1.38)
на
свойства функции
, имеем
, то из (1.38) и (1.34)
, интегрируя по частям и учитывая
(1.39)
Отсюда следует, что средняя наработка до первого отказа равна площади
под кривой
на всей полуоси
.
По результатам наблюдения за работой до отказа всех
изделий
можно составить следующую статистическую оценку средней наработки до
первого отказа
16
где
наработка до отказа
го изделия.
Средняя остаточная наработка до отказа
есть математическое
ожидание случайной величины
при условии, что
. Используя
функции (1.36) и (1.10), составим выражение для средней остаточной наработки
до первого отказа:
(1.40)
При
функции (1.36), (1.37) и (1.40) совпадают с (1.28), (1.31), (1.34),
(1.35) и (1.38).
Показатели долговечности. При определении показателей долговечности
вводятся следующие случайные величины: ресурс
суммарная наработка
изделия от начала эксплуатации до перехода в предельное состояние,
установленное в технической документации; срок службы
календарная
продолжительность службы изделия от начала его эксплуатации до перехода в
предельное состояние. Различают средний, гамма–процентный и назначенный
ресурсы (срок службы). Средний и гамма–процентный ресурсы (срок службы) –
это соответственно математическое ожидание случайной величины
и
квантиль по уровню вероятности , выраженному в процентах. Назначенный
ресурс (срок службы) – это суммарная наработка (календарная
продолжительность), по достижении которой эксплуатация изделия
прекращается независимо от его технического состояния. Остаточный ресурс
(срок
) – это суммарная наработка от момента контроля технического
состояния до перехода в предельное состояние. Аналогично вводится понятие
остаточного
срока
хранения
.
Для
случайных
величин
используются
такие
же
характеристики.
Показатели
сохраняемости. Для оценки сохраняемости рассматривают характеристики
случайной величины – срока сохраняемости, определяемой как
продолжительность
хранения
и/или
транспортирования
изделия,
характеризующих способность изделия выполнять заданные функции. В
качестве показателя сохраняемости используют средний и гамма–процентный
сроки сохраняемости.
Критерии и показатели надежности для восстанавливаемых
изделий
Эксплуатация данных изделий продолжается до тех пор, пока они не
выработают ресурс или их эксплуатация становится нецелесообразной.
Очевидно, что для подобных изделий необходимо знать параметры процесса
функционирования после первого отказа. С этой целью в теории надежности
изучаются характеристики следующих случайных величин наработки между
1.4.
17
отказами
, времени восстановления после
го отказа
наработки до
отказа
, полного времени до
го восстановления
отказов до
получения наработки
, числа моментов восстановления за время
,
суммарной наработки в интервале
, суммарного времени
восстановления в интервале длительностью
.
Характеристики этих случайных величин как раз и являются
показателями надежности восстанавливаемых изделий. При формулировке
определений будем использовать следующие обозначения:
распределение наработки до
го первого отказа,
распределение времени до
го восстановления,
вероятность возникновения
отказов до получения наработки
,
вероятность
возникновения
моментов
восстановления за время . Рассмотрим теперь показатели надежности.
Показатели ремонтопригодности. К ним относится вероятность
восстановления за время
, вероятность
того,
что восстановление не закончится за время ; плотность распределения времени
восстановления
;
интенсивность
восстановления
; среднее время восстановления соответствует формулам:
где
число отказов,
длительность
го восстановления.
Среднее число отказов
до наработки
есть математическое
ожидание случайной величины
. Используя введенные ранее обозначения,
можем записать
учитывая, что события
соотношение
и
эквивалентны, получаем
Из (1.38) имеем
Из (1.39) следует, что дифференциал функции
есть вероятность
того, что в бесконечно малой окрестности точки произойдет отказ изделия,
18
причем необязательно впервые. Статистическую оценку среднего числа отказов
получают следующим образом. Пусть в начальный момент времени поставлено
на эксплуатацию
изделий. После отказа изделие ремонтируется или
заменяется новым. Так происходит до тех пор, пока на каждом рабочем месте
не будет достигнута наработка . Если суммарное число отказов всех
изделий равно
, то среднее число отказов
(1.40)
По форме правая часть (1.40) совпадает с (1.29). Однако
и
совершенно различные функции, так как в (1.29) рассматриваются
невосстанавливаемые изделия, а в (1.40) – восстанавливаемые. В первом случае
число работоспособных изделий уменьшается со временем, а во втором случае
оно неизменно и равно
. Поэтому при прочих равных условиях
в
(1.40) обычно больше, чем в (1.29), за счет повторных отказов изделий.
Среднее число моментов восстановления
на интервале времени
есть математическое ожидание случайной величины
. Согласно
определению:
(1.41)
Дифференциал функции
есть вероятность того, что в бесконечно
малой окрестности точки
работоспособность изделия восстанавливается,
причем необязательно впервые.
Параметр (интенсивность) потока отказов
. Согласно вероятностному
определению,
(1.42)
Если учесть формулу (1.39), то можно записать
(1.43)
где
плотность распределения наработки до
го отказа. Согласно
статистическому определению, параметр потока отказов есть среднее число
отказов восстанавливаемого изделия в единицу времени. Определяется этот
параметр по формуле:
(1.44)
где:
число отказов до наработки
.
Параметр потока восстановлений
есть среднее число моментов
восстановления в единицу времени. Формулы для
получают из (1.44)
19
после замены в них числа отказов на число моментов восстановления. Так из
(1.42) – (1.44) имеем
Средняя наработка на отказ . Согласно вероятностному определению,
для периода от наработки до наработки
средняя наработку на отказ по
статистическим данным:
В частности, при
имеем
Стационарное значение средней наработки на отказ
(1.45)
Если наблюдение за изделием проводится не до наработки , а в течение
времени , то статистическая оценка средней наработки на отказ получается из
выражения
где
число отказов за время ;
наработка от момента последнего
восстановления до момента .
Показатели надежности
являются комплексными, так
как зависят от показателей безотказности и ремонтопригодности. Остальные
показатели – единичные. Рассмотрим теперь другие комплексные показатели
надежности восстанавливаемых изделий.
Нестационарный коэффициент готовности
есть вероятность того,
что изделие окажется в работоспособном состоянии в момент времени в
периоде применения по назначению. Используя статистические данные, можно
оценить нестационарный коэффициент готовности с помощью соотношения
(1.46)
где
число работоспособных в момент времени изделий из общего
числа изделий
.
Коэффициент готовности (стационарный коэффициент готовности)
.
Если проанализировать зависимость нестационарного коэффициента
готовности от времени, то можно заметить, что он изменится от 1 при
до
20
некоторого постоянного значения, называемого стационарным коэффициентом
готовности, или просто коэффициентом готовности. Поскольку коэффициент
готовности не зависит от времени, то его определяют как вероятность того, что
изделие окажется в работоспособном состоянии в произвольный момент
времени, за исключением планируемых периодов, в течение которых
применение изделия по назначению не предусматривается. Стационарный
период эксплуатации, когда
становится достаточно близким к своему
предельному значению
, наступает по истечении некоторого промежутка
времени, называемого переходным периодом. Строго математически
переходной период длится бесконечно долго, так как функция
приближается к только асимптотически, а поэтому
(1.47)
Из (1.46) и (1.47) следует, что для коэффициента готовности может быть
использована статистическая оценка
где
число работоспособных изделий из общего количества
в
произвольный момент времени стационарного периода эксплуатации.
В режиме МКЦП коэффициент готовности имеет также следующую
трактовку – это вероятность успешного выполнения одного цикла работ очень
малой длительности по заявке, поступающей в момент или в произвольный
момент времени. Если заявка может появиться в случайный момент
переходного периода
, то используют среднее значение коэффициента
готовности
Статистическую оценку этой характеристики находят по формуле:
где
и
суммарная наработка и суммарное время восстановления
го изделия в интервале
;
число испытываемых изделий;
суммарное число отказов за время . Очевидно, что при монотонно убывающей
21
функции
среднее значение коэффициента готовности
Кроме того, выполняется соотношение
.
(1.48)
где:
средняя наработка на отказ;
среднее время восстановления.
Для оценки надежности изделий, работающих в режиме МКЦП с
длительностью одного цикла , используют комплексный показатель –
коэффициент оперативной готовности в двух вариантах.
Нестационарный коэффициент оперативной готовности
есть
вероятность того, что изделие окажется в работоспособном состоянии и будет
работать безотказно еще в течение заданного интервала времени (заданной
наработки) . С увеличением зависимость от момента времени поступления
заявки на выполнение работ уменьшается и функция
асимптотически
приближается к величине
, называемой стационарным коэффициентом
оперативной готовности, или просто коэффициентом оперативной готовности
Коэффициент оперативной готовности
есть вероятность того, что
изделие окажется работоспособным в произвольный момент времени, и
начиная с этого момента будет работоспособным еще и в течение заданного
времени (заданной наработки). Связь между показателями надежности
выражается формулами:
;
(1.49)
Вероятность
отличается от вероятности безотказной работы
,
определенной формулой (1.25), так как до получения информации изделие
некоторое время было работоспособным. Поэтому
где
остаточное время безотказной работы.
Следующие два показателя надежности используют тогда, когда в
изделии могут возникать скрытые отказы, то есть когда система контроля и
диагностирования (СКД) не идеальна и не обеспечивает мгновенное и
достоверное обнаружение отказов.
Коэффициент контролируемой готовности
есть вероятность того,
что, согласно показаниям СКД, изделие работоспособно в произвольный
момент времени периода применения по назначению. С помощью средних
значений интервалов можно найти
по формуле:
22
где:
средняя наработка на отказ;
среднее время восстановления;
среднее время пребывания в состоянии скрытого отказа. При тех же условиях
коэффициент готовности
Отсюда следует, что
.
Вероятность безотказного применения
есть вероятность того, что
до наработки скрытый отказ не проявится при условии, что его не было в
начальный момент времени. Из определения следует формула связи
(1.50)
Сравнивая (1.50) и (1.49), получим:
(1.51)
Очевидно, что
. Равенство имеет место только при
.
Для изделий, допускающих в процессе эксплуатации плановое техническое
обслуживание, вводится еще один показатель – коэффициент технического
использования.
Коэффициент технического использования
есть отношение
математического ожидания суммарного времени пребывания изделия в
работоспособном состоянии за некоторый период эксплуатации к
математическому ожиданию суммарного времени пребывания изделия в
работоспособном состоянии и простоев, обусловленных техническим
обслуживанием и ремонтом за тот же период
Статистической оценкой
отношения:
при наблюдении за
изделиями являются
23
где
суммарные значения фактической наработки, времени
восстановления и времени технического обслуживания
го экземпляра
изделия.
Вопросы и задания для самоконтроля
1. Дайте определения возможным функциональным состояниям сложной
системы.
2. Приведите определение надежности как комплексной характеристики.
3. Перечислите единичные свойства надежности.
4. Выведите выражение для основного уравнения надежности.
5. Назовите комплексные показатели надежности. В чем их взаимосвязь с
единичными показателями надежности?
6. Наработка до отказа невосстанавливаемой ТКС подчиняется
нормальному закону с параметрами
.
Рассчитайте функции
и
для десяти значений наработки в
пределах 0…20 тыс. часов и двух значений
,
тыс. часов, если
тыс. часов.
7.
Среднее время восстановления подчиняется показательному закону
распределения вероятностей с параметром интенсивности восстановления
. Найдите функцию вероятности восстановления.
8.
Случайный индивидуальный ресурс подчиняется показательному
закону распределения вероятностей с параметрами
.
Рассчитайте функцию вероятности недостижения предельного состояния в
пределах до 100 тыс. часов. Далее рассчитайте средний ресурс, гамма –
процентный ресурс и назначенный ресурс, если
,
.
9.
В специализированную лабораторию поступают в среднем 5 заявок
на восстановление средства ЗИ за 6 часов. Найдите вероятность того, что на
восстановление поступят не более двух заявок за 30 минут.
10.
При функционировании ТКС в случайные моменты возникают
неисправности. Плотность распределения времени безотказной работы равна
. При возникновении отказа он мгновенно обнаруживается
и ТКС восстанавливается за время . Найти плотность
и функцию
промежутка времени между двумя соседними неисправностями. Найти его
математическое ожидание и дисперсию. Найти вероятность того, что будет
больше
.
24
2.
РЕЗЕРВИРОВАНИЕ НЕВОССТАНАВЛИВАЕМЫХ СИСТЕМ
2.1.
Постоянное резервирование
Система последовательных элементов. Рассмотрим систему из
последовательно соединенных элементов, не имеющих резерва. Пусть
является вероятностью безотказной работы
го элемента на интервале
.
Найдем вероятность безотказной работы на интервале
. Обозначив
через
событие, состоящее в том, что
й элемент системы работает без
отказа на указанном интервале времени, определим искомую вероятность
безотказной работы на интервале
системы последовательно
соединенных элементов как вероятность пересечения событий
[4]:
(2.1)
Но так как
то, применяя правило умножения для независимых событий, получаем
(2.2)
Вероятность отказа системы на интервале
равна
(2.3)
где
вероятность отказа на указанном интервале
Если
го элемента.
, то можно пользоваться приближенной
формулой:
(2.4)
Из (1.10) и (2.2) следует
где
интенсивность отказов
го элемента системы и
интенсивность отказов системы. Следовательно,
(2.5)
т.е. интенсивность отказов системы последовательно соединенных
независимых элементов равна сумме интенсивностей отказов элементов.
Когда элементы системы однотипны и подчиняются одному и тому же
закону распределения вероятностей безотказной работы
, то из (2.2)
следует:
25
Из (2.5) и (2.6) следует, что интенсивность отказов
(2.6)
системы равна
(2.7)
где
интенсивность отказов одного элемента. Конечно, формула (2.7)
является частным случаем (2.5), когда
.
Если задана вероятность
безотказной работы последовательно
соединенных элементов на интервале
, то из (2.6) находим требуемую
вероятность безотказной работы каждого элемента
(2.8)
Система параллельных элементов. Теперь рассмотрим систему,
состоящую из
параллельно соединенных элементов. Сохраним обозначения
предыдущего пункта для вероятности безотказной работы
го элемента
системы на интервале
и события, состоящего в том, что этот элемент
работает безотказно на указанном интервале времени. Согласно определения
параллельного соединения элементов вероятность
безотказной работы
системы параллельных элементов равна вероятности объединения событий
[4]:
(2.9)
Обозначим через
событие, противоположное
, т.е. событие,
состоящее в том, что
й элемент отказал на интервале
. Тогда
(2.10)
Если отказы элементов независимы, то ,применяя правило умножения для
независимых событий, получаем
и так как
то из (2.8) находим вероятность безотказной работы системы параллельных
элементов на интервале
(2.11)
Вероятность отказа системы на интервале
равна
(2.12)
где
вероятность отказа
го элемента на указанном интервале.
В частном случае, когда вероятности безотказной работы всех элементов
этой системы одинаковы и равны
, получим более простую формулу
(2.13)
26
Из этой формулы видно, что параллельное включение элементов является
эффективным средством повышения надежности системы.
Можно решить обратную задачу: какова должна быть вероятность
безотказной работы элемента, чтобы получить заданную вероятность
безотказной работы системы параллельных элементов. Из (2.13) находим
(2.14)
Плотность вероятности момента первого отказа для системы
параллельных однотипных элементов равна
отсюда следует, что интенсивность отказов системы равна
(2.15)
где
интенсивность отказов одного элемента.
Раздельное резервирование системы. Предположим, что система состоит
из неоднотипных элементов и рассмотрим общий случай раздельного
резервирования системы (резервирования по группам). Обозначим через
число элементов в
й группе элементов системы. Если общее число групп
равно , а основная система содержит последовательных элементов, то
(2.16)
Пусть общее число комплектов
й группы элементов равно
. Отказ
этой группы возникает в том случае, если возникнут отказы во всех
комплектах. Тогда вероятность отказа
указанной группы равна (2.12)
(2.17)
где:
(2.18)
и
вероятность безотказной работы элемента с номером
в
последовательном соединении и с номером в параллельном.
Теперь нетрудно записать выражение вероятности
безотказной
работы системы, как произведения вероятностей безотказной работы
отдельных групп. Используя (2.17), находим:
(2.19)
При
имеет место общее резервирование системы, при котором
система резервируется в целом. При
резервирование осуществляется по
элементам. Как будет показано далее, при отдельных условиях резервирование
по элементам эффективнее общего резервирования. Однако по конструктивным
соображениям от резервирования по элементам чаще всего приходится
отказаться.
27
Резервирование системы однотипных элементов. Предположим, что все
элементы системы однотипны, вероятность безотказной работы любого
элемента системы равна
и число последовательных элементов в каждой
группе постоянно и равно
(предполагается, что
кратно
Тогда
вероятность безотказной работы одной цепочки в каждой группе, состоящей из
последовательных элементов, будет равна
. Если общее число
комплектов каждой группы постоянно и равно , то для каждой из групп
вероятность безотказной работы равна
безотказной работы системы на интервале
работы таких последовательных групп, т.е.
. Вероятность
равна вероятности безотказной
(2.20)
Конечно (2.20) является частным случаем (2.19) при
и
для всех
. Кратность резервирования в этом случае целая и
равна
.
В частных случаях получаем:
1)
(общее резервирование)
(2.21)
2)
(резервирование по элементам)
(2.22)
Для высоконадежных элементов
из (2.21) и
(2.22) следует, что вероятность отказов системы равна:
при общем резервировании
при раздельном резервировании
Следовательно, отношение вероятностей отказов
постоянное и не зависит от
.
Предположим, что требуемая вероятность безотказной работы
резервированной системы на интервале
равна
. Из (2.20) находим
необходимую для выполнения этого требования вероятность безотказной
работы каждого элемента на указанном интервале времени:
28
(2.23)
При общем резервировании (
(2.24)
При резервировании по элементам
(2.25)
2.2.
Резервирование замещением
Нагруженное
резервирование
однотипных
элементов.
При
резервировании замещением отказавших элементов - нагруженный и
ненагруженный. Резервные элементы замещают отказавшие при помощи
переключающих устройств. Пусть
вероятность безотказной работы
переключающего устройства, причем отказ переключателя обнаруживается
только в момент отказа основного элемента. Предположим, что переключение
происходит мгновенно. Рассмотрим резервирование по группам системы
однотипных элементов при нагруженном режиме резервных элементов.
Вероятность безотказной работы основного комплекта одной группы
элементов равна
, а вероятность безотказной работы резервного
комплекта этой группы с учетом переключающего устройства равна
. Вероятность безотказной работы резервной системы равна
(2.26)
При общем резервировании
(2.27)
а при резервировании по элементам
(2.28)
Хотя при резервировании по элементам переключающих устройств на
больше, чем при резервировании системы в целом, можно
доказать, что (при использовании одинаковых переключающих устройств) при
любом числе элементов основной системы резервирование по элементам всегда
обеспечивает большую вероятность безотказной работы, чем общее
резервирование системы, какова бы не была вероятность безотказной работы
переключающего устройства.
Нагруженное резервирование неоднотипных элементов. Формулу (2.26)
можно обобщить на систему, состоящую из неоднотипных элементов. Эта
формула, как нетрудно доказать, имеет вид [4]:
29
(2.29)
где
вероятность безотказной работы переключающего устройства,
осуществляющего переключение на резерв
й группы элементов системы.
Скользящее резервирование. Рассмотрим еще один метод резервирования
при замещении в нагруженном режиме. До сих пор предполагалось, что
каждый резервный элемент (или группа резервных элементов) закреплен за
основным элементом (или группой основных элементов). При этом может
потребоваться большое число резервных элементов. Иногда можно
распорядиться более экономно, не закрепляя резервные элементы за
основными, а использовать скользящее резервирование, при котором
резервный элемент (или группа резервных элементов) замещает любой
отказавший основной элемент (или группу основных элементов) системы.
Предположим, что система состоит из
однотипных последовательно
соединенных элементов и таких же
резервных, каждый из которых может
при помощи переключающего устройства замещать любой отказавший
основной элемент системы (рис. 2.1). И основные, и резервные элементы
находятся в нагруженном режиме, причем резервные элементы замещают
отказавшие при помощи переключающего устройства, вероятность безотказной
работы которого
. Вероятность безотказной работы любого элемента
равна
.
Рис. 2.1. Система последовательно соединенных элементов
со скользящим резервированием
В этом случае система будет работоспособной до тех пор, пока из
основных и резервных элементов работают безотказно не менее, чем
элементов. Так как использование резервного элемента связано с безотказной
работой переключающего устройства, то вероятность безотказной работы
30
резервного элемента с учетом переключения равна
. Вероятность
безотказной работы системы со скользящим резервированием находим по
формуле полной вероятности
(2.30)
Если ненадежность переключающего устройства можно не учитывать,
т.е. если
, то из (2.30) находим
(2.31)
так как
Формулу (2.31) можно переписать в виде
(2.32)
Автономные устройства с общим резервированием. Рассмотрим
независимых, автономных идентичных устройств, использующих общий
резерв, состоящий из
устройств, каждое из которых может заменить при
отказе любое из
автономных устройств (рис. 2.2). Предположим, что
резервные устройства находятся в нагруженном режиме и что переключающие
устройства работают безотказно.
Рис. 2.2. Автономные устройства с общим резервированием
31
Представляет интерес проанализировать надежность одного (любого) из
этих устройств, учитывая, что наличие или отсутствие резервного устройства
при отказе зависит от того, как использовался резерв остальными
устройствами. Обозначим через
событие, состоящее в том, что при отказе
интересующего нас устройства в момент будет в наличии резервное. Событие
осуществляется в том случае, если при отказе фиксированного устройства
среди остальных
основных и резервных устройств отказано не более
чем
устройств. Тогда для замены интересующего нас отказавшего
устройства найдется резервное.
Пусть вероятность безотказной работы каждого из устройств (основного
и резервного) равна
, Тогда
(2.33)
Вероятность безотказной работы одного (любого) устройства при
рассмотренном способе резервирования равна:
(2.34)
Имея в виду, что
(2.35)
формулу (2.35) можно переписать в виде:
(2.36)
или с учетом (2.34):
(2.37)
Формула (2.37) определяет нижнюю границу вероятности безотказной
работы устройства.
Дублирование в ненагруженном режиме. Рассмотрим сначала
простейшую схему, состоящую из одного основного устройства и одного
резервного в ненагруженном режиме. Пусть вероятности безотказной работы от
момента включения до первого отказа этих устройств равны соответственно:
(2.38)
(2.39)
где
и
плотности вероятности моментов отказа основного и
резервного устройств.
Предположим, что переключающее устройство работает безотказно и
действует мгновенно. Обозначим через момент отказа основного устройства
и через
момент отказа резервного устройства. Вероятность
32
безотказной работы
вероятности того, что
, рассматриваемой системы на интервале
, т.е.
, равна
(2.40)
где
плотность вероятности момента отказа системы.
Определим плотность вероятности
. Разобъем интервал
на
непересекающихся интервалов
и пусть
точка, принадлежащая
интервалу
,
. Тогда вероятность того, что момент отказа системы
будет находиться в интервале
, будет равна в соответствии с
формулой полной вероятности сумме произведений вероятности отказа
основного устройства на интервале
на вероятность отказа резервного
устройства на интервале
, т.е.
При
получаем
(2.41)
Подставляя (2.41) в (2.40), находим вероятность безотказной работы
системы
(2.42)
Преобразуем выражение (2.42), изменив порядок интегрирования на
плоскости
, находящейся выше заштрихованной линии на рис. 2.3. Если
интегрировать сначала по , а затем по , то интеграл разбивается на два,
соответствующих подобластям 1 и 2 на рис. 2.3.:
(2.43)
Но замена
приводит второй интеграл к виду
(2.44)
где
вероятность безотказной работы основного устройства.
Аналогичная замена в первом интеграле
дает
(2.45)
где
вероятность безотказной работы резервного устройства.
Подставляя (2.44) и (2.45) в (2.43), получаем
(2.46)
Формула (2.46) имеет простую вероятностную интерпретацию.
Безотказность на интервале
рассматриваемой системы обеспечивается
объединением двух событий: либо основное устройство работало безотказно на
33
указанном интервале времени, либо основное устройство отказало в какой–то
момент внутри этого интервала, но резервное, включившись в этот момент,
работало безотказно на оставшемся отрезке времени до момента . Полезно
обратить внимание на то, что формула (2.46) по структуре аналогична формуле
(1.47) для функции готовности.
1
2
2
Рис. 2.3. Пояснение к формуле (2.43)
Если учитывается ненадежность переключающего устройства и
переключающее устройство может отказать только в процессе переключения с
постоянной вероятностью
, то в (2.46) функцию
следует
заменить на
. В этом случае вероятность безотказной работы
рассматриваемой системы будет равна:
(2.47)
Произвольное число ненагруженных устройств в ненагруженном
режиме. Рассмотрим общий случай произвольного числа резервных устройств,
находящихся в ненагруженном режиме. Сначала предположим, что
переключающее устройство работает безотказно. Момент включения каждого
устройства – случайная величина, представляющая момент отказа предыдущего
устройства (пренебрегаем временем, необходимым для переключения и на
вхождение элемента в нагруженный режим).
Пусть число резервных устройств
. Обозначим через
момент
отказа
го устройства, а через
интервал времени между
м и
м отказом,
интервал безотказной работы основного
устройства
. Ясно, что
(2.48)
Вероятность безотказной работы системы в этом случае равна:
(2.49)
34
где
плотность вероятности случайной величины .
Задача состоит в определении плотности суммы независимых случайных
величин. Для этого следует использовать метод характеристических функций,
имея ввиду, что характеристическая функция суммы независимых случайных
величин равна произведению характеристических функций слагаемых. Введем
характеристическую функцию
интервала безотказной работы
го
резервного устройства. Тогда характеристическая функция случайной
величины
равна:
(2.50)
В том случае, если все устройства идентичные, получим
(2.51)
где
характеристическая функция интеграла безотказной работы любого
устройства.
Подставляя в (2.49) вместо
ее выражение через
характеристическую функцию
(2.52)
и для идентичных устройств
(2.53)
Используя формулу (2.52), можно вероятность безотказной работы
системы в рассматриваемом случае представить иначе:
(2.54)
где
(2.55)
Если предположить, что переключающее устройство отказывает только в
процессе переключения с вероятностью
, то из (2.54) находим
вероятность безотказной работы рассматриваемой системы с учетом
ненадежности переключающего устройства:
(2.56)
Вопросы и задачи для самоконтроля
1. Раскройте принцип постоянного резервирования функциональных
элементов сложных систем.
2. Как осуществляется резервирование однотипных элементов?
3. Перечислите особенности резервирования замещением.
4. Как обеспечивается резервирование автономных систем?
5. Что представляет собой дублирование в ненагруженном режиме.
35
6. Интенсивность отказа ТКС
. Ее резервирует такая
же система, находящаяся до отказа основной в ненагруженном резерве, в
котором интенсивность отказов
. Найдите следующие
характеристики всей системы:
вероятность безотказной работы в течение
;
среднюю наработку до первого отказа и интенсивность отказов.
7.
Устройство ЗИ работает исправно в течение случайного времени :
после отказа оно немедленно заменяется новым. Найти вероятность следующих
событий:
за время устройство не выходит из строя;
устройство
придется заменять ровно 2 раза;
устройство придется заменить менее 2-х
раз. Считать поток отказов простейшим с интенсивностью
,а
интервал анализа процесса
.
8. Вычислить вероятность 3-х отказов ТКС, функционирующий в
течение 2160 час., если плотность распределения вероятности интервалов
времени между отказами подчинена экспоненциальному закону с
интенсивностью отказов
.
9. Изделие состоит из двух частей: первая часть включает элементов,
соединенных последовательно, вторая часть элементов, соединенных также.
Все элементы равнонадежны и имеют интенсивность отказов . Резервирование
использует дублирование каждой части.
Рассчитайте:
функцию надежности резервированной системы при общем
постоянном резервировании каждой части и среднюю наработку на отказ;
то же при раздельном резервировании каждой части и при общем
резервировании каждой части замещением.
36
3. ОЦЕНКА НАДЕЖНОСТИ ПРОГРАММНЫХ КОМПЛЕКСОВ
3.1. Проектная оценка надежности программного комплекса
При оценке надежности аппаратно-программных комплексов (АПК)
исходят из того, что надежность «мягкого оборудования» (математического,
программного и информационного обеспечения) не является самостоятельным
свойством, так как может проявиться только в процессе его функционирования
в составе АПК. Это важно еще и потому, что отказы технического (ТК) и
программного (ПК) комплексов являются в общем случае взаимосвязанными
событиями [8].
Программное обеспечение (ПО) является неотъемлемой составляющей
современных ТКС, выполняемых в защищенном исполнении, и знание их
надежностных характеристик необходимо для оценки надежности всей
системы.
ПО не подвержено износу, и в нем практически отсутствуют ошибки
производителя. Надежность ПМО в значительной степени зависит от входной
информации, возможности диагностирования дефектов и области применения.
Обычно модели надежности и методы ее оценки для ПК подразделятся на
две группы:
- простые оценки, основанные на априорных данных
- статистические оценки, основанные на результатах отладки и
эксплуатации ПК.
Рассмотрим основные особенности приведенных подходов.
Расчет исходного числа дефектов (ИЧД)
При расчете исходного числа дефектов сначала рассчитывают ожидаемое
ИЧД в секциях алгоритмов и секциях ввода и вывода по одной из следующих
формул:
(3.1)
(1)
(1)
N ci N ci (ni вх , ni вых , l );
N ci(2) N ci(2) (n1i , n2i , N1i , N 2i ),
(3.2)
где: ni вх , ni вых – число входов и выходов в i-й секции; l – уровень языка
программирования; n1i , n2i – число различных операций и операндов; N1i , N2i –
всего операций и операндов в i-й секции. Формула (3.1) используется на ранних
стадиях проектирования, когда еще нет текстов программ, формула (3.2) –
программирование секций на принятом языке программирования.
Суммарное количество дефектов в отдельных алгоритмах и совокупности
алгоритмов и секций ввода и вывода находят по следующим формулам:
mi
N ai N cj N cв i (nсв i );
(3.3)
j 1
R
N a N ai N c , a ( M a );
i 1
(3.4)
37
N вв
N
jEвв
ci
N c , вв ( M вв ); Nвыв
jEвыв
N ci Nc , выв ( M выв ),
(3.5)
где: mi – количество секций в i-м алгоритме функционально-программного
обеспечения (ФПО); R – количество алгоритмов; Евв и Евыв – множество секций
ввода и вывода; nсвi – количество межсекционных связей в i-м алгоритме; Ма,
Мвв, Мвыв – количество связей между алгоритмами и межсекционных связей
ввода и вывода.
В системах обработки информации часто применяются группы
однотипных датчиков и исполнительных механизмов, для управления
которыми используются копии программных ввода и вывода. Тогда в (3.5)
включают только один экземпляр секции и межсекционные связи.
Если при выполнении функционально самостоятельной операции (ФСО)
используют одну или несколько баз данных, содержащих постоянные и
условно-постоянные данные, вносимые на этапе проектирования, то
рассчитывают суммарное количество дефектов:
R1
N БД N1i Vi ,V0i , Si , li N 2i (Vi , ci , i ) N3i ,
(3.6)
i 1
где: N1i , N2i , N3i - количество дефектов подготовки данных, дефектов
вследствие сбоев аппаратуры, дефектов после неумышленных ошибок,
отсутствие несанкционированного доступа к данным; V0i , Vi – общий объем и
объем, используемый при выполнении данной ФСО в i-й базе данных (БД); li –
уровень языка; λ – интенсивность сбоев; i – время функционирования БД при
выполнении ФСО; Si – характеристики структуры данных.
Наконец рассчитывают исходное число дефектов по всему ФПО и ИО
при выполнении данной ФСО в виде суммы:
NФСО Nа Nвв Nвыв N БД .
(3.7)
Расчет остаточного числа дефектов после автономной отладки
После разработки алгоритмов и программных модулей (секций) проводят
автономную отладку (АО). Остаточное число дефектов (ОЧД) оценивают с
помощью модели АО, позволяющей установить зависимость
Nci( AO) Nci( AO) Nci , ni , ai , Эai ,
(3.8)
где: Nсi – исходное число дефектов в i-й секции; ni – размерность входного
вектора; ii – коэффициент эффективности отладки. Расчет по формуле (3.8)
может дать дробное число и трактуется как математическое ожидание
случайного числа дефектов.
Разработка секций является в основном результатом индивидуального
творчества программиста, но проводится в некоторой среде САПР ПО с
помощью инструментальных средств. Поэтому эффективность АО зависит
также и от возможностей и характеристик САПР ПО. Эта зависимость
учитывается при оценке коэффициента Эаi.
38
После коррекции числа дефектов в секциях по результатам АО проводят
перерасчет числа дефектов в укрупненных составных частях с помощью
формул (3.3)-(3.7).
Расчет остаточного числа дефектов после комплексной отладки
Комплексная отладка (КО) предусматривает статическую отладку
отдельных алгоритмов, совокупности алгоритмов и секций ввода/вывода, всех
средств ФПО и ИО, используемых при выполнении конкретной ФСО, а затем
динамическую отладку. В этой процедуре можно выделить три этапа:
1. Отладка путем имитации реальных алгоритмов в инструментальной
среде САПР ПО при имитации окружающей среды, в том числе объекта
управления. Этот этап является, по существу, отладкой математического
обеспечения.
2. Отладка реальных алгоритмов при имитации окружающей среды. Этап
позволяет провести статическую отладку и в ограниченной степени –
динамическую отладку.
3. Отладка реальных алгоритмов, сопряженных с реальным объектом
управления. Этап позволяет провести в полном объеме динамическую отладку.
Модели КО разрабатывают применительно к этапам 1 и 2, они призваны
оценить еще на стадии разработки программ эффективность отладки и ОЧД
после КО в укрупненных составных частях ФПО и ИО с помощью
зависимостей типа:
N a( KO ) N a( KO ) N a( АO ) , nk , k , Эk ;
)
( KO )
( АO )
( АO )
N вв( KO
, Nвыв
, n1k , 1k , Э1k ;
/ выв N вв / выв N вв
( KO )
( KO )
N БД
N БД
N БД( АO) , 2k , Э2k ,
где: nk, n1k – размерности входного вектора; k, 1k, 2k – длительности отладки;
Э1k, Э2k - коэффициенты эффективности отладки. Перерасчет ОЧД для ФПО и
ИО проводится по формуле (3.7).
Оценка вероятности проявления дефекта при однократном выполнении ФСО
Дефекты, не обнаруженные при автономной и комплексной отладках, не
являются случайными событиями, так как, в отличие от дефектов производства
аппаратуры, не развиваются во времени, а программное изделие не подвержено
процессу физического старения. Дефекты программ могут проявляться только
при работе АПК и только на вполне определенных значениях наборов входных
переменных или их последовательностей и при вполне определенных
состояниях системы, отраженных в условно-постоянной информации.
Сочетаний входных наборов и состояний очень много, а появление отдельных
сочетаний трудно предсказуемо. Поэтому появление именно таких из них, при
которых дефект проявляется и превращается в ошибку, становится уже
случайным событием, а момент появления – случайной величиной. К их
39
анализу можно применить вероятностные методы. Если известно
распределение дефектов по полю программ и данных, то можно найти
вероятность проявления дефектов при однократном выполнении ФСО в режиме
многократного циклического применения (МКЦП):
Q1 Q11 N a , m, B, Fn , F1 Q12 N БД ,V ,V0 , v, Fд , F2 ,
(3.9)
где: Na, NБД – остаточное число дефектов в алгоритмах и базах данных; Fи, Fд –
распределения дефектов по полю программ и данных; F1, F2 – распределения
входных наборов и запросов по полю данных при однократном выполнении
ФСО; В – вектор параметров ПО; m – количество входных наборов,
поступающих в систему при однократном выполнении ФСО; v – объем
фрагмента данных, используемых при однократном выполнении ФСО.
В режиме непрерывного длительного применения (НПДП) в качестве
цикла однократного выполнения ФСО может быть принят фрагмент
определенной длительности, в котором начинается и завершается обработка
информации. Например, при выполнении функции сбора, обработки и
отображения информации от пассивных датчиков в качестве фрагмента можно
выбрать цикл полного опроса датчиков, анализа данных и корректировки БД.
Оценка вероятности проявления дефекта при многократном выполнении ФСО
Вероятность проявления остаточных дефектов при М прогонах программ
зависит от вероятности Q1 и степени независимости различных прогонов. Если
прогоны осуществляются на одних и тех же входных наборах, то зависимость
максимальна, и тогда QM=Q1, если же прогоны независимы, то
M
QM 1 1 Q1 MQ1.
(3.10)
Все остальные случаи находятся между этими двумя крайними.
Очевидно, что в сложном ПК даже при большом числе дефектов вероятность
их проявления может быть очень мала, поскольку велики множество
возможных сочетаний значений входных векторов и внутренних состояний
программ. Верно и обратное, длительное безошибочное функционирование ПК
вовсе не гарантирует того, что в нем нет дефектов, которые могут проявиться в
самый неблагоприятный момент, несмотря на самую тщательную отладку. Об
этом свидетельствует и практика эксплуатации больших ПК, например, в
информационно-вычислительных системах космических аппаратов.
3.2
Оценка надежности программного комплекса по результатам
эксплуатации
В процессе отладки и опытной или нормальной эксплуатации ПК
появляется
возможность
использовать
статистические
данные
об
обнаруженных и исправленных ошибках и уточнить проектные оценки
эффективности. Для этой цели разработаны модели надежности, содержащие
точечные оценки, которые получают путем обработки результатов отладки и
40
эксплуатации. Некоторые модели содержат определенные требования к
структуре программных модулей.
Экспоненциальная модель Шумана [7,8]
Модель основана на следующих допущениях:
- общее число команд в программе на машинном языке постоянно;
- в начале испытаний число ошибок равно некоторой постоянной
величине и по мере исправления ошибок становится меньше;
- в ходе исправления программы новые ошибки не вносятся;
- интенсивность отказов программы пропорциональна числу остаточных
дефектов.
О структуре программного модуля сделаны дополнительные допущения:
- модуль содержит только один оператор цикла, в котором есть оператор
ввода информации, операторы присваивания и операторы условной передачи
управления вперед;
- отсутствуют вложенные циклы, но может быть k параллельных путей,
имеется k-1 оператор условной передачи управления.
При выполнении этих допущений вероятность безотказной работы
находим по формуле:
E
P(t , ) exp C r ( )t e t /T , где r ( ) 0 и ( );
(3.11)
I
E
Т 1 С 0 и ( ) ,
I
E0 – число ошибок в начале отладки; I – число машинных команд в программе;
и() и r() – число исправленных и оставшихся ошибок в расчете на одну
команду; Т – средняя наработка на отказ; - время отладки; С – коэффициент
пропорциональности.
Для оценки Е0 и С используют результаты отладки. Пусть из общего
числа прогонов системных тестовых программ r – число успешных прогонов, n
– число прогонов, прерванных ошибками. Тогда общее время n прогонов,
интенсивность ошибок и наработку на ошибку находят по формулам:
r
nr
nr
1
H
H Ti ti ;
; T
.
(3.12)
H
nr
i 1
i 1
Полагая H=1 и H=2, найдем:
n r
n r
1
1
ˆ1 1 1 ; ˆ2 2 2 ; Tˆ1 ; Tˆ2 ,
(3.13)
H1
H2
ˆ1
ˆ2
где Tˆ1 и T̂2 – время тестирования на одну ошибку. Подставляя сюда (3.11) и
решая систему уравнений, получим оценки параметров модели:
41
Тˆ1
I
ˆ
E0
( ) и ( 2 ) ; ˆ ;
1 и 1
Т2
Eˆ 0
ˆ
ˆ
С 1 Т1 и ( 1 ) .
I
(3.14)
Для вычисления оценок необходимо по результатам отладки знать
Т̂1 ,
Тˆ2 , и(1) и и(2).
Некоторое обобщение результатов состоит в следующем. Пусть Т1 и Т2 –
время работы системы, соответствующее времени отладки 1 и 2; n1 и n2 –
число ошибок, обнаруженных в периодах 1 и 2. Тогда
T1
E
E
T
1 C 0 и ( 1 ) ; 2 1 C 0 и ( 2 ) .
n1
n2
I
I
Отсюда
I
T
Eˆ 0
и (1 ) и ( 2 ) ; 1
n1
1
n
Cˆ 1
T1
Если
Т1
и
Т2
–
T2
;
n2
Eˆ 0
(
)
и 1 .
I
только
суммарное
(3.15)
время
отладки,
то
Тˆ1 T1 / n1 , Тˆ2 T2 / n2 , , и формула (3.15) совпадает с (3.14).
Если в ходе отладки прогоняется k тестов в интервалах (0, 1), (0, 2), … ,
(0, k), где 1<2<…<k, то для определения оценок максимального
правдоподобия используют уравнения [10]:
k
Eˆ 0
Eˆ 0
k
k
ˆ
ˆ
C nj
и ( j ) H j ; C n j
и ( j ) H j ,
(3.16)
I
I
j 1
j
1
j 1
где: nj – число прогонов j-го теста, заканчивающихся отказами; Hj – время,
затраченное на выполнение успешных и безуспешных прогонов j-го теста. При
k=2 (3.16) сводится к предыдущему случаю и решение дает результат (3.15).
Асимптотическое значение дисперсии оценок (для больших значений nj)
определяются выражениями [7]:
2
k
k
2
ˆ
DC 1 n j / C H j
j 1
j 1
DEˆ I 2
2
Eˆ 0
n j и ( j )
;
I
j 1
k
2
2
k
k
Eˆ 0
2
n j и ( j ) C H j
j 1
I
j 1
n
j ,
j 1
k
42
где C Cˆ , E Eˆ0 .
Коэффициент корреляции оценок
k
(Cˆ , Eˆ 0 ) n j
j 1
0,5
2
k
k
E0
n j n j и ( j ) .
I
j 1 j 1
E0
и ( j )
I
Асимптотическое значение дисперсии и коэффициента корреляции
используются для определения доверительных интервалов значений Е0 и С на
основе нормального распределения.
В работе [8] отмечается, что для модели Шумана используется
экспоненциальная модель изменения количества ошибок при изменении
длительности отладки
и ( )
E0
1 e / 0 ,
I
где Е0 и 0 определяются из эксперимента. Тогда
P(t , ) exp CE0 Ie / 0 t .
Средняя наработка на до отказа возрастает экспоненциально с
увеличением длительности отладки:
T I CE0e / 0 .
Экспоненциальная модель Джелинского-Моранды [7,8]
Данная модель является частным случаем модели Шумана. Согласно этой
модели интенсивность появления ошибок пропорциональна числу остаточных
ошибок
(ti ) K JM ( E0 i 1),
где: KJM – коэффициент пропорциональности; Δti – интервал между i-й и (i-1)й обнаруженными ошибками. Вероятность безотказной работы
P(t ) exp( (ti )) K JM (( E0 i 1)t ), ti 1 t ti .
(3.17)
При KJM =С/I и и()=(i-1)/I формула (3.17) совпадает с (3.11). При
последовательном наблюдении k ошибок в моменты t1,t2,…,tk можно получить
оценки максимального правдоподобия для параметров Е0 и KJM. Для этого надо
решить следующую систему уравнений:
k
E
i 1
0
k
1
i 1 k Eˆ 0 k 1 ; Kˆ JM
A
k
k
B
; A ti ; B iti .
AK
i 1
i 1
Eˆ
0
k 1 ;
(3.18)
Асимптотические оценки дисперсии и коэффициента корреляции (при
больших k) определяются с помощью соотношений:
43
DCˆ
(K
2
JM
2
S 2 K JM
k
ˆ
; DK JM
,
2
kS 2 A2C 2
kS 2 A2 K JM
k
AK JM
2
ˆ
, E0 )
;
S
E
i
1
.
2
0
0,5
i 1
kS2
Чтобы получить численные значения этих величин, надо всюду заменить
Е0 и KJM их оценками.
Геометрическая модель Моранды [8]
Интенсивность появления ошибок принимает форму геометрической
прогрессии:
(t ) DK i 1 , ti 1 t ti , k 1,
где: D и K – константы; i – число обнаруженных ошибок. Эту модель
рекомендуется применять в случае небольшой длительности отладки. Другие
показатели надежности находят по формулам:
P(t ) exp DK nt ; T 1 DK n ,
где n – число полных временных интервалов между ошибками. Модификация
геометрической модели предполагает, что в каждом интервале тестирования
обнаруживается несколько ошибок. Тогда
n 1
(t ) DK j , P(t ) exp DK nm t ; T 1 DK nm , t j 1 t t j ,
где: nj-1 – накопленное к началу j-го интервала число ошибок; m – число полных
временных интервалов.
Модель Шика-Волвертона [15, 16]
Эта модель является модификацией экспоненциальной модели
Джелинского-Моранды. Модель основана на допущении того, что
интенсивность обнаружения ошибок пропорциональна числу остаточных
ошибок и длительности i-го интервала отладки:
(t ) K JM E0 i 1 t , ti 1 t ti ,
(3.19)
то есть с течением времени возрастает линейно. Это соответствует рэлеевскому
распределению времени между соседними обнаруженными ошибками. Поэтому
модель называют также рэлеевской моделью Шумана или рэлеевской моделью
Джелинского-Моранды. Параметр рэлеевского распределения
0 1
K JM ( E0 n),
где n – число полных временных интервалов. Тогда вероятность безотказной
работы и средняя наработка между обнаруженными ошибками:
44
t 2
K JM ( E0 n)t 2
P (t ) exp 2 exp
, tn t tn 1 ;
2
2
0
T
2
0
(3.20)
2 K JM ( E0 n)
.
Сравнительный анализ моделей показывает, что геометрическая модель
Моранды и модель Шика-Волвертона дают устойчиво завышенные оценки
числа остаточных ошибок, то есть оценки консервативные или
пессимистические. Для крупномасштабных разработок программ или проектов
с продолжительным периодом отладки наилучший прогноз числа остаточных
ошибок дает модель Шика-Волвертона.
Модель Липова [8] (обобщение моделей Джелинского-Моранды и ШикаВолвертона)
Эта модель является смешанной экспоненциально-рэлеевской, то есть
содержит в себе допущения и экспоненциальной модели ДжелинскогоМоранды, и рэлеевской модели Шика-Волвертона. Интенсивность обнаружения
ошибок пропорциональна числу ошибок, остающихся по истечении (i-1)-го
интервала времени, суммарному времени, уже затраченному на тестирование к
началу текущего интервала, и среднему времени поиска ошибок в текущем
интервале времени:
i 1
(Ti 1 , ti ) K L E0 i 1Ti 1 ti 2 ; Ti 1 t j ; T0 0,
j 1
(3.21)
где ti – интервал времени между i-й и (i-1)-й обнаруженными ошибками.
Здесь имеется и еще одно обобщение: допускается возможность
возникновения на рассматриваемом интервале более одной ошибки. Причем
исправление ошибок производится лишь по истечении интервала времени, на
котором они возникли:
i 1
ni 1 M j ; n0 0,
j 1
где Mj – число ошибок, возникших на j-м интервале. Из (3.21) находим
вероятность безотказной работы и среднее время между отказами:
P(t ) exp K L E0 ni 1 Ti 1t t 2 4 ; 0 t ti ;
T
K L E0 ni1
1 2 T
i 1
2 K L E0 ni 1 ,
где: Ф(x) – интеграл Лапласа; KL и E0 – параметры модели.
Параметры модифицированных рэлеевской и смешанной моделей
оцениваются с помощью метода максимального правдоподобия. Однако в этом
45
случае функция правдоподобия несколько отличается от рассмотренной при
выводе уравнений (3.18), так как теперь наблюдаемой величиной является
число ошибок, обнаруживаемых в заданном интервале времени, а не время
ожидания каждой ошибки. Предполагается,
что обнаруженные на
определенном интервале времени ошибки устраняются перед результирующим
прогоном. Тогда уравнения максимального правдоподобия имеют вид:
M
Mi
K A
K
C
,
;
Eˆ 0 1 K Eˆ 0 1 K i 1 Eˆ 0 ni 1
M
B
K Mi;
,
AK
i 1
(3.22)
где: С=KJM для модели (3.19) и С=KL для модели (3.20); M – общее число
временных интервалов. Коэффициенты А и В находят с помощью формул:
M
M
i 1
i 1
A ti ; Bi (ni 1)ti
для рэлеевской модели и с помощью формул:
M
M
i 1
i 1
A ti Ti 1 ti 2 ; Bi (ni 1)ti Ti 1 ti 2
для смешанной модели. Здесь ti – продолжительность временного интервала, в
котором наблюдается Мi ошибок. Заметим, что при Mi=1 уравнения (3.22)
приобретают вид (3.18), тогда M=K, что соответствует k в (3.18), ni-1= i-1.
Модель Муссы-Гамильтона [8]
Модель использует так называемую теорию длительности обработки.
Надежность оценивается в процессе эксплуатации, в котором выделяют время
реальной работы процессора (наработку) и календарное время с учетом
простоя и ремонта. Для числа отказов (обнаруженных ошибок) выводится
формула
C
m( ) E0 1 exp
(3.23)
,
E
T
0
0
где: Т0 – наработка между отказами перед началом отладки или эксплуатации;
Е0 – начальное число ошибок; С – коэффициент пропорциональности. Из (3.23)
находят:
( )
C
dm( ) C
exp
;
d
T0
E
T
0 0
C
C
P(t , ) exp ( )t exp exp
t .
T
E
T
0 0
0
46
В работе [7] сравниваются экспоненциальная, рэлеевская и смешанная
модели. Сравнение проведено на одинаковых наборах данных для предсказания
числа ошибок в проекте, состоящем из 4519 небольших программных задач.
Результаты предсказания сравниваются с апостериорными данными. Сравнение
проводилось и на крупной управляющей программе, содержащей 249 процедур
и 115 000 инструкций языка JOVIAL. Было выявлено от 2000 до 4000 ошибок
на четырех последовательностях наборов данных. По результатам испытаний
определены зависимости числа оставшихся ошибок от времени как для
эмпирических данных, так и для предсказанных по рассмотренным моделям.
По результатам анализа сделаны следующие выводы:
1. Экспоненциальная и рэлеевская модели дают точное предсказание
числа ошибок, чем смешанная модель.
2. Экспоненциальная и рэлеевская модели более пригодны для небольших
программ или для небольших длительностей отладки.
3. Для больших программ или при длительных испытаниях лучшие
результаты дают модификации экспоненциальной и рэлеевской моделей.
4. Геометрическая модель дает удовлетворительные оценки при любой
длине программ, но лучше ее использовать для коротких программ и
небольшой длительности испытаний.
5. Экспоненциальная и рэлеевская модели завышают число оставшихся
ошибок, а смешанная модель занижает эту величину по сравнению с
действительными значениями.
6. Если для большого числа равных интервалов число ошибок на каждом
интервале меняется в значительных пределах, то экспоненциальная и
рэлеевская модели могут оказаться неудовлетворительными.
Вейбуловская модель (модель Сукерта) [8]
Модель задается совокупностью соотношений:
( ) m mt m1 ; P(t ) e ( t ) ; T
m
1
1
1 .
m
Достоинство этой модели в том, что она содержит дополнительный по
сравнению с экспоненциальной моделью параметр m. Подбирая m и λ, можно
получить лучшее соответствие опытным данным. Значение m подбирают из
диапазона 0< m <1. Оценки параметров получают с помощью метода
моментов. Для параметра формы его значение находят как решение уравнения
1 k
1 k
2
1 s2
2
2
1 1 2 ; t ti ; s (ti t )2 ,
k i 1
k i 1
m
m t
где Г(х) – гамма-функция. Для параметра масштаба оценка
ˆ 1
1
t.
m
47
Модель Уолла-Фергюссона (степенная модель) [8]
Число обнаруженных и исправленных ошибок определяется с помощью
степенной зависимости
М
и 0
,
М
0
где: М – степень отлаженности программ; М0 и 0 – эмпирические константы.
Отсюда интенсивность отказов
1
М
d (M )
(M ) и
R0
(3.24)
, R0 0 , 1
Md
М
0
Величина М выражается в человеко-месяцах испытаний, единицах
календарного времени и т.д., адекватность модели проверена на
экспериментальных данных, полученных для систем реального времени и
программ на алгоритмическом языке FORTRAN. Для глубокого предсказания
надежности авторы рекомендуют значение =0,5.
Во всех рассмотренных моделях программа представлена как «черный
ящик», без учета ее внутренней структуры. Кроме того, всюду принято
допущение, что при исправлении ошибок новые ошибки не вносятся.
Следующие две модели рассматривают программы в виде «белого ящика» - с
учетом внутренней структуры.
Структурная модель Нельсона [7,8]
В качестве показателя надежности принимается вероятность Р(n)
безотказного выполнения n прогонов программы. Для j-го прогона вероятность
отказа представляется в виде:
N
Q j p ji yi ,
i 1
где: yi – индикатор отказа на i-м наборе данных; pji - вероятность появления i-го
набора в j-м прогоне. Тогда
n
n
P(n) (1 Q j ) exp ln(1 Q j ) .
j 1
j 1
Если tj – время выполнения j-го прогона, то интенсивность отказов:
(t j )
ln(1 Q j )
t j
j
n
; P(n) exp (t j )t j ; t j ti . (3.25)
i 1
j 1
Практическое использование формул (3.24) и (3.25) затруднено из-за
множества входов и большого количества трудно оцениваемых параметров
модели. На практике надежность программ оценивается по результатам
тестовых испытаний, охватывающих относительно небольшую область
48
пространства исходных данных. Для упрощенной оценки в [10] предлагается
формула:
j
N
1
P( N )
N
E (n )W ; W
i 1
i
i
i
i 1
i
N,
где: N – число прогонов; ni – число обнаруженных при прогоне i-го теста
ошибок; Ei – индикатор отсутствия ошибок при прогоне i-го теста.
Для уменьшения размерности задачи множество значений входных
наборов разбивают на пересекающиеся подмножества Gj, каждому из которых
соответствует определенный путь Lj, j=1…n. Если Lj содержит ошибки, то при
выполнении теста на поднаборе Gj будет отказ. Тогда вероятность правильного
выполнения одного теста:
n
j
j 1
iG j
P(1) 1 p j j ; p j pij , j 1.
При таком подходе оценка надежности по структурной модели
затруднена, так как ошибка в Lj проявляется не при любом наборе из Gj, а
только при некоторых. Кроме того, отсутствует методика оценки j по
результатам испытаний программ.
Структурная модель роста надежности (модель Иыуду) [8]
Модель является развитием модели Нельсона. В ней делают следующие
допущения:
исходные данные входного набора выбираются случайно в
соответствии с распределением i, i=1…n;
все элементы программ образуют s классов, вероятность правильного
исполнения элемента l-го класса равна pi, l =1… s;
ошибки в элементах программ независимы.
Вероятность правильного исполнения программы по i-му пути
s
Pi plmli ,
(3.26)
l 1
где mli – количество элементов l-го класса в i-м пути. Безусловная вероятность
безотказной работы при однократном исполнении программы в период времени
до первой обнаруженной ошибки
Pc 0 i Pi ;
i
1,
(3.27)
где n – количество путей исполнения программы.
При корректировании программы после обнаружения ошибки
учитывается возможность внесения новой ошибки с помощью коэффициента
эффективности корректирования ql. Вместо pl в (3.26) следует использовать
49
plj 1 (1 pl 0 )qlj 1 , j 1,
где j – номер интервала времени между соседними ошибками. При ql=1
вероятность plj не меняется, при ql<1 вероятность увеличивается, а при ql>1,
напротив, падает. Для j-го интервала вероятность успешного исполнения
программы по i-му пути
Pij 1 (1 pl 0 )ql
s
j 1 mli
l 1
s
1 mli (1 pl 0 )qlj 1.
l 1
При ql = q выражение (3.27) можно представить в виде:
Pij 1 (1 Pi 0 )q
j 1
s
, Pi 0 mli (1 Pi 0 ).
l 1
(3.28)
Подставляя (3.28) в (3.27), получим:
Pcj 1 (1 Pc 0 )q
j 1
n
, Pc 0 i Pi 0 .
(3.29)
i 1
Если наиболее вероятные пути проверены, то
Pc 0
s
p
i: i
i
i: i
i
l 1
mli
l0
.
В формуле (3.29) параметры Pc0 и q можно оценить по
экспериментальным данным. Для плана испытаний [NBr], в котором
определяются значения nj – число прогонов между j-м и (j-1)-м отказами,
j=1… r, с помощью метода максимального правдоподобия найдем уравнение
относительно искомых оценок:
r
(ni 1)q j 1
r
0, Qc 0 1 Pc 0 , r 2;
j 1
1
Q
q
Q
j 1
c0
c0
(ni 1)Qc 0 r (r 1)
0.
j 1
q
2
q
j 1
c0
В частности, при r =2 имеем:
r
1 Q
n
1
Qˆ c 0 ; qˆ 1 .
n1
n2
Гиперболическая модель роста надежности [7]
Пусть Pk – вероятность безотказной работы во время k-го цикла
испытаний, Pc0 – установившееся значение вероятности. Тогда кривую роста
надежности можно аппроксимировать с помощью гиперболической
зависимости
50
Pk P
k
,
где - скорость роста кривой; k – номер цикла. Оценки параметров P и
можно получить с методом максимального правдоподобия. Для этого
организуют испытания по циклам, в каждом из которых выполняются
фиксированное число прогонов: n1, n2, …, nN. Число успешных прогонов Xk из
общего количества nk имеет биномиальное распределение с параметрами nk и
Рk. Тогда функция максимального правдоподобия
N
k 1
k
L sk ln Pk (nk sk ) ln(1 Pk ); Pk P
,
где s1, s2, …, sN – фактическое количество успешных прогонов в циклах.
Приведем уравнение максимального правдоподобия:
N
N
sk
nk sk
dL
0
dP k 1 P k k 1 1 P k
N
N
.
sk k
n s k
dL
k k
0
d k 1 P k k 1 1 P k
(3.30)
Систему алгебраических уравнений (3.30) решают методом итераций.
Однако при 1-P < / k < 1 можно найти приближенное решение:
ˆ
1 N
N 1 N N 1
ks
s
C
N
k
k
1
n k 1
2 k 1 2
N
1 C1 N
N 1
ˆ
P ksk sk
C1 N
n n k 1
k 1
2
N
1
1 N
C1 ln( N 0,5) E ; n nk
N k 1
k 1 k
.
(3.31)
где Е=0,577215 – постоянная Эйлера. Если указанное условие не выполняется,
то оценки (3.31) можно использовать как начальное приближение в
итерационной процедуре.
Оценки параметров можно получить и с помощью метода наименьших
коэффициентов. Для этого надо найти значения P и , которые обеспечат
минимум выборочной дисперсии:
2
s
S 2 Q( P , ) Pˆk Pk k P min .
k
k 1
k 1 nk
Дифференцируя эту функцию по P и , получим систему уравнений:
n
2
n
51
A NP C1 0; B C1P C1 0;
n
n
N
N
sk
sk
1
1
A ; B
; C1 ; C1 2 .
k 1 nk
k 1 knk
k 1 k
k 1 k
Отсюда найдем решение:
AC2 BC1
AC2 BN
Pˆ
;
.
(3.32)
NC2 C12
NC2 C12
Эти оценки являются несмещенными. Оценки (3.32) можно использовать
для нахождения хороших начальных значений оценок максимального
правдоподобия.
Вопросы для самоконтроля
1. В чем заключаются особенности оценки надежности ПК?
2. Каким образом определяются характеристики надежности ПК на этапе
проектирования?
3. Приведите методику расчета остаточного числа дефектов при
комплексной отладке ПО.
4. Как оценивается вероятность проявления отказа при однократном
выполнении операции?
5. Как оценивается вероятность проявления отказа при многократном
выполнении операции?
6. В чем состоит сущность оценки надежности ПК по результатам
эксплуатации?
7. Приведите модель Шумана для оценки надежности ПК.
8. Приведите модель Шика-Волвертона для оценки надежности ПК.
9. Раскройте содержание модели Липова для оценки надежности ПК.
10. В чем заключается сущность структурной модели Нельсона?
52
4. ПОКАЗАТЕЛИ НАДЕЖНОСТИ СИСТЕМ С УЧЕТОМ
СПЕЦИФИКИ ИХ НАЗНАЧЕНИЯ
Понимая под надежностью ТКС их способность выполнять некоторый
комплекс функций с заданными параметрами, определяемыми НТП, при
анализе необходимо рассматривать конечное число состояний, в каждом из
которых система обладает той или иной работоспособностью. Количественно
надежность системы в каждый момент времени определяется вероятностями
этих состояний или соответствующими средними характеристиками. Такие
характеристики нельзя считать определяющими при сравнительном анализе
систем, так как важно не только констатировать то или иное состояние, но и
последствия от пребывания системы в каждом из них.
Это обстоятельство определило направление изложения последующих
подразделов, где рассматриваются не только вопросы надежности, сколько
последствия от ненадежности в работе систем. И, кроме того, вкратце
рассматривается проблема «эффективность-надежность» систем с позиций
изложения возможного подхода, возможной методики оценки и анализа
надежности сложных систем.
Придерживаясь принятой системы классификации, рассмотрим два
подкласса систем, относящихся к классу радиоэлектронных либо смешанных
систем. Напомним, что системы данного класса подразделяются на подклассы
(отряды) по критерию выходного эффекта системы, т.е. по тому показателю,
ради которого и построена система. Исходя из этого принципа, можно (если не
все, то большинство) системы подразделить на два подкласса: управляющие и
информационные.
Под управлением в кибернетических системах понимают все те действия,
которые обеспечивают целостность, функционирование, развитие данной
системы, подчиняют отдельные ее элементы программе деятельности целого.
Отсюда под управляющими системами будем понимать системы, которые
вырабатывают и подают на выход некоторый эффект, вызывающий и обусловливающий действие.
Информационные системы предназначены для сбора, переработки,
хранения и передачи информации. Возможны случаи, когда некоторые из
перечисленных факторов, определяющих информационную систему,
отсутствуют. Существенным показателем информационной системы является
определенное количество и качество (в содержательном понимании)
информации на ее выходе.
Примерами информационных систем могут служить все виды систем
связи; системы сбора и обработки данных, диспетчерские, телеметрические и
другие семейства систем. Вполне очевидно, что коль скоро продуктом этих
систем является информация, то кроме констатации отказа целесообразно
оценивать его последствия количеством потерянной при этом информации.
53
Между информационными и управляющими системами нет явной
разницы, поскольку в каждой управляющей системе присутствует и
информационная система, а само управление — это, в конечном счете, передача
полезной для данной системы информации. Так, например, затруднительно
отнести к перечисленным классам автоматизированные системы управления
воздушным движением (АС УВД).
4. 1. Надежность и эффективность управляющих систем
Несмотря на вышесказанное рассмотрим управляющие системы в форме
автоматизированных систем управления (АСУ).
В настоящее время существует широко распространенная точка зрения о
том, что функционирование АСУ затруднительно оценивать каким-либо одним
показателем.
Стала очевидной необходимость одновременно учитывать точностные,
производственные и прочие характеристики (т.е. характеристики технической
эффективности), а также надежностные характеристики САУ.
Известно, что качество САУ определяется тем, насколько точно
выполняется предписанный им порядок функционирования в данных условиях
эксплуатации. Критерием качества служат численные значения функции
ошибки.
САУ считается пригодной к использованию в данных условиях, если
критерий качества не превосходит определенной требуемой величины. Всякое
изменение в работе САУ, по любой причине, влекущее за собой несоответствие
заданным требованиям, следует понимать как отказ, поскольку это означает,
что система не выполняет возложенные на нее функции. При такой постановке
вопроса надежность выступает как гарантия определенного качества —
заданной точности САУ, которая должна обеспечиваться не только целостью
составляющих ее элементов, но и стабильностью их параметров.
Имеется и другая методика выявления последствий ненадежности САУ,
когда в рассмотрение вводится функция эффективности E, например, в
следующем виде
E Bt Cз С у Bt ,
(4.1)
где: В — производительность системы; С3 — суммарные затраты на разработку
и эксплуатацию систем; Су — величина ущерба, нанесенного производству
вследствие ненадежности АСУ; t — время работы системы.
Эффективность является также функцией надежности системы, т. е.
Е=f(Р, t), где Р, как обычно, вероятность безотказной работы системы.
Определим эту функциональную зависимость через стоимостные характеристики, входящие в (4.1). Очевидно, что
C з C p Сэ ,
(4.2)
54
где: Ср — затраты на разработку; Сэ — затраты на эксплуатацию системы.
В свою очередь, составляющие (4.2) могут быть представлены в виде
(4.3)
C p Cосн 1 С1 ( Р );
Cэ Cосн 2 С2 ( Р ),
(4.4)
где: Сосн1,2 — основные расходы; С1,2(Р) —дополнительные расходы, связанные
с повышением надежности.
Из практики обработки статистического материала установлено, что
составляющая расходов С1(Р) связана с показателями надежности системы
формулой [6]
C1 (Q) C p 0 Q0 Q ,
(4.5)
где: Ср0 — «стандартная» стоимость разработки данного вида системы,
обладающей «современной» надежностью; Q0 — вероятность отказа
«стандартной» системы; Q — вероятность отказа разрабатываемой системы;
— постоянная, определяемая из опыта. Отношение Q0 /Q можно принять за
меру прогресса при повышении надежности.
Вторая составляющая приращения стоимости С2(Р) включает в себя
стоимости комплектующих изделий, резерва, ремонта, содержания
обслуживающего персонала и т.д. Эти расходы тем больше, чем ниже надежность системы. В первом приближении считают, что
C2 ( P) CидQ,
(4.6)
где Сид — стоимость эксплуатации идеально надежной системы.
Подставив (4.3) —(4.6) в (4.2), получим
Cз Cосн 1 C р 0 Q0 Q Cосн 2 CидQ.
(4.7)
Для выявления качественного характера поведения функции С3(Р)
преобразуем (4.7) к безразмерной форме, относя все затраты к сумме основных
расходов, т.е.
Q
Cз 1 C р 0 0 Cид 1 P ,
1 P
где: Cз Cз Cосн 1 Cосн 2 ; C р 0 C р 0 Cосн 1 Cосн 2 .
График зависимости Сз =f(Р) представлен на рис.4.1.
(4.8)
55
Рис. 4.1. Качественное поведение функции Сз (Р)
Обозначим μ = tв / T — коэффициент восстановления (коэффициент простоя). Тогда величину ущерба Су можно определить формулой
C y Bt Bt
tв
Bt 1 P .
Т
(4.9)
Подставляя (4.8) и (4.9) в (4.1), после преобразований получим
C р 0Q0
Bt Cосн 1 Cосн 2 Cид 1 P
Btв 1 P
1 P
(4.10)
E ( P, t )
.
Bt
Эффективность, как функция надежности, имеет оптимум. Приравнивая
нулю производную дЭ/дР, найдем значение Р*, при котором эффективность
оптимальна:
C р 0Q0
dЭ
Cид
Btв 0,
1
dP
1 P
(4.11)
откуда
P* 1 1
C р 0Q0
Cид Btв
.
(4.12)
Качественно проанализируем формулу (4.12). Положим, что +1≈, Вtв
— очень мало и Ср0: Сид << 1, тогда P* ≈ 1- Q0 .
Оставляя те же условия, но полагая Ср0: Сид_≈_1, получаем
Р* ≈ 1 –(1,2... 1,4) Q. И, наконец, при Вtв очень большое Р*→1.
Эффективность имеет оптимум и по времени окупаемости
56
t0
Cp
В Cосн 2 Cид Btв *
,
(4.13)
где λ* — оптимальная интенсивность отказов.
Приведенные формулы подтверждают, что эффективность АСУ тем
больше, чем больше ее производительность, меньше время восстановления и
больше надежность.
Функции эффективности имеют обычно весьма размытые экстремумы,
поэтому в первом приближении оптимум достигается при
Р*
≈ 1 – (1,2... 1,4) Q0.
Рассмотрим подкласс систем, выходной эффект которых и сам процесс
функционирования могут быть истолкованы в терминах и понятиях теории
информации. Это достаточно широкий подкласс систем. Следовательно,
область использования методики достаточно широка.
Основную трудность при оценке надежности таких систем вызывает
определение отказа и, как производных от этого, вероятности безотказной
работы и других показателей надежности. В значительной мере эту трудность
можно обойти, если рассматривать вопрос с таких позиций: система
регистрирует (под этим понимается прием, переработка и представление)
информацию дискретно. Эквивалентный переход от непрерывного случая к
дискретному всегда возможен с использованием теоремы В. А. Котельникова.
Обозначим через Нt количество информации на один отсчет (энтропию), а через
N (t ) — среднее число отсчетов за время t. Тогда среднее количество
информации, зарегистрированное системой, равно
I N (t )Ht .
(4.14)
Чтобы считать систему работоспособной, естественно требовать
следующее: это количество информации должно быть больше минимально
допустимого I0, т.е.
I I0.
(4.15)
В свою очередь, N (t ) функционально зависит от Р(t) —вероятности
безотказной работы системы. Следовательно, имеется прямая возможность для
определения Р(t) по соотношению I и I0.
Остается определить N (t ) и I0. Для определения N (t ) рассмотрим такую
модель.
Прибор
регистрирует
импульсы.
Введем
обозначения:
р(t)—вероятность безотказной работы прибора; Fn(t) —вероятность того, что за
время t на прибор поступит ровно n импульсов; [-dp(t)]—вероятность отказа
прибора на интервале х; Фn(t/отк) —вероятность того, что за время t
зарегистрировано ровно n импульсов и произошел отказ:
57
t
0 t отк Fn ( x)dp ( x);
(4.16)
0
Фn(t/испр) — вероятность того, что за время t зарегистрировано ровно n
импульсов и не произошло отказа:
n t испр Fn (t ) p(t ).
(4.17)
Поскольку события быть прибору в исправном или неисправном
состоянии несовместимы, то вероятность того, что за время t прибор
зарегистрировал ровно n импульсов, определится формулой:
t
n t 0 t отк n t испр Fn (t ) p (t ) Fn ( x)dp ( x).
(4.18)
0
Функция распределения (вероятность того, что за время t будет
зарегистрировано не более n импульсов) количества зарегистрированных
импульсов имеет вид:
n
n t i (t ) p(t ) Fi (t ) Fi ( x) dp( x).
i 0
i 0
0 i 0
n
t
n
(4.19)
Среднее число зарегистрированных импульсов определится формулой:
t
N t i i (t ) i p (t ) Fi (t ) Fi ( x)dp ( x)
i 0
i 0
0
n
t
n(t ) p (t ) n( x)dp ( x).
(4.20)
0
где n(t ) — среднее число импульсов, поступивших за время t.
Подставляя теперь (4.20) в (4.15), найдем Р(t). Особенно простой и
наглядной конечная формула получается для пуассоновского потока
информации (с интенcивностью μ) и экспоненциального закона распределения
отказов. В этом случае
N t te
t
t
t e t dt te t
0
t
e 1 t .
(4.21)
Полагая 1 + λt ≈ ехр [λt], окончательно получаем
N t te t .
Согласно (4.14), имеем
I tP(t ) Ht I 0 ,
откуда
P(t ) I 0 tH t .
(4.22)
58
В том случае, когда Ht не зависит от номера отсчета и порядок
накопления информации не влияет на I0, (4.22) примет вид:
P (t ) H t
0
Ht ,
(4.23)
где Ht0=I0/μt.
Когда же рассматривается комплекс, состоящий из m систем подобного
вида и объемы (а также источники) информации не коррелированы между
собой, общий объем информации будет равен
m
I Ii .
(4.24)
i
Если между источниками имеет место корреляция, соотношение (4.24)
примет иной вид. Для его получения обратимся к аналогии механизма
передачи некоторого алфавита по каналу связи.
Представим себе, что каждая из систем комплекса выдает один из знаков
m-значного алфавита с количеством информации, приходящейся на этот знак Ii.
Допустим, что «передан» первый знак с количеством информации I(1)=I1.
Затем «передан» второй знак. Полное количество информации будет
отличаться от 2I1 на некоторую величину k1 поскольку при наличии корреляции
между соседними знаками значение первого знака уже содержит некоторую
информацию (дезинформацию) о втором знаке. Поэтому можно считать, что
количество информации, приходящееся на второй знак, равно:
I 2 I (2) I (1) 2I1 k1 I1 I1 1 k1 I1 I1 1 1 .
(4.25)
Количество информации, приходящееся на третий «переданный» знак,
определится аналогично:
I3 I1 k1 k2 I1 1 k1 I1 k2 I1 I1 1 1 2 ,
(4.26)
где: k1 — характеризует корреляцию между соседними знаками, а k2 — между
знаками, номера которых отличаются на две единицы. Для N-го знака можно
записать:
I N I1 k1 k2 ... k N 1
I1 1 1 2 ... N 1 .
Очевидно,
что
количество
информации,
последовательности из N знаков, будет равно
(4.27)
содержащееся
в
59
I ( N ) I1 I 2 ... I N I1 I1 1 1
I1 1 1 2 ... I1 N N 1 1
N 2 2 ... N N 2 N 2
N N 1 N 1 I1 N I1 N 0 2 ... N 1
I1 N 0 2 2 ... N 1 N 1
(4.28)
1 N 1
N 1
I1 N 1 s s s .
N s 1
s 1
Вид функции I(N) зависит от характера последовательности величин s,
которую можно рассматривать как некоторую функцию номера s.
Приведенная модель и методика определения количества информации во
взаимосвязанных источниках не единственны. Этот вопрос детально
исследован и в чисто теоретических, и в прикладных работах по теории
информации.
Рис. 4.2(а,б). Структура передачи информации в виде пакетов
Здесь важно и существенно другое: всегда можно определить количество
информации на выходе системы. Из этого следует, что при Заданном
минимально допустимом уровне информации на выходе системы (сколь
сложной она бы ни была) всегда можно определить понятие «отказ» для нее и
величину вероятности отказа. Развивая идеи, заложенные в первой модели,
представим механизм передачи информации в системе в виде следования
пакетов (в общем случае со случайным периодом), каждый из которых
содержит некоторое количество информации I (рис. 4.2а).
Справедливость такого представления модели передачи сообщений
можно подтвердить рядом примеров. Одним из них является обычная
телефонная линия связи. Здесь каждый разговор можно представить в виде
отдельного пакета длительностью i и содержащего I единиц информации.
Другой пример — система контроля за работой нефтяных скважин.
Опрашивая в определенные моменты контрольные приборы каждой из
60
скважин, также получают определенный объем информации, который условно
можно представить пакетом определенной длительности. Характер и форма
передачи информации внутри пакета на первом этапе может нас и не
интересовать.
Системе присущи отказы. Графически их можно представить также
случайным потоком единичных импульсов Y(t) (рис. 4.2б). Здесь нас
интересуют только временные соотношения потоков, поэтому амплитуду
импульсов можно принять равной единице.
При совпадении импульса, соответствующего отказу, с импульсом потока
информации последняя теряется. Далее может следовать процесс
восстановления, который условно также можно представить потоком
случайных по длительности импульсов.
Из изложенного следует, что требования к надежности информационной
системы к закону ее восстановления (если она в принципе восстанавливаема)
определяются характером потока информации, его интенсивностью и
характером распределения ценности передаваемой информации.
Попытаемся с максимальными упрощениями выявить количественные
закономерности влияния отказов на количество информации в системе. Здесь
наиболее удобно использовать следующую терминологию и положения.
Сделаем предварительно одно замечание. В соответствии с практикой связи
потерю информации связывают обычно с заменой правильного сигнала
неверным (появление ложных импульсов и т.п.). Мы будем понимать в
дальнейшем потерю информации буквально, т.е. как потерю каких бы то ни
было сведений о посланном сигнале.
Отказы, возникающие в системе, можно интерпретировать шумами, как
это обычно делается в теории информации, и характеризовать их некоторой
величиной — количеством шума n. Для единообразия будем считать величину
n безразмерной, придавая ей смысл отношения наличного количества шума к
тому количеству, которое произвольно выбрано в качестве единицы. В
зависимости от конкретного содержания задачи эта единица может иметь
различную размерность.
Пакеты информации (рис. 4.2а), следующие в системе, можно понимать
как буквы некоторого алфавита, состоящего из k знаков. Пусть априорные
0
0
0
вероятности их появления будут p1 , p2 ,..., pk . И пусть в систему заложен
(передан) знак i (1-й пакет информации). Тогда вероятности pj воспринять
знаки j будут: при отсутствии шума (n=0)
pi 1, p j i 0;
(4.29)
Pi Pi 0 ; Pj i Pj0 ;
(4.30)
при шуме в пределе n→
61
при промежуточных значениях n вероятности рj(n) будут также иметь
промежуточные значения.
Обозначим через γ вероятность повреждения знака нашего алфавита в
результате совпадения импульса, соответствующего пакету информации, с
«импульсом» отказа. Полагая для простоты, что вероятность того, что знаки
алфавита будут восприняты неверно, γ зависит линейно, получим:
p j i p 0j i ; pi 1 pi .
j i
Рис. 4.3. Информационные импульсные потоки
Для определения γ рассмотрим несколько иную схему потоков, чем
изображенная на рис. 4.2. А именно: положим, что работоспособному
состоянию системы соответствует наличие импульса в потоке, а времени с наступлением отказа и последующего восстановления — отсутствие импульса в
потоке, Y'=f(t) на рис. 4.З. Тогда вероятность i-му пакету информации застать
систему в работоспособном состоянии будет равна:
2
(t ) 1 1 s s exp t 22 ,
s 1
(4.31)
где: - математическое ожидание длительности паузы потока совпадений;
2
22 1 s s 22 ;
s 1
(4.32)
и s - соответственно средняя частота следования и математическое
ожидание длительности импульсов потоков, участвующих в совпадении;
s
nn 22 - средняя частота совпадения импульсов рассматриваемых потоков.
Величина nn в общем случае определяется весьма громоздкими
формулами. Поэтому для большей наглядности пойдем на дальнейшие
упрощения. Допустим, что система достаточно надежна. Тогда θ в первом
приближении можно положить равным среднему интервалу времени между
62
пакетами информации. Положим также, что пакеты информации поступают в
систему достаточно редко. В результате ехр{-t/θ22}≈1 и формула примет вид:
2
(t ) 1 1 s s .
s 1
(4.33)
Функция γ(t) будет равна
2
(t ) 1 (t ) 1 s s .
s 1
(4.34)
Обозначим: 1 , 1 - среднюю частоту следования и математическое
ожидание длительности пакетов информации; 2 , 2 - среднюю частоту
следования и математическое ожидание импульсов потока, соответствующего
работоспособному состоянию системы.
Очевидно, что 2 - не что иное, как среднее время на отказ, а
2
1
,
2 2
(4.35)
где 2 —средняя длительность пауз, соответствующая среднему времени
восстановления системы.
Дополнительно преобразуем формулу (4.35). Обычно 2 2 , тогда
2
1
1 1
1 2 e 2 2 .
2 1 2 2 2 2 2
(4.36)
Подставляя (4.36) в (4.34) и обозначая произведение 1 1 I 0 , получим:
(t ) 1 I 0e
2
2
.
(4.37)
Величину 1/2 примем за единицу шума, а отношение 2 : 2 обозначим n
(шумом).
При рассмотрении процессов в информационной системе и последующих
упрощений мы, по сути дела, подошли к случаю, когда алфавит состоит из двух
0
0
знаков (0,1). Положим, что p0 p1 0,5 . Тогда
1
p0,1 1 Ie n .
(4.38)
2
Теперь можно вычислить:
63
I (n) p00 lg p00 p10 lg p10 p0 ( n) lg p0 ( n)
1
1
p1 (n) lg p1 (n) 1 1 I 0 e n lg 1
2
2
(4.39)
1
1
I 0e n 1 I 0 e n lg 1 I 0 e n ,
2
2
где lg — логарифм при основании 2.
Из (4.39) следует, что при n=0 количество информации равно некоторому
исходному I(0), а при n→ количество информации на выходе системы
стремится к нулю, как это и должно быть.
Для информационных систем вообще характерно, что «энтропия»
I(0)–
I(n) не возрастает неограниченно при увеличении шума, а приближается
асимптотически к некоторому предельному значению I(0).
Для оценки влияния шума на количество информации в системе введем в
рассмотрение величину
дI
(4.40)
L .
дn
Чем больше эта величина, тем больше система подвержена действию
шума, т.е. тем больше она неустойчива и чувствительна к изменению
количества шума. Эту величину иногда именуют лабильностью системы.
Поскольку при повышении количества шума количество информации
уменьшается, то величина дI/дn отрицательна. Так как удобнее при оценке
системы оперировать положительными величинами, то в (4.40) поставлен знак
минус.
В предположении о малости величины I0en соотношение (4.39) можно
записать так:
I (n) I 02 e 2 n .
(4.41)
Тогда
L 2 I 02 e 2 n .
(4.42)
Первый сомножитель (4.42) определяется принятым порядком передачи
информации в системе, а второй — ее надежностными характеристиками.
Формула (4.42) наглядно показывает, что для уменьшения лабильности
системы необходимо увеличивать среднее время наработки на отказ и снижать
время, необходимое для восстановления.
Естественно, что приведенные формулы и рассуждения крайне
упрощены. Действительные процессы, протекающие в ТКС, значительно
сложнее. Поэтому при анализе реальных информационных систем необходимо
в
рамках
целесообразности
полнее
учитывать
специфику
их
функционирования. Здесь преследовалась иная цель: показать, что обычный
64
вероятностный критерий отказа недостаточен для информационных систем, что
этот вероятностный Критерий необходимо связать с количеством теряемой
"информации из-за отказа и что в принципе эта методика реализуема в
практике исследования надежности информационных систем.
До сих пор информационная система рассматривалась как единое целое.
В действительности она состоит из ряда пунктов приема, обработки и передачи
информации, а также линий связи. Характер структуры информационной
системы в значительной мере определяет ее надежность. Учесть структурные
свойства системы, используя одновременно чисто информационный критерий
надежности, достаточно сложно. Несмотря на сложность этой теории, ряд
используемых соотношений в конечном счете оказывается достаточно
простым, и поэтому их можно использовать для получения оценок надежности
информационных систем на ранних этапах их проектирования.
Исходными предпосылками при этом является взаимонезависимость
отказов; продолжительность пакета информации постоянна и существенно
меньше паузы между пакетами; поток информации пуассоновский; поток
отказов стационарный и подчиняется пуассоновскому закону.
Время восстановления распределено по экспоненциальному закону.
В качестве критерия, оценивающего последствия ненадежности,
выбирается функция, определяющая средние потери информации в системе.
Оказывается, что для структуры системы в виде полного графа (рис. 4.4) эта
функция пропорциональна среднему числу отрезанных (из-за отказов линии
связи) пунктов s .
Рис. 4.4. Граф состояния системы
В свою очередь при достаточно большом ν (практически ν ≥ 4)
s 2 q ,
(4.43)
где: q=qi — вероятность того, что линия связи отказала в данный момент;
ν – число пунктов.
65
Из (4.43) следует, что среднее число отрезанных пунктов быстро убывает
с возрастанием ν . Этот результат очевиден, так как с увеличением n растет
число путей, по которым можно передать информацию от одного пункта к
другому. Кроме того, формула (4.43) дает нижнюю границу потерь по всем
возможным структурам. Чтобы получить аналогичную оценку s для случая,
когда вероятности отказов в работе линий различны, достаточно в (4.43)
заменить q на
q* min qi .
(i )
После предварительной оценки качества структуры информационной
системы можно перейти к анализу собственно функции средних потерь
информации π(t). Для систем с произвольной структурой (но без петель)
функцию потерь можно выразить формулой
(t ) qik i 0[q ],
i
i 1
(4.44)
s
где: i j — суммарные потери информации при отказе i-й линии связи;
j 1
μj – производительность j-го пункта; ki — число линий, включенных
параллельно i-й линии; q max qi .
Согласно (4.44) любую структуру без петель можно с точностью до
малых заменить в смысле средних потерь радиальной структурой (рис. 4.5).
Здесь можно решить две задачи либо порознь, либо совместно.
7
6
n
0
1
5
2
4
3
Рис. 4.5. Радиальная структура
Первая состоит в определении производительности j-го пункта как
функции интенсивности потока информации, потока отказов и восстановлений.
Эту задачу можно решить применительно к конкретным условиям работы
пунктов, используя предыдущие соображения и теорию совпадений случайных
импульсных потоков. Найдя μi, найдем и i.
Вторая задача, в свою очередь, также распадается на две: либо
определить число элементов ki так, чтобы функция надежности была макси-
66
мальна (минимальны потери) при каком-либо ограничении, например, по
стоимости, либо минимизировать ограничение (стоимость) при заданной
надежности (величине функции потерь).
Идея решения этой задачи сходна с общей идеей оптимального
резервирования. Основное отличие состоит в том, что решается задача с учетом
значимости (по характеру и величине потерь) пунктов сбора и переработки
информации.
Итак, допустим, что они найдены. Требуется найти такой набор чисел
{ki}, который минимизировал бы функцию (4.44) при ограничении по
стоимости, т.е.
n
k c
i 1
i i
C,
(4.45)
где: ci – стоимость i-го элемента; С – стоимость системы в целом (стоимости
берутся безразмерными). Решение задачи имеет вид:
ln qi
1
ki0
ln
A
,
i
(4.46)
ln qi
ci
где
n
ln qi
ci
ln i
ln qi
ci
C
A n
i 1
, i 1, 2,..., n
n
ci
ci
i 1 ln qi
i 1 ln qi
и
n
c
0 i B exp
i 1 ln qi
C
,
n
ci
i 1 ln qi
(4.47)
где
n ci
ln qi
ln i
ci
ln qi
B exp i 1
n
ci
i 1 ln qi
.
Для второй задачи, когда минимизируется стоимость заданной функции
потерь, решение имеет вид:
67
ki0
ln i i
, i 1, 2,..., n,
ln qi
и
n
C
0
i 1
ci
ln i ,
ln qi i
(4.48)
(4.49)
где
c
i i
ln qi
n
ci
ln q .
i 1
i
Полученные соотношения позволяют, с одной стороны, оптимально по
надежности распределить отведенные средства, с другой, - определить тот
минимум затрат (и его распределение), который необходим для обеспечения
заданной надежности. Согласно этим соотношениям с увеличением
затрачиваемых средств средние потери убывают по экспоненте.
При фиксированных затратах С использование вложенных средств тем
эффективнее, чем больше величины i= –ln(qi /ci). Эти величины могут служить
удобной характеристикой, связывающей надежность элемента и его стоимость,
в равной степени как по отношению к функциональным элементам ТКС, так и к
устройствам ЗИ.
68
ЗАКЛЮЧЕНИЕ
Материалы, изложенные в настоящем учебном пособии, нужно
рассматривать как базовую информацию, необходимую для определения
стратегии технической эксплуатации ЗТКС и выбора методов их технического
обслуживания.
Последние, в свою очередь, обеспечивают работоспособность
рассматриваемых устройств к определенному моменту времени, к которому
приурочено начало определенной информации. Особенно актуальным
представляется решение данной задачи для систем, участвующих в
формировании, передаче и обработке информационных сообщений,
подлежащих защите.
Установление закономерностей возникновения отказов в реальных ТКС,
которые, в общем случае, представляют собой случайные процессы и
описываются вероятностными метриками [6], создают основы расчета
характеристик безотказности и прогнозирования отказов, что позволяет
изыскивать пути повышения эффективности использования ТКС на различных
этапах их жизненного цикла.
Естественно считать, что проблема повышения надежности будет
непрерывно
возрастать
с
расширением
круга
задач,
решаемых
соответствующей техникой и нарастающей тенденцией обеспечения
информационной безопасности данных, формируемых соответствующими
системами.
69
ЛИТЕРАТУРА
1.
Байхельт Ф., Франкен П. Надежность и техническое обслуживание.
- М.: Радио и связь, 1988.
2.
Вероятностные методы в вычислительной технике / под ред.
А.Н. Лебедева , Е.А. Чернявского. - М.: Высшая школа, 1986.
3.
Емельянов В.Е. Основы технической эксплуатации ЗТКС. Часть II.
Принципы организации технической эксплуатации ЗТКС. - М.: МГТУ ГА, 2011.
4.
Левин Б.Р. Теория надежности радиотехнических систем. - М.:
Советское радио, 1988.
5.
Надежность в технике. Термины и определения. ГОСТ 27.002 – 83.
- М.: Издательство Государственного комитета СССР по стандартам, 1983.
6.
Совчук В.П. Байесовские методы статистического оценивания.
Надежность технических объектов. - М.: Наука, 1969.
7.
Тейер Т., Липов М., Нельсон Э. Надежность программного
обеспечения. - М.: Мир, 2001.
8.
Черкесов Г.Н. Надежность аппаратно-программных комплексов.
С.-П.: Издательский дом «Питер», 2005.
9.
Шишонок Н.А., Репкин В.Ф., Барвинский Л.П. Основы теории
надежности. - М.: Финансы и статистика, 2002.
70
СОДЕРЖАНИЕ
ВВЕДЕНИЕ…………………….. .…………………………………………….
1. ХАРАКТЕРИСТИКИ НАДЕЖНОСТИ ТКС……………………….......…..
1.1. Характеристики надежности простых систем …..………………..
1.2. Характеристики надежности сложных систем ……………………
1.3. Критерии и показатели надежности для невосстанавливаемых
изделий ……………………………………………………………………
1.4. Критерии и показатели надежности для восстанавливаемых
изделий ……………………………………………………………………
2. РЕЗЕРВИРОВАНИЕ НЕВОССТАНАВЛИВАЕМЫХ СИСТЕМ ..….......
2.1. Постоянное резервирование ………………………..…………….
2.2. Резервирование замещением ………………………...……….......
3. ОЦЕНКА НАДЕЖНОСТИ ПРОГРАММНЫХ КОМПЛЕКСОВ………….
3.1. Проектная
оценка
надежности
программного
комплекса..……………………………………………………………….
3.2. Оценка надежности программного комплекса по результатам
эксплуатации……………………………………………………………..
4. ПОКАЗАТЕЛИ НАДЕЖНОСТИ СИСТЕМ С УЧЕТОМ СПЕЦИФИКИ
ИХ НАЗНАЧЕНИЯ ……………………………………………………………..
4.1. Надежность и эффективность управляющих систем …………………..
ЗАКЛЮЧЕНИЕ…………………………………………………………………
ЛИТЕРАТУРА……………………………………………………………….....
3
5
5
11
13
16
24
24
28
36
36
39
52
53
68
69
