Модели надежности программного обеспечения

Исходные данные и некоторые понятия

На основании приведенных выше (см. главу 1) определений понятий «ошибка» и «функциональный отказ» можно трактовать надежность программного обеспечения как вероятность того, что отказ ПО, вызывающий отклонение получаемого выходного результата от требуемого за допустимые пределы, не произойдет при определенных условиях внешней среды в течение заданного периода наблюдения. Рассмотрим данную трактовку более подробно, останавливаясь при этом на некоторых понятиях, вошедших в дефиницию трактуемого термина.

Прежде всего следует иметь в виду, что к снижению надежности ПО приводят не все отказы, а только те, которые вызывают недопустимое отклонение выходного результата от требуемого.

Под определенными условиями внешней среды следует понимать описание входных данных и состояние ИС в процессе выполнения программы. Состояние ИС описывается в основном объемом оперативной памяти и зависит от требований к ПО в части его способности нормально функционировать при наличии отказов.

Под способностью подразумеваются свойства ПО, которые закладываются при его проектировании (например, возможность смены программ в памяти; возможность возобновления работ с некоторых контрольных точек и т. д.). В общем случае работа в условиях внешней среды, не предусмотренных техническим заданием и проектом ПО, приведет к снижению надежности последнего.

Заданный период наблюдений, как правило, представляет собой время, необходимое для выполнения поставленной задачи. Выделение определенного интервала наблюдений для оценки качества ПО, по-видимому, целесообразно в случае систем реального времени, в которых непредсказуемыми являются число прогонов любой из действующих программ, состояние базы данных и моменты начала выполнения той или иной программы. В условиях так называемого пакетного режима работы, т. е. когда состояние системы, включая базу данных, достоверно известно, в качестве периода наблюдений следует выбрать рабочий цикл или прогон. В общем случае каждый раз перед повторным выполнением программы необходимо либо восстанавливать состояние памяти, либо осуществлять серию последовательных прогонов программы, при которых определенным образом последовательно изменяется состояние базы данных.

Введем следующие обозначения. Пусть П — машинная программа, которая может быть определена как описание некоторой вычислимой функции F на множестве Е всех значений наборов входных данных, таких, что каждый элемент Е, множества Е представляет собой набор значений данных, необходимый для выполнения прогона программы:

Интуитивное определение надежности и безопасности ПО может быть уточнено в статистическом смысле на основе следующих простых соображений:

• • выполнение программы П приводит к получению для каждого ?, определенного значения функции ?(?,);
• • множество? определяет все возможные вычисления в программе П, т. е. каждому набору входных данных ?₍ соответствует прогон программы П и, наоборот, каждому прогону соответствует некоторый набор входных данных ?,;
• • наличие дефектов в программе П приводит к тому, что ей на самом деле соответствует функция ?', отличная от заданной функции F;
• • для некоторого ?, отклонение выхода ?'(?,), полученного в результате выполнения программы, не должно превышать некоторый установленный уровень безопасности программного обеспечения S (?,), т. е. безопасность обеспечивается при соблюдении ограничения ?'(?;) < S (?,).

Вопрос о том, приводит ли некоторое отклонение выхода к нарушению условия надежности и, особенно, безопасности, должен решаться в каждом конкретном случае отдельно, поскольку все определяется конкретными особенностями поведения системы после нарушения ее работы.