定義必要的可靠性南大計(jì)算機(jī)系

定義必要的可靠性南大計(jì)算機(jī)系第1頁，共40頁，2023年，2月20日，星期四可靠性的定量定義使我們能夠精確地平衡客戶對可靠性，交付日期和成本的要求，并更加有效地開發(fā)和測試產(chǎn)品。第2頁，共40頁，2023年，2月20日，星期四失效/錯(cuò)誤失效(failure)是指系統(tǒng)運(yùn)行的行為對用戶要求的偏離，是面向用戶的概念。只有在系統(tǒng)運(yùn)行的時(shí)候才可能有失效。錯(cuò)誤(fault)是指在系統(tǒng)運(yùn)行時(shí)引發(fā)或可能潛在地引發(fā)失效的缺陷。是面向開發(fā)的概念。第3頁，共40頁，2023年，2月20日，星期四失效嚴(yán)重程度類別（1）失效嚴(yán)重程度類別一組單個(gè)出現(xiàn)時(shí)對用戶產(chǎn)生相同影響的失效。指定失效的嚴(yán)重程度，主要是為了結(jié)合失效頻率來解決失效的優(yōu)先級。分級標(biāo)準(zhǔn)人員生命，成本，系統(tǒng)能力的影響。還可能包括一些子標(biāo)準(zhǔn)：額外的運(yùn)行成本，修復(fù)和恢復(fù)成本，…。第4頁，共40頁，2023年，2月20日，星期四失效嚴(yán)重程度類別（2）不可能精確估算失效的影響。根據(jù)成本劃分的失效嚴(yán)重程度類以10倍的關(guān)系劃分。通常不超過四個(gè)級別。失效嚴(yán)重程度類定義1>100000210000-10000031000-100004<1000第5頁，共40頁，2023年，2月20日，星期四失效嚴(yán)重程度類（3）根據(jù)對系統(tǒng)能力的影響劃分失效嚴(yán)重程度類。失效嚴(yán)重程度類定義1用戶不能進(jìn)行一項(xiàng)/多項(xiàng)關(guān)鍵操作。2用戶不能進(jìn)行一項(xiàng)/多項(xiàng)重要操作3用戶不能進(jìn)行一項(xiàng)/多項(xiàng)操作，但是有不久方法4一項(xiàng)或多項(xiàng)操作中的小缺陷第6頁，共40頁，2023年，2月20日，星期四失效強(qiáng)度（1）失效強(qiáng)度是表示可靠性的一種簡單直觀的方式。起初是指單位時(shí)間內(nèi)出現(xiàn)失效的次數(shù)。對于軟件來說，執(zhí)行時(shí)間是軟件的度量方式。雖然使用執(zhí)行指令數(shù)目來度量軟件的失效強(qiáng)度更加準(zhǔn)確，但是和系統(tǒng)其他部分的度量不兼容。第7頁，共40頁，2023年，2月20日，星期四失效強(qiáng)度（2）有時(shí)，將失效強(qiáng)度表示為每個(gè)自然單位出現(xiàn)的失效數(shù)目更加方便。比如打印機(jī)輸出的頁數(shù)，交易數(shù)目，電話呼叫次數(shù)等。每打印10000頁出現(xiàn)一次失敗，每100000次電話出現(xiàn)電話掉線，…失效強(qiáng)度的單位也可以用來表示可靠性。第8頁，共40頁，2023年，2月20日，星期四失效強(qiáng)度（3）如果系統(tǒng)的成功執(zhí)行要求所有組件的成功執(zhí)行，那么系統(tǒng)失效強(qiáng)度就是所有組件的失效強(qiáng)度的總和。第9頁，共40頁，2023年，2月20日，星期四過程（1）為了為每個(gè)產(chǎn)品系統(tǒng)分析定義必要的可靠性，我們需要為產(chǎn)品定義進(jìn)行了嚴(yán)重程度分類的失效為所有相關(guān)的系統(tǒng)選擇一種通用的度量為每個(gè)測試的系統(tǒng)建立失效強(qiáng)度目標(biāo)。對于所開發(fā)的軟件產(chǎn)品，針對該軟件我們必須找出所開發(fā)軟件的失效強(qiáng)度目標(biāo)。指定策略以滿足所開發(fā)軟件的失效強(qiáng)度目標(biāo)第10頁，共40頁，2023年，2月20日，星期四定義失效根據(jù)用戶的需要，對程序行為創(chuàng)建消極需求。通過說明系統(tǒng)不應(yīng)該做的事情來給出失效的定義。這些消極需求（錯(cuò)誤的行為）應(yīng)該根據(jù)失效嚴(yán)重程度類別列出。而這些類的劃分方法對每個(gè)項(xiàng)目都有所不同。我們可以根據(jù)情況選擇特定的嚴(yán)重程度類劃分標(biāo)準(zhǔn)。第11頁，共40頁，2023年，2月20日，星期四定義失效Fonefollower的失效嚴(yán)重程度類失效嚴(yán)重程度類定義1導(dǎo)致不能轉(zhuǎn)發(fā)呼叫的失效。2導(dǎo)致不能輸入要轉(zhuǎn)發(fā)的呼叫號(hào)碼的失效3使系統(tǒng)管理困難，但是可以用別的方法代替的失效4引起不方便的失效第12頁，共40頁，2023年，2月20日，星期四選擇通用度量可靠性的度量方式可以選擇自然單元。一個(gè)產(chǎn)品可能具有多種自然單元，每個(gè)自然單元和一組重要的功能相聯(lián)系。此時(shí)可以選擇時(shí)間作為失效強(qiáng)度的基礎(chǔ)。一般時(shí)間？執(zhí)行時(shí)間？如果平均計(jì)算機(jī)使用時(shí)間的變化不大，可以使用一般時(shí)間來替代執(zhí)行時(shí)間。否則可以將執(zhí)行時(shí)間調(diào)整為一般時(shí)間。第13頁，共40頁，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)(FIO)需要給每一個(gè)被測試的系統(tǒng)建立相應(yīng)的失效強(qiáng)度目標(biāo)。對超系統(tǒng)（或獨(dú)立的產(chǎn)品），直接設(shè)定失效強(qiáng)度目標(biāo)。對于某個(gè)組件，將超系統(tǒng)的FIO減去其他組件的FIO，得到它的FIO。如果組件屬于多個(gè)系統(tǒng)，那么取最小值為其FIO。為每個(gè)采辦組件建立FIO。第14頁，共40頁，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（2）超系統(tǒng)（或獨(dú)立產(chǎn)品）的FIO的確定依賴于產(chǎn)品特性，用戶/客戶的具體需求和期望。需要考慮實(shí)效強(qiáng)度（可靠性），開發(fā)時(shí)間，開發(fā)成本等?？紤]和這個(gè)產(chǎn)品競爭的產(chǎn)品?？紤]和這個(gè)產(chǎn)品相關(guān)的其他系統(tǒng)的FIO。第15頁，共40頁，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（3）對于某個(gè)版本，根據(jù)當(dāng)前的開發(fā)技術(shù)水平，以及新功能的個(gè)數(shù)，失效強(qiáng)度，開發(fā)時(shí)間，開發(fā)成本的乘積基本上是一個(gè)常量。需要在這三者之間取得平衡。同時(shí)，對于不同的產(chǎn)品，這三者之間的關(guān)系未必一樣?？梢酝ㄟ^以往的數(shù)據(jù)來知道三者之間的精確關(guān)系，以指導(dǎo)決策。第16頁，共40頁，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（4）建立失效強(qiáng)度目標(biāo)時(shí)的參考信息。失效影響FIO時(shí)間數(shù)百人死亡，10億美元以上損失10-9114000年1-2人死亡，1百萬美元左右的損失10-6114年大約1000美元的經(jīng)濟(jì)損失10-36周大約100美元的經(jīng)濟(jì)損失10-2100小時(shí)大約10美元的經(jīng)濟(jì)損失10-110小時(shí)大約10美元的經(jīng)濟(jì)損失11小時(shí)第17頁，共40頁，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（5）一般用單個(gè)用戶的方式給出可靠性數(shù)據(jù)，便于市場開發(fā)專家將它和需求聯(lián)系起來。對于FoneFollower，我們可以定為每10000個(gè)呼叫有一次失效。如果用戶用最嚴(yán)重的失效（1類失效）表示需要的失效強(qiáng)度，那么應(yīng)該將用戶的SFIO除以最嚴(yán)重失效的比率。（因?yàn)榻?jīng)驗(yàn)顯示這樣的比率是確定的）FIO是對所有的操作而言的，而不是對于少數(shù)關(guān)鍵操作而言的。第18頁，共40頁，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（6）在規(guī)劃FIO的時(shí)候，需要用戶的參與?？梢允褂脩舾械綕M意；可以更加準(zhǔn)確地了解用戶的需求。如果產(chǎn)品的客戶數(shù)量少，那么可以要求客戶一起工作。如果產(chǎn)品有大量的小用戶，則需要對用戶隨機(jī)采樣，提供一定的鼓勵(lì)等。第19頁，共40頁，2023年，2月20日，星期四可靠性和失效強(qiáng)度的關(guān)系有時(shí)，需要在可靠性與失效強(qiáng)度之間進(jìn)行轉(zhuǎn)換 =-lnR/t R=exp(-t)如果R>0.95，那么近似計(jì)算

=(1-R)/t R=1-t其中表示失效強(qiáng)度，R表示可靠性，t表示時(shí)間。第20頁，共40頁，2023年，2月20日，星期四可靠性和失效強(qiáng)度的關(guān)系如果要起8小時(shí)的可靠性為0.992，那么失效強(qiáng)度應(yīng)該為每1000小時(shí)1個(gè)失效。每1000頁打印出現(xiàn)1次失效，可以轉(zhuǎn)換為8頁打印的可靠性為0.992。第21頁，共40頁，2023年，2月20日，星期四可用性和失效強(qiáng)度（1）可用性A表示在一段時(shí)間內(nèi)，系統(tǒng)以可接受的狀態(tài)工作的時(shí)間和總時(shí)間的比率 A=tu/(tu+td)Tu表示正常運(yùn)行的時(shí)間，td表示downtime. Td=tmtu，其中tm表示每個(gè)失效導(dǎo)致的平均停機(jī)時(shí)間。第22頁，共40頁，2023年，2月20日，星期四可用性和失效強(qiáng)度（2）A=1/(1+tm)=(1-A)/Atm比如：如果產(chǎn)品的可用性必須達(dá)到99%，并且停機(jī)時(shí)間為6分鐘，那么失效強(qiáng)度目標(biāo)大概是每小時(shí)0.1個(gè)失效。第23頁，共40頁，2023年，2月20日，星期四確定被開發(fā)軟件的FIO（1）如果產(chǎn)品需要開發(fā)軟件組件，那么需要為這個(gè)組件設(shè)定FIO。首先找出系統(tǒng)中預(yù)期的采辦組件的FI。根據(jù)操作數(shù)據(jù)，提供商擔(dān)保，專家經(jīng)驗(yàn)來估計(jì)。通過從對應(yīng)的系統(tǒng)FIO減去采辦組件的FI，得到每個(gè)系統(tǒng)自記開發(fā)的軟件的FIO。第24頁，共40頁，2023年，2月20日，星期四確定被開發(fā)軟件的FIO（2）以FoneFollower為例，如果從硬件提供商那里得到數(shù)據(jù)，硬件組件的FI是每小時(shí)0.1個(gè)失效；操作系統(tǒng)在每小時(shí)10萬次呼叫的情況下，每小時(shí)0.4個(gè)失效。轉(zhuǎn)換之后得到，采辦組件的失效強(qiáng)度為每百萬次5次失效。如果產(chǎn)品的FIO和采辦組件的FI有比較大的差別，可以考慮使用其他的組件來替代。直接累加采辦組件的失效強(qiáng)度可以得到總采辦FI。是一種近似的計(jì)算方法，但是比較有效。實(shí)際的FI低于計(jì)算得到的FI。第25頁，共40頁，2023年，2月20日，星期四指定策略以滿足FIO（1）選擇正確的可靠性策略，在時(shí)間和金錢允許的情況下，盡可能提高滿足目標(biāo)的可能性?？煽啃圆呗缘膶?shí)施主要由系統(tǒng)工程師和系統(tǒng)架構(gòu)師完成，但是該策略對測試的影響也非常大。三種策略：錯(cuò)誤預(yù)防，錯(cuò)誤清除，容錯(cuò)。第26頁，共40頁，2023年，2月20日，星期四指定策略以滿足FIO（2）錯(cuò)誤預(yù)防應(yīng)用適當(dāng)?shù)男枨螳@取方法，進(jìn)行需求審查，實(shí)現(xiàn)設(shè)計(jì)方法進(jìn)行設(shè)計(jì)復(fù)查，建立和執(zhí)行各種標(biāo)準(zhǔn)，使用好的需求獲取工具和設(shè)計(jì)工具等。錯(cuò)誤預(yù)防的有效性通過估計(jì)進(jìn)行預(yù)防活動(dòng)之后的剩余錯(cuò)誤的比例來度量。第27頁，共40頁，2023年，2月20日，星期四指定策略以滿足FIO（3）錯(cuò)誤清除通過代碼審查和測試清除錯(cuò)誤。代碼審查的有效性由審查之后遺留錯(cuò)誤的比例確定。也許可以通過某種數(shù)據(jù)模型來估算剩余錯(cuò)誤數(shù)量。測試的有效性可以通過測試之前的FI和測試之后的FI的比例來度量。這樣的度量可以改進(jìn)我們的測試方法。第28頁，共40頁，2023年，2月20日，星期四指定策略以滿足FIO（4）容錯(cuò)容錯(cuò)必須通過設(shè)計(jì)來實(shí)現(xiàn)。通過預(yù)測系統(tǒng)可能會(huì)出現(xiàn)哪些失效，并通過冗余設(shè)計(jì)來對抗這些失效。第29頁，共40頁，2023年，2月20日，星期四指定策略以滿足FIO（5）理論上，應(yīng)該通過平衡各種因素來選擇適當(dāng)?shù)牟呗裕翰呗缘拈_銷，有效性，使用的范圍等。一般可以根據(jù)經(jīng)驗(yàn)選擇策略。超可靠性：每1000小時(shí)<0.1失效；使用容錯(cuò)技術(shù)，廣泛的需求和設(shè)計(jì)評審高度可靠：每1000小時(shí)0.1-10失效；要求相當(dāng)廣泛的需求和設(shè)計(jì)評審，可能需要一些容錯(cuò)。商品化：每1000小時(shí)10-2000失效；指導(dǎo)需求或帶有操作剖面和評判標(biāo)準(zhǔn)的設(shè)計(jì)評審。原型：每1000小時(shí)>2000失效；一般測試第30頁，共40頁，2023年，2月20日，星期四指定策略以滿足FIO（6）通過操作剖面(Operationprofiles)，可以確定將策略的重點(diǎn)放在哪里。通過產(chǎn)品的前面一個(gè)版本的實(shí)際失效強(qiáng)度，和FIO比較以確認(rèn)工作的重點(diǎn)。投入一定的工作量來改進(jìn)開發(fā)過程。第31頁，共40頁，2023年，2月20日，星期四特殊情況失效的其他劃分方法為組件分配失效強(qiáng)度目標(biāo)軟件安全性和超可靠性第32頁，共40頁，2023年，2月20日，星期四失效的其他劃分方法為滿足特殊的目的，可以根據(jù)其他的特征對失效進(jìn)行分組。組件操作組失效類別作業(yè)角色第33頁，共40頁，2023年，2月20日，星期四為組件分配FIO（1）由采辦軟件組件的FI以及產(chǎn)品的FIO來確定開發(fā)部件的失效強(qiáng)度。一般沒有折衷過程。但是，如果有多個(gè)不同層次的可選組件，那么我們可以考慮在不同的組件之間進(jìn)行FI和資金的分配。首先，將系統(tǒng)劃分為適當(dāng)?shù)慕M件；確定組件的失效目標(biāo)。第34頁，共40頁，2023年，2月20日，星期四為組件分配FIO（2）劃分組件主要依據(jù)系統(tǒng)配置的性質(zhì)，項(xiàng)目管理問題以及管理較多組件的可靠性所需要的工作量或成本。應(yīng)該盡可能將系統(tǒng)劃分為與現(xiàn)有可以重用的組件相似的組件。（可以更多地重用更加可靠的系統(tǒng)）第35頁，共40頁，2023年，2月20日，星期四為組件分配FIO（3）確定FIO估計(jì)已知的組件值逐步分配組件的失效強(qiáng)度目標(biāo)以縮短系統(tǒng)開發(fā)時(shí)間，降低開發(fā)風(fēng)險(xiǎn)或成本根據(jù)組件的FIO，計(jì)算系統(tǒng)的FI并和需求比較修改組件的FIO，直到滿足需求。第36頁，共40頁，2023年，2月20日，星期四為組件分配FIO（4）以FoneFollower為例將整個(gè)系統(tǒng)分割成為3個(gè)部分：硬件，操作系統(tǒng)，應(yīng)用程序。已經(jīng)確定系統(tǒng)的FIO為100失效/百萬次呼叫。硬件的可靠性為1失效/百萬次呼叫所以操作系統(tǒng)+應(yīng)用程序的總FI不超過99失效。對于不同的FIO，同樣的軟件需要不同的成本和時(shí)間。根據(jù)選擇不同的開發(fā)成本和周期，可以得到適當(dāng)?shù)拿總€(gè)組件的FIO。第37頁，共40頁，2023年，2月20日，星期四安全性與超可靠性（5）軟件安全性是軟件可靠性的一個(gè)子集。安全性表示避免災(zāi)難，而災(zāi)難顯然是一種特殊的失效。軟件可靠性的理論，方法也都適用于軟件安全性。（容錯(cuò)，統(tǒng)計(jì)模型，…）軟件安全性和超可靠性密切相關(guān)。第38頁，共40頁，2023年，2月20日，星期四安全性與超可靠性（6）超可靠性一般指每