定义必要的可靠性-南京大学计算机科学与技术系.PPT

* * * * * * * * * * * * * * * * * 特殊情况 失效的其他划分方法 为组件分配失效强度目标 软件安全性和超可靠性 失效的其他划分方法 为满足特殊的目的，可以根据其他的特征对失效进行分组。 组件 操作组 失效类别 作业角色 为组件分配FIO（1） 由采办软件组件的FI以及产品的FIO来确定开发部件的失效强度。一般没有折衷过程。 但是，如果有多个不同层次的可选组件，那么我们可以考虑在不同的组件之间进行FI和资金的分配。 首先，将系统划分为适当的组件； 确定组件的失效目标。 为组件分配FIO（2） 划分组件 主要依据系统配置的性质，项目管理问题以及管理较多组件的可靠性所需要的工作量或成本。 应该尽可能将系统划分为与现有可以重用的组件相似的组件。（可以更多地重用更加可靠的系统） 为组件分配FIO（3） 确定FIO 估计已知的组件值 逐步分配组件的失效强度目标以缩短系统开发时间，降低开发风险或成本 根据组件的FIO，计算系统的FI并和需求比较 修改组件的FIO，直到满足需求。 为组件分配FIO（4） 以Fone Follower为例 将整个系统分割成为3个部分：硬件，操作系统，应用程序。 已经确定系统的FIO为100失效/百万次呼叫。 硬件的可靠性为1失效/百万次呼叫 所以操作系统+应用程序的总FI不超过99失效。 对于不同的FIO，同样的软件需要不同的成本和时间。根据选择不同的开发成本和周期，可以得到适当的每个组件的FIO。 安全性与超可靠性（5） 软件安全性是软件可靠性的一个子集。 安全性表示避免灾难，而灾难显然是一种特殊的失效。 软件可靠性的理论，方法也都适用于软件安全性。（容错，统计模型，…） 软件安全性和超可靠性密切相关。 安全性与超可靠性（6） 超可靠性 一般指每执行小时的错误小于10-4次. 一般要求某些操作达到超可靠性，而不是整个系统。 硬件的超可靠性和一般时间相关，但是软件的超可靠性只和执行时间相关。 安全性与超可靠性（7） 超可靠性的开发费用，时间，困难都非常大。 需要设定适当的目标：10-6？ 根据关键性划分操作，当关键操作和其他的操作分离，以降低操作之间的相互影响。 对于软件，可接受的失效强度是系统失效强度除以执行时间的比率。 可以通过加速的方式解决超可靠性测试所需要的时间 多个系统并发运行； 在更加快的系统上运行。 * * * * * * * * * * * * * * * * * * * * * * * 定义必要的可靠性 赵建华 南京大学计算机系 可靠性的定量定义使我们能够精确地平衡客户对可靠性，交付日期和成本的要求，并更加有效地开发和测试产品。 失效/错误 失效(failure) 是指系统运行的行为对用户要求的偏离，是面向用户的概念。 只有在系统运行的时候才可能有失效。 错误(fault) 是指在系统运行时引发或可能潜在地引发失效的缺陷。是面向开发的概念。 失效严重程度类别（1） 失效严重程度类别 一组单个出现时对用户产生相同影响的失效。 指定失效的严重程度，主要是为了结合失效频率来解决失效的优先级。 分级标准 人员生命，成本，系统能力的影响。 还可能包括一些子标准：额外的运行成本，修复和恢复成本，…。 失效严重程度类别（2） 不可能精确估算失效的影响。 根据成本划分的失效严重程度类以10倍的关系划分。通常不超过四个级别。 失效严重程度类 定义 1 100000 2 10000-100000 3 1000-10000 4 1000 失效严重程度类（3） 根据对系统能力的影响划分失效严重程度类。 失效严重程度类 定义 1 用户不能进行一项/多项关键操作。 2 用户不能进行一项/多项重要操作 3 用户不能进行一项/多项操作，但是有不久方法 4 一项或多项操作中的小缺陷 失效强度（1） 失效强度是表示可靠性的一种简单直观的方式。 起初是指单位时间内出现失效的次数。 对于软件来说，执行时间是软件的度量方式。 虽然使用执行指令数目来度量软件的失效强度更加准确，但是和系统其他部分的度量不兼容。 失效强度（2） 有时，将失效强度表示为每个自然单位出现的失效数目更加方便。 比如打印机输出的页数，交易数目，电话呼叫次数等。 每打印10000页出现一次失败，每100000次电话出现电话掉线，… 失效强度的单位也可以用来表示可靠性。 失效强度（3） 如果系统的成功执行要求所有组件的成功执行，那么系统失效强度就是所有组件的失效强度的总和。 过程（1） 为了为每个产品系统分析定义必要的可靠性，我们需要 为产品定义进行了严重程度分类的失效 为所有相关的系统选择一种通用的度量 为每个测试的系统建立失效强度目标。 对于所开发的软件产品，针对该软件我们必须 找出所开发软件的失效强度目标。 指定策略以满足所开发