книги / Надежность и диагностика компонентов инфокоммуникационных и информационно-управляющих систем.-1
.pdf=10–7 1/ч, интенсивность восстановления аппаратуры ППИ µап ппи =
=0,7 1/ч.
Для ПСИ и ППИ дополнительно выделим надежностные ха-
рактеристики программной составляющей – λпрг_пси, µпрг пси, λпрг_ппи, µпрг ппи. Определим значения надежностных характеристик про-
граммной составляющей, используя самую простую статистическую модель надежности ПО (подразд. 3.4.4).
Пусть число операторов в ПО ПСИ – 2500. Тогда, учитывая, что на 1000 операторов приходится 10 оставшихся в программе ошибок, в ПО ПСИ осталось 25 ошибок, приводящих к отказу системы. Если интенсивность отказов из-за одной ошибки – 10–4 1/ч, то
λпрг_пси = 2,5·10–3 1/ч.
Пусть число операторов в ПО ППИ – 3050. Тогда в ПО ППИ осталась 31 ошибка (округлим до ближайшего большего). Следова-
тельно, λпрг_ппи = 3,1·10–3 1/ч.
После отказа системы вследствие ошибки в ПО следует предпринять несколько шагов. Во-первых, определить по симптомам место ошибки. Во-вторых, исправить эту ошибку. И, наконец, загрузить в контроллер исправленную версию ПО. Предположим, что в среднем на указанные шаги и для ПСИ, и для ППИ требуется 5 часов. То-
гда интенсивность восстановлений µпрг пси = µпрг ппи = 0,2 1/ч. Для приблизительных расчетов надежности ПО (а принятая модель надежно-
сти ПО позволяет провести только приблизительный расчет) пересчитывать интенсивность отказов блока, в котором была исправлена ошибка (и, следовательно, общее количество ошибок уменьшилось на единицу), нет смысла.
Определив надежностные характеристики блоков, составим усеченный граф переходов передающего полукомплекта (рис. 3.9).
Состояние 0 – все элементы исправны. Состояние 1 – неисправен один из N датчиков. Состояние 2 – неисправна аппаратная часть ПСИ.
Состояние 3 – неисправна программная часть ПСИ. Состояние 4 – неисправна аппаратная часть ППИ. Состояние 5 – неисправна программная часть ППИ.
261
1 |
|
|
|
|
|
|
|
|
|
|
|
10λд |
|
|
2 |
|
|
λпрг пси |
3 |
||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
µд |
|
|
λап пси |
µап пси |
|
|||||
|
|
|
|
|
µпрг пси |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
|
|
|
|
|
|
|
λап ппи |
|
|
|
|
|
λпрг ппи |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||
|
|
4 |
|
|
µпрг пси |
|
5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
µап ппи |
|
|
|
|
|
|
Рис. 3.9. Усеченный граф переходов для передающего полукомплекта
Составим по графу систему уравнений:
0 = −10λДP(0) +µДP(1) −λап псиP(0) +µап псиP(2) −λпрг псиP(0) + |
|||||||||
|
+µпрг псиP(3) −λап ппиP(0) +µап ппиP(4) −λпрг ппиP(0) +µпрг ппиP(5), |
||||||||
0 =10λ |
Д |
P(0) −µ |
Д |
P(1), |
|||||
|
|
|
|
|
|
|
|||
0 = λап псиP(0) −µап псиP(2), |
|||||||||
0 = λпрг псиP(0) −µпрг псиP(3), |
|||||||||
0 = λ |
ап ппи |
P(0) −µ |
ап ппи |
P(4), |
|||||
|
|
|
|
|
|||||
0 = λпрг ппиP(0) −µпрг ппиP(5), |
|||||||||
|
= P(0) + P(1) + P(2) + P(3) + P(4) + P(5). |
||||||||
1 |
|||||||||
|
|
|
|
|
|
|
|
|
|
Решив ее относительно P(0) (поскольку только в этом состоянии система работоспособна), мы найдем значение комплексного коэффициента готовности, учитывающего как надежность аппаратного, так и надежность программного обеспечения системы передающего полукомплекта:
Kг = P(0) = 0,738.
262
Выводы
В данной главе были рассмотрены вопросы, касающиеся построения надежного ПО. Было показано, что определение надежности, введенное для аппаратного обеспечения, с некоторыми оговорками применимо и для ПО, сформулированы понятия ошибки в ПО и отказа ПО.
Проектирование надежного ПО выполняется иерархически, поэтапно, при этом каждый этап все более приближает к конечной цели – созданию программного комплекса. Ошибки могут возникать как на любом этапе проектирования ПО, так и на сопряжении этапов. Соответственно, наиболее рациональным представляется, что для обнаружения ошибок каждого этапа следует задействовать проектировщиков предыдущего этапа и разработчиков, готовых приступить к следующему этапу.
На этапе проектирования модулей появляется возможность применить пассивные и активные меры обнаружения ошибок в ПО. Пассивные меры предполагают проводить проверку на допустимость входных данных, а для особенно важных данных вводить избыточность, которая позволит обнаружить искажение введенных данных. Активные меры применяются реже, поскольку требуют внедрения в ПО параллельно работающего диагностического монитора.
Тестирование разработанного ПО также представляет собой сложную проблему. Поход к программе как к «черному ящику» (структура программы неизвестна) требует в качестве теста использовать все возможные комбинации входных данных, что нереально из-за их бесконечного количества. Подход к программе как к «белому ящику» (структура программы известна) позволяет сократить количество тестовых наборов, но не дает гарантии, что будут обнаружены все ошибки. На практике рекомендуется творческое сочетание обоих методов.
Для определения характеристик надежности спроектированного ПО существует целый ряд методик, однако все они базируются на серьезных упрощениях, поэтому авторы взяли для примера, позво-
263
ляющего оценить комплексную надежность программно-аппаратной системы, самую простую статистическую модель. Приведенный в учебном пособии пример расчета комплексного коэффициента готовности технической системы может быть рекомендован в качестве базового при выполнении курсовых и дипломных проектов.
Вопросы и задания
1. Сформулируйте понятие отказа в программном обеспе-
чении.
2. Приведите примеры синтаксических ошибок и семантических ошибок.
3. Кратко охарактеризуйте модель происхождения ошибок
в ПО.
4.Какие принципы и методы относятся к группе «предупреждение ошибок»?
5.Какие принципы и методы относятся к группе «обеспечение устойчивости к ошибкам»?
6.Перечислите и дайте краткую характеристику основным этапам проектирования ПО.
7.В чем состоит правило проверки «n плюс-минус один»?
8.В чем состоит разница между целями продукта и проекта?
9.Сформулируйте цели этапа внешнего проектирования.
10.Какие вы можете привести разновидности прочности мо-
дулей?
11.Приведите пример модулей, сцепленных по данным.
12.В чем заключается принцип пассивного обнаружения ошибок, называемый «взаимное недоверие»?
13.Какие сведения должны содержать внешние спецификации
модуля?
14.В чем достоинства метода пошаговой детализации создания программных модулей по сравнению с методом блок-схем?
15.Чем эффективность отличается от «микроэффективности»?
264
16.Всегда ли в цифровой вычислительной машине результат сравнения 2,0*2,0 с 4,0 будет истиной?
17.Сравните технологию тестирования программы как «черного ящика» с технологией тестирования программы как «белого ящика».
18.В чем заключается модель роста надежности ПО?
19.Как на практике воспользоваться методом накопления ста-
тистики?
20.Вычислите значение комплексного коэффициента готовности для примера из подразд. 3.4.5, предположив, что подсистема передачи информации реализована аппаратно и не имеет программной составляющей.
Список литературы
1.Крылов Е.В., Острейковский В.А., Типикин Н.Г. Техника разработки программ: в 2 кн. Кн.2. Технология, надежность и качество программного обеспечения. – М.: Высшая школа, 2008. – 469 с.
2.Маршалл Д., Бруно Д. Надежный код. – СПб.: Русская редакция, БХВ – Петербург, 2010. – 381 с.
3.Черкесов Г.Н. Надежность аппаратно-программных комплексов. – СПб.: Питер, 2005. – 436 с.
4.Майерс Г. Надежность программного обеспечения. – М.:
Мир, 1980. – 360 с.
265
4. ДИАГНОСТИКА СОСТОЯНИЯ СЛОЖНЫХ ТЕХНИЧЕСКИХ СИСТЕМ
4.1. Предмет, задачи и модели технической диагностики
4.1.1. Предмет технической диагностики
Объектами технической диагностики могут служить любые технические системы, если они удовлетворяют следующим условиям [1]:
1)могут находиться по крайней мере в двух взаимоисключающих и различимых состояниях: работоспособном и неработоспособном, т.е. в состоянии отказа;
2)в них можно выделить элементы, каждый из которых тоже характеризуется различимыми состояниями.
Требование взаимного исключения состояний (их несовместимости) вытекает из необходимости иметь однозначный ответ на вопрос о состоянии системы в любой фиксированный момент времени. Без требования различимости теряет смысл любая деятельность, направленная на установление состояний системы.
Под системой понимают любое техническое устройство, выполняющее заданные функции. Часть системы, которая выполняет определенные функции в составе целого, называют элементом или блоком. Предполагается, что блок состоит из элементов и что элемент не подлежит уже дальнейшему разделению на части. Иногда под системой понимают не только техническое устройство, взятое изолированно, но и среду, в которой оно функционирует, и обслуживающий персонал. Последние при этом выступают как элементы, или блоки, системы.
Каждая система может характеризоваться рядом параметров, одни из которых выступают как основные, а другие – как второстепенные. Первые характеризуют выполнение системой заданных функций, вторые – удобства эксплуатации, внешний вид и т.д. Система называется исправной, если она соответствует всем предъяв-
266
ляемым к ней требованиям, в частности требованию, чтобы все параметры системы, как основные, так и второстепенные, находились в некоторых заданных пределах. Выход из этих пределов любого параметра означает, что система неисправна.
Система работоспособна, если ее основные параметры находятся в пределах принятой нормы и если она нормально выполняет заданные функции. Утрата работоспособности называется отказом. В равной степени эти соображения относятся и к элементам (блокам) систем.
Отметим, что понятие «отказ элемента» в определенной мере условно. Действительно, работоспособность элемента определяется значениями основных его параметров. В то же время набор этих параметров и зоны их нормальных значений выбираются в зависимости от степени важности функций, выполняемых элементами в данной системе, их доступности при ремонте и т.п.
Следовательно, для двух совершенно одинаковых элементов, используемых в одной и той же системе, понятие отказ может быть сформулировано по-разному. Обоснование зон нормальных значений основных параметров связано с определенными трудностями. Задачи такого типа обычно решают исходя из соображений экономического характера.
Работоспособная система может быть как исправной, так и неисправной. Исправная система всегда работоспособна. Неисправная система может быть как работоспособной, так и отказавшей. Отказавшая система всегда неисправна.
|
|
|
|
|
|
|
Взаимоотношения приведенных поня- |
|
|
|
|
|
|
|
тий представлены на рис. 4.1: круг А – мно- |
|
1 |
|
3 |
|
2 |
|
жество неисправных систем, круг В – мно- |
|
|
|
|
|
|
|
жество работоспособных систем. Части кру- |
|
|
|
|
|
|
|
|
|
|
А |
|
|
В |
гов обозначают соответственно: 1 – отказав- |
|
|
|
|
|
шие системы, 2 – исправные системы, 3 – |
|||
Рис. 4.1. Соотношение |
неисправные, но работоспособные системы. |
||||||
понятий «неисправность» |
Выделение в системе только двух |
||||||
и «работоспособность» |
возможных ее состояний – «работоспособ- |
||||||
267
ность» и «отказ» – представляет собой явную идеализацию, исключающую из рассмотрения большой класс устройств, для которых важно предсказание исправной работы на активном участке. Для таких, например, объектов, как летательные аппараты, функцией современных средств контроля становится не только обнаружение, но и предсказание наступления неисправности, что требует выделения особого класса промежуточных состояний, называемых иногда предаварийными.
Специфика технической диагностики состоит в том, что она рассматривает и изучает не только задачи обнаружения неисправностей (задачи контроля), но и задачи поиска и локализации неисправностей (дефектов). Для технической диагностики важны формы проявления и методы поиска отказавших элементов.
Процедуры поиска отказавшего элемента могут иметь различный характер. Например, в зависимости от степени и характера участия человека можно выделить автоматизированный (неавтоматический) и автоматический поиск. В первом случае установление причин отказа системы осуществляется человеком, во втором – техническим устройством, предназначенным для автоматического осуществления процедуры поиска. Такие устройства будем называть в дальнейшем диагностическими системами (рис. 4.2) [1]. На рис. 4.2 приняты следующие обозначения: О – объект; Д – деятельность оператора (человека или устройства); П – выявление причины отказа; ДС – диагностическая система; Ф – процесс ее функционирования.
|
|
О |
|
|
Д1 |
|
|
|
П |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
О |
|
|
Д2 |
|
ДС |
|
|
Ф |
|
П |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
б
Рис. 4.2. Деятельность человека при автоматической (а) и автоматизированной (неавтоматической) (б) диагностике
268
Через Д1 и Д2 обозначены различные по характеру виды деятельности человека. Ряд задач, которые решает человек по схеме а, он должен решать и по схеме б. Техническая диагностика рассматривает объект в соответствии с задачами, возникающими как в Д1, так
ив Д2.
Вкачестве непосредственного продукта деятельности человека
на приведенных схемах выступает либо диагностическая система, либо информация о причине отказа.
Учитывая сказанное, можно дать следующее определение: техническая диагностика – это научная дисциплина, исследующая формы проявления отказов в технических устройствах, разрабатывающая методы их обнаружения, а также принципы конструирования диагностических систем.
4.1.2. Основные аспекты, задачи
имодели технической диагностики
Выше указывалось, что в простейшем случае определение предмета исследования предполагает задание объекта и схемы предмета. Однако на самом деле чаще всего имеет место более сложная ситуация. Усложнение может заключаться в том, что непосредственно исследуется не исходный объект, а некоторая его идеализированная модель.
Замена исходного объекта моделью связана в первую очередь с выделением основных существенных сторон исследуемых явлений и с их упрощением, позволяющим дать их математическое описание.
Построение идеализированных моделей приводит к расщеплению схемы предмета исследования и к выделению двух групп задач. С одной стороны, это схемы и задачи при исследовании исходного объекта. Здесь речь идет об исследовании параметров, знание которых необходимо при построении модели. С другой стороны, это схемы и задачи при использовании модели.
Используя вышеприведенные общие соображения, можно выделить в технической диагностике следующие три основных аспекта:
1) изучение конкретных объектов диагностики;
269
2)построение и изучение соответствующих математических моделей;
3)исследование диагностических систем и их связей с объектом диагностики.
Эти аспекты отличаются друг от друга как по непосредственному предмету исследования, так и по используемым методам.
Первый аспект технической диагностики связан с разработкой методов решения и решением таких основных задач, как:
– изучение нормального функционирования системы;
– выделение элементов системы и связей между ними;
– выделение возможных состояний системы, т.е. возможных комбинаций отказов элементов;
– анализ технических возможностей контроля признаков, характеризующих состояние системы;
– сбор и обработка статистических материалов, позволяющих определить распределение вероятностей возможных состояний системы, а также закономерности проявления отказов отдельных ее элементов;
– сбор экспериментальных данных о затратах, связанных с осуществлением этих проверок.
Все эти задачи предполагают для своего решения эмпирическое исследование конкретных технических систем и процедур диагностики.
Второй аспект технической диагностики связан с построением математических моделей объектов и процессов диагностики и, следовательно, с решением таких задач, как:
–построение математических моделей объекта диагностирования, адекватно описывающих его поведение в исправном и неисправном состоянии;
–разработка методов построения диагностических тестов при поиске отказавших элементов;
–построение оптимальных программ диагностики, т.е. последовательностей проверок, позволяющих определить состояние технической системы методом последовательного поиска.
270