定義必要的可靠性南大計(jì)算機(jī)系

定義必要的可靠性南大計(jì)算機(jī)系第1頁(yè)，共40頁(yè)，2023年，2月20日，星期四可靠性的定量定義使我們能夠精確地平衡客戶對(duì)可靠性，交付日期和成本的要求，并更加有效地開(kāi)發(fā)和測(cè)試產(chǎn)品。第2頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效/錯(cuò)誤失效(failure)是指系統(tǒng)運(yùn)行的行為對(duì)用戶要求的偏離，是面向用戶的概念。只有在系統(tǒng)運(yùn)行的時(shí)候才可能有失效。錯(cuò)誤(fault)是指在系統(tǒng)運(yùn)行時(shí)引發(fā)或可能潛在地引發(fā)失效的缺陷。是面向開(kāi)發(fā)的概念。第3頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效嚴(yán)重程度類別（1）失效嚴(yán)重程度類別一組單個(gè)出現(xiàn)時(shí)對(duì)用戶產(chǎn)生相同影響的失效。指定失效的嚴(yán)重程度，主要是為了結(jié)合失效頻率來(lái)解決失效的優(yōu)先級(jí)。分級(jí)標(biāo)準(zhǔn)人員生命，成本，系統(tǒng)能力的影響。還可能包括一些子標(biāo)準(zhǔn)：額外的運(yùn)行成本，修復(fù)和恢復(fù)成本，…。第4頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效嚴(yán)重程度類別（2）不可能精確估算失效的影響。根據(jù)成本劃分的失效嚴(yán)重程度類以10倍的關(guān)系劃分。通常不超過(guò)四個(gè)級(jí)別。失效嚴(yán)重程度類定義1>100000210000-10000031000-100004<1000第5頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效嚴(yán)重程度類（3）根據(jù)對(duì)系統(tǒng)能力的影響劃分失效嚴(yán)重程度類。失效嚴(yán)重程度類定義1用戶不能進(jìn)行一項(xiàng)/多項(xiàng)關(guān)鍵操作。2用戶不能進(jìn)行一項(xiàng)/多項(xiàng)重要操作3用戶不能進(jìn)行一項(xiàng)/多項(xiàng)操作，但是有不久方法4一項(xiàng)或多項(xiàng)操作中的小缺陷第6頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效強(qiáng)度（1）失效強(qiáng)度是表示可靠性的一種簡(jiǎn)單直觀的方式。起初是指單位時(shí)間內(nèi)出現(xiàn)失效的次數(shù)。對(duì)于軟件來(lái)說(shuō)，執(zhí)行時(shí)間是軟件的度量方式。雖然使用執(zhí)行指令數(shù)目來(lái)度量軟件的失效強(qiáng)度更加準(zhǔn)確，但是和系統(tǒng)其他部分的度量不兼容。第7頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效強(qiáng)度（2）有時(shí)，將失效強(qiáng)度表示為每個(gè)自然單位出現(xiàn)的失效數(shù)目更加方便。比如打印機(jī)輸出的頁(yè)數(shù)，交易數(shù)目，電話呼叫次數(shù)等。每打印10000頁(yè)出現(xiàn)一次失敗，每100000次電話出現(xiàn)電話掉線，…失效強(qiáng)度的單位也可以用來(lái)表示可靠性。第8頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效強(qiáng)度（3）如果系統(tǒng)的成功執(zhí)行要求所有組件的成功執(zhí)行，那么系統(tǒng)失效強(qiáng)度就是所有組件的失效強(qiáng)度的總和。第9頁(yè)，共40頁(yè)，2023年，2月20日，星期四過(guò)程（1）為了為每個(gè)產(chǎn)品系統(tǒng)分析定義必要的可靠性，我們需要為產(chǎn)品定義進(jìn)行了嚴(yán)重程度分類的失效為所有相關(guān)的系統(tǒng)選擇一種通用的度量為每個(gè)測(cè)試的系統(tǒng)建立失效強(qiáng)度目標(biāo)。對(duì)于所開(kāi)發(fā)的軟件產(chǎn)品，針對(duì)該軟件我們必須找出所開(kāi)發(fā)軟件的失效強(qiáng)度目標(biāo)。指定策略以滿足所開(kāi)發(fā)軟件的失效強(qiáng)度目標(biāo)第10頁(yè)，共40頁(yè)，2023年，2月20日，星期四定義失效根據(jù)用戶的需要，對(duì)程序行為創(chuàng)建消極需求。通過(guò)說(shuō)明系統(tǒng)不應(yīng)該做的事情來(lái)給出失效的定義。這些消極需求（錯(cuò)誤的行為）應(yīng)該根據(jù)失效嚴(yán)重程度類別列出。而這些類的劃分方法對(duì)每個(gè)項(xiàng)目都有所不同。我們可以根據(jù)情況選擇特定的嚴(yán)重程度類劃分標(biāo)準(zhǔn)。第11頁(yè)，共40頁(yè)，2023年，2月20日，星期四定義失效Fonefollower的失效嚴(yán)重程度類失效嚴(yán)重程度類定義1導(dǎo)致不能轉(zhuǎn)發(fā)呼叫的失效。2導(dǎo)致不能輸入要轉(zhuǎn)發(fā)的呼叫號(hào)碼的失效3使系統(tǒng)管理困難，但是可以用別的方法代替的失效4引起不方便的失效第12頁(yè)，共40頁(yè)，2023年，2月20日，星期四選擇通用度量可靠性的度量方式可以選擇自然單元。一個(gè)產(chǎn)品可能具有多種自然單元，每個(gè)自然單元和一組重要的功能相聯(lián)系。此時(shí)可以選擇時(shí)間作為失效強(qiáng)度的基礎(chǔ)。一般時(shí)間？執(zhí)行時(shí)間？如果平均計(jì)算機(jī)使用時(shí)間的變化不大，可以使用一般時(shí)間來(lái)替代執(zhí)行時(shí)間。否則可以將執(zhí)行時(shí)間調(diào)整為一般時(shí)間。第13頁(yè)，共40頁(yè)，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)(FIO)需要給每一個(gè)被測(cè)試的系統(tǒng)建立相應(yīng)的失效強(qiáng)度目標(biāo)。對(duì)超系統(tǒng)（或獨(dú)立的產(chǎn)品），直接設(shè)定失效強(qiáng)度目標(biāo)。對(duì)于某個(gè)組件，將超系統(tǒng)的FIO減去其他組件的FIO，得到它的FIO。如果組件屬于多個(gè)系統(tǒng)，那么取最小值為其FIO。為每個(gè)采辦組件建立FIO。第14頁(yè)，共40頁(yè)，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（2）超系統(tǒng)（或獨(dú)立產(chǎn)品）的FIO的確定依賴于產(chǎn)品特性，用戶/客戶的具體需求和期望。需要考慮實(shí)效強(qiáng)度（可靠性），開(kāi)發(fā)時(shí)間，開(kāi)發(fā)成本等。考慮和這個(gè)產(chǎn)品競(jìng)爭(zhēng)的產(chǎn)品?？紤]和這個(gè)產(chǎn)品相關(guān)的其他系統(tǒng)的FIO。第15頁(yè)，共40頁(yè)，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（3）對(duì)于某個(gè)版本，根據(jù)當(dāng)前的開(kāi)發(fā)技術(shù)水平，以及新功能的個(gè)數(shù)，失效強(qiáng)度，開(kāi)發(fā)時(shí)間，開(kāi)發(fā)成本的乘積基本上是一個(gè)常量。需要在這三者之間取得平衡。同時(shí)，對(duì)于不同的產(chǎn)品，這三者之間的關(guān)系未必一樣?？梢酝ㄟ^(guò)以往的數(shù)據(jù)來(lái)知道三者之間的精確關(guān)系，以指導(dǎo)決策。第16頁(yè)，共40頁(yè)，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（4）建立失效強(qiáng)度目標(biāo)時(shí)的參考信息。失效影響FIO時(shí)間數(shù)百人死亡，10億美元以上損失10-9114000年1-2人死亡，1百萬(wàn)美元左右的損失10-6114年大約1000美元的經(jīng)濟(jì)損失10-36周大約100美元的經(jīng)濟(jì)損失10-2100小時(shí)大約10美元的經(jīng)濟(jì)損失10-110小時(shí)大約10美元的經(jīng)濟(jì)損失11小時(shí)第17頁(yè)，共40頁(yè)，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（5）一般用單個(gè)用戶的方式給出可靠性數(shù)據(jù)，便于市場(chǎng)開(kāi)發(fā)專家將它和需求聯(lián)系起來(lái)。對(duì)于FoneFollower，我們可以定為每10000個(gè)呼叫有一次失效。如果用戶用最嚴(yán)重的失效（1類失效）表示需要的失效強(qiáng)度，那么應(yīng)該將用戶的SFIO除以最嚴(yán)重失效的比率。（因?yàn)榻?jīng)驗(yàn)顯示這樣的比率是確定的）FIO是對(duì)所有的操作而言的，而不是對(duì)于少數(shù)關(guān)鍵操作而言的。第18頁(yè)，共40頁(yè)，2023年，2月20日，星期四建立失效強(qiáng)度目標(biāo)（6）在規(guī)劃FIO的時(shí)候，需要用戶的參與。可以使用戶感到滿意；可以更加準(zhǔn)確地了解用戶的需求。如果產(chǎn)品的客戶數(shù)量少，那么可以要求客戶一起工作。如果產(chǎn)品有大量的小用戶，則需要對(duì)用戶隨機(jī)采樣，提供一定的鼓勵(lì)等。第19頁(yè)，共40頁(yè)，2023年，2月20日，星期四可靠性和失效強(qiáng)度的關(guān)系有時(shí)，需要在可靠性與失效強(qiáng)度之間進(jìn)行轉(zhuǎn)換 =-lnR/t R=exp(-t)如果R>0.95，那么近似計(jì)算

=(1-R)/t R=1-t其中表示失效強(qiáng)度，R表示可靠性，t表示時(shí)間。第20頁(yè)，共40頁(yè)，2023年，2月20日，星期四可靠性和失效強(qiáng)度的關(guān)系如果要起8小時(shí)的可靠性為0.992，那么失效強(qiáng)度應(yīng)該為每1000小時(shí)1個(gè)失效。每1000頁(yè)打印出現(xiàn)1次失效，可以轉(zhuǎn)換為8頁(yè)打印的可靠性為0.992。第21頁(yè)，共40頁(yè)，2023年，2月20日，星期四可用性和失效強(qiáng)度（1）可用性A表示在一段時(shí)間內(nèi)，系統(tǒng)以可接受的狀態(tài)工作的時(shí)間和總時(shí)間的比率 A=tu/(tu+td)Tu表示正常運(yùn)行的時(shí)間，td表示downtime. Td=tmtu，其中tm表示每個(gè)失效導(dǎo)致的平均停機(jī)時(shí)間。第22頁(yè)，共40頁(yè)，2023年，2月20日，星期四可用性和失效強(qiáng)度（2）A=1/(1+tm)=(1-A)/Atm比如：如果產(chǎn)品的可用性必須達(dá)到99%，并且停機(jī)時(shí)間為6分鐘，那么失效強(qiáng)度目標(biāo)大概是每小時(shí)0.1個(gè)失效。第23頁(yè)，共40頁(yè)，2023年，2月20日，星期四確定被開(kāi)發(fā)軟件的FIO（1）如果產(chǎn)品需要開(kāi)發(fā)軟件組件，那么需要為這個(gè)組件設(shè)定FIO。首先找出系統(tǒng)中預(yù)期的采辦組件的FI。根據(jù)操作數(shù)據(jù)，提供商擔(dān)保，專家經(jīng)驗(yàn)來(lái)估計(jì)。通過(guò)從對(duì)應(yīng)的系統(tǒng)FIO減去采辦組件的FI，得到每個(gè)系統(tǒng)自記開(kāi)發(fā)的軟件的FIO。第24頁(yè)，共40頁(yè)，2023年，2月20日，星期四確定被開(kāi)發(fā)軟件的FIO（2）以FoneFollower為例，如果從硬件提供商那里得到數(shù)據(jù)，硬件組件的FI是每小時(shí)0.1個(gè)失效；操作系統(tǒng)在每小時(shí)10萬(wàn)次呼叫的情況下，每小時(shí)0.4個(gè)失效。轉(zhuǎn)換之后得到，采辦組件的失效強(qiáng)度為每百萬(wàn)次5次失效。如果產(chǎn)品的FIO和采辦組件的FI有比較大的差別，可以考慮使用其他的組件來(lái)替代。直接累加采辦組件的失效強(qiáng)度可以得到總采辦FI。是一種近似的計(jì)算方法，但是比較有效。實(shí)際的FI低于計(jì)算得到的FI。第25頁(yè)，共40頁(yè)，2023年，2月20日，星期四指定策略以滿足FIO（1）選擇正確的可靠性策略，在時(shí)間和金錢(qián)允許的情況下，盡可能提高滿足目標(biāo)的可能性?？煽啃圆呗缘膶?shí)施主要由系統(tǒng)工程師和系統(tǒng)架構(gòu)師完成，但是該策略對(duì)測(cè)試的影響也非常大。三種策略：錯(cuò)誤預(yù)防，錯(cuò)誤清除，容錯(cuò)。第26頁(yè)，共40頁(yè)，2023年，2月20日，星期四指定策略以滿足FIO（2）錯(cuò)誤預(yù)防應(yīng)用適當(dāng)?shù)男枨螳@取方法，進(jìn)行需求審查，實(shí)現(xiàn)設(shè)計(jì)方法進(jìn)行設(shè)計(jì)復(fù)查，建立和執(zhí)行各種標(biāo)準(zhǔn)，使用好的需求獲取工具和設(shè)計(jì)工具等。錯(cuò)誤預(yù)防的有效性通過(guò)估計(jì)進(jìn)行預(yù)防活動(dòng)之后的剩余錯(cuò)誤的比例來(lái)度量。第27頁(yè)，共40頁(yè)，2023年，2月20日，星期四指定策略以滿足FIO（3）錯(cuò)誤清除通過(guò)代碼審查和測(cè)試清除錯(cuò)誤。代碼審查的有效性由審查之后遺留錯(cuò)誤的比例確定。也許可以通過(guò)某種數(shù)據(jù)模型來(lái)估算剩余錯(cuò)誤數(shù)量。測(cè)試的有效性可以通過(guò)測(cè)試之前的FI和測(cè)試之后的FI的比例來(lái)度量。這樣的度量可以改進(jìn)我們的測(cè)試方法。第28頁(yè)，共40頁(yè)，2023年，2月20日，星期四指定策略以滿足FIO（4）容錯(cuò)容錯(cuò)必須通過(guò)設(shè)計(jì)來(lái)實(shí)現(xiàn)。通過(guò)預(yù)測(cè)系統(tǒng)可能會(huì)出現(xiàn)哪些失效，并通過(guò)冗余設(shè)計(jì)來(lái)對(duì)抗這些失效。第29頁(yè)，共40頁(yè)，2023年，2月20日，星期四指定策略以滿足FIO（5）理論上，應(yīng)該通過(guò)平衡各種因素來(lái)選擇適當(dāng)?shù)牟呗裕翰呗缘拈_(kāi)銷，有效性，使用的范圍等。一般可以根據(jù)經(jīng)驗(yàn)選擇策略。超可靠性：每1000小時(shí)<0.1失效；使用容錯(cuò)技術(shù)，廣泛的需求和設(shè)計(jì)評(píng)審高度可靠：每1000小時(shí)0.1-10失效；要求相當(dāng)廣泛的需求和設(shè)計(jì)評(píng)審，可能需要一些容錯(cuò)。商品化：每1000小時(shí)10-2000失效；指導(dǎo)需求或帶有操作剖面和評(píng)判標(biāo)準(zhǔn)的設(shè)計(jì)評(píng)審。原型：每1000小時(shí)>2000失效；一般測(cè)試第30頁(yè)，共40頁(yè)，2023年，2月20日，星期四指定策略以滿足FIO（6）通過(guò)操作剖面(Operationprofiles)，可以確定將策略的重點(diǎn)放在哪里。通過(guò)產(chǎn)品的前面一個(gè)版本的實(shí)際失效強(qiáng)度，和FIO比較以確認(rèn)工作的重點(diǎn)。投入一定的工作量來(lái)改進(jìn)開(kāi)發(fā)過(guò)程。第31頁(yè)，共40頁(yè)，2023年，2月20日，星期四特殊情況失效的其他劃分方法為組件分配失效強(qiáng)度目標(biāo)軟件安全性和超可靠性第32頁(yè)，共40頁(yè)，2023年，2月20日，星期四失效的其他劃分方法為滿足特殊的目的，可以根據(jù)其他的特征對(duì)失效進(jìn)行分組。組件操作組失效類別作業(yè)角色第33頁(yè)，共40頁(yè)，2023年，2月20日，星期四為組件分配FIO（1）由采辦軟件組件的FI以及產(chǎn)品的FIO來(lái)確定開(kāi)發(fā)部件的失效強(qiáng)度。一般沒(méi)有折衷過(guò)程。但是，如果有多個(gè)不同層次的可選組件，那么我們可以考慮在不同的組件之間進(jìn)行FI和資金的分配。首先，將系統(tǒng)劃分為適當(dāng)?shù)慕M件；確定組件的失效目標(biāo)。第34頁(yè)，共40頁(yè)，2023年，2月20日，星期四為組件分配FIO（2）劃分組件主要依據(jù)系統(tǒng)配置的性質(zhì)，項(xiàng)目管理問(wèn)題以及管理較多組件的可靠性所需要的工作量或成本。應(yīng)該盡可能將系統(tǒng)劃分為與現(xiàn)有可以重用的組件相似的組件。（可以更多地重用更加可靠的系統(tǒng)）第35頁(yè)，共40頁(yè)，2023年，2月20日，星期四為組件分配FIO（3）確定FIO估計(jì)已知的組件值逐步分配組件的失效強(qiáng)度目標(biāo)以縮短系統(tǒng)開(kāi)發(fā)時(shí)間，降低開(kāi)發(fā)風(fēng)險(xiǎn)或成本根據(jù)組件的FIO，計(jì)算系統(tǒng)的FI并和需求比較修改組件的FIO，直到滿足需求。第36頁(yè)，共40頁(yè)，2023年，2月20日，星期四為組件分配FIO（4）以FoneFollower為例將整個(gè)系統(tǒng)分割成為3個(gè)部分：硬件，操作系統(tǒng)，應(yīng)用程序。已經(jīng)確定系統(tǒng)的FIO為100失效/百萬(wàn)次呼叫。硬件的可靠性為1失效/百萬(wàn)次呼叫所以操作系統(tǒng)+應(yīng)用程序的總FI不超過(guò)99失效。對(duì)于不同的FIO，同樣的軟件需要不同的成本和時(shí)間。根據(jù)選擇不同的開(kāi)發(fā)成本和周期，可以得到適當(dāng)?shù)拿總€(gè)組件的FIO。第37頁(yè)，共40頁(yè)，2023年，2月20日，星期四安全性與超可靠性（5）軟件安全性是軟件可靠性的一個(gè)子集。安全性表示避免災(zāi)難，而災(zāi)難顯然是一種特殊的失效。軟件可靠性的理論，方法也都適用于軟件安全性。（容錯(cuò)，統(tǒng)計(jì)模型，…）軟件安全性和超可靠性密切相關(guān)。第38頁(yè)，共40頁(yè)，2023年，2月20日，星期四安全性與超可靠性（6）超可靠性一般指每