Tuy nhiên đối với một số ứng dụng quan trọng nó có thể phát triển để chứng minh chính xác để tăng độ tin cậy rằng hệ thống đáp ứng yêu cầu của mình, đặc biệt điều này dùng trong các tr[r]
(1)Chương 24
XÁC ĐỊNH HỆ THỐNG QUAN TRỌNG
(Critical Systems Validation)
GVHD: Lê Mậu Long
Nhóm 11: Nguyễn Văn Dũng Trần Văn Hồi
(2)Mục tiêu chương để thảo luận xác minh kỹ thuật sử dụng phát triển hệ thống Khi bạn đọc chương bạn :
Hiểu độ tin cậy hệ thống phần mềm đo
được độ tin cậy, mơ hình tăng trưởng được sử dụng để dự đoán mức độ yêu cầu độ tin cậy đạt được.
Hiểu ngun tắc đối số an tồn sử dụng
thế với nhiều phương pháp khác hệ thống đảm bảo an toàn.
Hiểu vấn đề bảo mật cho hệ thống.
(3)24.1 Xác định độ tin cậy 24.2 Đảm bảo an toàn 24.3 Đánh giá độ an toàn
(4)Việc xác minh xác nhận hệ thống quan trọng rõ ràng đã có nhiều điểm chung với nhau.V & V quy trình cần chứng minh rằng hệ thống đáp ứng đặc điểm kỹ thuật hay khơng, và dịch vụ hệ thống có thực hỗ trợ hành động mà khách hàng yêu cầu Tuy nhiên, với hệ thống quan trọng cần có trình độ cao độ tin cậy, thử nghiệm phân tích thêm cần thiết để tìm bằng chứng cho thấy hệ thống đáng tin cậy Có hai lý bạn nên làm điều này:
1 Chi phí thất bại: Các chi phí hậu thất bại hệ thống quan trọng có khả lớn nhiều so với hệ thống khơng quan trọng khác Rũi ro thấp cách chi tiêu nhiều vào hệ thống xác minh xác nhận Nó thường rẻ tìm loại bỏ lỗi trước hệ thống sử dụng
(5)(6)Quá trình xác nhận độ tin cậy
Xác định cấu hình hoạt đồng
Chuẩn bị liệu thử nghiệm
Chuẩn bị liệu thử nghiệm
áp dụng thử nghiệm vào hệ
thống
Tính toán quan sát tin
(7)24.1 Xác định độ tin cậy
Quá trình đo độ tin cậy hệ thống minh họa hình Quá trình bao gồm bốn giai đoạn:
1 Bạn bắt đầu cách nghiên cứu hệ thống có loại để thiết lập cấu hình hoạt động Một hồ sơ hoạt động xác định loại đầu vào hệ thống khả yếu tố đầu vào xảy trình sử dụng bình thường
2 Sau bạn xây dựng tập hợp liệu thử nghiệm phản ánh thơng tin hoạt động Điều có nghĩa bạn tạo liệu thử nghiệm với phân bố xác suất tương tự liệu thử nghiệm cho hệ thống mà bạn học Thông thường, bạn sử dụng kiểm tra liệu máy phát số liệu để hỗ trợ trình
3 Bạn thử nghiệm hệ thống sử dụng liệu đếm số lượng số lần thất bại xảy Các lần thất bại lưu lại Như thảo luận Chương 9, đơn vị thời gian mà bạn chọn phải phù hợp với độ tin cậy số liệu sử dụng
(8)Cách tiếp cận gọi kiểm tra thống kê Mục đích của kiểm tra thống kê đánh giá độ tin cậy hệ thống Điều trái ngược với kiểm tra lỗi, thảo luận chương 23, mà mục đích là để phát lỗi cho hệ thống.
Cách tiếp cận khái niệm hấp dẫn để đo lường độ tin cậy không dễ dàng để áp dụng thực tế Những khó khăn chủ yếu phát sinh do:
1 Hoạt động thông tin khơng chắn cấu hình hoạt động dựa kinh
nghiệm với hệ thống khác khơng phản ánh xác việc sử dụng thực hệ thống
2 Chi phí liệu thử nghiệm đắt tiền để tạo khối lượng lớn liệu
cần thiết cấu hình hoạt động, trừ q trình hồn tồn tự động
3 Thống kê không chắn độ tin cậy cao quy định Bạn có để tạo
số ý nghĩa thống kê thất bại phép đo xác độ tin cậy Khi phần mềm tin cậy, thất bại tương đối xảy khó để tạo
(9)Phát triển cấu hoạt động xác chắn cho số loại hệ thống, chẳng hạn hệ thống viễn thông, có mẫu chuẩn sử dụng, nhiên, có nhiều người sử dụng khác nhau, người có cách để sử dụng hệ thống riêng họ.Nên người sử dụng khác hiển thị khác khác độ tin cậy họ sử dụng hệ thống theo cách khác
Cách tốt để tạo liệu lớn cần thiết để đo lường độ tin cậy sử
dụng kiểm tra liệu máy phát số liệu thiết lập để tự động tạo đầu vào phù hợp với sơ đồ hoạt động Tuy nhiên, khơng phải tự động hoá sản xuất tất liệu thử nghiệm cho hệ thống tương tác đầu vào thường tương tác với kết đầu hệ thống Bộ liệu cho hệ thống tạo tay, với chi phí tương ứng cao
Ngay hồn tồn tự động hóa , viết lệnh cho chương trình phát liệu thử nghiệm số lượng đáng kể thời gian chi phí
Thống kê khơng xác vấn đề chung đo độ tin cậy hệ
thống Để đưa dự đoán xác độ tin cậy, bạn cần phải làm nhiều cần gây lỗi hệ thống Nếu độ tin cậy quy định cao,
(10)24.1.1 Cấu hình hoạt động
Các hồ sơ hoạt động phần mềm phản ánh nó sử dụng thực tế Khi hệ
(11)Thông thường, cấu hình hoạt động mà yếu tố đầu vào có xác suất cao tạo rơi vào số lớp, hiển thị bên trái hình 24,2 Có số lượng lớn lớp mà đầu vào không chắn khơng phải khơng thể có Đây hiển thị bên phải hình 24,2 Các dấu chấm lửng ( ) có nghĩa thường có nhiều đầu vào khác hiển thị
Hình 24.2
(12)Mơ hình chức bước tăng trưởng độ tin cậy
t1 t2 t3 t4 t5
Hình 24.3 bước
tăng trưởng tin cậy
Độ tin cậy
(13)24.1.2 Dự đốn độ tin cậy
Trong q trình xác thực phần mềm, Người quản lý phải nỗ lực để chỉ định thử nghiệm hệ thống Khi thử nghiệm tốn kém, điều
quan trọng kết thúc trình kiểm tra sớm tốt Thử nghiệm có thể dừng lại mức độ tin cậy cần thiết hệ thống đạt Tất nhiên dự báo tin cậy cho thấy mức độ yêu cầu độ tin cậy không đạt Trong trường hợp này, người quản lý phải đưa định khó khăn phải viết lại phận phần mềm đàm phán lại hợp đồng dự án.
(14)Hiện có nhiều mơ hình tăng trưởng độ tin cậy bắt nguồn từ thí nghiệm độ tin cậy số lĩnh vực ứng dụng khác Ví dụ (Kan, 2003) thảo luận, hầu hết mô hình hàm mũ, với gia tăng độ tin cậy khuyết tật nhanh chóng phát loại bỏ (xem hình 24.5 )
Sự gia tăng sau đạt đến tầm cao nên lỗi phát loại bỏ giai đoạn cuối thử nghiệm
Mơ hình đơn giản để minh họa khái niệm tăng trưởng độ tin cậy Jelinski Moranda năm 1972 Tăng độ tin cậy liên tục có lỗi
(15)Hình 24.4
t1 t2 t3 t4 t5
Mơ hình ngẫu nhiên bước tăng trưởng độ tin cậy
Thời gian Cải thiện độ tin
cậy
Sửa chữa lổi cho biết thêm lổi
giảm độ tin cậy Độ
(16)Khi sửa chữa thực hiện, tỷ lệ xuất lỗi phần mềm (ROCOF) giảm, hình 24,3 Lưu ý khoảng thời gian trục ngang phản ánh thời gian thử nghiệm phiên hệ thống chúng thường có độ dài khơng
Tuy nhiên thực tế , lỗi phần mềm luôn cố định thời gian gỡ lỗi, bạn thay đổi chương trình, bạn đơi vơ tình tạo thêm lỗi vào Khơng loại trừ khả có lỗi cao tạo Do đó, độ tin cậy hệ thống đơi xấu phiên cải thiện
(17)Những mơ hình sau đó, ví dụ mơ hình xây dựng
Littlewood Verrall (Littlewood Verrall 1973) tính đến vấn đề việc giới thiệu phần tử ngẫu nhiên vào cải tiến tăng trưởng tin cậy đem lại phần mềm sửa chữa Như vậy, sửa chữa không dẫn đến số lượng (của) cải tiến tin cậy thay đổi phụ thuộc ngẫu nhiên (Hình 24.4)
(18)24.2 Đảm bảo an tồn
Các quy trình bảo đảm an toàn xác nhận độ tin cậy có mục tiêu khác Bạn xác định độ tin cậy số lượng cách sử dụng số số liệu và sau đo độ tin cậy hệ thống Trong giới hạn trình đo đạc, bạn biết liệu mức độ yêu cầu độ tin cậy đạt hay chưa Tuy nhiên, xác định cách định lượng khơng thể đo khi hệ thống thử nghiệm.
Bởi bảo đảm an toàn quan tâm với việc thiết lập mức tin cậy trong hệ thống mà thay đổi từ thấp đến cao Đây vấn đề cho phán chuyên nghiệp dựa vào phần lớn chứng cớ hệ thống, môi trường q trình phát triển
Tuy nhiên, định phải ghi chép lại chứng hữu hình từ thiết kế hệ thống, kết hệ thống
(19)Parnas, et al, 1990 cho thấy năm loại đánh giá quan trọng bắt buộc hệ thống an toàn là:
■ Xem xét lại xác chức dự định làm ■ Xem xét để trì cấu trúc dễ hiểu
■ Xem xét lại để xác minh thuật toán thiết kế cấu trúc liệu phù hợp với hành vi quy định
(20)24.2.1 Đối số an toàn
Chứng nhận xác chương trình thảo luận chương 22, đề xuất kỹ thuật kiểm định phần mềm 30 năm Những chương trình chắn thức xây dựng cho hệ thống nhỏ Tuy nhiên, khó khăn thực tế việc chứng minh hệ thống đáp ứng chi tiết kỹ thuật lớn tổ chức xem chứng xác chi phí
Tuy nhiên số ứng dụng quan trọng phát triển để chứng minh xác để tăng độ tin cậy hệ thống đáp ứng yêu cầu mình, đặc biệt điều dùng trường hợp chức an tồn quan trọng bị cô lập hệ thống nhỏ mà hình thức rõ
(21)Trong đối số an toàn, khơng cần thiết phải chứng minh chức chương trình theo quy định Nó cần thiết để chứng minh chương trình khơng thể dẫn đến luật lệ khơng an tồn
Kỹ thuật hiệu để chứng minh an toàn hệ thống chứng mâu thuẫn
Bạn bắt đầu giả sử trạng thái khơng an tồn phân tích hệ thống phân tích mối nguy hiểm đạt cách thực chương trình Bạn viết xác nhận để xác định trạng thái khơng an tồn Sau bạn có hệ thống mã phân tích mã cho thấy rằng, đường dẫn đến trạng thái đó, điều kiện kết thúc đường dẫn mâu thuẫn với xác nhận trạng thái khơng an tồn
(22)Ví dụ, xem xét mã hình 24.6, phần thực hệ thống phân phối insulin
Phát triển đối số an toàn cho mã liên quan đến việc chứng minh liều lượng insulin không lớn mức tối đa thiết lập cho bệnh nhân bị đái tháo đường
Vì vậy, khơng cần phải chứng mỉnh hệ thống cung cấp liều lượng xác, khơng cung cấp q liều cho bệnh nhân
Để xây dựng đối số an toàn, bạn cần phải xác định điều kiện trước tiên cho trạng thái khơng an tồn đó, trường hợp currentDose > maxDose
(23)(24)Hình 24.7
If statement then branch
executed If statement
not executed
CurrentDose = maxDose If statement
else branch executed CurrentDose =
administerInsulin
CurrentDose> = minimumDose and
CurrentDose <= maxDose CurrentDose =0
(25)Trong ví dụ này, điều bạn cần quan tâm tập có giá trị có currentDose trước điều hành phương pháp insulin thực thi
Trong đối số an toàn hình 24.7, có đường dẫn chương trình tới việc gọi hàm điều hành phương pháp insulin
Chúng ta chứng minh liệu lượng insulin giao không vượt q maxDose Tất chương trình dẫn đến điều hành insulin xem là:
1 Không nhánh if-statement thực Điều xảy currentDose lớn minimumDose nhỏ maxDose
2 Các chi nhánh sau if-statement thực Trong trường hợp này, việc phân lập currentDose khơng thực thi Do điều kiện currentDose = 0
3 Các nhánh else-if if-statement thực thi Trong trường hợp này, việc phân lập currentDose để maxDose thực thi Do đó, điều kiện maxDose = currentDose
(26)24.2.2 Quy trình đảm bảo
Quy trình đảm bảo liên quan đến việc xác định trình tin cậy đảm bảo trình theo sau trình phát triển hệ thống
Việc sử dụng an tồn q trình chế để giảm hội mà lỗi đưa vào hệ thống
1 Tai nạn kiện hoi hệ thống quan trọng khơng thực tế để mơ chúng việc thử nghiệm hệ thống Bạn dựa vào thử nghiệm rộng rãi để nhân rộng điều kiện dẫn đến tai nạn
2 Yêu cầu an tồn, đơi khơng u cầu mà loại trừ hành vi hệ thống
(27)Một chu trình phát triển hệ thống an tồn phát triển làm cho rõ ràng ý phải toán giai đoạn trình phần mềm Điều có nghĩa cụ thể hoạt động đảm bảo an toàn phải bao gồm tiến trình Chúng bao gồm:
- Việc tạo hệ thống gây nguy hiểm, đăng nhập theo dõi vết mối nguy hiểm từ phân tích mối nguy hiểm sơ thông qua hệ thống để kiểm tra xác nhận
- Việc bổ nhiệm kỹ sư an tồn dự án có trách nhiệm rõ ràng cho khía cạnh an tồn dự án
- Việc sử dụng rộng rãi đánh giá an tồn suốt q trình phát triển
- Việc tạo hệ thống chứng nhận an tồn, theo an tồn thành phần quan trọng thức xác nhận
(28)(29)Yêu cầu thiết kế hệ thống an toàn:
1 Hệ thống bao gồm tự kiểm thử phần mềm kiểm tra cảm biến hệ thống, đồng hồ cung cấp insulin hệ thống
2 Các phần mềm tự kiểm tra thực lần phút
3 Trong trường hợp phần mềm tự kiểm tra phát lỗi thành phần hệ thống, cảnh báo âm phát hành bơm hiển thị nên ghi rõ tên thành phần mà lỗi có phát Việc phân phối insulin nên bị đình
4 Hệ thống kết hợp hệ thống cho phép ghi đè lên hệ thống người sử dụng để thay đổi tính tốn liều insulin mà phân phối hệ thống
(30)Thời gian chạy kiểm tra an tồn
Trong q trình thực chương trình, kiểm tra an tồn kết hợp xác nhận để kiểm tra chương trình thực có hoạt động an tồn hay khơng
(31)(32)24.3 Đánh giá bảo mật
Việc đánh giá hệ thống an ninh ngày trở nên quan trọng ngày nhiều hệ thống quan trọng Internet cho phép truy cập kết nối mạng Có câu chuyện hàng ngày công vào hệ thống dựa Web, virus thường xuyên phân phối cách sử dụng giao thức Internet
Tất điều có nghĩa trình xác minh xác nhận cho hệ thống dựa web phải tập trung đánh giá bảo mật, nơi mà khả hệ thống để chống lại loại hình cơng thử nghiệm
Tuy nhiên đánh giá bảo mật khó khăn để thực Do đó, hệ thống thường triển khai với lỗ hổng bảo mật mà kẻ công sử dụng để truy cập vào hư hỏng hệ thống
(33)(34)24.4 An toàn trường hợp đáng tin cậy
An toàn trường hợp tin cậy, tài liệu tổng quát hơn, trường hợp tin cậy cấu trúc thiết lập Chi tiết lập luận chứng cho thấy hệ thống an toàn hay cấp độ yêu cầu tin cậy đạt Đối với nhiều loại hệ thống quan trọng, việc sản xuất trường hợp an toàn yêu cầu pháp lý, trường hợp phải đáp ứng số quan chứng nhận trước hệ thống triển khai
(35)Vai trò điều chỉnh để kiểm tra xem hệ thống hoàn
thành an tồn thực tế, đó, họ chủ yếu tham gia phát triển dự án hoàn tất Tuy nhiên, nhà quản lý phát triển làm việc
trong lập, họ giao tiếp với nhóm phát triển để thiết lập bao gồm trường hợp an toàn Các điều chỉnh phát triển xem xét quy trình thủ tục để đảm bảo ban hành tài liệu đến hài lòng điều chỉnh
(36)Thành phần ( Component) Mô tả ( Description)
- Mô tả hệ thống - Yêu cầu an tồn
- Nguy hiểm phân tích rủi ro - Thiết kế phân tích
- Xác minh xác nhận - Xem xét báo cáo
- Tổng quan hệ thống mô tả thành phần quan trọng
- Các yêu cầu an tồn trừu tượng hóa từ đặc tả yêu cầu hệ thống
-Tài liệu mô tả mối nguy hiểm rủi ro xác định biện pháp thực để giảm nguy -Một tập hợp tham số cấu trúc mà biện minh cho lý thiết kế an tồn
-Một mơ tả thủ tục V & V sử dụng thích hợp, kiểm tra kế hoạch cho hệ thống - Hồ sơ tất đánh giá thiết kế an
toàn
(37)- Nhóm nghiên cứu lực - Quy trình bảo đảm chất lượng - Thay đổi quy trình quản lý
- Trường hợp liên quan đến an toàn
-Bằng chứng thẩm quyền tất đội tham gia vào việc phát triển hệ thống an toàn, liên quan xác nhận
- Hồ sơ quy trình đảm bảo chất lượng thực trình phát triển hệ thống
-Hồ sơ tất thay đổi đề xuất, hành động thích hợp, biện hộ của an toàn thay đổi này
(38)Một trường hợp an tồn tập hợp tài liệu bao gồm mô tả hệ thống, mà chứng nhận, thơng tin quy trình sử dụng để phát triển hệ thống và, quan, lập luận hợp lý để chứng minh hệ thống an toàn Cách ngắn gọn hơn, Đức Giám mục Bloomfield xác định trường hợp an toàn như:
- Căn vào tài liệu mà cung cấp đối số thuyết phục hợp lệ
mà hệ thống đầy đủ chức an tồn cho ứng dụng định trong mơi trường định
Các tổ chức nội dung trường hợp an toàn phụ thuộc vào kiểu hệ thống để chứng bối cảnh hoạt động Hình
24.11 cho thấy tổ chức cho trường hợp phần mềm an toàn.
(39)(40)Thảo luận giải thích lý yêu cầu bồi thường (mà thường an tồn) suy từ chứng sẵn có Đương
nhiên, đa tính chất hệ thống, yêu cầu tổ chức hệ thống phân cấp Để chứng minh yêu cầu cao cấp có giá trị, trước tiên bạn phải làm việc thông qua đối số cho đơn xin cấp Hình 24,13 cho thấy phần hệ thống phân cấp yêu cầu bồi thường cho máy bơm insulin
Là thiết bị y tế, hệ thống máy bơm insulin có từ bên ngồi chứng nhận Ví dụ, Anh, thiết bị y tế Ban giám đốc phải cấp giấy chứng nhận an toàn cho thiết bị y tế bán đối số Anh khác có sản xuất để chứng minh an toàn hệ thống Ví dụ, tham số sau phần trường hợp an toàn cho máy bơm insulin
Nghe
Đọc ngữ âm
Yêu cầu (Claim): liều tối đa tính bơm insulin không vượt
(41)Bằng chứng (Evidence): An toàn đối số cho máy bơm insulin (hình 24,7) Bằng chứng (Evidence): Thử nghiệm liệu cho máy bơm insulin
Bằng chứng (Evidence): phân tích tĩnh báo cáo cho phần mềm máy bơm insulin Đối số (Argument): Đối số an tồn trình bày cho thấy liều lượng tối đa
của insulin tính maxDose
Trong 400 thử nghiệm, giá trị liều tính tốn cách xác khơng vượt q maxDose
Việc phân tích tĩnh phần mềm kiểm sốt cho thấy khơng có dị thường Nói chung, hợp lý để giả định yêu cầu bồi thường hợp lý
Tất nhiên, lập luận đơn giản, trường hợp thực an toàn tài liệu tham khảo chi tiết để chứng trình bày Do tính chất chi tiết họ, trường hợp an tồn tài liệu dài phức tạp công cụ phần mềm khác có sẵn để giúp đỡ xây dựng họ, bao gồm liên kết đến công cụ trang web sách
Hình 24.13 hệ thống cấp bậc yêu cầu bồi thường trường hợp máy bơm
(42)(43)An toàn đối số chứng minh cách để chứng minh điều kiện độc hại không xảy
Điều quan trọng phải có q trình đáng tin cậy cho hệ thống quan trọng phát triển an tồn Q trình nên bao gồm xác định nguy hoạt động giám sát
Xác nhận bảo an liên quan đến kinh nghiệm dựa phân tích, dựa cơng cụ phân tích sử dụng đội ngủ để công hệ thống
Trường hợp an toàn thu thập chứng lập hệ thống an toàn
(44) Exercises
24.1 Làm bạn mô tả chứng thực độ tin cậy đặc tả cho hệ thống
siêu thị mà bạn quy định Exercise 9.8 Câu trả lời bạn nên bao gồm mô tả công cụ xác thực rằng: sử dụng
24.2 Giải thích lý thực tế để xác nhận độ tin cậy
chi tiết kỹ thuật thể điều khoản số thất bại đời hệ thống tổng
24.3 Sử dụng tài liệu thông tin bản, viết báo cáo cho quản lý (người
khơng có kinh nghiệm lĩnh vực này) việc sử dụng mơ hình tăng trưởng độ tin cậy
24.4 Một kỹ sư đồng ý để cung cấp hệ thống phần mềm với lỗi
khách hàng biết đến ? Có phải khác biệt khách hàng nói tồn lỗi trước? Liệu hợp lý để thực yêu cầu độ tin cậy phần mềm hoàn cảnh vậy?
24.5 Giải thích hệ thống bảo đảm độ tin cậy không bảo đảm an tồn hệ
(45)24.6 Các khóa cửa điều khiển chế sở lưu trữ chất thải hạt
nhân thiết kế cho hoạt động an tồn Nó đảm bảo mục nhập vào kho phép chắn xạ đưa mức độ xạ phòng giảm xuống số giá trị cho (nguy cấp) Đó là:
(i) Nếu chắn xạ điều khiển từ xa đưa phịng, cửa vào mở nhà điều hành có thẩm quyền
(ii) Nếu mức độ xạ phòng giá trị quy định, cánh cửa mở nhà điều hành có thẩm quyền
(iii) Một nhà điều hành có thẩm quyền xác định đầu vào mã số nhập cảnh có thẩm quyền cửa
Các mã java thể hình 24,14 kiểm sốt chế khóa cửa Lưu ý nhà nước an tồn mục khơng cho phép Phát triển đối số an toàn cho thấy mã khơng an tồn Sửa đổi mã để làm cho an tồn
24.7 Sử dụng đặc tả kỹ thuật cho việc tính tốn liều lượng đưa
Chương 10 (Hình 10,11), viết phương pháp tính tốn lnsulin Java sử dụng hình 24,6 Xây dựng đối số an toàn thức mã an toàn
24.8 Đề nghị làm bạn xác thực hệ thống bảo vệ mật
(46)24.9 Tại cần thiết bao gồm chi tiết thay đổi hệ thống
trường hợp phần mềm an toàn?
24.10 Danh sách bốn loại hệ thống yêu cầu trường hợp hệ thống an toàn
phần mềm
24.11 Giả sử bạn phần đội mà phát triển phần mềm cho
nhà máy hóa chất, mà thất bại cách đó, gây cố nhiễm nghiêm trọng Ông chủ bạn vấn truyền hình nói q trình xác nhận tồn diện khơng có lỗi phần mềm Cô khẳng định vấn đề phải thủ tục hoạt động Một tờ báo phương pháp bạn cho ý kiến bạn Thảo luận làm bạn nên xử lý vấn
Nghe
Đọc ngữ âm
(47) Cảm ơn bạn lắng nghe thuyết trình