可信赖的软体开发.ppt

可信賴的軟體開發 可信賴度 關鍵系統規格 可信賴的軟體開發 驗證與確認 測試 可信賴度 Dependability 使用者信任某個關鍵系統的程度 概念 就關鍵系統而言，系統的可信賴度是最重要的系統特性。 系統的可信賴度反映了使用者對於系統信任的程度 它也反映了使用者的信心程度，也就是它的操作能達到使用者的期待，而且在正常使用情況下不會造成當機。 有用(usefulness)和信任(trustworthiness)是不同的意思 一個不可靠的系統可能會很有用。 可信賴度的涵蓋範圍 可維護性 Maintainability 是一種系統的屬性，表示在電腦故障或是變更系統以納入新特性時，系統是否容易修復。 這項屬性對於關鍵系統非常重要，因為維護的問題經常會讓系統發生錯誤。 可維護性與可信賴度的其他涵蓋範圍不同，它是靜態而非動態的系統屬性，故本章先不討論它。 存活能力 Survivability 在面對已知或意外的侵害時，系統仍然能夠繼續傳送服務給使用者的一種能力。 對安全性可以妥協的分散式系統而言，存活能力是越來越重要的屬性。 Survivability包含恢復的觀念 - 即不管元件是否故障，系統仍然能夠繼續操作的能力。 成本與可信賴度曲線 可信賴度成本 當可信賴度的程度逐漸增加時，可信賴度成本也會呈指數增加。 上述情形的生成原因有兩個: 為了達到較高程度的可信賴度，必須使用越來越多昂貴的開發技術和硬體。 為了達到要求的可信賴程度，必須增加能夠讓系統用戶信服的測試與系統驗證。 可信賴度與執行效能 使用者可能會拒絕使用不可靠的系統 系統發生錯誤所造的成本可能會很大 要調整一系統讓它更可被信賴是很困難的 系統執行效能的缺失比較容易彌補 不可靠的系統可能會造成有價值的資料的遺失 可信賴度的經濟因素 因為達成可信賴度的成本非常高，因此有時候接受不可靠的系統而付出系統故障的成本可能會比較合乎經濟效益。 然而，這些都必須視社會和政治的因素而定。產品的聲譽如果不值得信賴的話，就有可能會喪失未來的商機。 根據系統類型的不同會有程度不同的可信賴度可適用，尤其是對商業系統而言。 可用性和可靠性 可靠性(Reliability) 表示在某段時間內，於某個給定的環境中，針對特定的目的而執行的操作不發生錯誤的機率。 可用性(Availability) 表示在某個時間點能夠操作和提供服務要求的機率。 可靠性和可用性這兩種屬性可以用量化的方式表示。 可用性和可靠性 某些情況下，可用性可能會包含於可靠性之中。 很明顯的，如果系統無法使用就不能提供指定的系統服務。 可能會有某一種系統，它的可靠度很低但必須能夠被使用。只要系統的故障可以馬上被修復而不會損壞到資料，可靠度低可能不會構成問題。 可用性需將修復時間列入考慮。 可用性和可靠性 可靠性的正式定義並不一定都反映了使用者對系統可靠性的認知 對系統使用環境的假設可能不正確 某系統在辦公室環境中的用法可能和大學環境裡的用法完全不同。 系統故障的結果對可靠性的認知有所影響 汽車上不可靠的雨刷若在乾燥氣候地區可能沒有什麼關係。 影響嚴重的系統故障(例如車子引擎拋錨)對使用者來說比只引起不方便的故障要來得重要。 可用性和可靠性 可靠性的達成 避免錯誤(Fault avoidance) 利用開發的技術減少錯誤發生的機率，或在這些錯誤引發系統故障之前找出錯誤之所在。 錯誤偵測和移除(Fault detection and removal) 使用確認與認證的技術增加錯誤發現的機會，並且在系統使用之前更正這些錯誤。 容錯(Fault tolerance) 使用一些技術以確保這些系統缺陷不會讓系統出錯，且(或)確保系統錯誤不會造成系統故障 可靠性的改善 移除系統中X%的錯誤移除並不一定就能相對地對可靠度改善X%。 程式的缺陷也許是很少使用的部分程式碼，所以使用者可能不會碰到這種情形。將這些程式碼移除並不會影響到使用者對可靠性的感受。 因此，某個帶有已知缺陷的程式也許仍然會被使用者認為是具有可靠性的。 安全性 安全性(Safety)也是系統的一項屬性，它能夠反映出系統正常或不正常的運作能力，是否不會危害到人體或系統環境。 軟體的安全性考量越來越重要，因為越來越多的設備都加入了以軟體為主的控制系統。 安全性的需求是一種排除性的需求，亦即它是排除不理想的情況，而不是指定所需的系統服務。 安全性和可靠性 系統的安全性和可靠性互有關係但也有所區別 一般來說，可靠性和可用性是系統所需但卻不足以構成系統安全性的條件。 可靠性必須符合定義的規格以及提供的服務。 不管安全性是否符合規格，它必須確保系統不會造成傷害。 不安全但可靠的系統 規格錯誤 如果系統規格不正確，系統可能會按照訂定的規格運作，但是仍然可能會導致意外的事故發生。 硬體故障產生