软件工程课件 03.关键系统.pptVIP

关键系统 Critical Systems 目标 说明什么是关键系统，即它的故障会对人或经济带来严重的后果。 说明可信度的四个方面，即可获性，可靠性，安全性和保密性。 了解为了达到可信，你需要避免失误、检查和排除差错以及减小系统失效造成的损害。 课题 一个简单的安全关键(safety-critical)系统 系统可信度（dependability） 可获性(availability)和可靠性(reliability) 安全性(safety) 保密性(security) 关键系统 安全关键系统(Safety-critical) 系统失效会造成生命丧失、受伤或者是环境破坏； 例如化工厂保护系统 使命关键系统(Mission-critical) 它的失效会导致某些针对目标的活动遇到障碍； 例如太空船导航系统； 业务关键系统(Business-critical) 它的失效会带来巨大的经济损失； 例如一个银行里的客户会计系统。 系统可信度 对关键系统来说，在一般情况下，可信度是最重要的系统性质； 一个系统的可信度反映了用户对系统的信任程度，用户的信任程度表现在对系统操作会按照预期进行以及对在正常使用情况下系统不会失误的两方面上； 可用和可信不是一码事，一个可用的系统不一定是可信的。 可信度的重要意义 用户会拒绝不可信的和不可靠的、不安全的或者是不保密的系统； 系统失效的成本可能会非常高； 不可信的系统可能会造成信息丢失，随后要付一笔高昂的恢复成本。 关键系统的开发方法 关键系统失效的成本是如此之高，以至于不能使用其它类型系统所惯用的追求成本效益（ cost-effective ）的方法； 开发方法的例子 软件开发的形式化方法； 静态分析法； 外部质量保证。 社会-技术型的关键系统 硬件故障(Hardware failure) 由于设计或制造上的差错或者是部件已经到了它们的自然寿命的原因，使硬件出现失误。 软件失效(Software failure) 由于在规格说明、设计或实现中的差错造成软件失误。 操作失误(Operational failure) 人的操作出现错误。也许是目前系统故障的一个最大的因素。 一个软件控制的胰岛素泵 由糖尿病患者(diabetics)使用，它能够模拟胰腺(pancreas)生产胰岛素(insulin)的功能，而胰岛素是转换血糖的重要激素； 采用一个微传感器来测量出血液中的葡萄糖(glucose) ，并算出转化成葡萄糖所需要的胰岛素剂量。 胰岛素泵的结构组织 胰岛素泵的数据流 胰岛素泵的可信度需求 当需要系统提供胰岛素的时候，系统应当提供得上； 系统的运行必须是可靠的，它必须提供正确的胰岛素剂量来中和现在的血糖水平； 基本的安全要求是千万不能注入过量的胰岛素，因为这会潜在地威胁到生命。 可信度(Dependability) 也就是系统的可信程度； 一个可信的系统就是一个被它的用户信任的系统； 可信度的范围是： 可获性(Availability); 可靠性(Reliability); 安全性(Safety); 保密性(Security)。 可信度的范围(Dimensions) 其它可信度性质 可修复性(repairability) 反映系统在一次失效事件中可以修复的程度。 可维护性(maintainability) 反映系统对新需求的适应程度。 可存活性(survivability) 反映系统在受到敌对方攻击的同时还能提供服务的程度。 差错容忍度(error tolerance) 反映系统能够避免和容忍用户输入差错的程度。 可维护性(Maintainability) 它是一个涉及到系统修复的容易程度系统属性， 一般是在发现一个故障之后或者是在改变系统增加新特性的时候； 它对关键系统很重要，因为维护问题的时候常常会把失误带入到一个系统中； 可维护性与可信度的其它方面有区别，它是静态的而不是动态的系统属性。 可存活性（Survivability） 指在面对有意或无意的攻击下，一个系统具有的向用户持续交付它的服务的能力； 它是一个越来越重要的属性，因为保密性危及到分布系统的安全性； 可存活性含有可恢复的概念，即指不管一个系统的组件是否失效，它都有继续运行的能力。 可信度与系统性能 不可信的系统可能会被它的用户拒绝； 不可信的系统可能会损失有价值的信息； 有时可以用可信度来补偿性能上的缺憾； 系统失效成本可能非常高，可信度是首要的； 然而，调整系统使其更加可信是很难的。 可信度成本 当增加可信度要求的水平的时候，成本一般会指数式地增长。 有两个原因： 为了达到所需要的更高可信度，采用更加昂贵的开发技术和硬件； 为了使客户相信系统已经达到了所要求的可信度水准，增加测试和系统验证。 增加可信度的成本 可信度经济学 由