可信性測度和評估第1頁，共45頁，2023年，2月20日，星期三3.1數(shù)字系統(tǒng)的可信性測度數(shù)字系統(tǒng)的可信性測度數(shù)字系統(tǒng)的可信性——系統(tǒng)能夠提供確實(shí)可信服務(wù)的綜合能力故障如何損壞系統(tǒng)的可信性？可信性如何度量？可信性是涵蓋了系統(tǒng)的整個生命周期、多項(xiàng)復(fù)合屬性的不同層次、不同緯度的評價可信性的測度評估可分為可信性的數(shù)量測度和質(zhì)量測度第2頁，共45頁，2023年，2月20日，星期三3.1數(shù)字系統(tǒng)的可信性測度可信性的數(shù)量測度數(shù)量測度的基礎(chǔ)是系統(tǒng)在各個屬性上所提供服務(wù)的可”依賴程度”——屬性的不確定性導(dǎo)致必須以概率的形式衡量和表示需求分析和規(guī)格說明階段根據(jù)用戶對可信性的要求和設(shè)計(jì)者對系統(tǒng)成本和需求分析預(yù)測系統(tǒng)的可信性設(shè)計(jì)階段采用必要的技術(shù)和可靠的元器件以滿足系統(tǒng)對可信性的需求運(yùn)行階段進(jìn)行大量的試驗(yàn)性運(yùn)行預(yù)測性評估運(yùn)行性評估第3頁，共45頁，2023年，2月20日，星期三3.1數(shù)字系統(tǒng)的可信性測度可信性的質(zhì)量測度質(zhì)量測度是根據(jù)在系統(tǒng)中檢測到的致命性故障和錯誤的情況對系統(tǒng)可信性可能引起嚴(yán)重后果的測定順推法：從已經(jīng)檢測到的致命性故障和錯誤推導(dǎo)出系統(tǒng)可能出現(xiàn)的失效及其后果的嚴(yán)重性故障樹法逆推法：從可能出現(xiàn)的失效及其嚴(yán)重后果推算出可能引起系統(tǒng)失效的致命性的故障和錯誤失效模式分析法第4頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度可靠性——一個系統(tǒng)在給定的時間和條件下完成其規(guī)定任務(wù)的能力可靠性是時間的函數(shù)假設(shè)當(dāng)時間為“0”時系統(tǒng)是正常的，則在所規(guī)定的條件下，當(dāng)時間為“t”時系統(tǒng)能正常工作的條件概率時間對可靠性的影響硬件系統(tǒng)——可靠性隨時間的推移而下降軟件系統(tǒng)——理論上可靠性不隨時間的推移而變化（固有的故障和維護(hù)時產(chǎn)生的各種新故障回導(dǎo)致可靠性下降）常用的可靠性模型——指數(shù)模型第5頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度幾個重要的概率論概念——設(shè)X為任一隨機(jī)變量累積分布函數(shù)函數(shù)Q(x)=P[X≤

x]概率質(zhì)量函數(shù)X為離散變量：f(x)=P[X=x]概率密度函數(shù)X為連續(xù)變量：f(x)=dQ(x)/dx期望X為離散變量：X為連續(xù)變量：方差E{(x–E{x})2}第6頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度假設(shè)條件假設(shè)C是一個具有N個元器件的數(shù)字系統(tǒng)，在一定的條件和環(huán)境下運(yùn)行，并隨著時間t的推移質(zhì)量逐漸下降S(t)為系統(tǒng)C運(yùn)行至t時刻能保持正常工作的元器件的總數(shù)F(t)為時刻t時發(fā)生故障而失效的元器件的總數(shù)在任意時刻N(yùn)=S(t)+F(t)可靠性函數(shù)——系統(tǒng)正常工作的概率失效函數(shù)——系統(tǒng)中元器件失效的速度第7頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度可靠性函數(shù)假設(shè)在時刻t=0，系統(tǒng)是正常工作的，則在區(qū)間[0,t]中能保持正常工作的條件概率R(t)R(t)=S(t)/N不可靠性函數(shù)假設(shè)在時刻t=0，系統(tǒng)是正常工作的，則在區(qū)間[0,t]中不能保持正常工作的條件概率R(t)U(t)=1–R(t)=1-S(t)/N=F(t)/N在數(shù)字系統(tǒng)中，由于正常工作和失效的元器件數(shù)是無法有效獲取，所以可靠性函數(shù)一般是不實(shí)用的！?。。〉?頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度失效函數(shù)(失效率)——表示系統(tǒng)中元器件失效的速度Z(t)=dF(t)/S(t)dt初始階段工作階段Z(t)=dF(t)/S(t)dt老化階段0Z(t)tλ第9頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度從失效函數(shù)推導(dǎo)出可靠性函數(shù)為計(jì)算方便，僅僅考慮失效函數(shù)的第二階段，Z(t)=λ(常數(shù))R(t)=1-F(t)/NdF(t)/dt=-NdR(t)/dtλ=-NdR(t)/S(t)dt=-dR(t)/R(t)dt(Z(t)=dF(t)/S(t)dt=λ&&R(t)=S(t)/N)

R(t)=e-λt (可靠性函數(shù)的指數(shù)表達(dá)式)第10頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度失效率假設(shè)C是一個具有k個不同種類的元器件的數(shù)字系統(tǒng)，每一種元器件具有相同的失效率，則C的失效率是各元器件的累加λC=∑ki=1Niλi幾種評估失效率的實(shí)驗(yàn)性方法計(jì)數(shù)測試法計(jì)時測試法進(jìn)行測試法限定進(jìn)行測試法強(qiáng)化測試法實(shí)驗(yàn)結(jié)果需要綜合性的評估第11頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度1965年美國國防部MIL-HDBK-217標(biāo)準(zhǔn)MIL-HDBK-217、MIL-HDBK-217B、MIL-HDBK-217C、MIL-HDBK-217Dλ=πLπQ(C1πT+C2πE)πP(Mh-1)πL學(xué)習(xí)因子——生產(chǎn)、制造工藝和過程的成熟程度πQ溫度因子——制造商對產(chǎn)品是否認(rèn)真驗(yàn)證和測試πT環(huán)境因子——環(huán)境溫度的量化πE環(huán)境因子——工作條件和環(huán)境的量化πP端口因子——產(chǎn)品中的引腳個數(shù)的函數(shù)C1、C2復(fù)雜因子——門電路的個數(shù)的函數(shù)(Mh百萬小時)第12頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度MTTF(meantimetofailure)系統(tǒng)從正常運(yùn)行開始到遭遇第一次失效時時間長度的平均值一個簡單的例子有N個完全相同的系統(tǒng)，在t=0時刻同時開始運(yùn)行，記錄每一個系統(tǒng)從開始運(yùn)行到第一次失效之間的時間間隔tiMTTF=第13頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度MTTF(meantimetofailure)MTTF————>發(fā)生失效時間的期望值MTTF= ————f(t)為失效密度函數(shù)f(t)=dU(x)/dt=d[1–R(t)]/dtMTTF=指數(shù)模型的MTTFMTTF=在t=0時刻運(yùn)行良好的系統(tǒng)，運(yùn)行到一個MTTF時，可靠性為R(MTTF)=R(1/λ)=e-λ(1/λ)=e-1=0.3687第14頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度一個令人震驚的實(shí)例已知世界上第一代電子管計(jì)算機(jī)ENIAC有18000個電子管，假設(shè)每個電子管的失效率均為0.5%/(kh)-1，試求其MTTF，若要求計(jì)算機(jī)的可靠性在95%以上，則至多可以工作多久？？？

R(t)=e-t/MTTF

可靠性在95%以上的工作時間為

t=-lnR(t)*MTTF=0.005*11.1=34(min)第15頁，共45頁，2023年，2月20日，星期三3.2硬件系統(tǒng)的可靠性及其測度MTTR(meantimetorepair)與維修人員的技術(shù)水平密切相關(guān)MTBF(meantimebetweenfailures)MTBF=MTTF+MTTR第一次失效第二次失效正常運(yùn)行正常運(yùn)行修復(fù)時間MTTRMTTFMTTFMTBFMTBF修復(fù)時間MTTR第16頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性組合系統(tǒng)一個系統(tǒng)往往是由多個子系統(tǒng)(部件或模塊)組成系統(tǒng)的組合形式串行型并行型串并/并串型非串非并型第17頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——串行系統(tǒng)串行系統(tǒng)指一個只有當(dāng)且所有子系統(tǒng)都能正常工作時才能正常運(yùn)行的系統(tǒng)xi表示第i個模塊能正常工作ri表示第i個模塊正常工作的概率Mi表示第i個模塊每個子模塊能正常工作的概率P(xi)=rix1r1x2r2x3r3x4r4xkrk(a)串行系統(tǒng)的節(jié)點(diǎn)圖M1M2M3Mkr1r2r3rk(b)模塊圖結(jié)構(gòu)圖第18頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——串行系統(tǒng)串行系統(tǒng)的可靠性假設(shè)事件“每個模塊正常工作”為獨(dú)立事件Rs=P(x1∩x2∩x3…

∩xk)=r1*r2*r3

…*rk假設(shè)每個模塊失效率相同且都為常數(shù)λRs=rk=ekλtMTTF=1/kλ如果確定了系統(tǒng)的可靠性Rs每個子模塊的可靠性應(yīng)該是r=(Rs)1/k第19頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——并行系統(tǒng)并行系統(tǒng)指所有子系統(tǒng)都不能工作時才會停止運(yùn)行的系統(tǒng)ri表示第i個模塊正常工作的概率λi表示第i個模塊的失效率(a)并行系統(tǒng)的節(jié)點(diǎn)圖x1x2xixk(b)模塊圖結(jié)構(gòu)圖M1M2Mkr1r2rk…第20頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——并行系統(tǒng)并行系統(tǒng)的可靠性假設(shè)事件“每個模塊正常工作”為獨(dú)立事件Rs=P(x1+x2+x3…+xk)=1–P(~x1∩~x2∩~x3…

∩~xk)

假設(shè)每個模塊失效率相同且都為常數(shù)λRs=1–[1–e-λt]kMTTF=第21頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——串并系統(tǒng)串/并行系統(tǒng)(seriestoparallelsystem——SP系統(tǒng))指系統(tǒng)中的模塊先實(shí)現(xiàn)串行在進(jìn)行并行組合RS-P=1–(1–R1R3)(1–R2R4)M1M3M2M4AB由四個模塊組成的S-P系統(tǒng)第22頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——并串系統(tǒng)并/行串系統(tǒng)(paralleltoseriessystem——PS系統(tǒng))指系統(tǒng)中的模塊先實(shí)現(xiàn)并行在進(jìn)行串行組合RP-S=[1–(1-R1)(1–R2)][1–(1–R3)(1-R4)]由四個模塊組成的P-S系統(tǒng)M1M3M2M4AB第23頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——串并/并串系統(tǒng)串并/并串系統(tǒng)串并系統(tǒng)——雙機(jī)系統(tǒng)并串系統(tǒng)——雙工系統(tǒng)RP-S>RS-Pm增加則R提高n增加則R降低串并/并串系統(tǒng)可靠性RS-P

=1–(1-Rn)mRP-S

=[1–(1-R)m]nM1M3M2M4ABnm第24頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——非串并/并串系統(tǒng)非串并/并串系統(tǒng)(復(fù)雜系統(tǒng))的處理按某一個模塊進(jìn)行展開選擇模塊的原則是能使得系統(tǒng)分解為串并/并串子系統(tǒng)逐步分解成串并/并串系統(tǒng)利用串并/并串系統(tǒng)的可靠性計(jì)算方法進(jìn)行計(jì)算假設(shè)M為非串/非并系統(tǒng)中的一個模塊，其可靠性為RMRS=RM*P(S|M)+(1-RM)*P(S|~M)P(S|M)表示模塊M正常運(yùn)行時系統(tǒng)S正常運(yùn)行的條件概率P(S|~M)表示模塊M發(fā)生故障時系統(tǒng)S正常運(yùn)行的條件概率第25頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——非串并/并串系統(tǒng)非串并/并串系統(tǒng)的分解(1)ABFECDAFECD(a)模塊B正常運(yùn)行AFECD(b)模塊B發(fā)生故障第26頁，共45頁，2023年，2月20日，星期三3.3組合系統(tǒng)的可靠性——非串并/并串系統(tǒng)非串并/并串系統(tǒng)的分解(2)AED(b)模塊C發(fā)生故障AFECD(a)模塊C正常運(yùn)行AFD第27頁，共45頁，2023年，2月20日，星期三3.4軟件系統(tǒng)的可靠性及其測度在第四章中作專門的論述數(shù)字系統(tǒng)可靠性的三個方面硬件系統(tǒng)的可靠性軟件系統(tǒng)的可靠性操作人員的可靠性第28頁，共45頁，2023年，2月20日，星期三3.5可測性及其測度測試通過對系統(tǒng)輸入一定的序列(稱為測試序列或測試向量)后，檢查系統(tǒng)的輸出響應(yīng)以確定在系統(tǒng)中是否存在故障的方法故障檢測——檢查是否存在故障故障定位——確定故障的位置可測性測度的幾個評估參數(shù)便利性——故障檢測和定位的難易程度和輸入測試序列的便利性規(guī)?！獪y試序列長度(需要輸入的測試序列的長度和響應(yīng)時間長度)覆蓋率——被檢測到的故障總數(shù)占所有可能故障的總數(shù)的比例故障診斷第29頁，共45頁，2023年，2月20日，星期三3.5可測性及其測度可測性的評估建立在對系統(tǒng)結(jié)構(gòu)的分析和對系統(tǒng)的可控性(controllability)和可觀察性(observability)的評估基礎(chǔ)之上可控性——從系統(tǒng)外部通過輸入端對系統(tǒng)內(nèi)部各部分的值進(jìn)行控制的能力可觀察性——從系統(tǒng)外部通過輸出端觀察系統(tǒng)內(nèi)部各部分值的能力ISO15942——評價Ada語言程序驗(yàn)證便利性的標(biāo)準(zhǔn)優(yōu)先級——使用該功能方便驗(yàn)證允許級——使用該功能在增加開銷的同時方便驗(yàn)證禁止級——使用該功能無法進(jìn)行驗(yàn)證第30頁，共45頁，2023年，2月20日，星期三3.6可維護(hù)性及其測度維護(hù)——發(fā)生于系統(tǒng)的運(yùn)行階段一系列可以使系統(tǒng)獲得維修或重新建立正常狀態(tài)的行為維護(hù)的主要功能終止一個正在運(yùn)行的系統(tǒng)的任務(wù)，進(jìn)行所謂的脫機(jī)測試和維修然后在確定一個系統(tǒng)確實(shí)是處于正常狀態(tài)以后再將它返回“原處”同時還要包括對發(fā)現(xiàn)有故障且被撤換下來的部件等進(jìn)行修復(fù)正常運(yùn)行維護(hù)檢測診斷修復(fù)終止運(yùn)行返回運(yùn)行第31頁，共45頁，2023年，2月20日，星期三3.6可維護(hù)性及其測度維護(hù)的基本類型預(yù)防型維護(hù)在故障發(fā)展成錯為甚至形成嚴(yán)重后果之前將它檢測出來，防止它發(fā)展的一種維護(hù)功能以周期性檢查為主(按條件和按時間的預(yù)防型維護(hù))糾正型維護(hù)對一個將要發(fā)生或已經(jīng)發(fā)生的故障進(jìn)行修復(fù)和糾正的功能改進(jìn)型維護(hù)在維護(hù)系統(tǒng)的同時改進(jìn)系統(tǒng)性能的功能第32頁，共45頁，2023年，2月20日，星期三3.6可維護(hù)性及其測度可維護(hù)性衡量一個系統(tǒng)的可修復(fù)(恢復(fù))性和可改進(jìn)性的難易程度可修復(fù)性——在系統(tǒng)發(fā)生故障后能夠排除(或抑制)故障予以修復(fù)，并返回原來正常狀態(tài)的可能性(預(yù)防型和糾正型維護(hù)功能)可改進(jìn)性——系統(tǒng)具有接受對現(xiàn)有功能的改進(jìn)，增加新功能的可能性(改進(jìn)型維護(hù)功能)MTTR(meantimetorepair)與維修人員的技術(shù)水平密切相關(guān)第33頁，共45頁，2023年，2月20日，星期三3.6可維護(hù)性及其測度假設(shè)條件假設(shè)有N個數(shù)字系統(tǒng)，并在t=0時刻對每一個系統(tǒng)注入一個故障，允許一個維修人員對它們進(jìn)行維修。當(dāng)運(yùn)行到t時刻時Nr(t)個系統(tǒng)的故障被檢測并被修復(fù)Nn(t)個系統(tǒng)的故障仍未被檢測在任意時刻N(yùn)=Nr(t)+Nn(t)可維護(hù)性M(t)=Nr(t)/N=Nr(t)/Nr(t)+Nn(t)修復(fù)率函數(shù)——系統(tǒng)能夠得到修復(fù)的概率第34頁，共45頁，2023年，2月20日，星期三3.6可維護(hù)性及其測度修復(fù)率函數(shù)可修復(fù)性M(t)=Nr(t)/N

Nr(t)對t的微分就是在t時刻系統(tǒng)的修復(fù)率t時刻還有Nn(t)個系統(tǒng)尚未被修復(fù)，則dNr(t)/dt除以Nn(t)則得到修復(fù)率函數(shù)修復(fù)性率函數(shù)=dNr(t)/Nn(t)dt(=μ常數(shù)——單位時間內(nèi)修復(fù)的故障數(shù))dM(t)/dt=Nn(t)μ/NM(t)=1–e-μt(Nn(t)/N=1–M(t))MTTR=1/μ第35頁，共45頁，2023年，2月20日，星期三3.6可維護(hù)性及其測度可維護(hù)性M(t)與MTTR的關(guān)系修復(fù)時間MTTR越短則維護(hù)性M(t)越高μ為0則M(t)為0(系統(tǒng)無法修復(fù))，μ為∞則M(t)為0(系統(tǒng)容易恢復(fù))M(t=MTTR)=1–e-μ(1/μ)=1–e-1=0.632修復(fù)率隨著不同系統(tǒng)和所處環(huán)境而變化現(xiàn)場級——本部門(企業(yè))維修人員就地修復(fù)中間級——專門維修人員到現(xiàn)場來維修最終級——返回生產(chǎn)部門進(jìn)行徹底的檢修和維護(hù)第36頁，共45頁，2023年，2月20日，星期三3.7可用性及其測度可用性假設(shè)在t=0時刻系統(tǒng)的各個功能都正常，則在任意時刻t系統(tǒng)能正常運(yùn)行的概率可用性以可修復(fù)性為基礎(chǔ)，只有對可修復(fù)的系統(tǒng)才存在可用性的問題可用性與可靠性可靠性——指系統(tǒng)能在一個給定長的時間內(nèi)正常運(yùn)行的概率可用性——指一個系統(tǒng)隨時可以正常運(yùn)行的概率系統(tǒng)能正常運(yùn)行的時間占據(jù)系統(tǒng)總的運(yùn)行時間(包括維護(hù)和修復(fù)時間在內(nèi))的比例第37頁，共45頁，2023年，2月20日，星期三3.7可用性及其測度假設(shè)條件top為系統(tǒng)從t=0到t=tov時刻期間的正常運(yùn)行時間，又tre為在該期間中用于修復(fù)故障所花費(fèi)的時間A(tov)=top/(top+tre)可用性與可靠性可靠性——指系統(tǒng)能在一個給定長的時間內(nèi)正常運(yùn)行的概率可用性——指一個系統(tǒng)隨時可以正常運(yùn)行的概率系統(tǒng)能正常運(yùn)行的時間占據(jù)系統(tǒng)總的運(yùn)行時間(包括維護(hù)和修復(fù)時間在內(nèi))的比例第38頁，共45頁，2023年，2月20日，星期三3.7可用性及其測度關(guān)于可用性的評估設(shè)計(jì)階段無法獲得正常運(yùn)行時間和修復(fù)時間，上述方法不實(shí)用??！可用性的評估方法基于單參數(shù)測度的方法——穩(wěn)定可用性計(jì)算法利用MTTF和MTTR計(jì)算即時式可用性計(jì)算方法利用馬爾可夫模型的失效率和修復(fù)率(做為時間函數(shù))及其轉(zhuǎn)換來計(jì)算第39頁，共45頁，2023年，2月20日，星期三3.7可用性及其測度穩(wěn)定可用性計(jì)算法——平均可用性計(jì)算法MTTF=1/λ且MTTR=1/μ假設(shè)在給定的時間中，系統(tǒng)發(fā)生了N次故障As=N(MTTF)/[N(MTTF)+N(MTTR)]=μ/(μ+λ)第40頁，共45頁，2023年，2月20日，星期三3.7可用性及其測度即時式可用性計(jì)算法——利用馬爾可夫模型p1(t+△t)=(1–λ△t)p1(t)+μ△tp2(t)p2(t+△t)=λ△tp1(t)+(1-μ△t)p2(t)As(t)=μ/(μ+λ)