Аттестация критических систем

Цели

В настоящей главе рассматриваются методы верификации и аттестации критических систем. Прочитав эту главу, вы должны:

q знать преимущества и недостатки использования формальных методов верификации критических систем;

q иметь представление о методах оценивания безотказности программных системы и модели возрастания безотказности;

q познакомиться с основной идеей доказательства безопасности и уметь доказывать невозможность появления аварийных ситуаций в системе.

Верификация и аттестация критической системы имеют много общего с подобными процессами, выполняемыми над любой другой программной системой. В ходе этих процессов проверяется соответствие системы своей спецификации и соответствие поведения системы требованиям заказчика. Однако природа критических систем такова, что, как правило, в дополнение к обычному анализу и тестированию системы необходимы еще процессы доказательства ее надежности. Это требуется по двум причинам.

1. Цена отказа критических систем. В критических системах стоимость отказа и его последствия потенциально значительно выше, чем в других системах. Поэтому экономически выгоднее выделить достаточно средств на верификацию и аттестацию критических систем, чтобы обнаружить и исправить возможные ошибки еще в процессе разработки системы.

2. Аттестация свойств функциональной надежности. Заказчики критических систем должны быть уверены в том, что система соответствует определенным показателям функциональной надежности (работоспособность, безотказность, безопасность и защищенность). Для оценки этих свойств требуется специальный процесс верификации и аттестации, который рассматривается далее в главе.

По указанным выше причинам стоимость процесса верификации и аттестации для критических систем обычно значительно выше, чем для других систем. Нет ничего удивительного в том, что на верификацию и аттестацию критических систем приходится более 50% от полной стоимости разработки. Конечно, такие расходы оправдывают себя, если удается избежать дорогостоящих отказов системы. Например, в 1996 году вследствие отказа программного обеспечения, установленного на ракете Ariane 5, потеряно несколько спутников, стоимостью сотни миллионов долларов.

В процессе аттестации критических систем кроме непосредственной аттестации систем должна также проводиться аттестация процессов, используемых при ее разработке. Как отмечается в главах 8 и 24, на качество системы влияет качество процессов разработки ПО. Поэтому при создании систем с высокими требованиями надежности необходимо прежде всего обеспечить четкое соблюдение стандартов процесса разработки.

Такая аттестация процесса разработки является неотъемлемой частью стандартов управления качеством ISO 9000*, кратко рассмотренных в главе 24. Согласно этим стандартам, на все используемые процессы разработки и связанные с ними процессы, обеспечивающие их соблюдение, должна быть документация. Как правило, требуется иметь систему сертификации полноты и завершенности процессов разработки и проверки качества промежуточных и конечного продуктов, например в виде специальных форм. Стандарты ISO 9000 определяют, какие промежуточные продукты процесса должны производиться и контролироваться и кто отвечает за их производство и проверку. Использование форм, которые описывают процесс анализа системных отказов, рассматривается в разделе 21.3.3.

* Международная организация по стандартизации (International Standarts Organization - ISO), являясь ассоциацией национальных организаций по стандартизации, обеспечивает разработку и поддержку международных стандартов в сфере коммуникаций и обмена информацией. - Прим. ред.