La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Dependability: Concetti base e terminologia Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena.

PubblicatoImmacolata Sole Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Dependability: Concetti base e terminologia Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena."— Transcript della presentazione:

1 Dependability: Concetti base e terminologia Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena

2 Introduzione Dependability affidabilitàdisponibilitàsicurezzaprotezione n La Dependability (garanzia di funzionamento) di un sistema di calcolo include gli attributi di affidabilità, disponibilità, sicurezza e protezione. n Le linee guida che ispirano la presentazione possono essere riassunte come segue: –Ricerca di un numero ridotto di concetti capaci di esprimere gli attributi della dependability; –Dove possibile, uso di termini identici o simili a quelli generalmente usati; di regola un termine il cui significato non sia altrimenti specificato corrisponde a quanto reperibile in un qualsiasi dizionario; –Enfasi sullintegrazione (di contro alla specializzazione) delle definizioni, allo scopo di caratterizzare una classe di guasti.

3 Definizioni di base 1 credibilità n La dependability può essere definita come la credibilità di un sistema di calcolo, ovvero il grado di fiducia che può essere ragionevolmente riposto nei servizi che esso offre. servizio così come viene percepitoutente n Il servizio offerto da un sistema di calcolo è rappresentato dal suo comportamento così come viene percepito dagli utenti; l'utente, umano o fisico, rappresenta un sistema distinto che interagisce con il sistema di calcolo. n In dipendenza dai servizi che il sistema è chiamato a svolgere, più o meno enfasi può essere data ai vari attributi che vanno a fondersi nel concetto di dependability, ovvero la garanzia di funzionamento può essere interpretata in relazione a proprietà distinte, ma complementari, richieste al sistema.

4 Definizioni di base 2 rapidità di rispostaprontezza duso disponibile n In relazione alla rapidità di risposta, o prontezza duso, un sistema dependable (a funzionamento garantito) è rapidamente disponibile. continuità di servizio affidabile n In relazione alla continuità di servizio, un sistema dependable è affidabile. garanzia di evitare situazioni catastrofiche sull'ambientesicuro n In relazione alla garanzia di evitare situazioni catastrofiche sull'ambiente, un sistema dependable è sicuro. prevenzione di accessi non autorizzati e/o manipolazioni di informazioni private protetto n In relazione alla prevenzione di accessi non autorizzati e/o manipolazioni di informazioni private, un sistema dependable è protetto. fallimentosystem failure errore guasto n Una situazione di fallimento (system failure ) si verifica quando i servizi offerti non corrispondono più alle specifiche preventivamente imposte al sistema. Un errore è quella parte dello stato del sistema esposta a provocare successivi failure: un errore di servizio è un'indicazione che un guasto è in atto, ovvero il/la pregresso/causa ipotizzata di un errore è un guasto.

5 Definizioni di base 3 n Lo sviluppo di un sistema di calcolo a funzionamento garantito presuppone l'utilizzo combinato di un insieme di metodi che sono relativi alla risoluzione delle seguenti problematiche: –Prevenzione dai guastifault prevention –Prevenzione dai guasti (fault prevention ): come possono essere prevenute le occorrenze di guasti; –Tolleranza ai guastifault tolerance –Tolleranza ai guasti (fault tolerance ): come garantire un servizio che si mantenga conforme alle specifiche, nonostante i guasti; –Eliminazione del guastofault removal –Eliminazione del guasto (fault removal ): come ridurre l'occorrenza (numero, gravità) dei guasti; –Predizione di guastifault forecasting –Predizione di guasti (fault forecasting ): come stimare il numero, la frequenza di incidenza, presente e futura, e le conseguenze dei guasti.

6 Definizioni di base 4 conseguimento n Le tecniche di prevenzione e di tolleranza ai guasti garantiscono il conseguimento della dependability: come assicurare al sistema la capacità di fornire un servizio sempre fedele alle specifiche. validazione n Le tecniche per evitare/prevedere i guasti rappresentano invece la validazione della dependability: come essere ragionevolmente confidenti nella capacità del sistema di fornire un servizio secondo specifiche. valutazione n La fiducia ragionevolmente riposta nella stabilità di comportamento del sistema è basata sulla valutazione del sistema, condotta primariamente in relazione agli attributi di dependability che sono pertinenti ai particolari servizi richiesti.

7 Definizioni di base 5 n Le nozioni finora introdotte possono essere raggruppate nelle seguenti tre categorie: impedimenti –Gli impedimenti alla dependability: guasti, errori, insuccessi (failure); sono circostanze indesiderabili ma, in linea di principio, non inaspettate, che sono cause/effetti di comportamenti non dependable del sistema; mezzi –I mezzi per la dependability: prevenzione dai guasti, tolleranza ai guasti, eliminazione del guasto, previsione del guasto: sono metodi e tecniche capaci di prevedere servizi degni di fiducia e acquisire confidenza progressiva nell'affidabilità del sistema; attributi –Gli attributi della dependability: disponibilità, affidabilità, sicurezza e protezione: servono ad esprimere le caratteristiche attese del sistema ed a formalizzarne le specifiche.

8 Dependability: impedimenti, mezzi, attributi Impedimenti Mezzi Attributi Fault (guasto): guasto di un componente del sistema Error (errore): stato non corretto del sistema Failure (fallimento): il sistema non fornisce più il servizio Fault prevention (prevenzione): sovradimensionamento o qualità superiore dei componenti Fault tolerance (tolleranza): metodi per fornire il servizio anche in caso di guasto Fault removal (rimozione): debugging hardware e software Fault forecasting (previsione): valutazione dei guasti inevitabili Reliability (affidabilità): sistema pronto ad essere usato Availability (disponibilità): sistema che fornisce continuità di servizio Safety: assenza di conseguenze catastrofiche Security: assenza di intrusioni Dependability Validazione Conseguimento

9 La dependability 1 affidabilitàdisponibilitàsicurezza protezione n In relazione ai concetti di affidabilità, disponibilità, sicurezza e protezione… –Inizialmente fu sentita l'esigenza di garantire sistemi di calcolo affidabili; –Nel momento in cui i sistemi di elaborazione sono divenuti affidabili, i loro servizi sono stati usati e richiesti su base regolare: la loro disponibilità è divenuta essenziale; –L'utilizzo di sistemi di calcolo per applicazioni critiche ha introdotto linteresse per la sicurezza; il sistema più sicuro è spesso quello che ha maggiori limiti di utilizzo chi si occupava di sicurezza era portato a considerare laffidabilità come un sottoproblema del problema della sicurezza; –Infine, l'avvento dei sistemi distribuiti ha esacerbato il problema della protezione. Un sistema protetto deve comunque eseguire certe funzioni; inoltre eventuali violazioni alla protezione possono risultare catastrofiche coloro che studiano la protezione dei sistemi hanno quindi sviluppato la tendenza a credere che affidabilità e sicurezza siano solo sottoproblemi del problema fondamentale della protezione.

10 La dependability 2 n I legami fra i concetti di affidabilità, sicurezza e protezione sono molto più complessi di una semplice relazione di dipendenza. softbomb n Si considerino, come esempio, le cosiddette softbomb (bombe a tempo), cioè il guasto deliberatamente introdotto nel sistema di calcolo per provocare, in un momento preciso scelto dal terrorista, e sotto il suo stretto controllo, un system failure, preferibilmente di conseguenze ritenute dall'utente non catastrofiche (fino a che non acquista coscienza delle cause). n Lesempio lega l'affidabilità del sistema, la sua sicurezza e protezione, secondo modalità complesse che possono essere percepite in maniera diversa da utenti distinti. n Comunque, l'utente non può, né deve, riporre fiducia nei servizi offerti dal sistema, che non è dependable.

11 Funzione, comportamento, struttura e specifica del sistema 1 sistema n Un sistema è unentità che ha interagito o interferito, interagente o interferente, o in grado di interagire o interferire con altre entità, cioè con altri sistemi. ambiente n Gli altri sistemi sono stati, sono o saranno lambiente del sistema considerato. utente uso del servizio n Un utente del sistema è quella parte dellambiente che interagisce con il sistema: lutente fornisce ingressi e/o riceve uscite dal sistema, avendo come caratteristica distintiva luso del servizio fornito dal sistema. funzioneè inteso fare n La funzione di un sistema è ciò che il sistema è inteso fare. comportamentofa n Il comportamento di un sistema è ciò che il sistema fa. strutturagli fa fare ciò che fa n La struttura del sistema è ciò che gli fa fare ciò che fa.

12 Funzione, comportamento, struttura e specifica del sistema 2 componente n Un sistema, dal punto di vista strutturale, è un insieme di componenti collegati per poter interagire. Un componente è un altro sistema, che incorpora le interrelazioni dei componenti di cui è composto. La struttura del sistema è a stati n In un sistema possono verificarsi variazioni strutturali causate da, o risultanti da, impedimenti alla garanzia di funzionamento. La struttura del sistema è a stati. stato n Uno stato è una condizione di essere rispetto ad un insieme di circostanze, o di comportamenti o di strutture. astrazione n Dalla sua definizione, il servizio fornito da un sistema è una astrazione del comportamento del sistema. n Un sistema, in generale, esegue più di una funzione e fornisce più di un servizio.

13 Funzione, comportamento, struttura e specifica del sistema 3 funzioneservizio in tempo reale dettati dallambiente n Una funzione o servizio in tempo reale è una funzione o servizio che deve essere fornito entro intervalli di tempo dettati dallambiente. sistema in tempo reale n Un sistema in tempo reale esegue almeno una funzione in tempo reale o fornisce almeno un servizio in tempo reale. specifica n La specifica di un sistema descrive ciò che ci si aspetta che un sistema faccia in termini di… –…funzione attesa e/o servizio atteso; –…condizioni in cui, o sotto cui, essi devono essere eseguiti: ambiente, prestazioni, osservabilità, etc. dovrebbe n La funzione e/o il servizio sono prima specificati in termini di ciò che dovrebbe essere eseguito o fornito per realizzare gli scopi primari del sistema. non dovrebbe n Quando si considerano sistemi con garanzie di sicurezza e protezione, la specifica è completata con ciò che non dovrebbe accadere.

14 Funzione, comportamento, struttura e specifica del sistema 4 n Le specifiche possono essere… –…espresse in accordo a diversi gradi di dettaglio: specifica dei requisiti, specifica di progetto, specifica di realizzazione, etc. nominale degradato –…decomposte in accordo allassenza o alla presenza di malfunzionamenti di componenti; il primo caso si riferisce al modo di operazione nominale mentre il secondo è in relazione al modo di operazione degradato, se le risorse rimanenti non sono sufficienti a fornire il servizio nominale. n Un sistema può fallire rispetto ad alcune specifiche, mantenendosi conforme ad altre. n È essenziale che le specifiche del sistema vengano concordate fra due persone o enti legali: il fornitore del sistema (progettista, costruttore, venditore) ed il suo utente umano.

15 Funzione, comportamento, struttura e specifica del sistema 5 n Non si può pretendere che una specifica sia immutabile, una volta stabilita. n I cambiamenti possono essere motivati dalla modifica dei requisiti del sistema: modifiche della funzione e/o del servizio, o correzione di qualche guasto. n Le nozioni di funzione, di servizio e della loro specifica si applicano ugualmente ai componenti del sistema: in fase di progetto, quando si inseriscono nel sistema componenti commerciali, sia hardware che software, linteresse del progettista può focalizzarsi sulla funzione/servizio che sono in grado di offrire, piuttosto che sulle loro caratteristiche strutturali.

16 Gli impedimenti alla dependability: I guasti 1 naturaorigine persistenza n I guasti e le loro cause possono essere molto diversi; vengono classificati secondo la loro natura, origine e persistenza. natura n La natura dei guasti porta a distinguere: –Guasti accidentaliaccidental faults –Guasti accidentali (accidental faults ), che si verificano o sono creati fortuitamente; –Guasti intenzionaliintentional faults –Guasti intenzionali (intentional faults ), che sono creati deliberatamente, eventualmente con scopi malevoli.

17 Gli impedimenti alla dependability: I guasti 2 origine n Lorigine dei guasti porta a distinguere: cause fenomenologiche –Le cause fenomenologiche che implicano… Guasti fisiciphisical faults…Guasti fisici (phisical faults ), che sono dovuti a fenomeni fisici avversi; Guasti causatidalluomohuman–made faults…Guasti causati dalluomo (human–made faults ), che sono dovuti allimperfezione umana; confini del sistema –I confini del sistema che implicano… Guasti interniinternal faults…Guasti interni (internal faults ), che sono parti dello stato del sistema che, quando richiamate dallattività di elaborazione, produrranno un errore; Guasti esterniexternal faults…Guasti esterni (external faults ), che derivano dallinterferenza dellambiente fisico nel sistema (perturbazioni elettromagnetiche, radiazioni, temperatura, vibrazioni, etc.) o dallinterazione con lambiente umano; fase di creazione –La fase di creazione rispetto alla vita del sistema che implica… Guasti di progetto design faults…Guasti di progetto (design faults ), che derivano da imperfezioni che si verificano durante lo sviluppo del sistema o per modifiche successive; Guasti operativioperational faults…Guasti operativi (operational faults ), che si verificano durante luso del sistema.

18 Gli impedimenti alla dependability: I guasti 3 persistenza n La persistenza dei guasti porta a distinguere: –Guasti permanentipermanent faults –Guasti permanenti (permanent faults ), la cui presenza non è in relazione a condizioni temporali puntuali, siano esse interne (attività di elaborazione) o esterne (ambiente); –Guasti temporaneitemporary faults –Guasti temporanei (temporary faults ), la cui presenza è in relazione a condizioni temporali puntuali; sono pertanto rilevabili per un periodo limitato di tempo. causati dalluomo n Le violazioni alla protezione del sistema sono dovute (ma non limitate) a guasti intenzionali, che sono chiaramente causati dalluomo; i guasti possono essere sia interni che esterni; esempi tipici sono: logica maliziosa di progetto –Per quanto riguarda i guasti interni, linserimento di logica maliziosa (per es., i cavalli di Troia ), che sono un guasto di progetto intenzionale; intrusione operativo esterno –Per quel che riguarda i guasti esterni, una intrusione, che è un guasto operativo esterno.

19 Gli impedimenti alla dependability: I guasti 4 n I guasti intenzionali possono avvantaggiarsi dei guasti accidentali; ad esempio, unintrusione che sfrutta una breccia nella protezione causata da un guasto accidentale di progetto. cause fenomenologiche causa che si intende prevenire o tollerare n Introdurre le cause fenomenologiche nel criterio di classificazione dei guasti può portare ad una definizione ricorsiva di guasto: la ricorsione termina alla causa che si intende prevenire o tollerare. n Questo punto di vista è consistente con la distinzione fra guasti fisici e causati dalluomo: un sistema di elaborazione è un oggetto fatto dalluomo e, come tale, qualsiasi guasto che si verifichi è, in ultima analisi, causato dalluomo, poiché rappresenta lincapacità umana a dominare tutti i fenomeni che governano il comportamento di un sistema.

20 Gli impedimenti alla dependability: I guasti 5 un guasto al sistema è la conseguenza di un fallimento di un altro sistema che ha fornito o sta fornendo un servizio al sistema in oggetto n Se la ricorsione nella definizione di guasto non viene terminata, un guasto al sistema è la conseguenza di un fallimento di un altro sistema che ha fornito o sta fornendo un servizio al sistema in oggetto. Infatti… –…un guasto di progetto deriva da un fallimento del progettista; –…un guasto fisico interno è dovuto al malfunzionamento di un componente hardware, che a sua volta è conseguenza di un errore a livello elettrico o elettronico, a sua volta originato da disordini fisico–chimici, a loro volta originati dalla produzione dellhardware, o dai limiti della nostra conoscenza nella fisica dei semiconduttori; –…un guasto esterno fisico o causato dalluomo è di fatto un guasto di progetto: lincapacità di prevedere tutte le situazioni che il sistema incontrerà durante la sua vita operativa, o il rifiuto di considerare alcune di esse, ad esempio per ragioni economiche.

21 Gli impedimenti alla dependability: I guasti 6 persistenza temporale n Il punto di vista della persistenza temporale merita i seguenti commenti: guasti transitoritransient faults –I guasti esterni temporali che originano dallambiente fisico sono spesso chiamati guasti transitori (transient faults ); guasti intermittentiintermittent faults –I guasti interni temporanei sono spesso chiamati guasti intermittenti (intermittent faults ); tali guasti derivano dalla presenza di combinazioni di condizioni che si verificano raramente; esempi sono guasti sensibili allo schema in memorie a semiconduttore; cambiamenti dei parametri in un componente hardware; situazioni che si verificano quando il carico del sistema raggiunge livelli critici. –I guasti transienti sono di fatto guasti permanenti la cui condizione di attivazione non può essere riprodotta, o può verificarsi solo molto raramente. n Qualunque guasto può essere considerato un guasto di progetto permanente n Qualunque guasto può essere considerato un guasto di progetto permanente.

22 Le classi di guasti Natura Guasti causati dalluomo Guasti Origine Persistenza Confini del sistema Causa fenomenologica Fase di creazione Guasti permanenti Guasti esterni Guasti temporanei Guasti intenzionali Guasti interni Guasti accidentali Guasti operativi Guasti fisici Guasti di progetto

23 Le classi di guasti che risultano da combinazioni Guasti accidentali Guasti intenzionali Guasti fisici Guasti causati dalluomo Guasti interni Guasti esterni Guasti di progetto Guasti operativi Guasti permanenti Guasti temporanei Guasti fisici Guasti transitori Guasti intermittenti Guasti di progetto Guasti di interazione Logica maliziosa Intrusioni Origine NomeNaturaPersistenza Fase di creazione Causa Fenomenologica Confini del sistema

24 Gli impedimenti alla dependability: Gli errori n Un errore è il responsabile dellevoluzione del sistema verso un fallimento successivo. n Se un errore porterà effettivamente ad un fallimento dipende da tre fattori principali: –La composizione del sistema e la natura della ridondanza esistente: Ridondanza intenzionaleRidondanza intenzionale (introdotta per fornire tolleranza al guasto), che è esplicitamente intesa per prevenire che un errore conduca ad un fallimento; Ridondanza non intenzionaleRidondanza non intenzionale (è difficile costruire un sistema che ne è privo), che può avere lo stesso risultato, non atteso, della ridondanza intenzionale. –Lattività del sistema: un errore può essere compensato prima di provocare un danno. –La definizione di un fallimento dal punto di vista dellutente: ciò che è un fallimento per un dato utente può essere una sopportabile noia per un altro.

25 Gli impedimenti alla dependability: I fallimenti 1 n Un sistema non può fallire, e generalmente non fallisce, sempre nello stesso modo. n I modi in cui un sistema può fallire sono i suoi modi di fallimento, che possono essere caratterizzati secondo tre punti di vista: dominio, percezione da parte dellutente del sistema e conseguenze sullambiente. dominio di fallimento n Dal punto di vista del dominio di fallimento possono essere distinti: –Fallimenti nel valore –Fallimenti nel valore: il valore del servizio fornito non è conforme alla specifica; –Fallimenti nel tempo –Fallimenti nel tempo: la temporizzazione della fornitura del servizio non è conforme alla specifica. fallimenti arbitrari n Tali definizioni generali (non conformità alla specifica) si applicano a fallimenti arbitrari.

26 Gli impedimenti alla dependability: I fallimenti 2 n Si possono fare distinzioni più sottili riguardo ai modi di fallimento nel tempo, che attestano quando un servizio è stato fornito troppo presto o troppo tardi: –Fallimento nel tempo per anticipoearly timing failures –Fallimento nel tempo per anticipo (early timing failures ); –Fallimento nel tempo per ritardoearly timing failures –Fallimento nel tempo per ritardo (early timing failures ). fallimenti con bloccostopping failures n Una classe di fallimenti che si riferisce sia al dominio del valore che del tempo sono i fallimenti con blocco (stopping failures ): lattività del sistema non è più percepibile dagli utenti e viene fornito un servizio a valore costante (lultimo valore corretto, un valore predeterminato, etc.). fallimento per omissioneomission failures n Un caso particolare di fallimento per blocco è il fallimento per omissione (omission failures ): non viene fornito alcun servizio.

27 Gli impedimenti alla dependability: I fallimenti 3 n Un fallimento per omissione è un caso limite comune sia per fallimenti nel valore (valore nullo), che per fallimenti nel tempo (fallimento per ritardo infinito). crash n Un fallimento per omissione persistente è un crash. sistema fail–stop n Un sistema i cui fallimenti possono essere solamente fallimenti con blocco è un sistema fail–stop. sistema fail–silent n Un sistema i cui fallimenti possono essere solamente fallimenti per omissione persistente è un sistema fail–silent.

28 Gli impedimenti alla dependability: I fallimenti 4 percezione del fallimento n Quando un sistema ha diversi utenti, dal punto di vista della percezione del fallimento, si possono distinguere: –Fallimenti consistenticonsistent failures –Fallimenti consistenti (consistent failures ): tutti gli utenti del sistema hanno la stessa percezione dei fallimenti; –Fallimenti inconsistentiinconsistent failures –Fallimenti inconsistenti (inconsistent failures ): gli utenti del sistema possono avere percezioni differenti di un dato fallimento; fallimenti bizantini –I fallimenti inconsistenti sono usualmente chiamati fallimenti bizantini.

29 Gli impedimenti alla dependability: I fallimenti 5 gravità n La gravità del fallimento risulta dalle conseguenze dei fallimenti sullambiente del sistema. n Esistono sistemi i cui modi di fallimento possono essere raggruppati in due classi di gravità considerevolmente differenti: –Fallimenti benigni –Fallimenti benigni, per cui le conseguenze sono dello stesso ordine di grandezza (in genere in termini di costo) del beneficio prodotto dal servizio fornito in assenza di fallimento; –Fallimenti catastrofici –Fallimenti catastrofici, per cui le conseguenze sono incommensurabilmente più grandi del beneficio prodotto dal servizio fornito in assenza di fallimento. fail–safe n Un sistema i cui fallimenti possono essere soltanto benigni è un sistema fail–safe. criticità n La criticità di un sistema è la gravità più elevata dei suoi possibili modi di fallimento.

30 ESEMPIO ESEMPIO n I livelli di criticità accettati in avionica sono definiti come segue: –CRITICO –CRITICO: funzioni per le quali loccorrenza di un qualsiasi fallimento impedisce la continuazione non pericolosa del volo e dellatterraggio dellaereo; –ESSENZIALE –ESSENZIALE: funzioni per cui loccorrenza di un qualsiasi fallimento riduce la capacità dellaereo o la possibilità dellequipaggio a fronteggiare condizioni operative avverse; –NON ESSENZIALE –NON ESSENZIALE: funzioni per cui un fallimento non degrada significativamente la capacità dellaereo o la capacità di azione dellequipaggio.

31 Patologia del guasto 1 n I meccanismi di creazione e manifestazione di guasti, errori e fallimenti possono riassumersi come segue. n GUASTI: attivoactive inattivodormant –Un guasto è attivo (active ) quando produce un errore. Un guasto attivo è o un guasto interno che era in precedenza inattivo (dormant ) e che è stato attivato dal processo di elaborazione, o un guasto esterno; –La maggior parte dei guasti interni può ciclare fra lo stato attivo e lo stato inattivo; –I guasti fisici possono influenzare direttamente soltanto i componenti hardware; –I guasti causati dalluomo possono influenzare qualsiasi componente. … Fallimento Guasto Errore Fallimento Guasto …

32 Patologia del guasto 2 n ERRORI: latente latent rilevatodetected –Un errore può essere latente o rilevato. Un errore è latente (latent ) quando non è stato riconosciuto come tale; un errore è rilevato (detected ) da un algoritmo o meccanismo di rilevamento; –Un errore può scomparire prima di essere rilevato; –Un errore può propagarsi e, in generale, si propaga; propagandosi crea altri errori. n FALLIMENTI: –Un fallimento si verifica quando un errore attraversa linterfaccia sistema–utente ed influenza il servizio fornito dal sistema; –Il fallimento di un componente da luogo ad un guasto nel sistema che lo contiene e dal punto di vista degli altri componenti con cui interagisce; –I modi di fallimento del componente divengono tipi di guasto per i componenti che interagiscono con esso.

33 Patologia del guasto 3 n ESEMPI n ESEMPI: guasto inattivo attivo errore fallimento –Il risultato di un errore di un programmatore è un guasto (inattivo ) nel software (istruzioni o dati guasti); alla attivazione (ad es., attivando listruzione guasta), il guasto diviene attivo e produce un errore; se e quando il dato erroneo influenza il servizio fornito, si verifica un fallimento; fallimento guasto –Un corto circuito che si verifica in un circuito integrato è un fallimento (rispetto alla specifica di servizio del circuito); la conseguenza è un guasto che rimarrà inattivo finché il circuito non viene utilizzato, etc.;

34 Patologia del guasto 4 n ESEMPI: guasto –Una perturbazione elettromagnetica di sufficiente energia è un guasto, che può: erroreCreare direttamente un errore, ad esempio per interferenza elettromagnetica con le cariche elettriche che circolano nei conduttori; guasto erroriguastiCreare un ulteriore guasto interno; ad esempio, se la perturbazione agisce sullingresso di memoria in posizione di scrittura cambiando il valore di alcune cifre binarie, questi errori rimarranno come guasti di memoria, e si manterranno inattivi finché la posizione di memoria non viene letta; guasto errore –Una interazione scorretta uomo–macchina eseguita da un operatore è un guasto (dal punto di vista del sistema); il dato alterato, quando elaborato, è un errore; errore guasto –Un errore di chi scrive un manuale di manutenzione o operativo può dar luogo ad un guasto nel manuale (direttive sbagliate) che rimane inattivo finché il manuale non viene consultato.

35 Patologia del guasto 5 n I guasti causati dalluomo possono essere accidentali o intenzionali. n Lesempio relativo allerrore del programmatore e le sue conseguenze possono essere rifrasati come segue: bomba logica –Una bomba logica viene creata da un programmatore malizioso; –Essa rimarrà inattiva fino a quando un evento non ne provocherà lattivazione (presumibilmente in un momento predeterminato); –Essa introdurrà un errore che può portare ad utilizzo illecito della memoria o al rallentamento dei processi in esecuzione; rifiuto di servizio –Si verificherà un rifiuto di servizio, un tipo particolare di fallimento.

36 Patologia del guasto 6 n Un fallimento risulta spesso dallazione combinata di diversi guasti, in particolare quando si considerino argomenti connessi alla protezione di un sistema. n Un passaggio–trappola (cioè qualche mezzo per superare il controllo daccesso) che sia inserito in un sistema di elaborazione, accidentalmente o intenzionalmente, è un guasto di progetto. n Il guasto può rimanere inattivo fino a quando qualche persona maliziosa fa uso di esso per introdursi nel sistema: una connessione intrusiva è un guasto di interazione intenzionale. n Quando lintruso è connesso può deliberatamente creare un errore, ad esempio modificando il contenuto dei file (attacco allintegrità). n Quando il file viene usato da un utente autorizzato, verrà influenzato il servizio, e si verificherà un fallimento.

37 Stima dellaffidabilità 1 n Definizione di Affidabilità n Definizione di Affidabilità Laffidabilità di un sistema è la misura del tempo continuativo in cui viene fornito un servizio corretto. n Definizione di Distribuzione dellAffidabilità n Definizione di Distribuzione dellAffidabilità La distribuzione dellaffidabilità R(T) di un sistema è definita come la probabilità condizionale che il sistema funzioni correttamente nellintervallo [t 0,t], se era correttamente funzionante al tempo t 0. n Supponiamo di avere N componenti identici e di metterli in funzione al tempo t 0. Sia N f (t) il numero di componenti guasti al tempo t e N o (t) il numero dei componenti operativi allo stesso tempo (N f (t)+N o (t)=N). Supponendo che un componente guasto rimanga guasto per sempre, la distribuzione di affidabilità dei componenti è data da R(t) = N o (t)/N = N o (t)/(N o (t)+N f (t))

38 Stima dellaffidabilità 2 n R(t) esprime la probabilità che un componente, correttamente funzionante al tempo t 0, sia correttamente funzionante al tempo t. n R(t) è una funzione monotona decrescente con valore iniziale 1. non affidabilità unreliability n In modo analogo possiamo esprimere la non affidabilità (unreliability ) di un componente, denotata con F(t). n In ogni momento, vale R(t)+F(t)=1. n F(t) denota la distribuzione del tempo di fallimento del sistema. n Definizione di Tasso di Fallimento failure rate n Definizione di Tasso di Fallimento Il tasso di fallimento (failure rate ) di un sistema è il numero di fallimenti nellunità di tempo. F(t) = N f (t)/N = N f (t)/(N o (t)+N f (t))

39 Stima dellaffidabilità 3 n Lesperienza ha mostrato che il tasso di fallimento di un componente elettronico evolve secondo la figura a lato. n Durante i primi anni di vita del componente, i fallimenti occor- rono frequentemente, principal- mente legati alla presenza di componenti difettosi. infant mortality n La parte decrescente della funzione è chiamata la regione della infant mortality. wear–out n La parte finale della curva (la regione wear–out ) invece rappresenta il verificarsi di fallimenti dopo che il sistema è rimasto funzionante per molto tempo. useful life period n Nella regione intermedia, il tasso di fallimento è costante: è il periodo di vita utile di un componente (useful life period ). Tempo Distribuzione dellaffidabilità

40 Stima dellaffidabilità 4 n Il tasso di fallimento è denotato dal simbolo. Normalmente, è espresso in fallimenti per ore. Se assumiamo un fallimento ogni 2000 ore di funzionamento allora = 1/2000. n La funzione di distribuzione dellaffidabilità può essere riscritta come: n Calcolando la derivata di R(t) nel tempo, otteniamo: R(t) = 1-F(t) = 1-N f (t)/N da cui dR(t)/dt = (-1/N) dN f (t)/dt dN f (t)/dt = -N dR(t)/dt

41 Stima dellaffidabilità 5 n La derivata dN f (t)/dt è il tasso istantaneo di fallimento di un componente. n Al tempo t, vi sono N o (t) componenti funzionanti; dividendo dN f (t)/dt per N o (t), si ottiene: distribuzione del fallimento nel tempofailure rate function n La funzione z(t) è chiamata funzione di distribuzione del fallimento nel tempo (failure rate function ). Lunità di misura per z(t) sono i fallimenti nellunità di tempo. n La relazione fra la funzione z(t) e la funzione di distribuzione dellaffidabilità è z(t) = (1/N o (t)) dN f (t)/dt dato che N/N o (t) è linversa della funzione R(t). z(t) = (-N/N o (t)) dR(t)/dt = (-1/R(t)) dR(t)/dt

42 Stima dellaffidabilità 6 n Il risultato è unequazione differenziale della forma: legge di fallimento esponenziale n La relazione esponenziale, fra la funzione di distribuzione dellaffidabilità ed il tempo, è conosciuta come legge di fallimento esponenziale, e afferma che, se il tasso di fallimento è costante, laffidabilità varia esponenzialmen- te in funzione del tempo. n La funzione F(t) può essere riscritta come F(t) = 1-e - t. che, a regime, con tasso di fallimento costante, ha soluzione R(t) = e - t dR(t)/dt = -z(t)R(t)

Scaricare ppt "Dependability: Concetti base e terminologia Monica Bianchini Dipartimento di Ingegneria dellInformazione Università degli Studi di Siena."

Presentazioni simili

Il raffinamento dello schema e la normalizzazione nei database relazionali Eugenio Di Sciascio.

Il raffinamento dello schema e la normalizzazione nei database relazionali Eugenio Di Sciascio.
Corso aggiornamento ASUR10

Corso aggiornamento ASUR10
4 – Progettazione – Introduzione e Modello E-R

4 – Progettazione – Introduzione e Modello E-R
1 Istruzioni, algoritmi, linguaggi. 2 Algoritmo per il calcolo delle radici reali di unequazione di 2 o grado Data lequazione ax 2 +bx+c=0, quali sono.

1 Istruzioni, algoritmi, linguaggi. 2 Algoritmo per il calcolo delle radici reali di unequazione di 2 o grado Data lequazione ax 2 +bx+c=0, quali sono.
La Modifica dei Dati in una Base Dati La modifica dei dati contenuti allinterno di una base dati è unoperazione delicata Infatti, ogni potenziale problema.

La Modifica dei Dati in una Base Dati La modifica dei dati contenuti allinterno di una base dati è unoperazione delicata Infatti, ogni potenziale problema.
1 14. Verifica e Validazione Come assicurarsi che il software corrisponda alle necessità dellutente? Introdurremo i concetti di verifica e validazione.

1 14. Verifica e Validazione Come assicurarsi che il software corrisponda alle necessità dellutente? Introdurremo i concetti di verifica e validazione.
DIFFICOLTA’ DEL LINGUAGGIO

DIFFICOLTA’ DEL LINGUAGGIO
Il Software: Obiettivi Programmare direttamente la macchina hardware è molto difficile: lutente dovrebbe conoscere lorganizzazione fisica del computer.

Il Software: Obiettivi Programmare direttamente la macchina hardware è molto difficile: lutente dovrebbe conoscere lorganizzazione fisica del computer.
Gestione dei dati e della conoscenza (agenti intelligenti) M.T. PAZIENZA a.a. 2009-2010.

Gestione dei dati e della conoscenza (agenti intelligenti) M.T. PAZIENZA a.a
Sistemi basati su conoscenza (agenti intelligenti) Prof. M.T. PAZIENZA a.a. 2005-2006.

Sistemi basati su conoscenza (agenti intelligenti) Prof. M.T. PAZIENZA a.a
Sistemi basati su conoscenza Conoscenza e ragionamento Prof. M.T. PAZIENZA a.a. 2001-2002.

Sistemi basati su conoscenza Conoscenza e ragionamento Prof. M.T. PAZIENZA a.a
L’uso dei database in azienda

L’uso dei database in azienda
TEORIA RAPPRESENTAZIONALE DELLA MISURA

TEORIA RAPPRESENTAZIONALE DELLA MISURA
VALUTAZIONE DEI RISCHI

VALUTAZIONE DEI RISCHI
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Algoritmi e Strutture Dati Capitolo 2 Modelli di calcolo e metodologie.

Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Algoritmi e Strutture Dati Capitolo 2 Modelli di calcolo e metodologie.
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.

IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Premessa generale alla valutazione dei rischi

Premessa generale alla valutazione dei rischi
Definizione parole-chiave Progetto RAP.

Definizione parole-chiave Progetto RAP.
CORSO DI MODELLI DI SISTEMI BIOLOGICI LAUREA IN INGEGNERIA CLINICA E BIOMEDICA.

CORSO DI MODELLI DI SISTEMI BIOLOGICI LAUREA IN INGEGNERIA CLINICA E BIOMEDICA.
Struttura dei sistemi operativi (panoramica)

Struttura dei sistemi operativi (panoramica)

Presentazioni simili

Annunci Google