讨论:系统可信性——工业用软件系统的可靠性与安全性

christina_pc

《计算机学报》可信计算专辑征文通知
来源：中国可信计算网
作者：ctcg
原文：《计算机学报》可信计算专辑征文通知《计算机学报》可信计算专辑
（2007年第10期）征文通知

80年代以来，随着PC机的普及和因特网的大发展，信息传输、处理的安全、可靠对每一个人都至关重要。安全可靠的电子商务、电子政务对经济社会发展、国家的安全稳定有着重要意义。世界各国政府、学术界和企业界都高度重视可信计算的研究与开发。我国也加强了可信计算基础理论和自主关键技术的研发。可信计算已成为计算机学科的一个热点研究领域。《计算机学报》特别推出可信计算专辑，总结可信计算领域的热点问题和现状，展现可信计算领域的重大科技成果，开拓可信计算领域的新方向和新的解决方案。

可信计算专辑将在《计算机学报》2007年第10期出版，本专辑将收录国内外可信计算领域具有创新性、突破性的研究成果。本专辑面向国内外征集论文，欢迎广大学者、专家、工程技术人员踊跃投稿。


专辑题目：可信计算

特邀编委：闵应骅（中国科学院计算技术研究所）

冯登国（中国科学院软件研究所）


征文范围　


可信计算专辑重点征集以下几方面的学术论文（不限于）：

l故障检测，包括集成电路测试，软件测试，系统测试，网络测试，入侵检测，在线检测和恢复技术等。

l容错技术，包括硬件冗余，软件冗余，纠错编码，远程备份，自修复，软件可靠性工程等。

l信息安全，包括密码系统，密钥管理，认证，授权，审计，网络攻击模型，攻击预防，应急处理等。

l基于测量、分析和模拟的可信性评估技术、工具和结果，包括可靠性、可用性、安全性、健壮性、可生存性的认证与测量和实验研究。

l可信的系统与网络，包括可信、安全、自修复系统结构，容错和安全的中间件，高速网络和协议的可信性，可生存的数据库系统，事务处理系统，分布式系统，实时系统，多媒体系统的容错，网络可信性，容侵和可生存系统。

passway

找到了比较标准的说法了！
1、可用性availability
产品在任一随机时刻需要和开始执行任务时，处于可工作或可使用状态的程度。可用性的概率度量亦称可用度。

产品在任务开始时的状态取决于与战备完好性有关的系统可靠性和维修性参数的综合影响，但不包括任务时间。(GJB451-90)产品在某一未知(随机)的时刻，当要求完成其任务时，在任务开始时处于能工作和可使用状态的程度的一种度量。(其考虑的时间包括工作时间、有效修理时间、管理时间和后勤时间，但不包括任务时间。)(防务采办术语-98、MIL-HDBK-338A-87)
编者注：可用性与战备完好性的主要区别在于所考虑的时间。可用性由能工作时间和不能工作时间来定义，不能工作时间包括实际修理时间、行政管理时间和后勤延误时间；战备完好性除了考虑可用性的时间外，还应包括空闲时间和储存时间，即全部日历时间。同时，系统的修复性维修时间在计算可用度时，作为不能工作时间计算，但在计算战备完好率时，只要该维修时间小于到执行下一次任务的等待时间，就不影响战备完好率。因此，在许多实际军事行动中，采用战备完好率更为合适。
2、固有可用度inherentavailability(Ai)
仅与工作时间和修复性维修时间有关的一种可用性参数。其一种度量方法为：产品的平均故障间隔时间与平均故障间隔时间和平均修复时间的和之比。(GJB451-90)
仅考虑工作时间和修复性维修的系统可用度。它忽略了与预防性维修、行政及后勤有关的等待和延误时间。(防务采办术语-98)
编者注：固有可用度是承制方在系统研制过程中可控制的参数，可作为合同参数，适用于系统的论证和方案阶段。
3、可达可用度achievedavailability(Aa)
仅与工作时间、修复性维修和预防性维修时间有关的一种可用性参数。其一种度量方法为：产品的工作时间与工作时间、修复性维修时间、预防性维修时间的和之比。(GJB451-90)
编者注：Aa除了考虑Ai的时间外还考虑预防性维修时间,但不考虑使用和保障的影响，适用于工程研制阶段。


4、使用可用度operationalavailability(Ao)


装备或武器系统当需要时能够正常工作的程度。其表达式为能工作时间与能工作时间、不能工作时间之和的比。它是战备完好性目标与保障性之间的定量联系。(防务采办术语-98)
与能工作时间和不能工作时间有关的一种可用性参数。其一种度量方法为：产品的能工作时间与能工作时间、不能工作时间的和之比。(GJB451-90)
编者注：Ao考虑系统的固有可靠性、维修性及测试性、预防性维修和修复性维修，以及管理、使用和保障等各种因素的影响。它能够真实反映系统在外场使用环境下所具有的可用性。根据所获得数据的不同，Ao可以有不同的计算公式。Ao通常还受系统利用率的影响，在规定的时间内，系统的工作时间越短，Ao就越高。因此，在确定系统的总时间时，应不包括系统不工作或很少工作的那段时间(如大修厂修理和贮存时间)。
5、可信性dependability
产品在任务开始时可用性给定的情况下，在规定的任务剖面中的任一随机时刻，能够使用且能完成规定功能的能力。
产品在执行任务中的状态取决于与任务有关的系统可靠性和维修性参数的综合影响，但不包括非任务时间。(GJB451-90、MIL-STD-721C-81)
编者注：美国空军系统司令部武器系统效能工业咨询委员会于1963年提出的可信性，作为计算武器系统效能的一个要素，表示武器系统完成规定任务的良好程度。它受任务可靠性、任务维修性、安全性和生存性等的影响。美国(MIL-STD-721C-81)和(MIL-HDBK-338A-87)等军用文件中都给出与GJB451-90基本相同的定义。但是，DoDI5000.2-91和DoD5000.2-R-96中已不再采用可信性的术语。
近10年来，为了适应国际市场发展的需要，考虑到术语的国际通用性，国际电工委员会把可信性定义为用于描述可用性及其影响因素：可靠性、维修性和维修保障的集合术语。它是一种非定量描述。同时，国际电工委员会把IEC/TC56可靠性、维修性技术委员会于1991年正式更名为可信性技术委员会，并制定了可信性管理大纲，IEC300-2“可信性管理——可信性大纲要素及工作项目”
。


6、保障性supportability


系统的设计特性和计划的后勤资源，包括后勤保障要素，便于满足系统可用度和战时利用率要求的程度。(防务采办术语-98)
系统的设计特性和计划的保障资源能满足平时战备及战时使用要求的能力。(GJB451-90、GJB3872-99)
系统的设计特性和计划的后勤资源，包括人力，满足系统平时战备及战时使用要求的程度。(DoDD5000.39-83)


7、可靠性reliability


系统及其组成部分在无故障、无退化或不要求保障系统的情况下执行其功能的能力。(防务采办术语-98)
产品在规定的条件下和规定的时间内，完成规定功能的能力。可靠性的概率度量也称可靠度。(GJB451-90)
编者注：从使用和设计考虑，可靠性又细分为基本可靠性和任务可靠性。分别见2.2.2和2.2.4。


8、耐久性durability


在规定的使用和维修条件下，产品在到达极限状态之前完成要求功能的能力。(BS4778)
编者注：产品的极限状态可能是有用寿命终结、或由于经济或技术原因或其他相关因素，产品已不具有适用性。
1)产品在规定时间内抵抗裂纹(包括应力腐蚀性裂纹和氢引起的裂纹)、腐蚀、热冲击和劣化、脱层、磨损和外来物损坏影响的能力。
2)材料在规定的使用条件和(或)储存条件下耐受磨损和物理—化学变化的度量。(NATOARMP-1-93)
产品在规定的使用和维修条件下，其使用寿命(usefullife)的一种度量。它是可靠性的另一种特殊情况。(GJB451-90)
在规定期间内，分系统或部件抵抗劣变、磨损、裂纹、腐蚀、热变质等的能力。(MIL-STD-1798-88)

passway

9、维修性maintainability

产品在规定的条件下和规定的时间内，按规定的程序和方法进行维修时，保持或恢复到规定状态的能力。维修性的概率度量亦称维修度。(GJB451-90、GJB/Z91-97)
编者注：“在规定的条件下和规定的时间内”指的是在规定的维修条件下和规定的维修时间内。
产品在每一规定的维修和修理级别，由具有规定等级的人员和按规定的程序和资源进行维修时，保持或恢复到规定状态的能力。(防务采办术语-98、MIL-STD-721C-81、MIL-HDBK-338A-87)

10、测试性testability

产品能及时、准确地确定其状态(可工作、不可工作或性能下降)并隔离其内部故障的一种设计特性。(GJB451-90、GJB2547-95、GJB3385-98、MIL-STD-2165A-93)
软件的一种性质。它表明了既便于测试准则的建立又便于就这些准则对软件进行评估的程度。
需求的定义便于对需求进行分析以建立测试准则的程度。(GB/T11457-95)

11、安全性safety

不导致人员伤亡，危害健康及环境，不给设备或财产造成破坏或损伤的能力。(GJB1405-92)
将伤害(对人)或损坏的风险限制在可接受水平的能力。(根据参考文献69、27编写)
不发生事故的能力。(GJB-900-90)
编者注：安全性作为系统的设计特性，特别是航空航天飞行器的安全性，是飞行器设计必须满足的首要特性。它可定义为系统在规定条件下和规定时间内，以可接受的风险执行规定功能的能力。系统(如飞机)的安全性一般用事故率或事故概率、损失率或损失概率和安全可靠度来度量，其定义分别见6.3.7、6.3.8、6.3.9。

12、完整性integrity

使系统在规定的使用寿命期内和在规定的条件下，具有规定的性能、可靠性和保障性的基本特性。(MIL-STD-1798-88)
编者注：完整性的概念最早用于飞机结构设计，称之为飞机结构完整性，以提高飞机的耐久性及结构安全性，美国国防部于1972年颁布了军用标准MIL-STD-1530飞机结构完整性大纲：飞机要求。随后，在发动机结构设计中也引入完整性的概念，称之为航空发动机结构完整性，并于1984年颁发军用标准MIL-STD-1783发动机结构完整性大纲。我国于1989年颁布GJB775.1军用飞机结构完整性大纲—飞机要求。
关系到飞机安全使用、使用费用和功能的结构强度、刚度、损伤容限及耐久性(或安全寿命)等飞机所要求的结构特性的总称。(GJB775.1-89)
软件所具有的与性能、可靠性和维修性相关的属性(在合同规定的)与所需成品的总完备性相关的程度。(MIL-STD-1803-88)

13、生存性survivability

系统及其乘员回避或承受人造敌对环境，而其完成规定任务的能力不遭到破坏性损伤的能力。(防务采办术语-98、防务采办电子手册-96)
装备(系统)抗御和/或经受人为敌对环境的影响而不引起持久的性能削弱并保持连续有效地完成指定任务的能力。(GJB1301-91)
编者注：生存性也称生存力。

14、生产性producibility

产品或系统制造的相对容易程度，它取决于利用现有的生产技术能够经济制造、装配、检验和试验的各种设计特性。(防务采办术语-98)
使系统设计或其部件以最有效和最经济的方法进行制造、装配、检验、试验、安装、核查和验收的固有特性。(MIL-STD-1528(USAF)-72)
产品设计和生产规划的若干要素或特性的组合，它使所设计的产品，经过一系列权衡之后，能够按规定的产量，以最低的费用和最短的时间制造出来，并符合必需的质量和性能要求。(MIL-HDBK-727-84)

15、互用性interoperability

各种系统、军事单位或武装部队向其他系统、军事单位或武装部队提供数据、信息、装备和服务或接受来自其他系统、军事单位或武装部队的数据、信息、装备和服务，并利用这种交换的数据、信息、装备和服务使他们有效地协同工作的能力。(DoDD5000.1-01)
各种系统、军事单位或武装部队向其他系统、军事单位、或武装部队提供服务，或接受来自其他系统、军事单位、或武装部队的服务，并利用这种交换服务，使他们有效地协同工作的能力。当各种通信、电子系统或通信－电子产品间以及它们和/或其用户间的信息和服务能够直接并满意交换时，便实现了这种状态。(防务采办术语-98)
系统和设备或部队向其他系统和设备或部队提供服务或接收其他系统和设备或部队提供的服务，并通过这种交换服务而使他们有效地、协调地工作的能力。(GJB1371-92)
编者注：GJB1371-92中此定义称为“共用性”。

16、兼容性compatibility

在同一的系统或环境中的或正在工作的设备或装备中的两个或两个以上的产品或部件不相互干扰的能力。(防务采办术语-98)
两个或多个产品/系统并存或作为一个大系统的若干单元或在使用环境下工作而不相互干扰的能力。(AFR80-14)
被测单元在功能、电气和机械上与期望的自动测试设备接口配合的一种设计特性。(GJB3385-98)
17、经济承受性affordability
采办项目的寿命周期费用与国防部或国防部各部门的长期投资和部队结构计划协调程度的度量。(防务采办术语-98、防务采办电子手册-96)

passway

18、系统可靠性和维修性参数systemR&Mparameter
描述系统可靠性和维修性的度量，它直接与战备完好性、任务成功、维修人力及保障资源有关。对系统可靠性维修性参数要求的量值称系统可靠性维修性指标。(GJB451-90)
其度量单位直接与战备完好性、任务成功、维修人力费用、或后勤保障费用有关的可靠性或维修性的度量。(防务采办术语-98、MIL-STD-721C-81)
编者注：致命性故障间的任务时间(MTBCF)和恢复功能用的任务时间(MTTRF)分别为任务成功有关的系统可靠性参数和维修性参数。
19、固有可靠性和维修性值inherentR&Mvalue
可靠性和维修性的一种度量值。它只包括产品设计制造的影响，并假设使用及保障条件是理想的。(GJB451-90)
可靠性和维修性的一种度量值。它只包括产品设计及其制作的影响，并假设使用及保障条件是理想的。(MIL-STD-721C-81)
可靠性和维修性的一种度量值。它只包括产品设计及安装的影响，并假设使用及保障条件是理想的。(防务采办术语-98)
编者注：固有R&M值仅考虑承制方在设计和生产中能控制的因素，用于描述产品设计和制造的R&M水平。例如，固有可靠性通常用平均故障间隔时间(MTBF)来度量，而固有维修性则通常用平均修复时间(MTTR)来度量。


20、使用可靠性和维修性值operationalR&Mvalue


可靠性和维修性参数的一种度量值。它包括产品设计、安装、质量、环境、使用、维修的综合影响。(GJB451-90、MIL-STD-721C-81)
可靠性和维修性参数的一种度量值。它包括产品设计、质量、安装、环境、使用、维修的综合影响。(防务采办术语-98)
编者注：使用R&M值除了考虑设计和生产的因素外，还考虑产品的安装、使用环境、使用和保障方案、维修策略等因素，用于描述产品在计划的环境中使用的R&M水平。例如，使用可靠性值通常用平均维修间隔时间(MTBM)值来度量，而使用维修性值常用平均系统恢复时间(MTTRS)来度量。
21、目标值objective/goal
用户所期望的和项目经理企图获得的性能值，目标值表示比每个项目参数的性能门限值大一个量值。该量值在使用上是有意义的，时间上是关键的而且费用上是有效的。(防务采办术语-98)
期望装备达到的使用指标，它既能满足装备的使用需求，又可使装备达到最佳的效费比，是确定规定值的依据。(GJB1909.1-94)
既满足使用要求又具有增长能力或使用和保障费用最佳的R&M值。(AFR80-5-78)
编者注：从上述定义不难看出，R&M目标值首先表示系统投入外场使用，经过一段期间的使用、发现问题并进行改进后达到成熟状态的R&M水平，这种R&M水平必须满足预定的未来使用环境下的使用要求；同时，R&M的目标值应使系统在外场使用的使用和保障费用最低，而且应是通过增长可以达到的R&M值；对每个项目参数来讲，目标值可能比门限值大(优)一个量值，该值在使用上应是有意义的，时间上应是关键的，经济上应是有效的。此外，目标值可以根据前面阶段项目取得的结果进行适当修订。
实现R&M目标值的时机应是系统达到成熟的状态(即R&M增长已基本结束)的时候，即成熟期，它主要取决于系统的特点(复杂性、使用频度等)。例如，美国空军F-16战斗机为10万累计飞行小时，B-1B轰炸机为20万累计飞行小时；AFR80-5-78认为是系统形成初步作战能力后2年。


22、门限值thresholds


装备必须达到的使用指标，它能满足装备的使用要求，是确定最低可接受值的依据。(GJB1909.1-94)
完成任务(即满足使用要求)所必需的最低的R&M水平。R&M门限值是制定合同最低要求的基础。(AFR80-5-78)
为满足用户需求所必须达到的最低可接受值。如果没有达到门限值，那么项目性能就会严重下降，项目费用可能太高，项目进度可能拖延。(防务采办术语-98)
编者注：对每个项目来讲，目标值和门限值的差距要根据每个项目的特点(如成熟性、风险等)具体确定。R&M门限值是满足系统使用要求所必须的最低的水平，即最低的要求值。它是外场使用试验进行验证的依据，其验证时机可根据不同类型的系统及不同的要求来确定。例如，美军MIL-E-87231《航空涡喷发动机军用规范》规定发动机设计的R&M门限值检查时机为初始飞行评审、全面飞行评审、初始使用评审和工作能力评审等4个点。
R&M门限值与目标的差值主要考虑系统在外场使用R&M增长的潜力，它取决于系统的复杂程度、进度要求、技术能力、投入经费和外场使用频度等因素。

passway

23、规定值specifiedvalue


合同和研制任务书中规定的期望装备达到的合同指标，它是承制方进行可靠性和维修性设计的依据。(GJB1909.1-94)
编者注：R&M规定值应由目标值按规定的模型或一定的转换关系导出。由于R&M规定值属于R&M的固有值，而R&M目标值属于R&M使用值，所以规定值一般应大于目标值。例如，F/A-18战斗机的可靠性目标值平均故障间隔飞行小时(MFHBF)为5.0h，而其规定值为5.4h。


24、最低可接受值minimumacceptablevalue


合同和研制任务书规定的、装备必须达到的合同指标。它是进行考核或验证的依据。(GJB1909.1-94)
编者注：R&M最低可接受值可用于控制系统研制计划的技术和费用风险，是系统在工程研制阶段结束时的里程碑应具有的R&M值。R&M最低可接受值可根据R&M规定值，考虑到费用、进度、技术能力、设计风险和不确定性导出，是系统的R&M增长计划各个重要里程碑应达到的R&M值，一般应大于或等于门限值。
对设备而言，R&M最低可接受值，通常是工程研制阶段结束应达到的R&M值；R&M规定值则是设备达到成熟状态时的R&M值，也就是在生产验收时，应达到的值。例如，由美国西屋公司研制的用F-16战斗机的APG-66机载火控雷达可靠性最低可接受值MTBF为60h，要求在可靠性鉴定试验结束时必须达到；其可靠性规定值为100h，要求在生产验收时达到。在最低可接受值和规定值之间还可规定中间值。例如，F/A-18战斗机装备的APG-65机载火控雷达可靠性最低可接受值MTBF=64h，规定值为106h，两者中间还规定中间值为85h，作为主承包商休斯公司的中间监控点。


25、分配值allocatedvalue


分配值是系统设计时用于进行分配的值。(根据参考文献75编写)
编者注：分配值一般应比规定值大(优)，以保证系统在实际使用环境下达到目标值。例如，F/A-18战斗机合同要求的可靠性规定值为MFHBF=5.4h，但在飞机设计中，麦道公司以MFHBF=6.18h作为设计指标值分配到飞控、发动机、液压、电源等各个机载系统。


26、预计值predictedvalue


预计值是用规定的预计方法确定的值。(根据参考文献61编写)


27、观测值和验证值observedvalue&demonstratedvalue


观测值是在规定的条件(实际的或模拟的环境条件)下产品工作(如实验室试验等)时所测得的值。验证值是在试验条件下真值的可能范围；在规定置信区间内的观测值。(根据参考文献61编写)
编者注：如，MTBF的观测值(点估计)等于产品总工作时间除以关联故障数。
由于R&M预计方法的误差、数据系统的不完善、故障定义的不一致以及实验室条件与外场使用环境条件的差异等各种原因，致使产品的预计值、观测值和使用值有时差别较大。

liu_zhiliang

这位是可信的人，言之有椐，出处明确。是真正的技术人材所具有的特性。

aaajack

谢谢分享