Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Willahelm Lautenschlager Geändert vor über 10 Jahren
1
An Experimental Evaluation of the Assumption of Independence in Multi-Version Programming
John C. Knight (University of Virginia) Nancy G. Leveson (University of California, Irvine)
2
Inhalt 1 Wichtige Begriffe 2 Motivation 3 Einführung 4 Das Experiment
4.1 Programmierer-Hintergrund 4.2 Resultate des Experiments 4.3 Unabhängigkeitsmodell 4.4 Analyse der Programm-Defekte 4.5 Diskussion des Experiments 4.6 Fazit Folgen 6 Personen
3
(Achtung: nicht einheitlich)
Wichtige Begriffe (Achtung: nicht einheitlich) Defekt / fault: Teil des Systems verhält sich nicht so wie es sollte, bedingt durch Hardware- oder Software-Fehler Fehlschlagen / failure: Gesamtsystem verhält sich nicht so wie es sollte, bedingt durch Defekt Fehler (-zustand) / error: Versagen der Hardware oder Software
4
Fehlertoleranz / fault tolerance: Systemeigenschaft, die bedeutet:
Defekt wird so abgefangen, daß das gewünschte Systemverhalten gesichert bleibt: Defekt führt nicht zu Fehlschlag
5
2 Motivation N-Versionen-Programmierung (NVP)
wurde lange Zeit als „die“ Methode angesehen, um fehlertolerante Software zu schreiben: Mehrere verschiedene Implementierungen einer Spezifikation werden parallel ausgeführt Die Ergebnisse werden gesammelt und von einer Entscheidungseinheit / Voter verglichen bei einer angenommenen Mehrheit gleicher Ergebnisse wird das mehrheitliche Ergebnis als korrekt angesehen
6
Fehlertoleranz ist immens wichtig bei sicherheitskritischen Applikationen, bei denen Menschen zu Schaden kommen können Die unbedingte Korrektheit des Mehrheitsergebnis beruht allerdings auf einer zentralen Annahme: Alle Fehlschläge passieren unabhängig voneinander wenn ein Programm Fehlschläge zeigt, ist es nicht wahrscheinlich, dass dies auch die anderen Versionen tun
7
Falls Fehlschläge doch miteinander in Beziehung stehen, wird es wahrscheinlicher, dass mehrere Versionen zugleich fehlschlagen d.h. das Mehrheitsergebnis könnte falsch sein !
8
Bis 1985 galt die Unabhängigkeits-Annahme allgemein als wahr
Wurde nie statistisch überprüft Wegen der Relevanz von sicherheitskritischen Systemen, die NVP benutzen, haben Knight/Leveson 1985 ein Experiment zur Überprüfung gestartet Zeigte, dass die Annahme falsch ist
9
3 Einführung NVP Anforderungen
separate, unabhängig voneinander erstellte „N“ Versionen Jede Version muss dieselbe Funktionalität besitzen daher braucht man ein gemeinsames Anforderungs-Dokument
10
NVP Anforderungen (2) Koordination, da die Versionen Daten an den Voter übermitteln Alle Design-Entscheidungen müssen unabhängig voneinander getroffen werden sonst keine Vermeidung von gemeinsamen Design-Fehlern!
11
Nutzen von NVP Soll die Verlässlichkeit von Software erheblich erhöhen
Analyse der NVP-Methode bzgl. Verlässlichkeit basiert auf der Annahme dass alle N Versionen unabhängig voneinander fehlschlagen dass also Defekte in den N Versionen zufällig vorkommen und nicht zueinander in Beziehung stehen
12
Nutzen von NVP (2) Folgerungen aus der Annahme:
Wahrscheinlichkeit, dass zwei oder mehr Versionen auf der gleichen Eingabe fehlschlagen, ist sehr gering W-keit des Fehlschlagens eines NVP-Systems ist proportional zur mit N potentierten W-keit des Fehlschlagens der unabhängigen Versionen
13
Nutzen von NVP (3) Verlässlichkeit des Systems könnte größer sein als die Verlässlichkeit der individuellen Komponenten man könnte sich das aufwändige Testen und Validieren von Software sparen, indem einfach ein System aus genügend vielen Komponenten zusammengestellt wird
14
Nutzen von NVP (4) Ein um 1985 weit verbreiteter Gedanke war:
man könne das Testen sicherheitskritischer Real-Zeit-Systeme vereinfachen indem zwei Software-Versionen produziert werden (nur zwei, weil teuer) und umfangreichen Tests unterzogen werden, ohne dass das Ergebnis von Hand auf Korrektheit überprüft werden muss !!!
15
Nutzen von NVP (5) Denn solange beide Ergebnisse übereinstimmen, wird das gemeinsame Ergebnis als korrekt angenommen
16
4 Das Experiment Fand statt mit Informatik-Studenten (graduate oder
senior) an den Universitäten University of Virginia (UVA) und University of California at Irvine (UCI) Studenten sollten Programme zu einer ganz bestimmten Spezifikation schreiben 27 Programme (9 UVA und 18 UCI), die theoretisch für die gleiche Eingabe alle die gleiche Ausgabe liefern sollten
17
Alle 27 Programme wurden einer Million zufällig
erzeugter Tests unterzogen Experiment sollte möglichst realistisch sein, daher wurde eine Applikation programmiert, die ein Kandidat für eingebaute Fehlertoleranz ist: Anti-Raketen-System einfach aber realistisch das zu lösende Problem stammt ursprünglich aus einem Luft- und Raumfahrtunternehmen
18
Anforderungen an das Programm
Daten lesen, die Radarwerte darstellen Mittels einer Menge von Bedingungen entscheiden, ob die Radarwerte von einem bedrohlichen Objekt kommen oder nicht Wenn die Entscheidung für „bedrohlich“ ausfällt, soll ein Signal erzeugt werden, das den Abfangjäger aktiviert Problem ist der Fachwelt als „launch interceptor problem“ bekannt
19
Die Spezifikation Dies Problem war schon in anderen Experimenten benutzt worden Insbesondere ein NVP-Experiment mit N=3 am Research Triangle Institute (RTI) Die Spezifikation konnte wiederverwendet und dabei um einige Fehler reduziert werden Die Spezifikation war also sorgfältig auf Fehler untersucht worden
20
Sicherstellen von Unabhängigkeit
die Spezifikation wurde den Studenten gegeben keine bestimmte Softwareentwicklungs-Methode war vorgegeben Bedeutung von unabhängiger Entwicklung wurde betont, Studenten hatten Anweisungen nicht untereinander zu diskutieren Fragen der Studenten zur Spezifikation wurden individuell per Mail beantwortet
21
Studenten durften beliebige Referenzen benutzen
denn die Entwicklung von Algorithmen für die Applikation erforderte geometrisches Wissen und wahrscheinlich wären auch für kommerzielle Entwicklung Referenzen zu Geometrie benutzt worden
22
Eingabedaten Jede(r) Student(in) bekam 15 Sätze mit Eingabedaten
plus die zu erwartenden Ausgaben zu Debug-Zwecken
23
Akzeptanz-Test Satz aus 200 zufallsgenerierten Testfällen, die jedes Programm durchlaufen musste Für jedes der 27 Programme ein eigener Satz man wollte verhindern, dass zuviele gemeinsame Defekte beim Akteptanz-Test herausgefiltert wurden Warum Akzeptanz-Test? Software aus realer Produktion würde auch ausführlichen Test unterzogen werden, um eine hohe Verlässlichkeit sicherzustellen
24
Test-Treiber für den Akzeptanz-Test
Generierte zufällige Radarwerte und Zufallswerte für alle Parameter im gestellten Problem Es gab eine „Gold-Version“ („gold version“) Programm, das ursprünglich in FORTRAN für das RTI-Experiment geschrieben worden war nun neu geschrieben in Pascal im RTI-Experiment war die Gold-Version durch mehrere Millionen Testfälle gelaufen
25
Alle 27 Programme wurden gegen die Gold-Version getestet
so konnte man mehr Testfälle ausführen, weil die Ausgaben nicht manuell überprüft werden mussten Insgesamt wurden die 27 Programme plus die Gold-Version Tests unterzogen Auf verschiedenen Maschinen an verschiedenen Orten (Mai bis September 1984)
26
Gold-Version wirklich verlässlich?
Was, wenn der unwahrscheinliche Fall eintritt, und alle 28 Versionen inkl. Gold-Version die gleichen Fehlschläge zeigen: Das hätte keinen Effekt auf den Ausgang des Experiments unentdeckte gemeinsame Defekte würden nur das Fazit des Experiments bestärken
27
4.1 Programmierer-Hintergrund
14 Programmierer arbeiteten an ihrem Bachelor 8 Programmierer arbeiteten an ihrem Master (und hatte mindestens einen Bachelor) 4 arbeiteten an ihrem Doktor (und hatten mindestens einen Master) 1 Programmierer konnte nicht in die Analyse mit einbezogen werden
28
Von denjenigen mit Bachelor waren
4 aus Mathematik 3 aus Informatik je 1 aus Astronomie, Biologie, Umwelt-Wissenschaften, Management-Wissenschaften, Physik
29
Arbeitserfahrung der Programmierer in der Softwareentwicklung reichte von 0 bis über 10 Jahre
Die meisten hatten nur ein paar Monate gearbeitet Bei Selbst-Einstufung ihrer Pascal-Fähigkeiten kam folgendes heraus: expert thorough fair limited
30
Programmierer sollten die Verlässlichkeit ihrer Programme schätzen
Schätzungen lagen alle zwischen 0.75 und 1.0 die meisten Programme stellten sich als verlässlicher heraus die Programmierer geschätzt hatten
31
4.2 Resultate des Experiments
Für jeden Testfall berechnete jedes Programm 15x15 Boolean Arrays einen 15-elementigen Boolean-Vector eine einzelne Aktivierungs-Entscheidung für insgesamt 241 Resultate Die Aktivierungs-Entscheidung war die einzige echte Ausgabe Rest waren erforderliche Zwischenergebnisse
32
Qualität der Programme
war ungewöhnlich hoch von den 27 Versionen hatten 6 gar kein Fehlerverhalten die anderen 21 bestanden mindestens 99% der Tests 23 der 27 waren erfolgreich bei mehr als 99.9% der Tests
33
Gemeinsame Defekte erstaunlicherweise gab es Testfälle, bei denen 8 der 27 Versionen fehlschlugen! Entgegen erster Vermutung waren die 8 Versionen nicht an derselben Universität entwickelt worden Alle entdeckten gemeinsamen Defekte wurden in Versionen von stets beiden Universitäten gefunden
34
4.3 Unabhängigkeitsmodell
Es wurde ein Wahrscheinlichkeitsmodell für Unabhängigkeit von Fehlschlägen entwickelt und bewiesen, dass dieses Modell für das Experiment nicht gültig ist.
35
Hypothese: Für ein beliebiges gegebenes Programm wird angenommen, dass die Wahrscheinlichkeit eines Fehlschlags für jeden Testfall dieselbe ist. Um diese Hypothese auf ihren Wahrheitsgehalt zu testen, wurde aus der statistischen Definition für unabhängige Ereignisse [ pr(A|B) = pr(A) und pr(B|A) = pr(B) ] ein Modell entwickelt Für die Parameter im Modell wurden Werte aus dem Experiment eingesetzt
36
Die Wahrscheinlichkeitsverteilung des Modells konnte durch die standardisierte Normalverteilung gut approximiert werden In der standardisierten Normalverteilung liegt der 99%-Punkt bei x = 2.33 Die Statistik des Modells mit eingesetzten Parametern hatte allerdings den Wert größer als 2.33 Also wurde die Hypothese mit einer Sicherheit von 99% verworfen.
37
Daraus schlossen Knight & Leveson, dass das Wahrscheinlichkeitsmodell nicht für das Experiment gültig ist. Da das Modell aus der Annahme von unabhängigen Fehlschlägen entwickelt worden war, wurde auch die Unabhängigkeitsannahme verworfen.
38
Warum wurden die Fehlschläge und nicht die Defekte berücksichtigt?
Aus Operationssicht ist es egal, warum ein Programm fehlschlägt es zählt nur, dass ein Programm fehlschlägt Darum wurden die Defekte im Programmquelltext für die Überprüfung der Hypothese außenvorgelassen
39
4.4 Analyse der Programm-Defekte
Knight & Leveson definierten: Defekt / fault ein Programmstück in einer bestimmten Version, das diese Version fehlschlagen lässt, wenn das Programmstück auf einem Testfall ausgeführt wird
40
insgesamt 45 Defekte entdeckt
viele waren individuell, aber mehrere traten in mehr als einer Programmversion auf erstere Defekte werden nicht-korrelierend, letztere korrelierend genannt Details der Defekte sind komplex, daher hier nur ein erhellendes Beispiel (folgende Folie):
41
Man musste eine Annahme machen über den Winkel, den drei Punkte bilden
Dabei waren drei Fälle zu unterscheiden Einer der Fälle war subtiler und wurde von mehr als einem Programmierer übersehen Keine Fehler der Spezifikation, sondern ein Mangel an geometrischem Verständnis – typisches menschliches Problem!
42
4.5 Diskussion des Experiments
Problem bei Durchführung von Experimenten an Universitäten: realistische Programmier erfahrung der Teilnehmer Aber: viele Studenten hatten schon professionell gearbeitet und waren zurück an die Universität gekommen Der erfahrenste Real-Zeit-Programmierer im Experiment machte auch viele Fehler
43
Weiterer möglicher Einwand wäre:
Experiment spiegelt keine realistische Softwareentwicklung aus der Industrie wieder, 1 Mio Testfälle sind nicht viel Operations-Zeit für eine solche Applikation. 1 Mio Testfälle entsprechen allerdings 1 Mio ungewöhnlicher Zwischenfälle auf dem Radarschirm. Dazu kommen noch viel mehr Testfälle für gewöhnliche Radarwerte 1 Mio Testfälle korrespondieren laut Knight&Leveson mit 20 Jahren Operationszeit
44
4.6 Fazit Für das spezifische Problem, das im Experiment
programmiert wurde, hält die für die NVP-Analyse fundamentale Annahme, dass eine Unabhängigkeit von Fehlschlägen gegeben sei, nicht. Mit einer Sicherheit von 99% hält ein Wahrscheinlichkeitsmodell für Unabhängigkeit nicht für das durchgeführte Experiment.
45
Knight & Leveson betonen, dass diese Aussage von der Applikation abhängt
NVP ist weiterhin eine sinnvolle Methode, aber die Verlässlichkeit eines NVP-Systems ist möglicherweise geringer als in der Theorie behauptet halten weitere Beschäftigung mit möglichen gemeinsamen Defekten in NVP-Systemen für sinnvoll, da dies sicherheitskritische Systeme betrifft!
46
5 Folgen Knight&Leveson-Experiment schlug große Wellen
In den folgenden Jahren wurden Kni&Lev mit Kritik von NVP-Befürwortern überhäuft hauptsächlich von Prof. Algirdas Avizienis von der University of California, Los Angeles (UCLA) und Mitgliedern seiner Arbeitsgruppe
47
Wegen der andauernden Vorwürfe veröffentlichten Knight&Leveson 1990 (
ein weiteres Paper als Antwort auf die Kritik Auszüge aus der Kritik von Avizienis: „These efforts serve to illustrate the pitfalls of premature preoccupation with numerical results.“ K&L weisen die Kritik zurück und stellen die rethorische Frage, wieso Prof. Avizienis dann den Einsatz von NVP in sicherheitskritischen Applikationen nicht auch zu früh findet
48
„The use of the term ‘experiment‘ is misleading,
since it implies repeatability of the experimental procedure that is taken for granted in science.“ K&L weisen die Kritik zurück, da ihr Experiment komplett wiederholbar ist und auch von anderen Forschern wiederholt wurde (und sogar bestätigt worden ist). In ihrem Paper von 1990 gehen sie der Reihe nach auf alle Kritikpunkte ein und argumentieren schlüssig dagegen
49
Das Knight&Leveson-Experiment gilt heute als eins der mustergültigen Experimente in der Informatik
50
Prof. Avizienis, UCLA Fellow of IEEE AIAA Information Systems Award (1997) NASA Exceptional Service Medal (1980) Annual IEEE Computer Society Technical Achievement Award (1985) IFIP Silver Core Award (1986) Forschungsschwerpunkte sind u.a. Fehlertoleranz, Fehlertoleranz in verteilten Systemen und Design-Methodiken für fehlertolerante Systeme.
51
Nancy Leveson Professorin am MIT für Aeronautics and Astronautics and Engineering studierte am UCLA bis zum Ph.D. Fellow of the ACM ACM Allen Newell Award for research contributions to computer science (1999) elected to the National Academy of Engineering (NAE) AIAA Information Systems Award for "developing the field of software safety and for promoting responsible software and system engineering practices where life and property are at stake.“ (1995)
52
John C. Knight Professor an der University of Virgina in Computer Science (seit 1992) war 1985/1986 Associate Professor an der University of Virginia Editor in Chief, IEEE Transactions on Software Engieneering, Jan present Forschungsschwerpunkt heute u.a. Software Dependability
53
Quellen [1] J.C. Knight and N.G. Leveson, „An Experimental Evaluation of the Assumption of Independence in Multi-Version Programming“, IEEE Transactions on Software Engineering, Vol. SE-12, No. 1 (January 1986), pp [2] J.C. Knight and N.G. Leveson, „A Reply to the Criticisms of the Knight&Leveson Experiment, Software Engineering Notes, Vol. 15, No. 1 (January 1990), pp [3] Prof. Algadir Avizienis Homepage
54
Quellen [4] Prof. John Knight Homepage [5] Prof. Nancy Leveson Homepage [6] Verteilte Systeme Vorlesung Prof. H.-P. Löhr
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.