软件工程概论教学资料：软件工程及实践-第W1章 要求极高的计算机系统.pdfVIP

第 W1 章 要求极高的计算机系统 作为要求极高的系统，其主要的特性包括系统的可用性、可靠性、安全性和信息安全 性。这些特性互相影响，交织在一起。例如，可靠性会在安全性与可用性方面影响系统的 安全性和可用性，而系统的安全性不高必然导致系统丧失可靠性。如果系统是不可靠的、 不安全的或是不能保证信息安全，则用户往往会拒绝使用。如果用户不信任一个系统，他 们就会拒绝使用它，甚至会拒绝购买和使用来自同一个公司的其他产品。 失败的系统代价可能是巨大的。例如，核反应堆或飞机导航系统，系统的失败代价要 比一般控制系统的失败大好几个数量级。不可靠的系统会导致信息泄露和流失。对通过昂 贵代价收集和维护的有价值信息，其损失将会付出巨大的人力和经费。所以，在开发要求 极高的系统，总是使用值得信赖的成熟的方法和技术，而对未经全面实际检验过的新技术 应尽量避免。有很多种基于计算机的要求极高的系统，从设备和机械控制系统到信息和电 子商务系统，在这些系统的开发中使用了先进的软件工程技术。本章将介绍如何开发要求 极高的系统的技术和方法。 W1.1 要求极高的系统 在软件开发中，有一类计算机系统对可靠性、安全性等要求极高，因为这样的系统失 败的后果相当严重，可能带来巨大的经济损失、人身伤害甚至会危及人的生命。这样的系 统被称为要求极高的系统，所谓要求极高的系统是指其可靠性极其重要的系统，如果这类 系统不能按照所期待的方式工作，则可能产生严重的问题，给人民生命财产带来巨大的损 失。 要求极高的系统可分为三类。 1. 安全性要求极高的系统 这类系统的失败可能造成人身伤害甚至危及生命或造成环境的严重破坏。例如，化学 品制造工厂的控制系统。当控制系统发生故障有可能造成化学品污染、泄露，甚至爆炸而 带来的大面积危害。 第W1 章 要求极高的计算机系 435 统 2. 任务要求极高的系统 这类系统的失败可能造成一些具有直接意图活动的失败，而这种活动又非常重要，会 导致系统无法修复，例如，宇宙飞船的导航系统，当导航系统发生故障，可能导致系统偏 离方向，从而会丢失在太空中。 3. 业务要求极高的系统 这类系统的失败可能造成使用系统的业务的高成本损失。例如，银行账户系统。当系 统发生故障，会导致客户的账户的金额发生损失，从而导致银行会失去很多业务。 对于要求极高的系统的开发来说，使用高成本软件工程技术是必要的。例如，软件开 发的形式化数学方法已经成功地应用于安全和信息安全要求极高的一类系统开发中。使用 形式化方法能有效降低需要的测试数目。因为要求极高的系统的检验和有效性验证的费用 往往相当高，一般超出总的系统成本的50 ％。例如，我国载人航天飞船的航天服造价不仅 昂贵（约一亿元人民币），而且要求模拟太空条件进行试验和有效性验证的费用也非常昂 贵。 大多数要求极高的系统是社会——技术系统，如载人航天飞船，需用人去监视和控制 的基于计算机的系统。当系统出现意外情况，就需要航天员在这种情况下进行应急处理， 并恢复系统。而操作人员的失误更加恶化系统的运转，导致系统失败。由此看来，对于开 发要求性极高的一类系统的设计者来说，最为重要的是要有整体的系统的观点，不能只关 注系统的局部特征。如果孤立地考虑系统的硬件、软件和操作过程，系统必然存在潜在的 缺陷，就有可能在系统的各组件有接口的地方出错。 【案例W1.1】胰岛素输送系统 胰岛素输送系统是关于人体胰腺操作（一种体内组织）仿真，其目标是要帮助那些糖 尿病患者控制血糖的水平。 糖尿病是一种常见病症，是由于人体无法产生足够数量的胰岛素而引起的。胰岛素在 血液中起到促进葡萄糖新陈代谢的作用。治疗糖尿病的传统方法是长期规律地注射人工胰 岛素。通过使用一种外部仪器测量糖尿病病人的血糖值，计算需要注射的胰岛素剂量。该 方法的问题是，血液中胰岛素浓度和血液中的葡萄糖浓度不一致，而是随时间变化的。这 会导致血糖浓度偏低（当胰岛素太多时），或血糖浓度偏高 （当胰岛素太少时）。短时间内 的低血糖会导致暂时的脑功能故障，导