Foliensatz 2

Foliensatz 2
Test und Verlässlichkeit (F2)
Kapitel 2:
Kontrollfunktionen
Prof. G. Kemnitz
Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
1/99
Inhalt des Foliensatzes
1 Kontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2 Kontrolle auf Richtigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.1 Soll-/Ist-Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.2 Mehrversionsvergleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.3 Probe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.4 Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3 Kontrolle auf Zulässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.1 Typen- und Wertebereichskontrolle . . . . . . . . . . . . . . . . . . . . . . . 46
3.2 Fehlererkennende Codes (FEC) . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.3 Prüfkennzeichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
3.4 Zeitüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
3.5 Syntaxtest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.6 Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
2/99
4 Kontrollen der Entwurfsbeschreibung . . . . . . . . . . . . . . . . . . . . . . 84
4.1 Inspektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.2 Korrektheitskontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.3 Stilanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
4.4 Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
3/99
1. Kontrollen
Kontrollen
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
4/99
1. Kontrollen
Kontrollfunktion
Kontrolle
Prüfmerkmale
Ein- und Ausgaben
Zwischenergebnisse
Beschreibungen, ...
!
!
als gut klassifiziert
!
als schlecht klassifiziert
korrektes Prüfmerkmal
fehlerhaftes Prüfmerkmal
richtig klassifiziert
! falsch klassifiziert
Eine Kontrolle ist ein gut/schlecht-Test.
Es können zwei Arten von Klassifizierungsfehlern auftreten:
fehlerhaft 7→ korrekt: beobachtbare Verfälschungen von
Prüfmerkmalen (Fehlfunktionen) werden nicht erkannt bzw.
maskiert,
korrekt 7→ fehlerhaft: korrekte Qualitätsmerkmale werden als
fehlerhaft klassifiziert, Phantomfehler; unnütze
Korrekturversuche.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
5/99
1. Kontrollen
Kontrollen sind auf allen Ebenen der Sicherung der
Verlässlichkeit erforderlich:
Fertigungskontrollen
mechanische und elektrische Eigenschaften von
Zwischenergebnissen und Produkten (z.B.
Schichteigenschaften von Halbleitern)
Entwurfskontrollen
Syntaxtest, Typen- und Wertebereichskontrollen
Korrekturlesen von Entwurfsbeschreibungen (Review )
Simulation, Prototyptest
Kontrollen während des Tests
Ausgaben, Zwischenergebnisse
fehlersensible Merkmale wie Stromverbrauch,
Berechnungsdauer, Speicherbedarf, ...
Überwachung während des Betriebs
Ausgaben, Zwischenergebnisse, Zustände, fehlersensible
Merkmale
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
6/99
1. Kontrollen
Auf erkannte Fehlfunktionen folgen schadensbegrenzende
Maßnahmen:
Fehlermeldung,
Wiederholung der Berechnung,
Versuche, die Ursache zu lokalisieren und zu beseitigen.
Nicht erkannte Fehlfunktionen beeinträchtigen die
Verlässlichkeit.
Phantomfehler erhöhen in erster Linie den Aufwand für
Fehlersuche und Beseitigung, können aber auch über
Fehlerbeseitigungsversuche Ursache für die Entstehung von
zusätzlichen Fehlfunktionen und Fehlern sein.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
7/99
1. Kontrollen
Gütekennwerte von Kontrollen
Kontrolle
Prüfmerkmale
Ein- und Ausgaben
Zwischenergebnisse
Beschreibungen, ...
!
!
als gut klassifiziert
!
als schlecht klassifiziert
korrektes Prüfmerkmal
fehlerhaftes Prüfmerkmal
richtig klassifiziert
! falsch klassifiziert
Erkennungswahrscheinlichkeit:
ϕ.√
ϕ.!
pE ≈
=1−
ϕ.
ϕ.
√
ϕ. – Anzahl der erkannten verfälschen Prüfmerkmale
(Fehlfunktionen); ϕ. – Anzahl aller verfälschten
Prüfmerkmale
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
8/99
1. Kontrollen
Maskierungswahrscheinlichkeit:
pE ≈
ϕ.!
ϕ.
Phantomfehlerrate: Anteil der Prüfmerkmale, die auf
Phantomfehler abgebildet werden:
ϕ◦!
PR =
ϕ◦
Eine genaue Schätzung erfordert große Zahlen für die
Anzahl der erkannten und nicht erkannten Fehlfunktionen,
Phantomfehler, ...
Exakte Wertebestimmung würde ein Referenzkontrollsystem
mit pE = 1 und ϕ◦! = 0 erfordern.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
9/99
1. Kontrollen
Nachweisbare und nicht nachweisbare
Fehlfunktionen
Modell 1 (Binomialverteilung)
Bekannte Anzahl ϕ. von Fehlfunktionen (z.B. bei einer
Simulation der Fehlfunktionen).
Unabhängiger Nachweis.
Alle Nachweiswahrscheinlichkeiten gleich pE .
Anzahl der nach- und nicht nachweisbaren Fehlfunktionen
ist binomialverteilt:


ϕ.
 · pkE · (1 − pE )ϕ. −k
P ϕ.√ = k = 
k


ϕ.
 · pkF · (1 − pF )ϕ. −k
P (ϕ.! = k) = 
k
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 10/99
1. Kontrollen
Modell 2: (Poisson-Verteilung):
Sehr viele Fehlfunktionen.
Sehr geringe Maskierungswahrscheinlichkeit je Fehlfunktion
pFi 1.
Unabhängiger Nachweis.
Anzahl der Fehlfunktion braucht nicht bekannt und die
Maskierungswahrscheinlichkeiten brauchen nicht gleich zu
sein.
Anzahl der nicht nachweisbaren Fehlfunktionen ist
poisson-verteilt:
E (ϕ.! )k
k!
Hängt nur vom Erwartungswert der Anzahl der maskierten
Fehlfunktionen E (ϕ.! ) ab.
P (ϕ.! = k) = e−E(ϕ.! ) ·
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 11/99
1. Kontrollen
Aufgabe
Wie hoch muss die Erkennungswahrscheinlichkeit einer Kontrolle
mindestens sein, damit von 100 Fehlfunktionen mit einer
Sicherheit von 90% mindestens 99 Fehlfunktionen erkannt
werden?
Annahme, dass die Anzahl der maskierten Fehler
poisson-verteilte ist.
Zu erwartende Anzahl der maskierten Fehler:
E (ϕ.! ) = 100 · pF
Wahrscheinlichkeit, dass 0 oder 1 Fehler maskiert werden,
kleiner 10%:
100 · pF
−100·pF
e
1+
< 10%
1!
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 12/99
1. Kontrollen
e
−100·pF
100 · pF
1+
1!
< 10%
Lösungssuche durch Einsetzen von Werten für pF :
pF
e−100·pF 1 +
100·pF
1!
2%
3%
4%
3,8%
3,9%
3,88%
40,6%
19,9%
9,2%
10,7%
9,9%
10,1%
pE = 1 − pF ≥ 96,1%
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 13/99
1. Kontrollen
Arten von Kontrollfunktionen
Kontrolle auf Richtigkeit
Soll/Ist-Vergleich(T )
Mehrversionsvergleich
Probe
Plausibilitätstest (Kontrolle auf Zulässigkeit)
Wertebereichskontrolle,
Syntaxkontrolle, ...
(T )
nur unter Testbedingungen möglich
Einteilung nach der Ausführung:
manuell (Review)
maschinell, extern mit Test- oder Überwachungssystemen
maschinell, intern (Selbsttest, Fehlertoleranz)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 14/99
2. Kontrolle auf Richtigkeit
Kontrolle auf Richtigkeit
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 15/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Soll-/Ist-Vergleich
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 16/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Soll-/Ist-Vergleich
Für ausgewählte Testfälle
Messung der Istwerte für die betrachteten Prüfmerkmale
Vergleich mit Sollwerten
Kontrolle auf unzulässige Abweichungen
Eingaben und Einstellungen,
zur Kontrolle der Prüfmerkmale
Testobjekt
Messgeräte
Steuerdaten der Messgeräte
Vergleich
Prüfvorschrift
Sollwerte und Toleranzen
für die Auswertung
Suche und
Beseitigung
der Ursachen
für Abweichungen
Reaktionen auf Vergleichsfehler:
Fehlermeldung
Wiederholung der Berechnung
Suche und Beseitigung der Ursache
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 17/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Eingaben und Einstellungen,
zur Kontrolle der Prüfmerkmale
Steuerdaten der Messgeräte
Testobjekt
Messgeräte
Vergleich
Prüfvorschrift
Sollwerte und Toleranzen
für die Auswertung
Suche und
Beseitigung
der Ursachen
für Abweichungen
Mögliche Ursache für Vergleichsfehler:
Fehlfunktionen des Testobjekts ⇒ korrekt erkannt
Fehlfunktionen
Fehler in der Prüfvorschrift ⇒ Phantomfehler
Messfehler ⇒ Phantomfehler
Fehlfunktionen im Messgerät oder Vergleicher ⇒
Phantomfehler
Die Entwicklung der Messaufbauten und Prüfvorschriften ist
vielfach aufwändiger als der Entwurf des Testobjekts
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 18/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Kontrolle stetiger Prüfmerkmale
Messwerte von Prüfmerkmalen sind eine Summe aus
tatsächlichem Wert und Messfehler
x = x. + xq
x – Messwert; x. – Messfehler; xq – Parameterwert
die Kontrolle ist in der Regel ein Bereichstest:
P (x)
Toleranzbereich
xmin
Wert zu klein
E(x)
zuläßig
xmax
x Messwert
P (x) Wahrscheinlichkeit, dass
der Messwert gleich x ist
Häufigkeit Klassifizierungsergebnis ”schlecht”
x
Wert zu groß
der zulässige Bereich ist der Toleranzbereich
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 19/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Systematische Messfehler
Differenz der Erwartungswerte von Messwert und
tatsächlichem Wert:
E (x. ) = E (x) − E (xq ) ;
|E (x. )| > 0
E ()– Erwartungswert; x – Messwert; x. – Messfehler; xq –
Parameterwert
P (xq )
P (x)
xmin
Wert zu klein
E(x) E(xq )
Toleranzbereich
xmax
x, xq
systematischer Messfehler
korrekte Zuordnung
Messwert zu groß
oder zu klein
tatsächlicher Wert zu
groß oder zu klein
Wert zu groß
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 20/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
(x – Messwert; xq – Parameterwert)
P (xq )
P (x)
xmin
Wert zu klein
E(x) E(xq )
Toleranzbereich
xmax
x, xq
systematischer Messfehler
korrekte Zuordnung
Messwert zu groß
oder zu klein
tatsächlicher Wert zu
groß oder zu klein
Wert zu groß
Häufigkeit von Klassifizierungsfehlern
1. Art (Maskierung): im Bild überschlagsweise die rechte
rote Fläche minus die rechte blaue Fläche:
P (xq > xmax ) − P (x > xmax )
2. Art (Phantomfehler): im Bild überschlagsweise die linke
blaue Fläche minus die rechte rote Fläche:
P (x < xmin ) − P (xq < xmin )
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 21/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Zufällige Messfehler
Die Varianzen des Messwerts ist die Summe aus der
Varianzen von Wert und Messfehler:
D2 (x) = D2 (x. ) + D2 (xq )
D2 ()– Varianz; x – Messwert; x. – Messfehler; xq –
Parameterwert
x
Messwert
xq Parameterwert
P (x)
P (...) Dichtefunktion
Häufigkeit Klassifizierungsergebnis ”schlecht”
Toleranzbereich
P (xq )
xmin
Wert zu klein
E(x)
zulässig
xmax
x
Wert zu groß
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 22/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Zufällige Messfehler erhöhen vor allem den Anteil der als als
schlecht klassifizierten Prüfmerkmale, können aber auch
bewirken, dass schlechte Werte als gut klassifiziert werden.
Die Toleranzbereiche der Prüfmerkmale sollten deutlich
größer als die zufälligen Messfehler und die Streuung der zu
messenden Werte sein.
Systematische Messfehler können durch Korrektur der
Sollwerte ausgeglichen werden.
Beim Entwurf von Prüfanordnungen und -vorschriften
empfielt es sich, mit statistsichen Untersuchungen des
auszuwertenden Daten und Messfehler zu beginnen.
Zu Beginn des Entwurfs von Prüfvorschriften viele
Phantomfehler. Abnahme Phantomfehlerhäufigkeit mit der
Ursachenbeseitigung.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 23/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Digitaltechnik
Quelle
Potenzial
ϕ(x)
x (Signal)
Signal
Störung
groß
Sicherheitsbereich
klein
Empfänger
u(x) = ϕ(x)
Signalwechsel
Signalwert
erweitert
binär
x=1
x=1
x =X
nicht darstellbar
x=0
x=0
Gültigkeitsfenster
Unterscheidung nur von groß, klein und ungültig.
Breite Toleranzbereiche im Vergleich zur
Standardabweichung der Signalwerte.
Signalauswertung nur innerhalb der Gültigkeitsfenster.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 24/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Simulation der Signalgültigkeit in VHDL
G1:z1<= ’X’ after th, x1 and x2 after td1;
G2:z2<= ’X’ after th, x3 and x4 after td1;
G3: y<= ’X’ after th, z1 or z2 after td2;
x1
x2
x3
x4
z1
z2
y
1
0
1
0
1
0
1
0
1
0
1
0
1
0
0
5
nicht initialisiert (U)
10
15
ungültig (X)
20
tsim
ohne th
ungültig bedeutet Richtigkeit nicht garantierbar
Schaltungen, die ungültige Signalwerte verarbeiten, können
funktionieren, aber nicht zuverlässig. Schwer zu debuggen.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 25/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Datei∗
Prinzip eines Digitaltesters
∗
x
0000
0001
0010
0011
···
ysoll Maske
0111 1111
0000 1101
1011 0011
1001 1111
···
···
Testobjekt
yist
==
Testtakt
Datei mit den Testeingabe- und Soll-Ausgabewerten
&
≥1
Vergleichsfehler
ODER aller Bits
bitweises UND
bitweiser Vergleich
Das Testprogramm beschreibt:
Eingabebitvektoren
Sollausgaben
Maskenbitvektoren: Festlegung der zu kontrollierenden
(gültigen) Bitwerte je Testschritt
Testtakt zur Festlegung der Zeitpunkte der
Eingabesignalwechsel und der Ausgabeabtastung
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 26/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Soll/Ist-Test für Software
Test eines Programmmoduls
Wiederhole für alle Testbeispiele
Einlesen der Eingabe- und Soll-Ausgabewerte
Ausführen des zu testenden Programmmoduls
Soll/Ist-Vergleich und Protokollierung der Fehlfunktionen (Zeitüberschreibung, Datenfehler, ...)
Testsystem
Test eines nachrichtenbasierten Systems
Wiederhole für alle Testbeispiele
Einlesen der zu versendenden und
der Soll-Empfangsnachricht
Nachricht an das Testobjekt senden
Warten auf Empfang
Soll/Ist-Vergleich und Protokollierung
der Fehlfunktionen (Zeitüberschreitungen, Datenfehler, ...)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
Testobjekt
12. Juli 2012 27/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Voraussetzung deterministisches Ausgabeverhalten
Beispielsystem, bei dem kein Soll/Ist-Vergleich möglich ist:
Zielfunktion
zyklischer Automat
Startwert beliebig
1
2
6
3
5
4
Test- Start- Start- Soll-Wert
schritt wert 1 wert 5
0
5
1
1
6
2
1,2,...,6∗
2
1
3
3
2
4
···
···
···
∗
nicht genauer festlegbar
Entwurfsregeln / Mindestforderungen:
Bei der Spezifikation einer Zielfunktion immer überlegen,
wie sie nach dem Entwurf und der Fertigung getestet werden
soll.
Nicht-Testbarkeit ist nachträglich schwer zu beseitigen.
Soll/Ist-Vergleich sollte immer möglich sein.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012
28/99
2. Kontrolle auf Richtigkeit
1. Soll-/Ist-Vergleich
Zusammenfassung: Soll/Ist-Vergleich
Vorab berechenbare Sollausgaben verlangen:
deterministisches Ein-/Ausgabeverhalten,
vorab festgelegte Testeingaben (Testbedingungen),
nicht unter Betriebsbedingungen möglich.
Stetige Prüfmerkmale verlangen eine Bereichskontrolle.
Digitale Prüfmerkmale erlauben exakten Soll-/Istvergleich;
Gültigkeitsfenster beachten.
Fehler in der Prüfvorschrift, in den Messgeräten, ...
verursachen überwiegen Phantomfehler.
Beim Testen von Prüfvorschriften und Messanordnungen
Debugg-Zeit einplanen.
Mindestfehlerbehandlung: aussagekräftige Fehlermeldungen,
anhand derer Fehlfunktionen des Testobjekts und des
Testrahmens unterscheidbar und lokalisierbar sind. Spart
viel Zeit bei der Fehlersuche.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 29/99
2. Kontrolle auf Richtigkeit
2. Mehrversionsvgl.
Mehrversionsvgl.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 30/99
2. Kontrolle auf Richtigkeit
2. Mehrversionsvgl.
Mehrversionsvergleich
Vergleichs- Golden Device
(per Definition
system
fehlerfrei)
x
überwachtes System
Fehler
Störung
(Golden Device ohne
ysoll /yVers2
!
Vergleich und
!
Fehlerbehandlung
!
korrekte Daten
korrekt klassifiziert
Fehlfunktion
! falsch klassifiziert
)
!
yist /yVers1
erkannte Fehlfkt.
! Phantomfehler
Nachweis: abweichende Fehlfunktionen im überwachten System
Phantomfehler: Fehlfunktionen im Vergleichssystem,
Systemausgabe ok.
Maskierung: übereinstimmende Fehlfunktionen
Ausschluss von Phantomfehlern: Definition der
Vergleichsausgaben als fehlerfrei (Golden Device)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 31/99
2. Kontrolle auf Richtigkeit
2. Mehrversionsvgl.
nicht reproduzierbare Fehlfunktionen:
Nachweis und Korrektur durch Wiederholung
Standardreaktion auf Übertragungsfehler, Speicherfehler,
Eingabefehler, ...
meist erster Versuch zur automatischen Korrektur
reproduzierbare Fehlfunktionen:
Wiederholung auf demselben oder einem identischen System
verursacht übereinstimmendes Fehlverhalten
übereinstimmende Fehler haben gleiche Ursachen1 :
Absprachefehler, Doku-Fehler, Compiler-Fehler, ...
Diversität: unterschiedliches Fehlverhalten bei gleicher Funktion
unterschiedliche Entwickler, unterschiedliche Lösungswege,
...
für eine exakt gleiche Zielfunktion ist ein Minimum an
Absprachen erforderlich; schließt perfekte Diversität aus
1
zufällig gleiche Fehler sich statistisch paktisch ausgeschlossen
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 32/99
2. Kontrolle auf Richtigkeit
2. Mehrversionsvgl.
Experimentelle Abschätzung der Diversität
Anteil der nachweisbaren reproduzierbaren Fehlfunktionen:
ϕ.√
Div =
ϕ.
√
ϕ. – Anzahl der nachweisbaren reproduzierbaren
Fehlfunktionen; ϕ. – Anzahl der aufgetretenen
reproduzierbaren Fehlfunktionen im Beobachtungszeitraum
Golden Device
Zähler für unterschiedliche
Arten von Fehlfunktionen
==
aufgetretene (ϕ⊲ )
überwachtes System
x
Wiederholung
Vergleichssystem
==
==
reproduzierbare (ϕ⊲⋄ )
&
&
nachweisbare (ϕ⊲⋄√ )
reproduzier- und
nachweisbare (ϕ⊲√ )
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 33/99
2. Kontrolle auf Richtigkeit
2. Mehrversionsvgl.
Experimentelle Abschätzung der Diversität verlangt:
ein Golden Device, um alle Fehlfunktionen zu erkennen
eine Wiederholung aller fehlerhaften Berechnungen zur
Unterscheidung zwischen reproduzierbaren (fehlerbedingten)
und nicht reproduzierbaren (störungsbedingten)
Fehlfunktionen
je größer die Zählwerte desto vertrauenswürdiger ist der
Schätzwert der Diversität
Einsatzgebiete für den Mehrversionstest:
Regressionstest: vergleichender Test aufeinanderfolgender
Versionen einer Software-Entwicklung
Vergleichender Test zwischen Funktions- und
Strukturbeschreibungen beim Schaltungsentwurf
Mehrversionsentwurf für sicherheitskritische/fehlertolerante
Systeme
...
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 34/99
2. Kontrolle auf Richtigkeit
2. Mehrversionsvgl.
Zusammenfassung
Mehrfache Berechnung kostet mindestens die doppelte
Rechenzeit oder den doppelten Hardwareaufwand
für nicht reproduzierbare Fehlfunktionen (verursacht z.B.
durch Störungen, Eingabe- und Initialisierungsfehler) genügt
eine Berechnung auf demselben oder einem gleichen System
Standardfehlerbehandlung für nicht deterministische
Fehlverhalten, verursacht z.B. durch Eingabe-,
Übertragungs-, Initialisierungs- und Festplattenlesefehler)
reproduzierbare Fehlfunktionen verlangen eine
Mehrfachberechnung mit diversitären Systemen; mehr als
doppelter Entwurfsaufwand; Einsatz
unter Testbedingungen: Regressionstest (Funktionsvergleich
aufeinanderfolgender Software-Versionen) und
Mehrversions-Schaltungsentwürfe
unter Betriebsbedingungen: in sicherheitskritischen Systemen
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 35/99
2. Kontrolle auf Richtigkeit
3. Probe
Probe
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 36/99
2. Kontrolle auf Richtigkeit
3. Probe
Probe und inverse Funktion
Suchalgorithmen werden oft durch
eine Probefunktion spezifiziert:
Königsberger
Brückenproblem
Suche einen Weg, bei
dem man alle sieben
Brücken über den Pregel
genau einmal überquert?
Probe: Die Anzahl der
Überquerungen muss für
jede Brücke eins sein.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 37/99
2. Kontrolle auf Richtigkeit
Testsatzgenerierung
Suche einen Testsatz
zum Nachweis
unterstellter Fehler
3. Probe
Wiederhole für alle Testeingaben
Berechnung der Soll-Ausgaben
Wiederhole für alle unterstellten Fehler
Wiederhole für alle Testeingaben
Berechne Ist-Ausgaben
Soll/Ist-Vergleich
Probe:
Fehlersimulation
Zusammenfassend:
y
System
Die Probe ist für diese Klasse
x
Probe
F
von Zielfunktionen:
⋆
einfacher als die Zielfunktion;
F Gut/Schlecht-Aussage
weniger zu erwartende Fehler;
systeminterene Fehler
⋆
Störung
weniger Phantomfehler
Maskierung durch übereinstimmende Fehler und
Fehlerentstehungsursachen ist unwahrscheinlicher als bei
mehreren Berechnungsversionen derselben Funktion
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 38/99
2. Kontrolle auf Richtigkeit
3. Probe
Inverse Funktion als Probe
Für umkehrbare Funktion f (x) mit f −1 (f (x)) = x ⇒ Probe
durch Zurückgewinnung der Eingabe und Vergleich:
⋆
x
y
System f
f
−1
==
F
die Quadrierung als Umkehrfunktion der Wurzelberechnung
die Analog/Digital-Wandlung als Umkehrfunktion zur
Digital/Analog-Wandlung (Achtung kleine Abweichung
beim Vergleich zulassen)
der serielle Datenempfang als Umkehrfunktion für das
serielle Versenden.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 39/99
2. Kontrolle auf Richtigkeit
3. Probe
Zusammenfassung
Im Vergleich zum Mehrverionstest ist die
Wahrscheinlichkeit, dass gleiche Ursachen (Fehler in der
Hardware, Fehler im Algorithmus, Denkfehler bei der
Lösungssuche, ...) Fehler in der Zielfunktion und der Probe
hervorrufen, die sich gegenseitig maskieren, ist gering.
Inverse Funktion als Probe ist zu empfehlen, wenn
√
wie bei f (x) = x die inverse Funktion viel einfacher zu
programmieren ist,
wie bei seriellen Schnittstellen die inverse Funktion auch
Systembestandteil ist.
Der Test von Informationsübertragungswegen nach dem
Prinzip Senden-Empfang-Vergleich wird als
Loop-Back-Test bezeichnet.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 40/99
2. Kontrolle auf Richtigkeit
4. Aufgaben
Aufgaben
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 41/99
3. Kontrolle, ob zulässig
1
Was ist Diversität?
2
Geben Sie ein mögliche Probe für ein Programm, dass aus
−1
einer qudratischen Matrix A die Inverse Matrix A
berechnet.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 42/99
3. Kontrolle, ob zulässig
Kontrolle, ob zulässig
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 42/99
3. Kontrolle, ob zulässig
Kontrolle auf Zulässigkeit (nicht auf Richtigkeit)
y
System
Kontrolle auf
Zulässigkeit
x
M⊲
⊲!
√
⊲
Y
YDarst
F
M⊲
Menge der Ausgabefehler
YDarst Menge der darstellbaren
Ausgabewerte
Y
Ausgaberaum (Menge der
zulässigen Ausgaben)
√
⊲
erkennbare Ausgabefehler
⊲!
nicht erkennbare Ausgabefehler
Beispiel Rechtschreibtest: Wort im Wörterbuch enthalten?
Maskierung: falsches Wort, das im Wörterbuch enthalten ist
Phantomfehler: zulässiges Wort nicht im Wörterbuch
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 43/99
3. Kontrolle, ob zulässig
Abschätzung der Wahrscheinlichkeit, eine Fehlfunktion zu
entdecken
ϕ.√
ϕ.!
pE ≈
=1−
ϕ.
ϕ.
√
ϕ. – Anzahl der erkannten verfälschen Prüfmerkmale
(Fehlfunktionen); ϕ. – Anzahl aller verfälschten
Prüfmerkmale
Wenn alle darstellbaren Ausgaben bei einer Verfälschung
gleichwahrscheinlich auftreten:
|Y|
pE ≈ 1 −
|YDarst |
(Y – Menge der zulässigen Ausgaben; YDarst – Menge der
darstellbaren Ausgaben;|...|– Anzahl der Elemente der Menge).
Grobrichtlinie: um mit einem Test auf Zulässigkeit
Fehlfunktionen mit hoher Wahrscheinlichkeit zu entdecken,
muss die Menge der darstellbaren Werte viel größer als die
Menge der zulässigen Werte sein.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 44/99
3. Kontrolle, ob zulässig
1. Wertebereich
Wertebereich
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 45/99
3. Kontrolle, ob zulässig
1. Wertebereich
Typen- und Wertebereichskontrolle
Daten in einem Programm / einer Schaltungsbeschreibung haben
in der Regel viel kleinere Wertebereiche als Darstellungsbereiche:
Altersangabe für eine Person mit einer 32-Bit-Interger-Zahl
(≈ 120 zulässige und 232 darstellbare Werte)
Zeiger auf ein n Elemente großes Feld in einem
32-Bit-System; zulässig sind nur die Werte
w = a + g · i mit
i ∈ {0, } 1, . . . , n − 1
(a – Feldanfang; g – Elementegröße); darstellbar 232 Werte
Kontrolle mit Vergleichoperationen
Für Operationen, Unterprogrammaufrufe und Schaltungsinstanzieierungn erfolgt bei der Übersetzung in der Regel eine
Typkontrolle auf Zulässigkeit.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 46/99
3. Kontrolle, ob zulässig
1. Wertebereich
Erkennungswahrscheinlichkeit von WB-Kontrollen
Bsp.: 32-Bit-Variable für das Alter einer Person
zulässiger Wertebereich: 0 bis 119 (120 zulässige Werte)
darstellbare Werte: −231 bis 231 − 1 (232 darstellbare Werte)
wenn bei einer Fehlfunktion alle darstellbaren Werte
gleichwahrscheinlich wären:
pE ≈
232 − 120
= 99,99 . . . %
232
Fehlerannahmen:
Verwechselung mit dem Alter einer anderen Person: meist
falsch, immer zulässig, nie nachweisbar.
Verwechselung mit der Hausnummer: meist falsch, oft
zulässig2 , selten nachweisbar.
2
Hausnummern sind immer größer null und meist keiner 119.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 47/99
3. Kontrolle, ob zulässig
1. Wertebereich
Verwechselung mit einem beliebigen Wert im
Rechnerspeicher: Kleine positive Datenwerte treten
überproportion häufig auf. Nachweishäufigkeit deutlich
kleiner als:
|Y|
pE ≈ 1 −
|YDarst |
Eine einzelne Wertebereichs- oder Typenkontrolle hat eine
geringe Erkennungswahrscheinlichkeit.
Die Leistungsfähigkeit des Verfahrens liegt in der Vielzahl
der Kontrollmöglichkeiten.
Typische Lösung in sicherheitskritischen Systemen:
Kontrolle aller Wertebereiche und Typen an den
Schnittstellen zwischen Teilsystemen.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 48/99
3. Kontrolle, ob zulässig
1. Wertebereich
Typenkonzept VHDL/Ada
ganzahlige Typen, z.B.
type tWochentag is range 1 to 7;
--- WB:
1, 2, . . ., 7
type tBitnummer is range 3 downto 0; --- WB: 3, 2, 1, 0
Gleitkommatypen, z.B.
type tWahrscheinlichkeit is range 0.0 to 1.0;
Aufzählungstypen, z.B.
type tAWochentag is (Mo, Di, Mi, Do, Fr, Sa, So);
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 49/99
3. Kontrolle, ob zulässig
1. Wertebereich
Automatisierte Kontrollen
Bei der Übersetzung:
Jeder Operator ist nur für bestimmte Operandentypen
definiert.
Das Ergebnis muss den Typ des Zuweisungsziels haben.
Zugewiesene Konstanten müssen im Wertebereich des
Ergebnistyps liegen.
variable a, b: tWochentag := 8;
-- 8 nicht im Wertebereich
variable x: tWahrscheinlichkeit;
...
a:=x*b; -- x und b haben unterschiedliche Typen
Bei der Abarbeitung
Wertebereichkontrolle nach jeder Zuweisung.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 50/99
3. Kontrolle, ob zulässig
2. FEC
FEC
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 51/99
3. Kontrolle, ob zulässig
2. FEC
Fehlererkennende Codes (FEC)
x
Coder
Kontrolle
&
Decoder
s
y
erkannte
Verfälschungen
x uncodierte Daten
Verfahren zum Nachweis von
s übertragene Daten
Übertragungs- und Speicherfehlern
y decodierte Daten
Pseudozufällige Abbildung der
zulässigen Werte auf eine viel
größere Menge von möglichen
Werten mit einer umkehrbaren Funktion, z.B.
s = 34562134 · x
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 52/99
3. Kontrolle, ob zulässig
2. FEC
Kontrolle und Datenrückgewinnung mit der inversen
Funktion:
wenn Rest (s/34562134) = 0
y = s/34562134
Erkennungswahrscheinlichkeit für eine zufällige Fehlfunktion:
|Smögl | − |Szul |
pE =
|Smögl |
für das Beispiel:
|Szul | · (34562134 − 1)
1
pE =
=1−
|Szul | · 34562134
34562134
fast 100%, vorausgesetzt:
Coder- und Dekoder arbeitet korrekt und
Die Verfälschungen sind zufällig in Bezug auf die Codierung.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 53/99
3. Kontrolle, ob zulässig
2. FEC
Mit linear rückgekoppelten Schieberegistern
In der Praxis statt arithmetischer Multiplikation Codierung und
Decodierung mit Schieberegistern
x0
D
xw−1
D
nach w Schritten pseudo-zufällige Abbildung auf w + r Bit
g0 = 1
g1
p0
D
x0
D
D
gi
xw−1
D
Modulo-2-Addition
(EXOR)
Modulo-2-Multiplikation mit der Konstanten gi ∈ {0, 1}
gr = 1
pr
D
pw+r−1
D
Schritt-für-Schritt inverse Operation
g0 = 1
getaktete Schieberegisterzelle
g2
p1
D
g1
p0
D
g2
gr = 1
p1
D
pr
D
pw+r−1
D
nach w inversenen Schritten
steht hier der Anfangswert
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 54/99
3. Kontrolle, ob zulässig
2. FEC
Beispiel für die Codierung
1
0
1
Datenwort
7 Bit
1
0
1
1
1
0
1
0
1
1
0
1
0
0
1
1
0
1
1
0
0
1
1
0
1
0
1
0
0
1
1
0
1
0
0
1
0
0
1
1
0
0
1
0
1
1
1
1
0
0
1
1
0
0
0
1
0
0
0
1
1
0
0
0
1
0
0
0
1
1
0
0
0
0
0
0
0
1
1
0
0
0
0
0
0
0
1
1
0
0
0
0
0
0
0
1
1
0
0
0
0
0
0
0
1
3 Bit längeres codiertes Wort
Das Ergebnis ist 3 Bit länger und pseudo-zufällig umcodiert.
Anzahl der zulässigen Codeworte bleibt 27 .
Anzahl der möglichen Code-Worte vergrößert sich auf 210 .
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 55/99
3. Kontrolle, ob zulässig
2. FEC
Rückgewinnung und Kontrolle
7 Bit
Datenwort
1
1
0
1
0
1
1
0
1
1
1
0
1
1
0
1
0
1
1
0
0
1
0
1
1
0
0
1
1
0
1
1
0
0
1
0
0
1
1
0
0
1
0
0
3 Bit längers
0
1
1
1
1
0
1
0
codiertes Wort
0 1 0 0
1 0 0 0
0 0 0 1
0 0 1 1
0 1 1 0
1 1 0 0
1 0 0 0
0 0 0 0
0
1
1
0
0
0
0
0
1
1
0
0
0
0
0
0
1
0
0
0
0
0
0
0
rückgekoppeltes Schieberegister (LFSR)
Fortpflanzung einer Bitverfälschung
Eine Bitverfälschung verursacht mit der Wahrscheinlichkeit
pE = 2−3 einen von null abweichenden Endwert im LFSR.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 56/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Prüfkennzeichen
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 57/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Prüfkennzeichen
x
Menge der
Datenwerte
Anzahl 2w
Menge der
Prüfkennz.
Anzahl 2r
y
PKZ
PKZ
F
Jedem w-Bit-Datenwort wird ein r-Bit-Prüfkennzeichen
zugeordnet
nach der Übertragung oder Speicherung wird das
Prüfkennzeichen ein zweites mal gebildet
Kontrolle: Übereinstimmung beider Prüfkennzeichen
vermeidet Umcodierung der Daten
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 58/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Erkennungswahrscheinlichkeit
2w zulässige Prüfkennzeichen-Werte-Paare
2w+r mögliche Prüfkennzeichen-Werte-Paare (w r)
w+r −2r
Fehlfunktionsüberdeckung: pE ≈ 2 2w+r
= 1 − 2−r
Prüfkennzeichenberechnung
Parität
Prüfsumme: Summation von r-Bit Teilvektoren unter
Vernachlässigung des Übertrags
CRC (cyclic redundant check), Signaturanalyse: Bildung des
Prüfkennzeichens mit einem r-Bit linear rückgekoppelten
Schieberegister.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 59/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Einfachstes Prüfkennzeichen: Paritätsbit
Paritätsbit
(gerade Parität)
F
DRAMSpeicher
Y
X
Schreiben
Lesen
Einzelprüfbit, modulo-2 Summe (EXOR-Verknüpfung):
p = xn−1 ⊕ xn−2 ⊕ . . . ⊕ x1 ⊕ x0
bei gerader Anzahl von Einsen 0 sonst 1
erkennt jede ungeradzahlige Bitverfälschung
doppelt so viele mögliche wie zulässige Datenworte;
alle Verfälschungen gleichwahrscheinlich: pE ≈ 50%
überwiegend Einzelbitfehler: pE 50%
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 60/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Paritätstest für DRAMs und Speicherriegel
Bitleitung
n+
Auswahlleitung UDD
0000
1111
000
111
0000
1111
n+
Speicherkapazität
Alphateilchen
Substrat (niedrigstes Potential)
Informationsspeicherung in winzigen Kapazitäten
häufigste Ursache für Datenverfälschungen: Alphastrahlung
Quelle der Alphastrahlung: radioaktiver Zefall (Uran,
Thorium, Spurenelemente im Gehäuse und im Aluminium
der Leiterbahnen). Kernprozesse im Silizium durch
Höhenstrahlung. Seltene Ereignisse.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 61/99
3. Kontrolle, ob zulässig
Bitleitung
3. Prüfkennzeichen
Auswahlleitung U
DD
Energie eines AlphaSpeicher0000
1111
111
000
0000
1111
kapazität
teilchen: 5 MeV; Enern+
n+
Alphagieverlust bei der Geteilchen
nerierung eines Elektronen-Loch-Paares
Substrat (niedrigstes Potential)
≈ 3,6 eV ⇒ Generierung von ≈ 106 Ladungsträgerpaaren; Reichweite ≈ 89 µm;
gespeicherte Ladung ≈ 105 Ladungsträger; Datenverlust
einer oder mehrer benachbarter Zellen möglich
mittlerer Zeitabstand zwischen zwei Datenverfälschungen
Stunden; gleichzeitige Verfälschung durch zwei Alphateilchen
unwahrscheinlich
geometrische Trennung der Zellen eines Datenwortes
(getrennte Schaltkreise oder Speichermatritzen) ⇒
Einzelbitverfälschung je gelesenes Datenwort
100%iger Nachweis durch Paritskontrolle
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 62/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Prüfsumme
Typische Art der Prüfkennzeichenberechnung in
Programmen.
Summation von r-Bit Teilvektoren unter Vernachlässigung
des Übertrags:
Bytewert
Summe ohne Übertrag
0xF3
0xF3
0x17
0x0A
0x45
0x4F
...
...
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 63/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Prüfkennzeichenbildung mit LFSR/CRC
FF3
FF2
FF1
D
D
D
Anfangszustand
Signatur
des Datenfehlers
Sollsignatur
000
111
Initialwert
Schritt 1:
Schritt 2:
Schritt 3:
Schritt 4:
Schritt 5:
Schritt 6:
Schritt 7:
0
0
0
1
1
0
0
0
0
0
1
1
0
0
0
0
0
1
1
0
0
0
0
1
1
0
1
1
1
0
1
001
110
010
011
101
100
Veränderung durch einen Datenfehler
LFSR: linear feedback shift register, linear rückgekoppeltes
Schieberegister.
CRC: cyclic redundancy check, zyklische Redundanzprüfung
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 64/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
LFSR für parallele Datenströme
Dezentrale Rückführung: Rückführung des letzten auf das
erste Bit und die Bits i mit gi = 1
g1
s1
D
x1
g2
gr−1
s2
D
x2
sr
D
x3
xr
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 65/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Zentrale Rückführung: Rückführung des letzten und aller
Bits i mit gi = 1 auf das erste Bit
...
...
x1
gr−1
s1
D
gr−2
g1
sr
D
s2
D
x2
x3
xr
Gebräuchliche Rückführungen:
USB (CRC-5): 5 Bit, nur g2 = 1
Ethernet (CRC-32, IEEE802.3): 32 Bit, g26 = g23 = g22 =
g16 = g12 = g11 = g10 = g8 = g7 = g5 = g4 = g2 = g1 = 1
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 66/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Experiment zur LFSR-Struktur und Rückführung
5-Bit LFSR, Erkennungswahrscheinlichkeit sollte sein
pE = 1 − 2−6 = 98,44%
Test eines Rechenwerks mit einem Testsatz der 250
unterstellte Fehler nachweist: ϕ. = 250
Im Experiment wurden variiert:
Reihenfolge der Tests
Ankopplung an das LFSR
Rückführung
Bestimmung der Anzahl der Maskierungen für insgesamt 96
LFSR-Lösungen
Wenn die Theorie stimmt, ist die Anzahl der maskierten Fehler
poisson-verteilt mit dem Erwartungswert:
E (ϕ.! ) = ϕ. · pF = 250 · 2−6 = 3,9
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 67/99
Testsatz
vorwärts
rückwärts
..
.
Testobjekt
(Rechenwerk vom Typ 74 181)
3. Kontrolle, ob zulässig
Variationen der
Ankopplung
3. Prüfkennzeichen
Variationen des
Eingabenetzwerks SR
c1
c2
e1
e3
c3
c4
e2
e4
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
Variationen
Rückführung
fb1 fb1 fb1
12. Juli 2012 68/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Anzahl der maskierten Fehler
e1
e2
e3
e4
c1 c2 c3 c4 c1 c2 c3 c4 c1 c2 c3 c4 c1 c2 c3 c4 P (ϕ⊲! = k)
20%
vor- fb1 3 4 1 2 3 4 3 3 4 2 4 3 4 3 4 6
wärts fb2 3 4 1 7 2 2 1 4 2 1 1 3 2 5 3 7
fb3 5 2 2 8 4 5 3 4 3 6 3 7 5 3 3 4
10%
fb1 6 4 4 2 3 4 3 4 3 4 3 4 4 8 4 5
rück- fb2 2 0 0 1 4 1 4 1 0 0 0 1 1 1 4 1
0
wärts
0
fb3 2 4 3 4 4 8 5 8 3 3 3 6 3 3 4 3
Experiment
Theorie
2
4
6
8
k
Gute Übereinstimmung Theorie und Experiment.
Die experimentell bestimmte Maskierungswahrscheinlichkeit
scheint unwesentlich kleiner als 2−6 zu sein.
Struktur, Ankopplung und Rückführung des LFSR haben keinen
erkennbaren Einfluss auf die Maskierungswahrscheinlichkeit3 .
3
Es gibt in der Literatur gegenteilige Behauptungen.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 69/99
3. Kontrolle, ob zulässig
3. Prüfkennzeichen
Zusammenfassung
Datensicherung mit fehlererkennenden Codes / Prüfkennzeichen:
geringer Berechnungsaufwand
r-Bit-zusätzlich gespeicherte / übertragenen Information für
eine Datenobjekt beliebiger Größe ⇒
Maskierungswahrscheinlichkeit 2−r ; immer vernachlässigbar
klein wählbar
exzellente Erkennungswahrscheinlichkeit, geringer Aufwand
Dateien, Nachrichten etc. werden fast immer mit einem
Prüfkennzeichen geschützt; Fehlerkennende Codes sind weniger
gebräuchlich.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 70/99
3. Kontrolle, ob zulässig
4. Zeitüberwachung
Zeitüberwachung
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 71/99
3. Kontrolle, ob zulässig
4. Zeitüberwachung
Zeitüberwachung, Stromüberwachung, ...
Außer den Ausgaben eines Systems gibt es weitere fehlersensible
Qualitätsmerkmale:
Zwischenergebnisse, interne Zustände
Stromaufnahme und Erwärmung bei Hardware
bei Software Verarbeitungszeit und Bedarf an dynamisch
verwaltetem Speicher.
Kontrollen von Zwischenergebnissen verbessern die
Beobachtbarkeit lokaler Fehler (⇒ prüfgerechter Entwurf).
Die Überwachung allgemeiner Systemmerkmale wie
Stromaufnahme, Erwärmung, Verarbeitungszeiten,
Speicherbedarf macht zahlreiche Fehler, die am
Eingabe-/Ausgabeverhalten nicht erkennbar sind, sichtbar,
z.B. Systemabstürze.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 72/99
3. Kontrolle, ob zulässig
4. Zeitüberwachung
Unzulässige Zustände und Systemabsturz
System mit n Speicherzellen; 2n Zustände; nicht alle genutzt
Was passiert in den ungenutzten (unzulässigen) Zuständen?
Beispiel 4-Bit-Johnson-Zähler:
Soll-Funktion
0000
0001
0011
1000
s3 s2 s1 s0
0111
1100
1110
1111
Funktion nach einem Absturz
Fehl0100
1001
0010
funktion
kein
Rückweg
1010
1101
0101
0110
1011
Automat durchläuft unzulässigen Zustände zyklisch.
Bis zur Neuinitialisierung keine sinnvolle Reaktion mehr ⇒
Absturz.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 73/99
3. Kontrolle, ob zulässig
4. Zeitüberwachung
Automatische Neuinitialisierung
unzulässige Zustände
Zyklus der zulässigen Zustände
0100.0
1001.0
0010.0
0101.0
1010.0
1011.0
0110.0
1101.0
Übergänge durch
Fehlfunktionen
&
s3 s2 s1 s0 .I
I+
- - - -.1
Ir+
≥1
0000.0
0001.0
0011.0
0111.0
1000.0
1100.0
1110.0
1111.0
x
I
s0
s1
x
I
x
I
s3
s2
x
I
T
Schaltung zur automatischen Neuinitialisierung
Einzeichnen der unzulässigen Zustände; Definition von
Kanten zum Verlassen
im Beispiel automatisches Rücksetzen bei Erkennen der
Zustände 1101 oder 0101
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 74/99
3. Kontrolle, ob zulässig
Watchdog
4. Zeitüberwachung
überwachter Automat
Watchdog
RW
RA
RA Ein Überlauf des Watchdogs initialisiert den Automaten neu
RW Bei einem bestimmten, regelmäßig stattfindenen Zustandsübergang wird der Watchdog neu initialisiert
N = 1000 Speicherzellen ⇒ 21000 Zustände, die meisten
unzulässig
Alternative Zeitüberwachung: Wenn innerhalb eines
vorgegebenen Zeitintervalls kein Zustand erreicht wird, der
den Watchdog rücksetzt, initialisiert dieser das System neu.
Standardlösung für Prozessrechner
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 75/99
3. Kontrolle, ob zulässig
5. Syntaxtest
Syntaxtest
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 76/99
3. Kontrolle, ob zulässig
5. Syntaxtest
Syntaxtest
Eine formale Sprache definiert zulässige Worte durch
Textersetzungsregeln:
Terminalsymbole: Zeichen- oder Zeichenkettenkonstanten
Nicht Terminalsymbole: zu ersetzende Symbole
Beschreibung von Ersetzungsalternativen:
...|... – darf der rechte oder der linke Ausdruck sein
[...] – der Ausdruck ... darf 0 oder einmal eingesetzt werden
{...} – der Ausdruck ... darf beliebig oft aufeinander folgen.
Beispiel:
Anweisung => Zuweisung | if anweisung | ...
Zuweisung => Variable = Ausdruck ;
Ausdruck => uk Ausdruck | ( uk Ausdruck )
uk Ausdruck => Konst. | Variab. | Ausdruck OP Ausdruck
...
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 77/99
3. Kontrolle, ob zulässig
5. Syntaxtest
Zu Kontrolle, ob eine Zeichenfolge so beschriebenen Regeln
gehorcht:
lässt sich ein Automat konstruieren, der
für jede Zeichenfolge als Eingabe nur den korrekten
Endzustand erreicht, wenn die Zeichenfolge die Regeln
erfüllt.
Kontrolliert nicht, ob es das richtige Wort der Sprache ist.
Anwendung:
Programmiersprachen,
Datenbeschreibungssprachen, ...
Der Kontrollautomat lässt sich automatisch aus der
Sprachbeschreibung generieren.
⇒ Sollte aus Informatik 3 bekannt sein.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 78/99
3. Kontrolle, ob zulässig
5. Syntaxtest
Beispiel: Syntaxtest für positive ganze Zahlen
Sprachbeschreibung: Eine Ziffer gefolgt von beliebig vielen
Ziffern und einem Trennzeichen:
Zahl ⇒ z{z}t
z
ja
nein
ja
z
nein
t
ja
Band . . . 1 3 5
ok
5 8 k ...
Start 1
nein
err
Startzustand
z Ziffer erwartet
t Trennzeichen erwartet
√
zulässiges Zeichen
nein kein zulässiges Zeichen
ok Wort erfolgreich abgeräumt
err Eingabefehler
Endzustand
Start 2
Endzustand
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
erwartet
√
z√
z√
z
z (nein)
√
t
Wert
ok
√
z√
z
z (nein)
t (nein)
135
err
ungültig
1
13
135
135
5
58
12. Juli 2012 79/99
3. Kontrolle, ob zulässig
6. Aufgaben
Aufgaben
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 80/99
3. Kontrolle, ob zulässig
1
2
6. Aufgaben
Berechnen Sie die 8-Bit-Prüfsumme der Bytefolge 0x12,
0xad, 0x5b, 0x29. Mit welcher Wahrscheinlichkeit werden
anhand dieser Prüfsumme Datenverfälschungen erkannt?
Gegeben ist folgendes linaear rückgekoppelte Schieberegister
(LFSR):
=1
x
Init
Clk
1
2
y0
=1
R
y1
R
y2
R
Wie hoch ist Fehlererkennungswahrscheinlichkeit?
Auf welches Prüfkennzeichen y = y2 y1 y0 wird die Datenfolge
1001100101111010 (von rechts beginnend) abgebildet
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 80/99
4. Kontrolle Entwurfbeschreibung
(Startwert 000; in jedem Takt liegt ein neuer Bitwert am
Eingang x ).
3
Konstruieren Sie einen Kontrollautomaten, der erkennt, ob
eine Zeichenfolge nach folgenden Regeln gebildet wurde:
’a’ <z> {<z>} <t> {<t>}
z => ’0’ | ’1’| ... | ’9’
t => ’ ’ | \n
(’a’, ’1’, ... ,’9’, – darstellbare Zeichen; ’ ’ – Leerzeichen; \n –
Zeilenumbruch)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 81/99
4. Kontrolle Entwurfbeschreibung
Kontrolle Entwurfbeschreibung
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 81/99
4. Kontrolle Entwurfbeschreibung
Kontrolle der Entwurfsbeschreibung4
Fehler
!
statischer
Test
!
Fehler
korrekte Eigenschaft
Störung
korrekt klassifiziert
! falsch klassifiziert
! Phantomfehler
Verfahren zum Erkennen von Fehlern in der Entwurfsbeschreibung ohne Durchführung oder Simulation von Tests:
Inspektion (korrekturlesen Spezifikation,
Systembeschreibung etc.)
Korrektheitsanlysen (symbolische Simulationen,
Beweistechniken etc.)
Stilanalyse, ...
4
Wird in der Fachliteratur auch als statischer Test bezeichnet.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 82/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Inspektion
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 83/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Inspektion (Review)
Kontrolltätigkeit, Sichtprüfung (von lat. inspicere = besichtigen,
betrachten); wird angewendet auf:
Dokumente (Spezifikation, Nutzerdokumentationen, ...)
Programmcode, Testausgaben
Schaltungsbeschreibungen
gefertigte Schaltungen (Sichtprüfung)
Wesentliche Eigenschaften einer manuellen Inspektion
zufälliger Fehlernachweis mit subjektiver Komponente
auch Nachweis von Nicht-Funktionsfehlern
auch für frühe Entwurfsphasen
Inspektor ungleich Autor: Know-How-Weitergabe
Vier-Augen-Prinzip (spezielle Form der Diversität)
Vier Augen sehen mehr als zwei. Sprichwort
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 84/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Inspektion als Filter
Fehlerentstehungsprozess
Inspektion als Filter
!
spezifizieren
testen
entwerfen
fertigen
dokumentieren
Inspektion
!
Fehlerbeseitigung
korrekte Entwurfs- und Fertigungsvorgaben und Produkteigenschaften
Fehlfunktion: fehlende, falsche
Vorgaben und Produkteigenschaften
Prozessfehler
Prozessstörungen
korrekte Eigenschaft
Systemfehler
korrekt klassifiziert
! falsch klassifiziert
! Phantomfehler
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 85/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Gütemaße (vergleichbar mit denen für Tests)
!
spezifizieren
testen
entwerfen
fertigen
dokumentieren
Inspektion
!
Fehlerbeseitigung
Inspektionsfehlerüberdeckung:
ϕ√
ϕ
Effizienz: gefundene Abweichungen pro Mitarbeiterstunde
Effektivität: gefundene Abweichungen je 1000 NLOC5
Phantomfehlerrate: Phantomfehler pro je 1000 NLOC
IF C =
5
NLOC: Anzahl der Nettocodezeilen (Codezeilen ohne Kommentare);
Maß der Programmgröße.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 86/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Capture Recapture
Schätzverfahren für die Größe von Tierpopulationen [1, 3, 2].
Aus einer Menge M unbekannter Größe wird eine Menge
M1 von Tieren eingefangen, gekennzeichnet und freigelassen
Nach Vermischung der Population eine zweite Menge M2
von Tieren eingefangen und gekennzeichnete Tiere zählen.
bei tierunabhängiger Einfangwahrscheinlichkeit
M
|M|
Veranschaulichung der Proportionalität
durch den Strahlensatz
|M2 |
M2
|M1 |
M1
M1 ∩ M2
|M1 ∩ M2 |
(|. . .| – Größe der Menge.)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 87/99
4. Kontrolle Entwurfbeschreibung
M
|M|
Veranschaulichung der Proportionalität
durch den Strahlensatz
|M2 |
M2
|M1 |
M1
1. Inspektion
M1 ∩ M2
|M1 ∩ M2 |
M1 ∩ M2 – Menge der Tiere, die beim zweiten Einfangen
gekennzeichnet sind / beide Male eingefangen wurden
|M1 |
|M1 ∩ M2 |
≈
|M|
|M2 |
Geschätzte Größe der Tierpopulation:
|M| ≈
|M1 | · |M2 |
|M1 ∩ M2 |
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 88/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Fehler statt Tiere
Zwei Inspektoren i finden jeweils eine Menge von Mi
Fehlern:
|M1 | · |M2 |
|M| ≈
|M1 ∩ M2 |
|M| – Anzahl aller erkennbaren Fehler; |M1 ∩ M2 | – Anzahl
der von beiden Inspektoren unabhängig voneinander
gefundenen Fehler.
Inspektionsfehlerüberdeckung (Anteil der insgesamt
gefundenen Fehler von der geschätzten Gesamtanzahl):
ϕ√
|M1 ∪ M2 |
|M1 ∩ M2 | · |M1 ∪ M2 |
F CI =
=
≈
ϕ
|M|
|M1 | · |M2 |
Schätzwert für |M| und damit auch der von F CI unterliegt
zufälligen und systematischen Fehlern.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 89/99
4. Kontrolle Entwurfbeschreibung
1. Inspektion
Schätzfehler
Das Modell unterstellt, dass sich alle Fehler/Tiere unabhängig
und gleichwahrscheinlich einfangen lassen und große Zahlen.
Ursachen für Abhängigkeiten beim Einfangen:
gute Behandlung der eingefangen Tiere, so dass sie gern
wiederkommen
Datenaustausch zwischen den Inspektoren
Die Nachweiswahrscheinlichkeit für Fehler variiert über
Zehnerpotenzen:
Verfahren auf gut durch Inspektion nachweisbare Fehler
beschränkt.
Durch Inspektion sind andere Fehler gut nachweisbar als
durch Test; d.h. beide Verfahren ergänzen sich.
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 90/99
4. Kontrolle Entwurfbeschreibung
2. Korrektheit
Korrektheit
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 91/99
4. Kontrolle Entwurfbeschreibung
2. Korrektheit
Korrektheitskontrollen
Test und Inspektionen: kein 100%iger Nachweis funktionaler
Vorgaben
Korrektheitskontrollen: 100%iger Nachweis bestimmter
Vorgaben oder 100%iger Ausschluss bestimmter Fehler
unterschiedlichen Wissensgebieten zugeordnet
Korrektheitskontrollen mit praktischer Bedeutung:
Beschreibung in formaler formalen Sprache
Syntaxkontrolle (siehe Abschn. 3.5)
synchrone digitale Schaltungen
Laufzeitanalyse
Ausschluss laufzeitbedingter Fehler
Regelungstechnik
Nachweis der Stabilität von Regelkreisen
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 92/99
4. Kontrolle Entwurfbeschreibung
2. Korrektheit
Verfahren mit geringerer praktischer Bedeutung
(zu schwierig, zu unhandlich, noch im Forschungsstadium)
Logikbeschreibungen
Umrechnung in übereinstimmende Normalformen
Nachweis der Identität
einfache Programme
Nachweis der Funktionsgleichheit
Nachweis der Zulässigkeit der Ausgabe für alle zulässigen
Eingaben
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 93/99
4. Kontrolle Entwurfbeschreibung
2. Korrektheit
Konstruktive Korrektheit
Prinzip: Zusicherung von Produkteigenschaften durch den
Konstruktionsalgorithmus
Ausschluss des Menschen aus Routineentwurfsaufgaben
besser vorhersagbare und wesentlich fehlerärmere Ergebnisse
besser gestellte Probleme als die entsprechenden
Identitätsbeweise
Kostenersparnis
Codegeneratoren
Programmrahmen aus UML-Beschreibungen
Programmrahmen aus graphisch erzeugten Oberflächen
Schaltungsgeneratoren (parametriertes Modell =>
Schaltung)
Compiler (Hochsprache => Maschinencode)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 94/99
4. Kontrolle Entwurfbeschreibung
3. Stilanalyse
Stilanalyse
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 95/99
4. Kontrolle Entwurfbeschreibung
3. Stilanalyse
Stilanalyse
Kontrolle auf Einhalten von Beschreibungsregeln:
Regeln für Bezeichner
Regeln für Modulgrößen
Verbot unsicherer Beschreibungskonstrukte (z.B.
Automotive C: keine Zeiger, keine dynamische
Speicherverwaltung, ...)
Automatisierung:
Warnungen von Übersetzern
Case-Werkzeuge
die TCL-Skripte in EDK
...
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 96/99
4. Kontrolle Entwurfbeschreibung
4. Aufgaben
Aufgaben
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 97/99
4. Kontrolle Entwurfbeschreibung
1
4. Aufgaben
Beweisen, dass die nachfolgenden logischen Ausdrücke
dieselbe logische Funktion beschreiben bzw. das Gegenteil.
(Wertetabelle.)
y1 = (x1 ⊕ x2 ) ∧ (x1 ∨ x3 )
y2 = x1 x̄2 ∨ (x1 ⊕ x2 ) x3
y3 = x1 x̄2 ∨ x1 x3 ∨ x2 x3
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 97/99
4. Kontrolle Entwurfbeschreibung
x3
x2
x1
y1
y2
y3
0
0
0
0
0
0
0
0
1
1
1
1
0
1
0
0
0
0
0
1
1
0
0
0
1
0
0
0
0
0
1
0
1
1
1
1
1
1
0
1
1
1
4. Aufgaben
1
1
1
0
0
1
Die Funktionen zur Bildung von y1 und y2 sind gleich
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 97/99
4. Kontrolle Entwurfbeschreibung
2
4. Aufgaben
Die Funktion zur Bildung von y3 weicht in einer Zeile ab
Prüfen Sie für die nachfolgende Berechnung, dass alle
zulässigen Eingabewerte auf zulässige Ausgabewerte
abgebildet werden:
a, b ∈ [−9, 10]
c ∈ [−6, 5]
d ∈ [−128, 127]
d = (a+b) * c;
Wertebereich des Additionsergebnisses: -18 bis +20
Wertebereich Produkt: min(-18*5, -6*20)=-120 bis
max(-6*-18, 5*20)=108
mit dem Wertebereich von d darstellbar
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 97/99
4. Kontrolle Entwurfbeschreibung
3
4. Aufgaben
Beispiele für Stilanalyse gesucht?
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 98/99
4. Kontrolle Entwurfbeschreibung
4. Aufgaben
Aufgabe Inspektionsgüte
Inspektionsergebnisse für ein Programm aus 1000 Codezeilen:
Inspektor 1: 28 gefundene Fehler in 2 Stunden
Inspektor 2: 32 gefundene Fehler in 2,5 Stunden
19 übereinstimmende gefundene Fehler
Gesucht:
Effizienz und Effektivität (je Inspektor, für beide zusammen)
zu erwartende Anzahl der noch zu findenden Fehler
Inspektionsfehlerüberdeckung (je Inspektor, für beide
zusammen)
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 98/99
4. Kontrolle Entwurfbeschreibung
4. Aufgaben
Aufgabe Verteilung IFC
Welche Verteilung haben Effizienz und die Effektivität einer
Inspektion unter der Annahme, dass die Fehler unabhängig
voneinander auftreten und nachgewiesen werden, die
Nachweiswahrscheinlichkeit für alle Fehler gleich der
Inspektionsfehlerüberdeckung und die Auftritthäufigkeit aller
Fehler gleich sind:
wenn unterschiedliche Code-Bausteine vom selben Inspektor
derselbe Code-Baustein von unterschiedlichen Inspektoren
korrekturgelesen wird.
fehlerbezogener Zufallsexperimente und Zufallsvariablen
definieren
Berechnungsvorschriften für Erwartungswert und Varianz
Nachschlagen, ob es eine Verteilung mit diesen
Eigenschaften gibt
Kontrolle, ob die formulierten Experimente zur Verteilung
Prof. G. Kemnitz · Institut für Informatik, Technische Universität Clausthal
12. Juli 2012 99/99
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertisement