Предупреждение дефектов на ранних стадиях проектирования аппаратно-программных комплексов на основе положений теории интерсубъективного управления

Всё возрастающая роль систем обработки информации и управления в жизни современного общества обусловила необходимость появления нового направления научных исследований и создания прикладных инструментов - дефектологии аппаратно-программных комплексов (АПК) [1-4]. К числу опорных в рамках этого направления относятся понятия «качество» и «симптомы дефектов» (последние выражаются в отклонении показателей качества изделия от базовых показателей качества).

Необходимость разработки подходов к анализу симптомов дефектов вызывается тем, что это создаёт информационный базис для принятия обоснованных решений, во-первых, о действиях по локализации и устранению дефектов и, во-вторых, об объёмах ресурсов, которые следует выделить для снижения количества дефектов до уровня, приемлемого с точки зрения пользователя изделия [5].

Понятие «дефект» неразрывно связано с понятием «базовый образец» [6], «эталонный образец». Это обусловлено тем, что о проявлении дефекта можно говорить лишь в том случае, если определены «базовые», либо «эталонные» свойства изделия.

Определим различие в понятиях «базовые» и «эталонные» свойства.

Базовые свойства соответствуют характеристикам изделий, представленным в официально утверждённых документах [6]. Эталонные свойства соответствуют субъективному представлению отдельного субъекта о желаемых свойствах изделия, не представленных в каких-либо официальных документах.

Одним из основных понятий управления качеством объектов являются понятия: базового образца; базовых значений показателей качества, в том числе показателей функциональной безопасности; определение допустимых отклонений показателей от базовых [7]. Это, в свою очередь, создаёт основу нормирования трудоёмкости мероприятий, направленных на уменьшение количества неустранённых дефектов до уровня, соответствующего приемлемому риску [51-

Задача оценивания значения отклонения показателей качества от эталонных давно и успешно решается применительно к техническим системам. Примером может служить раздел теории надёжности технических изделий - надёжность аппаратных компонентов автоматизированных систем [8]. Базовые значения показателей качества и отклонения от них относятся к классу «жёстких параметров» [7], т.к. в их основе лежат измерительные данные. Иными словами, получаемые оценки отклонений фактических значений показателей качества от базовых являются объективными, т.к. значения измеряемых параметров определяются объективными законами природы.

Возрастание роли программной составляющей в обеспечении функциональной пригодности и безопасности систем управления и обработки информации вынуждает корректировать подходы к формированию базовых показателей и оцениванию степени отклонения от базовых показателей. Это обусловлено необходимостью переосмысления роли персональных онтологий акторов1 в постановке задач, связанных с проектированием и конструированием систем управления и обработки информации, в особенности на ранних стадиях проектирования [10].

Рассматриваемые в статье подходы к конструированию потребительских свойств базовых образцов на основе формирования единого смыслового пространства акторов являются развитием методического и инструментального направлений в управлении функциональной безопасностью АПК [11].

• 1    Особенности реализации ранних стадий проектирования аппаратно-программных комплексов

В [12] отмечается, что примерно 50% возможностей систем обработки данных (СОД) остаются невостребованными пользователями. Там же отмечается, что степень вовлечённости пользователей в разработку программных систем входит в первую тройку факторов, обуславливающих успех либо провал программного проекта. В [9, 13] и ряде других публикаций обосновывается необходимость смены методической основы управления системами, в которых доминирующую роль играет субъект: совершить переход от классической научной рациональности к постнеклассической. К числу основных задач, связанных с реализацией интерсубъективного управления, относятся осознание проблемной ситуации (ПС); осмысление ПС; поиск компромисса автономными неоднородными акторами по урегулированию ПС [9].

Рассмотрим кратко содержание этих задач применительно к начальной стадии проектирования АПК - формирования внешнего облика СОД.

Осознание ПС. Необходимость проектирования новой СОД либо модернизации существующего АПК может быть обусловлена либо внешними причинами (изменение состояния объекта, информационную поддержку управления которым обеспечивает СОД), либо внутренними причинами (изменением персональных онтологий субъектов, вовлеченных в управление сложной системой, в результате получения ими новых знаний), либо тем и другим. Осознание отдельными акторами, вовлечёнными в управление одним и тем же сложным объектом, недостатков существующей СОД побуждает их искать новые способы получения необходимой для решения задач управления информации, в том числе образовывать на добровольной основе творческие коллективы, формирующие предложения по потребительским свойствам АПК2.

Осмысление ситуации. Разнопрофильные специалисты, осознавшие необходимость изменения потребительских свойств существующей СОД, изначально имеют разное представление о способах урегулирования ПС. Это обусловлено, во-первых, тем, что разные акторы вовлечены в решение различных задач управления. В силу этого их неудовлетворенность вызвана разными причинами, и их пожелания и предложения по совершенствованию свойств АПК изначально не совпадают, а иногда имеют противоположный смысл. Во-вторых, различие в предложениях обусловлено различием персональных онтологий акторов, т.е. каждый из них вкладывает в ПС свой смысл (содержание понятия «персональная онтология» раскрывается в [14]). Добровольное стремление акторов к повышению эффективности информационного обеспечения задач управления, с одной стороны, и изначальное различие точек зрения на то, ЧТО нужно для этого сделать, создают предпосылки для формирования акторами единого смыслового пространства. Это, в свою очередь, является основой возникновения интерсубъективного знания о подходах к совершенствованию потребительских свойств АПК.

Формирование консолидированного мнения о внешнем облике АПК. Формирование единого смыслового пространства разнопрофильными специалистами - единомышленниками, озабоченными повышением ценности СОД, создаёт условия для формирования «идеального» внешнего облика АПК. Термином «идеальный» подчёркивается то обстоятельство, что возможности практической реализации такого АПК ограничиваются доступными ресурсами организации. Тем не менее, наличие «идеального» внешнего облика, наличие единого смыслового пространства и добровольное стремление урегулировать ПС позволяет осознанно и согласованно ранжировать по значимости потребительские свойства СОД³ (требование обязательного определения ранга разных требований пользователей оговорено в [15, 16]).

Описание «идеального» внешнего облика СОД, а также признаваемые акторами ранги потребительских свойств АПК позволяют обоснованно формировать базовые требования к свойствам изделий с учётом объёмов доступных ресурсов организации. В последующем базовые свойства трансформируются в спецификации функциональных и нефункциональных требований.

Отметим, что формирование внешнего облика АПК на основе единого смыслового пространства акторов обеспечивает снижение количества фундаментальных дефектов, допуска- емых на ранней стадии проектирования СОД. Вместе с тем, следует подчеркнуть, что в силу низкой формализации процедуры перевода описания потребительских свойств на языке пользователей в описание свойств АПК на языке разработчика, возможно возникновение ошибок перевода и обусловленных этим дефектов в технических заданиях на разработку программных компонентов.

• 2    Базовый образец как мост между миром повседневности и миром систем

Свойства базового образца, представляющего собою результат договоренности заинтересованных сторон, является потенциальной причиной различного отношения акторов к одним и тем же проявлениям дефектов на стадии использования АПК. Действительно, персональные представления отдельного актора о свойствах «идеального» с его точки зрения изделия, отличаются от свойств базового образца, являющегося результатом взаимных уступок акторов. В силу этого у разных акторов будет наблюдаться разное отношение к одним и тем же проявлениям дефектов (феномен различной реакции разных пользователей на одни и те же проявления дефектов отмечается, например, в [17]). Отмеченное обстоятельство делает зависимым от актора толкование понятий «функциональная пригодность», «вредные и полезные функции системы», «ошибка», «дефект», «искажение данных» и т.д.

Формирование признаваемого всеми неоднородными акторами описания внешнего облика АПК является мостом между «миром повседневности акторов и миром систем» [18], т.е. между вопросами ЗАЧЕМ и ЧТО , с одной стороны, и КАК , с другой стороны. Перевод программного проекта в «мир систем» позволяет в дальнейшем использовать при проектировании стандартные подходы, типовые руководства и приёмы [6, 15, 16, 19].

В работах, посвящённых проектированию АПК, отмечается, что неоспоримой предпосылкой успешного исхода проекта реализации СОД является высокое качество спецификации требований пользователей. Согласно [19] спецификация требований пользователей является входом проекта, но не составной частью проекта. Этим, на наш взгляд, сторонники «тяжёлых» методологий (основу которых составляет системный подход к управлению сложными изделиями) стремятся показать, что мост между миром повседневности и миром систем уже пройден и реализация проекта перешла в «мир систем». Иными словами, закреплённый в действующих нормативных документах подход к проектированию АПК стремится в своей основе дистанцироваться от фундаментальных дефектов, возникающих на стадии формирования внешнего облика АПК.

Вместе с тем, следует обратить внимание на ограничения подхода к формированию внешнего облика АПК, в основе которого лежат положения теории интерсубъективного управления. Изменение внешней и внутренней сред, как объекта управления, так и управляющей системы, вынуждает акторов постоянно пересматривать свойства базового образца. В силу того, что пересмотр свойств требует согласования позиций неоднородных акторов, стремление к формированию «хорошего» базового образца может привести к тому, что скорость модернизации АПК будет меньше, чем скорость изменения внешней по отношению к СОД среды. Иными словами, будет отсутствовать коэволюция между свойствами АПК и внешней средой (свойство коэволюции как отличительного признака сложных систем обсуждается в [20]).

• 3    Вредные и полезные функции аппаратно-программных комплексов

В качестве концептуальной основы построения эталонных/базовых моделей изделий предлагается использовать функциональный поход. Это обусловлено тем, что рассмотрение

АПК на уровне функциональных свойств позволяет сравнивать между собою изделия разной структуры, созданные на разной элементной базе. Функциональный подход создаёт единую платформу для сравнения разных частей изделий.

Одним из основных условий построения эталонных/базовых моделей АПК должен быть учёт того, что при функционировании сложных систем разной природы и различного назначения имеет место одновременная реализация как полезных, так и вредных функций. На необходимость учёта этого обстоятельства обращается внимание, например, в работах [3, 17, 21].

В дальнейшем под полезной функцией АПК понимается такая функция, которая увеличивает ценность продукта (услуги), поставляемого пользователю, либо уменьшает затраты, связанные с получением ценного результата.

Под вредной функцией понимается такая функция, которая уменьшает ценность продукта (услуги), поставляемого пользователю, либо увеличивает затраты, связанные с получением ценного результата.

Одна и та же функция автоматической системы с точки зрения разных акторов, может рассматриваться как полезная и как вредная. В то же время достигнутые между акторами договорённости позволяют найти консенсус и на его основе урегулировать ПС по обмену ресурсами посредством автоматической системы.

Функционированию АПК может быть поставлен в соответствие кортеж вида:

• < HF , UF , £ , SH , Q >  ,

где HF - множество вредных функций, UF - множество полезных функций, £ - множество режимов использования, SH - множество акторов, Q - множество критериев оценивания функциональной пригодности.

При одних и тех же режимах использования АПК содержание кортежа может оказаться различным у разных акторов. Число полезных и вредных функций, реализуемых системой, зависит, во-первых, от требований акторов, во-вторых, от режима использования изделия.

В разных режимах использования £ _k ( k = 1;K ) может реализовывать с точки зрения акторов различное число полезных и вредных функций. При этом отнесение одной и той же функции к классу «полезных» либо «вредных» зависит от режима использования и ценностных установок акторов. Полное множество функций F ^ , которое изделие может реализовать во всех режимах, можно определить как

FЕ = и F *£k • }• k=1

Здесь ( f ^£ ^ } - множество функций, реализуемых изделием в режиме £ _k , т.е. F ^ определяет границы качества АПК в рамках функционального подхода [7].

Пронумеровав элементы множества F ^ , каждому режиму £ _k с учётом ценностных установок m -го актора ( m = 1;M ), можно поставить в соответствие вектор вида:

L = (1, 0, -1, ..., 0,^,1).

Число компонент вектора L совпадает с мощностью множества F ^ . Компоненты вектора имеют следующий смысл: «1» - функция реализуется в объёме, оговоренном в техническом задании (т.е. в объёме, соответствующем базовому изделию), и является для m -го актора полезной; «0» - функция не реализуется; «-1» - функция реализуется в объёме, определённом в техническом задании, и с точки зрения m -го актора является вредной.

Множеству режимов использования изделия { е _к ^ ; множеству акторов { m ^ M , множеству функций F I с учётом (1) можно поставить в соответствие многомерную модель, представленную на рисунке 1.

Рисунок 1 - Многомерное представление эталонных моделей

Представление (1) для реального изделия имеет вид

( ^£ k X ^m )    _ ( ^ k X ^m )     „ ^£k. )( m )

( ^1 a2      )•••) a l где al (£k)(m) - показатель (вес), характеризующий полноту реализации 1-й функции относительно функции, реализуемой базовым образцом в режиме £k с точки зрения m-го актора, al(£k)(m) е [-1; да). Заметим, что показатель al(£k)(m) может отличаться от эталонного значения как в большую, так и в меньшую сторону.

Отклонение в меньшую сторону свидетельствует о наличии дефектов, возникающих при переводе базовых требований в программные продукты и конфигурацию АПК. Нижняя граница a _l ^{( £ k )( m )} подчёркивает то обстоятельство, что наличие непреднамеренного дефекта может сделать «полезную» функцию «вредной» (например, вместо вывода космического корабля на заданную орбиту, уничтожит его при взлете [22]). Отклонения в большую сторону соответствуют наличию функциональных возможностей, превышающих потребности пользователей, иными словами, свидетельствуют о наличии организационных дефектов программного проекта: бюджет проекта тратится на то, чего заказчик не требует. Вопрос о наличии в программных продуктах излишних функциональных возможностей как признака низкого качества управления обсуждается, например, в [12].

В качестве метрической характеристики отклонения функциональных свойств реального изделия от свойств эталонного изделия может выступать, например, длина вектора

L                          ²

( )

d ^{( £} k ^{)( m )}

£ ( _Э1 ( ^£ k ^{)( m )} - a _l<  ^£ k ^{)( m} ^

1 = 1

L где Э1 (£k)(m) - эталонное значение 1 -й компоненты (рисунок 1), a(£k)(m) = [-1; да).

Увеличение показателя d ^{( е )(m)} свидетельствует о том, что в целом возможности реального изделия сильнее отклоняются от эталонного.

Для модели (2) проблемным является вопрос об идентификации количественных харак-

(гк)( m )

теристик a^{1 k,v 7}

Полагая, что функциональные возможности АПК для M -й целевой группы акторов в одинаковой степени важны в разных режимах использования, на основе (2) может быть построена совокупность графических моделей, иллюстрирующих влияние разных дефектов на качество функционирования изделий с точки зрения разных групп акторов в разных временных срезах (рисунок 2).

Этими моделями подчёркивается то обстоятельство, что отношения одного и того же актора к одним и тем же дефектам, проявляющимся в разных режимах функционирования, может изменяться во времени, что может быть обусловлено, например, изменением персональной онтологии актора в результате обучения.

(М-1)-я группа акторов

М-я группа акторов

1 -я группа акторов

М-я группа акторов

1-я группа акторов

2-я группа акторов режим Ei

режим Ек

Q - нулевой временной срез

— - первый временной срез - r-й временной срез

Рисунок 2 - Отклонение от эталонного поведения изделия, обусловленное проявлением совокупности дефектов

• 4 Оценка функциональной пригодности изделийпо совокупности оценок акторов

При создании линейки программных продуктов одним из способов повышения качества информационного обеспечения проектных решений на ранней стадии проектирования составляет изучение мнений пользователей о потребительских свойствах существующих версий этих продуктов. Анализ результатов подконтрольной эксплуатации АПК создаёт основу для изменения конфигурации программных компонентов путём исключения из состава системы функций, не соответствующих реальным потребностям акторов. Исключение невостребованных функций означает устранение фундаментальных дефектов, приводящих к наличию у изделий свойств, малозначительных с точки зрения акторов.

Основу фундаментальной процедуры выявления свойств, не представляющих ценности с точки зрения акторов, может составить технология, основанная на использовании функции принадлежности, описанная в [23].

Преобразуем куб матриц, представленный на рисунке 1, к виду, представленному на рисунке 3.

Сформируем набор значений лингвистической шкалы: «ненужная функция», «функция, ценность которой сомнительна», «необходимая функция». Поставим этим лингвистическим переменным, например, следующие значения балльной шкалы востребованности функций:

• ■    ненужная функция - диапазон от 0 до 3 баллов;

• ■    функция, ценность которой сомнительна - диапазон от 2 до 8 баллов;

• ■    необходимая функция - диапазон от 7 до 10 баллов.

Каждому q -му значению предлагаемой шкалы присваивается своя нечёткая функция принадлежности p _q , определяемая на балльной оси. Положение максимума q -й функции принадлежности является его опорным значением r_q . В случае, если максимальному значению соответствует подынтервал балльной шкалы, опорным значением является середина подынтервала. Для описанной выше лингвистической шкалы предлагаются функции принадлежности, представленные на рисунке 4.

Функции

Рисунок 3 - Преобразованный куб матриц

Рисунок 4 - Функция принадлежности лингвистической шкалы

В терминах лингвистической шкалы m -й актор ( m - 1;M ) выражает свое мнение о целесообразности включения l -й функции ( l - 1 ; L ) в набор функций, реализуемых базовым образцом в k -м режиме использования объекта s _k ( k - 1;K ). Помимо этого, актор указывает степень уверенности своего заключения, выраженного числом p l е [0, 1]. В расчет принимаются лишь полезные/вредные функции, т.е. такие, которым в модели базового образца в k -й строке ставятся в соответствие значения «+1», «-1».

Для каждого из режимов е _к с учетом оценки качества реализации l -й функции с точки зрения m -го актора рассчитывается скалярная величина, дающая совокупную оценку значимости дефектов [25]:

т *(k),(m)

L k

( m )  ( k ),( m )

^r l    ^p l

7(k)(m) _  l-1________________ т *(k),(m) Lk

V   n ( k ),( m )

/ j pl l-1

*(k),m) ( m )

где L k - число ненулевых ячеек в k -й строке m -й матрицы; r^ ' - опорное значение, соответствующее лингвистической оценке l -й функции, данной m -ым актором по результатам подконтрольной эксплуатации.

Пример. Предположим, разработано ГИС-приложение для информационной поддержки управления прохождением паводковой ситуации на ограниченной территории, позволяющее моделировать зоны затопления с учетом уровня воды на постах контроля. По результатам использования данного приложения производится опрос пользователей (акторов), целью которого является выяснение их удовлетворенности свойствами ГИС-приложения. Набор значений лингвистической шкалы и функция принадлежности аналогичны приведённым на рисунке 4. Предположим, в k -м режиме приложением реализуются две функции, т.е. p OdOm) _ 2. Актор оценивает результаты реализации функций следующим образом:

F i : {“необходимая функция”; р 1 — 0 , 8}

F 2 : {“ненужная функция”; р ₂ - 0 , 7 }

Опорное значение для лингвистической переменной «необходимая функция» составляет r 1 = 9,5 балла. Опорное значение для лингвистической переменной «ненужная функция» составляет r ₂ = 0,5 баллов. Согласно (3)

_Z(k)(m) _- 9,5 • 0,8 + 0,5 • 0,7 _- 5 ₃ 0,8 + 0,7 ' '

Ближайшее к числу 5,3 опорное значение равно пяти, чему соответствует лингвистическая переменная «функция, ценность которой сомнительна». Для Z^m - 5,3 значение функции принадлежности p ^{k ),( m )} практически равно единице. Таким образом, по совокупности результатов эксплуатации m -й актор оценивает функционирование ГИС-приложения как «функция, ценность которой сомнительна» со 100% уверенностью.

Полученные результаты позволяют заключить, что в целом приложение представляет для пользователя интерес, однако, одна из функций либо требует серьезной доработки, либо эти функции следует исключить из приложения.

Заключение

По данным отчётов Standish Group [12, 24] и др., потребительские свойства АПК, создаваемых в рамках действующей системы стандартов, руководств и рекомендаций, в неполной мере соответствуют требованиям и ожиданиям пользователей СОД.

Перспективным подходом к уменьшению количества фундаментальных дефектов, соответствующих стадии формирования внешнего облика АПК, является принятие в качестве методической основы положений теории интерсубъективного управления. Использование положений теории интерсубъективного управления обеспечивает возможность формирования консолидированных решений, основанных на консенсусе неоднородных акторов о потребительских свойствах СОД.

Предложенные модели позволяют формализовать некоторые процедуры формирования внешнего облика АПК с учётом мнений разных акторов. Использование предлагаемых моделей позволяет получать сопоставимые оценки альтернатив внешнего облика АПК на ранних стадиях проектирования.

Работа поддержана грантами РФФИ 16-08-00442 «Управление функциональной безопасностью аппаратно-программных комплексов в составе сложных технических систем», 15-08-01758 «Методологические и методические основы анализа техногенной безопасности в условиях неопределённости состояния объектов управления».