计算机系统基础知识（十七）：软件篇之系统工程详解（下篇）——软件可靠性建模、设计技术及MBSE实践

前言在上篇和中篇中我们学习了系统工程的基本概念、霍尔三维结构方法论以及系统性能与可靠性的定量分析方法。下篇将聚焦于系统工程中最具实践指导意义的三个核心领域——软件可靠性建模、可靠性设计技术以及基于模型的系统工程MBSE。如果说中篇的串联/并联可靠性计算教会了我们“怎么算”那么下篇的内容将告诉我们“怎么做”——如何通过数学模型预测软件的失效行为如何通过设计技术容错、避错、检错提升系统可靠性以及如何利用MBSE方法论在复杂系统开发中实现“模型驱动决策”。这些内容既是考试的重点更是架构师在实际工程中必须掌握的技能。一、软件可靠性建模软件可靠性建模是系统架构设计中评估和预测软件系统故障概率的核心技术通过数学模型量化系统可靠性指标如MTTF、MTBF为架构设计提供数据支撑。在系统架构设计师考试中该考点是选择题、案例分析题的高频命题方向并可能涉及架构设计论文题。1.1 软件可靠性的核心概念与指标软件可靠性是指软件系统在规定条件下和规定时间内能够正确执行其预期功能的能力是衡量软件质量的重要指标之一反映了软件的稳定性和健壮性。核心可靠性指标包括指标全称含义说明MTTF平均无故障时间从开始运行到首次失效的平均时间适用于不可修复系统MTBF平均故障间隔时间两次故障之间的平均时间含修复时间适用于可修复系统MTTR平均修复时间修复故障所需的平均时间衡量恢复能力失效强度Failure Intensity单位时间内发生的失效次数衡量故障发生频率可用性Availability系统可用的时间占总时间的比例A MTBF/(MTBFMTTR)在考试中这五个指标常以选择题形式考查定义辨析。需特别注意MTBF包含修复时间MTTF不包含两者概念不可混淆。1.2 软件可靠性建模方法分类常见的软件可靠性建模方法可从多个维度进行分类。按数据来源可分为静态模型和动态模型两大类静态模型基于代码特性静态模型在需求/设计阶段早期评估需配合代码复杂度分析工具使用。典型代表有Musa基本执行时间模型通过代码执行路径数预测故障率考虑执行时间而非日历时间故障播种模型人工植入故障后统计检测率推算原生缺陷密度动态模型基于运行数据动态模型在系统测试阶段应用需至少收集100次以上失效数据。典型代表有Jelinski-Moranda模型假设故障间隔时间服从指数分布故障率与剩余缺陷数成正比Goel-Okumoto NHPP模型考虑缺陷修复带来的可靠性增长失效强度呈指数衰减Markov链模型通过状态转移矩阵计算系统可靠性如从“正常”到“降级”的概率适用于多组件交互的分布式系统故障树分析用逻辑门AND/OR分析顶层故障的根因组合适用于安全关键系统考试提示经典时间域模型中Goel-Okumoto模型在敏捷迭代项目如互联网应用中适用Jelinski-Moranda模型在传统瀑布模型开发的系统如银行核心系统中适用。1.3 软件可靠性模型的组成与理想特性一个完整的可靠性模型通常包括四个组成部分模型假设对软件运行、缺陷发现、修复等行为的基本前提性能度量衡量可靠性的目标指标如失效率、平均无故障时间等参数评估方法如何从测试或运行数据中得出模型参数数据要求所需的数据类型和数量如失效次数、时间间隔等一个好的软件可靠性模型应该具有如下重要特性①基于可靠的假设②简单③计算一些有用的量④给出未来失效行为的好的映射。1.4 影响软件可靠性的因素软件的可靠性并非孤立存在它受多种因素的共同影响主要包括影响因素具体说明运行环境操作系统平台、网络状态、硬件资源等软件规模代码行数、模块数量等规模越大潜在缺陷越多软件内部结构耦合度、复杂度、模块化程度等开发方法与环境开发流程规范程度、工具选型、版本控制等可靠性投入测试资源、人员素质、质量保障机制等1.5 现代可靠性建模技术趋势根据近5年考试数据分析可靠性建模的考查趋势正在从传统数学模型向AI辅助预测发展云原生系统的可靠性建模成为新热点。值得关注的现代技术包括基于架构的可靠性分析构建组件可靠性框图确定组件间依赖关系通过串联/并联公式计算系统整体可靠性。机器学习预测模型利用随机森林高解释性、LSTM时序预测等算法基于代码复杂度指标、测试覆盖率、历史失效模式进行预测。混沌工程主动注入故障验证系统韧性Netflix的Chaos Monkey是典型代表。云原生可靠性工具链服务网格如Istio实现自动熔断和金丝雀发布PrometheusGrafana实现监控告警。二、软件可靠性设计技术软件可靠性设计是确保软件系统可靠运行的一系列技术和措施。主要包括避错技术、降低复杂度设计、检错设计和容错设计四大类。2.1 避错技术避错技术通过设计避免软件在运行时出错。例如使用类型安全的编程语言减少类型错误使用形式化验证方法从数学上证明软件的正确性。典型策略类型安全编程、形式化验证、代码静态分析工具如SonarQube、Coverity。2.2 降低复杂度设计降低复杂度设计通过减少软件系统的复杂度来降低错误发生的概率。软件复杂性主要由模块复杂性模块内部数据流向、程序长度和结构复杂性不同模块之间的关联程度构成与软件可靠性有着密切的关系是产生软件缺陷的重要根源。设计原则模块化设计使各部分功能清晰、简单在保证实现软件功能的基础上简化软件结构缩短程序代码长度优化软件数据流向减少耦合度2.3 检错设计出错告警检错设计在软件运行时监控可能的错误并在检测到错误时发出告警。适用于无须在线容错或不能采用冗余设计技术的部分且对可靠性要求较高、故障后果严重的场景。设计时需考虑的要素检测对象容易出错的地方、出错对软件系统影响较大的地方检测点选取有代表性的、易于判断的指标检测延时从软件发生故障到被自检出的时间实现方式判断返回结果、计算运行时间、置状态标志位典型实现使用断言和日志记录在关键位置添加运行时监控。2.4 容错设计技术容错设计是软件可靠性设计的核心即使在出现错误的情况下也确保软件系统能继续运行。容错设计包含三种主流技术恢复块设计、N版本程序设计和冗余设计。恢复块设计动态冗余恢复块设计是一种动态冗余技术通过选择一组程序的操作作为容错设计单元从而把普通的程序块变成恢复块。工作原理一个恢复块包含若干个功能相同、设计差异的程序块文本每一时刻有一个文本处于运行状态一旦该文本出现故障则用备份文本加以替换关键要点设计时应保证实现主块和后备块之间的独立性避免相关错误的产生使主块和备份块之间的共性错误降到最低程度必须保证验证测试程序的正确性N版本程序设计静态前向恢复N版本程序设计是一种静态的故障屏蔽技术采用前向恢复的策略设计出多个不同版本或模块通过并行运行多个功能相同但实现不同的程序版本实行多数表决比较它们的输出来提高可靠性。独立性的核心要求——这是考试中极易混淆的考点要求各个不同的软件设计人员彼此不交流程序设计使用不同的算法、不同的编程语言、不同的编译程序使用不同的设计工具、不同的实现方法和不同的测试方法软件的需求说明必须具有完全性和精确性技术对比2025年考试需特别关注技术冗余类型恢复策略版本关系要求N版本程序静态前向恢复完全独立恢复块方法动态后向恢复可部分复用M模冗余静态前向恢复硬件级相同高频误区错误认为“版本可由同一团队开发”→ 必须独立混淆“前向恢复”与“后向恢复”→ 前者无回滚操作误将M模冗余等同于N版本→ 前者多用于硬件容错N版本程序设计的高频特征词识别当题干出现“静态故障屏蔽”、“多数表决”、“独立开发团队”时优先考虑N版本程序设计。排除干扰项特征恢复块方法含“接受测试”和“回滚”M模冗余强调“相同硬件副本”。冗余设计冗余设计是在一套完整的软件系统之外设计一种不同路径、不同算法或不同实现方法的模块或系统作为备份在出现故障时可以使用冗余的部分进行替换从而维持软件系统的正常运行。冗余可分为结构冗余额外的硬件或软件组件如双机热备、集群信息冗余增加额外的信息如校验码以便检测或修正错误时间冗余通过重复执行操作来校验结果的正确性2.5 系统配置中的容错技术双机热备技术双机热备是一种软硬件结合的较高容错应用方案由两台服务器系统和一个外接共享磁盘阵列柜以及相应的双机热备份软件组成。三种模式模式工作方式优点缺点Active/Standby一台工作一台监控准备实现简单备机资源浪费双机互备两机运行不同应用互备备份资源利用率高对服务器性能要求高双机双工两机同时运行相同应用负载均衡、互为备份实现复杂服务器集群技术集群技术将多台服务器组合成集群共同对外提供服务。当集群中一台服务器出现故障时服务可以由其他服务器接管保证系统的持续可用。三、基于模型的系统工程MBSE基于模型的系统工程Model-Based Systems EngineeringMBSE是系统工程方法论在数字化时代的重要演进近年来在系统架构设计师考试中的考查频率显著上升。3.1 MBSE的定义与核心价值MBSE指从概念设计阶段开始并持续贯穿于开发和后续生命周期阶段支持系统需求、设计、分析、验证和确认活动的正规化应用。简言之就是用标准的模型语言代替自然语言应用特定的方法论和工具去实现系统工程。其核心目的是在前期仿真迭代、保障对需求的追溯性、规避风险、降低成本并提升效率。MBSE的三大核心要素核心要素说明建模语言使用SysML/UML等标准化图形语言来描述系统建模工具支持画图和关联的软件如IBM Rhapsody、Capella建模思路工作流程如Harmony-SE方法、RUP-SE方法等3.2 传统文档驱动的局限性根据系统架构设计师考试的案例分析真题基于文本的系统设计方式存在以下天然局限性信息孤岛需求、设计、测试等文档相互独立容易产生不一致追溯困难需求变更难以追踪到受影响的设计和测试用例验证滞后只能在系统实现后才能进行验证问题发现晚、修改成本高3.3 MBSE的主流建模方法在考试中可能要求根据项目特点选择合适的MBSE方法方法特点适用场景Harmony-SE方法面向对象的设计方法可将设计工作按照角色、工件和任务类型进行分解生成新的分解结构实现并行设计与迭代开发系统模型贯穿系统研发的整个生命周期安全攸关系统如航空航天强调验证的有效性RUP-SE方法基于统一过程的系统工程方法大型复杂系统开发Vitech MBSE方法并行系统工程活动由四个基本系统工程活动组组成通过公共系统设计库相关联多团队协作项目考试提示根据教材案例对于安全攸关系统如辅助动力控制系统Harmony-SE方法因强调验证的有效性而被认为比较适合宇航环境开发。3.4 SysML建模语言SysML系统建模语言是MBSE的核心建模语言包含多种类型的框图。考试中可能考查各图的适用场景视图类型适用场景需求图表达系统需求及其关系结构图表达系统的层次结构和组件组成状态机图描述网络设备状态迁移如路由器从启动→运行→故障活动图展示业务流程参数图描述约束关系3.5 MBSE在考试中的应用真题考点2022年系统分析师案例分析真题背景某公司长期从事宇航系统的研制任务。随着宇航系统能力的不断提升软件的规模急剧增加对应的缺陷密度呈现出几何增长失效问题越来越严重。为了保证产品的质量公司领导要求在重点项目中实施基于模型的系统工程MBSE。由于辅助动力控制系统关系着飞行器的飞行安全有必要作为试点工程首先实施MBSE方法。题目要点说明什么是MBSE方法列举三个基于文本设计方式的局限性判断Harmony-SE、RUP-SE、Vitech MBSE三种方法的正确描述并说明选择Harmony-SE方法的理由MBSE方法可以通过软硬件建模来预先评估系统的可靠性3.6 MBSE的实践拓展核电领域的MBSE应用中核集团在2025年举办了系统工程交流沙龙推动MBSE技术在核工业的应用。系统工程支持中心汇报了近期工作成果宣贯了《基于模型的系统工程应用工作导则》介绍了系统全生命周期管理平台。高铁领域的MBSE应用轨道交通领域采用MBSE方法使用SysML等标准语言在统一平台内进行需求定义、系统架构设计和功能分析确保需求、设计与验证的一致性整合机械、电气、液压、控制、软件等多领域模型实现跨专业的联合仿真。四、系统工程综合案例分析4.1 2025年5月案例分析真题解析案例背景某科技公司开发在线大模型训练平台支持用户通过浏览器在线进行模型编写、训练和部署。系统设计初期充分考虑了质量属性对平台稳定性、易用性和用户体验的影响。质量属性映射需求描述质量属性系统应在1分钟内分配资源并开始任务运行性能数据库/服务器故障时20分钟内切换保证平台继续运行可用性系统出现故障时继续运行并通知管理员提供各类日志可用性含可观测性用户界面适配不同设备分辨率易用性支持远程用户测试但限定注册用户可测试性/安全性支持不同终端设备和操作系统同时访问互操作性功能调整时3天内完成修改部署可修改性系统级故障时15分钟内完成修复可用性部分模块出错不影响平台整体运行可用性容错性解题启示该题考查将自然语言需求映射到体系质量属性的能力是系统工程知识在架构设计中的应用。第1条关注响应时间与吞吐归属性能第2、3、4、11、12条核心是服务不中断与高可用归属可用性第8条强调测试权限控制归属可测试性第9条跨平台协同归属互操作性第10条强调修改速度归属可修改性。4.2 综合案例航天辅助动力控制系统的可靠性分析背景某航天辅助动力控制系统关系着飞行器的飞行安全需要评估系统可靠性。问题王工指出以往考虑可靠性指标仅仅关注硬件失效问题而不考虑软件失效对系统可靠性的影响。如果不考虑软件失效系统可靠性的MTTF为125.9h。在考虑软件失效的情况下系统可靠性MTTF应大于还是小于不考虑软件失效的MTTF分析要点软件失效会降低系统整体可靠性因此考虑软件失效后的MTTF应小于125.9h需要根据可靠性分布图计算加入软件失效因子后的系统可靠度MBSE方法可以通过软硬件建模来预先评估系统的可靠性在设计阶段发现问题解题思路系统可靠性由硬件可靠性和软件可靠性共同决定。在串联系统中系统可靠度R_system R_hardware × R_software因此增加软件失效因素后系统可靠度必然降低MTTF相应减小。五、历年真题解析软件可靠性与MBSE5.1 选择题例题1可靠性建模模型选择题在银行核心系统测试中需要评估交易模块的缺陷收敛趋势应优先采用的是 。A. Musa基本执行时间模型 B. 故障播种模型 C. Goel-Okumoto NHPP模型 D. 代码行数统计模型解析Goel-Okumoto NHPP模型基于非齐次泊松过程适用于评估缺陷修复过程中的可靠性增长特别适合测试阶段缺陷收敛趋势分析。A/B适用于早期阶段D不属于可靠性模型。正确答案是C。例题2MBSE三大支柱选择题在基于模型的系统工程MBSE中MBSE的三大支柱分别是 。A. 硬件、软件、网络 B. 需求图、用例图、包图 C. 建模语言、建模工具、建模思路 D. 建模软件、仿真环境、数据转换解析MBSE的三大支柱是建模语言如SysML、建模工具支持画图和关联的软件和建模思路工作流程。正确答案是C。例题3SysML图用途选择题在MBSE的SysML图中用于描述网络设备状态迁移的是 。A. 用例图 B. 活动图 C. 状态机图 D. 参数图解析状态机图专用于刻画对象状态变化如路由器从启动→运行→故障用例图描述功能场景活动图展示业务流程参数图用于约束关系。正确答案是C。例题4N版本程序设计识别题 是一种静态的故障屏蔽技术采用前向恢复的策略N版本程序的设计思想是用N个具有相同功能的程序同时执行一项计算结果通过多数表决来选择。A. N版本程序设计 B. M模冗余 C. 恢复块方法 D. 防卫式程序设计解析题干描述的是N版本程序设计的定义包括静态故障屏蔽、前向恢复策略、多数表决机制。M模冗余是硬件容错恢复块方法是动态冗余后向恢复。正确答案是A。例题5可靠性设计概念题下列哪项技术不属于软件可靠性设计的范畴 A. 避错技术 B. 降低复杂度设计 C. 检错设计 D. 性能优化解析性能优化属于性能质量属性的范畴不属于软件可靠性设计的直接内容。避错、降低复杂度、检错、容错、冗余等才是软件可靠性设计的核心技术。正确答案是D。5.2 案例分析题例题6软件可靠性模型应用题某软件系统在测试过程中第1周发现15次失效第2周发现10次失效第3周发现6次失效。请选择合适模型计算第4周预期失效数并评估模型适用性。解析选择Goel-Okumoto模型其公式为 m(t) a(1 - e^(-bt))。根据给定数据拟合参数a和b后可预测第4周的预期失效数约为3-4次。该模型适用于测试阶段失效数据完整、失效强度呈指数衰减的场景。例题7MBSE方法选择与可靠性评估题某公司计划在安全攸关的辅助动力控制系统开发中实施MBSE。请说明什么是MBSE选择哪种建模方法并分析MBSE如何帮助评估系统可靠性。解析MBSE是通过形式化建模方法替代传统文档实现系统需求、设计、验证的全生命周期管理。选择Harmony-SE方法因其强调验证的有效性适合安全攸关系统。MBSE可通过软硬件建模预先评估系统可靠性在设计阶段发现硬件与软件可靠性的相互影响避免事后补救。六、复习建议与下篇总结6.1 知识体系梳理text系统工程复习主线下篇 第一层软件可靠性建模 ├── 核心指标MTTF/MTBF/MTTR/失效强度/可用性 ├── 模型分类静态 vs 动态 ├── 经典模型对比Jelinski-Moranda vs Goel-Okumoto ├── 影响可靠性的因素环境/规模/结构/方法/投入 └── 现代趋势AI预测、混沌工程、云原生 第二层软件可靠性设计技术 ├── 避错技术类型安全编程、形式化验证 ├── 降低复杂度设计模块化、简化结构 ├── 检错设计断言、日志、运行时监控 ├── 容错设计核心考点 │ ├── 恢复块设计动态冗余后向恢复 │ ├── N版本程序设计静态冗余前向恢复多数表决 │ └── 冗余设计结构/信息/时间 └── 系统配置容错双机热备、集群 第三层基于模型的系统工程MBSE ├── 定义用标准模型语言代替自然语言 ├── 三大支柱建模语言SysML 建模工具 建模思路 ├── 传统文档驱动的局限性 ├── 主流建模方法Harmony-SE / RUP-SE / Vitech MBSE ├── SysML核心视图需求图、结构图、状态机图 └── 实践应用核电、高铁、航空航天 第四层综合案例分析 ├── 质量属性映射性能/可用性/易用性/互操作性/可修改性 └── 航天系统可靠性分析硬件软件协同评估6.2 记忆口诀软件可靠性建模口诀text静态模型早期用Musa播种代码量 动态模型测试期J-M指数G-O泊 J-M假设剩缺陷多G-O曲线指数降 模型四要素要牢记假设度量参数量容错设计技术口诀textN版本静态冗余前向复独立开发多数决 恢复块动态冗余后向滚验证正确保安全 冗余三型结构/信息/时间结构冗余最常见 检错设计配日志故障及时能发现MBSE三大支柱口诀textMBSE有三支柱建模语言SysML是基础 建模工具支撑力强建模思路定方向 文档驱动有局限模型驱动是方向6.3 高频考点总结考点考查形式难度频率Goel-Okumoto vs Jelinski-Moranda 模型对比选择题中⭐⭐⭐⭐N版本程序设计识别静态前向恢复/多数表决选择题/简答中⭐⭐⭐⭐恢复块设计识别动态冗余后向恢复/验证测试选择题中⭐⭐⭐MBSE三大支柱选择题低⭐⭐⭐SysML图适用场景状态机图选择题中⭐⭐⭐质量属性映射案例分析案例分析高⭐⭐⭐⭐⭐可靠性指标MTTF/MTBF/MTTR选择题低⭐⭐⭐⭐6.4 备考要点总结区分建模方法Jelinski-Moranda模型假设故障率与剩余缺陷数成正比适用于传统瀑布模型Goel-Okumoto模型基于NHPP适用于敏捷迭代项目识别容错技术关键词N版本程序设计→“静态”、“前向恢复”、“多数表决”、“独立开发”恢复块设计→“动态冗余”、“后向恢复”、“验证测试”、“回滚”掌握MBSE三大支柱建模语言SysML、建模工具、建模思路掌握SysML基本视图状态机图描述状态迁移需求图表达需求关系结构图描述组件组成质量属性映射掌握将自然语言需求映射到性能、可用性、可修改性等质量属性的能力综合应用结合硬件可靠性和软件可靠性进行系统整体可靠性评估结语系统工程是系统架构设计师从“技术执行者”走向“系统设计者”的必修课。本篇作为系统工程三篇系列的收官之作系统梳理了软件可靠性建模、可靠性设计技术以及基于模型的系统工程三大核心领域将理论与工程实践紧密结合。软件可靠性建模教会我们如何用数学工具量化评估软件系统的可靠性为架构决策提供数据支撑。可靠性设计技术告诉我们如何在系统设计阶段就融入容错、避错、检错机制从根本上提升系统可靠性。而基于模型的系统工程则代表了系统工程方法论在数字化时代的重要演进——用标准模型语言代替自然语言实现需求、设计、验证的全生命周期管理。希望系统工程上、中、下三篇的梳理能帮助你在备考中建立完整的系统工程知识体系顺利通过考试。