软件工程学习:第10章:可依赖系统(Dependable Systems)
·
本章目标:理解软件可依赖性(Dependability)的核心概念,以及如何构建可信赖的软件系统。
一、为什么"可依赖性"这么重要?
现代社会中,软件已经深入嵌入到我们生活的方方面面:银行转账、飞机控制、医疗设备……一旦出了问题,后果可能非常严重。
软件失败的后果
举几个真实的例子:
- 电商服务器崩溃 → 大量损失营收
- 汽车嵌入式控制系统 Bug → 大规模召回甚至事故
- 公司电脑感染恶意软件 → 敏感数据泄露
为什么依赖性比功能更重要?
以下四个原因解释了为何"系统能不能用"比"系统有没有某个功能"更关键:
| 原因 | 说明 |
|---|---|
| 1. 失败影响所有人 | 某功能缺失只影响少数用户,但系统崩溃影响所有用户 |
| 2. 用户会拒绝不可靠系统 | 一次糟糕体验可能让用户永久放弃该产品 |
| 3. 失败代价极高 | 核电站、飞机控制系统,其失败成本远超系统本身 |
| 4. 数据丢失 | 数据的价值通常远超承载它的硬件,恢复成本巨大 |
小结:一个系统可以"有用但不完全可靠"(比如作者用的Word处理器偶尔崩溃,但他依然用它),但关键系统必须高度可依赖。
二、可依赖性的五个维度
"可依赖性"这个词由 Jean-Claude Laprie 于1995年提出,用来统一描述系统的多种可信属性。
可依赖性(Dependability)
|
┌──────────┬───────┴───────┬──────────┬──────────┐
| | | | |
可用性 可靠性 安全性 保密性 弹性
Availability Reliability Safety Security Resilience
详细解释
| 维度 | 英文 | 通俗解释 |
|---|---|---|
| 可用性 | Availability | 需要用的时候,系统能不能正常运行? |
| 可靠性 | Reliability | 在一段时间内,系统能不能按预期提供服务? |
| 安全性 | Safety | 系统会不会对人员或环境造成伤害? |
| 保密性 | Security | 系统能不能抵御恶意或意外的入侵? |
| 弹性 | Resilience | 面对设备故障、网络攻击等,系统能不能持续提供关键服务? |
各维度之间的关联
这五个维度不是独立的,互相影响:
- 系统被病毒感染(安全性受损) → 可靠性和安全性都无法保证
- 拒绝服务攻击(DoS Attack)专门针对可用性
- 数据被篡改 → 系统变得不可靠
用数学语言描述可用性:
A=MTTFMTTF+MTTRA = \frac{MTTF}{MTTF + MTTR}A=MTTF+MTTRMTTF
其中: - MTTFMTTFMTTF(Mean Time To Failure)= 平均无故障时间
- MTTRMTTRMTTR(Mean Time To Repair)= 平均修复时间
可靠性也可以用概率来描述:
R(t)=P(系统在时间 t 内正常运行)R(t) = P(\text{系统在时间}\ t\ \text{内正常运行})R(t)=P(系统在时间 t 内正常运行)
三、社会技术系统(Sociotechnical Systems)
软件不是孤立存在的。它运行在一个包含硬件、人员和组织流程的更大系统中。这种综合系统称为社会技术系统。
系统层次栈(Sociotechnical Systems Stack)
┌─────────────────────────────────────┐
│ 社会层 Social │ ← 法律法规
├─────────────────────────────────────┤
│ 组织层 Organization │ ← 战略、规范、政策
├─────────────────────────────────────┤
│ 业务流程层 Business Process │ ← 具体业务操作
├─────────────────────────────────────┤
│ 应用层 Application │ ← 具体应用软件
├─────────────────────────────────────┤
│ 通信与数据管理层 Communications │ ← 中间件、数据库
├─────────────────────────────────────┤
│ 操作系统层 Operating System │ ← OS内核
├─────────────────────────────────────┤
│ 设备层 Equipment │ ← 硬件设备
└─────────────────────────────────────┘
↑ 每层对上层隐藏下层的细节
三种故障类型
系统失败通常来自三个来源,且它们往往相互交织:
硬件故障 ──→ 操作员处理异常情况 ──→ 操作员压力增大 ──→ 操作错误 ──→ 软件故障
↑ |
└────────────────────────────────────────────────────────────────────┘
恶性循环
| 故障类型 | 原因 |
|---|---|
| 硬件故障 | 设计错误、制造缺陷、环境因素(潮湿/高温)、寿命终结 |
| 软件故障 | 规格说明错误、设计错误、实现错误 |
| 操作失败 | 人员未按设计者意图操作系统(目前是最大单一故障来源) |
重要启示:硬件、软件、人员三者的失败经常互相引发,因此必须从整体角度设计系统,而非只关注软件本身。
法规与合规(Regulation and Compliance)
政府会通过法规来约束关键系统的安全性:
- 核工业、航空等行业需要许可证才能投入使用
- 开发商必须提交**安全案例(Safety Case)**证明系统符合规定
- 认证成本有时与开发成本相当
四、冗余与多样性(Redundancy and Diversity)
这是构建可依赖系统的两个基本策略。
定义
- 冗余(Redundancy):在系统中加入备用容量,部分组件失败时可接替工作
- 多样性(Diversity):冗余组件采用不同类型,避免以相同方式失败
生活中的类比
家门锁的例子:
锁1(密码锁) + 锁2(钥匙锁)
冗余:两把锁 多样性:类型不同
→ 破解一种锁,还要对付另一种锁
在软件系统中的应用
著名案例:Ariane 5 爆炸事故(1996年)
欧洲航天局的 Ariane 5 火箭在首次飞行后37秒爆炸。
原因:软件系统故障。备份系统与主系统相同(无多样性),导致备份计算机以完全相同的方式崩溃,无法发挥保护作用。
教训:冗余必须配合多样性,才能真正提升可依赖性。
多样性的代价
使用冗余和多样性也有缺点:
- 增加系统复杂度 → 更难理解和维护
- 需要编写更多代码 → 引入新错误的机会增加
- 需要额外逻辑来检测故障并切换控制
两种不同理念的对比:
| 策略 | 代表系统 | 做法 |
|---|---|---|
| 多样冗余 | 空客A340飞控系统 | 多套不同硬件+软件 |
| 简单严格验证 | 波音777飞控系统 | 冗余硬件+相同软件,极度严格验证 |
两种方法都很成功,说明这两条路都可以走通。
五、可依赖的开发流程(Dependable Processes)
核心理念:好的开发流程 → 更少的错误 → 更可依赖的软件
可依赖流程的五个特征
┌───────────────────────────────────────────────────────────┐
│ 可依赖的开发流程 │
├──────────────┬────────────────────────────────────────────┤
│ 可审计性 │ 流程可被外部人员检查,确保标准被遵守 │
│ Auditable │ │
├──────────────┼────────────────────────────────────────────┤
│ 多样性 │ 包含冗余、多样化的验证和测试活动 │
│ Diverse │ │
├──────────────┼────────────────────────────────────────────┤
│ 可文档化 │ 有明确的流程模型,定义各阶段产出文档 │
│ Documentable │ │
├──────────────┼────────────────────────────────────────────┤
│ 健壮性 │ 某个流程活动失败后,整体流程能够恢复 │
│ Robust │ │
├──────────────┼────────────────────────────────────────────┤
│ 标准化 │ 有完整的开发和文档标准可遵循 │
│ Standardized │ │
└──────────────┴────────────────────────────────────────────┘
流程必须满足两个条件
- 明确定义(Explicitly Defined):有明确的流程模型,并收集数据证明团队按此执行
- 可重复(Repeatable):不依赖个人判断,任何团队成员在任何项目中都能重复执行
可依赖流程中的典型活动
敏捷开发与可依赖系统的矛盾
敏捷方法(Agile)强调快速迭代、最少文档,而可依赖系统需要严格文档和前期需求分析。
敏捷开发: 需求 ←→ 代码(同步演进,文档最少)
可依赖系统:需求 → 规格 → 设计 → 验证(严格顺序,文档充分)
解决方案:融合两者。使用迭代开发、测试驱动等敏捷技术,同时保持文档完整、流程可追踪。
六、形式化方法与可依赖性(Formal Methods)
什么是形式化方法?
用数学语言来描述软件规格,然后通过数学证明来验证程序是否满足规格。
自然语言需求
↓ 翻译
形式化规格(数学模型)
↓ 精化(Refinement)
形式化设计
↓ 变换
程序代码
三种主要形式化方法
| 方法 | 做法 | 代表工具/语言 |
|---|---|---|
| 程序证明(Program Proving) | 独立开发规格和程序,然后数学证明两者一致 | 定理证明器 |
| 精化开发(Refinement-based) | 从规格出发,通过保持正确性的变换生成代码 | B方法(巴黎地铁系统) |
| 模型检验(Model Checking) | 构建系统状态模型,穷举检查安全属性是否成立 | SPIN, NuSMV |
形式化方法能发现的两类错误
- 规格和设计中的错误与遗漏 — 在写形式化规格时,遗漏和矛盾会暴露出来
- 规格与程序之间的不一致 — 通过精化或程序证明,确保代码与规格吻合
形式化方法的优势
用一个简单的逻辑来说明:
如果P⇒Q且P成立,则Q成立\text{如果} \quad P \Rightarrow Q \quad \text{且} \quad P \quad \text{成立,则} \quad Q \quad \text{成立}如果P⇒Q且P成立,则Q成立
对应到软件开发:
如果规格正确⇒程序正确,且规格经过验证⇒程序肯定正确\text{如果规格正确} \Rightarrow \text{程序正确,且规格经过验证} \Rightarrow \text{程序肯定正确}如果规格正确⇒程序正确,且规格经过验证⇒程序肯定正确
具体好处:
- 早期发现需求问题(越早发现越便宜)
- 自动化分析规格中的不一致
- 生成的代码保证满足规格
- 减少测试成本(巴黎地铁系统:无需组件测试,只做系统测试)
为什么形式化方法推广困难?
尽管好处明显,过去25年内仅有62个工业项目使用了形式化方法,原因如下:
推广障碍:
1. 领域专家看不懂数学规格
2. 管理者难以量化收益,不愿承担风险
3. 大多数工程师没受过形式化方法培训
4. 难以扩展到大型系统
5. 工具支持不足,使用困难
6. 与敏捷开发方式不兼容
七、成本与可依赖性的关系
随着系统可依赖性的提高,成本呈超线性增长:
成本∝f(可依赖性)n,n>1\text{成本} \propto f(\text{可依赖性})^n, \quad n > 1成本∝f(可依赖性)n,n>1
用图示来说明:
成本
^
| *
| *
| *
| *
| *
| * *
+-----------------------------------> 可依赖性
低 中 高 极高 超高
- 从"低"到"中":花很少的钱就能大幅提升
- 从"高"到"极高":每一小步提升都需要巨大投入
- 测试成本也随之剧增:可依赖性越高,越需要更多测试来验证剩余问题
八、关键系统(Critical Systems)
某些系统失败会导致以下后果:
| 类型 | 失败后果 | 例子 |
|---|---|---|
| 安全关键(Safety-Critical) | 人员伤亡 | 胰岛素泵、核反应堆控制 |
| 任务关键(Mission-Critical) | 任务失败 | 航天导航系统 |
| 业务关键(Business-Critical) | 巨大经济损失 | 在线转账系统 |
关键系统需要:
- 极低的失败概率
- 故障发生时的恢复机制
- 监管机构认证
九、核心概念总结
十、C++ 示例:简单冗余与故障切换机制
以下是一个演示**主备切换(冗余)**概念的完整 C++ 程序:
// 文件:redundant_system.cpp
// 演示冗余与故障切换机制(Primary-Backup Redundancy)
// 编译:g++ -std=c++17 -o redundant_system redundant_system.cpp
#include <iostream>
#include <string>
#include <vector>
#include <stdexcept>
#include <random>
#include <ctime>
// 模拟一个"服务器"类
class Server {
public:
// 构造函数:传入服务器名称和模拟故障率(0.0 ~ 1.0)
Server(const std::string& name, double failureRate)
: name_(name), failureRate_(failureRate), isOnline_(true) {}
// 处理请求:随机模拟是否发生故障
std::string handleRequest(const std::string& request) {
// 用随机数模拟故障
double roll = static_cast<double>(rand()) / RAND_MAX;
if (roll < failureRate_) {
// 模拟故障发生
isOnline_ = false;
throw std::runtime_error(name_ + " 发生故障!");
}
// 正常处理请求
return name_ + " 成功处理请求: [" + request + "]";
}
// 检查服务器是否在线
bool isOnline() const { return isOnline_; }
// 重置服务器状态(模拟修复)
void reset() {
isOnline_ = true;
std::cout << "[修复] " << name_ << " 已恢复上线。\n";
}
const std::string& getName() const { return name_; }
private:
std::string name_; // 服务器名称
double failureRate_; // 故障概率(0~1)
bool isOnline_; // 当前状态
};
// 冗余管理器:负责维护主备服务器,实现自动切换
class RedundantManager {
public:
// 添加服务器(第一个为主服务器,后续为备份)
void addServer(Server* server) {
servers_.push_back(server);
}
// 发送请求:自动寻找可用服务器处理
std::string sendRequest(const std::string& request) {
for (Server* server : servers_) {
if (!server->isOnline()) {
continue; // 跳过已故障的服务器
}
try {
// 尝试由当前服务器处理请求
std::string result = server->handleRequest(request);
return result; // 成功则返回结果
} catch (const std::runtime_error& e) {
// 捕获故障,记录并尝试下一台
std::cout << "[警告] " << e.what() << " → 切换到下一台服务器...\n";
}
}
// 所有服务器都失败了
throw std::runtime_error("所有服务器均不可用!系统完全失败。");
}
// 打印所有服务器状态
void printStatus() const {
std::cout << "\n--- 服务器状态 ---\n";
for (const Server* server : servers_) {
std::cout << " " << server->getName()
<< ": " << (server->isOnline() ? "在线" : "离线") << "\n";
}
std::cout << "------------------\n";
}
private:
std::vector<Server*> servers_; // 服务器列表(按优先级排列)
};
int main() {
// 设置随机种子
srand(static_cast<unsigned int>(time(nullptr)));
std::cout << "=== 冗余系统演示 ===\n\n";
// 创建三台服务器(多样性:故障率不同)
// 主服务器:高故障率(模拟不稳定环境)
Server primary("主服务器", 0.6);
// 备份服务器1:中等故障率
Server backup1("备份服务器1", 0.3);
// 备份服务器2:低故障率(最稳定)
Server backup2("备份服务器2", 0.1);
// 创建冗余管理器并注册服务器
RedundantManager manager;
manager.addServer(&primary);
manager.addServer(&backup1);
manager.addServer(&backup2);
// 模拟10次请求
int successCount = 0;
int failCount = 0;
for (int i = 1; i <= 10; i++) {
std::cout << "\n[请求 " << i << "] ";
try {
std::string result = manager.sendRequest("查询用户数据");
std::cout << result << "\n";
successCount++;
} catch (const std::runtime_error& e) {
std::cout << "[错误] " << e.what() << "\n";
failCount++;
}
}
// 打印最终状态
manager.printStatus();
std::cout << "\n=== 统计结果 ===\n";
std::cout << "成功请求: " << successCount << "/10\n";
std::cout << "失败请求: " << failCount << "/10\n";
// 系统可用性估算
// A = 成功次数 / 总次数
double availability = static_cast<double>(successCount) / 10.0;
std::cout << "估算可用性: " << availability * 100.0 << "%\n";
return 0;
}
程序运行逻辑流程:
发送请求
|
↓
尝试主服务器(故障率高)
|
├── 成功 ──→ 返回结果
|
└── 故障 ──→ 切换到备份服务器1(故障率中)
|
├── 成功 ──→ 返回结果
|
└── 故障 ──→ 切换到备份服务器2(故障率低)
|
├── 成功 ──→ 返回结果
|
└── 故障 ──→ 系统完全失败
十一、习题解析提示
10.5 解释冗余与多样性的区别
- 冗余(Redundancy):系统中存在多个可以完成同一功能的组件。当一个失败时,另一个接替。
- 多样性(Diversity):这些冗余组件采用不同的实现方式,使得它们不会以相同方式失败。
冗余+多样性=真正的容错能力\text{冗余} + \text{多样性} = \text{真正的容错能力}冗余+多样性=真正的容错能力
只有冗余没有多样性:Ariane 5 火箭 → 主备同时崩溃。
10.9 形式化方法的价值(给持怀疑态度的经理写报告)
关键论点:
- 早期发现错误,修复成本低(越晚发现越贵)
- 减少测试成本(巴黎地铁:无需组件测试)
- 监管认证文档自动生成
- 已有成功案例(巴黎地铁、微软驱动验证)
总结
可依赖系统的核心思路:
发现问题 ← 形式化方法 + 冗余流程
避免引入问题 ← 可依赖流程 + 严格验证
容忍问题存在 ← 冗余 + 多样性
快速恢复问题 ← 故障切换 + 弹性设计
记住:可依赖性不是一个开关,而是一条需要持续投入的曲线。 代价随着要求提高而急剧增大,因此必须根据实际风险来决定投入多少。
第12章:安全工程(Safety Engineering)
核心问题:如何确保软件系统在任何情况下都不会造成人员伤亡或环境破坏?
一、引言:可靠 ≠ 安全
华沙机场空难案例(1993年)
一架空客飞机在华沙机场降落时坠毁,2人死亡,54人受伤。
事故调查发现:制动系统软件完全按照规格运行,程序没有任何错误。
问题在于:规格说明本身不完整——没有考虑到一种罕见情况(飞机在雨中侧风着陆时,系统错误判断飞机尚未接地,导致反推力装置未能启动)。
启示:软件可靠不等于系统安全。
为什么可靠的系统仍可能不安全?
| 原因 | 说明 |
|---|---|
| 1. 无法保证零缺陷 | 潜伏的 Bug 可能运行多年才触发 |
| 2. 规格说明不完整 | 研究表明,大多数安全相关错误根源是需求问题,而非实现问题 |
| 3. 硬件异常 | 传感器即将故障时会产生超范围信号,软件无法正确处理 |
| 4. 操作员错误 | 个别正确的操作组合在一起可能引发故障(如地面误触起落架按钮) |
二、安全关键系统(Safety-Critical Systems)
定义
安全关键系统:无论系统是否符合规格,都绝不能危害人员或环境的系统。
两种类型
安全关键软件
├── 主要安全关键(Primary)
│ └── 直接控制硬件,软件失败直接导致伤害
│ 例:胰岛素泵控制软件、军用飞机飞行控制
└── 次要安全关键(Secondary)
└── 间接导致伤害
例:心理健康患者管理系统(MentCare)
计算机辅助工程设计系统
三种安全保障策略
安全术语表
| 术语 | 英文 | 解释 |
|---|---|---|
| 事故 | Accident | 导致人员伤亡、财产或环境损失的意外事件 |
| 损害 | Damage | 事故造成的损失程度 |
| 危险 | Hazard | 可能导致事故的系统状态(不一定导致事故) |
| 危险概率 | Hazard Probability | 危险发生的可能性 |
| 危险严重性 | Hazard Severity | 该危险可能造成的最坏损害 |
| 风险 | Risk | 综合考虑概率和严重性的事故可能性度量 |
关键区别:危险 ≠ 事故。我们会进入危险状态,但不一定发生事故。减少危险就是减少事故。
三、安全需求(Safety Requirements)
从危险推导需求的四步流程
第一步:危险识别(Hazard Identification)
识别各类危险,包括:物理危险、电气危险、生物危险、辐射危险、服务失效危险。
胰岛素泵的危险清单示例:
服务失效类:
- 胰岛素过量计算
- 胰岛素不足计算
- 硬件监控系统失效
电气类:
- 电池耗尽导致断电
- 与心脏起搏器等设备的电磁干扰
物理类:
- 传感器和执行器接触不良(安装错误)
- 机器部件断裂留在患者体内
生物类:
- 机器引入导致感染
- 对材料或胰岛素的过敏反应
**危险登记册(Hazard Register)**是一份重要的法律文件,记录所有与安全相关的决策。一旦发生事故,它可以证明开发者尽到了应有的注意义务。
第二步:危险评估(Hazard Assessment)
将危险分为三个风险等级:
风险三角形(Risk Triangle):
/\
/ \ ← 不可接受区域(Intolerable)
/ \ 风险威胁人命,必须设计消除
/------\
/ ALARP \ ← 合理可行尽量降低区域
/ region \ (As Low As Reasonably Practicable)
/ \ 代价不大时应降低风险
/--------------\
/ Acceptable \ ← 可接受区域
/ region \ 轻微风险,采取经济措施减少即可
/____________________\
三种风险等级:
| 等级 | 含义 | 处理方式 | 胰岛素泵例子 |
|---|---|---|---|
| 不可接受(Intolerable) | 威胁生命 | 必须消除或有保护机制 | 胰岛素过量 |
| ALARP | 后果较轻或概率极低 | 尽量降低,但考虑成本 | 硬件监控失效 |
| 可接受(Acceptable) | 只造成轻微损害 | 不显著增加成本时才处理 | 过敏反应 |
胰岛素泵风险分类表:
| 危险 | 危险概率 | 事故严重性 | 估计风险 | 可接受性 |
|---|---|---|---|---|
| 胰岛素过量计算 | 中 | 高 | 高 | 不可接受 |
| 胰岛素不足计算 | 中 | 低 | 低 | 可接受 |
| 硬件监控失效 | 中 | 中 | 低 | ALARP |
| 电池断电 | 高 | 低 | 低 | 可接受 |
| 机器安装不当 | 高 | 高 | 高 | 不可接受 |
| 机器碎裂 | 低 | 高 | 中 | ALARP |
| 引发感染 | 低 | 高 | 中 | ALARP |
| 电磁干扰 | 中 | 中 | 中 | ALARP |
| 过敏反应 | 高 | 低 | 低 | 可接受 |
第三步:危险分析——故障树分析(Fault Tree Analysis)
故障树分析(FTA)是一种**自顶向下(Top-Down)**的分析方法:
- 从危险(树根)开始
- 向下分解,找出导致该危险的所有系统状态
- 继续分解,直到找到根本原因
胰岛素泵故障树:
读法:同时发生多个根本原因才导致事故的,比单一根本原因的危险更不容易发生。
第四步:风险降低(Risk Reduction)
胰岛素泵的安全需求示例:
SR1: 系统不得向用户注射超过指定最大单次剂量的胰岛素。
SR2: 系统不得注射超过每日最大累计剂量的胰岛素。
SR3: 系统应包含硬件诊断功能,每小时至少执行4次。
SR4: 系统应为表3中所列的所有异常包含异常处理程序。
SR5: 发现任何硬件或软件异常时,应发出声音报警并显示诊断信息。
SR6: 报警发生时,暂停胰岛素注射,直到用户重置系统并清除报警。
注意这些需求的特点——它们是**"不得"需求**,定义了不可接受的行为,而非描述系统该做什么。
四、安全工程过程(Safety Engineering Processes)
总体框架
安全关键系统开发需要:
- 详尽的系统规格(通常非常细致)
- 基于计划的瀑布模型(有阶段审查)
- 附加的安全保证流程
瀑布式开发(Safety-Critical版本):
需求分析 → [安全评审] → 设计 → [安全评审] → 实现 → [静态分析] → 测试 → [认证]
↑ ↑ ↑ ↑
危险登记册追踪 危险登记册追踪 危险登记册追踪 危险登记册追踪
4.1 安全保证过程(Safety Assurance)
安全保证活动贯穿整个开发过程:
| 活动 | 说明 |
|---|---|
| 危险分析与监控 | 从初始分析到测试,全程追踪危险 |
| 安全评审 | 在开发各阶段进行,专门寻找安全隐患 |
| 安全认证 | 外部团队独立验证组件,发放安全证书 |
危险登记册示例(胰岛素泵):
危险登记册
系统:胰岛素泵系统 安全工程师:James Brown
标识危险:向患者注射过量胰岛素 日期:2012年2月20日
识别者:Jane Williams
严重级别:1(最高)
识别风险:高
故障树:已建立(Jane Williams & Bill Smith,2011-01-24)
故障树审核:James Brown(2011-01-28)
系统安全设计需求:
1. 系统应包含自检软件,测试传感器、时钟和注射系统。
2. 自检软件每分钟执行一次。
3. 自检发现故障时,发出警报,显示故障组件名称,暂停注射胰岛素。
4. 系统应有超控机制,允许用户修改计算的注射剂量。
5. 超控量不得超过医疗人员配置时设定的预设值(maxOverride)。
4.2 形式化验证(Formal Verification)
用数学方法证明程序满足规格:
形式化规格(数学描述)
↓
精化变换(保持语义等价)
↓
精化变换(保持语义等价)
↓
程序代码
(每步变换都经过验证,最终代码保证满足规格)
局限性:
- 规格可能不准确反映真实需求(用户看不懂数学规格)
- 证明本身可能有错误
- 对大型系统成本极高
4.3 模型检验(Model Checking)
比手动证明更实用的方法:
工作原理:
- 构建系统的有限状态机模型
- 用时序逻辑描述期望属性(如"系统总能从记录状态到达传输状态")
- 模型检验器穷举所有状态路径,验证属性是否成立
- 如果不成立,给出反例(counterexample)
优势: 特别适合验证并发系统(并发系统极难用测试覆盖所有情况)。
局限: 状态空间爆炸问题——系统越大,状态数指数级增长,计算量巨大。
常见工具:SPIN、SLAM(微软)、PRISM。
4.4 静态程序分析(Static Program Analysis)
不运行程序,直接分析源代码寻找潜在问题。
源代码
↓
静态分析工具(解析代码)
↓
检测各类问题
可检测的问题类型:
| 错误类别 | 具体检查项 |
|---|---|
| 数据错误 | 未初始化就使用的变量、声明但从未使用的变量、数组越界、未声明变量 |
| 控制错误 | 不可达代码、循环内的无条件跳转 |
| 输入输出错误 | 变量被输出两次中间没有赋值 |
| 接口错误 | 参数类型不匹配、参数数量不匹配、函数返回值未使用、未调用的函数 |
| 存储管理错误 | 未赋值的指针、指针运算错误、内存泄漏 |
三种检查级别:
级别1:特征错误检查(Characteristic Error Checking)
→ 检查常见编程错误模式
→ 研究发现:90%的C/C++错误来自10种特征错误
级别2:用户自定义错误检查(User-Defined Error Checking)
→ 用户定义特定于应用领域的错误模式
→ 例:方法A必须在方法B之前调用
级别3:断言检查(Assertion Checking)
→ 开发者在代码中写入形式化断言
→ 工具符号执行代码,检查断言是否可能违反
→ 功能最强,但需要额外工作
注意:静态分析会产生误报(false positives)——工具报告问题但实际上代码没错。需要人工筛查。
五、安全案例(Safety Cases)
什么是安全案例?
一套文档化的证据,提供令人信服的有效论证,证明系统在给定应用和环境中是充分安全的。
安全案例是向监管机构证明系统安全的"材料包"。
安全案例的内容结构
| 章节 | 内容 |
|---|---|
| 系统描述 | 系统概述及关键组件说明 |
| 安全需求 | 来自需求规格的安全需求 |
| 危险与风险分析 | 已识别的危险、风险及降低措施,危险分析和危险日志 |
| 设计分析 | 结构化论证,说明为何设计是安全的 |
| 验证与确认 | V&V过程描述、测试计划、测试结果、静态分析记录 |
| 评审报告 | 所有设计和安全评审记录 |
| 团队能力 | 安全相关人员的能力证明 |
| 过程质量保证 | 开发过程中的QA记录 |
| 变更管理 | 所有变更建议、处理措施和安全合理性记录 |
| 相关安全案例 | 对其他相关安全案例的引用 |
5.1 结构化论证(Structured Arguments)
论证结构:证据(Evidence)→ 论证(Argument)→ 声明(Claim)
证据1(测试结果)──→
论证(推理) ──→ 声明(系统是安全的)
证据2(静态分析)──→
证据3(形式规格)──→
胰岛素泵安全声明层次结构:
论证示例(胰岛素泵):
声明(Claim):
胰岛素泵计算的最大单次剂量不超过 maxDose,
而 maxDose 已被评估为对特定患者安全的单次剂量。
证据1(测试结果):
400次测试,提供完整代码覆盖率,
currentDose(待注射剂量变量)从未超过 maxDose。
证据2(静态分析):
控制软件的静态分析未发现影响 currentDose 值的异常。
论证:
上述证据证明计算出的最大胰岛素剂量等于 maxDose。
因此可以高度自信地声称,泵不会计算出超过最大安全剂量的胰岛素剂量。
注意:证据是冗余且多样的(测试 + 静态分析),进一步增强了可信度。
5.2 软件安全论证(Software Safety Arguments)
核心思路:不需要证明程序完全正确,只需证明程序不会到达不安全状态。
这使得安全论证比正确性论证成本更低。
构建安全论证的步骤:
第一步:假设不安全状态可以被到达
第二步:写出定义不安全状态的谓词(逻辑表达式)
第三步:系统地分析所有通往该状态的程序路径
第四步:证明每条路径的终止条件与不安全状态谓词矛盾
第五步:如果所有路径都矛盾,则初始假设(系统不安全)是错误的
安全论证代码示例
以下是胰岛素泵的剂量计算代码及安全论证分析:
// 文件:insulin_pump_safety.cpp
// 演示胰岛素泵剂量计算及安全论证
// 编译:g++ -std=c++17 -o insulin_pump insulin_pump_safety.cpp
#include <iostream>
#include <stdexcept>
#include <cassert>
#include <cmath>
// 全局安全参数(实际系统中由医疗人员配置)
const double MIN_DOSE = 0.5; // 最小注射剂量(单位:单位胰岛素)
const double MAX_DOSE = 10.0; // 最大单次安全剂量(maxDose)
const double DANGER_RATIO = 2.0; // 新剂量不得超过上次剂量的倍数
// 模拟计算胰岛素剂量(实际中基于血糖读数)
// 参数:bloodSugar - 血糖水平(mmol/L)
// 返回:建议的胰岛素剂量
double computeInsulin(double bloodSugar) {
// 简化公式:剂量 = (血糖 - 目标血糖) * 修正因子
// 目标血糖:6.0 mmol/L,修正因子:1.5
double targetSugar = 6.0;
double correctionFactor = 1.5;
double dose = (bloodSugar - targetSugar) * correctionFactor;
// 确保剂量不为负
return (dose > 0) ? dose : 0;
}
// 注射胰岛素(模拟)
void administerInsulin(double dose) {
if (dose > MAX_DOSE) {
// 这行不应该被到达——安全论证保证了这一点
throw std::runtime_error("安全违规:剂量超过最大值!");
}
std::cout << "[注射] 注射剂量: " << dose << " 单位胰岛素\n";
}
// 带安全检查的胰岛素剂量控制程序
// 这是课本图12.13代码的C++实现
// 安全目标:currentDose 到达 administerInsulin 时,
// 永远满足 currentDose <= maxDose
void insulinDoseControl(double bloodSugar, double previousDose,
double maxDose, double minimumDose) {
// 第一步:计算建议剂量
double currentDose = computeInsulin(bloodSugar);
std::cout << "[计算] 初始计算剂量: " << currentDose << "\n";
// === if语句1:基于上次剂量的安全限制 ===
// 目的:防止剂量突然大幅增加
if (previousDose == 0) {
// 首次注射:不得超过最大剂量的一半
if (currentDose > maxDose / 2) {
currentDose = maxDose / 2;
std::cout << "[安全1] 首次注射,剂量限制为 maxDose/2 = "
<< maxDose / 2 << "\n";
}
} else {
// 非首次:不得超过上次剂量的两倍
if (currentDose > previousDose * DANGER_RATIO) {
currentDose = previousDose * DANGER_RATIO;
std::cout << "[安全1] 剂量增幅过大,限制为上次的2倍 = "
<< previousDose * DANGER_RATIO << "\n";
}
}
// === if语句2:最终绝对安全边界检查 ===
// 安全论证的关键代码:
//
// 不安全状态谓词:currentDose > maxDose
// 我们需要证明下面三条路径都与此谓词矛盾:
//
// 路径1:if语句2不执行
// → 条件:minimumDose <= currentDose <= maxDose
// → 后置条件:currentDose <= maxDose ← 与不安全谓词矛盾 ✓
//
// 路径2:执行 then 分支(currentDose < minimumDose)
// → currentDose 被设为 0
// → 后置条件:currentDose = 0 <= maxDose ← 与不安全谓词矛盾 ✓
//
// 路径3:执行 else-if 分支(currentDose > maxDose)
// → currentDose 被设为 maxDose
// → 后置条件:currentDose = maxDose ← 与不安全谓词矛盾 ✓
//
// 所有路径的后置条件都与 currentDose > maxDose 矛盾
// 因此不安全状态不可达,系统是安全的!
if (currentDose < minimumDose) {
// 剂量太低,设为0(不注射)
currentDose = 0;
std::cout << "[安全2-路径2] 剂量低于最小值,设为0(不注射)\n";
} else if (currentDose > maxDose) {
// 剂量超过最大值,截断为最大值
currentDose = maxDose;
std::cout << "[安全2-路径3] 剂量超过最大值,截断为 maxDose = "
<< maxDose << "\n";
} else {
// 剂量在正常范围内
std::cout << "[安全2-路径1] 剂量在正常范围 ["
<< minimumDose << ", " << maxDose << "] 内\n";
}
// 断言:在此处,currentDose 必须满足 currentDose <= maxDose
// 这是安全论证的核心不变量
assert(currentDose <= maxDose && "安全违规:剂量超过最大值!");
assert(currentDose >= 0 && "安全违规:剂量不能为负!");
std::cout << "[最终] 准备注射剂量: " << currentDose << " 单位\n";
administerInsulin(currentDose);
}
int main() {
std::cout << "=== 胰岛素泵安全控制系统演示 ===\n\n";
std::cout << "安全参数: maxDose=" << MAX_DOSE
<< ", minDose=" << MIN_DOSE << "\n\n";
// 测试场景1:正常血糖偏高,首次注射
std::cout << "--- 测试1:正常情况(血糖12.0,首次注射)---\n";
insulinDoseControl(12.0, 0, MAX_DOSE, MIN_DOSE);
std::cout << "\n";
// 测试场景2:血糖极高,上次剂量较小(测试倍数限制)
std::cout << "--- 测试2:血糖极高,上次剂量2.0(测试倍数安全限制)---\n";
insulinDoseControl(20.0, 2.0, MAX_DOSE, MIN_DOSE);
std::cout << "\n";
// 测试场景3:血糖极低,剂量接近0(测试最小剂量截断)
std::cout << "--- 测试3:血糖接近正常(6.2),剂量极小 ---\n";
insulinDoseControl(6.2, 3.0, MAX_DOSE, MIN_DOSE);
std::cout << "\n";
// 测试场景4:模拟算法错误返回超大剂量(测试最大值截断)
// 在实际系统中,computeInsulin可能因算法错误返回超大值
std::cout << "--- 测试4:模拟算法错误,直接验证最大值保护 ---\n";
// 直接调用,模拟计算出的剂量超过maxDose的情况
double overDose = MAX_DOSE + 5.0; // 模拟错误计算结果
std::cout << "[模拟] 算法错误计算出剂量: " << overDose << "\n";
// 执行安全检查(路径3)
if (overDose < MIN_DOSE) {
overDose = 0;
} else if (overDose > MAX_DOSE) {
overDose = MAX_DOSE; // 安全截断
std::cout << "[安全2-路径3] 截断为 maxDose = " << MAX_DOSE << "\n";
}
assert(overDose <= MAX_DOSE);
std::cout << "[验证] 安全检查通过,最终剂量: " << overDose << "\n\n";
std::cout << "=== 所有测试通过,安全论证验证成功 ===\n";
return 0;
}
安全论证的图形化表示
不安全前提条件(需要反驳的):
currentDose > maxDose
|
↓
administerInsulin 被调用
|
├── 路径1:if语句2不执行
| 后置条件:minimumDose ≤ currentDose ≤ maxDose
| → 与 currentDose > maxDose 矛盾 ✓
|
├── 路径2:then分支(currentDose = 0)
| 后置条件:currentDose = 0
| → 与 currentDose > maxDose 矛盾 ✓
|
└── 路径3:else-if分支(currentDose = maxDose)
后置条件:currentDose = maxDose
→ 与 currentDose > maxDose 矛盾 ✓
结论:所有路径都与不安全前提矛盾
∴ 不安全状态不可达,系统安全
用逻辑语言表达:
∀路径p∈所有执行路径:后置条件(p)⇒¬(currentDose>maxDose)\forall \text{路径} p \in \text{所有执行路径}: \text{后置条件}(p) \Rightarrow \neg(\text{currentDose} > \text{maxDose})∀路径p∈所有执行路径:后置条件(p)⇒¬(currentDose>maxDose)
即:对所有可能的执行路径,执行完毕后都不满足不安全状态谓词。
六、各方法对比
| 方法 | 能发现什么 | 优点 | 缺点 |
|---|---|---|---|
| 测试 | 已测代码路径中的错误 | 直观,符合实际 | 无法覆盖所有情况 |
| 形式化验证 | 规格与实现的不一致 | 数学上完备 | 大系统成本极高 |
| 模型检验 | 所有状态中的属性违反 | 穷举所有路径 | 状态空间爆炸 |
| 静态分析 | 代码级异常和常见错误 | 快速、无需运行 | 有误报,部分错误检测不到 |
七、核心概念总结
安全工程的核心逻辑:
危险(Hazard)
↓ 可能导致
事故(Accident)
↓ 预防方法
1. 识别所有危险(危险识别)
2. 评估每个危险的风险等级(不可接受/ALARP/可接受)
3. 用故障树分析找到根本原因(危险分析)
4. 制定安全需求(风险降低)
5. 用多种方法验证:形式化验证/模型检验/静态分析/测试
6. 将所有证据整理成安全案例(Safety Case)
7. 向监管机构提交安全案例获得认证
可靠性与安全性的关系:
安全性≠可靠性\text{安全性} \neq \text{可靠性}安全性=可靠性
安全性=可靠性+完整的规格说明+硬件容错+操作员错误处理\text{安全性} = \text{可靠性} + \text{完整的规格说明} + \text{硬件容错} + \text{操作员错误处理}安全性=可靠性+完整的规格说明+硬件容错+操作员错误处理
记住:华沙机场的飞机软件是可靠的,但系统是不安全的,因为规格说明遗漏了一种关键情况。
八、习题解析提示
习题12.2:极高安全标准对风险三角形的影响
如果公司几乎不允许任何风险(包括轻伤),则:
- 整个三角形向上压缩,"可接受区域"几乎消失
- 原本属于 ALARP 的风险被归为不可接受
- 原本属于可接受的风险被归为 ALARP
- 绝大多数风险都需要工程措施来消除
习题12.9:核废料储存门锁代码安全论证
安全目标:未授权或辐射超标或防护罩未就位时,门不得开锁。
不安全状态谓词:Door.locked = false且(未授权 OR 辐射 >= dangerLevel AND 防护罩未就位)
分析代码需要检查: - 代码第12行:
if (shieldStatus == Shield.inPlace())会将 state 设为 safe,即使 radiationLevel >= dangerLevel,这是一个潜在的安全漏洞! - 修复:两个条件应该是 AND 关系(辐射低 OR 防护罩就位),而不是先判断辐射再单独判断防护罩可以覆盖辐射判断。
第14章:弹性工程(Resilience Engineering)详细中文解析
一、什么是弹性(Resilience)?
核心定义
系统弹性:是对一个系统在面对破坏性事件(如设备故障、网络攻击)时,维持其关键服务持续运行能力的综合判断。
用大白话说:弹性 = 系统"被打了一拳"之后,还能不能继续干活,以及多快能恢复正常。
三个核心思想
- 关键服务:系统中有些服务一旦失败,会造成严重的人员、社会或经济损失(例如:医院的急救调度系统)。
- 破坏性事件:某些事件会影响系统提供关键服务的能力(例如:停电、黑客攻击)。
- 弹性是一种判断,不是一个数字:没有"弹性值=95分"这种说法,只能由专家综合评估。
弹性 vs 可靠性 vs 安全性
| 概念 | 目标 | 重点 |
|---|---|---|
| 可靠性(Reliability) | 系统不要失败 | 减少故障、容错设计 |
| 安全性(Security) | 防止攻击 | 技术防护手段 |
| 弹性(Resilience) | 失败了也能撑住并恢复 | 接受故障现实,快速恢复 |
弹性工程的两个核心假设:
- 假设1:系统故障不可避免,重点在于限制损失并从中恢复。
- 假设2:已经做了良好的可靠性工程,弹性工程更关注外部事件(操作员失误、网络攻击)引发的故障。
二、弹性的四个活动(4Rs模型)
这是本章最核心的框架,记住这四个词:
识别(Recognition) → 抵抗(Resistance) → 恢复(Recovery) → 复原(Reinstatement)
详细解释
1. 识别(Recognition)
- 系统或操作员能够在故障发生前或发生时识别出问题的征兆
- 例:检测到异常的网络流量 → 判断可能正在遭受DDoS攻击
2. 抵抗(Resistance) - 在识别到威胁后,采取措施降低系统失败的概率
- 分为两种:
- 主动抵抗:提前在系统中内置防御(如防火墙)
- 被动抵抗:发现问题后采取行动(如隔离被感染的服务器)
3. 恢复(Recovery)
- 故障已发生,目标是尽快恢复关键服务,让用户受到的影响最小化
4. 复原(Reinstatement) - 最后阶段:恢复所有服务,系统回到正常运行状态
状态转换图(以网络攻击为例)
三、网络安全(Cybersecurity)
什么是网络安全?
网络安全是一个社会技术问题(不只是技术问题!),涵盖保护公民、企业和关键基础设施免受网络威胁的所有方面。
导致网络安全失败的因素:
- 组织对问题严重性的无知
- 安全程序设计差或执行不力
- 人员的粗心大意
- 可用性与安全性之间的不当权衡
三类威胁
| 威胁类型 | 说明 | 实例 |
|---|---|---|
| 机密性威胁 | 数据没被破坏,但被不该看的人看到了 | 信用卡数据库被盗 |
| 完整性威胁 | 系统或数据被损坏或篡改 | 植入病毒、数据库被腐化 |
| 可用性威胁 | 合法用户无法使用资产 | DDoS攻击使网站瘫痪 |
三种常见防御控制
1. 身份认证(Authentication)
- 用户必须证明自己有权限访问系统
- 最常见:用户名+密码(但这是较弱的控制手段)
2. 加密(Encryption) - 数据被算法打乱,未授权者无法读取
- 例:要求笔记本电脑硬盘全盘加密
3. 防火墙(Firewalls) - 检查进出的网络数据包,按规则允许或拒绝
- 确保只有来自可信来源的流量才能进入内网
防御层次结构(Defense in Depth)
核心思想:冗余(Redundancy)+ 多样性(Diversity)
攻击者 ─→ [防火墙] ─→ [双因素认证] ─→ [加密数据] ─→ [行为监控] ─→ 失败!
↑ ↑ ↑ ↑
技术层 技术层 技术层 人工+技术层
网络弹性规划流程
六个关键步骤:
- 资产分类:按重要性分为关键、重要、有用三级
- 威胁识别:对每个资产找出潜在威胁
- 威胁识别机制:确定如何发现每种攻击的迹象
- 威胁抵抗:制定技术或操作层面的抵抗策略
- 资产恢复:制定遭受攻击后的恢复方案
- 资产复原:制定恢复全部服务的完整程序
四、社会技术弹性(Sociotechnical Resilience)
核心观点:弹性不只是技术问题!
弹性工程本质上是社会技术活动,不能只关注软件和硬件。系统包括:硬件 + 软件 + 人 + 组织文化 + 流程。
例子:保护医疗数据不被盗
- 技术方案:更复杂的认证流程(但用户会把密码写在纸上!)
- 更好的方案:组织政策 + 员工教育,告诉用户为什么不能分享登录凭据
嵌套的社会技术系统
┌─────────────────────────────────────┐
│ 组织(Organization) │
│ ┌────────────────────────────────┐ │
│ │ 社会技术系统 ST1 │ │
│ │ ┌─────────┐ ┌─────────┐ │ │
│ │ │ 技术系 │ │ 技术系 │ │ │
│ │ │ 统 S1 │ │ 统 S2 │ │ │
│ │ └─────────┘ └─────────┘ │ │
│ │ 操作员监控并干预技术系统 │ │
│ └────────────────────────────────┘ │
│ 管理层在社会技术层面检测并修复问题 │
└─────────────────────────────────────┘
关键点:如果技术系统S1失败,操作员可以检测到并采取恢复行动,防止故障蔓延到整个社会技术系统。
弹性组织的四个特征(Hollnagel的观点)
| 特征 | 说明 | 示例 |
|---|---|---|
| 响应(Respond) | 能快速适应流程应对风险 | 新安全威胁公布后,迅速调整防御措施 |
| 监控(Monitor) | 持续监控内外部威胁 | 检查员工是否遵循安全策略 |
| 预判(Anticipate) | 提前考虑未来可能的变化 | 考虑可穿戴设备对安全政策的影响 |
| 学习(Learn) | 从成功和失败中学习 | 总结一次成功抵御攻击的经验并推广 |
五、人为错误(Human Error)
Reason的两种视角
视角1:个人方法(Person Approach)
- 错误是个人的责任
- 解决方案:纪律处分、更严格的程序、再培训
- 问题:这种方法治标不治本,不能从根本上改善系统安全
视角2:系统方法(Systems Approach)(推荐!) - 人本来就会犯错
- 人犯错是因为:工作量过大、培训不足、系统设计不合理
- 解决方案:在系统中加入屏障和防护措施来检测并纠正人为错误
- 发生故障时,应研究系统防御为何失效,而不是惩罚某个人
"瑞士奶酪"模型(Swiss Cheese Model)
这是理解系统失败最经典的模型之一!
比喻:想象系统防御像几片瑞士奶酪叠在一起(埃门塔尔奶酪有很多孔)。
每片奶酪 = 一层防御(技术的或人工的)
孔 = 防御层中的漏洞(称为"潜在条件")
正常情况(孔不对齐):
攻击 ──→ [||||] ──→ [|○||] ──→ [||○|] ──→ [||||]
↑孔在这 ↑孔在这 孔不对齐
被拦住了!
失败情况(孔对齐了):
攻击 ──→ [|○||] ──→ [|○||] ──→ [|○||] ──→ 系统失败!
↑孔对齐──────────────↑
所有层都被穿透!
孔的大小会变化:例如,两个操作员在高负载时更可能犯同样的错误 → 那层防御的"孔"变大了。
提高系统弹性的四种策略
- 减少外部触发事件的概率
- 人为错误:改善培训,控制工作量
- 网络攻击:减少有系统特权信息的人数
- 增加防御层的数量
- 更多层 → 孔对齐的概率更低
- 注意:如果层之间不独立,可能共享漏洞,增加层的意义就不大了
- 设计多样化的防御类型
- 不同类型的屏障 → 孔在不同位置 → 不容易对齐
- 最小化系统中的潜在条件
- 减少系统中"孔"的数量和大小
- 缺点:会显著增加工程成本(更多测试 = 更多钱)
六、操作流程与管理(Operational and Management Processes)
效率 vs 弹性的矛盾
这是一个根本性的矛盾:
效率优化 弹性优化
────────────────────────────────────────────────
流程优化和控制 vs 流程灵活性和适应性
信息隐藏和安全 vs 信息共享和可见性
自动化减少操作员 vs 手动流程和备用人员
角色专业化 vs 角色共享
关键原则:过度优化的流程会损害弹性!
例子:空管人员可能在系统数据库之外打印飞行信息。这看起来是"低效的",但当数据库不可用时,这份打印纸就救了命!
自动化的双刃剑
好处:
- 一个管理员可以管理大量系统
- 自动检测常见问题并恢复
- 降低人力成本
坏处: - 自动化系统可能做出错误的操作,使情况更糟
- 问题解决需要协作,人员减少后协作更难
角色专业化 vs 角色共享
角色专业化:
A管理系统1,2 → B管理系统3,4 → 如果A不在,系统1,2的跨系统问题无人处理
角色共享:
A,B都了解系统1,2,3,4 → 任何人都能处理跨系统问题 → 弹性更高
七、弹性系统设计(Resilient Systems Design)
两条设计主线
- 识别关键服务和资产:找出系统的"核心功能"是什么
- 设计支持4R的组件:识别、抵抗、恢复、复原
可存活系统分析(Survivable Systems Analysis)
Ellison等人提出的四阶段分析方法:
更全面的弹性工程方法
五条工作流:
- 识别业务弹性需求(顶层需求)
- 规划如何复原系统到正常状态(包括备份策略)
- 识别故障和攻击场景,设计识别和抵抗策略
- 规划关键服务快速恢复(冗余副本+切换机制)
- 测试所有弹性计划(模拟失败和攻击)
八、案例:Mentcare系统的弹性设计
系统背景
Mentcare 是一个用于支持心理健康临床医生治疗患者的系统:
- 医生和护士在就诊前后查阅和更新患者信息
- 包含可能危险患者的预警功能
关键服务(两项最重要的)
- 信息服务:提供患者当前诊断和治疗计划的信息
- 预警服务:标记可能对他人或自己构成危险的患者
系统资产
| 资产 | 描述 |
|---|---|
| 患者记录数据库 | 所有患者信息 |
| 数据库服务器 | 为客户端提供数据库访问 |
| 网络 | 客户端/服务器通信 |
| 本地电脑 | 医生和护士使用的设备 |
| 规则集 | 识别潜在危险患者的规则 |
潜在不利事件
- 数据库服务器不可用(系统故障/网络故障/DDoS攻击)
- 患者记录数据库被故意或意外损坏
- 客户端电脑被恶意软件感染
- 未授权人员访问客户端电脑获取患者记录
识别和抵抗策略
| 事件 | 识别手段 | 抵抗策略 |
|---|---|---|
| 服务器不可用 | 客户端看门狗定时器;管理员短信通知 | 本地保存关键信息;点对点搜索;提供备用服务器 |
| 数据库损坏 | 记录级加密校验和;自动完整性检查 | 可重放事务日志;维护本地副本 |
| 恶意软件感染 | 用户举报异常行为;启动时自动检查 | 安全意识培训;禁用USB端口;安装安全软件 |
| 未授权访问 | 用户警告短信;日志分析 | 多级身份认证;禁用USB端口;实时日志分析 |
改进后的弹性架构
┌─────────┐ ┌─────────┐ ┌─────────┐
│Mentcare │ │Mentcare │ │Mentcare │ ← 客户端(本地存有摘要记录)
│ 客户端 │ │ 客户端 │ │ 客户端 │
│[摘要记录]│ │[摘要记录]│ │[摘要记录]│
└────┬────┘ └────┬────┘ └────┬────┘
│ │ │
└─────────────┴─────────────┘
│
[网络/Ad-hoc网络]
│
┌─────────────┴──────────────┐
│ │
┌────┴────┐ ┌───────┴──────┐
│主服务器 │ │ 备用服务器 │
│ │ │(定期快照备份)│
└────┬────┘ └──────────────┘
│
┌────┴──────────────────────────────┐
│ 患者数据库 │
│ [事务日志] [数据库备份] │
│ [数据库完整性检查器(后台运行)] │
└───────────────────────────────────┘
三个关键架构特性:
- 客户端本地摘要记录:服务器宕机时,医生护士仍能访问关键患者信息。客户端之间还可通过点对点网络(甚至手机热点)互相共享数据。(→ 抵抗 + 恢复)
- 备用服务器:定期对数据库做快照备份,主服务器故障时自动接管。(→ 抵抗 + 恢复)
- 数据库完整性检查:后台持续运行,发现损坏时自动从备份恢复,事务日志保证备份包含最新变更。(→ 识别 + 恢复)
保护数据机密性的措施
因为多份数据副本增加了泄露风险,需要额外的保护:
- 只下载当天预约患者的摘要记录(限制潜在泄露量)
- 加密客户端本地硬盘(攻击者无法读取硬盘数据)
- 诊所结束后安全删除下载的数据(进一步降低泄露风险)
- 加密所有网络传输(防止中间人攻击)
九、关键知识点总结
弹性工程
│
├── 核心定义
│ └── 在破坏性事件中维持关键服务连续性的能力
│
├── 4Rs 模型
│ ├── Recognition(识别)── 发现问题征兆
│ ├── Resistance(抵抗)── 降低失败概率
│ ├── Recovery(恢复)── 快速恢复关键服务
│ └── Reinstatement(复原)── 恢复所有服务
│
├── 网络安全威胁
│ ├── 机密性威胁(数据被偷看)
│ ├── 完整性威胁(数据被篡改)
│ └── 可用性威胁(服务被阻断)
│
├── 社会技术弹性
│ ├── 弹性不只是技术问题
│ ├── 人的作用:灵活应对未预期情况
│ ├── 人为错误:系统方法 > 个人方法
│ ├── 瑞士奶酪模型:防御层的孔对齐 = 系统失败
│ └── 组织特征:响应、监控、预判、学习
│
├── 效率 vs 弹性
│ ├── 过度优化流程 → 降低弹性
│ └── 自动化:有利有弊
│
└── 系统设计
├── 识别关键服务和资产
├── 设计冗余和多样性
├── 可存活系统分析(4阶段)
├── 全面弹性工程方法(5条工作流)
└── 弹性测试(模拟攻击和故障)
十、重要概念速查
| 术语 | 解释 |
|---|---|
| 弹性(Resilience) | 在破坏性事件中维持关键服务的能力 |
| 4Rs | 识别、抵抗、恢复、复原 |
| 冗余(Redundancy) | 有备用容量和重复资源 |
| 多样性(Diversity) | 使用不同类型的设备/软件/流程 |
| 社会技术系统 | 硬件+软件+人+组织文化的综合体 |
| 瑞士奶酪模型 | 防御层有漏洞,孔对齐时系统失败 |
| 潜在条件(Latent Conditions) | 防御层中存在的漏洞 |
| 主动失败(Active Failure) | 人为错误这个直接触发事件 |
| 软肋(Softspot) | 既是关键组件又容易被攻击的部分 |
| 看门狗定时器(Watchdog Timer) | 检测系统无响应的硬件/软件机制 |
| DDoS攻击 | 分布式拒绝服务攻击,使服务不可用 |
| 可存活性分析 | 评估系统漏洞并改进架构的四阶段方法 |
第15章:软件复用(Software Reuse)详细中文解析
一、什么是软件复用?
核心思想
软件复用:在开发新系统时,尽可能地利用已有的软件,而不是从零开始写所有代码。
大白话:别重复造轮子!已经有好用的轮子,直接拿来用或改一改就好。
为什么要复用?
三个推动力:
- 降低成本:少写代码,少花钱
- 加快交付:不用从头开发,更快上线
- 提高质量:经过验证的代码比新写的更可靠
复用的四个层次(从小到大)
函数/对象复用 → 组件复用 → 应用程序复用 → 整个系统复用
(最细粒度) (最粗粒度)
| 层次 | 说明 | 例子 |
|---|---|---|
| 系统复用 | 复用完整系统,作为"系统之系统"的一部分 | 把一个完整的ERP系统集成进来 |
| 应用复用 | 复用一个应用程序,直接用或配置后用 | 购买现成的HR管理软件 |
| 组件复用 | 复用应用程序的某个子系统或模块 | 把文本匹配模块从文字处理软件移植到数据库系统 |
| 对象/函数复用 | 复用单个函数或类 | 调用数学库里的矩阵运算函数 |
概念复用(Concept Reuse)
有时候代码太特殊,改起来比重写还贵。这时候可以复用思想而不是代码:
- 复用一个算法思路
- 复用一种工作模式(如设计模式)
- 复用一个系统模型
这就是"概念复用",体现在:设计模式、可配置系统、程序生成器等。
二、软件复用的好处与问题
好处
| 好处 | 解释 |
|---|---|
| 加速开发 | 尽早上市往往比节省开发成本更重要;复用可缩短开发和验证时间 |
| 有效利用专家 | 专家只需开发一次可复用组件,而不是一遍遍重复相同工作 |
| 提高可靠性 | 已在生产环境中验证过的软件,bug已被发现和修复,比新软件更可靠 |
| 降低开发成本 | 开发成本与代码量成正比;复用意味着写更少的代码 |
| 降低过程风险 | 已有软件的成本已知,可以减少项目成本估算的误差 |
| 符合标准 | 标准化组件(如统一的UI菜单)可作为可复用组件实现,保证一致性 |
问题
| 问题 | 解释 |
|---|---|
| 维护组件库的成本 | 建立和维护可复用组件库本身很贵,还需要调整开发流程 |
| 查找和理解组件 | 需要花时间在库里找组件、理解它、适配它;如果不确定能找到,开发者就不愿意去找 |
| 维护成本增加 | 如果没有复用组件的源码,系统升级时可能产生不兼容,维护成本上升 |
| 工具支持不足 | 某些开发工具不支持复用,难以与组件库系统集成 |
| "非我所创"综合症 | 有些工程师宁愿自己重写,因为他们觉得自己能写得更好,或者觉得写新代码更有挑战性 |
三、复用全景图(The Reuse Landscape)
下面是软件复用的所有主要技术和方法:
选择复用方式时要考虑的因素
- 开发进度:时间紧 → 复用完整系统(哪怕功能不完全匹配)
- 软件生命周期:长生命周期系统 → 关注可维护性,优先选开源(能拿到源码)
- 团队背景和技能:复用技术复杂,要用团队擅长的
- 软件关键性:关键系统(需要外部认证)→ 最好有源码访问权限
- 应用领域:很多领域有成熟的通用产品,买比建更便宜
- 运行平台:某些组件是平台特定的(如.NET只能在Windows上用)
四、应用框架(Application Frameworks)
什么是框架?
框架 = 一套协作的软件制品(类、对象、组件),为一类相关应用提供可复用的架构骨架。
大白话:框架就像一栋楼的钢筋骨架,你在这个骨架上加砖加瓦(添加自己的业务代码)就能盖出一栋楼,而不需要从挖地基开始。
MVC模式(最常用的Web框架架构)
MVC = Model(模型)- View(视图)- Controller(控制器)
用户输入
│
▼
┌──────────────┐
│ Controller │ ← 控制器:处理用户输入,协调Model和View
│ (控制器) │
└──────┬───────┘
│ 修改 │ 更新View
▼ ▼
┌─────────────┐ ┌─────────────┐
│ Model │──▶│ View │
│ (模型) │ │ (视图) │
│ 存储数据 │ │ 展示数据 │
└─────────────┘ └─────────────┘
三个部分的职责:
- Model(模型):存储和管理数据,处理业务逻辑
- View(视图):负责展示数据给用户(界面)
- Controller(控制器):接收用户输入,更新Model,刷新View
为什么MVC好用?
同一份数据(Model)可以用多个不同的View展示(比如:表格视图、图表视图),互不干扰。
控制反转(Inversion of Control)
这是框架最重要的概念之一,理解它需要对比普通程序:
普通程序(你控制流程):
你的代码 → 调用库函数 → 库函数返回结果 → 你的代码继续
框架(框架控制流程):
框架运行 → 遇到事件(如鼠标点击)→ 调用你写的"回调函数" → 继续运行
直白说:普通库是你调用它;框架是它调用你。这就是"控制反转"。
[用户输入/数据库事件]
│
▼
┌───────────┐
│ 框架事件 │ ← 框架在运行,等待事件
│ 循环 │
└─────┬─────┘
│ 触发
▼
┌───────────┐
│ 钩子方法 │ ← 框架调用你写的方法(回调)
│ (Hook │
│ Method) │
└─────┬─────┘
│
▼
┌───────────┐
│ 你的业务 │ ← 这里才是你写的应用逻辑
│ 代码 │
└───────────┘
Web应用框架(WAF)通常提供的功能
| 功能 | 说明 |
|---|---|
| 安全(Security) | 用户认证(登录)和访问控制 |
| 动态网页 | 页面模板类,支持从数据库动态填充内容 |
| 数据库集成 | 提供抽象接口,适配不同数据库(如MySQL) |
| 会话管理 | 创建和管理用户会话(一次完整的交互过程) |
| 用户交互 | 支持AJAX、HTML5,创建自适应移动端的界面 |
三类框架
- 系统基础设施框架:支持通信、用户界面、编译器等底层功能
- 中间件集成框架:提供组件通信和信息交换的标准(如微软.NET、Enterprise Java Beans)
- 企业应用框架:面向特定领域(如电信、金融),现在大多被"软件产品线"替代
框架的优缺点
优点:有效支持设计复用,提供骨架架构 + 具体类的复用
缺点:
- 复杂,需要几个月才能学会用
- 选择合适的框架本身就很费时费钱
- 调试困难(你可能不理解框架内部的方法如何交互)
五、软件产品线(Software Product Lines)
什么是软件产品线?
软件产品线 = 一组共享公共架构和组件的应用程序,每个应用针对特定客户需求进行了专门化。
比喻:就像汽车制造商的产品线。同一款车的底盘(core)可以生产轿车版、SUV版、旅行版,核心机械结构相同,外观和配置不同。
例子:打印机制造商为不同型号打印机开发控制软件,每个型号有专用版本,但核心逻辑相同。
基础应用的结构
┌─────────────────────────────────────────┐
│ 软件产品线基础应用 │
│ │
│ ┌─────────────────────────────────┐ │
│ │ 核心组件(Core) │ │ ← 不修改,所有版本共享
│ │ 提供基础设施支持 │ │
│ └─────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────┐ │
│ │ 可配置组件(Configurable) │ │ ← 可修改或配置,适应不同需求
│ │ 可通过配置语言调整,不用改代码 │ │
│ └─────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────┐ │
│ │ 专用领域组件(Specialized) │ │ ← 创建新实例时可以替换
│ │ 特定于某些版本的功能 │ │
│ └─────────────────────────────────┘ │
└─────────────────────────────────────────┘
应用框架 vs 软件产品线
| 对比维度 | 应用框架 | 软件产品线 |
|---|---|---|
| 实现方式 | 依赖继承、多态等OO特性扩展,框架代码本身不修改 | 组件可以修改、删除、重写,无原则限制 |
| 通用性 | 通常提供通用支持(如Web应用) | 嵌入详细的领域和平台信息(如"医院Web应用") |
| 硬件 | 面向软件,不含硬件交互 | 常用于控制设备,包含硬件接口支持 |
| 所有权 | 框架可来自第三方 | 产品家族由同一组织拥有 |
四种专门化类型
| 类型 | 说明 | 例子 |
|---|---|---|
| 平台专门化 | 为不同操作系统创建版本 | Windows版、Mac版、Linux版 |
| 环境专门化 | 适应不同的操作环境和外设 | 不同通信硬件的警察/消防/救护版本 |
| 功能专门化 | 为特定客户的不同需求创建版本 | 公共图书馆版、大学图书馆版 |
| 流程专门化 | 适应特定业务流程 | 集中采购版 vs 分布式采购版 |
产品实例开发流程
两种配置时机
1. 设计时配置(Design-time Configuration)
- 供应商修改源代码,为客户创建特定系统
- 更灵活,可做深度定制
2. 部署时配置(Deployment-time Configuration) - 不改代码,通过配置工具和配置数据库来定制
- 客户或顾问使用配置工具完成
配置工具
│
▼
配置数据库 ─────▶ 通用系统(运行时读取配置)
↑ │
│ ▼
客户填写配置 用户使用的特定功能
部署时配置的三个层次:
- 组件选择:选择需要哪些功能模块(如是否需要图像管理模块)
- 工作流和规则定义:定义信息处理流程和验证规则
- 参数定义:设置具体的系统参数值(如字段最大长度)
六、资源管理系统产品线案例
以车辆调度系统为例(可用于警察、消防、救护车):
通用资源管理架构(四层)
┌──────────────────────────────────────────┐
│ 交互层(Interaction) │ ← 用户界面、I/O管理、身份认证
├──────────────────────────────────────────┤
│ 资源传递层(Resource Delivery) │ ← 查询管理、报告规划
├──────────────────────────────────────────┤
│ 资源管理层(Resource Management) │ ← 资源追踪、策略控制、资源分配
├──────────────────────────────────────────┤
│ 数据库管理层(DB Management) │ ← 事务管理、资源数据库
└──────────────────────────────────────────┘
车辆调度系统的具体实例
┌──────────────────────────────────────────────────┐
│ 交互层 │
│ [操作员界面] [I/O管理] │
├──────────────────────────────────────────────────┤
│ I/O管理层 │
│ [操作员身份认证] [地图路线] [通信系统接口] [报告生成] │
├──────────────────────────────────────────────────┤
│ 资源管理层 │
│ [车辆状态管理] [查询管理] [事件日志] [车辆调度] │
│ [车辆定位] [装备管理] │
├──────────────────────────────────────────────────┤
│ 数据库管理层 │
│ [事务管理] [车辆数据库] [装备数据库] [地图数据库] │
│ [事件日志数据库] │
└──────────────────────────────────────────────────┘
如何为不同客户定制?
- 警察:大量车辆,较少车辆类型 → 调整车辆数据库结构
- 消防:少量车辆,很多特种车辆类型 → 调整车辆类型分类
七、应用系统复用(Application System Reuse)
什么是应用系统产品(COTS)?
COTS(Commercial Off-The-Shelf,商业现成系统)= 可以适配不同客户需求的软件系统,不需要修改源代码。
大白话:就是买来就能用(或简单配置后用)的现成软件。几乎所有桌面商业软件都是COTS。
使用应用系统的好处
- 更快部署可靠系统
- 可以看到提供哪些功能,容易评估是否合适
- 降低部分开发风险
- 企业专注核心业务,不需要大量IT开发资源
- 平台升级由供应商负责
使用应用系统的问题
- 需求必须适配软件功能,可能导致业务流程被迫改变
- 软件中内置的假设可能无法改变,客户不得不适应
- 选择合适的系统很困难(文档往往不完善)
- 缺乏本地技术支持,依赖供应商和外部顾问
- 系统演进由供应商控制,可能停产或升级不兼容
两种使用方式
八、可配置应用系统——ERP系统
什么是ERP?
ERP(Enterprise Resource Planning,企业资源规划)= 大规模集成系统,支持采购、库存、制造调度等业务流程。代表产品:SAP、Oracle。
ERP系统架构
┌─────────────────────────────────────────────────┐
│ ERP 系统 │
│ │
│ ┌──────────┐ ┌──────────┐ ┌──────────────────┐ │
│ │ 采购模块 │ │供应链模块 │ │ 物流模块 │ │
│ └──────────┘ └──────────┘ └──────────────────┘ │
│ │
│ ┌──────────────────────────────────────────┐ │
│ │ CRM(客户关系管理)模块 │ │
│ └──────────────────────────────────────────┘ │
│ │
│ ┌────────────────────────────────────────────┐ │
│ │ 业务规则引擎 │ │
│ └────────────────────────────────────────────┘ │
│ │
│ ┌────────────────────────────────────────────┐ │
│ │ 系统数据库(统一) │ │
│ └────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────┘
四个关键特点:
- 多个大粒度模块:支持整个部门或事业部(采购、供应链、物流、CRM)
- 业务流程模型:每个模块有关联的流程模型(如"订单如何创建和审批")
- 统一数据库:所有业务功能共享一个数据库,避免重复存储(如客户信息只存一份)
- 业务规则集:规则对所有数据生效(如"所有报销单必须由比申请人更高级别的人审批")
ERP配置步骤
- 选择需要哪些功能模块
- 建立数据模型(数据库结构)
- 定义业务规则
- 定义与外部系统的交互
- 设计输入表单和输出报表
- 设计符合系统流程模型的新业务流程
- 设置部署参数
ERP的典型问题——概念不匹配
案例:大学引入ERP系统,系统核心概念是"客户(Customer)“= 向供应商购买商品的人。
但大学没有真正的"客户”!大学的关系包括:
- 学生(接受教育服务)
- 科研资助机构(提供资金)
- 教育慈善机构(合作关系)
这些都不符合"买卖客户"的定义,结果花了几个月才解决这个概念不匹配,最终方案也只是部分满足了需求。
教训:ERP系统内置了供应商对业务流程的理解,如果这个理解与客户实际情况差距太大,就会出大问题。
九、集成应用系统(Integrated Application Systems)
什么是集成应用系统?
将两个或多个现有应用系统组合在一起,提供定制化功能。适用于:
- 没有单一系统满足所有需求
- 想把新系统与已有系统结合
关键设计决策
- 选哪些系统?:哪些产品功能最合适?
- 数据怎么交换?:不同系统有不同的数据结构,需要写**适配器(Adaptor)**转换格式
- 用哪些功能?:可能有功能重叠,需要决定用哪个的;不用的功能最好禁掉
采购系统集成案例
场景:大公司想让员工在桌面上直接下采购订单,预计每年节省500万美元。
系统构成:
┌────────────────────────────────────────────────────┐
│ 客户端 │
│ [Web浏览器] [邮件系统] │
└──────────────────────────┬─────────────────────────┘
│ 网络
┌──────────────────────────▼─────────────────────────┐
│ 服务器端 │
│ │
│ ┌──────────────────┐ ┌───────────────────────┐ │
│ │ 电子商务平台 │ │ 邮件系统(服务器) │ │
│ │ (新引入) │ │ │ │
│ └────────┬─────────┘ └───────────────────────┘ │
│ │ 适配器 ↑ 适配器 │
│ ┌────────▼─────────────────────┐│ │
│ │ 旧采购/订单系统 ├┘ │
│ │ (已有遗留系统) │ │
│ └───────────────────────────────┘ │
└─────────────────────────────────────────────────────┘
需要两个适配器:
- 电子商务平台的订单格式 ↔ 旧采购系统的格式
- 旧采购系统的通知 ↔ 邮件系统的邮件格式
结果:原本估计用Java开发需要3年,通过集成现有系统只用了9个月!
服务包装(Service Wrapper)
对于遗留系统,可以用服务包装器来集成:
外部系统/新系统
│
│ 标准服务接口
▼
┌───────────────┐
│ 服务包装器 │ ← 你写的包装代码,隐藏内部实现
│ (Service │
│ Wrapper) │
└───────┬───────┘
│ 内部调用
▼
┌───────────────┐
│ 遗留应用 │ ← 原来的老系统,不用改动
│ 系统 │
└───────────────┘
集成应用系统的四大问题(Boehm and Abts)
| 问题 | 说明 |
|---|---|
| 缺乏对功能和性能的控制 | 接口看起来提供了需要的功能,但实际实现可能有问题或性能差;供应商未必把你的问题当优先级 |
| 系统互操作性问题 | 不同系统有各自的假设;如三个都是事件驱动的系统,但每个对事件队列的模型不同,集成极其困难 |
| 无法控制系统演进 | 供应商自己决定升级,新版本可能不兼容旧版本,旧版本可能停止支持 |
| 供应商支持不确定 | 供应商可能倒闭、被收购、停产;你没有源码,一旦失去支持就很被动 |
真实案例:Garlan等人集成4个应用系统,其中3个都是事件驱动的,但每个系统假设自己独占事件队列。结果:
- 预计工作量:1倍
- 实际工作量:5倍
- 预计时间:6个月
- 实际时间:2年
十、知识点总结
软件复用
│
├── 复用层次
│ ├── 系统复用(最大粒度)
│ ├── 应用复用
│ ├── 组件复用
│ └── 对象/函数复用(最小粒度)
│
├── 应用框架
│ ├── 提供骨架架构
│ ├── MVC模式(最常用)
│ ├── 控制反转(框架调用你,而不是你调用框架)
│ └── 三类:基础设施/中间件/企业应用
│
├── 软件产品线
│ ├── 共享核心架构 + 定制化组件
│ ├── 三层结构:核心/可配置/专用
│ ├── 四种专门化:平台/环境/功能/流程
│ └── 两种配置时机:设计时/部署时
│
└── 应用系统复用
├── 可配置应用系统(如ERP)
│ ├── 单一供应商产品
│ ├── 配置不改源码
│ └── 风险:概念不匹配
└── 集成应用系统
├── 多系统组合
├── 需要适配器
└── 四大问题:控制/互操作/演进/支持
十一、重要概念速查
| 术语 | 解释 |
|---|---|
| 软件复用(Software Reuse) | 在开发新系统时利用已有软件 |
| 概念复用(Concept Reuse) | 复用思想/算法/模式而非代码本身 |
| 应用框架(Application Framework) | 提供骨架架构的可复用类集合 |
| MVC模式 | Model-View-Controller,分离数据、展示和控制 |
| 控制反转(Inversion of Control) | 框架调用你写的代码,而不是你调用框架 |
| 钩子方法(Hook Method) | 框架提供的、供你链接自己业务逻辑的方法 |
| 软件产品线(Software Product Line) | 共享架构的一组相关应用,针对不同客户定制 |
| 设计时配置(Design-time Configuration) | 修改源代码来创建新版本 |
| 部署时配置(Deployment-time Configuration) | 通过配置文件/数据库定制,不改代码 |
| COTS | Commercial Off-The-Shelf,商业现成系统 |
| ERP | Enterprise Resource Planning,企业资源规划系统 |
| 适配器(Adaptor) | 在两个系统之间转换数据格式的中间件 |
| 服务包装器(Service Wrapper) | 为遗留系统提供标准服务接口的包装代码 |
| 非我所创综合症 | 工程师拒绝复用他人代码、偏好自己重写的心理倾向 |
第 16 章:基于组件的软件工程(CBSE)详细解读
目标读者:零基础也能看懂。从"什么是组件"一路讲到"怎么把组件拼在一起"。
一、为什么会有 CBSE?
CBSE(Component-Based Software Engineering,基于组件的软件工程) 出现在 1990 年代末。
在它之前,人们用**面向对象(OOP)**开发软件,寄希望于"写一个类,到处复用"。但现实很骨感:
- 单个类太小、太具体,和具体应用绑得太死
- 复用一个类往往需要看它的源代码
- 类通常需要在编译时就绑定进去,无法灵活替换
- 想把一个类"卖"给别人几乎不可能
于是工程师们想:能不能搞一个更大粒度、接口明确、可以像零件一样插拔的"组件"?
CBSE 就是这个问题的答案。
二、CBSE 的四大核心要素
CBSE 四大支柱
├── 1. 独立组件(接口完全定义)
├── 2. 组件标准(统一接口规范)
├── 3. 中间件(组件通信的粘合剂)
└── 4. 适合的开发流程(需求随组件灵活演进)
用一句话解释每个:
| 支柱 | 大白话解释 |
|---|---|
| 独立组件 | 每个组件自成一体,换掉一个不影响其他 |
| 组件标准 | 大家说同一种"语言",不同语言写的组件也能对接 |
| 中间件 | 负责帮组件互相"打电话",处理通信、安全、事务等底层问题 |
| 开发流程 | 需求可以根据"现有组件能做什么"来灵活调整 |
三、什么是组件?
3.1 两个权威定义
定义一(Councill & Heineman,强调标准):
一个符合标准组件模型的软件元素,可以不加修改地独立部署和组合。
定义二(Szyperski,强调特征):
一个有契约式接口和明确上下文依赖的组合单元,可被第三方独立部署和组合。
两者的共同点:组件是独立的、是系统中组合的基本单元。
3.2 组件的五大特征
| 特征 | 含义 |
|---|---|
| 可组合(Composable) | 所有对外交互都通过公开接口,并能让外界"查到"自己有什么 |
| 可部署(Deployable) | 自给自足,能作为独立实体运行,通常是二进制,不需要重新编译 |
| 有文档(Documented) | 接口的语法和语义都有清晰说明,让别人判断是否适合自己的需求 |
| 独立(Independent) | 不依赖其他特定组件,若有外部需求则在 “requires” 接口中明确声明 |
| 标准化(Standardized) | 遵循某个标准组件模型(如 EJB、.NET、Web Service) |
3.3 两种接口:provides 与 requires
每个组件都有两类接口,就像一个人既有"我能提供什么服务",也有"我需要什么支持"。
┌─────────────────────┐
requires │ │ provides
(我需要...) │ 组 件 │ (我能提供...)
────────────►│ ├────────────►
│ │
└─────────────────────┘
- provides 接口:组件对外暴露的 API,其他组件可以调用
- requires 接口:组件正常工作所需要的外部服务
类比:一台洗衣机(组件)对外提供"洗衣服"服务,但它需要电和水——这就是它的 requires 接口。
3.4 实例:数据收集器组件
┌─────────────────────────┐
requires 接口 │ │ provides 接口
│ 数据收集器 │
sensorManagement ─────────► ├──► addSensor
sensorData ─────────► Data Collector ├──► removeSensor
│ ├──► startSensor
│ ├──► stopSensor
│ ├──► testSensor
│ ├──► initialize
│ ├──► report
│ ├──► listAll
└─────────────────────────┘
左侧(requires):连接各种传感器,用通用字符串命令驱动(不绑定具体传感器类型)
右侧(provides):让上层系统管理传感器、获取报告
四、组件模型(Component Model)
组件模型是一套规范,告诉开发者:
- 接口怎么定义
- 组件怎么命名
- 组件怎么打包部署
4.1 组件模型的三大元素
组件模型
├── 接口(Interfaces)
│ ├── 如何定义接口
│ ├── 用什么语言描述(XML / Java / CIL)
│ └── 是否有必须实现的特定接口
├── 使用信息(Usage Information)
│ ├── 全局唯一命名(URI / 层级名)
│ ├── 元数据(meta-data):组件有哪些接口和属性
│ └── 定制化(customization):部署时如何配置参数
└── 部署(Deployment)
├── 打包方式(包含哪些支持软件)
├── 版本替换规则
└── 文档要求
4.2 中间件提供的服务
组件模型的实现(即中间件)就像组件的"操作系统",提供两类服务:
| 类别 | 具体服务 |
|---|---|
| 平台服务(Platform Services) | 寻址、接口定义、组件通信、异常管理 |
| 支持服务(Support Services) | 组件管理、并发、事务管理、资源管理、持久化、安全 |
4.3 容器(Container)的概念
把组件部署到"容器"里,就像把 App 安装到手机操作系统上——操作系统提供底层服务,App 专注自己的业务逻辑。
容器(Container)
┌────────────────────────────────────────────┐
│ 中间件服务(安全、事务、并发、持久化...) │
│ ┌─────────────────────────────────────┐ │
│ │ 组件(Component) │ │
│ │ provides 接口 │ requires 接口 │ │
│ └─────────────────────────────────────┘ │
│ 外部访问通过容器接口,不直接访问组件接口 │
└────────────────────────────────────────────┘
五、CBSE 流程
CBSE 有两条并行的主线流程:
5.1 为复用而开发(CBSE for Reuse)
目标:把现有的、特定应用的组件,改造成通用的、可复用的版本。
改造一个组件使其可复用,通常要做:
- 删除特定应用的方法
- 把名字改得更通用
- 补充缺失的功能,让覆盖面更完整
- 统一所有方法的异常处理方式
- 加一个"配置接口",让组件可被不同场景定制
- 合并依赖的组件,增强独立性
关于异常处理的两难困境:
如果把所有可能的异常都暴露出来 → 接口变得臃肿难用
如果内部消化所有异常 → 调用方无从得知出了什么问题
实用建议:技术性异常(如网络超时)内部处理并记录文档;业务性异常(如账户余额不足)抛给调用方处理。
复用性 vs 易理解性的权衡:
复用性↑⇒通用接口增多⇒复杂度↑⇒易理解性↓\text{复用性} \uparrow \Rightarrow \text{通用接口增多} \Rightarrow \text{复杂度} \uparrow \Rightarrow \text{易理解性} \downarrow复用性↑⇒通用接口增多⇒复杂度↑⇒易理解性↓
组件越通用,越难懂,有时候重新实现一个简单专用的组件反而更划算。
5.2 带复用的开发(CBSE with Reuse)
与传统开发的四大区别:
- 需求先写轮廓,不要过于具体 → 太具体会排除很多可复用的组件
- 需求可以根据组件能力来调整 → “这个功能我们可以用现成的组件实现,稍微改改需求就行”
- 架构设计后还要再找一遍组件 → 某些初选组件可能和其他组件不兼容
- 开发 = 组合过程 → 重点是把组件"接"在一起,而不是从头写
识别组件的三步流程:
组件搜索(Component Search)
↓
组件选择(Component Selection)
↓
组件验证(Component Validation)
组件验证中的大坑——Ariane 5 火箭事故:
工程师把 Ariane 4 的惯性导航软件直接复用到 Ariane 5 上(因为它运行良好)。
结果:Ariane 5 发动机更强,飞行数据数值更大,一个固定点数转整数的操作发生溢出,触发未处理异常,导航系统关机,火箭失控解体。教训:组件内嵌着对原始环境的假设,这些假设很少被记录在文档里。换了环境可能踩坑。
六、组件组合(Component Composition)
把多个组件"接在一起"的过程,有三种方式:
6.1 三种组合类型
(1) 顺序组合 Sequential Composition
外部调用者
│
▼
组件 A ──结果──► 转换/粘合代码 ──► 组件 B
A 和 B 不互相调用,由外部按顺序依次调用
(2) 层次组合 Hierarchical Composition
外部调用者
│
▼
组件 A ──内部调用──► 组件 B
A 直接调用 B 的 provides 接口(A 的 requires = B 的 provides)
(3) 叠加组合 Additive Composition
外部调用者
├──────────► 组件 A
│
└──────────► 组件 B
A 和 B 互不依赖,组合成一个新的复合组件,新接口 = A接口 + B接口
| 组合类型 | 调用关系 | 适用场景 |
|---|---|---|
| 顺序组合 | 外部 → A → B | 流水线处理,A 的输出作为 B 的输入 |
| 层次组合 | 外部 → A → B | A 依赖 B 的服务,A 的 requires = B 的 provides |
| 叠加组合 | 外部 → A 和 B | 把两个独立功能合并成一个更大的组件 |
6.2 接口不兼容的三种情况
现实中复用独立开发的组件,接口往往对不上:
不兼容类型
├── 参数不兼容(Parameter incompatibility)
│ 操作名相同,但参数类型或数量不同
├── 操作名不兼容(Operation incompatibility)
│ provides 和 requires 中的操作名对不上
└── 操作不完整(Operation incompleteness)
一方只实现了另一方接口的一个子集
6.3 适配器(Adaptor):解决接口不兼容的桥梁
组件 A 适配器 组件 B
(requires) ───────► (转换接口) ──────► (provides)
顺序组合的适配器示例:
场景:紧急调度系统,输入电话号码,查地址,打印地图
addressFinder.location(电话号码)
│
│ 返回完整地址字符串(含邮编)
▼
postCodeStripper.getPostCode(地址) ◄── 适配器:从地址中提取邮编
│
│ 返回邮编
▼
mapper.displayMap(邮编, 10000)
对应的"粘合代码"(C++ 风格伪代码):
#include <iostream>
#include <string>
// 假设这三个组件已经作为对象存在
// 实际中它们通过 RPC 或接口调用
// 粘合代码(顺序组合的核心)
std::string processEmergencyCall(const std::string& phoneNumber,
AddressFinder& addressFinder,
PostCodeStripper& postCodeStripper,
Mapper& mapper) {
// 第一步:通过电话号码找到完整地址
// addressFinder 的 provides 接口提供 location 方法
std::string fullAddress = addressFinder.location(phoneNumber);
// 第二步:适配器:从完整地址中提取邮编
// 这就是解决"参数不兼容"的适配器组件
// addressFinder 返回的 location 字符串格式与 mapper 期望的格式不同
std::string postCode = postCodeStripper.getPostCode(fullAddress);
// 第三步:用邮编在 1:10000 比例下显示地图
// mapper 的 provides 接口期望 (邮编, 比例) 两个参数
mapper.displayMap(postCode, 10000);
return postCode; // 返回处理结果供日志记录
}
int main() {
// 实例化三个组件(实际环境中通过中间件获取)
AddressFinder af;
PostCodeStripper pcs; // 这是适配器组件
Mapper mp;
// 处理一个紧急呼叫
std::string result = processEmergencyCall("010-12345678", af, pcs, mp);
std::cout << "已处理呼叫,邮编:" << result << std::endl;
return 0;
}
层次组合的适配器示例(数据收集器 + 传感器):
数据收集器 适配器 传感器
Data Collector Adaptor Sensor
│ │ │
│ sensorData("collect") │ │
├───────────────────────────►│ │
│ │ 解析字符串 "collect" │
│ │ → 调用 Sensor.getdata │
│ ├────────────────────────►│
│ │◄────────────────────────┤
│ │ 返回传感器数值 │
│◄───────────────────────────┤ │
│ 返回字符串格式的数值 │ │
数据收集器用通用字符串命令(如 "collect", "start", "stop"),适配器负责把字符串解析后调用传感器的具体方法(getdata(), start(), stop())。这样数据收集器可以对接任意类型的传感器,只要写一个对应的适配器即可。
七、接口语义兼容性与形式化规格
7.1 问题:光有接口名字不够
就算接口名字、参数类型都对得上,语义(行为含义)也可能不同。
以图书馆照片库组件为例,addItem 方法的文档写着:
“把一张照片加入库中,并关联照片 ID 和目录描述。”
但这句话没有回答:
- 如果 ID 已存在会怎样?
- 删除照片时目录信息也一并删除吗?
7.2 解决方案:OCL 形式化规格
OCL(Object Constraint Language,对象约束语言) 用前置条件和后置条件精确描述方法的行为。addItem 的 OCL 规格:
context addItem
pre: // 前置条件(调用前必须满足)
PhotoLibrary.libSize() > 0 // 库必须存在(非空)
PhotoLibrary.retrieve(pid) = null // 该 ID 对应的照片不能已存在
post: // 后置条件(调用后必须满足)
libSize() = libSize()@pre + 1 // 库大小恰好增加 1
PhotoLibrary.retrieve(pid) = p // 用同一 ID 能取回刚加入的照片
PhotoLibrary.catEntry(pid) = photodesc // 目录条目也正确关联
@pre 表示该变量在操作执行前的值。例如:
libSize()=libSize()@pre+1\text{libSize()} = \text{libSize()}_{@\text{pre}} + 1libSize()=libSize()@pre+1
含义:操作执行后的库大小 = 操作执行前的库大小 + 1(说明恰好加了一个)delete 的 OCL 规格(揭示了一个重要细节):
context delete
pre:
PhotoLibrary.retrieve(pid) <> null // 照片必须存在才能删
post:
PhotoLibrary.retrieve(pid) = null // 照片已不可检索
PhotoLibrary.catEntry(pid) = PhotoLibrary.catEntry(pid)@pre // 目录条目保留不变!
PhotoLibrary.libSize() = libSize()@pre - 1 // 库大小减 1
关键发现:删除照片后,目录条目依然保留,这是为了记录照片被删除的原因、新位置等信息。这个行为光从接口名字根本看不出来,必须靠形式化规格才能明确。
八、组合时的权衡取舍
组合组件时,经常要在多个目标之间权衡:
案例:数据收集与报告系统的两种组合方案
方案 (a) 分离式:
数据收集 ──► 数据管理 ──► 报告生成器
方案 (b) 集成式:
数据收集 ──► 数据库(含内置报告功能)
| 比较维度 | 方案 (a) 分离 | 方案 (b) 集成 |
|---|---|---|
| 适应性 | 高(各部分可独立替换) | 低(换数据库影响报告) |
| 性能 | 较低(组件间通信开销) | 较高(少一层转发) |
| 数据一致性 | 难保证(报告可能出错) | 好(数据库约束同时作用于报告) |
| 实现速度 | 慢(要开发多个接口) | 快(用现成的集成产品) |
一般设计原则:关注点分离(Separation of Concerns)
尽量让每个组件只负责一件明确的事,角色不要重叠。但是:
- 有时候买一个多功能组件比买三个单一功能组件更便宜
- 多组件协作可能带来性能或可靠性损失
没有绝对正确的选择,根据项目优先级决定。
九、关键要点总结
CBSE 核心知识地图
│
├── 组件特征
│ ├── 可组合、可部署、有文档、独立、标准化
│ └── provides 接口 + requires 接口
│
├── 组件模型
│ ├── 接口定义规范
│ ├── 使用信息(命名、元数据、定制)
│ └── 部署规范
│
├── 中间件
│ ├── 平台服务(通信、寻址)
│ └── 支持服务(安全、事务、并发)
│
├── CBSE 流程
│ ├── for reuse(改造现有组件,使其通用)
│ └── with reuse(找到组件,调整需求,组合成系统)
│
└── 组件组合
├── 顺序组合(外部依次调用)
├── 层次组合(A 内部调用 B)
├── 叠加组合(A + B 合并接口)
└── 适配器(解决接口不兼容)
十、练习题思路提示
16.1 CBSE 的设计原则:独立性、明确接口、标准基础服务
16.2 组件替换的意外后果:Ariane 5 案例——环境假设不同导致溢出崩溃
16.3 作为服务提供者的关键特征:可独立执行、所有交互通过接口
16.4 标准组件模型的重要性:使不同语言、不同平台的组件可以互操作
16.5 为复用而适配组件:以栈为例,泛化元素类型、统一异常处理、加配置接口
16.6 CBSE with reuse vs 普通开发:需求先轮廓后细化,可根据组件能力调整需求
16.7 设计患者组件接口:提供 addPatient/getRecord/updateRecord 等方法,requires 数据库服务
16.8 三类组合的适配器:顺序→数据格式转换;层次→接口代理;叠加→合并接口暴露
16.9 急救中心组件接口设计:
- 呼叫日志组件:
logCall(callId, time, location, type),getCallLog() - 车辆发现组件:
findNearestVehicle(postCode, incidentType)→ 返回车辆 ID 和位置
16.10 独立认证机构的优缺点: - 优点:增加信任、统一质量标准、减少重复测试
- 缺点:认证成本高、可能跟不上技术更新、谁来认证认证机构本身?
第 17 章:分布式软件工程(Distributed Software Engineering)详细解读
目标读者:零基础也能看懂。从"什么是分布式系统"一路讲到"软件即服务(SaaS)"。
一、什么是分布式系统?
分布式系统:由多台计算机协同工作,对外呈现为一个整体系统。
Tanenbaum 的经典定义:
“一组独立计算机,在用户眼中看起来像一个单一的、协调一致的系统。”
你每天用的东西几乎都是分布式系统:
- 手机 App(本地)→ 云端服务器(远程)
- 图片编辑器 → 云存储、自动更新
- 网银 → 浏览器(本地)+ 银行服务器(远程)
二、分布式系统的五大好处
分布式系统的优势
├── 资源共享(Resource Sharing)
│ 磁盘、打印机、文件、编译器可以跨机器共享
├── 开放性(Openness)
│ 基于标准互联网协议,不同厂商设备可互联互通
├── 并发性(Concurrency)
│ 多台机器同时处理不同任务,互不干扰
├── 可扩展性(Scalability)
│ 需求增加时,加服务器就行,不需要重建整个系统
└── 容错性(Fault Tolerance)
一台机器挂了,其他机器继续服务,降级而非崩溃
三、分布式系统的六大设计挑战
设计分布式系统时,有六个关键问题必须考虑:
| 挑战 | 核心问题 | 大白话解释 |
|---|---|---|
| 透明性(Transparency) | 用户是否需要感知分布式的存在? | 用户应该觉得在用一台机器,还是明白背后有很多台? |
| 开放性(Openness) | 用标准协议还是私有协议? | 用"普通话"还是"方言"? |
| 可扩展性(Scalability) | 怎么设计才能随需求增长? | 用户变多了,怎么快速扩容? |
| 安全性(Security) | 跨多个独立系统如何统一安全策略? | 每家公司都有自己的门锁,怎么协调? |
| 服务质量(QoS) | 响应时间和吞吐量如何保证? | 怎么确保用户体验不差? |
| 故障管理(Failure Management) | 出错了怎么检测、隔离、恢复? | 系统局部坏了,怎么不让它影响整体? |
3.1 透明性的两难
理想:用户完全感知不到分布式(就像用一台机器)
现实:做不到,因为:
- 网络延迟不可避免(信号传输需要时间)
- 各台机器独立管理,无法完全统一行为
实际做法:用中间件(Middleware) 隐藏底层分布细节,让程序员不用关心"这个资源在哪台机器上"。
3.2 可扩展性的三个维度
可扩展性=规模扩展+地理分布扩展+管理扩展\text{可扩展性} = \text{规模扩展} + \text{地理分布扩展} + \text{管理扩展}可扩展性=规模扩展+地理分布扩展+管理扩展
- 规模扩展(Size):加更多资源应对更多用户
- 地理分布扩展(Distribution):组件分布到全球各地,性能不下降
- 管理扩展(Manageability):系统变大了,仍然可以有效管理
两种扩展方式:
扩容方式
├── 纵向扩展(Scale Up):换更强的机器(16GB内存 → 64GB内存)
│ 贵,有上限
└── 横向扩展(Scale Out):加更多机器(1台服务器 → 10台服务器)
更经济,云计算让这个非常方便
3.3 安全性:四类攻击
分布式系统面临四种典型攻击:
攻击类型
├── 截获(Interception):偷听通信内容,泄露机密
├── 中断(Interruption):拒绝服务攻击(DDoS),用垃圾请求淹没服务器
├── 篡改(Modification):入侵后修改数据或服务
└── 伪造(Fabrication):生成虚假信息(如伪造密码条目)来获取权限
3.4 服务质量(QoS)
QoS = 系统可靠且及时地提供服务的能力。
特别重要的场景:音视频流(低于某个质量阈值就完全无法使用)
注意:QoS 的某些参数会互相矛盾:
可靠性↑⇒检查更多⇒吞吐量↓\text{可靠性} \uparrow \Rightarrow \text{检查更多} \Rightarrow \text{吞吐量} \downarrow可靠性↑⇒检查更多⇒吞吐量↓
云计算的出现大大缓解了这个问题——按需租用服务器,峰值期间自动扩容。
四、两种交互模型
分布式系统中,两台计算机之间有两种基本的交互方式:
4.1 过程式交互(Procedural Interaction)
类比:你和服务员点菜的对话
你(客户端) 服务员(服务器)
│
│── "你想要什么?"──────────────►
│◄─────────────── "番茄汤" ──────
│── "然后呢?" ──────────────────►
│◄─────────────── "牛排" ─────────
│── "几分熟?" ──────────────────►
│◄─────────────── "三分熟" ────────
...(一问一答,同步进行)
技术实现:远程过程调用(RPC,Remote Procedure Call)
原理:把远程计算机上的函数,调用起来就像调用本地函数一样。
RPC 的工作流程:
调用方(客户端) 被调用方(服务器)
│ │
│ 调用本地"桩(stub)" │
│──►[ 桩:参数打包成标准格式 ] │
│ │ 通过中间件发送请求 │
│ └────────────────────────────►│
│ │ 接收请求,执行计算
│ │
│◄───────────────────────────────────┘
│ 返回结果(经中间件传回)
│ 桩:解包结果,返回给调用方
Java 中的 RMI(Remote Method Invocation)就是 RPC 的 Java 版。
4.2 消息式交互(Message-Based Interaction)
类比:服务员把整桌的菜单一次性传给厨房
<!-- 服务员传给厨房的"消息":包含完整订单信息 -->
<starter>
<dish name="soup" type="tomato" />
<dish name="soup" type="fish" />
<dish name="pigeon salad" />
</starter>
<main course>
<dish name="steak" type="sirloin" cooking="medium" />
<dish name="steak" type="fillet" cooking="rare" />
<dish name="sea bass" />
</main>
<accompaniment>
<dish name="french fries" portions="2" />
<dish name="salad" portions="1" />
</accompaniment>
一次交互传递所有信息,接收方可以离线处理。
4.3 两种交互方式的对比
| 特性 | 过程式交互(RPC) | 消息式交互 |
|---|---|---|
| 同步性 | 同步(等待响应) | 可异步(发出去就行) |
| 双方都在线 | 必须 | 不必须(消息排队等待) |
| 是否需要知道对方名字 | 必须知道 | 不需要(中间件路由) |
| 单次信息量 | 小(一问一答) | 大(一次发完整消息) |
| 容错性 | 弱(对方挂了就失败) | 强(消息留在队列) |
五、中间件(Middleware)
中间件:位于操作系统和应用程序之间的软件层,负责处理不同系统间的差异,让组件能够顺畅通信。
System 1 System 2
┌─────────────────────┐ ┌─────────────────────┐
│ 应用组件 │ │ 应用组件 │
├─────────────────────┤ ├─────────────────────┤
│ 中间件 │◄─────────►│ 中间件 │
├─────────────────────┤ ├─────────────────────┤
│ 操作系统 │ │ 操作系统 │
├─────────────────────┤ ├─────────────────────┤
│ 网络层 │◄─物理连接─►│ 网络层 │
└─────────────────────┘ └─────────────────────┘
中间件提供两类支持:
交互支持:
- 位置透明性(你不需要知道对方在哪台机器上)
- 参数格式转换(不同编程语言参数格式不同,中间件负责翻译)
- 事件检测、通信管理
公共服务: - 安全认证(authentication & authorization)
- 命名服务(naming services)
- 事务管理(transaction management)
- 通知服务(notification services)
常见中间件例子:数据库通信软件、事务管理器、数据转换器、通信控制器。
六、客户端-服务器计算(Client-Server Computing)
6.1 基本模型
用户 → 客户端程序(本地)→ 网络 → 服务器程序(远程)
(浏览器/App) (Web服务器)
核心特点:
- 客户端需要知道哪些服务器可用,但不需要知道其他客户端的存在
- 客户端和服务器是独立的进程(可以在同一台机器上,也可以在不同机器上)
6.2 四层逻辑架构
客户端-服务器系统通常被分为四个逻辑层:
┌─────────────────────────────────┐
│ 1. 表示层(Presentation) │ ← 用户界面,管理用户交互
├─────────────────────────────────┤
│ 2. 数据处理层(Data Handling) │ ← 数据校验、网页生成
├─────────────────────────────────┤
│ 3. 应用处理层(App Processing) │ ← 业务逻辑,实现功能
├─────────────────────────────────┤
│ 4. 数据库层(Database) │ ← 数据存储、事务、查询
└─────────────────────────────────┘
不同的分布式架构,就是把这四层以不同的方式分配到客户端和服务器上。
七、五种分布式架构模式
7.1 主从架构(Master-Slave Architecture)
适用场景:实时系统,需要保证响应时间(如交通控制、工业控制)
特点:
- 主进程:负责协调、计算、通信
- 从进程:专注于特定任务(采集数据 / 控制执行器)
- 从进程可以处理计算密集型任务(信号处理、设备管理)
7.2 两层客户端-服务器架构(Two-Tier)
最简单的形式:一个逻辑服务器 + 若干客户端
两种子类型:
瘦客户端(Thin-Client)
客户端 服务器
┌──────────────┐ ┌──────────────────────┐
│ 表示层 │◄────────►│ 数据处理层 │
│ (浏览器) │ │ 应用处理层 │
└──────────────┘ │ 数据库层 │
└──────────────────────┘
优点:客户端管理简单,不需要安装特殊软件
缺点:服务器和网络压力大,所有计算都在服务器端
胖客户端(Fat-Client)
客户端 服务器
┌────────────────────────┐ ┌──────────────┐
│ 表示层 │ │ 数据管理层 │
│ 应用处理层(部分或全部)│◄─────►│ 数据库层 │
└────────────────────────┘ └──────────────┘
优点:充分利用客户端计算能力,服务器压力小
缺点:客户端软件更新麻烦,有多少台客户机就要更新多少次
典型例子:银行 ATM 系统
ATM机(胖客户端) 银行主机(服务器)
┌────────────────┐ ┌─────────────────────┐
│ 用户界面处理 │ │ TP Monitor(中间件) │
│ 本地业务逻辑 │◄───网络─────────►│ (序列化处理事务) │
│ 交易处理 │ ├─────────────────────┤
└────────────────┘ │ 客户账户数据库 │
└─────────────────────┘
TP Monitor(电信处理监视器)负责序列化事务,确保多个 ATM 同时操作时数据不会混乱。
7.3 多层客户端-服务器架构(Multi-Tier)
解决两层架构的问题:把四个逻辑层分别部署在不同的服务器上
典型例子:网络银行系统(三层架构)
好处:
- 可以独立扩展每一层(加 Web 服务器 / 加数据库服务器)
- Web 服务器和数据库服务器之间用高效的 SQL 中间件通信
- 可扩展性强,用户增多时加 Web 服务器即可
7.4 分布式组件架构(Distributed Component Architecture)
不按层来组织,而是按功能组件来组织,每个组件提供一组服务。
客户端1 客户端2 客户端3 客户端4 客户端5
│ │ │ │ │
└────────┴────────┴────────┴────────┘
│
通信中间件(Communication Middleware)
│
┌──────────────────┼──────────────────┐
│ │ │
[组件1+公共服务] [组件2+公共服务] [组件3+公共服务] [组件4+公共服务]
典型例子:数据挖掘系统
场景:零售商想找出"买披萨的人是否更倾向于买犯罪小说"这类关联关系
数据库1(食品销售)──►┐
数据库2(书籍销售)──►┤──► 整合组件1(季节性变化分析)──►┐
数据库3(客户信息)──►┘ ├──► 可视化组件 ──► 显示组件 ──► 用户
├──► 整合组件2(品类关联分析)────►┘
每个数据库被封装成一个分布式组件,只提供只读接口。整合组件从多个数据库拉数据分析关系。
优点:
- 延迟决策:不需要提前决定某个服务属于"哪一层"
- 开放架构:新增服务/数据库不影响现有系统
- 灵活可扩:组件可以在网络中动态迁移,追着请求走
- 动态重配:高负载时,服务组件可以迁移到请求来源的同一处理器,提升性能
缺点: - 设计比层次架构复杂
- 没有通用标准(微软用 .NET,Sun/Oracle 用 EJB,互不兼容)
7.5 点对点架构(Peer-to-Peer,P2P)
核心思想:没有明确的客户端和服务器之分,每个节点既是客户端也是服务器。
完全去中心化 P2P
n4
\
n2 - n3
| \
n1 n6 - n8
| | \
n5 n7 n13
|
n9 - n12
|
n10 - n11
|
n14
查找文档的路径示例(n1 → n10):n1 → n3 → n6 → n9 → n10
找到后,n10 直接和 n1 建立点对点连接传输文件。
半中心化 P2P
发现服务器(超级节点/Super Peer)
/ | \
/ | \
n1 n4 (发现其他节点)
|\ /|
| X |
|/ \|
n2 n3
| |
n5 n6
↕ ↕
(直接点对点通信,不再经过服务器)
超级节点的角色:帮助节点互相发现,之后通信就直连,不再走服务器。
| P2P 模式 | 优点 | 缺点 |
|---|---|---|
| 完全去中心化 | 极高冗余,容错好,节点离线不影响整体 | 搜索效率低,同一请求被多个节点重复处理 |
| 半中心化 | 减少节点间流量,搜索更高效 | 超级节点成为单点依赖 |
P2P 适用的两种情况:
- 计算密集型任务,可以拆分成大量独立子任务(如分子药物分析)
- 主要是节点间文件共享,不需要中央存储(如 BitTorrent、VoIP)
P2P 的安全隐患:无中央管理 → 攻击者可以设置恶意节点发送垃圾邮件/恶意软件,这是 P2P 在商业场景不普及的主要原因。
八、架构模式选择指南
| 架构模式 | 适用场景 |
|---|---|
| 主从架构 | 实时系统,需要保证响应时间(工业控制、交通管理) |
| 两层瘦客户端 | 遗留系统改造、简单数据查询(如普通网页浏览) |
| 两层胖客户端 | 计算密集型应用(如编译器)、需要离线处理的移动应用 |
| 多层客户端-服务器 | 大规模应用(数百/数千客户端)、数据和应用都频繁变化的场景 |
| 分布式组件架构 | 需要整合多个数据库/系统、高吞吐量事务处理 |
| 点对点架构 | 文件共享、VoIP、大规模并行独立计算 |
九、软件即服务(Software as a Service,SaaS)
9.1 什么是 SaaS?
SaaS:软件部署在远程服务器(通常是云端),用户通过浏览器访问,不需要在本地安装软件。
三大关键要素:
- 软件部署在云端,通过浏览器访问,不在本地
- 软件由服务提供商负责管理和维护(用户不用操心升级、打补丁)
- 付费模式灵活:按使用量付费 / 订阅制 / 免费(看广告)
常见例子:Gmail、Google Docs、Office 365、Salesforce
9.2 SaaS 的优缺点
| 维度 | 优点 | 缺点 |
|---|---|---|
| 管理 | 提供商负责升级、安全补丁、硬件扩容 | 用户对软件演进没有控制权 |
| 成本 | 无需管理软件许可证,按需付费 | 大量数据传输可能产生额外费用 |
| 访问 | 任何设备、任何地方都能访问 | 依赖网络,大文件传输慢 |
| 法规 | — | 数据存放在他人服务器,可能违反本国数据存储法律 |
9.3 SaaS vs SOA:两者的区别
很多人混淆这两个概念,其实它们是不同层面的东西:
| 对比维度 | SaaS(软件即服务) | SOA(面向服务的架构) |
|---|---|---|
| 是什么 | 软件的交付方式 | 软件的架构风格 |
| 用户接入 | 通过浏览器访问 | 不一定(API调用也可以) |
| 状态 | 有状态(维护会话、用户数据) | 无状态(服务调用完即结束) |
| 事务时长 | 长事务(如编辑文档) | 短事务(请求-处理-返回结果) |
| 谁用它 | 最终用户 | 开发者(系统间集成) |
类比:SaaS 是"通过网络给你用软件";SOA 是"把软件做成可以互相调用的积木"。
两者可以结合——用 SOA 实现 SaaS,就能让不同 SaaS 应用互相调用,构建"混搭(Mashup)"应用。
9.4 SaaS 的三大设计挑战
挑战1:可配置性(Configurability)
不同企业客户对同一软件有不同的定制需求:
可配置的内容包括:
- 品牌(Branding):界面显示各公司自己的 Logo 和风格
- 业务规则和工作流:每个公司定义自己的业务规则
- 数据库扩展:每个公司可以扩展数据模型字段
- 访问控制:每个公司管理自己员工的账号和权限
挑战2:多租户(Multi-Tenancy)
多家公司共享同一套系统,但彼此看不到对方的数据。
数据库层面的实现方式:
单一数据库,用"租户标识(Tenant ID)"区分数据
┌──────────┬──────┬──────────┬────────────────────┐
│ 租户ID │ 主键 │ 名称 │ 地址 │
├──────────┼──────┼──────────┼────────────────────┤
│ 234 │ C100 │ XYZ Corp │ 43, Anystreet... │
│ 234 │ C110 │ BigCorp │ 2, Main St... │
│ 234 │ │ J. Bowie │ 56, Mill St... │
│ 592 │ PP37 │ R. Burns │ Alloway, Ayrshire │
└──────────┴──────┴──────────┴────────────────────┘
↑ ↑
每行数据都带租户ID 用数据库视图,
让不同租户只看到自己的数据
多租户的核心设计原则:系统功能和系统数据必须完全分离,所有操作必须无状态,这样多个用户才能共享同一套服务实例。
挑战3:可扩展性(Scalability)
SaaS 的扩展主要靠横向扩展(Scale Out),即增加服务器数量。
五条设计准则:
- 每个组件都做成无状态服务,可以运行在任意服务器上(同一事务中可能用到多台服务器的同一服务实例)
- 使用异步交互,应用不需要等待某个请求的结果,可以继续做其他事(不卡住)
- 资源池化管理(网络连接、数据库连接),防止单台服务器资源耗尽
- 细粒度数据库锁,只锁用到的那部分记录,不锁整行
- 使用云 PaaS 平台(如 Google App Engine),平台自动根据负载扩容缩容
十、完整知识地图
十一、C++ 代码示例:模拟 RPC 调用机制
#include <iostream>
#include <string>
#include <map>
#include <functional>
#include <stdexcept>
// ============================================================
// 模拟中间件(Middleware):负责路由 RPC 调用
// ============================================================
class Middleware {
public:
// 注册服务:服务名 -> 处理函数
// 真实中间件会用网络通信,这里用函数指针模拟
void registerService(const std::string& name,
std::function<std::string(const std::string&)> handler) {
services[name] = handler;
}
// 调用远程服务(模拟网络传输)
// 调用方不需要知道服务在哪台机器上——这就是"位置透明性"
std::string call(const std::string& serviceName, const std::string& request) {
// 检查服务是否已注册
if (services.find(serviceName) == services.end()) {
throw std::runtime_error("服务未找到: " + serviceName);
}
// 打印日志,模拟"网络传输"过程
std::cout << "[中间件] 转发请求到服务 '" << serviceName << "'" << std::endl;
// 调用对应的服务处理函数并返回结果
return services[serviceName](request);
}
private:
// 服务注册表:服务名 → 处理函数
std::map<std::string, std::function<std::string(const std::string&)>> services;
};
// ============================================================
// 远程服务1:用户信息服务(运行在"服务器A"上)
// ============================================================
class UserService {
public:
// 处理请求:根据用户ID返回用户信息
std::string handleRequest(const std::string& userId) {
// 模拟数据库查询
if (userId == "001") return "Alice, 工程师, alice@example.com";
if (userId == "002") return "Bob, 设计师, bob@example.com";
return "用户不存在";
}
};
// ============================================================
// 远程服务2:库存查询服务(运行在"服务器B"上)
// ============================================================
class InventoryService {
public:
// 处理请求:根据商品ID返回库存数量
std::string handleRequest(const std::string& itemId) {
if (itemId == "P100") return "商品P100库存: 50件";
if (itemId == "P200") return "商品P200库存: 0件(缺货)";
return "商品ID不存在";
}
};
// ============================================================
// 客户端:通过中间件调用远程服务
// 客户端不知道服务在哪里,只需要知道服务名称
// ============================================================
class Client {
public:
// 注入中间件(依赖注入,便于测试)
explicit Client(Middleware& mw) : middleware(mw) {}
// 查询用户信息——就像调用本地函数,实际上是远程调用
void queryUser(const std::string& userId) {
std::cout << "\n[客户端] 查询用户ID: " << userId << std::endl;
try {
// 通过中间件发起 RPC 调用
std::string result = middleware.call("UserService", userId);
std::cout << "[客户端] 收到结果: " << result << std::endl;
} catch (const std::exception& e) {
std::cout << "[客户端] 错误: " << e.what() << std::endl;
}
}
// 查询库存信息
void queryInventory(const std::string& itemId) {
std::cout << "\n[客户端] 查询商品ID: " << itemId << std::endl;
try {
std::string result = middleware.call("InventoryService", itemId);
std::cout << "[客户端] 收到结果: " << result << std::endl;
} catch (const std::exception& e) {
std::cout << "[客户端] 错误: " << e.what() << std::endl;
}
}
private:
Middleware& middleware; // 持有中间件引用
};
// ============================================================
// 主函数:搭建整个分布式系统的模拟场景
// ============================================================
int main() {
// 1. 创建中间件实例(整个分布式系统的"总线")
Middleware middleware;
// 2. 创建各远程服务实例(模拟部署在不同服务器上)
UserService userService;
InventoryService inventoryService;
// 3. 向中间件注册服务
// 使用 lambda 表达式将服务方法包装后注册
middleware.registerService("UserService",
[&userService](const std::string& req) {
return userService.handleRequest(req);
});
middleware.registerService("InventoryService",
[&inventoryService](const std::string& req) {
return inventoryService.handleRequest(req);
});
// 4. 创建客户端,通过中间件发起远程调用
// 客户端完全不知道服务在哪台机器上(位置透明性)
Client client(middleware);
std::cout << "===== 模拟 RPC 远程调用 =====" << std::endl;
// 查询用户
client.queryUser("001");
client.queryUser("999"); // 不存在的用户
// 查询库存
client.queryInventory("P100");
client.queryInventory("P200");
// 调用不存在的服务(演示错误处理)
std::cout << "\n[客户端] 尝试调用不存在的服务" << std::endl;
try {
middleware.call("PaymentService", "pay-001");
} catch (const std::exception& e) {
std::cout << "[中间件] 错误: " << e.what() << std::endl;
}
return 0;
}
运行输出:
===== 模拟 RPC 远程调用 =====
[客户端] 查询用户ID: 001
[中间件] 转发请求到服务 'UserService'
[客户端] 收到结果: Alice, 工程师, alice@example.com
[客户端] 查询用户ID: 999
[中间件] 转发请求到服务 'UserService'
[客户端] 收到结果: 用户不存在
[客户端] 查询商品ID: P100
[中间件] 转发请求到服务 'InventoryService'
[客户端] 收到结果: 商品P100库存: 50件
[客户端] 查询商品ID: P200
[中间件] 转发请求到服务 'InventoryService'
[客户端] 收到结果: 商品P200库存: 0件(缺货)
[客户端] 尝试调用不存在的服务
[中间件] 错误: 服务未找到: PaymentService
十二、关键要点总结
| 知识点 | 核心结论 |
|---|---|
| 分布式系统定义 | 多台独立计算机协同,对外如单一系统 |
| 主要挑战 | 透明性、开放性、可扩展性、安全、QoS、故障管理 |
| 交互模型 | RPC(同步·一问一答)vs 消息(异步·一次发完) |
| 中间件作用 | 隐藏分布细节,提供公共服务,解耦组件 |
| 瘦/胖客户端 | 瘦:易管理但服务器重;胖:更平衡但客户端难更新 |
| 多层架构 | 解决两层架构的扩展性和管理问题,各层独立扩容 |
| 分布式组件 | 灵活、开放,但复杂、无统一标准 |
| P2P | 去中心化,资源利用充分,但安全性是主要顾虑 |
| SaaS | 软件通过浏览器交付,提供商维护,用户无需安装 |
| SaaS 三大挑战 | 可配置性(定制)+ 多租户(数据隔离)+ 可扩展性(横向扩展) |
本文根据 Sommerville《软件工程》第 17 章整理,结合中文语境重新表达。
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
7
0- 0
已为社区贡献61条内容
所有评论(0)