Научный форум dxdy

bsivko,

Давайте начнём с того, в чём мы готовы согласится:

1) Разработка программ — это практическая деятельность. Поэтому к ней неприменимы, скажем, критерии правильности доказательства из математики.

2) Программы полезны только во взаимодействии с внешней средой — как потребители (им нужно железо, на котором бежать) и как производители (будь то управление оборудованием или HMI игры).

3) Полезность программ — это ещё и экономическая категория. Соответственно, и качество — тоже экономическая категория.

Найдите 10 отличий:

"Измерение площади участка земли - это практическая деятельность. Поэтому к нему не применимы, скажем, формулы и теоремы из геометрии."



Не понимаю ориентации этого утверждения. Т.к. программы , а если обобщать, то и любой системы, - без внешней среды не существует.



В большинстве случаев да.

С одной стороны, создание ПО имеет стоимость в некое число денежных знаков.

С другой стороны, например, ошибка в ПО может привести к потере человеческих жизней, которые не всегда могут быть заменены эквивалентом в денежных знаках.

Достаточно одного. При измерении участка земли нас устраивает результат с какой-то погрешностью. Вы ведь не сможете измерить площадь садового участка с точностью до 1 квадратного сантиметра?
А вот устроит ли нас такой результат: "программа содержит не более 3 ошибок на мегабайт кода"?


Если систему жизнеобеспечения провинциальная больница не сможет себе позволить из-за чрезмерной дороговизны, это тоже может привести к потере человеческих жизней.

В ряде случаев устроит. Я уже писал об этом:


Малые идеальные программы возможны. Большие сделать трудно, т.к. это слишком ресурсоемкий процесс. Но, отказываться от док-ва правильности в этом случае не стоит. Особенно если это дорогой АПК и возможно привлечение специалистов по верификации для поиска ошибок.
А если народ пишет самопальные программы с временем жизни в пару месяцев, то нафиг им вообще какая-то верификация, т.к. ошибки, не покрытые тест-кейсами, даже не успеют вылезти.


Я не говорю "Если". А отвечаю на утверждение, которое хотят сделать аксиомой.

Есть в этом мире уникальные вещи. Которые не могут быть заменены или получены за $.
Если из-за ошибки в ПО произойдет пожар в музее и канут в лету надцать десятков произведений типа моно лизы - у кого вы их купите?
Если Эйнштейн в результате падения самолета погибнет - кто вам и когда купит теорию относительности?
Да, вы можете "купить" немножко человеческих жизней, построив детдом или увеличив стимуляцию молодым мамам экономически. Но вопрос какие это будет человеческие жизни? И сможете ли вы здесь и сейчас их купить?

Ошибка в ПО оценивается количеством вреда, которое она приносит, и соответственно в времени, силах и средствах, которые необходимы, чтобы перевести ситуацию в состояние, как будто ошибки не произошло. Если это выражается в $ - то подходит под вышеописанное утверждение.

Видите ли, если Вы не готовы ни с чем согласится, то обсуждать что-либо с Вами просто не интересно. Я готов оспорить абсолютно любое утверждение, просто заявив что то, на чём оно основано не абсолютно истинно.

Ваша же аргументация против моих тезисов, на мой взгляд, слаба. Может быть, Вы просто не поняли меня (я не мастер выражаться), но…


Десять отличий я искать не буду. Но ни задача квадратуры круга, ни трисекции угла, ни даже обмен территорией с Китаем не вызовут у землемера ни малейших затруднений.

Вы (намеренно или нет) подменяете критерии правильности доказательств в математике и правильности программ на применимость математики к программам. Надесь, что хотя бы в этой формулировке разночтений не возникнет. Между тем, математическое доказательство абсолютно: если в нем есть ошибка, то результатом пользоваться нельзя. А программами с ошибками мы все пользуемся (за неимением других). Что не отменяет приложимости математичеких теорий в разработке ПО.


А вот теоремы существуют. Но главное, вопрос к Вам: готовы ли Вы согласится с этим утверждением?


Ну и что? Программа для кардистимулятора не может стоить (я имею в виду именно стоимость, а не цену) рублей. И ПО для самолета не может. И даже ПО для атомной электростанции. Просто потому, что все эти объекты должны быть построены и должны окупаться.

Человечские жизни … деньги … Практичные янки при дворе президента Буша при разработке самолёта ориентируются на цену человеческой жизни порядка 300,000 $. Думаю, что у них есть и уставная единица для АЭС. Для компании (зачастую, небольшой), производящей кардистимуляторы, качество ПО — это вопрос жизни и смерти компании. Но слишком дорогое ПО — просто другой способ для компании умереть, будучи нерентабельной.

Мораль: на данный момент я знаю (в силу своей ограниченности, несомненно) только один случай когда от программ требуется абсолютное качество: применение программ для доказательства математических фактов. Но мы, вроде, эти программы не рассматриваем.


Вам, видимо, не хватает толики здорового цинизма. Если погибнет Мона Лиза, никто новой не напишет. Но музей получит вполне конкретную страховку. Страховая компания, в свою очередь, будет судить производителя пожарной системы. Тот укажет на свою страховую компанию, которая ущерб оплатит, но поднимет страховой взнос до небес. Так что “Money, money, money // Must be funny In the rich man’s world”. И, что самое любопытное, никто даже не вспомнит имя пождигателя. Я думаю, Вам понадобится немало порыться в Интернете чтобы найти имя морального урода (ой, по-моему теперь это борец за демократические идеалы), облившего Данаю кислотой. А прежнего полотна Рембранта нет. И не будет.

Если бы жизнь была бесценна, Эйнштейн бы лежал в гробу не отходя от родившей его матери. Потому что не только ПО не надежно. Может сломаться автомобиль («Отказали тормоза»), взорваться чайник, упасть дерево.

В какой-то момент музей становится перед выбором: покупать новую систему пожарной охраны, зная, что в её ПО есть ошибки, или жить со старой, зная, что в её механических/химических/… элементах есть дефекты. «И вот вам вся история, // И ей цена — пятак.»

И не собираюсь кому-то что-то доказывать. Почему-то вы считаете, что результатом обсуждения должно быть 2 человека с одним мнением по обсуждаемому вопросу. Я так не считаю.


У меня нет аргументации "против тезисов". У меня есть мнение, которое не такое, как ваше. Оно не ставится в позицию "категорически против".


Почему нельзя?
Повторяюсь в третий раз: доказательство правильности не доказывает отсутствия ошибок (меня с bak'ом путать не надо). Оно занимается поиском ошибок (это в случае верификации готового ПО) либо помогает строить ПО с меньшим уровнем ошибок (использование доказательства правильности во время создания ПО или до). В любом случае это инструмент, которой позволяет улучшить качество ПО. И если даже док-во правильности не нашло ошибок, это говорит о большей нашей уверенности в том, что ПО сделано более качественно.


Если я правильно все понял, то считаю это банальностью. Или определением. Того, что любое ПО работает на физическом носителе, то что имеет что-то дает ему что-то на вход и ждет на выходе, - все это можно определить как внешнее по отношению к ПО.


Да, я знаю что буржуи рассматривают человеческую жизнь в неком $-эквиваленте. Но у пост-советских стран другое отношение к системам, критичным к безопасности.


Абсолютного качества не существует. И не только в ПО. Вы это написали первым же утверждением. Согласны?


Старая механическая система может быть построена на безопасных элементах (например реле 1-го класса). А если придет кто-то и скажет "Давайте я воткну микроконтроллер", то ему придется всем доказать, что это будет функционировать безопаснее старой системы. Иначе такое не пропустят туда, где предъявляются серьезные требования по безопасности функционирования.


Вы не понимаете, что я пишу. Вопрос не в том, что произойдет. Вопрос в том, как строятся безопасные системы.
Всего лишь утверждение, что есть вещи, которые не оцениваются в $ . И для таких вещей нужно не деньги вкладывать, а использовать комплексные методы по снижению вероятности ошибок и сбоев, свЕдения всего этого к ничтожно малой вероятности проявления. И в таких случаях отказываться от методик доказательства правильности глупо, т.к. они позволяют эффективно находить такие ошибки, которые не выявляются никакими другими методами.

Если мона Лиза и Эйнштейн не понятны, то скажите пожалуйста, во сколько денег обойдется человечеству ошибка в ПО, которая запустит в ход атомную войну? 300,000 * 7 * $ ?

Или можно сказать по-другому. Вы полетите на Марс в составе 1 из десяти ракет, каждая из которых долетит до Марса с вероятностью 20% ? Просто потому, что создатели решили особо не церемонится, и немножко сэкономить. Просто стоимость системы в силу описанного факта стала дороже на 3 млн $

Я так тоже не считаю. Но если мы не можем найти общие положения, в которых согласны (например, что чёрное — чёрное, а белое — белое), то конструктивного обсуждения не будет. Будет классика: «Ты — Ерёма, я — Фома, // Ты мне — слово, я те — два». Просто дальнейшее бесполезно.


Не принято? Потому, что нельзя быть чуть-чуть беременной? Потому, что пока теорема не доказана, она не доказана?

Ещё раз: речь идет о математике. В математике доказательство абсолютно. Оно либо есть, либо нет. Соответственно, либо факт доказан (и им можно пользоваться), либо нет ( и тогда любое утверждение на его основе имеет низкую ценность).

Вы же, по-моему, пытаетесь перенести мое высказывание об абсолютности доказательства в математике на ПО. Я такого не говорил. Более того, с моей точки зрение, это одно из существенных отличий — ПО с ошибками имеет ценность. Так что (поскольку это уже третье сообщение), передергиваете-с.


Боюсь, что я этого не утверждал. По-моему, Вы писали, что возможно полное доказательство правильности работы программы. Просто оно обычно никому не нужно. Но в тех случаях, когда речь идет о математических фактах, к программам применяются те же требования, что и к обычным доказательствам. То есть, абсолютные. Такие программы имеют ценность только до тех пор, пока в них не найдена ошибка.


Мне кажется, Вы переоцениваете надежность ракет. Статистика запуска спутников последних лет как-то не вдохновляет.

Равно как и ПО атомных войн. Принимавшего за ракетные атаки стаи перелетных птиц…

А сколько примеров, когда разработчики автомобилей чуть-чуть сэкономили?!

~~~

Самое главное, что я не могу понять: Вы всерьез считаете,

1) Что разработка ПО и математическая теория имеют одинаковые требования?

3) Что разработка высоконадежного ПО — это не экономическая деятельность?

Если да, то Вы как-то странно это аргументируете.

По пункту (2), банальность или нет, мы, вроде, согласились.

P.S. Вы как-то намёкивали (хинтовали?), что медицина и авиация — это не предел требований к ПО (хоть я этого и не говорил). Если не секрет, в какой области работаете Вы?

Добавлено спустя 5 минут 25 секунд:

P.P.S.

Всё оценивается в рублях. Или в долларах, еврах, юанях, рупиях. Всё — Ваш оргазм, жизнь ребёнка, слёзы матери… Читайте первочеловека Смита (или карлу Маркса).

Вы уж извините, но опыт проведения док-в для меня не прошел мимо, и наверное поэтому скурпулезно отношусь у любым утверждениям.

Если теорема доказана, то ей можно пользоваться в тех рамках, которых она проводилась (например сумма углов треугольника в рамках геометрии Евклида).

При верификации программ возможна такая ситуация, когда док-во проходит для более слабых условий, но не проходит для более сильных, а корректные условия поставить и провести на них сложно. В таком случае мы имеем, что полное док-во провести не можем, но проведено более слабое. И то, что более слабое прошло, говорит о более высоком качестве ПО по сравнению с тем, что если бы это док-во не проводилось.


Да, я писал что возможно абсолютное док-во.
Но я лично не отношусь у нему как к ПО, которое работает всегда без ошибок. Любое ПО работает на конкретном железе, которое может давать сбои. Любое док-во проводится на неком уровне абстракции с точки зрения рассмотрения всего работающего аппаратно-программного комплекса. И на этом ПО работают люди, которые разные, и док-во защиты от дурака не построишь.
Абсолютное док-во является абсолютным "на бумаге". В рамках той математики, в которой оно проводилось. После проведения абсолютного док-ва можно говорить, что программа работает математически правильно. А это не говорит о том, что ПО будет работать всегда и так, как от него хотят.


Нужно. Уже писал - для поиска ошибок в ПО.



При чем тут конкретности? Если считаете, что все выражается в $ - считайте. И вопрос закроем.


Это вообще разные области - маттеория и прикладное использование.


Разработка высоконадежного ПО - это прежде всего разработка высоконадежного ПО. Для такого ПО есть определенные требования, которые нужно выполнять.


Ж.д. транспорт.


Продайте пожалуйста свою жизнь. А лучше дайте две.

Отлично! Скрупулёзность — редкое достоинство в наши дни.

Например,

А Вы мне возразили:
Очень, очень внимательное отношение к оппоненту.

~~~

Ну да ладно. Похоже, мы всё-таки согласились по двум первым пунктам. Остался третий, экономический характер бо́льшей части ПО. Большей, потому что есть не интересующие нас исключения, вроде математических программ-доказательств.

Ну, во-первых, о Вашем предложении продать жизнь. Вы готовы покупать? Скажем, за US$, аванс 30%, срок исполнения 20 лет, доставка мёртвого тела за счёт покупателя? Я чего-то не предвижу и других покупателей. Но вот что любопытно — «заказать» меня можно за заметно меньшие деньги. И это тоже определяет рыночную цену моей жизни. Видимо, моя жизнь имеет для меня некоторое сентиментально значение, которое отсутствует у наёмных убийц.

Интересное дело, но также поступают и компании–потребители ПО. Они готовы покупать ПО (и продукты его содержащие), но не по заоблачным ценам. Продавец, говорящий «в моем ПО нет ошибок, с вас 74 триллиона евро» будет долго искать покупателя. А президент (или директор) Вашей компании очень болезненно отреагирует на то, что безошибочное ПО будет готово в срок … точно через 217.8 года.

Отсюда я делаю вывод: для любого ПО, удовлетворяющего сколь угодно высоким требованиям к качеству, безошибочности и т.п., существуют сроки и стоимость, за которыми разработка такового ПО экономически нецелесообразна.

Между прочим, касаясь ПО ядерных войн. Строго говоря, DoD или ВПК не являются коммерческими структурами и в заметной степени не подчиняются экономическим законом. Но даже они ограничены бюджетом и сроками.

Понимаете,
1) ваш труп
2) ваша запасная жизнь (на всякий случай)
3) и ваш двойник

это 3 разные жизни. В вашей формулировке на сейчас покупается только 1-я.
Безопасные системы позволяют в ряде случаев "купить" 2ю.



Ещё раз.
Есть ряд областей, в которых ПО делается на соответствующем уровне. С выполнением требований по надежности и безопасности функционирования. Если оно не удовлетворяет соответствующим требованиям, то его просто на рынок не пустят.
Если говорить об областях, то у них всех есть своя специфика. Для банковских систем всегда можно сделать backup, при полете АМС в космос можно продублировать системы и в крайнем случае долетит одна, в ВПК вообще другая история - главное победить противника как в гонке, так и прямом конфликте, потому получается формула считается как качество*количество, но не оценка по некому уровню.


Все правильно. Если такое ПО экономически не конкурирует с имеющейся системой, то оно просто отклоняется. Поэтому до сих пор на ж.д. работают релейные системы и только в последние годы начинают внедряться микропроцессорные, потому как они начинают достигать выполнения требований.
И как я уже писал

Создание ПО оценивается в $ . Но при этом результат должен соответствовать требованиям.

Вы опять “splitting words”. То, что я предлагаю, должно быть ясно из примера с «заказом» — отнюдь не труп.


«Эх, раз, да ещё раз, да ещё много много раз…»

Позвольте мне сформулировать несколько афористично: продукт, который не удовлетворяет требованиям — это не продукт. Но это не изменяет факта того, что производство и реализация продукта — процесс экономический.

При этом является ли продукт ПО или нет — это не важно. «Не так ли поступают и язычники?»: вот и пример — грузинское вино. Оно не удовлетворяло требованиям к вину (по свидетельству FAO, агенства ООН), и оно перестало быть продуктом. Но заявления Грузии звучали именно так: отказ России покупать наше (т.н.) вино наносит ущерб нашей экономике. Т.е. Грузия рассматривает производство вина как экономическую деятельность.

То же и ПО. Если оно не удовлетворяет требованиям, это не ПО. Но производство ПО — это экономичекий процесс.

P.S. Заметьте, что требования к ПО могут иметь совершенно внешний к программам характер. Например, в некоторых областях программу не купят без гарантии поддержки в течении 10-15 лет. Но эта поддержка, строго говоря, не имеет никакого отношения к качеству ПО. Это совершенно внешняя активность. И, тем не менее…

Даже в такой формулировке для выполнения поставленных требований используется док-во правильности.


И опять же возвращаемся к вышесказонному:
Производство ПО выражается в денежных знаках, а требования (спецификации) не всегда выражаются в $

Меня на данный момент меньше всего интересует, как обеспечивается выполнение требований. Я просто отказываюсь мешать мух и котлеты.


Эк Вы упорно про своё. Ну хорошо, ошибка в программе управления двигателем автомобиля может привести к потере человеческих жизней. Рассмотрим, скажем, Тойоту (я не говорю про ВАЗ с его карбюраторными двигателями и отсутствием бортового компа; большинство нормальных производителей — Форд, БМВ, Рено — в том же положении). Написали программу. Верифицировали. Протестировали. ‹…› Может ли теперь Тойтота гарантировать отсутствие ошибок? Нет. Что делать? Продолжать тестирование, верификацию, ‹…›. Выделить дополнительные финансовые, вычислительные и иные ресурсы на это архиважное занятие. Ведь речь идет о жизнях и здоровье людей!!! Может быть, через 8 лет удастся найти ошибку, в том числе и опасную!!!

Но Тойота в какой-то момент останавливается. Её поджимают сроки — модельный год начался, Кемри-2007 уже никто не покупает, 2008 подавай. Ей становится невыгодным — Кемри за 50,000 зелёных никто не купит, не тот класс (да и качество не то). И риск, что придётся заплатить за потерю жизни по вине Тойтоты (что придётся долго, дорого и скучно доказывать в суде) пару-тройку миллионов становится оправданным. Конечно, Тойота учтёт и отрицательный PR, урон репутации и т.п. Что она тоже измерит в деньгах. Она сопоставит надежность программы с надежностью остальных компонентов системы (машины). То есть, в любом случае, останавливая подготовку программы, Тойота считает только деньги. А Ваша жизнь … она — уникальна лишь для Вас. А для Тойоты это — статистика и бабки.

Поэтому, мне кажется, все разговоры о бесценности жизни и т.п. — опасное заблуждение для тех, кто хочет профессионально заниматься разработкой ПО. ПО — это только экономика.

Я не в курсе как это происходит на автотранспорте. На ж.д. транспорте в случае наличия серьезных дефектов или подозрения на низкое качество ПО, которое может повлиять на безопасность систему просто не примут. Потому как существующие системы обеспечивают требуемый уровень безопасности.

Надеюсь вы понимаете, что требуется не бесконечно малая величина вероятности опасного отказа, а док-во того, что эта величина менее установленного регламентом уровня?


Есть ещё другой вариант. Выпускают ПО с критичным дефектом, который проявляется на одной из тысячи машин в год и приводит к опасному отказу. В результате например -1 жизнь на каждую тысячу авто. Проходит пара лет, дефект выясняется. Тойота принимает это, исправляет дефект, изымает из оборота тысячи машин, а при большом резонансе имя "Тойота" исчезает и остается только в учебниках истории.

У вас есть примеры использования в авто-системах ПО, влияющего на безопасность? Хотелось бы на это взглянуть.

Давно меня так не веселили!
И как это доказательство протекает? По высоте стопки бумаги с формальным доказательством правильности? Очень формальный процесс!


Любое управление впрыском влияет на безопасность. Потому, что неожиданно вставшая на шоссе машина на скорость 100 км/ч или больше (на автобане) — это ДТП, возможно со смертями.

Недавно промелькнувший пример — ошибка в срабатывании воздушных мешков. К сожалению, производители не любят говорить, что именно виной — ПО, детали, … Результат — произвольный выброс. Т.е,, вы ведёте себе машину и …

Сейчас очень много муссируется вопросов типа Drive-by-Wire. Steer-by-Wire (управление газом и тормозом, управление рулем через процессор). Вроде уже такие машины появились. Нисан (лет 10 или больше назад) ставил на машину 9 процессорных плат. В частности, в водительскую дверь и в багажник (для управления лампочками тормоза и т.п.) Смысл прост — экономия на проводах. Результат тоже прост: откажет процессор/программа — не показан поворот/торможение — ДТП.

Кстати, о Тойоте. Если удастся доказать, что в ПО был серьезный дефект и Тойота о нём знала — вот тут ей действительно мало не покажется. Но вот беда — не существует (хорошо, будучи буквоедом, скажу — не известно) процесса позволяющего получить бездефектное ПО. Существуют лишь методы выявления дефектов. И повышения уровня доверия. И основной проблемой разработчиков являются не известные, а неизвестные дефекты.

А вот то, что после устранения любого дефекта надо начинать весть цикл верификации заново — это экономическая проблема. Это определяется цену продукта, соответствующего требованиям.

Другой пример — управление светофорами. Комментарии, думаю, не нужны.

И о ЖД транспорте. Ну хорошо, сейчас есть адекватно работающая система. Через 30 (50, 150) лет реле начнут выходить из строя. Массово. И обнаружится, что такие (скажем, слаботочные) реле просто перестали выпускать. Как лампы. Как Интел перестал выпускать процессоры военной приёмки. И что Вы будете тогда делать?

~~~

Но что самое интересное, Вы (опять!) не ответили по существу. Я говорю, что разработка ПО — это экономический процесс, а Вы отвечаете, что систему, не удовлетворяющую требованиям просто не примут. Ну и что? Какое отношение это имеет к экономике? Я, например, не покупаю просроченное молоко. Перестало ли животноводство быть частью экономики?!