趙昶宇

（天津津航計算技術(shù)研究所，天津300308）

軟件失效模式與影響分析在武器火控軟件中的應(yīng)用研究

趙昶宇

（天津津航計算技術(shù)研究所，天津300308）

軟件失效模式與影響分析（SFMEA）是將傳統(tǒng)的基于硬件的FMEA技術(shù)應(yīng)用于軟件，對軟件以及軟件所嵌入的系統(tǒng)所進行的一種可靠性分析方法。在研究SFMEA原理的基礎(chǔ)上，結(jié)合武器火控軟件的特點，提出了一種適合該類軟件的SFMEA分析方法和實施流程，并成功地應(yīng)用于某型號武器火控軟件的可靠性與安全性分析中，提出了工程準則以及實施過程中的注意事項。

軟件失效模式；嵌入式系統(tǒng)；軟件可靠性；武器火控軟件

軟件失效模式及影響分析（SFMEA）是一種傳統(tǒng)的可靠性和安全性分析方法，應(yīng)用在安全關(guān)鍵級別比較高的軟件中，基本思想是在軟件研發(fā)的不同階段，通過識別軟件失效模式，研究分析各種失效模式產(chǎn)生的原因及其造成的影響，尋找消除或減少其有害影響的措施。然而，SFMEA在實踐中開展的并不順利，一方面，軟件開發(fā)人員對可靠性、安全性理論知識缺乏了解，相應(yīng)的指導(dǎo)步驟和方法也不具體，實施起來有一定的難度；另一方面，實施SFMEA的工作量較大，實施過程也較為煩瑣，實施成本較高。本文旨在通過研究SFMEA的實施要求，提出工程準則與注意事項，使得SFMEA方法具有可操作性，步驟具有可指導(dǎo)性，效果具有規(guī)范性。

1 SFMEA概述

SFMEA是一種“自底向上”的分析，最底層一級的影響逐級向上傳播，直到系統(tǒng)的最頂層。通過識別軟件失效模式，分析失效機理，查找失效原因，評價軟件失效對系統(tǒng)造成的影響，并提出有針對性的改進措施。

SFMEA關(guān)心的是“如果軟件的部件運行不正確會帶來怎樣的影響”“對軟件的部件進行失效假設(shè)，然后分析到系統(tǒng)級看導(dǎo)致的后果是什么”。根據(jù)分析階段和對象的不同，可將SFMEA分為系統(tǒng)級SFMEA和詳細級SFMEA。系統(tǒng)級SFMEA在軟件需求分析和概要設(shè)計階段進行，詳細級SFMEA主要在詳細設(shè)計完成以后或者編碼階段。

2 SFMEA在武器火控軟件中的應(yīng)用

2.1 武器火控軟件的特點

武器火控軟件負責(zé)完成武器發(fā)射準備和發(fā)射控制、武器系統(tǒng)檢查和維護任務(wù)，是武器控制系統(tǒng)的核心，其特點如下：①嵌入式。武器火控軟件都是和所屬的計算機系統(tǒng)一起嵌入到整個型號系統(tǒng)中聯(lián)合工作的，該類軟件和硬件是密不可分的。②軟件規(guī)模大且結(jié)構(gòu)復(fù)雜。隨著武器火控系統(tǒng)的功能越來越強大，其軟件代碼的規(guī)模也在急劇增加，且軟件算法的復(fù)雜度、軟件架構(gòu)的復(fù)雜度也呈現(xiàn)上升趨勢。③高可靠性和高安全性。武器發(fā)射任務(wù)的高風(fēng)險性決定了作為控制系統(tǒng)核心的武器火控軟件必須要求高可靠性和高安全性。④強實時性。武器控制系統(tǒng)對實時性要求很高，這就要求武器火控軟件能夠在第一時間在嚴格的時限內(nèi)作出響應(yīng)，且響應(yīng)時間不應(yīng)隨負載的增加而延長。⑤高精度和嚴格的時序要求。此外，武器火控軟件還具有硬件資源受限、長壽命、運行環(huán)境惡劣等特點。

武器火控軟件的上述特點以及日益增長的型號任務(wù)需求，給武器火控軟件的研制提出了更高的要求，使得我們不得不解決在軟件研制過程中暴露出的下列問題：①軟件研制前期的可靠性和安全性分析工作不足或缺乏，導(dǎo)致前期的軟件缺陷不易被發(fā)現(xiàn)，嚴重影響后續(xù)軟件研制的質(zhì)量和進度；②缺乏系統(tǒng)、規(guī)范的可靠性和安全性分析方法和相關(guān)工具支持，主要依賴設(shè)計師的經(jīng)驗來進行軟件可靠性和安全性設(shè)計；③對于軟件的關(guān)鍵失效模式和薄弱環(huán)節(jié)未能有效識別，同時未進行有效的跟蹤和控制，造成測試用例和軟件審查的針對性不強。因此，只有從軟件研制早期就引入并貫穿至整個研制過程的可靠性安全性分析方法，才能從源頭上保證武器火控軟件這類安全關(guān)鍵軟件的可靠性。

2.2 武器火控軟件的SFMEA方法

本文在前人研究成果的基礎(chǔ)上，結(jié)合武器火控軟件的特點，研究了適用于該類軟件的SFMEA方法，下面詳細說明針對武器火控軟件進行SFMEA的實施流程和分析方法[3]。

2．2．1 關(guān)鍵安全部件識別

可以從以下幾個方面鑒別軟件是否為安全關(guān)鍵性軟件：①控制程度，即軟件在系統(tǒng)危險控制上的參與度。②危險性。能導(dǎo)致危險發(fā)生的軟件是安全關(guān)鍵性的軟件，比如需要識別危險條件，實現(xiàn)自動的安全控制，提供安全關(guān)鍵性信息，禁止危險事件發(fā)生的軟件。③復(fù)雜度。越復(fù)雜的軟件越危險，隨著軟件用于控制危險的安全性相關(guān)需求的增長，軟件也隨之復(fù)雜。④時效性?？刂莆ｋU的軟件實時性是一個關(guān)鍵因素，軟件必須在危險發(fā)生之前就識別危險，并采取措施。

2．2．2 選取約定層次

在定義軟件約定層次時應(yīng)根據(jù)實際需要，重點考慮關(guān)鍵、重要功能的軟件部件或模塊。劃分約定層次應(yīng)注意以下3個方面：①當(dāng)分析的軟件比較復(fù)雜時，應(yīng)按照系統(tǒng)總體單位和軟件開發(fā)單位的技術(shù)責(zé)任關(guān)系明確開展SFMEA的軟件范圍。系統(tǒng)總體單位首先應(yīng)將研制的系統(tǒng)定義為初始約定層次，并對其他配套研制單位（包括軟件開發(fā)單位）提出最低約定層次的劃分原則。②約定層次劃分得越多越細，SFMEA的工作量就越大。對于采用了成熟設(shè)計、繼承性較好且經(jīng)過了可靠性、維修性和安全性等良好驗證的軟件，其約定層次可劃分得少而粗；反之，可劃分得多而細。③每個約定層次的軟件應(yīng)有明確定義，當(dāng)約定層次的級數(shù)較多（一般大于3級）時，應(yīng)自下而上按約定層次的級別不斷分析，直至初始約定層次相鄰的下一個層次為止，進而構(gòu)成完整的SFMEA。對最低約定層次按以下原則劃分：①所有可獲得分析數(shù)據(jù)的軟件單元中最低的層次，它能有完整的輸入，或能對應(yīng)到軟件中的一個或幾個有一定功能的函數(shù)；②當(dāng)軟件中某模塊的失效將直接導(dǎo)致災(zāi)難的（I類）或致命的（II類）后果時，則最低約定層次至少劃分到這一模塊所在的層次；③確定或預(yù)期需要單元測試的最低層次，這些軟件單元可能導(dǎo)致臨界的（III類）或輕度的（IV類）故障。

2．2．3 失效模式分析

對于系統(tǒng)級SFMEA，根據(jù)軟件功能描述、失效判據(jù)要求，確定所有可能功能的失效模式；對于詳細級SFMEA，根據(jù)模塊中變量的類型特征，確定所有可能變量的失效模式。需要注意以下事項：①每個模塊的每個失效模式是單一的，避免復(fù)合的失效模式，各個失效模式之間是互相獨立的，彼此不相關(guān)；②對失效模式的表達要正確且清楚，不要把被分析對象的外部輸入錯誤作為失效模式，實際上這是輸入模塊的某種失效模式對被分析模塊的失效影響，不是被分析對象本身發(fā)生的失效模式；③不要把被分析對象內(nèi)部的組成變量、算法的某種失效模式當(dāng)作系統(tǒng)級分析對象的一種失效模式，其實這是詳細級分析的變量的失效模式，而不是模塊功能的失效模式。

2．2．4 失效原因分析

分析軟件的失效原因時，應(yīng)注意以下幾點：①軟件失效原因首先在自身范圍查找，大多數(shù)為開發(fā)過程中的“設(shè)計缺陷”。②在自身范圍查找完后，應(yīng)考慮軟件相鄰結(jié)構(gòu)層次的關(guān)系，在分析失效原因時，可通過下一個或更深一個層次失效模式去尋找。③當(dāng)某個失效模式存在2個以上失效原因時，在“失效原因”欄中分別注明，要對每個原因進行獨立分析；而當(dāng)某個失效模式是由2個及以上的失效原因共同導(dǎo)致時，這些失效原因應(yīng)該列在一起。④失效模式一般是可觀察到的失效表現(xiàn)形式，而失效模式直接原因或間接原因是設(shè)計缺陷、外部因素；失效原因的描述應(yīng)該采用精確的工程術(shù)語表述。

2．2．5 失效影響分析

失效影響是失效模式導(dǎo)致的各種后果，應(yīng)注意以下事項：①分析失效影響時，應(yīng)明確層次間的傳遞關(guān)系，應(yīng)把握程序模塊之間的功能聯(lián)系而不是簡單的結(jié)構(gòu)關(guān)系。②當(dāng)同一部件具有許多功能時，必須考慮每種功能可能的失效模式。軟件失效不僅包括功能失效，還包括性能失效。③對于采用了冗余設(shè)計、備用工作方式設(shè)計或者故障檢測與保護設(shè)計的軟件，在SFMEA中應(yīng)暫不考慮這些設(shè)計措施而直接分析軟件故障模式的最終影響。

2．2．6 改進措施分析

SFMEA的目的在于盡早發(fā)現(xiàn)潛在的問題，并采取相應(yīng)的改進措施，從而提高軟件的可靠性和安全性。改進措施可按如下優(yōu)先順序加以考慮：①更改軟件設(shè)計，消除導(dǎo)致關(guān)鍵性硬件故障的原因；②若不能消除，加強軟件對異常情況的處理（比如容錯技術(shù)），降低故障影響的嚴重程度；③在軟件執(zhí)行關(guān)鍵性的功能時，應(yīng)使程序具有自檢查的功能，降低故障的檢測難度，提高可檢測性。

2．2．7 形成分析報告并建立失效模式庫

將以上結(jié)果形成分析報告，這部分工作可通過專門的計算機輔助分析工具進行，并進行相關(guān)失效數(shù)據(jù)的統(tǒng)計和圖表分析。同時，利用計算機技術(shù)將失效數(shù)據(jù)保存并整理，通過不斷積累和豐富失效模式庫的數(shù)據(jù)，可為今后的分析工作提供重要的參考價值。

3 結(jié)束語

目前對軟件進行SFMEA還處于探索階段，該方法有待進一步完善，今后的努力方向可歸納為以下幾點：基本規(guī)則和約定假設(shè)有待進一步成熟和規(guī)范；可探討SFMEA和其他可靠性分析工具例如SFTA的綜合使用；盡量多地收集和整理軟件失效相關(guān)數(shù)據(jù)，為進一步量化SFMEA方法中相關(guān)等級的確定提供依據(jù)。

［1］工業(yè)和信息化部電子第五研究所.GB/T 7826—1987系統(tǒng)可靠性分析技術(shù)、失效模式和效應(yīng)分析（FMEA）程序［S］.北京：中國標(biāo)準出版社，1987.

本文部分參考文獻因著錄不全被刪除。

〔編輯：劉曉芳〕

TP311.5

：A

10.15913/j.cnki.kjycx.2017.15.147

2095-6835（2017）15-0147-02