劉洋 張宏宇 董旭升

摘要：在簡(jiǎn)述分析技術(shù)的基礎(chǔ)上，提出了以系統(tǒng)危險(xiǎn)為基礎(chǔ)的軟件安全性與可靠性分析策略，并結(jié)合實(shí)例對(duì)這一策略的實(shí)際應(yīng)用進(jìn)行了深入探討，旨在為實(shí)際的軟件分析工作提供參考，保證軟件分析結(jié)果的真實(shí)性與準(zhǔn)確性。

關(guān)鍵詞：軟件;可靠性;安全性;故障樹

0 引言

在航天、軍事等領(lǐng)域中，軟件密集化程度、規(guī)模、復(fù)雜度均大幅提高，作為系統(tǒng)的重要組成部分，軟件對(duì)系統(tǒng)的影響日益增大。因此，在軟件研制與管理過程中，如何保證軟件的可靠性和安全性，成為了相關(guān)人員關(guān)注的焦點(diǎn)。

1 分析技術(shù)

1.1? ? FHA

FHA，即功能危險(xiǎn)評(píng)估，按照從上到下的順序確定系統(tǒng)功能所處狀態(tài)，同時(shí)對(duì)其可能造成的影響進(jìn)行評(píng)估。它能對(duì)產(chǎn)品功能進(jìn)行綜合檢查，對(duì)不同的功能狀態(tài)進(jìn)行識(shí)別，判定功能是否存在故障或喪失，并以故障的嚴(yán)重程度為依據(jù)進(jìn)行分類。

1.2? ? PHA

PHA，即初步危險(xiǎn)分析，可對(duì)系統(tǒng)危險(xiǎn)進(jìn)行識(shí)別，是對(duì)軟件安全性進(jìn)行分析的主要方法。對(duì)于在程序設(shè)計(jì)與開發(fā)時(shí)需要跟蹤和解決的各項(xiàng)危險(xiǎn)和風(fēng)險(xiǎn)，該方法可確定危險(xiǎn)清單框架，同時(shí)記錄通用危險(xiǎn)[1]。

1.3? ? SFMEA

SFMEA，即軟件失效模式和影響分析，它是對(duì)現(xiàn)有系統(tǒng)分析方法的創(chuàng)新和拓展，基于失效模型，將失效可能造成的影響與后果等作為中心，以分析層次及因果關(guān)系等作為依據(jù)，通過識(shí)別確定軟件存在的薄弱環(huán)節(jié)，同時(shí)提出相應(yīng)的改進(jìn)措施。

1.4? ? SFTA

SFTA，即軟件故障樹分析，它將現(xiàn)有的FTA技術(shù)作為基礎(chǔ)，尤其適合在需求階段使用。該技術(shù)自頂向下，將對(duì)系統(tǒng)有較大影響的故障作為頂事件，分析導(dǎo)致系統(tǒng)產(chǎn)生故障問題的軟件方面的原因。

為確保軟件的安全性和可靠性分析能夠順利開展，下面根據(jù)以上4種技術(shù)方法，提出以系統(tǒng)危險(xiǎn)為基礎(chǔ)的軟件安全性和可靠性分析策略。

2 以系統(tǒng)危險(xiǎn)為基礎(chǔ)的軟件安全性和可靠性分析

以系統(tǒng)危險(xiǎn)為基礎(chǔ)的軟件安全性和可靠性分析策略分為以下4個(gè)步驟：

步驟1：對(duì)系統(tǒng)危險(xiǎn)進(jìn)行識(shí)別與分析，將系統(tǒng)級(jí)功能作為入手點(diǎn)，采用FHA技術(shù)確定系統(tǒng)不同功能所處的故障狀態(tài)，通過識(shí)別確定系統(tǒng)危險(xiǎn)，同時(shí)對(duì)危險(xiǎn)可能造成的影響及危險(xiǎn)的級(jí)別進(jìn)行分析。

步驟2：對(duì)系統(tǒng)危險(xiǎn)進(jìn)行追蹤與控制，根據(jù)歷史數(shù)據(jù)補(bǔ)充已經(jīng)識(shí)別確定的危險(xiǎn)，并分析確定危險(xiǎn)產(chǎn)生的原因，同時(shí)提出相應(yīng)的控制措施及驗(yàn)證方法。

步驟3：對(duì)軟件失效模式進(jìn)行識(shí)別與分析，以識(shí)別出的危險(xiǎn)為依據(jù)，采用SFMEA技術(shù)識(shí)別不同的功能故障及其失效模式，同時(shí)對(duì)失效可能造成的影響及產(chǎn)生原因進(jìn)行分析，最終制定有針對(duì)性的改進(jìn)措施[2]。

步驟4：對(duì)軟件失效的原因進(jìn)行分析并提取安全性方面的需求，以軟件的失效模式及其影響進(jìn)行分析后得出的結(jié)果為依據(jù)，利用SFTA技術(shù)分析不同失效模式具體的產(chǎn)生原因，確定具體的失效原因和邏輯關(guān)系組合，最后根據(jù)以上步驟的結(jié)果，提取軟件安全性方面的需求。

2.1? ? 對(duì)系統(tǒng)危險(xiǎn)進(jìn)行識(shí)別與分析

在對(duì)系統(tǒng)危險(xiǎn)進(jìn)行識(shí)別與分析時(shí)，利用FHA技術(shù)，以系統(tǒng)相關(guān)設(shè)計(jì)文件與軟件的任務(wù)書為依據(jù)，對(duì)產(chǎn)品各類功能進(jìn)行綜合檢查，確定功能是否處在危險(xiǎn)狀態(tài)，同時(shí)結(jié)合嚴(yán)重程度進(jìn)行分類，確定不同功能所處危險(xiǎn)狀態(tài)及可能造成的影響，最終得出危險(xiǎn)清單。

對(duì)系統(tǒng)危險(xiǎn)進(jìn)行識(shí)別與分析的具體過程：

（1）以針對(duì)系統(tǒng)功能進(jìn)行的描述為依據(jù)，對(duì)目標(biāo)系統(tǒng)進(jìn)行功能分解;（2）確定危險(xiǎn)識(shí)別對(duì)應(yīng)的分析層次，確定和該分析層次直接有關(guān)的各類功能;（3）綜合考慮正常與不正常情況下單個(gè)及多個(gè)故障對(duì)應(yīng)的情形，并確定和描述與功能存在直接關(guān)聯(lián)的故障或失效模式[3];（4）對(duì)系統(tǒng)危險(xiǎn)可能對(duì)系統(tǒng)造成的影響進(jìn)行分析，同時(shí)確定故障狀態(tài)屬于何種影響級(jí)別;（5）對(duì)不同功能故障可能引起的危險(xiǎn)及影響等級(jí)進(jìn)行分析和記錄，最終獲得相應(yīng)的危險(xiǎn)清單。

2.2? ? 對(duì)系統(tǒng)危險(xiǎn)進(jìn)行追蹤與控制

在對(duì)系統(tǒng)危險(xiǎn)進(jìn)行追蹤與控制時(shí)，利用PHA技術(shù)，以歷史數(shù)據(jù)為依據(jù)補(bǔ)充識(shí)別出的系統(tǒng)危險(xiǎn)，確定危險(xiǎn)產(chǎn)生的原因，同時(shí)提出相應(yīng)的控制方法及驗(yàn)證措施。

對(duì)系統(tǒng)危險(xiǎn)進(jìn)行的追蹤與控制的具體過程：

（1）以歷史經(jīng)驗(yàn)數(shù)據(jù)與該領(lǐng)域的專家經(jīng)驗(yàn)為依據(jù)，補(bǔ)充危險(xiǎn)清單;（2）從硬件失效、人員誤操作和軟件故障等方面考察，確定系統(tǒng)危險(xiǎn)產(chǎn)生的具體原因;（3）對(duì)所有危險(xiǎn)產(chǎn)生的原因，確定一個(gè)以上控制措施，并通過軟硬件合理設(shè)計(jì)或?qū)δ硞€(gè)過程的執(zhí)行來避免危險(xiǎn)的產(chǎn)生;（4）對(duì)于確定的危險(xiǎn)控制措施，還要提出一個(gè)及以上驗(yàn)證方法，并通過具體的分析、評(píng)審和測(cè)試，對(duì)控制措施的安全性及可靠性進(jìn)行綜合驗(yàn)證。

2.3? ? 對(duì)軟件的失效模式進(jìn)行識(shí)別與分析

在對(duì)軟件的失效模式進(jìn)行識(shí)別與分析時(shí)，利用SFMEA技術(shù)，以軟件需求和危險(xiǎn)清單等為依據(jù)，通過分析確定和系統(tǒng)危險(xiǎn)有關(guān)的軟件失效可能造成的影響、產(chǎn)生的原因及模式，同時(shí)制定改進(jìn)措施，得出相應(yīng)的分析表，以此為軟件安全性方面需求的提取提供參考依據(jù)。

對(duì)軟件失效模式進(jìn)行識(shí)別與分析的具體過程：

（1）以軟件功能描述為依據(jù)，在危險(xiǎn)清單中確定系統(tǒng)危險(xiǎn)，并結(jié)合對(duì)該失效模式相類似的其他失效模式對(duì)應(yīng)的數(shù)據(jù)，對(duì)該危險(xiǎn)可能造成的影響進(jìn)行識(shí)別與分析;（2）以軟件的具體失效模式為依據(jù)，結(jié)合層次關(guān)系，對(duì)失效模式可能造成的影響進(jìn)行分析;（3）以軟件失效模式為依據(jù)，分析失效模式產(chǎn)生的原因，并提出有針對(duì)性的改進(jìn)措施;（4）對(duì)軟件具體失效模式、產(chǎn)生原因和可能造成的影響進(jìn)行記錄，并確定有效的改進(jìn)措施，最終得出相應(yīng)的分析表。

2.4? ? 對(duì)軟件失效產(chǎn)生的原因進(jìn)行分析并提取安全性方面的需求

在對(duì)軟件的失效原因進(jìn)行分析并提取安全性方面的需求時(shí)，利用SFTA技術(shù)，將軟件的失效模式和影響分析表確定的不同失效模式作為頂事件，建立故障樹，分析軟件失效具體的產(chǎn)生原因和相應(yīng)的邏輯關(guān)系，最后以此為基礎(chǔ)提取軟件安全性方面的需求。

對(duì)軟件失效產(chǎn)生的原因進(jìn)行分析及提取安全性方面需求時(shí)，其具體過程為：（1）在建立故障樹前，先確定目標(biāo)與分析深度;（2）以軟件具體失效模式和影響分析表對(duì)應(yīng)的失效模式為依據(jù)，確定需進(jìn)行分析的頂事件;（3）收集軟件功能數(shù)據(jù)及其運(yùn)行狀態(tài)信息，同時(shí)分析頂事件產(chǎn)生的具體原因和相應(yīng)的邏輯關(guān)系;（4）利用邏輯門對(duì)不同事件進(jìn)行關(guān)聯(lián)，以此形成故障樹;（5）對(duì)故障樹對(duì)應(yīng)的底事件進(jìn)行分析，以提取出軟件安全性方面的需求;（6）對(duì)故障樹進(jìn)行記錄和繪制，對(duì)失效模式產(chǎn)生的原因和軟件在安全性方面的需求進(jìn)行分析。

3 實(shí)例應(yīng)用

在飛機(jī)的機(jī)載系統(tǒng)中，起落架運(yùn)行狀態(tài)直接影響飛行安全，機(jī)載系統(tǒng)主要負(fù)責(zé)對(duì)起落架進(jìn)行控制并收放艙門。本文將起落架的控制系統(tǒng)作為主要研究對(duì)象，分析系統(tǒng)軟件的安全性和可靠性。

首先，識(shí)別和分析系統(tǒng)危險(xiǎn)，以系統(tǒng)相關(guān)設(shè)計(jì)文件與軟件任務(wù)書為依據(jù)，對(duì)起落架控制系統(tǒng)各類功能進(jìn)行綜合檢查，確定功能是否處在危險(xiǎn)狀態(tài)，同時(shí)結(jié)合嚴(yán)重程度進(jìn)行分類，確定不同功能所處危險(xiǎn)狀態(tài)及可能造成的影響，不同功能層次對(duì)應(yīng)的關(guān)系如表1所示。

根據(jù)表1可知，第二層功能是危險(xiǎn)識(shí)別的主要分析層次，從實(shí)際的運(yùn)行狀態(tài)與環(huán)境影響因素等入手對(duì)故障進(jìn)行分析，同時(shí)對(duì)和功能有關(guān)的實(shí)際故障狀態(tài)進(jìn)行分析和描述，實(shí)現(xiàn)對(duì)系統(tǒng)危險(xiǎn)的識(shí)別。與此同時(shí)，對(duì)系統(tǒng)危險(xiǎn)可能造成的影響進(jìn)行分析，并確定相應(yīng)的影響級(jí)別。在以上分析均完成后，在危險(xiǎn)清單中記錄分析結(jié)果。

以歷史經(jīng)驗(yàn)數(shù)據(jù)和相關(guān)領(lǐng)域?qū)＜医?jīng)驗(yàn)為依據(jù)，從電源、環(huán)境和機(jī)械結(jié)構(gòu)等不同方面補(bǔ)充系統(tǒng)危險(xiǎn)，如收放超時(shí)等。然后對(duì)識(shí)別出的各類危險(xiǎn)進(jìn)行追蹤和控制，從軟硬件失效和人員誤操作等方面確定危險(xiǎn)產(chǎn)生的主要原因，同時(shí)提出相應(yīng)的控制措施及驗(yàn)證方法。以起落架控制系統(tǒng)為例，當(dāng)其危險(xiǎn)產(chǎn)生原因?yàn)橛布r(shí)，可采用增加控制系統(tǒng)和在地面維護(hù)過程中增加對(duì)這一功能的檢查等措施來控制，采用分析和評(píng)審的方法進(jìn)行驗(yàn)證。當(dāng)其危險(xiǎn)產(chǎn)生原因?yàn)檐浖r(shí)，可采用在軟件設(shè)計(jì)過程中對(duì)危險(xiǎn)進(jìn)行控制的方法來控制，并采用分析和評(píng)審的方法進(jìn)行驗(yàn)證。當(dāng)其危險(xiǎn)產(chǎn)生原因?yàn)槿藛T誤操作時(shí)，可通過制定嚴(yán)格的操作規(guī)程與加強(qiáng)對(duì)操作人員的技能培訓(xùn)來控制，并采用分析和評(píng)審的方法進(jìn)行驗(yàn)證。

完成以上工作后，確定第三層功能軟件失效模式。分析時(shí)，以軟件說明對(duì)軟件功能進(jìn)行的描述為依據(jù)，在危險(xiǎn)清單中確定系統(tǒng)危險(xiǎn)，根據(jù)軟件實(shí)際運(yùn)行狀態(tài)與具體使用場(chǎng)景，對(duì)失效模式進(jìn)行識(shí)別與分析。與此同時(shí)，結(jié)合具體的軟件失效類型，考慮具體輸入輸出關(guān)系，對(duì)不同失效模式可能造成的影響進(jìn)行分析;另外，對(duì)于不同的失效模式，分析其產(chǎn)生原因，同時(shí)提出有效的改進(jìn)措施。在結(jié)束以上分析過程后，繪制相應(yīng)的分析表。在此之后，將失效模式和可能造成的影響分析結(jié)果作為頂事件，借助故障樹分析法確定失效產(chǎn)生的具體原因。收集軟件功能數(shù)據(jù)與實(shí)際運(yùn)行狀態(tài)信息，分析可能導(dǎo)致故障產(chǎn)生的事件類型及其邏輯關(guān)系，進(jìn)而形成故障樹。

最后以所得故障樹為依據(jù)，對(duì)其底事件進(jìn)行分析，并提取相應(yīng)的安全性及可靠性需求：

（1）當(dāng)飛機(jī)在地面上滑行時(shí)，起落架不可收上;（2）飛機(jī)起飛后，起落架應(yīng)收上去或提示操作人員采取應(yīng)急收放措施;（3）起落架的收上指令需采用二進(jìn)制碼，同時(shí)為錯(cuò)誤指令提出相應(yīng)的提示信息;（4）在起落架收上控制過程中，若連續(xù)10個(gè)以上的周期起落架收上沒有達(dá)到要求，應(yīng)立即上報(bào)故障。

4 結(jié)語(yǔ)

綜上所述，在軟件應(yīng)用過程中，軟件的安全性和可靠性至關(guān)重要，為此本文提出了以系統(tǒng)危險(xiǎn)為基礎(chǔ)的軟件安全性與可靠性分析策略，并以飛機(jī)起落架的控制系統(tǒng)為研究對(duì)象，深入分析了這一策略的實(shí)際應(yīng)用過程，可為相關(guān)人員的實(shí)際軟件分析工作提供參考。

[參考文獻(xiàn)]

[1] 胡春枝，戰(zhàn)京景，崔健祿.軟件可靠性和安全性技術(shù)研究[J].黑龍江科技信息，2018（27）：91-92.

[2] 農(nóng)嘉，羅峻文.基于數(shù)據(jù)驅(qū)動(dòng)的軟件可靠性預(yù)測(cè)模型[J].內(nèi)蒙古師范大學(xué)學(xué)報(bào)（自然科學(xué)漢文版），2018，47（1）：49-54.

[3] 孫肖，周新蕾，楊潔，等.航天軟件需求可靠性與安全性分析驗(yàn)證技術(shù)及工程應(yīng)用研究[J].質(zhì)量與可靠性，2016，10（4）：31-34.

收稿日期：2020-07-08

作者簡(jiǎn)介：劉洋（1977—），女，遼寧人，碩士，高級(jí)工程師，研究方向：軟件測(cè)評(píng)技術(shù)、信創(chuàng)軟件適配測(cè)試技術(shù)、智能網(wǎng)聯(lián)車測(cè)試技術(shù)。