软件系统故障模式影响与危害性分析(SFMECA)方法的研究.pdfVIP

软件系统故障模式影响和危害性分析 (sFMECA)方法研究 李沛琼王少萍王静华 【北京航空航天大学．北京．Io0083) 摘要sFMEcA是把可靠性设计到软件中的一个重要方法，本文介绍进行sFMEcA时 应研究的一些问鼹；硬件与软件可靠性不同的内涵；进行sFMEcA的必要性与适用范围；软 件的两类错误；进行SFMECA方法及工作表项目内容。 关键词软件、故障模式、危害度、严酷度 前言软件开发早期，软件所发生的错误数占软件错误总数的1／2～l／3，严重影响了 软件的可靠性水平。保证软件可靠性的基本方法是在软件开发中遵循软件工程化要求，在 软件开发的各个阶段都进行可靠性工作。在软件设计中，采用避错、容错和查错三方面措 施。其中避错是基本的，避错就是要对软件进行异常分析、故障模式影响分析、安全性分 析与潜藏分析。对一个大型复杂的软件系统，全面进行FMEA要花费很大的人力、财力与 时间，这是订货方所不能接受的，也是不必要的。根据软件系统的特点：“为系统安全性服 务的安全关键软件必须是高可靠软件”；“从安全故障方面看．可靠必须安全“：二者要求 是～致的。要保证系统可靠安全需要对软件系统的关键软件模块进行sFMEcA。 软件故障原因，是由于软件错误在运行程序时被触发。进行SFMEcA对硬件是找出潜 在的故障，对软件是找出关键调用路径下的关键软件错误。软件错误与硬件故障不同，软 件除了与硬件故障等价的与功能有关的错误外，还有一种只与软件本身有关的野错误。这 两种错误通过sFMEcA加以纠正。在需求分析与概要设计阶段，采用白上而下的功能流图 分析法，找出需求分析与概要设计中可能存在的与软件功能有关的错误，完善需求与概要 设计；而在详细设计与软件编码阶段，对软件结构流图中关键软件模块进行sFMEcA，纠正 详细设计与软件编码中可能存在的野错误和遗留的功能有关错误并用上行法，验证关键错 误的影响与严酷度，为软件集成与测试和系统集成与测试提供信息。 l 进行sⅢEcA的必要性与适用范围 软件本身是很复杂的。有限的程序规模，可能的运行路径及输入数据则可以是天文数 字，在软件开发过程中进行穷举测试几乎是不可能的。 软件故障因其复杂性而经常发生．或者说，在整个计算机系统故障中占有很大比例。 据统计．计算机系统中，软件故障占总故障数的77％。贝尔实验室曾对一个AT＆T运行支 持系统作过统计，发现80％的故障与软件有关。 软件故障可能造成灾难性后果。尤其是随着计算机的广泛应用，越来越多的任务交由 计算机软件来完成。如果关键部分出了故障，其损失不可估量。如采用AcT主动控制技术 的现代飞机的余度管理软件，对于飞机的安全是至关重要的。假如发生了误操作，不仅影 响任务完成，更危及人的生命。 由于超大规模硬件及容错技术的应用．硬件可靠性己大大提高。而相应的措施在软件上并 未能够照搬。软件面f临日益复杂的并行、分布式、网络系统的迅猛发展，在质量、交货时间和 开发成本三方面的矛盾日益尖锐。因此，开发期间对软件的设计及特性的度量和分析，就显得 格外重要。 传统的软件可靠性增长要依赖于测试、分析和修复。虽然对软件进行多方测试是保证 软件无错的最直接的方法，但是其涉及到的巨额花费又降低了这种方法的实用性。 事实上．软件可靠性在大多数软件的开发过程中是被忽略了。大多数基于真实系统试 验数据可靠性估计的文献是一种事后理论研究，即进行事后的校验，不会对开发过程产生 直接的影响。导致这种境况的最初原因是在许多年中，人们一直认为软件开发方法和技术 最终能产生无缺陷的软件产品。现在人们已广泛认识到这种观念是不合适的，它一直有害 于软件可靠性的估计。 软件可靠性保证的最实用方法还是通过可靠性设计和严格的软件质量保证(OA)的结 合。这里谈的是软件可靠性分析方法sFMEcA。 如果对所有的系统都统一对待，使用这种技术，那么需要在排错、重新设计、编码、 校验、测试方面花费的人力资源和计算时间实在太多，而且没有必要。其实即使是对安全 -陛要求很高的系统而言，将所有的努力都严格均等地用于所有模块通常都是不实际的。所 以，sFMEcA在航空、航天、军事等特别重要的有关安全性的系统中比较需要，而且只需 对那些有关系统关键故障的软件程序或模块如关键数字控制功能模块使用。在其它系统或 部分当然也可以做，