一种嵌入式软件可靠性失效场景的开发方法.docVIP

一种嵌入式软件可靠性失效场景的开发方法 摘要：基于软件架构的分析，提出一种嵌入式软件可靠性失效场景的开发方法。该方法定义了失效场景模板，失效域模型以及失效场景，为嵌入式系统可靠性的预测分析提供了依据。 关键词：可靠性 嵌入式软件 失效场景 软件故障 中图分类号：TP301 文献标识码：A 文章编号：1007-9416（2014）02-0174-01 1 引言 在嵌入式系统开发中，一个很重要的质量因素是可靠性。目前，广泛认为可靠性分析不应该仅仅局限于硬件而是应该覆盖软件组件，而且不应该仅仅在代码级而还应该在系统开发的早期进行。在软件架构实现之前，预测系统的质量和潜在的风险很重要[1]。本文提出一种失效场景的开发方法。该方法适用于嵌入式软件架构实现之前，对嵌入式软件系统可能会产生的失效进行预测分析，便于及时修正和改进以提高嵌入式软件的可靠性。 2 嵌入式软件架构的描述 本文通过一个称为车载多媒体播放系统的案例来说明该方法在可靠性分析[2]中的应用。其基本架构如图1所示： 该系统主要由数据流层和控制层两层组成。应用程序管理模块初始化和控制本地驻留的和下载的应用程序的执行。远程文本模块从外部网络获取信息。内容浏览模块提供播放内容导航。命令处理模块解释外部接收的命令和发送相关的命令给应用程序管理模块。通讯管理模块使用协议和外部设备进行通信。 3 开发失效场景 失效场景是潜在的失效，它在特定的背景下可由外因或者内因引发[3]。在嵌入式软件可靠性分析方法中失效场景出自两个步骤。首先定义相关的失效域模型，然后从这些失效域中衍生出失效场景。 3.1 定义相关的失效域模型 为了定义相关的失效空间，嵌入式软件可靠性分析方法使用系统的域分析方法为缺陷，错误和失效定义了相关的域模型。这些域模型提供了潜在的场景。车载多媒体播放系统的失效域模型如下： 故障：（故障源 内部，其他元素，外部 ；故障类别 硬件，软件 ；持久性 短暂的，持久的 ） 错误：（类型 错误值，死锁，错误执行路径，数据损坏，资源越界，延迟错误 ；可检测性 可检测，不可检测 ；可逆性 可逆，不可逆 ） 失效：（类型 时间，行为，外观质量，错误值 ；目标 用户，其他元素 ） 上述模型描述了故障，错误，实效的特征及其取值。 3.2 定义失效场景 域模型定义了一个独立于系统的可能失效的空间规范。失效场景的数量和类型隐含地由失效域模型定义，该失效域模型定义了相关失效场景的作用域[4]。在缺陷域模型中，可以在三个特征的基础上定义缺陷，命名为源，维数和持久性。源有三个可能取值，维数和持久性各有两个可能值。因此可以产生3×2×2 12种不同的缺陷。类似地从错误域模型中可以产生24种不同的错误。通过失效域模型可以得到8种不同的失效。因为失效场景是从失效域模型中选择不同的特征的组合，所以在3.1中所示的失效域模型中，可以定义12×24×8 2304种失效场景。但是并不是所有的组合都有意义，有些组合是没有意义的。下面列出了车载多媒体播放系统的一个失效场景。 标识F1：应用程序管理模块 故障： 错误： 失效： 场景标识唯一标识该失效场景。“应用程序管理模块”为一个体系结构元素；故障、错误以及失效均针对这个元素。 4 结语 嵌入式软件在嵌入式系统中的地位变得日益重要。因此，在嵌入式软件的设计和实现过程中，降低失效风险，提高可靠性是十分必要的。本文提出了一个在架构设计过程中开发失效场景的方法，用于对软件可能存在的风险进行分析，具有一定的科学性和实用性。 参考文献 [1]Dobrica，L.，Niemela，E.，2002.A survey on software architecture analysis methods.IEEE Transactions on Software Engineering，28（7），638-654. [2]Stephan Bode and Matthias Riebisch.Impact evaluation for quality-oriented architectural decisions regarding evolvability.SOFTWARE ARCHITECTURE，Volume 6285/2010，Springer，2010，182-197. [3]Avizienis，A.，Laprie，J.-C.，Randell，B.，2001.Fundamental concepts of dependability，LAAS Report No.01145，LAAS-CNRS，France，April. [4]Kishor S.Trivedi，Dong Seong Kim，Arpan Roy.Dependability and Security Models.Desig