第3章-软件设计基础解析.ppt

* * * 2 哪些模块是安全关键模块，并且确定是否需要采取容错查错措施 3 确定测试的重点和内容 * 2 未完成、不正确、精度、时间 失效影响严重性分类 严重性类别 严重性定义 致命/非常严重 引起人员死亡，系统报废，或对周围环境造成灾难性破坏 严重 引起人员严重伤害，系统严重损坏，任务失败，或环境严重破坏 一般 引起人员轻度伤害，系统轻度损坏，导致任务延误或降级，环境受影响 轻微 不导致人员伤害，不影响任务完成，不影响环境，但使用的方便性或舒适性降低 5）改进措施分析 根据每个失效模式的原因、影响及严重性等级，综合提出有针对性的改进措施。 SFMEA工作表格 编号 单元 功能 失效 模式 可能的失 效原因 失效影响 严重性 改进措施 单元 子系统 系统 1.1 输出 输出数据提交用户显示 数值高于正常范围 逻辑问题 计算问题 数据操作问题 N/A 无 任务降级 一般 … 1.2 数值低于正常范围 逻辑问题 计算问题 数据操作问题 N/A 无 任务降级 一般 … 1.3 输出数据没有显示 逻辑问题 接口或时序问题 N/A 无 任务中止 严重 … 1.x x x x x x x … SFMEA实例 （1/5） 某舰载防御武器型号的转塔控制与伺服软件的并行通讯软件采取主从双机8255通讯（固定字节长度）的方式。其中控制计算机为主计算机（A），伺服计算机为从计算机（B）。主从双机之间的通讯协议如下： 先由A向B发送N字节，待B接收完N字节后，B再向A发送M字节； SFMEA实例 （2/5） A发送的第一字节为HeadA，HeadA为控制机命令标识，A发送的第N字节为TailA，TailA为控制机校验标识。B发送的第一字节为HeadB，HeadB 为从属机接收状况回应标识，B发送的第M字节为TailB，TailB为从属机校验标识； A发送过程的容忍时间为TSA，A接收过程的容忍时间为TTA，B发送过程的容忍时间为TSB，B接收过程的容忍时间为TTB； A进入通讯子程序后，先发中断，B响应中断后进入通讯子程序准备接收A的数据； 采用8255，实现能判别是否对方已提供字节数据，能判别对方是否已取走字节数据 。 SFMEA实例 （3/5） 主计算机A 从计算机B ① N个字节 HeadA···TailA ②M个字节 HeadB ···TailB 发送容忍时间TSA 接收容忍时间TTA 发送容忍时间TSB 接收容忍时间TTB 某并行通讯系统 SFMEA实例（4/5） A的失效模式 ｛ 通讯时间异常 ｛ 通讯数据异常 无法按时进入通讯中断 规定的时间不能完成接收，即TTTTA 规定的时间不能完成发送，即TSTSA HeadA错 TailA错 中间字节错 SFMEA实例 （5/5） 编号 失效模式 失效影响 严重性 措施 1 A由于其它中断或其它原因，无法按时进入通讯中断。 导致通讯无法进行。 非常严重 由A的通讯外程序采取措施保证按时进入通讯子程序 。 2 A的通讯程序在规定的时间内未能完成发送/接收。 通讯周期将被打乱，通讯混乱。 非常严重 在A中设置定时器，或通过计数控制，以保证规定时间内返回。 3 A发送头字节HeadA由于外干扰出现错误。 B执行错误的命令。 严重 B接收A的头字节后，判别头字节的合法性。 4 …… …… … …… 5 A发中断后，由于外干扰，B没能响应中断。 B无法进入通讯程序，因此无法接收A发送的数据。 严重 在A中设置定时器，当在允许的时间后仍无B的响应信息，放弃此帧通讯。 SFMEA的优缺点 优点： 突出需要更改的部分 分析底层故障如何在整个系统中逐级向上传播 分析应在何处采取容错、故障检测和运行监控等设计手段 识别将导致系统崩溃的单点故障 可以按照对设备和人员影响的严重程度对软件失效严重性进行分级 局限性： 不能识别人为错误造成的潜在失效 作为一个工具尚未广泛的应用于对软件错误的评估 用于分析路径十分复杂或相互交联的软件时，SFMEA是一项繁琐、劳动强度高的工作 软件故障树分析（SFTA） 软件故障树分析（SFTA）是一种自顶向下的软件可靠性分析方法，即从软件系统不希望发生的事件（顶事件），特别是对人员和设备的安全及可靠性产生重大影响的事件开始，向下逐步追查导致顶事件发生的原因，直至基本事件（底事件），从而确定软件故障原因的各种可能组合方式和（或）发生概率。 SFTA步骤 软件故障树的建立 软件故障树的定性分析 软件故障树的定量分析 软件故障树的建立 建立软件故障树通常采用演绎法: 首先选择要分析的顶事件（即不希望发生的故障事件）作为故障树的“根”； 然后分析导致顶事件发生的直接原因（包括所有事件或条件），并用适当的逻辑门与顶