FMECA方法在软件健壮性分析中的应用研究.pdf

中国宇航学会计算机应用专业委员会2004年学术交流会论文集 FMECA方法在软件健壮性分析中的应用 郑新华，张刚 (中国航天工程咨询中心北京100037) 摘要健壮性是软件的一个重要质量特性，对于运行在恶劣环境中的控制软件来 说，尤其如此。如何分析软件的健壮性，如何发现软件中存在的健壮性缺陷，从而 进一步提高软件的健壮性水平，成了工程实践中一个亟待解决的问题．本文通过分 析软件健壮性及其分析的条件，FMECA方法及其适用原因，提出了使用FMECA方 法来分析软件健壮性，并从理论上给出了说明；然后，给出了分析的具体步骤和计 算公式；最后，用这种方法分析了一个80C31控制软件在电压发生瞬时变化时的健 壮性，发现了软件中存在的健壮性缺陷，从而证明了这种方法的适用性． 关键词FMECA故障模式，影响及危害性分析软件健壮性 1 软件健壮性及其分析条件以及本文分析的例子 根据IEEE标准“’，健壮性是系统或部件在非法输入或者恶劣环境条件下保持功能正确的 能力。在系统部件或者系统环境的行为发生波动时，健壮性仍能保证某些期望的系统特征的可 维护性““”。根据这个定义，软件的健壮性是指存在非法软件输入或软件运行在恶劣环境中时。 软件还能保持功能正确性的能力。由此可见，分析或测试软件健壮性的条件是非法输入和恶劣 运行环境，考察指标是功能的正确程度。软件输入由外部实体提供，这种情况下，需要结合外 部实体才能进行软件健壮性的分析；在此，我们只关注软件在恶劣环境中的健壮性。 软件的运行取决于软件的逻辑、运行状态和输入，恶劣环境可能改变软件的逻辑，改变软 件的寄存器状态，改变软件的输入。能造成这种影响的因素有多种多样，例如卫星在轨运行时 所遭遇的高能粒子辐射，硬件电压发生瞬时变化，软件所遭遇的强电磁辐射与干扰等等。为了 分析的简单性，本文以电压发生瞬时变化为例进行分析，其它情况的分析与之类似。 电压发生瞬时变化能影响软件的运行，其根本在于这种情况能导致软件RAM和寄存器数 据发生改变。RAM和寄存器由存储l位二值信号的基本单元——触发器构成。根据存储数据 的原理不同．触发器分为静态触发器和动态触发器。静态触发器利用电路状态的自锁来存储数 据．动态触发器通过在MOS管栅极输入电容上存储电荷来存储数据。当电压发生瞬时变化后， 门电路的自锁状态可能发生变化．电容上的存储电荷也可能发生变化，于是，RAM和寄存器 上的数据可能发生交化”’。 从电压变化对软件运行的影响杌理中，可以发现，它对软件运行 的影响是广泛的。每个由RAM或寄存器表示的值发生变化，都能影响软件的运行，从而使软 件的功能受到影响；而且，可以确定这种变化发生的概率。根据这些特性，我们可以借鉴故障 and 模式、影响及危害性分析(FailureMode，Effect CriticalityAnalysis．FMECA)方法对之进行 分析。 2 FMECA方法及其适用原因 ModeandEffect FMECA方法是从故障模式及影响分析(FailureAnalysis．FMEA)方法发 展而来的。FMEA是一种传统的分析硬件可靠性的方法，在可靠性工程领域已得到广泛应用。 的基本分析原理是分析每一个可能导致失效的因素，确定它对系统的影响以及发生的概率的等 级，得到它的危害度。它与FMEA方法的唯一区别是：FMEA方法不需要进行危害度分析，即 中国宇航学会计算机应用专业委员会2004年学术交流会论文集 不需要确定失效发生的失效率等级和严重度等级。不需要计算失效的危害度(失效率等级与严 重度等级的积)。应用FMECA进行分析时。需将所有结果记录在一张表格中，下面是一张典型 的FMECA分析表格： 袁1典型的FIIECA分析裹 编号 模块描述 失效模 影响 防范措旌 失效率 严重度等级 危害度 式 等级 模块，设备 模块，设备 将发生 对系统的影响(可细 可采取的 失效发 失