A的失效模式-火龙果软件.PPT

* 故障树分析的作用、容错软件故障树分析 见《软件可靠性工程手册》 5）改进措施分析 根据每个失效模式的原因、影响及严重性等级，综合提出有针对性的改进措施。 SFMEA工作表格 编号 单元 功能 失效 模式 可能的失 效原因 失效影响 严重性 改进措施 单元 子系统 系统 1.1 输出 输出数据提交用户显示 数值高于正常范围 逻辑问题 计算问题 数据操作问题 N/A 无 任务降级 一般 … 1.2 数值低于正常范围 逻辑问题 计算问题 数据操作问题 N/A 无 任务降级 一般 … 1.3 输出数据没有显示 逻辑问题 接口或时序问题 N/A 无 任务中止 严重 … 1.x x x x x x x … SFMEA实例 （1/5） 某舰载防御武器型号的转塔控制与伺服软件的并行通讯软件采取主从双机8255通讯（固定字节长度）的方式。其中控制计算机为主计算机（A），伺服计算机为从计算机（B）。主从双机之间的通讯协议如下： 先由A向B发送N字节，待B接收完N字节后，B再向A发送M字节； SFMEA实例 （2/5） A发送的第一字节为HeadA，HeadA为控制机命令标识，A发送的第N字节为TailA，TailA为控制机校验标识。B发送的第一字节为HeadB，HeadB 为从属机接收状况回应标识，B发送的第M字节为TailB，TailB为从属机校验标识； A发送过程的容忍时间为TSA，A接收过程的容忍时间为TTA，B发送过程的容忍时间为TSB，B接收过程的容忍时间为TTB； A进入通讯子程序后，先发中断，B响应中断后进入通讯子程序准备接收A的数据； 采用8255，实现能判别是否对方已提供字节数据，能判别对方是否已取走字节数据 。 SFMEA实例 （3/5） 主计算机A 从计算机B ① N个字节 HeadA···TailA ②M个字节 HeadB ···TailB 发送容忍时间TSA 接收容忍时间TTA 发送容忍时间TSB 接收容忍时间TTB 某并行通讯系统 SFMEA实例（4/5） A的失效模式 ｛ 通讯时间异常 ｛ 通讯数据异常 无法按时进入通讯中断 规定的时间不能完成接收，即TTTTA 规定的时间不能完成发送，即TSTSA HeadA错 TailA错 中间字节错 SFMEA实例 （5/5） 编号 失效模式 失效影响 严重性 措施 1 A由于其它中断或其它原因，无法按时进入通讯中断。 导致通讯无法进行。 非常严重 由A的通讯外程序采取措施保证按时进入通讯子程序 。 2 A的通讯程序在规定的时间内未能完成发送/接收。 通讯周期将被打乱，通讯混乱。 非常严重 在A中设置定时器，或通过计数控制，以保证规定时间内返回。 3 A发送头字节HeadA由于外干扰出现错误。 B执行错误的命令。 严重 B接收A的头字节后，判别头字节的合法性。 4 …… …… … …… 5 A发中断后，由于外干扰，B没能响应中断。 B无法进入通讯程序，因此无法接收A发送的数据。 严重 在A中设置定时器，当在允许的时间后仍无B的响应信息，放弃此帧通讯。 详细级SFMEA步骤 分析每个软件模块的输入输出变量和算法的失效模式，追踪每个失效模式对软件系统的影响直至输出，最后将最终的软件状态与预先定义的软件危险状态对比判断是否存在危险的软件失效。 建立变量映射关系 软件模块使用哪些变量、变量类型、输入变量来源 建立软件线索 变量经过一系列处理到系统输出变量之间的映射关系 确定软件失效模式 变量及算法的失效模式 失效影响分析 由模块追溯到系统影响 软件故障树分析（SFTA） Software Fault Tree Analysis 软件故障树分析（SFTA） 软件故障树分析（SFTA）是一种自顶向下的软件可靠性分析方法，即从软件系统不希望发生的事件（顶事件），特别是对人员和设备的安全及可靠性产生重大影响的事件开始，向下逐步追查导致顶事件发生的原因，直至基本事件（底事件），从而确定软件故障原因的各种可能组合方式和（或）发生概率。 SFTA步骤 软件故障树的建立 软件故障树的定性分析 软件故障树的定量分析 软件故障树的建立 建立软件故障树通常采用演绎法: 首先选择要分析的顶事件（即不希望发生的故障事件）作为故障树的“根”； 然后分析导致顶事件发生的直接原因（包括所有事件或条件），并用适当的逻辑门与顶事件相连，作为故障树的“节”； 按照这个方法逐步深入，一直追溯到导致顶事件发生的全部原因（底层的基本事件）为止。这些底层的基本事件称为底事件，构成故障树的“叶”。 故障树符号(部分) 与门：