软件可靠性和安全性技术研究

刘洋 张宏宇 董旭升

摘要：在简述分析技术的基础上，提出了以系统危险为基础的软件安全性与可靠性分析策略，并结合实例对这一策略的实际应用进行了深入探讨，旨在为实际的软件分析工作提供参考，保证软件分析结果的真实性与准确性。

关键词：软件;可靠性;安全性;故障树

0 引言

在航天、军事等领域中，软件密集化程度、规模、复杂度均大幅提高，作为系统的重要组成部分，软件对系统的影响日益增大。因此，在软件研制与管理过程中，如何保证软件的可靠性和安全性，成为了相关人员关注的焦点。

1 分析技术

1.1    FHA

FHA，即功能危险评估，按照从上到下的顺序确定系统功能所处状态，同时对其可能造成的影响进行评估。它能对产品功能进行综合检查，对不同的功能状态进行识别，判定功能是否存在故障或丧失，并以故障的严重程度为依据进行分类。

1.2    PHA

PHA，即初步危险分析，可对系统危险进行识别，是对软件安全性进行分析的主要方法。对于在程序设计与开发时需要跟踪和解决的各项危险和风险，该方法可确定危险清单框架，同时记录通用危险[1]。

1.3    SFMEA

SFMEA，即软件失效模式和影响分析，它是对现有系统分析方法的创新和拓展，基于失效模型，将失效可能造成的影响与后果等作为中心，以分析层次及因果关系等作为依据，通过识别确定软件存在的薄弱环节，同时提出相应的改进措施。

1.4    SFTA

SFTA，即软件故障树分析，它将现有的FTA技术作为基础，尤其适合在需求阶段使用。该技术自顶向下，将对系统有较大影响的故障作为顶事件，分析导致系统产生故障问题的软件方面的原因。

为确保软件的安全性和可靠性分析能够顺利开展，下面根据以上4种技术方法，提出以系统危险为基础的软件安全性和可靠性分析策略。

2 以系统危险为基础的软件安全性和可靠性分析

以系统危险为基础的软件安全性和可靠性分析策略分为以下4个步骤：

步骤1：对系统危险进行识别与分析，将系统级功能作为入手点，采用FHA技术确定系统不同功能所处的故障状态，通过识别确定系统危险，同时对危险可能造成的影响及危险的级别进行分析。

步骤2：对系统危险进行追踪与控制，根据历史数据补充已经识别确定的危险，并分析确定危险产生的原因，同时提出相应的控制措施及验证方法。

步骤3：对软件失效模式进行识别与分析，以识别出的危险为依据，采用SFMEA技术识别不同的功能故障及其失效模式，同时对失效可能造成的影响及产生原因进行分析，最终制定有针对性的改进措施[2]。

步骤4：对软件失效的原因进行分析并提取安全性方面的需求，以软件的失效模式及其影响进行分析后得出的结果为依据，利用SFTA技术分析不同失效模式具体的产生原因，确定具体的失效原因和逻辑关系组合，最后根据以上步骤的结果，提取软件安全性方面的需求。

2.1    对系统危险进行识别与分析

在对系统危险进行识别与分析时，利用FHA技术，以系统相关设计文件與软件的任务书为依据，对产品各类功能进行综合检查，确定功能是否处在危险状态，同时结合严重程度进行分类，确定不同功能所处危险状态及可能造成的影响，最终得出危险清单。

对系统危险进行识别与分析的具体过程：

（1）以针对系统功能进行的描述为依据，对目标系统进行功能分解;（2）确定危险识别对应的分析层次，确定和该分析层次直接有关的各类功能;（3）综合考虑正常与不正常情况下单个及多个故障对应的情形，并确定和描述与功能存在直接关联的故障或失效模式[3];（4）对系统危险可能对系统造成的影响进行分析，同时确定故障状态属于何种影响级别;（5）对不同功能故障可能引起的危险及影响等级进行分析和记录，最终获得相应的危险清单。

2.2    对系统危险进行追踪与控制

在对系统危险进行追踪与控制时，利用PHA技术，以历史数据为依据补充识别出的系统危险，确定危险产生的原因，同时提出相应的控制方法及验证措施。

对系统危险进行的追踪与控制的具体过程：

（1）以历史经验数据与该领域的专家经验为依据，补充危险清单;（2）从硬件失效、人员误操作和软件故障等方面考察，确定系统危险产生的具体原因;（3）对所有危险产生的原因，确定一个以上控制措施，并通过软硬件合理设计或对某个过程的执行来避免危险的产生;（4）对于确定的危险控制措施，还要提出一个及以上验证方法，并通过具体的分析、评审和测试，对控制措施的安全性及可靠性进行综合验证。

2.3    对软件的失效模式进行识别与分析

在对软件的失效模式进行识别与分析时，利用SFMEA技术，以软件需求和危险清单等为依据，通过分析确定和系统危险有关的软件失效可能造成的影响、产生的原因及模式，同时制定改进措施，得出相应的分析表，以此为软件安全性方面需求的提取提供参考依据。

对软件失效模式进行识别与分析的具体过程：

（1）以软件功能描述为依据，在危险清单中确定系统危险，并结合对该失效模式相类似的其他失效模式对应的数据，对该危险可能造成的影响进行识别与分析;（2）以软件的具体失效模式为依据，结合层次关系，对失效模式可能造成的影响进行分析;（3）以软件失效模式为依据，分析失效模式产生的原因，并提出有针对性的改进措施;（4）对软件具体失效模式、产生原因和可能造成的影响进行记录，并确定有效的改进措施，最终得出相应的分析表。

2.4    对软件失效产生的原因进行分析并提取安全性方面的需求

在对软件的失效原因进行分析并提取安全性方面的需求时，利用SFTA技术，将软件的失效模式和影响分析表确定的不同失效模式作为顶事件，建立故障树，分析软件失效具体的产生原因和相应的逻辑关系，最后以此为基础提取软件安全性方面的需求。

对软件失效产生的原因进行分析及提取安全性方面需求时，其具体过程为：（1）在建立故障树前，先确定目标与分析深度;（2）以软件具体失效模式和影响分析表对应的失效模式为依据，确定需进行分析的顶事件;（3）收集软件功能数据及其运行状态信息，同时分析顶事件产生的具体原因和相应的逻辑关系;（4）利用逻辑门对不同事件进行关联，以此形成故障树;（5）对故障树对应的底事件进行分析，以提取出软件安全性方面的需求;（6）对故障树进行记录和绘制，对失效模式产生的原因和软件在安全性方面的需求进行分析。

3 实例应用

在飞机的机載系统中，起落架运行状态直接影响飞行安全，机载系统主要负责对起落架进行控制并收放舱门。本文将起落架的控制系统作为主要研究对象，分析系统软件的安全性和可靠性。

首先，识别和分析系统危险，以系统相关设计文件与软件任务书为依据，对起落架控制系统各类功能进行综合检查，确定功能是否处在危险状态，同时结合严重程度进行分类，确定不同功能所处危险状态及可能造成的影响，不同功能层次对应的关系如表1所示。

根据表1可知，第二层功能是危险识别的主要分析层次，从实际的运行状态与环境影响因素等入手对故障进行分析，同时对和功能有关的实际故障状态进行分析和描述，实现对系统危险的识别。与此同时，对系统危险可能造成的影响进行分析，并确定相应的影响级别。在以上分析均完成后，在危险清单中记录分析结果。

以历史经验数据和相关领域专家经验为依据，从电源、环境和机械结构等不同方面补充系统危险，如收放超时等。然后对识别出的各类危险进行追踪和控制，从软硬件失效和人员误操作等方面确定危险产生的主要原因，同时提出相应的控制措施及验证方法。以起落架控制系统为例，当其危险产生原因为硬件失效时，可采用增加控制系统和在地面维护过程中增加对这一功能的检查等措施来控制，采用分析和评审的方法进行验证。当其危险产生原因为软件失效时，可采用在软件设计过程中对危险进行控制的方法来控制，并采用分析和评审的方法进行验证。当其危险产生原因为人员误操作时，可通过制定严格的操作规程与加强对操作人员的技能培训来控制，并采用分析和评审的方法进行验证。

完成以上工作后，确定第三层功能软件失效模式。分析时，以软件说明对软件功能进行的描述为依据，在危险清单中确定系统危险，根据软件实际运行状态与具体使用场景，对失效模式进行识别与分析。与此同时，结合具体的软件失效类型，考虑具体输入输出关系，对不同失效模式可能造成的影响进行分析;另外，对于不同的失效模式，分析其产生原因，同时提出有效的改进措施。在结束以上分析过程后，绘制相应的分析表。在此之后，将失效模式和可能造成的影响分析结果作为顶事件，借助故障树分析法确定失效产生的具体原因。收集软件功能数据与实际运行状态信息，分析可能导致故障产生的事件类型及其逻辑关系，进而形成故障树。

最后以所得故障树为依据，对其底事件进行分析，并提取相应的安全性及可靠性需求：

（1）当飞机在地面上滑行时，起落架不可收上;（2）飞机起飞后，起落架应收上去或提示操作人员采取应急收放措施;（3）起落架的收上指令需采用二进制码，同时为错误指令提出相应的提示信息;（4）在起落架收上控制过程中，若连续10个以上的周期起落架收上没有达到要求，应立即上报故障。

4 结语

综上所述，在软件应用过程中，软件的安全性和可靠性至关重要，为此本文提出了以系统危险为基础的软件安全性与可靠性分析策略，并以飞机起落架的控制系统为研究对象，深入分析了这一策略的实际应用过程，可为相关人员的实际软件分析工作提供参考。

[参考文献]

[1] 胡春枝，战京景，崔健禄.软件可靠性和安全性技术研究[J].黑龙江科技信息，2018（27）：91-92.

[2] 农嘉，罗峻文.基于数据驱动的软件可靠性预测模型[J].内蒙古师范大学学报（自然科学汉文版），2018，47（1）：49-54.

[3] 孙肖，周新蕾，杨洁，等.航天软件需求可靠性与安全性分析验证技术及工程应用研究[J].质量与可靠性，2016，10（4）：31-34.

收稿日期：2020-07-08

作者简介：刘洋（1977—），女，辽宁人，硕士，高级工程师，研究方向：软件测评技术、信创软件适配测试技术、智能网联车测试技术。