软件可靠性设计与分析图文.doc

软件可靠性分析与设计软件可靠性分析与设计 软件可靠性分析与设计的原因 软件在使用中发生失效(不可靠会导致 任务的失败,甚至导致灾难性的后果。因 此,应在软件设计过程中,对可能发生的 失效进行分析,采取必要的措施避免将引 起失效的缺陷引入软件,为失效纠正措施 的制定提供依据,同时为避免类似问题的 发生提供借鉴。 这些工作将会大大提高使用中软件的可靠 性,减少由于软件失效带来的各种损失。Myers 设计原则Myers 专家提出 了 在可靠性设计中必 须遵循 的 两个 原则 : 控 制程 序 的 复杂 程 度 使 系统 中的各 个模块具有最 大的 独立 性 使程 序具有合理 的 层次结构 当模块或单元之间 的 相互 作用 无法 避免时,务必使 其 联系尽量简单 , 以防止 在 模块和单元之间产 生 未知 的 边际 效应 是 与用 户保持紧密联系软件可靠性设计 软件可靠性设计的 实质是 在 常规 的软件设计 中,应用各种必 须 的 方法和技术 ,使程 序 设 计在 兼顾 用 户 的各种 需求 时, 全面满足 软件 的可靠性要 求 。 软件的可靠性设计应 和 软件的 常规 设计 紧密 地结合 , 贯穿 于 常规 设计过程的 始终 。 这 里所指 的设计 是 广义 的设计 , 它包括了从 需求 分析 开始 , 直 至 实现 的 全 过程。软件可靠性设计的 四 种类 型 软件避 错 设计 避 错 设计 是 使软件 产品 在设计过程中,不发生 错误或 少发生 错误 的 一 种设计 方法 。的设计原则 是控 制 和 减少程 序 的 复杂 性。 体现了以 预 防 为 主 的 思想 , 软件可靠性设计的 首要方 法 各 个 阶段都 要进行避 错 从开 发 方法 、 工 具 等多处着手 避免 需求错误 深 入 研究 用 户 的 需求 (用 户 申明 的 和未 申明 的 用 户 早期介 入, 如 采用原 型技术 选择好 的 开 发 方法 结构 化 方法:包括 分析 、 设计 、 实现 面 向 对 象 的 方法:包括 分析 、 设计 、 实现 基 于 部 件的 开 发 方法 (COMPONENT BASED 快速 原 型法软件避 错 设计 准 则 (1模块 化 与 模块独立 假 设 函数 C(X定 义了 问题 X 的 复杂 性, 函数 E(X定 义 了求 解 问题 X 需 要 花费 的工作 量 (按 时 间 计,对 于问题 P1和 问题 P2, 如 果 C(P1> C(P2,则 有 E(P1> E(P2。 人 类 求 解 问题的 实 践 同时 又揭示 了 另 一个有 趣 的性 质:(P1+ P2> C(P1 +C(P2 由 上 面 三 个 式子 可 得 :E(P1+ P2> E (P1 + E (P2 这 个结 论 导致 所 谓 的 “ 分 治 法 ” -将 一个复杂 问 题分 割成若干 个 可 管 理 的 小 问题后 更易 于 求 解 , 模块 化 正 是以 此为据。 模块 的 独立 程 序 可 以 由 两个 定性 标准 度量 ,这 两个 标准 分 别称 为 内聚 和 耦 合 。 耦 合 衡 量 不同 模块 彼 此 间互相 依 赖 的 紧密 程 度 。 内聚衡 量一 个模块 内部 各 个元 素彼 此 结合 的 紧密 程 度 。软件避 错 设计 准 则 (2抽象 和 逐步 求 精 抽象 是 抽 出 事物 的 本 质 特 性 而暂 时不 考虑 它 们 的 细节 举例 抽象 该 CAD 软件 系统 配 有 能与 绘图员 进行可 视 化 通信 的 图 形界 面 , 能用 鼠 标 代替 绘图 工 具 画 各种 直 线 和 曲线; 能 完 成 所有 几何 计 算 以 及 所有 截 面 视 图 和 辅助视 图 的设计。 抽象 CAD 软件任务 ; 用 户 界 面 子 任务 ; 创建二维 图 形 子 任务 ; 管 理 图 形文 件 子 任务 ; END CAD 抽象 III 软件工程过程的 每 一 步都 是 对软件 解 法 的 抽象 层次 的 一次 精化软件避 错 设计 准 则 (3信息隐蔽 和 局 部化 信息隐藏 原 理指 出 :应 该 这 样 设计 和 确 定 模块 ,使 得 一个模块 内 包 含 的 信息 对于不 需 要这些 信息 的 模 块 来 说 , 是 不能 访 问的。 “ 只 有需 要 才 能 知 道 ” 如 果 绝 大 多数数 据 和 过程对于软件的 其 他 部 分 而 言 是 隐蔽 的, 那么 在 修改 期 间 由于 疏忽 而 引入的 错误 就很 少可能 传播到 软件的 其它 部 分 局 部化 是指 把 一 些 关 系密 切 的软件 元 素物 理地 放 得 彼 此靠 近 局 部 变 量启 发 规 则 改 进软件 结构 提高 模块独立 性 模块规模 应 该 适 中 深 度 、 宽 度 、 扇 出 和 扇 入 都 应 适 当 深 度 表 示 软件 结构 中 控 制的 层 数 , 它往往 能 粗略 地 标 志 一个系统 的大 小 和 复杂 程 度 。 宽 度是 软件 结构 内 同 一层次 上 的 模块 总 数 的 最 大 值 。 扇 入 是指有 多 少 个 上 级 模块直 接调 用 它 , 扇 入 越 大则 共享 该 模块 的 上 级 模 块 数 目越 多 ,这 是有 好处 的。 扇 出 是一个模块直 接调 用的 模块 数 目 , 扇 出过大 意味 着 模块 过分 复杂 , 需 要 控 制 和 协调 过 多 的 下级 模块 。 其 中 E 函数 扇 入 数 为 2, 扇 出 数 为 3。 圈复杂度 115的控制流图圈复杂度 10的控制流图启 发 规 则 模块 的作用 域 应 该 在 控 制 域 之 内 力争降低 模块 接口 的 复杂 程 度 QUAD-ROOT(TBL,X =>QUAD-ROOT(A,B,C,ROOT1,ROOT2 设计 单 入 口 单 出 口 的 模块 模块 功 能应 该 可 以 预 测软件避 错 设计 慎重 使用 容 易 引入缺陷的 结构和技术 浮点 数 指 针 动态 内 存 分 配 并 行 递归 中 断 继承 别 名 默认输 入的 处 理GJB/Z 102-97软件可靠性 和 安 全 性设 计 准 则 序 设计软件 查 错 设计软件 查 错 设计 软件 查 错 设计 是指 在设计中 赋予 程 序 某 些 特 殊 的 功 能,使程 序 在运行中自动查找 存 在 错误 的 一 种设计 方法 。 被动 式 错误 检 测 在程 序 的 若干部 位 设 置检 测点 , 等 待 错误 征 兆 的出 现 主 动 式 错误 检 测 对程 序 状态 主 动 进行 检查被动 式 错误 检 测 检 测 原则 相互怀疑原则 :在设计任 何 一个单元 、 模 块 时, 假 设 其它单元 、 模块 存 在 着 错误 ; 立即检测原则 :当错误 征兆 出 现 后,要 尽 快 查 明 , 以 限 制 错误 的损 害并 降低 排 错 的 难 度 。 负 效应 所 设 置 的 “ 接 收判 据 ” 不可能与 预期 的正 确 结 果 完 全 吻 合 ,导致 错判 或 漏判 ; 软件 增加 了 冗余 可能 降低 可靠性被动 式 错误 检 测 的 实 施 方法 看门狗 定时 器 当 出 现 潜 在不 安 全 的 系统 状态 或有 可能 转移 到 这种 状态 时,将 系统 转移 到 规 定的 安 全 状态 。 循 环 等 待 次 数 控 制 配 合 硬 件进行 处 理 的设计 如 :电源 失效 、 电磁 干 扰 、 系统 不 稳 定 、 接口 故障 、干 扰 信 号 , 以 及 错误 操 作 等 。 按 照已 知 的 数 据 极限检查 数 据 ; 按 照 变 量间 恒 定 关 系 检验 ; 检查 所有 多 值 数 据的 有 效性 ; 对 冗余 的 输 入 数 据进行 一 致性 检验 ; 看门狗 的设计看门狗 技术是控 制 运 行时 间 的 一 种 有 效 方法 。 看门狗 实际 上 是 一 种计时 装置 , 当 计时 启 动 后 看门狗 在 累 计时 间 , 当 累 计时 间 到 了 规 定 值 时 触 发 到 时中 断 (即狗叫 , 看门狗 在不 需 要时可 以 关 闭 。 看门狗 的设计要 首先 明 确 其 目 的性。 如 :(1要 防 某 段 程 序 可能的 死 循 环 ,则在此 段 程 序 前 启 动狗 ,在 此 段 程 序 后 关 闭狗 ,在 狗叫 中 断 中进行 超 时 异 常 处 理 。(2要 防 外 来的 信息 长 时 间 不来,则在 开始 等 外 来 信息 时 启 动 狗 ,在 接 收 到 外 来 信息 时 关 闭狗 ,在 狗叫 中 断 中进行 超 时 异 常 处 理 。(3要 防 计 算 超 时,则在 开始 计 算 时 启 动狗 ,在计 算完 毕 后 关 闭狗 ,在 狗叫 中 断 中进行 超 时 异 常 处 理 。显然 ,不可能要 求一个 狗 可 以 看 管好 所有 的 超 时 情况 。避免 潜 在的 死 循 环在 等 待外 部 信 号 的程 序 段 中,不 允 许 无 限 制 地 等 待 。正 确 的 做 法 应 是 , 或 采用 循 环 等 待 次 数 控 制, 或 使用定时 器 ,使 得 规 定 时 间 内 (无 论成 功 或 失败必 须保 证退 出 等 待外 部 信 号 的程 序 段 。不允许的设计方法 建议采用的设计方法注意通过双口 RAM 进行握手通 过 双 口 RAM 进行 信息 交换 是 设计 师经 常 采用的 一 种设计 方 案 。的 确 双 口 RAM 提供 了 信息 交换双 方 的 方 便读写 , 但仅 靠 双 口 RAM 要 做 到 读写 的时 序 要 求 就 要 格 外 小 心 。如 此的设计 是 要避免的 :通 过 双 口 RAM 交换 信息 ,在 双 口 RAM 中设 置 了 握 手 信 号 单元 。 读 方 检查 到 握 手 信 号 为 01H , 表 明 对 方 已 准 备 好数 据, 再读 数 据, 读 完 后将 握 手 信 号置 为 00H ; 写 方 检查 到 握 手 信 号 为 00H , 表 明 对 方 已 取 走 数 据, 再写 数 据, 写 完 数 据后 再 将 握 手 信 号置 为 01H , 表 明 自己 已 准 备 好数 据。 这种设计不 一 定可靠,可能会出 现 写 方 要 写握 手 信 号 时, 读 方 正在 读握 手 信 号 ,则 写 方 要 写 的 值 写 不进 去 。可靠的 设计应用 硬 件 连 线 保 证握 手 , 而 不要靠 双 口 RAM 中的 握 手 信 号 。 如 果 一 定要靠 双 口 RAM 进行 握 手 ,则 写握 手 信 号 单元 数 据时 一 定 要 写 完 后 接 着 再读 出, 经 验 证 确 实 写 成 功 后 再 进行 下 面 的 操 作, 否 则 需 继 续写 。当 然 这必 须 与避免 潜 在的 死 循 环 的设计 准 则 联合 使用。 可靠的设计方法握手标志置不上的可能数 据采 集 的 多 路 冗余 设计关 键 数 据的采 集 可采用 多 路 冗余 设计, 即 可 以 从 多 个 通 讯 口 对同 一 数 据进行采 集 , 通 过 表 决 进行 有 效 数 据的 裁决 。 通 常 多 采用 奇 数 路 的 冗余 设计, 如 3路 、 5路 等 。(1开 关 量 的 裁决 可采用 多数 票 的 裁决 , 如 3取 2、 5取 3等 。(2模 拟 量 的 裁决 可采用中 间 数 平均 值 的 裁决 , 如 3路 数 的中 间 值 、 5路 数 去掉 最 大 最 小 值 后的 平均 值 等 。主 动 式 错误 检 测 软件 BIT 对 ROM 中的 代 码 进行 和 检验 (sum check ; 检 测 RAM , 以保 证 正 确 的 操 作用 数 码 ; 检 测 内 存 的正 确 性, 以 确 保 正 确 操 作 ; 对 关 键 及重 要的 函数 功 能 及 逻辑 功 能进行 典 型 较核 。 据 统 计,将 硬 件 看门狗 定时 器 及 软件 BIT 相结合 , 一 般 可 检 测 出 98%的 故障 。 主 动 式 错误 检 测 可作为 周 期 性任务来 安排 , 也 可作为 一个 低 优 先 级 的任务来 执 行。故障 恢 复 措施 完 全 恢 复 (依靠 冗余 备份 降级 恢 复 (只 提供 重 要的 功 能 立 即 停 止 程 序 运 行(安 全 停机 记载 错误 将发生 错误 时的 状态 记录 在 一个 外 部 文 件 上 , 然 后 让 系统 恢 复 运 行, 再 由 维 护 人员 对 记录 进行 深 入的分析 研究 。软件 改 错 设计软件 改 错 设计 改 错 设计 是指 在设计中, 赋予 程 序 自我 改 正 错 误 、 减少 错误 危 害 程 度 的能 力 的 一 种设计 方法 。 改 正 错误 的 前 提 是 已 经 准 确 地 找 出软件 错误 的 起因 和 部 位 (故障检 测 与 故障 定 位 合 称 故障 诊 断 ,程 序 又 有 能 力修改 、 剔除 有错误 的 语句 。 现 阶段 仅 限 于减少软件 错误 造 成 的 有 害 影响 , 或 将 有 害 影响 限 制在 一个 较 小 的 范围 。 常 采用 故障隔离 技术 。 现 阶段 没 有 人 的 参 与 几 乎 不可能故障隔离 权限 最 小化 原则 是实现 故障隔离 的 主 要 思想 。 为 了 限 制 故障 的 蔓延 ,要 求 对过程 和 数 据 加 以 严 格 的定 义和 限 制。 例如 , 针 对 操 作 系统 的 故障隔 离 方法: 不 允 许 一个 用 户 的应用程 序 引用 或 修改 其它 用 户 的应 用程 序或 数 据 ; 绝 对不 允 许 一个 应用程 序 引用 或 修改 操 作 系统 的 编码 或 操 作 系统 内部 的 数 据 ; 保 护 应用程 序 及 其 数 据,使 其 不致由于 操 作 系统 的 错 误 而 引起程 序和 数 据的 偶 然 变 更 ; 应用程 序 绝 对不能 终止系统 工作 、 不能 诱 发 操 作 系统 去 改变 其它 的应用程 序或 数 据 ; 软件 容 错 设计软件 容 错 设计 软件 容 错 设计 是指 在设计中 赋予 程 序 某 种 特 殊 的 功 能,使程 序 在 错误 已被触 发的 情况 下 , 系 统 仍 然 具有 正 常 运 行能 力 的 一 种设计 方法 。 时 间 容 错 结构 容 错 信息容 错时 间 容 错 所 谓 “ 时 间 容 错 ” 就 是 不 惜 以 牺牲 时 间 为 代 价 来 换 取软件 系统 高可靠性的 一 种 手段 , 它包 括 指 令 的 重 复 执 行 和 程 序 (一个模块或一个 子 程 序 重 复 执 行 , 两 种 常 被 采用 而 行 之有 效的 方法 指 令 重 复 执 行 是当 应用软件 系统 检查 出正在 执 行的 指 令 出 错误 后, 让 当 前 指 令 重 复 执 行 n 次 (n>=3, 若 故障 是 瞬 时性的 干 扰 ,在 指 令 重 复 执 行时 间 内 , 故障 有 可能不 再 复现 ,这时程 序 就 可 以 继 续 往 前 执 行 下 去 。这时 指 令 执 行时 间 比 正 常 时大 n 倍 程 序 (一个模块或一个 子 程 序 重 复 执 行 是当 应用软件 系统 检查 出正 在 执 行的程 序 出 错误 后,中 断 当 前 正在 运 行的软件, 反 复 调 用 n 次 (n>= 3运 行出 错 的程 序 (一个模块或一个 子 程 序 。在 反 复 调 用过程 中 若 故障 不 再 复现 ,这时程 序 继 续 从 中 断 的 地 址 往 F 执 行。这时 所需 的 运 行时 间 比 重 复 执 行 n 条 指 令 的时 间 要大 得多 对于 复 执 不 成 功 的 情况 , 通 常 的 处 理 办 法是 发出 中 断 , 转 入 错误 处 理 程 序 , 或 对程 序 进行 复 算 , 或 重 新组 合系统 , 或 放 弃 程 序 处 理 。For (i=0,i<3,i+xi=ReadData( ; /读 入 数 据 2From3(x; /三 取 二 方法 函数结构 容 错 结构 容 错 的 基本思想 来 源 于 硬 件可靠性中的 冗 余 技术 。静态冗余 N 版本程序设计 法(NVP 动态冗余 恢复块法 (RB Q: 使用多个完全相同的软件能够实现容错吗软件 N 版 本 程 序 设计 美 加 州 大 学 Avizienis 和 L.Chen 提出 基本思想 对 相 同的要 求 进行 多 个 不同 版 本 的设计 对 相 同的 初 始 条 件 和相 同的 输 入的 操 作 结 果 实 行 表 决 (多数 决 定 、 一 致 决 定 针 对的 错误 来 源 :设计 人员 对 需求 说 明 理 解 不正 确 、 不 完 全 导致的缺陷 要 求需求 说 明 完 全 、精 确NVP 的 基本 结构 表决器冗余 软件的设计原则 相 异 性 是指 对 实现 同 一 功 能的 多 版 本 产品 ,在制 作时为 防止 出 现 共 因 故障 而 有 意 识 地 使 之产 生 某 种 差 异 的性 质 ; 冗余 版 本 之间相互 屏 蔽 故障 不能 完 全 依靠 背 靠 背 编 程(随 机 相 异 ; 应 有 意 识 地实 行 相 异 化 编 程(强 制 相 异 : 相互独立 的不同 人员 不同的 算 法 不同的 编 程 语 言 不同的 编 译 程 序 不同的设计工 具 、 测 试 方法 恢 复块法 M 1A 2M 2A 3M 3接收测试失效基本块 替换块N 告警 输入接收测试 1“ 正确 ” 输出 “ 正确 ” 输出恢 复块法 恢 复块法 适 合 只 有一 台 计 算 机 的 情况 ; 允 许 只 对 较 为 复杂 、 容 易 出 故障 的程 序 段 进行 冗 余 ; 基本 块 与 替 换 块 的设计应 尽 可能 相 异 ; 接 收 测 试 的作用 非 常 重 要,应能 检 测 程 序 执 行 结 果与 预期 结 果的 偏 离 , 或 检 测 和防止 能 触 发 安 全 事 故 的 输 出 : 需求 检查 法 帐 目 检查 法 合理 性 检查 法 计 算 机 运 行时 检查 法信息容 错 (检 错 及 纠 错 一 般 非 关 键 信息 可 以 使用 奇偶 校 验 码 。 关 键 、 重 要 信息 与 其它 信息 之间 应 保持一 定的 Hamming 距 离 ,不会因 一 位 或两 位 差 错 而 引起 系 统 故障 。 例如 不能用 01表 示 一 级点 火 , 10表 示 二级点 火 , 11表 示三 级点 火 。 如 安 全 关 键 信息 有 差 错 ,应能 检 测 出来, 并 返回 到 规 定的 状态 (例如 安 全 状态 。 如 循 环 码 安 全 关 键 信息 的 决 策 判断 不 得 依 赖 于 全 “ 1” 或全 “ 0” 的 输 入(尤 其是从 外 部 传 感 器 传 来的 信息 。软件可靠性分析软件可靠性分析的作用 发 现 设计缺陷 指 导软件设计 指 导软件 测 试软件可靠性分析 方法 软件失效 模 式 和 影响 分析(SFMEA 软件 故障 树 分析(SFTA 软件 Petri 网 分析 法 软件 潜 藏 分析 法 (SSCASFMEA 概述 软件失效 模 式 和 影响 分析(SFMEA 是 在软件 开 发 阶段 的 早期 , 通 过 识 别 软件失效 模 式 ,分 析 造 成 的后果, 研究 分析各种失效 模 式 产 生的 原因, 寻 找 消 除 和 减少 其有 害 后果的 方法 , 以 尽 早 发 现 潜 在的问题, 并 采取 相 应的措施, 从 而 提高软件的可靠性 和 安 全 性。SFMEA 的 优 缺 点 优 点 : 突 出 需 要 更 改 的 部 分 分析 底 层 故障 如 何 在 整 个系统 中 逐 级 向上 传播 分析应在 何 处 采取 容 错 、 故障检 测 和 运 行 监 控 等 设 计 手段 识 别 将导致 系统 崩溃 的 单 点 故障 可 以 按 照 对设 备 和 人员 影响 的 严 重 程 度 对软件失效 严 重 性进行分 级 局 限 性 : 不能 识 别人 为 错误 造 成 的 潜 在失效 作为 一个 工 具 尚 未广 泛 的应用于对软件 错误 的 评估 用于分析 路 径十 分 复杂或相互 交 联 的软件时, SFMEA 是一 项繁琐 、 劳 动 强 度 高的工作SFMEA 的 基本 概念 软件失效 就 是 泛 指 程 序 在 运 行中 丧 失 了全 部 或 部 分 功 能 、 出 现 偏 离 预期 的正 常 状态 的 事 件。软件失效 是 由软件的缺陷引起的。 软件失效 模 式 指 软件失效的 表 现 形 式 , 即 软 件失效发生的 方 式 , 有 时 也 被 描述 为对设 备 运 行 产 生的 影响 。在中 给 出 了 软件失效 模 式 的分类,在进行 SFMEA 分析时可作为 参 考 。 软件失效 影响 是指 软件失效 模 式 对软件 系统 的 运 行 、 功 能 或 状态 等 造 成 的后果。IEEE 软件 异 常 分类软件异常类型 具体软件异常 操 作 系统 失败 程 序 挂 起 程 序 失败 程 序 不能 启 动程 序 运 行不能 终止程 序 不能 退 出输 出问题 错误 的 格 式不正 确 的 结 果 、数 据不 完 全或 遗漏拼 写 问题 、 语 法 问题美 化 问题未 达 到 性能要 求 不能 满足 用 户 对 运 行时 间 的要 求 不能 满足 用 户 对 数 据 处 理量 的要 求 多 用 户系统 不能 满足 用 户 数 的要 求 整 个产品 失效 系统错误 信息 其它 程 序 运 行 改变 了系统 配 置参 数 程 序 运 行 改变 了其它 程 序 的 数 据 软件 错误 (error :在软件生 存 期内 的不 希望 或 不可 接 受 的 人 为 错误 。 其结 果 是 导致软件缺陷的 产 生。 软件 错误是一 种 人 为过程, 相 对于软件 本 身 , 是一 种 外 部 行为。Q 软件缺陷 (defect :是存在于软件(文档 、数据、 程序之中 的 那些 不 希望或 不可接 受 的 偏差。 Q 其结果 是软件 运 行于 某一特定条 件 时 出现软件 故 障,这时称 软件缺陷 被激活。Q 有时又称 “ software bug” 。 软件 故障 (fault :是指 软件 运 行过程中出 现 的 一 种不 希望 或 不可 接 受 的 内部 状态 。 此时 若 无 适 当 措施(容 错 加 以 及 时 处 理 , 便 产 生软件失效。 是一 种 动态 行为。Q 软件失效 (failure:是 指 软件 运 行 时产生 的 一种 不 希望或 不 可接 受 的 外部 行 为结果。Q Is a dynamic propertyof softwareQ Users may choose several severity levels of failures:s Catastrophics Majors minorSFMEA 分析的 一 般 步 骤 SFMEA 的分析对 象 可 以是开 发 早期阶段 的高 层 次 的 子 系统 、部 件, 也 可 以是 详 细 设计 阶段 的 单元 、 模块 。 对于不同的分析对 象 , 其 软件失效 模 式 是 不同 的,采用的 SFMEA 分析 方法 也 不同, 前 者 采用 系统 级 分析 方法 (system FMEA, 后 者 为 详 细 级 分析 方法 (detailed FMEA。