《软件可靠性设计与分析精.ppt》由会员分享,可在线阅读,更多相关《软件可靠性设计与分析精.ppt(84页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、软件可靠性设计与分析第1页,本讲稿共84页软件可靠性分析与设计第2页,本讲稿共84页软件可靠性分析与设计的原因软件在使用中发生失效(不可靠)会导致任务的失败,甚至导致灾难性的后果。因此,应在软件设计过程中,对可能发生的失效进行分析,采取必要的措施避免将引起失效的缺陷引入软件,为失效纠正措施的制定提供依据,同时为避免类似问题的发生提供借鉴。这些工作将会大大提高使用中软件的可靠性,减少由于软件失效带来的各种损失。第3页,本讲稿共84页Myers设计原则Myers专家提出了在可靠性设计中必须遵循的两个原则:控制程序的复杂程度使系统中的各个模块具有最大的独立性 使程序具有合理的层次结构 当模块或单元之
2、间的相互作用无法避免时,务必使其联系尽量简单,以防止在模块和单元之间产生未知的边际效应 是与用户保持紧密联系第4页,本讲稿共84页软件可靠性设计软件可靠性设计的实质是在常规的软件设计中,应用各种必须的方法和技术,使程序设计在兼顾用户的各种需求时,全面满足软件的可靠性要求。软件的可靠性设计应和软件的常规设计紧密地结合,贯穿于常规设计过程的始终。这里所指的设计是广义的设计,它包括了从需求分析开始,直至实现的全过程。第5页,本讲稿共84页软件可靠性设计的四种类型容错容错设计设计改错改错设计设计查错查错设计设计避错避错设计设计软件可软件可靠性设计靠性设计第6页,本讲稿共84页软件避错设计避错设计是使软
3、件产品在设计过程中,不发生错误或少发生错误的一种设计方法。的设计原则是控制和减少程序的复杂性。体现了以预防为主的思想,软件可靠性设计的首要方法各个阶段都要进行避错从开发方法、工具等多处着手避免需求错误深入研究用户的需求(用户申明的和未申明的)用户早期介入,如采用原型技术选择好的开发方法结构化方法:包括分析、设计、实现面向对象的方法:包括分析、设计、实现基于部件的开发方法(COMPONENT BASED)快速原型法第7页,本讲稿共84页软件避错设计准则(1)模块化与模块独立假设函数C(X)定义了问题X的复杂性,函数E(X)定义了求解问题X需要花费的工作量(按时间计),对于问题P1和问题P2,如果
4、C(P1)C(P2),则有 E(P1)E(P2)。人类求解问题的实践同时又揭示了另一个有趣的性质:(P1+P2)C(P1)+C(P2)由上面三个式子可得:E(P1+P2)E(P1)+E(P2)这个结论导致所谓的“分治法”-将一个复杂问题分割成若干个可管理的小问题后更易于求解,模块化正是以此为据。模块的独立程序可以由两个定性标准度量,这两个标准分别称为内聚和耦合。耦合衡量不同模块彼此间互相依赖的紧密程度。内聚衡量一个模块内部各个元素彼此结合的紧密程度。第8页,本讲稿共84页软件避错设计准则(2)抽象和逐步求精抽象是抽出事物的本质特性而暂时不考虑它们的细节 举例抽象 该CAD软件系统配有能与绘图员
5、进行可视化通信的图形界面,能用鼠标代替绘图工具画各种直线和曲线;能完成所有几何计算以及所有截面视图和辅助视图的设计。抽象 CAD软件任务;用户界面子任务;创建二维图形子任务;管理图形文件子任务;END CAD 抽象III软件工程过程的每一步都是对软件解法的抽象层次的一次精化 第9页,本讲稿共84页软件避错设计准则(3)信息隐蔽和局部化信息隐藏原理指出:应该这样设计和确定模块,使得一个模块内包含的信息对于不需要这些信息的模块来说,是不能访问的。“只有需要才能知道”如果绝大多数数据和过程对于软件的其他部分而言是隐蔽的,那么在修改期间由于疏忽而引入的错误就很少可能传播到软件的其它部分 局部化是指把一
6、些关系密切的软件元素物理地放得彼此靠近局部变量 第10页,本讲稿共84页启发规则改进软件结构提高模块独立性 模块规模应该适中 深度、宽度、扇出和扇入都应适当 深度表示软件结构中控制的层数,它往往能粗略地标志一个系统的大小和复杂程度。宽度是软件结构内同一层次上的模块总数的最大值。扇入是指有多少个上级模块直接调用它,扇入越大则共享该模块的上级模块数目越多,这是有好处的。扇出是一个模块直接调用的模块数目,扇出过大意味着模块过分复杂,需要控制和协调过多的下级模块。CAHBEGFDI其中E函数扇入数为2,扇出数为3。第11页,本讲稿共84页圈复杂度圈复杂度115115的控制流图的控制流图 圈复杂度圈复杂
7、度1010的控制流图的控制流图 第12页,本讲稿共84页启发规则模块的作用域应该在控制域之内力争降低模块接口的复杂程度 QUAD-ROOT(TBL,X)=QUAD-ROOT(A,B,C,ROOT1,ROOT2)设计单入口单出口的模块 模块功能应该可以预测 第13页,本讲稿共84页软件避错设计慎重使用容易引入缺陷的结构和技术浮点数指针动态内存分配并行递归中断继承别名默认输入的处理第14页,本讲稿共84页软件查错设计第16页,本讲稿共84页软件查错设计软件查错设计是指在设计中赋予程序某些特殊的功能,使程序在运行中自动查找存在错误的一种设计方法。被动式错误检测在程序的若干部位设置检测点,等待错误征兆
8、的出现 主动式错误检测对程序状态主动进行检查第17页,本讲稿共84页被动式错误检测检测原则相互怀疑原则:在设计任何一个单元、模块时,假设其它单元、模块存在着错误;立即检测原则:当错误征兆出现后,要尽快查明,以限制错误的损害并降低排错的难度。负效应所设置的“接收判据”不可能与预期的正确结果完全吻合,导致错判 或漏判;软件增加了冗余可能降低可靠性 第18页,本讲稿共84页被动式错误检测的实施方法看门狗定时器当出现潜在不安全的系统状态或有可能转移到这种状态时,将系统转移到规定的安全状态。循环等待次数控制配合硬件进行处理的设计如:电源失效、电磁干扰、系统不稳定、接口故障、干扰信号,以及错误操作等。按照
9、已知的数据极限检查数据;按照变量间恒定关系检验;检查所有多值数据的有效性;对冗余的输入数据进行一致性检验;第19页,本讲稿共84页看门狗的设计 看门狗技术是控制运行时间的一种有效方法。看门狗实际上是一种计时装置,当计时启动后看门狗在累计时间,当累计时间到了规定值时触发到时中断(即狗叫),看门狗在不需要时可以关闭。看门狗的设计要首先明确其目的性。如:(1)要防某段程序可能的死循环,则在此段程序前启动狗,在此段程序后关闭狗,在狗叫中断中进行超时异常处理。(2)要防外来的信息长时间不来,则在开始等外来信息时启动狗,在接收到外来信息时关闭狗,在狗叫中断中进行超时异常处理。(3)要防计算超时,则在开始计
10、算时启动狗,在计算完毕后关闭狗,在狗叫中断中进行超时异常处理。显然,不可能要求一个狗可以看管好所有的超时情况。第20页,本讲稿共84页避免潜在的死循环 在等待外部信号的程序段中,不允许无限制地等待。正确的做法应是,或采用循环等待次数控制,或使用定时器,使得规定时间内(无论成功或失败)必须保证退出等待外部信号的程序段。不允许的设计方法不允许的设计方法建议采用的设计方法建议采用的设计方法第21页,本讲稿共84页注意通过双口注意通过双口RAMRAM进行握手进行握手 通过双口RAM进行信息交换是设计师经常采用的一种设计方案。的确双口RAM提供了信息交换双方的方便读写,但仅靠双口RAM要做到读写的时序要
11、求就要格外小心。如此的设计是要避免的:通过双口RAM交换信息,在双口RAM中设置了握手信号单元。读方检查到握手信号为01H,表明对方已准备好数据,再读数据,读完后将握手信号置为00H;写方检查到握手信号为00H,表明对方已取走数据,再写数据,写完数据后再将握手信号置为01H,表明自己已准备好数据。这种设计不一定可靠,可能会出现写方要写握手信号时,读方正在读握手信号,则写方要写的值写不进去。可靠的设计应用硬件连线保证握手,而不要靠双口RAM中的握手信号。如果一定要靠双口RAM进行握手,则写握手信号单元数据时一定要写完后接着再读出,经验证确实写成功后再进行下面的操作,否则需继续写。当然这必须与避免
12、潜在的死循环的设计准则联合使用。第22页,本讲稿共84页可靠的设计方法可靠的设计方法 握手标志置不上的可能握手标志置不上的可能 第23页,本讲稿共84页数据采集的多路冗余设计 关键数据的采集可采用多路冗余设计,即可以从多个通讯口对同一数据进行采集,通过表决进行有效数据的裁决。通常多采用奇数路的冗余设计,如3路、5路等。(1)开关量的裁决可采用多数票的裁决,如3取2、5取3等。(2)模拟量的裁决可采用中间数平均值的裁决,如3路数的中间值、5路数去掉最大最小值后的平均值等。第24页,本讲稿共84页主动式错误检测软件BIT对ROM中的代码进行和检验(sum check);检测RAM,以保证正确的操作
13、用数码;检测内存的正确性,以确保正确操作;对关键及重要的函数功能及逻辑功能进行典型较核。据统计,将硬件看门狗定时器及软件BIT相结合,一般可检测出98的故障。主动式错误检测可作为周期性任务来安排,也可作为一个低优先级的任务来执行。第25页,本讲稿共84页故障恢复措施完全恢复(依靠冗余备份)降级恢复(只提供重要的功能)立即停止程序运行(安全停机)记载错误将发生错误时的状态记录在一个外部文件上,然后让系统恢复运行,再由维护人员对记录进行深入的分析研究。第26页,本讲稿共84页软件改错设计第27页,本讲稿共84页软件改错设计改错设计是指在设计中,赋予程序自我改正错误、减少错误危害程度的能力的一种设计
14、方法。改正错误的前提是已经准确地找出软件错误的起因和部位(故障检测与故障定位合称故障诊断),程序又有能力修改、剔除有错误的语句。现阶段仅限于减少软件错误造成的有害影响,或将有害影响限制在一个较小的范围。常采用故障隔离技术。现阶段没有人的参与几乎不可能 第28页,本讲稿共84页故障隔离权限最小化原则是实现故障隔离的主要思想。为了限制故障的蔓延,要求对过程和数据加以严格的定义和限制。例如,针对操作系统的故障隔离方法:不允许一个用户的应用程序引用或修改其它用户的应用程序或数据;绝对不允许一个应用程序引用或修改操作系统的编码或操作系统内部的数据;保护应用程序及其数据,使其不致由于操作系统的错误而引起程
15、序和数据的偶然变更;应用程序绝对不能终止系统工作、不能诱发操作系统去改变其它的应用程序或数据;第29页,本讲稿共84页软件容错设计第30页,本讲稿共84页软件容错设计软件容错设计是指在设计中赋予程序某种特殊的功能,使程序在错误已被触发的情况下,系统仍然具有正常运行能力的一种设计方法。时间容错结构容错信息容错第31页,本讲稿共84页时间容错所谓“时间容错”就是不惜以牺牲时间为代价来换取软件系统高可靠性的一种手段,它包括指令的重复执行和程序(一个模块或一个子程序)重复执行,两种常被采用而行之有效的方法指令重复执行是当应用软件系统检查出正在执行的指令出错误后,让当前指令重复执行n次(n=3),若故障
16、是瞬时性的干扰,在指令重复执行时间内,故障有可能不再复现,这时程序就可以继续往前执行下去。这时指令执行时间比正常时大n倍程序(一个模块或一个子程序)重复执行是当应用软件系统检查出正在执行的程序出错误后,中断当前正在运行的软件,反复调用n次(n=3)运行出错的程序(一个模块或一个子程序)。在反复调用过程中若故障不再复现,这时程序继续从中断的地址往F执行。这时所需的运行时间比重复执行n条指令的时间要大得多对于复执不成功的情况,通常的处理办法是发出中断,转入错误处理程序,或对程序进行复算,或重新组合系统,或放弃程序处理。第32页,本讲稿共84页For(i=0,iTTATTTTA 规定的时间不能完成发
17、送,即规定的时间不能完成发送,即TSTSATSTSA HeadAHeadA错错 TailATailA错错 中间字节错中间字节错第67页,本讲稿共84页SFMEA实例(5/5)编编号号失效模式失效模式失效影响失效影响严重严重性性 措施措施 1A由于其它中断或其它原因,无法按时进入通讯中断。导致通讯无法进行。非常严重由A的通讯外程序采取措施保证按时进入通讯子程序。2A的通讯程序在规定的时间内未能完成发送/接收。通讯周期将被打乱,通讯混乱。非常严重在A中设置定时器,或通过计数控制,以保证规定时间内返回。3A发送头字节HeadA由于外干扰出现错误。B执行错误的命令。严重 B接收A的头字节后,判别头字节
18、的合法性。45A发中断后,由于外干扰,B没能响应中断。B无法进入通讯程序,因此无法接收A发送的数据。严重在A中设置定时器,当在允许的时间后仍无B的响应信息,放弃此帧通讯。第68页,本讲稿共84页详细级SFMEA步骤分析每个软件模块的输入输出变量和算法的失效模式,追踪每个失效模式对软件系统的影响直至输出,最后将最终的软件状态与预先定义的软件危险状态对比判断是否存在危险的软件失效。建立变量映射关系软件模块使用哪些变量、变量类型、输入变量来源建立软件线索变量经过一系列处理到系统输出变量之间的映射关系确定软件失效模式变量及算法的失效模式失效影响分析由模块追溯到系统影响第69页,本讲稿共84页软件故障树
19、分析(SFTA)Software Fault Tree Analysis第70页,本讲稿共84页软件故障树分析(SFTA)软件故障树分析(SFTA)是一种自顶向下的软件可靠性分析方法,即从软件系统不希望发生的事件(顶事件),特别是对人员和设备的安全及可靠性产生重大影响的事件开始,向下逐步追查导致顶事件发生的原因,直至基本事件(底事件),从而确定软件故障原因的各种可能组合方式和(或)发生概率。第71页,本讲稿共84页 SFTA步骤软件故障树的建立软件故障树的定性分析软件故障树的定量分析第72页,本讲稿共84页软件故障树的建立建立软件故障树通常采用演绎法:首先选择要分析的顶事件(即不希望发生的故障
20、事件)作为故障树的“根”;然后分析导致顶事件发生的直接原因(包括所有事件或条件),并用适当的逻辑门与顶事件相连,作为故障树的“节”;按照这个方法逐步深入,一直追溯到导致顶事件发生的全部原因(底层的基本事件)为止。这些底层的基本事件称为底事件,构成故障树的“叶”。第73页,本讲稿共84页故障树符号(部分)与与门门:只有所有输入事件都发生时才能导致输出事件发生。或或门门:输入事件中至少有一个发生时,就能导致输出事件发生。顶顶事事件件或或中中间间事事件件:表示需进一步分析的事件。顶顶事事件件 是不希望发生的系统不可靠或不安全事件。中中间间事事件件 是故障树中除底事件和顶事件之外的所有事件。基基本本事
21、事件件:即底事件,对于故障树中的基本事件不必作更深入的分析未未展展开开事事件件:由于发生概率较小,或由于信息不足,不能作更深层的分析的事件。入入三三角角形形:表示树的部分分支在另外地方绘制,用以简化故障树;出出三三角角形形:表示该树是在另外部分绘制的一颗故障树的子树,用以简化故障树。第74页,本讲稿共84页故障树分析示例故障树分析示例ATM系统结构第75页,本讲稿共84页第76页,本讲稿共84页软件故障树定性分析目的软件故障树分析最重要的意义在于,根据分析的结果找出关键性的事故发生的原因,指导软件可靠性、安全性设计以及软件测试,从而提高软件的可靠性和安全性。方法识别所有最小割集,并对最小割集进
22、行定性比较,对最小割集及底事件的重要性进行排序。第77页,本讲稿共84页软件故障树定性分析割集:能引起顶事件发生的基本事件集合。最小割集:不包含任何冗余因素的割集。如果去掉最小割集中的任何事件或条件,它就不再成为割集。阶数越小的最小割集越重要;低阶最小割集所包含的底事件比高阶最小割集中的底事件重要;在不同最小割集中重复出现次数越多的底事件越重要。第78页,本讲稿共84页最小割集:最小割集:A1 A2,A3 第79页,本讲稿共84页下行法步骤步骤1 12 23 34 4F F1 1 F F2 2A A1 1F F2 2A A1 1A A1 1A A1 1A A2 2F F2 2A A1 1A A
23、3 3A A1 1A A3 3A A2 2A A1 1A A1 1A A2 2A A2 2A A3 3A A2 2A A3 3最小割集:最小割集:A1 A2,A3 第80页,本讲稿共84页上行法F F1 1A A1 1 A A2 2F F2 2A A1 1 A A3 3G1G1F1F2=(AF1F2=(A1 1 A A2 2)(A)(A1 1 A A3 3)=A=A1 1+A+A1 1A A3 3+A+A1 1A A2 2+A+A2 2A A3 3最小割集:最小割集:A1 A2,A3 第81页,本讲稿共84页软件故障树定量分析目的软件故障树定量分析的目的是计算或估计软件故障顶事件发生的概率。方
24、法如果每一个底事件的发生概率是已知的,可根据软件故障树的逻辑关系,计算顶事件的发生概率。软件故障树分析的重点在于定性分析,而非定量分析。第82页,本讲稿共84页2.2.4 SFMEA与SFTA的区别与联系SFMEASFTA区别分析方法由系统的最低分析层次,分析潜在的失效模式及原因,自底向上分析对系统产生的影 响,即由由 因因 到到 果果。是一种自顶向下的分析方法,从系统不希望发生的事件(顶事件)开始,向下逐步追查导致顶事件发生的原因,直到基本事件(底事件),即由果到由果到因因。分析级别SFMEA分析的最低级别可以是实现一定功能的模块模块。最低分析级别可以是程序的语语句句。分析对象SFMEA用于分析系统和子系统所有可能的失效模式和原因。SFTA只分析顶层的故障事件。联系将SFMEA和SFTA相综合,是一种有效的软件可靠性分析方法。第83页,本讲稿共84页小结软件可靠性设计和分析是软件可靠性工程的重要内容;软件可靠性设计包括避错设计、查错设计、改错设计和容错设计;软件可靠性分析包括软件失效模式和影响分析、软件故障树分析、软件Petri网分析和软件潜藏分析。第84页,本讲稿共84页