軟件失效模式與影響分析在武器火控軟件中的應用研究

趙昶宇

（天津津航計算技術研究所，天津300308）

軟件失效模式與影響分析在武器火控軟件中的應用研究

趙昶宇

（天津津航計算技術研究所，天津300308）

軟件失效模式與影響分析（SFMEA）是將傳統的基于硬件的FMEA技術應用于軟件，對軟件以及軟件所嵌入的系統所進行的一種可靠性分析方法。在研究SFMEA原理的基礎上，結合武器火控軟件的特點，提出了一種適合該類軟件的SFMEA分析方法和實施流程，并成功地應用于某型號武器火控軟件的可靠性與安全性分析中，提出了工程準則以及實施過程中的注意事項。

軟件失效模式；嵌入式系統；軟件可靠性；武器火控軟件

軟件失效模式及影響分析（SFMEA）是一種傳統的可靠性和安全性分析方法，應用在安全關鍵級別比較高的軟件中，基本思想是在軟件研發的不同階段，通過識別軟件失效模式，研究分析各種失效模式產生的原因及其造成的影響，尋找消除或減少其有害影響的措施。然而，SFMEA在實踐中開展的并不順利，一方面，軟件開發人員對可靠性、安全性理論知識缺乏了解，相應的指導步驟和方法也不具體，實施起來有一定的難度；另一方面，實施SFMEA的工作量較大，實施過程也較為煩瑣，實施成本較高。本文旨在通過研究SFMEA的實施要求，提出工程準則與注意事項，使得SFMEA方法具有可操作性，步驟具有可指導性，效果具有規范性。

1 SFMEA概述

SFMEA是一種“自底向上”的分析，最底層一級的影響逐級向上傳播，直到系統的最頂層。通過識別軟件失效模式，分析失效機理，查找失效原因，評價軟件失效對系統造成的影響，并提出有針對性的改進措施。

SFMEA關心的是“如果軟件的部件運行不正確會帶來怎樣的影響”“對軟件的部件進行失效假設，然后分析到系統級看導致的后果是什么”。根據分析階段和對象的不同，可將SFMEA分為系統級SFMEA和詳細級SFMEA。系統級SFMEA在軟件需求分析和概要設計階段進行，詳細級SFMEA主要在詳細設計完成以后或者編碼階段。

2 SFMEA在武器火控軟件中的應用

2.1 武器火控軟件的特點

武器火控軟件負責完成武器發射準備和發射控制、武器系統檢查和維護任務，是武器控制系統的核心，其特點如下：①嵌入式。武器火控軟件都是和所屬的計算機系統一起嵌入到整個型號系統中聯合工作的，該類軟件和硬件是密不可分的。②軟件規模大且結構復雜。隨著武器火控系統的功能越來越強大，其軟件代碼的規模也在急劇增加，且軟件算法的復雜度、軟件架構的復雜度也呈現上升趨勢。③高可靠性和高安全性。武器發射任務的高風險性決定了作為控制系統核心的武器火控軟件必須要求高可靠性和高安全性。④強實時性。武器控制系統對實時性要求很高，這就要求武器火控軟件能夠在第一時間在嚴格的時限內作出響應，且響應時間不應隨負載的增加而延長。⑤高精度和嚴格的時序要求。此外，武器火控軟件還具有硬件資源受限、長壽命、運行環境惡劣等特點。

武器火控軟件的上述特點以及日益增長的型號任務需求，給武器火控軟件的研制提出了更高的要求，使得我們不得不解決在軟件研制過程中暴露出的下列問題：①軟件研制前期的可靠性和安全性分析工作不足或缺乏，導致前期的軟件缺陷不易被發現，嚴重影響后續軟件研制的質量和進度；②缺乏系統、規范的可靠性和安全性分析方法和相關工具支持，主要依賴設計師的經驗來進行軟件可靠性和安全性設計；③對于軟件的關鍵失效模式和薄弱環節未能有效識別，同時未進行有效的跟蹤和控制，造成測試用例和軟件審查的針對性不強。因此，只有從軟件研制早期就引入并貫穿至整個研制過程的可靠性安全性分析方法，才能從源頭上保證武器火控軟件這類安全關鍵軟件的可靠性。

2.2 武器火控軟件的SFMEA方法

本文在前人研究成果的基礎上，結合武器火控軟件的特點，研究了適用于該類軟件的SFMEA方法，下面詳細說明針對武器火控軟件進行SFMEA的實施流程和分析方法[3]。

2．2．1 關鍵安全部件識別

可以從以下幾個方面鑒別軟件是否為安全關鍵性軟件：①控制程度，即軟件在系統危險控制上的參與度。②危險性。能導致危險發生的軟件是安全關鍵性的軟件，比如需要識別危險條件，實現自動的安全控制，提供安全關鍵性信息，禁止危險事件發生的軟件。③復雜度。越復雜的軟件越危險，隨著軟件用于控制危險的安全性相關需求的增長，軟件也隨之復雜。④時效性。控制危險的軟件實時性是一個關鍵因素，軟件必須在危險發生之前就識別危險，并采取措施。

2．2．2 選取約定層次

在定義軟件約定層次時應根據實際需要，重點考慮關鍵、重要功能的軟件部件或模塊。劃分約定層次應注意以下3個方面：①當分析的軟件比較復雜時，應按照系統總體單位和軟件開發單位的技術責任關系明確開展SFMEA的軟件范圍。系統總體單位首先應將研制的系統定義為初始約定層次，并對其他配套研制單位（包括軟件開發單位）提出最低約定層次的劃分原則。②約定層次劃分得越多越細，SFMEA的工作量就越大。對于采用了成熟設計、繼承性較好且經過了可靠性、維修性和安全性等良好驗證的軟件，其約定層次可劃分得少而粗；反之，可劃分得多而細。③每個約定層次的軟件應有明確定義，當約定層次的級數較多（一般大于3級）時，應自下而上按約定層次的級別不斷分析，直至初始約定層次相鄰的下一個層次為止，進而構成完整的SFMEA。對最低約定層次按以下原則劃分：①所有可獲得分析數據的軟件單元中最低的層次，它能有完整的輸入，或能對應到軟件中的一個或幾個有一定功能的函數；②當軟件中某模塊的失效將直接導致災難的（I類）或致命的（II類）后果時，則最低約定層次至少劃分到這一模塊所在的層次；③確定或預期需要單元測試的最低層次，這些軟件單元可能導致臨界的（III類）或輕度的（IV類）故障。

2．2．3 失效模式分析

對于系統級SFMEA，根據軟件功能描述、失效判據要求，確定所有可能功能的失效模式；對于詳細級SFMEA，根據模塊中變量的類型特征，確定所有可能變量的失效模式。需要注意以下事項：①每個模塊的每個失效模式是單一的，避免復合的失效模式，各個失效模式之間是互相獨立的，彼此不相關；②對失效模式的表達要正確且清楚，不要把被分析對象的外部輸入錯誤作為失效模式，實際上這是輸入模塊的某種失效模式對被分析模塊的失效影響，不是被分析對象本身發生的失效模式；③不要把被分析對象內部的組成變量、算法的某種失效模式當作系統級分析對象的一種失效模式，其實這是詳細級分析的變量的失效模式，而不是模塊功能的失效模式。

2．2．4 失效原因分析

分析軟件的失效原因時，應注意以下幾點：①軟件失效原因首先在自身范圍查找，大多數為開發過程中的“設計缺陷”。②在自身范圍查找完后，應考慮軟件相鄰結構層次的關系，在分析失效原因時，可通過下一個或更深一個層次失效模式去尋找。③當某個失效模式存在2個以上失效原因時，在“失效原因”欄中分別注明，要對每個原因進行獨立分析；而當某個失效模式是由2個及以上的失效原因共同導致時，這些失效原因應該列在一起。④失效模式一般是可觀察到的失效表現形式，而失效模式直接原因或間接原因是設計缺陷、外部因素；失效原因的描述應該采用精確的工程術語表述。

2．2．5 失效影響分析

失效影響是失效模式導致的各種后果，應注意以下事項：①分析失效影響時，應明確層次間的傳遞關系，應把握程序模塊之間的功能聯系而不是簡單的結構關系。②當同一部件具有許多功能時，必須考慮每種功能可能的失效模式。軟件失效不僅包括功能失效，還包括性能失效。③對于采用了冗余設計、備用工作方式設計或者故障檢測與保護設計的軟件，在SFMEA中應暫不考慮這些設計措施而直接分析軟件故障模式的最終影響。

2．2．6 改進措施分析

SFMEA的目的在于盡早發現潛在的問題，并采取相應的改進措施，從而提高軟件的可靠性和安全性。改進措施可按如下優先順序加以考慮：①更改軟件設計，消除導致關鍵性硬件故障的原因；②若不能消除，加強軟件對異常情況的處理（比如容錯技術），降低故障影響的嚴重程度；③在軟件執行關鍵性的功能時，應使程序具有自檢查的功能，降低故障的檢測難度，提高可檢測性。

2．2．7 形成分析報告并建立失效模式庫

將以上結果形成分析報告，這部分工作可通過專門的計算機輔助分析工具進行，并進行相關失效數據的統計和圖表分析。同時，利用計算機技術將失效數據保存并整理，通過不斷積累和豐富失效模式庫的數據，可為今后的分析工作提供重要的參考價值。

3 結束語

目前對軟件進行SFMEA還處于探索階段，該方法有待進一步完善，今后的努力方向可歸納為以下幾點：基本規則和約定假設有待進一步成熟和規范；可探討SFMEA和其他可靠性分析工具例如SFTA的綜合使用；盡量多地收集和整理軟件失效相關數據，為進一步量化SFMEA方法中相關等級的確定提供依據。

［1］工業和信息化部電子第五研究所.GB/T 7826—1987系統可靠性分析技術、失效模式和效應分析（FMEA）程序［S］.北京：中國標準出版社，1987.

本文部分參考文獻因著錄不全被刪除。

〔編輯：劉曉芳〕

TP311.5

：A

10.15913/j.cnki.kjycx.2017.15.147

2095-6835（2017）15-0147-02