課件02-軟件可靠性與安全性-方法

軟件可靠性與安全性

第二部分軟件可靠性與安全性分析提要軟件可靠性與安全性分析技術(shù)基于分析結(jié)果的決策132可靠性與安全性分析目標(biāo)找出任何實(shí)際的、潛在的可導(dǎo)致嚴(yán)重后果的危險(xiǎn)人員受傷、疾病或死亡系統(tǒng)、設(shè)備、資產(chǎn)的損壞或經(jīng)濟(jì)損失對環(huán)境的破壞危險(xiǎn)的結(jié)構(gòu)危險(xiǎn)原因原因原因控制控制控制控制控制控制驗(yàn)證驗(yàn)證驗(yàn)證驗(yàn)證驗(yàn)證驗(yàn)證可靠性與安全性分析技術(shù)預(yù)先危險(xiǎn)分析(PHA)風(fēng)險(xiǎn)分析(RA)失效模式、影響分析(FMEA)失效樹分析(FTA)PHA系統(tǒng)安全危害分析的初步或初始工作在設(shè)計(jì)之前,對系統(tǒng)中存在的危險(xiǎn)性類別、出現(xiàn)條件、導(dǎo)致事故的后果進(jìn)行分析是基本的危險(xiǎn)分析PHA目的識別系統(tǒng)中的潛在危險(xiǎn)確定危險(xiǎn)等級防止危險(xiǎn)發(fā)展成事故PHAPHA的特點(diǎn)是進(jìn)一步進(jìn)行危險(xiǎn)分析的先導(dǎo)，是一種宏觀概略定性分析方法簡單易行，經(jīng)濟(jì)有效為系統(tǒng)分析和設(shè)計(jì)提供指南識別可能的危險(xiǎn)，用很少的費(fèi)用、時(shí)間就可以實(shí)現(xiàn)改進(jìn)PHAPHA的步驟對系統(tǒng)進(jìn)行充分了解,確定危險(xiǎn)源分析系統(tǒng)可能出現(xiàn)的危險(xiǎn),確定危險(xiǎn)類型根據(jù)危險(xiǎn)源和危險(xiǎn)類型,制成預(yù)先危險(xiǎn)性分析表分析轉(zhuǎn)化條件,尋求對策和措施,檢驗(yàn)對策和措施的有效性進(jìn)行危險(xiǎn)性分級,排列出重點(diǎn)和輕、重、緩、急次序制定危險(xiǎn)的預(yù)防性對策和措施PHAPHA的結(jié)果一般采用表格的形式列出格式和內(nèi)容可根據(jù)實(shí)際情況確定危害原因主要后果危險(xiǎn)等級危險(xiǎn)可能性風(fēng)險(xiǎn)度控制措施PHA危險(xiǎn)性的等級劃分級別說明I安全的不會造成人員傷亡及系統(tǒng)損壞II臨界的處于事故的邊緣狀態(tài)，暫時(shí)還不至于造成人員傷III危險(xiǎn)的會造成人員傷亡和系統(tǒng)損壞，要立即采取防范措施IV災(zāi)難性的造成人員重大傷亡及系統(tǒng)嚴(yán)重破壞的災(zāi)難性事故，必須予以果斷排除并進(jìn)行重點(diǎn)防范PHA危險(xiǎn)發(fā)生的可能性分級級別發(fā)生的可能性A經(jīng)常發(fā)生B容易發(fā)生C偶爾發(fā)生D很少發(fā)生E不易發(fā)生F極難發(fā)生風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)可能會發(fā)生也可能不會發(fā)生的事件，該事件的發(fā)生會帶來損失風(fēng)險(xiǎn)特性不確定性：可能發(fā)生也可能不發(fā)生，用發(fā)生概率描述損失：如果風(fēng)險(xiǎn)變成了現(xiàn)實(shí)就會產(chǎn)生惡性后果或損失，用損失大小表示風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)計(jì)劃風(fēng)險(xiǎn)跟蹤風(fēng)險(xiǎn)應(yīng)對風(fēng)險(xiǎn)識別將不確定性的事件轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)陳述的一系列必要任務(wù)目標(biāo)提出已察覺的風(fēng)險(xiǎn)識別潛在的風(fēng)險(xiǎn)揭示風(fēng)險(xiǎn)來源文檔方式記錄所有風(fēng)險(xiǎn)及其屬性與那些能應(yīng)對風(fēng)險(xiǎn)的人交流風(fēng)險(xiǎn)風(fēng)險(xiǎn)識別過程識別風(fēng)險(xiǎn)項(xiàng)目資源項(xiàng)目要求風(fēng)險(xiǎn)管理計(jì)劃風(fēng)險(xiǎn)陳述風(fēng)險(xiǎn)場景不確定性事件領(lǐng)域知識疑慮問題風(fēng)險(xiǎn)核對清單風(fēng)險(xiǎn)識別方法風(fēng)險(xiǎn)管理表單風(fēng)險(xiǎn)數(shù)據(jù)庫風(fēng)險(xiǎn)識別活動系統(tǒng)地識別風(fēng)險(xiǎn)定義風(fēng)險(xiǎn)屬性將已知的風(fēng)險(xiǎn)編寫為文檔交流已知風(fēng)險(xiǎn)確定風(fēng)險(xiǎn)清單風(fēng)險(xiǎn)評估將風(fēng)險(xiǎn)陳述轉(zhuǎn)變?yōu)榘磧?yōu)先順序排列的風(fēng)險(xiǎn)列表的一系列必要任務(wù)目標(biāo)用有成本效益的方式評估風(fēng)險(xiǎn)提煉風(fēng)險(xiǎn)場景確定風(fēng)險(xiǎn)影響確定行動時(shí)間框架確定最嚴(yán)重的風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估過程風(fēng)險(xiǎn)評估項(xiàng)目資源項(xiàng)目要求風(fēng)險(xiǎn)管理計(jì)劃風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)陳述風(fēng)險(xiǎn)場景評估準(zhǔn)則評估技巧評估工具風(fēng)險(xiǎn)數(shù)據(jù)庫風(fēng)險(xiǎn)評估活動將相似和關(guān)聯(lián)的風(fēng)險(xiǎn)歸為一組確定風(fēng)險(xiǎn)的驅(qū)動因素確定風(fēng)險(xiǎn)來源使用風(fēng)險(xiǎn)分析技巧和工具,預(yù)測風(fēng)險(xiǎn)影響根據(jù)標(biāo)準(zhǔn)評估風(fēng)險(xiǎn)按與其他風(fēng)險(xiǎn)的關(guān)系排序風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估技術(shù)風(fēng)險(xiǎn)影響(RE)RE＝發(fā)生概率?損失大小風(fēng)險(xiǎn)評估技術(shù)計(jì)算風(fēng)險(xiǎn)因子PERT估計(jì)專家判斷期望貨幣值仿真風(fēng)險(xiǎn)等級風(fēng)險(xiǎn)等級描述A不可接受B不期望,僅當(dāng)降低風(fēng)險(xiǎn)不現(xiàn)實(shí)時(shí)接受C在項(xiàng)目安全評審委員會認(rèn)可時(shí),可接受D在正式項(xiàng)目評審認(rèn)可時(shí),可接受E在任何條件下都可接受發(fā)生概率發(fā)生頻度運(yùn)行生存期發(fā)生頻繁10000×10-6;可能頻繁感受到很可能100×10-6;可能經(jīng)常發(fā)生不經(jīng)常1×10-6;可能發(fā)生數(shù)次較少0.01×10-6;有時(shí)可能會發(fā)生很少0.0001×10-6;不大可能,例外情況下有可能發(fā)生極少0.000001×10-6;極其不可能發(fā)生事故嚴(yán)重等級類別定義災(zāi)難造成較大經(jīng)濟(jì)損失,破壞數(shù)據(jù)完整性危險(xiǎn)造成較小經(jīng)濟(jì)損失重大造成銀行工作量增加較小讓客戶感到使用不便可忽略無影響風(fēng)險(xiǎn)分級表災(zāi)難(16)危險(xiǎn)(8)重大(4)較小(2)可忽略(1)頻繁(32)A(512)A(256)B(64)B(64)B(32)很可能(16)A(256)A(128)B(64)B(32)C(16)不經(jīng)常(8)A(128)B(64)B(32)C(16)D(8)較少(4)B(64)B(32)C(16)D(8)E(4)很少(2)B(32)C(16)D(8)E(4)E(2)極少(1)C(16)D(8)E(4)E(2)E(1)風(fēng)險(xiǎn)分級對照表實(shí)例102131425363748400102131425363740000102131425364S1S2S3S4A1A1G1G2A2A2G1G2W1W2W3S:危害的程度A:持續(xù)的時(shí)間G:危險(xiǎn)可預(yù)防W:發(fā)生的概率DINIEC風(fēng)險(xiǎn)分析舉例(ATM)ATM功能特征查詢余額查詢明細(xì)取款存款行內(nèi)轉(zhuǎn)帳銀聯(lián)轉(zhuǎn)賬修改密碼風(fēng)險(xiǎn)分析舉例(ATM)序號失效發(fā)生概率1余額顯示錯(cuò)誤頻繁2余額計(jì)算錯(cuò)誤頻繁3交易明細(xì)清單顯示錯(cuò)誤很少4實(shí)際取款與輸入金額不一致頻繁5實(shí)際存款與存入金額不一致頻繁6操作日志記錄錯(cuò)誤頻繁7轉(zhuǎn)帳過程異常中止較少8無法正確識別銀行卡很可能9修改密碼，新密碼無法預(yù)期很少10失效后，自動重啟不成功極少11異常吞卡頻繁風(fēng)險(xiǎn)分析舉例(ATM)序號失效發(fā)生概率失效影響1余額顯示錯(cuò)誤頻繁重大2余額計(jì)算錯(cuò)誤頻繁災(zāi)難3交易明細(xì)清單顯示錯(cuò)誤很少較小4實(shí)際取款與輸入金額不一致頻繁危險(xiǎn)5實(shí)際存款與存入金額不一致頻繁危險(xiǎn)6操作日志記錄錯(cuò)誤頻繁災(zāi)難7轉(zhuǎn)帳過程異常中止較少較小8無法正確識別銀行卡很可能較小9修改密碼，新密碼無法預(yù)期很少重大10失效后，自動重啟不成功極少重大11異常吞卡頻繁較小風(fēng)險(xiǎn)分析舉例(ATM)序號失效發(fā)生概率失效影響優(yōu)先級1余額顯示錯(cuò)誤頻繁(32)重大(4)A(128)2余額計(jì)算錯(cuò)誤頻繁(32)災(zāi)難(16)A(512)3交易明細(xì)清單顯示錯(cuò)誤很少(2)較小(2)E(4)4實(shí)際取款與輸入金額不一致頻繁(32)危險(xiǎn)(8)A(256)5實(shí)際存款與存入金額不一致頻繁(32)危險(xiǎn)(8)A(256)6操作日志記錄錯(cuò)誤頻繁(32)災(zāi)難(16)A(512)7轉(zhuǎn)帳過程異常中止較少(4)較小(2)D(8)8無法正確識別銀行卡很可能(16)較小(2)B(32)9修改密碼，新密碼無法預(yù)期很少(2)重大(4)D(8)10失效后，自動重啟不成功極少(1)重大(4)E(4)11異常吞卡頻繁(32)較小(2)B(64)風(fēng)險(xiǎn)分析舉例(ATM)序號失效發(fā)生概率失效影響優(yōu)先級1余額計(jì)算錯(cuò)誤頻繁(32)災(zāi)難(16)A(512)2操作日志記錄錯(cuò)誤頻繁(32)災(zāi)難(16)A(512)3實(shí)際取款與輸入金額不一致頻繁(32)危險(xiǎn)(8)A(256)4實(shí)際存款與存入金額不一致頻繁(32)危險(xiǎn)(8)A(256)5余額顯示錯(cuò)誤頻繁(32)重大(4)A(128)6異常吞卡頻繁(32)較小(2)B(64)7無法正確識別銀行卡很可能(16)較小(2)B(32)8轉(zhuǎn)帳過程異常中止較少(4)較小(2)D(8)9修改密碼，新密碼無法預(yù)期很少(2)重大(4)D(8)10失效后，自動重啟不成功極少(1)重大(4)E(4)11交易明細(xì)清單顯示錯(cuò)誤很少(2)較小(2)E(4)FMEA失效模式和影響分析(FMEA,FailureModeandEffectAnalysis)是一種用來確定潛在失效模式及其原因的方法FMEA是自底向上的分析,是“事前預(yù)防”,不是“事后追悔”FMECA(失效模式影響及危害性分析,FailureModeEffectsandCriticalityAnalysis)FMEDA(失效模式影響和診斷分析,FailureModesEffectsandDiagnosticAnalysis)FMEA目標(biāo)確定在設(shè)計(jì)或者運(yùn)行過程中需要特別關(guān)注哪些部件和采取哪些必要的措施評定部件的關(guān)鍵性等級確定某些部件的單點(diǎn)失效可能危害、損壞系統(tǒng)或者使系統(tǒng)功能下降FMEA工作表序號部件功能失效模式失效原因系統(tǒng)所受影響失效率OSDRPNFMEA一般工作流程定義系統(tǒng)及分析范圍構(gòu)建結(jié)構(gòu)圖,將軟件分解為邏輯部件評估每個(gè)部件對系統(tǒng)的影響確定每個(gè)部件的潛在失效模式,將失效模式填入失效模式列表評估每種失效模式的失效影響確定每種失效模式所有可能的原因,識別單點(diǎn)失效分配失效率、發(fā)生頻度、嚴(yán)重性、可檢測性的量值,計(jì)算風(fēng)險(xiǎn)優(yōu)先數(shù)識別將開展、已開展、已實(shí)現(xiàn)的糾正活動FMEA分系統(tǒng)1分系統(tǒng)2分系統(tǒng)3子系統(tǒng)1a子系統(tǒng)1b子系統(tǒng)1c軟件配置項(xiàng)1c1軟件配置項(xiàng)1c2軟件配置項(xiàng)1c3部件

1c.3.1部件1c.3.2部件1c.3.3單元1c.3.3.a單元1c.3.3.b單元1c.3.3.c總系統(tǒng)FMEA確定潛在失效模式頭腦風(fēng)暴SFRACAS根本原因分析缺陷分類市場調(diào)查技術(shù)支持維護(hù)信息客戶反饋安全保密脆弱性及威脅模式對上一級別失效模式的分析FMEA發(fā)生頻度評估失效發(fā)生可能性描述失效可能性(每單元)發(fā)生(O)頻度非常高，幾乎不可避免>1/2101/109高，反復(fù)失效1/10081/5007中等，偶爾失效1/100061/50005低，相當(dāng)少的失效1/10,00041/50,0003很少，不太可能失效1/100,0002<1/500,0001FMEA嚴(yán)重性評估失效影響失效影響嚴(yán)重性嚴(yán)重等級(S)危險(xiǎn)，w/o告警潛在的失效模式影響安全系統(tǒng)運(yùn)行，且/或違背安全規(guī)范，且不提供任何告警信息10危險(xiǎn),w/告警潛在的失效模式影響安全系統(tǒng)運(yùn)行，且/或違背安全規(guī)范，但提供告警信息9非常高系統(tǒng)不能運(yùn)行，導(dǎo)致了主要功能喪失8高系統(tǒng)可以運(yùn)行，但是造成了性能降級(用戶不滿意)7中等系統(tǒng)可以運(yùn)行，但是造成了輔助/方便性功能的喪失6低系統(tǒng)可以運(yùn)行，但是造成了輔助/方便性功能的降級5非常低對大部分用戶來講，是顯而易見的缺陷4少對平均水平的用戶來講，是顯而易見的缺陷3非常少僅對具有鑒別力的用戶來講，是顯而易見的缺陷2沒有無影響1FMEA可檢測性評估檢測能力通過設(shè)計(jì)控制裝置發(fā)現(xiàn)的可能性可檢測性(D)完全不確定控制裝置僅有<1/500,000的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式，或者沒有設(shè)計(jì)控制裝置10非常少控制裝置有1/50,000的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式9少控制裝置有1/5,000的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式8非常低控制裝置有1/500的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式7低控制裝置有1/100的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式6中等控制裝置有1/50的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式5中等高控制裝置有1/20的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式4高控制裝置有1/10的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式3非常高控制裝置有1/3的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式2完全確定控制裝置有百分之百的機(jī)會發(fā)現(xiàn)失效原因/機(jī)制和模式1FMEA風(fēng)險(xiǎn)優(yōu)先數(shù)＝發(fā)生頻度?嚴(yán)重性?可檢測性FMEA實(shí)例FTA目的幫助分析將會導(dǎo)致危險(xiǎn)的嚴(yán)重結(jié)果的事件或事件組合FTA(FaultTreeAnalysis)基于圖形使用一組標(biāo)準(zhǔn)化的符號來繪制故障樹自頂向下分析FTA基本方法從一個(gè)可能引起危險(xiǎn)或者嚴(yán)重后果的直接原因的事件(“頂事件”)開始,沿每一條樹路徑執(zhí)行分析使用邏輯操作符(與、或等)描述原因的組合按同樣的方法分析中間原因等,在分析停止處到達(dá)基本事件FTA定量分析根據(jù)故障樹尋找導(dǎo)致頂事件發(fā)生的原因和原因組合,即全部最小割集最小割集是指一些底事件的集合,它們都發(fā)生時(shí),頂事件一定發(fā)生,其中一個(gè)底事件不發(fā)生,就不會導(dǎo)致頂事件發(fā)生最小割集中底事件的數(shù)量稱為階數(shù)。一般階數(shù)越低的最小割集越重要;在低階最小割集中的底事件比高階中的重要;在不同最小割集中重復(fù)出現(xiàn)次數(shù)越多越重要FTA邏輯利用邏輯門說明頂事件的發(fā)生在樹中，高層邏輯門的輸入來自頂層邏輯門的輸出頂事件是所有輸入故障或事件產(chǎn)生的輸出FTA基本事件有條件事件未開發(fā)的事件外部事件主要事件符號FTA門符號ANDORExclusiveORPriorityAND約束FTA中間事件符號轉(zhuǎn)移符號轉(zhuǎn)IN轉(zhuǎn)OUTFTAA=B+CA=BUnionCBORCmustoccurforeventAtooccur無電流開關(guān)A斷開電池B電壓為0ABCFTAD=E*FD=EIntersectionFEANDFmustoccurforDtooccur導(dǎo)線過熱系統(tǒng)中有5mA電流電源施加時(shí)間t>1msDEFFTA叫醒太遲鬧鐘失敗電話失效“生物鐘”失靈與門FTA發(fā)聲器失效按鈕失效鬧鐘失敗電子部件失效SW失效電源失效按鈕讀取失效發(fā)聲器未設(shè)置FTA起搏太慢時(shí)間基線故障獨(dú)特起搏率停工故障看門狗失效晶體失效軟件失效CPU硬件失效錯(cuò)誤指令速率體內(nèi)數(shù)據(jù)損壞速率指令損壞CRC硬件失效與與或或或FTA的量化應(yīng)用確定頂事件(故障)分解出導(dǎo)致頂事件發(fā)生的故障列表考慮故障之間的關(guān)系,順序/并行/組合利用布爾代數(shù)量化帶有事件概率的故障樹數(shù)確定頂事件的概率確定FTA中事件風(fēng)險(xiǎn)等級OR門連接的每個(gè)事件,其風(fēng)險(xiǎn)等級與它緊接著的上一級事件風(fēng)險(xiǎn)等級相同AND門連接的每個(gè)事件:與監(jiān)控功能(監(jiān)控其它功能)相關(guān)連的事件,風(fēng)險(xiǎn)等級與緊接著的上一級事件的風(fēng)險(xiǎn)等級相同與被其它功能監(jiān)控的功能相關(guān)連的事件,風(fēng)險(xiǎn)等級比緊接著的上一級事件的風(fēng)險(xiǎn)等級低一個(gè)級別與監(jiān)控功能無關(guān)聯(lián)的事件,風(fēng)險(xiǎn)等級與緊接著的上一級事件的風(fēng)險(xiǎn)等級相同F(xiàn)TAFTA實(shí)例提要軟件可靠性與安全性分析技術(shù)基于分析結(jié)果的決策132基于失效分析結(jié)果的決策軟件分級管理需求決策及管理軟件設(shè)計(jì)與實(shí)現(xiàn)決策軟件驗(yàn)證與確認(rèn)決策軟件配置管理決策軟件文檔決策軟件分級管理軟件分級管理是風(fēng)險(xiǎn)控制的手段,應(yīng)依據(jù)軟件重要度等級對軟件的開發(fā)實(shí)施分級別管理在系統(tǒng)設(shè)計(jì)方案確定后,應(yīng)根據(jù)軟件失效后對系統(tǒng)安全和功能的影響程度,確定軟件重要度等級,并文檔化軟件的等級應(yīng)與軟件失效的最嚴(yán)重等級匹配軟件重要度等級應(yīng)得到審批軟件等級劃分舉例等級說明A可能引起或?qū)е孪到y(tǒng)功能失效進(jìn)而引起航空器災(zāi)難性失效狀態(tài)的異常狀態(tài)的軟件。B可能引起或?qū)е孪到y(tǒng)功能失效進(jìn)而引起航空器危險(xiǎn)的/嚴(yán)重的失效狀態(tài)的異常狀態(tài)的軟件。C可能引起或?qū)е孪到y(tǒng)功能失效進(jìn)而引起航空器較重失效狀態(tài)的異常狀態(tài)的軟件。D可能引起或?qū)е孪到y(tǒng)功能失效進(jìn)而引