軟件可靠性技術(shù)發(fā)展與趨勢分析

軟件可靠性技術(shù)發(fā)展及趨勢分析1引言1)概念軟件可靠性指軟件在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的能力。安全性是指避免危險(xiǎn)條件發(fā)生，保證己方人員、設(shè)施、財(cái)產(chǎn)、環(huán)境等免于遭受災(zāi)難事故或重大損失。安全性指的是系統(tǒng)安全性。一個(gè)單獨(dú)的軟件本身并不存在安全性問題。只有當(dāng)軟件與硬件相互作用可能導(dǎo)致人員的生命危險(xiǎn)、或系統(tǒng)崩潰、或造成不可接受的資源損失時(shí)，才涉及到軟件安全性問題。由于操作人員的錯(cuò)誤、硬件故障、接口問題、軟件錯(cuò)誤或系統(tǒng)設(shè)計(jì)缺陷等很多原因都可能影響系統(tǒng)整體功能的執(zhí)行，導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)的狀態(tài)，故系統(tǒng)安全性工作自頂至下涉及到系統(tǒng)的各個(gè)層次和各個(gè)環(huán)節(jié)，而軟件安全性工作是系統(tǒng)安全性工作中的關(guān)鍵環(huán)節(jié)之一。因此，軟件可靠性技術(shù)解決的是如何減少軟件失效的問題，而軟件安全性解決的是如何避免或減少與軟件相關(guān)的危險(xiǎn)條件的發(fā)生。二者涉及的范疇有交又，但不完全相同。軟件產(chǎn)生失效的前提是軟件存在設(shè)計(jì)缺陷，但只有外部輸入導(dǎo)致軟件執(zhí)行到有缺陷的路徑時(shí)才會產(chǎn)生失效。因此，軟件可靠性關(guān)注全部與軟件失效相關(guān)的設(shè)計(jì)缺陷，以及導(dǎo)致缺陷發(fā)生的外部條件。由于只有部分軟件失效可能導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)狀態(tài)，故軟件安全性只關(guān)注可能導(dǎo)致危險(xiǎn)條件發(fā)生的失效。以及與該類失效相關(guān)的設(shè)計(jì)缺陷和外部輸入條件。硬件的失效，操作人員的錯(cuò)誤等也可能影響軟件的正常運(yùn)行，從而導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)的狀態(tài)，因此軟件安全性設(shè)計(jì)時(shí)必須對這種危險(xiǎn)情況進(jìn)行分析，井在設(shè)計(jì)時(shí)加以考慮。而軟件可靠性僅針對系統(tǒng)要求和約束進(jìn)行設(shè)計(jì)，考慮常規(guī)的容錯(cuò)需求，井不需要進(jìn)行專門的危險(xiǎn)分析。在復(fù)雜的系統(tǒng)運(yùn)行條件下，有時(shí)軟件、硬件均未失效，但軟硬件的交互作用在某種特殊條件下仍會導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)的狀態(tài)，這種情況是軟件安全性設(shè)計(jì)考慮的重點(diǎn)之一，但軟件可靠性并不考慮這類情況。2）技術(shù)發(fā)展背景計(jì)算機(jī)應(yīng)用范圍快速擴(kuò)展導(dǎo)致研制系統(tǒng)的復(fù)雜性越來越高。軟硬件密切耦合，且軟件的規(guī)模，復(fù)雜度及其在整個(gè)系統(tǒng)中的功能比重急劇上升，由最初的20%左右激增到80%以上。伴隨著硬件可靠性的提高，軟件的可靠性與安全性問題日益突出。在軍事、航空航天、醫(yī)療等領(lǐng)域，核心控制軟件的失效可能造成巨大的損失甚至威脅人的生命。1985年6月至1987年1月，Therac-25治療機(jī)發(fā)生6起超大劑量輻射事故，其中3起導(dǎo)致病人死亡。1991年海灣戰(zhàn)爭。愛國者導(dǎo)彈在攔截飛毛腿導(dǎo)彈中幾次攔截失敗，其直接原因?yàn)檐浖到y(tǒng)未能及時(shí)消除計(jì)時(shí)累計(jì)誤差。1996年阿里亞娜5型運(yùn)載火箭由于控制軟件數(shù)據(jù)轉(zhuǎn)換溢出起飛40秒后爆炸，造成經(jīng)濟(jì)損或削弱全部的安全性風(fēng)險(xiǎn)，有關(guān)學(xué)者建議概率風(fēng)險(xiǎn)評價(jià)方法應(yīng)盡可能早的應(yīng)用于飛機(jī)的風(fēng)險(xiǎn)管理程序。早期的概率風(fēng)險(xiǎn)評價(jià)研究與試點(diǎn)工作由專業(yè)研究人員進(jìn)行。1995年4月，NASA在NFG7120.5A《NASA程序和項(xiàng)目管理過程與要求》中規(guī)定，概率風(fēng)險(xiǎn)分析應(yīng)作為保證程序和技術(shù)成功的一種決策工具，要求程序與項(xiàng)目管理決策必須在概率風(fēng)險(xiǎn)排序的基礎(chǔ)上進(jìn)行。2002年11月，NASA在NFG7120.5B規(guī)定NASA獨(dú)立驗(yàn)證與確認(rèn)機(jī)構(gòu)負(fù)責(zé)全部的安全性關(guān)鍵軟件和任務(wù)關(guān)鍵軟件全生命周期各階段產(chǎn)品的獨(dú)立確認(rèn)與驗(yàn)證工作，包括軟件可靠性與安全性的分析，測試與驗(yàn)證，以及軟件概率風(fēng)險(xiǎn)危險(xiǎn)分析與評價(jià)工作。概率風(fēng)險(xiǎn)分析是系統(tǒng)應(yīng)用可靠性和安全性等相關(guān)技術(shù)的一種綜合分析方法，包括對軟件可靠性和安全性的量化分析與評價(jià)，其目的是識別與評價(jià)為保證安全性和任務(wù)完成所需采取的各種行動、措施的風(fēng)險(xiǎn)，為決策提供支持。首先，需使用定性分析方法，如初步危險(xiǎn)分析PHA，危險(xiǎn)與可運(yùn)行性研究HAZOP，故障模式、影響及危害性分析FMECA，系統(tǒng)檢查單，主邏輯框圖等技術(shù)對軟硬件組合系統(tǒng)進(jìn)行分析，獲得可能導(dǎo)致系統(tǒng)不期望狀態(tài)發(fā)生的初始事件表。在定性方法不足以提供對失效、后果、事件的充分理解時(shí)使用定量的方法。然后，就系統(tǒng)、人、軟件對初始事件的不同響應(yīng)而導(dǎo)致的事件鏈的不同發(fā)展過程進(jìn)行分析鑒別，生成系統(tǒng)的功能事件序列圖。然后，分析各事件的發(fā)生概率（包括共因失效分析，人因分析以及軟件各種失效分析等），用故障樹和概率統(tǒng)計(jì)技術(shù)歸納各事件序列最終狀態(tài)的發(fā)生概率，分析各終結(jié)狀態(tài)的嚴(yán)重度，結(jié)合狀態(tài)發(fā)生概率與嚴(yán)重度，獲得概率風(fēng)險(xiǎn)描述與風(fēng)險(xiǎn)排序NASA使用概率風(fēng)險(xiǎn)分析技術(shù)進(jìn)行風(fēng)險(xiǎn)管理，按照風(fēng)險(xiǎn)調(diào)整資源，使資源的占用與風(fēng)險(xiǎn)相匹配，在不增加風(fēng)險(xiǎn)的前提下，減少44%的資源占有率?；鹦遣蓸臃祷仨?xiàng)目MarsSanpleRetumMission要求任務(wù)失效概率必須小于10-6概率風(fēng)險(xiǎn)分析技術(shù)的發(fā)展和應(yīng)用過程表明，只有針對工程中的問題與需求，系統(tǒng)有效地運(yùn)用相關(guān)的技術(shù)手段與工具，才能達(dá)到保證可靠性的目的，同時(shí)也促進(jìn)相關(guān)技術(shù)的進(jìn)一步發(fā)展。（3）產(chǎn)品驗(yàn)證更加注重分析技術(shù)和測試技術(shù)的綜合應(yīng)用。測試驗(yàn)證的不充分性與高成本決定了這一趨勢的必然性。在系統(tǒng)的功能分析和設(shè)計(jì)階段加強(qiáng)仿真驗(yàn)證與分析：對常規(guī)狀態(tài)下的功能驗(yàn)證以實(shí)際測試驗(yàn)證為主，分析驗(yàn)證為輔；對異常狀態(tài)下的功能驗(yàn)證以仿真驗(yàn)證為主，分析驗(yàn)證為輔；對軟件小概率失效和軟件危險(xiǎn)失效則以分析驗(yàn)證為主，仿真驗(yàn)證為輔。2）項(xiàng)目管理軟件研制管理更加科學(xué)、專業(yè)和規(guī)范，在軟件項(xiàng)目管理方面有下述趨勢：（1）軟件項(xiàng)目管理更加深入、系統(tǒng)與靈活，軟件過程控制與軟件階段產(chǎn)品的分析、驗(yàn)證相結(jié)合，對安全性關(guān)鍵軟件，任務(wù)關(guān)鍵軟件更加注重階段產(chǎn)品分析與驗(yàn)證。NASA的軟件質(zhì)量保證、軟件可靠性、軟件安全性、軟件獨(dú)立驗(yàn)證與確認(rèn)、軟件概率風(fēng)險(xiǎn)分析等工作已成為關(guān)鍵軟件研制的基本程序。但每一種軟件的研制過程模型的選擇由項(xiàng)目主管人員確定，更注重對各個(gè)階段采取的技術(shù)方法的合理選擇與階段產(chǎn)品的質(zhì)量控制。（2）在軟件研制過程中更加注重專業(yè)機(jī)構(gòu)與工程領(lǐng)域人員的技術(shù)合作。大型復(fù)雜軟件研制需要可靠性技術(shù)、軟件安全性技術(shù)、信息安全技術(shù)以及軟件運(yùn)行相關(guān)背景領(lǐng)域等多學(xué)科、多領(lǐng)域知識的綜合運(yùn)用，促進(jìn)了軟件研制人員與相關(guān)領(lǐng)域?qū)I(yè)技術(shù)人員的合作。NASA獨(dú)立驗(yàn)證與確認(rèn)機(jī)構(gòu)1991年底成立，在1996年以前工作的重點(diǎn)放在研究領(lǐng)域，所進(jìn)行的獨(dú)立保證和獨(dú)立驗(yàn)證與確認(rèn)項(xiàng)目所占比例不足3%。1996年4月后開始改變工作重點(diǎn)，獨(dú)立保證和獨(dú)立驗(yàn)證與確認(rèn)項(xiàng)目逐年遞增，2000年所占工作比例已達(dá)20%。2000年4月將工作方向轉(zhuǎn)移到應(yīng)用領(lǐng)域，至2002年獨(dú)立保證和獨(dú)立驗(yàn)證與確認(rèn)項(xiàng)目所占比例已達(dá)42%。目前，NASA軟件質(zhì)量保證部門負(fù)責(zé)全部軟件的常規(guī)測試、驗(yàn)證與質(zhì)量管理等工作，而其軟件獨(dú)立驗(yàn)證與確認(rèn)機(jī)構(gòu)負(fù)責(zé)全部安全關(guān)鍵軟件和任務(wù)關(guān)鍵軟件全生命周期各階段產(chǎn)品的獨(dú)立確認(rèn)與驗(yàn)證工作，包括軟件可靠性與安全性的分析、軟件概率風(fēng)險(xiǎn)識別與評價(jià)、軟件階段產(chǎn)品驗(yàn)證以及對測試設(shè)計(jì)與測試結(jié)果的分析等。與此相對照的是NASA軟件工程實(shí)驗(yàn)室的撤銷。該實(shí)驗(yàn)室1976年成立，在其存在的25年中致力于經(jīng)驗(yàn)數(shù)據(jù)的收集和軟件過程改進(jìn)工作，發(fā)表250篇技術(shù)論文，獲得1994年IEEE-SEI軟件過程成就獎(jiǎng)。由于其研究活動脫離了工程實(shí)踐，不能解決實(shí)際軟件研制中的問題，2001年底被撤銷。上述事實(shí)從兩方面反映了NASA軟件可靠性安全性技術(shù)的發(fā)展?fàn)顟B(tài)，應(yīng)用情況和趨勢：其一，美國在高端嵌入式系統(tǒng)軟件可靠性和安全性方面的工作雖起步較早，但系統(tǒng)性研究和規(guī)?；瘧?yīng)用從近年才開始逐步展開，相關(guān)技術(shù)仍在不斷改進(jìn)和發(fā)展中。嵌入式系統(tǒng)的可靠性與安全性問題具有較大的技術(shù)難度，較強(qiáng)的系統(tǒng)性和綜合性，其解決也井非是單純進(jìn)行理論、方法研究并加以應(yīng)用的簡單過程，而是研究與應(yīng)用密切結(jié)合的互動過程，美以獨(dú)立驗(yàn)證和確認(rèn)機(jī)構(gòu)完成此職能，有其必然性和合理性。其作用之一在于以其權(quán)威性協(xié)調(diào)這一復(fù)雜的研究和應(yīng)用、乃至培訓(xùn)、認(rèn)證、技術(shù)提升的復(fù)雜過程?？梢钥隙ǖ氖牵挥性趯I(yè)部門和設(shè)計(jì)、工程部門密切合作，互動互促的模式下，嵌入式系統(tǒng)可靠性、安全性技術(shù)和應(yīng)用水平及應(yīng)用效能才能得到很快的提升。其二，嵌入式系統(tǒng)可靠性和安全性問題已是必須解決的現(xiàn)實(shí)問題。NASA大量項(xiàng)目涉及多類嵌入式系統(tǒng)，系統(tǒng)功能復(fù)雜，規(guī)模較大。從公布的成功率來看，其軟件系統(tǒng)的研制水平遠(yuǎn)高于國內(nèi)。盡管如此，NASA仍將越來越多的項(xiàng)目納入由第三方執(zhí)行的軟件可靠性安全性獨(dú)立驗(yàn)證與確認(rèn)。這表明該工作的需求和作用是毋庸置疑的。隨著技術(shù)研究和應(yīng)用的互動進(jìn)行，軟件可靠性和安全性技術(shù)將在更大的范圍內(nèi)發(fā)揮關(guān)鍵作用。（3）軟件質(zhì)量管理更加量化和全面，包括技術(shù)、過程、資源分配、成本控制、進(jìn)度等全方位管理。目前，國外已初步形成面向整個(gè)軟件生存周期各個(gè)階段的系統(tǒng)化的可靠性安全性管理機(jī)制，NASA與歐空局均發(fā)布了相關(guān)的軟件產(chǎn)品保證標(biāo)準(zhǔn)和指導(dǎo)手冊.NASA要求對安全性與任務(wù)關(guān)鍵軟件的技術(shù)措施、可靠性、安全性等進(jìn)行量化風(fēng)險(xiǎn)分析，作為決策的技術(shù)支持，這在前文中已有敘述。3總結(jié)根據(jù)NASA的經(jīng)驗(yàn)和我們自己的實(shí)踐體會，常規(guī)的軟件工程方法和軟件評測手段井不能解決軟件可靠性設(shè)計(jì)深層次的問題，保證軟件的可靠性與安全性既是一個(gè)艱深的理論問題，更是一個(gè)復(fù)雜的工程問題，不存在完全通用的方法。高可靠性和安全性關(guān)鍵軟件需要專業(yè)人員與系統(tǒng)總體相關(guān)人員合作進(jìn)行軟件可靠性和安全性保證工作。單一的軟件可靠性技術(shù)或方法的運(yùn)用能夠解決軟件系統(tǒng)中某一類局部的問題，但并不能解決全部的軟件可靠性問題。各種軟件可靠性技術(shù)與相關(guān)背景領(lǐng)域技術(shù)的綜合運(yùn)用是保證軟件可靠性的關(guān)鍵，軟件可靠性技術(shù)研究應(yīng)該從型號研制的工程需求出發(fā)，系統(tǒng)研究理論、方法和工程技術(shù)環(huán)節(jié)，加強(qiáng)軟件可靠性技術(shù)與相關(guān)領(lǐng)域技術(shù)的綜合應(yīng)用研究。通過互動的研究和實(shí)踐，切實(shí)提高軟件可靠性技術(shù)水平和工程效能，促進(jìn)技術(shù)發(fā)展和型號軟件質(zhì)量的提升。軟件研制者與方法研究者雙方都能從這種技術(shù)合作與交流中獲益。4.參考文獻(xiàn)1、NPG8715.3NASASafelyManual2、Victor