石 柱 鄭 重

中國(guó)航天科技集團(tuán)公司軟件評(píng)測(cè)中心，北京100048

?

軟件故障樹(shù)分析實(shí)例研究*

石 柱 鄭 重

中國(guó)航天科技集團(tuán)公司軟件評(píng)測(cè)中心，北京100048

軟件故障樹(shù)分析(SFTA)是硬件或系統(tǒng)FTA的擴(kuò)展，可應(yīng)用于安全性關(guān)鍵軟件的驗(yàn)證和可靠性分析。本文首先闡述了SFTA的原理和應(yīng)用過(guò)程，然后介紹了結(jié)合某嵌入式軟件進(jìn)行實(shí)際應(yīng)用的過(guò)程以及最小割集的生成，并在此基礎(chǔ)上提出了對(duì)該軟件的改進(jìn)建議。

軟件可靠性；軟件可靠性分析；軟件故障樹(shù)分析

軟件故障樹(shù)分析(software fault tree analysis，SFTA)用于檢查和識(shí)別可引起危險(xiǎn)的軟件失效及其原因，它采用自上而下演繹的方式找出可能導(dǎo)致頂端事件的狀態(tài)或關(guān)鍵路徑的最小組合。目前，SFTA方法已廣泛應(yīng)用于安全關(guān)鍵軟件的驗(yàn)證和可靠性分析[1]。

在某些領(lǐng)域，隨著對(duì)軟件的可靠性和安全性要求日益提高，需要對(duì)相關(guān)軟件進(jìn)行SFTA，但目前對(duì)軟件產(chǎn)品進(jìn)行SFTA的工作很少，缺乏實(shí)踐經(jīng)驗(yàn)，因此，本文在對(duì)SFTA原理和實(shí)施步驟研究的基礎(chǔ)上，針對(duì)某嵌入式軟件的特點(diǎn)，進(jìn)行了初步應(yīng)用，取得了較好的效果，并成功改進(jìn)了該軟件。

1 SFTA原理

SFTA通常是以不希望發(fā)生的、作為軟件失效判據(jù)的一個(gè)事件(頂事件)作為分析目標(biāo)，首先分析尋找所有能引起頂事件發(fā)生的直接原因，然后尋找引起上述每一個(gè)直接原因的所有直接原因，以此類推，一層一層的分析。如果上一級(jí)事件的發(fā)生可由任意一個(gè)直接原因?qū)е?，則用邏輯“或”把它們和上一級(jí)事件連接起來(lái)；如果上一級(jí)事件的發(fā)生是由2個(gè)或2個(gè)以上的直接原因共同導(dǎo)致，則用邏輯“和”把它們和上一級(jí)事件連接起來(lái)。通過(guò)這樣逐層向下推測(cè)所有可能的原因，直到無(wú)法再進(jìn)一步分析的事件(底事件)為止。這樣，可以找出軟件可能發(fā)生的人為錯(cuò)誤、內(nèi)在缺陷和環(huán)境影響等各種因素，以及頂事件所代表的軟件失效之間的邏輯關(guān)系，并且用邏輯門符號(hào)連成一棵倒立的樹(shù)狀圖形，即故障樹(shù)。

故障樹(shù)建成后，再定性分析各個(gè)底事件對(duì)頂事件發(fā)生影響的組合方式和傳播途徑，識(shí)別以頂事件為代表的各種可能的軟件失效模式，以及定量計(jì)算這些影響的輕重程度，計(jì)算出軟件失效概率和各個(gè)底事件的重要度次序。最后，根據(jù)分析結(jié)果，找出設(shè)計(jì)上的薄弱環(huán)節(jié)，并采取改進(jìn)措施以提高產(chǎn)品的可靠性。

2 SFTA的步驟

SFTA的步驟與硬件和系統(tǒng)FTA步驟一致，主要分為以下6步：確定所分析的軟件、確定故障樹(shù)的頂事件、分析與頂事件有關(guān)的所有原因事件、建立故障樹(shù)、定性分析、可靠性評(píng)價(jià)和改進(jìn)建議。下面對(duì)各步驟的主要工作進(jìn)行說(shuō)明：

1)確定所分析的軟件。確定系統(tǒng)所包括的內(nèi)容及其邊界范圍，熟悉軟件的整體情況，包括性能、運(yùn)行情況、操作情況及各種重要參數(shù)等。同時(shí)，調(diào)查分析過(guò)去和現(xiàn)在發(fā)生的故障，及同類系統(tǒng)曾發(fā)生的所有事故；

2)確定故障樹(shù)的頂事件。根據(jù)項(xiàng)目需要和用戶需求，確定所要分析的對(duì)象事件，通常將易于發(fā)生且后果嚴(yán)重的事故作為頂事件；

3)分析與頂事件有關(guān)的所有原因事件；

4)建立故障樹(shù)。按建樹(shù)原則，從頂事件起，一層一層往下分析各自的直接原因事件，根據(jù)彼此間的邏輯關(guān)系，用邏輯門連接上下層事件，直到所要求的分析深度，形成一株倒置的邏輯樹(shù)形圖，即故障樹(shù)圖；

5)定性分析。定性分析是故障樹(shù)分析的核心內(nèi)容之一，其目的是分析該類事故的發(fā)生規(guī)律及特點(diǎn)，通過(guò)求取最小割集，找出控制故障的可行方案，并從故障樹(shù)結(jié)構(gòu)上、發(fā)生概率上分析各基本事件的重要程度，以便按輕重緩急分別采取對(duì)策。

以最小割集為例，求出最小割集不但可以識(shí)別導(dǎo)致頂事件發(fā)生的所有可能的故障模式，還可以通過(guò)比較每個(gè)最小割集所包含的底事件數(shù)目來(lái)確定最小割集和底事件的重要度。每個(gè)最小割集都是頂事件發(fā)生的一種可能，有幾個(gè)最小割集，頂事件的發(fā)生就有幾種可能，最小割集越多，系統(tǒng)越危險(xiǎn)。假設(shè)每個(gè)底事件發(fā)生的概率都較小，且差別不大，在此假設(shè)條件下，包含底事件越少的最小割集越重要，且此割集中的底事件也較重要。在不同最小割集中重復(fù)出現(xiàn)次數(shù)越多的底事件越重要，這樣可以清晰地分析出軟件的薄弱環(huán)節(jié)。特別要注意“單點(diǎn)失效”，即單個(gè)底事件可導(dǎo)致頂事件發(fā)生，所以危害最大，必須重點(diǎn)分析；

6)可靠性評(píng)價(jià)和改進(jìn)建議。根據(jù)分析的結(jié)果，評(píng)價(jià)該類事故的危險(xiǎn)性，從而有針對(duì)性地采取措施，從定性和定量分析的結(jié)果中找出能夠降低頂事件發(fā)生概率的最佳方案。

3 SFTA應(yīng)用過(guò)程

下面以某星載嵌入式軟件為應(yīng)用對(duì)象，給出具體的應(yīng)用過(guò)程。

按照軟件開(kāi)發(fā)方的意見(jiàn)，重點(diǎn)針對(duì)“軟件復(fù)位”故障進(jìn)行故障原因分析，即聚焦能導(dǎo)致軟件復(fù)位的各種可能的故障原因，并給出軟件可靠性加強(qiáng)建議。

對(duì)于軟件復(fù)位的故障原因，主要從主動(dòng)復(fù)位和被動(dòng)復(fù)位2個(gè)方面進(jìn)行故障原因分析(注：主動(dòng)復(fù)位，是由于軟件預(yù)設(shè)的復(fù)位措施起作用而導(dǎo)致的軟件復(fù)位；軟件被動(dòng)復(fù)位，是由于發(fā)生了程序無(wú)法捕獲到的異常而導(dǎo)致的復(fù)位)。下面以“計(jì)算精度下降，導(dǎo)致主動(dòng)復(fù)位”為頂事件，介紹SFTA的過(guò)程。

經(jīng)分析，給出了計(jì)算精度下降故障樹(shù)總體圖，見(jiàn)圖1。

從計(jì)算精度下降故障樹(shù)總體圖中可以很容易看出該底事件共有9個(gè)，見(jiàn)表1。

圖1 計(jì)算精度下降故障樹(shù)總體圖

表1 計(jì)算精度下降故障樹(shù)底事件

從圖1可以看出，整個(gè)故障樹(shù)都由“或門”連接，因此，其最小割集都是由單個(gè)底事件組成，則造成該頂事件的最小割集為{X1},{X2},{X3},{X4},{X5},{X6},{X7},{X8},{X9}。

經(jīng)過(guò)與開(kāi)發(fā)人員溝通，以及根據(jù)以往經(jīng)驗(yàn)，給出各個(gè)底事件發(fā)生概率的數(shù)量級(jí)，由于該最小割集均是“單點(diǎn)失效”，因此頂事件發(fā)生的概率為各底事件概率之和：2.32×10-6。

盡管頂事件發(fā)生概率很小，但在后續(xù)工作中要對(duì)各個(gè)底事件進(jìn)行嚴(yán)格分析，采取相應(yīng)措施以避免頂事件的發(fā)生。下1節(jié)將給出可靠性加強(qiáng)建議。

4 SFTA應(yīng)用結(jié)果分析

通過(guò)項(xiàng)目組成員的努力，已將所有該軟件復(fù)位情況進(jìn)行了全面的SFTA，并匯總了各個(gè)故障樹(shù)的最小割集，找出了導(dǎo)致軟件復(fù)位的薄弱環(huán)節(jié)，并針對(duì)薄弱環(huán)節(jié)給出了該軟件的改進(jìn)措施。

4.1 保護(hù)重要全局變量，避免被錯(cuò)誤改寫

盡量避免在不同優(yōu)先級(jí)任務(wù)中共用全局變量，對(duì)于必須共用的情況，建議采取保護(hù)措施。

例如，在前臺(tái)程序和后臺(tái)程序中都對(duì)某一數(shù)組進(jìn)行讀寫操作，而造成嚴(yán)重的故障影響，所以，建議在執(zhí)行后臺(tái)程序時(shí)，不執(zhí)行前臺(tái)程序(例如，可采用任務(wù)互斥信號(hào)量的方式實(shí)現(xiàn))，避免2個(gè)程序同時(shí)執(zhí)行。

4.2 調(diào)整任務(wù)劃分，簡(jiǎn)化時(shí)序關(guān)系

調(diào)整前后臺(tái)任務(wù)劃分，盡可能將一些時(shí)間特性要求不嚴(yán)格、非周期性的任務(wù)從前臺(tái)移到后臺(tái)，降低各任務(wù)之間的時(shí)序復(fù)雜性，從而簡(jiǎn)化軟件運(yùn)行時(shí)的復(fù)雜性。

4.3 改進(jìn)軟件主動(dòng)復(fù)位措施

1)建議將該軟件可靠性措施前移，盡量少采用復(fù)位手段。2)建議對(duì)程序中已經(jīng)采取的主動(dòng)復(fù)位措施進(jìn)行充分論證、測(cè)試，分析已有的主動(dòng)復(fù)位措施之間的相關(guān)性在當(dāng)前條件下(尤其軟件加強(qiáng)可靠性措施后)是否合適，以及是否會(huì)帶來(lái)副作用，對(duì)這些主動(dòng)復(fù)位措施進(jìn)行系統(tǒng)考慮后，做適當(dāng)調(diào)整。

例如，由于計(jì)算精度下降而主動(dòng)復(fù)位的措施在衛(wèi)星大部分運(yùn)行時(shí)間內(nèi)是有效的，但如果衛(wèi)星處于以下情況時(shí)，該復(fù)位措施可能有副作用或局限性：衛(wèi)星由于姿態(tài)調(diào)整而進(jìn)行變軌；衛(wèi)星處于發(fā)射階段時(shí)，加速度較大。以上情況軟件計(jì)算正常，但衛(wèi)星的位置和速度均變化較大，有可能引起該軟件復(fù)位。

此外，對(duì)軟件采取可靠性加強(qiáng)措施后，也要相應(yīng)修改某些主動(dòng)復(fù)位措施。

4.4 避免累積誤差

隨機(jī)誤差避免很難，但是通過(guò)設(shè)計(jì)可以避免累積誤差。分析結(jié)果顯示，誤差修正的精度是影響系統(tǒng)時(shí)間參數(shù)的重要因素，不能排除其影響，應(yīng)該結(jié)合軟件測(cè)試和試驗(yàn)來(lái)驗(yàn)證。

4.5 驗(yàn)證64位運(yùn)算函數(shù)

在某模塊的計(jì)算中用到大量64位運(yùn)算函數(shù)，而該模塊在該軟件中1s執(zhí)行1次，任務(wù)級(jí)別較低。在其他高優(yōu)先級(jí)任務(wù)中的部分函數(shù)也調(diào)用了這些64位運(yùn)算函數(shù)，在運(yùn)行過(guò)程中有可能發(fā)生低優(yōu)先級(jí)任務(wù)被高優(yōu)先級(jí)任務(wù)打斷而重入，從而導(dǎo)致這些函數(shù)執(zhí)行的不正確，造成計(jì)算出現(xiàn)錯(cuò)誤結(jié)果。

建議檢查源碼或匯編代碼是否可重入、是否符合可靠性編程準(zhǔn)則(例如，是否遵守延遲跳轉(zhuǎn)指令使用的相關(guān)規(guī)定)，或用軟件測(cè)試的方法驗(yàn)證是否可重入，用函數(shù)可重入規(guī)則來(lái)改寫。

4.6 防范重要數(shù)據(jù)被單粒子打翻

在硬件器件方面，建議采用抗單粒子翻轉(zhuǎn)的宇航級(jí)器件，如果因此帶來(lái)難以承受的性能損失，建議進(jìn)一步更換高性能、抗輻照嵌入式處理器，建議在工藝上也采取相應(yīng)的加固措施。

如果受客觀條件等因素限制，不能采取充分的硬件措施，則建議加強(qiáng)軟件抗單粒子翻轉(zhuǎn)設(shè)計(jì)，例如：針對(duì)軟件數(shù)據(jù)區(qū)被單粒子打翻的情況，建議對(duì)任務(wù)和執(zhí)行流程影響大，且持續(xù)時(shí)間長(zhǎng)的重要數(shù)據(jù)，采取相應(yīng)的軟件可靠性設(shè)計(jì)措施，例如：“寫時(shí)三備份，讀時(shí)3取2”、“加大碼距”、“引入第3種狀態(tài)處理”、“周期性刷新”和“通行證技術(shù)”等，以提高軟件的抗單粒子翻轉(zhuǎn)能力。

4.7 防范程序區(qū)被單粒子打翻

針對(duì)軟件程序區(qū)被單粒子打翻的情況，建議在該軟件的后臺(tái)定期檢查RAM和ROM中的程序是否一致，若不一致，進(jìn)行3取2，再將正確的程序裝載到RAM區(qū)運(yùn)行。另一方面，建議參考N版本這一軟件可靠性設(shè)計(jì)思路(注：可以僅運(yùn)行一個(gè)軟件程序版本)，加強(qiáng)軟件抗單粒子翻轉(zhuǎn)設(shè)計(jì)。

4.8 加強(qiáng)軟件可靠性測(cè)試

建議軟件開(kāi)發(fā)方進(jìn)一步開(kāi)展軟件可靠性測(cè)試，通過(guò)軟件可靠性測(cè)試，監(jiān)控一些重要數(shù)據(jù)信息(例如，互斥信號(hào)量置位前發(fā)生中斷、堆棧使用情況等)，復(fù)現(xiàn)故障，驗(yàn)證這些故障模式發(fā)生后所產(chǎn)生的影響(例如，數(shù)組出錯(cuò)到發(fā)生復(fù)位的過(guò)程中，是由于發(fā)生死循環(huán)導(dǎo)致的復(fù)位，還是由于計(jì)算精度下降觸發(fā)主動(dòng)復(fù)位措施而導(dǎo)致的復(fù)位)，評(píng)估這些故障發(fā)生的概率，并采取相應(yīng)的軟件可靠性加強(qiáng)措施。

4.9 加強(qiáng)目標(biāo)碼測(cè)試

在SFTA階段，已經(jīng)對(duì)CCS生成的匯編代碼是否符合可靠性編程準(zhǔn)則進(jìn)行了普查分析，無(wú)不符合項(xiàng)，但是最終生成的目標(biāo)碼與匯編代碼不一定完全對(duì)等，所以建議進(jìn)行目標(biāo)碼測(cè)試。

5 結(jié)論

對(duì)SFTA原理和實(shí)施過(guò)程開(kāi)展了研究，并在某星載嵌入式實(shí)時(shí)軟件上進(jìn)行了實(shí)踐應(yīng)用，提出了相應(yīng)的預(yù)防和改進(jìn)措施，為軟件的可靠性安全性設(shè)計(jì)提供了依據(jù)。

事實(shí)證明，SFTA方法對(duì)于軟件可靠性的提高具有較高的應(yīng)用價(jià)值，如果將軟件失效模式和影響分析(software failure modes and effects analysis，SFMEA)結(jié)合SFTA方法同時(shí)使用，將會(huì)得到更加系統(tǒng)和全面的結(jié)果。

[1] 黃錫滋.軟件可靠性、安全性與質(zhì)量保證[M].北京:電子工業(yè)出版社，2002.(HUANG Xizi. Assurance of Software Reliability, Safety and Quality[M].Beijing: Electronic Industry Press,2002.)

[2] NASA- GB- 8719.13.NASA Software Safety Guidebook[S].NASA，2004.

[3] 朱明讓，何國(guó)偉，廖炯生.“三F”技術(shù)培訓(xùn)教材[M].北京:航天工業(yè)總公司，1995.(ZHU Mingrang,HE Guowei,LIAO Jiongsheng. Technically Training Material For“3F” [M].Beijing: Aerospace Industry Corporation,1995.)[4] 石柱.航天軟件安全性分析實(shí)踐[J].數(shù)字軍工，2007，(4)：40- 43.(SHI Zhu.The Practice on Aerospace Software Safety Analysis [J].Digital Military Industry,2007，(4) ：40- 43.)

[5] 石柱，馬寬，鄭重.軟件FMEA實(shí)例研究[J].航天控制，2010，28(2)：75- 78.(SHI Zhu,MA Kuan,ZHENG Zhong.A Case Study On Software FMEA[J]. Aerospace Control, 2010，28(2)：75- 78.)

[6] CHA S- D,LEE J. Fault Tree Construction of Hybrid System Requirements Using Qualitative Formal Method [J].Reliability Engineering and System Safety,2005,87:121- 131.

[7] Musa J D,Iannino A,Okumoto K. Software Reliability: Measurement, Prediction, Application [M].New York:McGraW- Hill,1987.

[8] Dutuit Y,Rauzy A.Approximate Estimation System Reliability via Fault Tree[J]. Reliability Engineering and System Safety,2005,87:163- 172.

[9] Li Guoqi, Lu Minyan, Liu Bin.SFTA Based Safety Analysis for Bridge Pattern[C]//2009 8th International Confrerence on Reliability,Maintainability and Safety,2009:522- 525.

[10] Towhidnejad M.Validation of Object Oriented Software Design With Fault Tree Analysis[C]// Proc.of 28th Annual NASA Goddard,USA,2003:209- 215.

[11] Vesely W E. Fault Tree Handbook [M].Washington,US:Government Pringing Office,1981.

[12] Huang H Z, Tong X, Zuo M J. Posbist Fault Tree Analysis of Coherent Systems[J]. Reliability Engineering and System Safety,2004,84(2):141- 148.

[13] 許榮，車建國(guó)，楊作賓，左曉勇.故障樹(shù)分析法及其在系統(tǒng)可靠性分析中的應(yīng)用[J].指揮控制與仿真，2010，32(1):112- 115.(XU Rong,CHE Jianguo,YANG Zuobin,ZUO Xiaoyong. The Fault Tree Analysis and Its Application in the System Reliability Analysis[J].Command Control & Simulation，2010，32(1):112- 115.)

[14] Yang Hong,Wang Hou- xiang,Han Ruo- fei,Li Juan.Application of Fault Tree in Software Safety Analysis[C]//International Forum on Computer Science- Technology and Applications. ChongQing,2009:207- 208.

[15] Joanne Bechta Dugan, Ganesh J Pai, Hong Xu. Combining Software Quality Analysis with Dynamic Event/Fault Trees for High Assurance Systems Engineering[C]//10th IEEE High Assurance Systems Engineering Symposium .USA,2007:245- 255.

《航天控制》選題大綱

1總體與系統(tǒng)技術(shù)

1.1 航天器動(dòng)力學(xué)模型技術(shù)

1.2 航天器控制系統(tǒng)方案設(shè)計(jì)

1.3 系統(tǒng)集成與一體化設(shè)計(jì)技術(shù)

2制導(dǎo)、導(dǎo)航和控制技術(shù)

2.1 先進(jìn)的信息與控制理論及應(yīng)用

2.2 全程復(fù)合制導(dǎo)技術(shù)(星光、衛(wèi)星導(dǎo)航系統(tǒng))

2.3 精確末制導(dǎo)技術(shù)

2.4 航天器自主導(dǎo)航和組合導(dǎo)航技術(shù)

2.5 新型運(yùn)載火箭控制系統(tǒng)研究

2.6 系統(tǒng)精度與毀傷效果的評(píng)估和分析

2.7 衛(wèi)星姿態(tài)軌道控制技術(shù)研究

2.8 航天器交會(huì)對(duì)接、返回與救生技術(shù)

2.9 深空探測(cè)與著陸技術(shù)

2.10衛(wèi)星編隊(duì)飛行與星座控制技術(shù)

2.11攔截器制導(dǎo)與控制技術(shù)

2.12機(jī)器人動(dòng)力學(xué)與控制

2.13控制系統(tǒng)“標(biāo)準(zhǔn)化、通用化、組合化”技術(shù)

2.14航天器測(cè)控通信技術(shù)

2.15伺服控制設(shè)計(jì)

3計(jì)算機(jī)技術(shù)與仿真技術(shù)

3.1 嵌入式計(jì)算機(jī)系統(tǒng)設(shè)計(jì)技術(shù)

3.2 軟件工程與評(píng)測(cè)技術(shù)

3.3 CAX設(shè)計(jì)

3.4 人工智能與專家系統(tǒng)技術(shù)

3.5 系統(tǒng)仿真技術(shù)

3.6 半實(shí)物仿真與設(shè)計(jì)、試驗(yàn)技術(shù)

4測(cè)試、發(fā)射和控制技術(shù)

4.1 測(cè)試發(fā)射控制一體化技術(shù)

4.2 快速機(jī)動(dòng)測(cè)控技術(shù)

4.3 航天器地面測(cè)試自動(dòng)化

4.4 C4ISR技術(shù)

4.5 水平瞄準(zhǔn)、快速定位定向技術(shù)

4.6 系統(tǒng)信息流控制技術(shù)

5可靠性、安全性和維修性

5.1 可靠性、安全性、維修性和保障性設(shè)計(jì)、分析和試驗(yàn)技術(shù)

5.2 軟件可靠性及優(yōu)化技術(shù)

5.3 冗余設(shè)計(jì)技術(shù)

5.4 故障診斷技術(shù)

6光機(jī)電一體化技術(shù)

6.1 片上系統(tǒng)(SOC)技術(shù)

6.2 航天器姿態(tài)敏感器

6.3 目標(biāo)探測(cè)器

6.4 慣性測(cè)量裝置

6.5 光學(xué)陀螺

6.6 推進(jìn)器技術(shù)

6.7 飛行控制執(zhí)行機(jī)構(gòu)

6.8 電磁兼容設(shè)計(jì)與試驗(yàn)技術(shù)

6.9 表面裝貼技術(shù)

6.10減振技術(shù)研究

6.11多功能結(jié)構(gòu)設(shè)計(jì)與標(biāo)準(zhǔn)化技術(shù)

征稿簡(jiǎn)則

1.文稿應(yīng)具備創(chuàng)新性和科學(xué)性，務(wù)求主題突出、論據(jù)充分、文字精練、數(shù)據(jù)可靠，有較高的理論水平和實(shí)用價(jià)值。

2.稿件的篇幅(含摘要、圖、表、參考文獻(xiàn)等)6000字以內(nèi)，撰寫論文所涉及的基金資助項(xiàng)目、獲獎(jiǎng)?wù)n題內(nèi)容請(qǐng)予注明。

3.文章中必須有中英文的題名、作者姓名、單位(對(duì)外名稱)、郵編、摘要、主題詞，還應(yīng)有中圖分類號(hào)和參考文獻(xiàn)。其中中文題名不超過(guò)20個(gè)字，英文題名不超過(guò)12個(gè)實(shí)詞。主題詞3條～8條，注意使用規(guī)范詞。

4.摘要采用報(bào)道性文摘，應(yīng)擁有與論文同等量的主要信息，著重反映新內(nèi)容。中英文摘要均須包括目的、方法、結(jié)果、結(jié)論等四要素，中文摘要以300字左右為宜。英文摘要應(yīng)按照英文文法書(shū)寫，在確保內(nèi)容完整性的前提下不必采用句子到句子的翻譯模式。

5.計(jì)量單位應(yīng)使用國(guó)家最新頒布的國(guó)家標(biāo)準(zhǔn)和規(guī)定，并且一律用符號(hào)表示。

6.稿件中的插圖、表格要少而精。構(gòu)圖要合理，應(yīng)附有圖表序號(hào)及中文的圖題、表題及圖表注釋。

7.參考文獻(xiàn)采用中英雙語(yǔ)著錄，應(yīng)著錄最必要、最新的文獻(xiàn)，且應(yīng)是國(guó)內(nèi)外公開(kāi)發(fā)表的書(shū)刊文章，編號(hào)以出現(xiàn)的先后為序，各類文獻(xiàn)的著錄格式為：

(1)專著：著者.書(shū)名[M].版本(第1版不用著錄).出版地：出版者，出版年.

(2)期刊：作者．題名[J]．刊名，年，卷(期)：起止頁(yè)碼.

(3)論文集：作者.題名[C]//編者.文集名.出版地：出版者，出版年：起止頁(yè)碼.

(4)學(xué)位論文：作者.題名[D].保存者，年份.

(5)會(huì)議論文：作者.題名[C].會(huì)議名稱，會(huì)址，會(huì)議年份.

(6)技術(shù)標(biāo)準(zhǔn)：責(zé)任者.標(biāo)準(zhǔn)代號(hào) 標(biāo)準(zhǔn)名稱[S].出版地：出版者，出版年：引文頁(yè)碼.

(7)專利文獻(xiàn)：專利申請(qǐng)者.專利題名：專利國(guó)別，專利號(hào)[P].公開(kāi)日期.

(8)報(bào)紙：作者.題名[N].報(bào)紙名，年-月-日(版次).

(9)外文文獻(xiàn)請(qǐng)注意作者的名字均為姓在前名在后，名要縮寫。

例：Zhou K M, Doyle J C, Glover K. Robust and Optimal Control[M]. Upper Saddle River, New Jersey: Prentice- Hall, 1996.

8.來(lái)稿須經(jīng)過(guò)保密審查，勿投寄涉密稿件。稿件請(qǐng)注明作者真實(shí)姓名(發(fā)表時(shí)可按作者意愿署名)、工作單位、詳細(xì)通訊地址、郵政編碼、電話、作者簡(jiǎn)介及第一作者照片，文稿一經(jīng)刊載即酌致稿酬，并贈(zèng)送期刊2份。未被錄用的稿件恕不退稿。

9.請(qǐng)勿一稿多投，凡在6個(gè)月內(nèi)未見(jiàn)編輯部稿件處理的通知，請(qǐng)與編輯部聯(lián)系。已在公開(kāi)刊物發(fā)表的論文和報(bào)告，本刊不再刊登。

10.投稿方式：網(wǎng)上投稿，網(wǎng)址為http://htkz.cn；請(qǐng)同時(shí)郵寄保密審查結(jié)論至編輯部。來(lái)稿須保證內(nèi)容真實(shí)、未侵犯他人知識(shí)產(chǎn)權(quán)、無(wú)涉密內(nèi)容，作者署名無(wú)爭(zhēng)議，未一稿多投。稿件請(qǐng)用WORD格式。

ACaseStudyonSoftwareFaultTreeAnalysis

SHI Zhu ZHENG Zhong
Software Evaluation and Testing Center of CASC，Beijing 100048，China

Thesoftwarefaulttreeanalysis(SFTA)isanextensionofhardwareorsystemFTA.Itcanbeusedforsafety-criticalsoftwareverificationandreliabilityanalysis.Firstly,theprincipleandapplicationprocessofSFTAaredescribedandtheapplicationprocessofSFTAforanembeddedsoftwareispresentedinthispaper,andthentheminimalcutsetsarebuiltandtheimprovementfortheembeddedsoftwarearesuggested.

Softwarereliability;Softwarereliabilityanalysis;Softwarefaulttreeanalysis

*國(guó)防科技工業(yè)局民用航天科研預(yù)先研究項(xiàng)目資助課題(B2120080307)

2012- 11- 20

石柱(1963-)，男，湖北崇陽(yáng)人，研究員，博士生導(dǎo)師，主要研究方向?yàn)檐浖こ獭④浖煽啃?、軟件安全性和軟件過(guò)程改進(jìn)；鄭重(1984-)，男，河南信陽(yáng)人，工程師，主要研究方向?yàn)檐浖煽啃远攘亢蛙浖煽啃詼y(cè)試。

TP311.5

： A

1006- 3242(2014)06- 0067- 04