高魏華，呂廣強(qiáng)，曹魯光，丁小芩，李 烽

（1．南京理工大學(xué) 自動(dòng)化學(xué)院，江蘇 南京 210094；2．上海機(jī)電工程研究所，上海 201109）

0 引 言

隨著信息產(chǎn)業(yè)的蓬勃發(fā)展，嵌入式產(chǎn)品已頻繁應(yīng)用于人們生活的各個(gè)方面。嵌入式硬件的使用離不開(kāi)嵌入式軟件的開(kāi)發(fā)應(yīng)用，嵌入式系統(tǒng)已成為現(xiàn)代信息系統(tǒng)乃至知識(shí)經(jīng)濟(jì)的核心部分。彈載計(jì)算機(jī)作為導(dǎo)彈系統(tǒng)的核心部件，嵌入式計(jì)算機(jī)、可編輯器件等大量數(shù)字設(shè)備的應(yīng)用，使得武器系統(tǒng)的復(fù)雜程度與技術(shù)含量逐步提高［1－2］。目前，在型號(hào)軟件的研制過(guò)程中，嵌入式軟件的可靠運(yùn)行離不開(kāi)高速、可靠的嵌入式硬件系統(tǒng)，彈載嵌入式系統(tǒng)的可靠性和安全性決定了型號(hào)任務(wù)的成敗。因此，彈載嵌入式軟件系統(tǒng)是武器裝備可靠性的重要環(huán)節(jié)，也是當(dāng)前武器裝備可靠性研究的一個(gè)重要課題。

近年來(lái)，嵌入式系統(tǒng)故障時(shí)有發(fā)生。以埃航美國(guó)737 MAX飛機(jī)操控系統(tǒng)故障為例，嵌入式系統(tǒng)傳感器和控制軟件失效是破壞性的。面對(duì)沉痛的教訓(xùn)，人們對(duì)嵌入式軟件高可靠性的需求空前。嵌入式系統(tǒng)是一種以應(yīng)用為中心，以計(jì)算機(jī)技術(shù)為基礎(chǔ)，軟件硬件可裁剪，適應(yīng)系統(tǒng)對(duì)功能、可靠性、成本、體積、功耗嚴(yán)格要求的專用計(jì)算機(jī)系統(tǒng)［3－4］，單一地對(duì)其硬件或軟件做可靠性分析，總是不可避免地忽略兩者的關(guān)聯(lián)性故障。為此，本文依據(jù)國(guó)內(nèi)外軟件可靠性研究現(xiàn)狀，結(jié)合彈載嵌入式系統(tǒng)可靠性需求，提出一種適用于彈載嵌入式系統(tǒng)的軟硬件綜合失效模式影響分析方法。依托可靠性保障體系在整個(gè)軟件研制周期對(duì)軟件應(yīng)用軟硬件綜合FMEA方法，歸納總結(jié)了常見(jiàn)的失效模式。通過(guò)實(shí)例驗(yàn)證，軟硬件綜合FMEA的應(yīng)用有效地提高了軟件設(shè)計(jì)效率，節(jié)約了研發(fā)成本，提高了軟件安全可靠性。

1 軟硬件綜合FMEA可靠性分析方法概述

軟 硬 件綜 合 FMEA（software and hardware integrated FMEA，簡(jiǎn)記為S＆HFMEA）分析方法以系統(tǒng)軟件中每一個(gè)功能單元以及相關(guān)硬件可能出現(xiàn)的失效模式為基礎(chǔ)，以失效對(duì)系統(tǒng)的影響及失效后果危害度為中心，通過(guò)檢測(cè)分析失效模式，歸納推理出故障原因，提出改進(jìn)措施，從而提高系統(tǒng)可靠性。彈載嵌入式軟件作為軟硬件協(xié)同運(yùn)作的系統(tǒng)，其設(shè)計(jì)周期短、實(shí)時(shí)性要求高、軟硬件耦合度高、輸入復(fù)雜。針對(duì)彈載嵌入式軟件特點(diǎn)，為了全面高效地進(jìn)行可靠性分析，本文依托彈載嵌入式軟件可靠性保障五維體系在軟件全生命周期進(jìn)行軟硬件綜合FMEA，發(fā)現(xiàn)系統(tǒng)軟硬件潛在隱患，給出解決措施以提高軟件可靠性。下面具體介紹軟硬件綜合FMEA方法的幾個(gè)實(shí)施要點(diǎn)。

1．1 彈載嵌入式軟件可靠性保障體系

彈載嵌入式軟件開(kāi)發(fā)主要包括：需求獲取與策劃、軟件開(kāi)發(fā)、軟件配置項(xiàng)測(cè)試、軟件維護(hù)。為了更好地將軟硬件綜合FMEA技術(shù)應(yīng)用到軟件研制各個(gè)階段的工程實(shí)踐中，參照楊孟飛等［5］提出的基于可信要素的可信性保障五維體系結(jié)構(gòu)模型構(gòu)建彈載嵌入式軟件可靠性保障五維體系結(jié)構(gòu)模型，如圖1所示。圍繞此模型進(jìn)行可靠性分析：首先確定可靠性分析的對(duì)象或子對(duì)象；然后針對(duì)每個(gè)對(duì)象或子對(duì)象，利用相關(guān)工具和方法，依據(jù)相關(guān)度量標(biāo)準(zhǔn)對(duì)失效模式進(jìn)行分析［5－8］，發(fā)現(xiàn)系統(tǒng)缺陷并給出改進(jìn)措施；最后將分析結(jié)果物化成理論、方法或技術(shù)，形成案例集。

圖1 彈載嵌入式軟件可靠性保障五維體系結(jié)構(gòu)模型Fig．1 Five－dimensional architecture of missileborne embedded software reliability guarantee

1．2 彈載嵌入式軟件失效模式分類(lèi)

彈載嵌入式系統(tǒng)軟硬件協(xié)同完成一系列功能，軟件的失效模式與運(yùn)行剖面有著密切的聯(lián)系。通過(guò)對(duì)近年來(lái)產(chǎn)品軟件測(cè)試的分析研究可知，軟件研制的各個(gè)階段所涉及的工作內(nèi)容不同，可能發(fā)生的失效模式也不盡相同?，F(xiàn)歸納總結(jié)出10類(lèi)影響彈載嵌入式軟件可靠性的失效模式，并給出研制階段與失效模式的關(guān)系矩陣，如表1所示。

表1 研制階段與失效模式關(guān)系矩陣Tab．1 Development phase and failure mode relationship matrix

1．3 彈載嵌入式軟件危害性分級(jí)

軟件本身不具有危險(xiǎn)性，但是軟件輸出或處理安全關(guān)鍵指令、控制硬件動(dòng)作，由此造成的硬件誤動(dòng)作或失控都會(huì)引發(fā)危險(xiǎn)事件。依據(jù)軟件在系統(tǒng)危險(xiǎn)的產(chǎn)生、監(jiān)測(cè)、控制中的作用，以及相關(guān)危險(xiǎn)事件所引起的后果的嚴(yán)重程度來(lái)確定軟件的危害性等級(jí)和軟件安全關(guān)鍵等級(jí)，如表2所示［9－10］。

表2 彈載嵌入式軟件的危害性和安全關(guān)鍵等級(jí)Tab．2 Hazard and safety level of missileborne embedded software

1．4 彈載嵌入式軟件可靠性度量

軟件可靠性度量主要用于衡量軟件各種形態(tài)的可靠性，大致可分為兩類(lèi)：技術(shù)度量和管理度量。技術(shù)度量從技術(shù)角度給出軟件可靠性度量指標(biāo)，如可靠度、平均無(wú)故障工作時(shí)間、失效率、缺陷密度及失效數(shù)等。管理度量主要面向管理人員，評(píng)斷是否進(jìn)行可靠性活動(dòng)的指標(biāo)［7－8］［11］。根據(jù)失效率，給出失效模式發(fā)生可能性定義表，見(jiàn)表3。

表3 失效模式發(fā)生可能性定義Tab．3 Definition of failure mode occurrence possibility

根據(jù)故障模式發(fā)生的可能性和軟件危害等級(jí)確定關(guān)鍵故障模式范圍以及FMEA分析優(yōu)先級(jí)，形成關(guān)鍵故障模式與FMEA分析優(yōu)先級(jí)矩陣，如圖2。

圖2 關(guān)鍵故障與FMEA分析優(yōu)先級(jí)矩陣Fig．2 Key fault and FMEA analysis priority matrix

1．5 分析過(guò)程

1）確定分析對(duì)象。依托彈載嵌入式軟件可靠性保障五維體系結(jié)構(gòu)模型，在分析中首先假設(shè)只產(chǎn)生單一故障，不考慮兩個(gè)或兩個(gè)以上的故障同時(shí)發(fā)生；然后根據(jù)彈載嵌入式軟件的功能需求并綜合考慮系統(tǒng)約束條件、環(huán)境條件和軟硬件配置來(lái)確定分析任務(wù)剖面和分析對(duì)象。

2）確定分析的約定層級(jí)。結(jié)合嵌入式系統(tǒng)軟硬件功能需求對(duì)軟件進(jìn)行結(jié)構(gòu)分解，確定分析的約定層級(jí)，給出每個(gè)層級(jí)的輸入、輸出功能及環(huán)境要求［7－8］，進(jìn)而確定最小分析單元（一般選擇完成某一特定功能的模塊或相關(guān)元器件）。

3）分析失效模式及原因。在運(yùn)行過(guò)程中軟件缺陷被外界誘因觸發(fā)導(dǎo)致軟件失效，軟件失效的原因除了軟件本身存在有關(guān)缺陷之外，還與硬件失效引起軟件功能相關(guān)故障有關(guān)。進(jìn)行軟硬件綜合分析，找出所有可能的故障模式并分析其產(chǎn)生原因。

4）分析失效模式影響。分析每個(gè)假設(shè)故障對(duì)軟件運(yùn)行、功能或輸出所導(dǎo)致的后果，確定后果對(duì)各層級(jí)的影響。該軟件單元或元器件故障對(duì)嵌入式系統(tǒng)的影響層次分2層：

a）局部影響：對(duì)彈上計(jì)算機(jī)軟件所要完成功能的影響；

b）最終影響：對(duì)控制系統(tǒng)最終所要完成功能的影響；

5）分析失效模式危害性。根據(jù)失效模式對(duì)系統(tǒng)功能和安全性的影響對(duì)失效模式進(jìn)行危害性等級(jí)區(qū)分。結(jié)合圖2，由危害性等級(jí)以及失效模式概率確定失效模式分析優(yōu)先級(jí)和需要分析的關(guān)鍵件，從而對(duì)危險(xiǎn)事件、分析優(yōu)先級(jí)以及產(chǎn)生原因之間的聯(lián)系進(jìn)行分析。

6）分析各種失效模式可能造成的影響，給出改進(jìn)措施建議，形成完整的S＆HFMEA表。

2 軟硬件綜合FMEA在彈載嵌入式軟件中的實(shí)例應(yīng)用

本文選取的研究實(shí)例是彈上計(jì)算機(jī)實(shí)時(shí)系統(tǒng)軟件，采用自頂向下的結(jié)構(gòu)設(shè)計(jì)方法，根據(jù)功能劃分相關(guān)模塊。該軟件與硬件平臺(tái)一起完成相關(guān)需求功能，完成與各分系統(tǒng)設(shè)備的通信、發(fā)射前工作時(shí)序控制、飛行控制等。該系統(tǒng)軟件有較高的實(shí)時(shí)性要求?，F(xiàn)選取其中一個(gè)功能F1為研究對(duì)象，給出FMEA的實(shí)施過(guò)程。F1相關(guān)的功能框圖如圖3所示。

圖3 F1的功能框圖Fig．3 Functional block diagram of F1

通過(guò)對(duì)各模塊分析確定軟件的約定層次為：

1）初始約定層次：彈載嵌入式系統(tǒng)；

2）分析約定層次：模塊2；

3）最低約定層次：模塊2所調(diào)用的計(jì)算機(jī)軟件組件（computer software component，簡(jiǎn)記為CSC）（f1，f2，f3，f4……）以及相關(guān)元器件。

通過(guò)應(yīng)用上文給出的失效模式及影響分析方法，對(duì)該模塊進(jìn)行分析并填寫(xiě)S＆HFMEA工作表（如表4所示）。

在測(cè)試人員的共同努力下，最終完成對(duì)該軟件的軟硬件綜合FMEA。對(duì)該軟件進(jìn)行結(jié)構(gòu)分解，將4大功能模塊細(xì)分為24個(gè)功能子模塊，實(shí)施軟硬件綜合FMEA，形成24個(gè)分析表格，總結(jié)148個(gè)軟件失效模式。對(duì)分析結(jié)果進(jìn)行歸納總結(jié)，形成案例集，隨軟件版本更迭同步更新故障庫(kù)。

3 軟硬件綜合FMEA應(yīng)用結(jié)果分析

通過(guò)彈載嵌入式系統(tǒng)中軟硬件綜合FMEA的應(yīng)用，編碼人員對(duì)可靠性的意識(shí)得到了加強(qiáng)。隨著軟件版本的更迭，軟件可靠性進(jìn)一步增強(qiáng)。然而，由于彈載嵌入式軟件實(shí)體實(shí)驗(yàn)次數(shù)、硬件資源有限，彈載嵌入式軟件失效模型的參考數(shù)據(jù)不足，這些都給可靠性分析工作帶來(lái)很大的困難。

為了今后更好地進(jìn)行軟件可靠性保障工作，綜合考慮軟件失效模式危害等級(jí)、失效率、加強(qiáng)軟件可靠性措施成本等因素，對(duì)該彈載嵌入式軟件出現(xiàn)的可靠性薄弱環(huán)節(jié)進(jìn)行分析與總結(jié)，提出相應(yīng)的軟件改進(jìn)建議，形成案例集和故障庫(kù)。通過(guò)實(shí)例應(yīng)用，可以發(fā)現(xiàn)該彈載嵌入式軟件存在關(guān)鍵變量、內(nèi)存使用、時(shí)序性問(wèn)題等可靠性薄弱環(huán)節(jié)。下面對(duì)這些薄弱環(huán)節(jié)進(jìn)行總結(jié)并提出相應(yīng)改進(jìn)措施。

3．1 關(guān)鍵變量分析

彈載嵌入式軟件中應(yīng)用的數(shù)據(jù)種類(lèi)繁多，盡管各項(xiàng)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)定義有著嚴(yán)格要求，但仍存在由于關(guān)鍵變量考慮不全面、中間變量設(shè)置不當(dāng)、關(guān)鍵變量定義不明確、關(guān)鍵變量在耦合模塊間的應(yīng)用、變量計(jì)數(shù)步調(diào)不一致等問(wèn)題所導(dǎo)致的故障。

因此，在關(guān)鍵變量的使用過(guò)程中，設(shè)計(jì)人員要深刻理解任務(wù)書(shū)中變量的定義，明確定義關(guān)鍵變量。使用關(guān)鍵變量時(shí)要全面考慮各種情況，將關(guān)鍵指令變量在不同物理地址、不連續(xù)內(nèi)存地址中分別進(jìn)行定義，并且進(jìn)行狀態(tài)保護(hù)、野值剔除、限幅處理；表示二值的變量需考慮所有中間狀態(tài)，確保其處于安全狀態(tài)；在設(shè)計(jì)中注意變量的作用域和各種賦值，熟悉變量在流程中的變化和清零時(shí)機(jī)；對(duì)影響任務(wù)成敗的外部輸入關(guān)鍵指令，要進(jìn)行多次累計(jì)判斷，以避免異常數(shù)據(jù)導(dǎo)致誤操作的情況。建議今后在軟件設(shè)計(jì)時(shí)建立參數(shù)變量與控制程序分離存儲(chǔ)機(jī)制，減少軟件版本更迭次數(shù)，降低軟件耦合度。

3．2 內(nèi)存使用分析

彈載嵌入式軟件大多是基于物理模型的，其數(shù)據(jù)結(jié)構(gòu)復(fù)雜，多種數(shù)據(jù)結(jié)構(gòu)的使用導(dǎo)致內(nèi)存使用中存在很多與指針相關(guān)的運(yùn)行時(shí)錯(cuò)誤，如空指針引用、指針變量未初始化、非法地址訪問(wèn)、內(nèi)存泄露、堆棧溢出和重復(fù)釋放等故障。在可靠性分析過(guò)程中，經(jīng)常遇到由于軟件中斷重入和多任務(wù)中斷造成的共享資源沖突、緩存隊(duì)列未及時(shí)釋放、數(shù)組數(shù)據(jù)未更新、堆棧值替換導(dǎo)致數(shù)據(jù)重包、指針設(shè)置沖突等問(wèn)題。

因此，編寫(xiě)程序時(shí)應(yīng)全面考慮各個(gè)條件，嚴(yán)格遵照規(guī)則標(biāo)準(zhǔn)進(jìn)行代碼編寫(xiě)，保證代碼的整潔性。賦值時(shí)注意區(qū)分賦值類(lèi)型，對(duì)關(guān)鍵變量進(jìn)行寫(xiě)保護(hù)，局部變量聲明地址空間；簡(jiǎn)化數(shù)組，數(shù)組數(shù)據(jù)排序之前應(yīng)比較數(shù)據(jù)是否更新，避免使用全局指針變量、全局?jǐn)?shù)組；在高速通信處理信息時(shí)，盡量設(shè)置成非單信息，使用循環(huán)緩沖和命令字堆棧，避免兩條信息間隔很短時(shí)前面的信息被覆蓋。

3．3 時(shí)序性問(wèn)題分析

彈載嵌入式系統(tǒng)作為嵌入式實(shí)時(shí)系統(tǒng)，其內(nèi)部各個(gè)控制模塊通過(guò)串口、并口或總線采用中斷或查詢的方式進(jìn)行信息交互，要求在確定的時(shí)間內(nèi)對(duì)外部產(chǎn)生的事件響應(yīng)處理，有嚴(yán)格的實(shí)時(shí)性約束。因此對(duì)硬件的時(shí)序測(cè)試需要貫穿整個(gè)設(shè)計(jì)需求層面、詳細(xì)設(shè)計(jì)層面、電路板設(shè)計(jì)層面以及最后的布局布線后網(wǎng)表層面。

軟件方面，盡管相關(guān)文檔對(duì)實(shí)時(shí)性要求的描述幾近詳實(shí)，但是由于編碼人員的理解出入和具體實(shí)施的復(fù)雜及多變性，時(shí)序性失效模式時(shí)有發(fā)生。

因此，建議進(jìn)行全面的軟硬件接口可靠性設(shè)計(jì)分析，采用智能BIT故障檢測(cè)技術(shù)排除硬件接口潛在的故障模式，使軟件具備識(shí)別處理硬件故障的能力，增強(qiáng)軟件健壯性設(shè)計(jì)；綜合考慮各功能時(shí)序分配，減少嵌套的使用，增加時(shí)序冗余措施代碼等確保軟件時(shí)序性正確。

4 結(jié)束語(yǔ)

本文基于可靠性保障五維體系提出了一種軟硬件綜合FMEA方法，對(duì)軟硬件綜合FMEA的實(shí)施要點(diǎn)和過(guò)程進(jìn)行了描述，并通過(guò)在彈上計(jì)算機(jī)軟件中的應(yīng)用實(shí)例，給出了適合該軟件的失效模式分類(lèi)、失效原因及影響分析以及適用于彈載嵌入式軟件的軟件危害等級(jí)。結(jié)合相關(guān)軟件開(kāi)發(fā)經(jīng)驗(yàn)和該軟件分析結(jié)果總結(jié)出該軟件存在的可靠性薄弱環(huán)節(jié)，并給出了相應(yīng)的預(yù)防、糾正、解決措施，有利于提高該軟件可靠性。結(jié)果表明，本文提出的可靠性分析方法對(duì)提高軟件可靠性有一定的工程價(jià)值。