软件可靠性指标分配的故障树分析法

软件可靠性指标分配的故障树分析法 () ()自然科学版武汉大学学报 ()第 45 卷 第 5 期 145 15 B V o lN o B 1999 年 10 月 () . . . . . . 1999, 684, 686JW uh an U n ivN a tSc iE d O c t () 文章编号: 025329888 19990520684203 α 软件可靠性指标分配的故障树分析法 向剑文, 徐仁佐, 肖英柏 () 武汉大学 软件工程国家重点实验室, 武汉 430072 摘 要: 首先对目前已有的各种分配技术与方法的特点进行了探讨, 介绍了如何采用故障树技术求得导致系 统失效的功能模块的最小割集, 首次提出将故障树技术运用到可靠性的分配中, 创建了可靠性分配的故障树快速 分配模型并具体分析了其在软件可靠性指标分配中的应用 1 最后, 分析了这种技术的不足, 并对该方法可能的改 进进行了一些探讨 1 关 键 词:软件可靠性指标分配;故障树分析法; 最小割集; 故障树快速分配模型 中图分类号: 文献标识码: A 31. 5; 242. 2T P O 方法: 根据软件系统的危险性和复杂性将故障率分 配到各个模块中去, 过程比较简单, 缺点是危险性因 1 传统的可靠性指标分配技术 子的估计带有一定主观因素, 复杂性因子的确定往 2 往并不容易得到1 目前, 对于软件可靠性的分配已有许多成熟的 ) () 5 法: 是一 A H P A n a ly t ic H ie rach y P ro ce ss技术可以应用, 但是对于如何进行软件可靠性的分 种基于功能概图的分配方法, 它考虑了软件的开发 配, 相关的文献资料和各类技术报告不多见 1 下面 费用, 能保证软件的可靠性达到一定的要求, 可节约 简要列出已有的各种方法与技术的优缺点: 开发资源, 但是其算法比较复杂, 而且功能概图的确 ) 1快速分配法: 是借鉴功能类似的旧系统或旧 定也具有一定的主观性, 且功能概图的最后确定不 模块的可靠性数据进行可靠性分配, 该方法方便实 是在系统设计阶段就能完成的, 它需要多个反复才 用, 但需要有可借鉴的系统或模块的可靠性指标数 能最后确定, 但软件可靠性指标分配需要在设计阶 据, 对于新开发的软件系统, 如没有该参考数据, 则 3, 41 1 段完成本方法无法应用1 ) 2 等分法: 可用于顺序或并行执行的软件系 统, 优点是它非常简单, 但是它没有考虑各模块之间 2 故障树分析法 的不同属性, 如重要性, 复杂性等的不同, 只是单纯 的平均分配 1 对于那些需要精确分配各部件的可靠 () “故障树”是用以明产品哪些组 F au lt t ree 性指标的系统则无法采用 1 成部分的故障模式或外界事件或它们的组合将导致 ) 3基于故障率的分配方法: 先根据一种软件可 产品发生一种给定的故障模式的逻辑图 1“故障树 靠性模型对软件系统在交付时的故障率进行估计, () 分析”以下简称 是通过 F au lt T ree A n a ly sisF TA然后根据估计出的结果将故障率指标按一定的比例 对可能造成产品故障的硬件、软件、环境, 人为因素分配到各个模块中 1 但是估计和计算软件可靠性模 进行分析, 画出故障原因的各种可能组合方式和 5 型中各参数的值比较麻烦, 且不容易找到一种合适 () 或其发生概率的一种分析技术1 的软件可靠性模型 1 在运用故障树技术分析软件的可靠性时, 首先 ) 4基于危险因子和复杂性因子的可靠性分配 α 收稿日期: 1999206211 ( ) 国防科技预研跨行业基金资助项目9819. 4. 5. 1201. 基金项目:J JW ( ) 作者简介: 向剑文19752, 男, 硕士生, 现从事软件工程与软件可靠性工程的研究. 件, 应有一个故障树与之对应 1 故障树的具体做法 :能容忍的最大不可靠性为是: 根据程序中各条语句的逻辑关系, 分析顶事件的 F 1i ƒ( )()) ( F j = 1, 2, , n 1 ? Xj m 发生主要可能是哪些语句或模块所造成的, 并进一 如果最小割集中存在着交集, 即某个模块的 F j 步往下进行分析, 一直到某条语句或某个条件为止, (最后求出有 个值, 设为 , , , , = 1, 2, k y 1 y 2 y 3 y k k 即到达基本事件为止 1 这样根据各种原因的逻辑关 ) , m , 那么系就可以画出这个软件的故障树 1 )() 2 (F = m in y , y , y ,, y k X 1 2 3 j已给故障树, 若一个基本事件集中对应的事件 下面以某软件系统为例, 具体讨论此快速分配发生时, 顶事件也发生, 则称此基本事件集为该故障 模型的应用 1树的一个割集 1 故障树分析是从列举最小割集开 例: 该系统由 6 个模块组成, 分别设为 , ,X 1 X 2 始, 一个割集即导致系统失效的一个基本事件集, 最 , , , , 经过采用上述方法进行分析, 得一故 X 3 X 4 X 5 X 6 小割集是导致系统失效的最小的组元失效集合, 即 () 割集中不包括任何多余的组元, 也就是说如果将任 障树 见图 11 何一个事件从最小割集中取出那么该最小割集就不 再是割集 1 为了确定故障树的割集从顶向下的算 法, 从树的顶部事件开始, 并通过考虑每一较低层的 逻辑门来建立割集集合 1 在树的每一个低层扩展割 集集, 一直达到基本事件集为止 1 如果考虑的逻辑 门是 门, 那么所有的输入必须出现才能启动 A N D 该门, 这样在下一层通过所有输入来代替该门 1 如 考虑的门是 门, 那么所建立的割集分为数个割 O R 集, 并使每一个输入至门 1O R 对于一个软件系统, 特别是大型控制软件, 它都 是由很多个功能模块组成 1 软件要执行一定的任 务, 就需要调用一个或多个功能模块 1 而作者希望 图 1 故障树的例子 通过运用故障树技术把故障率指标分配到各个功能 模块中去, 因而在这种情况下, 可以以功能模块作为 利用故障树的分析方法, 可以求出此故障树的 底事件进行故障树分析 1 采取分而治之的办法, 在 所有最小割集, 分别计为 K 1 = {X 3 }, K 2 = {X 1 , X 2 },不同的层次上进行分析建树 1 此处的“底事件”是针 = {, , }, = {, , }, 因为 是 K 3 X 3 X 4 X 5 K 4 X 4 X 5 X 6 K 1 K 3对整个软件系统的模块结构而言的, 处于最下层的 的子集, 所以 K 3 可以删除, 最终得到的最小割集有模块均为底事件 1 3 个: {}, {, }, {, , }1X 3 X 1 X 2 X 4 X 5 X 6 在以功能模块作为底事件进行分析时, 同样地如果系统要求总的可靠性为 ?01999, 即其 R 0 也要选取一个系统不希望发生的事件作为顶事件,() 不可靠性为 ?010011 那么根据公式1, 有:F 一般以系统失效作为顶事件, 然后运用和前面类似 F 1ƒ1( ) F X ?= 01000 3的方法进行分析, 找出顶事件可能是由于哪些模块 3 3 所引起的, 并求出故障树的最小割集以进行可靠性 F 12 ƒ) (= 01018 3 F X = F X ? 1 3 3 指标的分配 1 F 1ƒ3 ( ) = = ?= 01069 3F X F X F X 4 5 6 3 3 可靠性指标分配的故障树快速分配模型即 各 模 块 所 能 允 许 的 最 大 不 可 靠 性 指 标 为 (0. 018 3, 0. 018 3, 0. 000 3, 0. 069 3, 0. 069 3, ) 0. 069 3, 它 们 相 应 的 软 件 可 靠 性 指 标 则 为: 首先提出一种简单、快速、直观实用的系统不可 (靠性指标分配的故障树快速分配模型 1 假设某软件 0. 981 7, 0. 981 7, 0. 999 7, 0. 930 7, 0. 930 7, ) , 总共有 个模产品所能允许的最大不可靠性为 0. 930 71 F n 从以上的分析可以看出, 利用故障树模型进行, 创建的快速分配模型具有直观、有效、简分配中去 可靠性分配, 非常直观、简单、有效 1 它既可以对大 单的特点, 并且通过图形演绎的方法, 表达了系统的 系统进行分析, 也可以对各子系统进行分析, 而且进 内部联系及其关键模块, 从而更为有效地指导用户 行故障树分析的过程也是一个对系统更深入认识的 有针对性地进行可靠性指标分配 1 过程, 它要求分析人员把握系统的内在联系, 弄清各 当然, 采用这种技术有它本身的不足和一定的种潜在因素对故障发生影响的途径和程度, 因此而 局限性, 如故障树分析法要求分析人员对软件结构 得到的故障概率分配数据也更具合理性 1 另外, 由 十分了解, 增加了分析的难度, 而且在软件可靠性指 于故障树分析法是一种图形演绎方法, 是故障事件 标分配中, 采用多种技术综合分析是十分有效的 1 在一定条件下的逻辑推理方法, 它可以围绕某些特 本文所提出的正是这样一种新的观点, 如何进一步 定的故障状态作层层深入的分析, 因而在清晰的故 深入分析可靠性分配的故障树分析法以及如何综合 其他技术方法有效地解决实际工程问题, 则是需要 障树图形下, 表达了系统的内在联系, 指出了功能模 进一步研究和探讨的方向 1 块与系统的关系, 容易找出系统的关键模块, 从而在 直观上有助于可靠性的分配 1 根据最小割集的定义和以上的分析, 可以得出 参考文献: 2. , 以下结论: 最小割集中所含的模块数越少, 则此最小 1 GU A N G X ic iSo f tw a re re liab ility a llo ca t io nFM EA ( ) [. Q u a l i ty and R e l iabi l i ty , 1994, 5: 182and F TA J 割集中的模块的可靠性要求相对越高 1 在上例中, ()由于最小割集所含模块数 < < , 所以马上 22 .K 1 K 2 K 4 C h 得出以下结论: 的可靠性要求最高, 为关键功能 X 3 2P rog ram C om p lex i ty M easu rem em t . 2 W A N G Zh en yu 模块, 而 , , 则可以相应地分配较小的软件 X 4 X 5 X 6 [. : M B e ijingN a t io na l D efence Indu st ry P ub lish ing 可靠性指标 1 () , 1998 1com p anyC h ZA H ED I F , A SH RA F I N 1So f tw a re re liab ility a llo ca2 3 1, , [ ] t io n ba sed o n st ruc tu reu t ilityp r ice and co st J , 1991, 4 I E E E T ransac t ions on S of tw a re E ng inee r ing 结束语 () 17 4: 3452356. . 2ZA H ED I FT h e ana ly t ic h ie ra rch y p ro ce ssA su rvey 4 软件可靠性的分配方法只是在近几年才逐渐发 [ . I n te rf aces ,o f th e m e tho d and it s app lica t io n s J 展起来的, 这些方法可能还存在着或多或少、程度不 () 1986, 16 4: 962108. 同的问题, 而且很多方法与软件可靠性的建模、预测 等有紧密关系, 因此软件可靠性的建模及预测技术 21 S of tw a re R e l iabi l i ty [. : H E Guo w e iM B e ijingN a2 5 的好坏直接影响到可靠性分配结果的优劣 1 本文所 1998 t io na l D efence Indu st ry P ub lish ing Com p any, 提出的软件可靠性指标分配的故障树分析法是一种 () 1C h 全新的思路, 首先提出把故障树技术运用到可靠性 Fault Tree Ana ly s is of Sof tware Re l iab il ity A lloca t ion X IA NG J ian - wen , XU Ren - zuo, X IAO Y in g- ba i (), , 430072, T h e S ta te Key L abo ra to ry o f So f tw a re E ng inee r ingW uh an U n ive r sityW uh an C h ina A bstra c t: T h e ex ist in g m e tho d s o f so f tw a re re liab ility a llo ca t io n is d iscu ssed, T h e fau lt t ree an a ly sis . an d it s app lica t io n s fo r so f tw a re re liab ility a llo ca t io n a re in t ro du cedA n ew fau lt t ree b a sed fa st a llo ca t io n , . m o de l w a s e stab lish edit s app lica t io n in th e so f tw a re re liab ility a llo ca t io n co n c re te ly w e re an a lyzedF in a l2 , .lyth e def ic ien cy o f th is m e tho d an d it s p ro b ab le im p ro vem en t w e re d iscu ssed : ; ; ;Key word sso f tw a re re liab ility a llo ca t io nfau lt t ree an a ly sisfau lt t ree b a sed fa st a llo ca t io n m o de l m in im a l cu t se t