CN104461896A - 基于可信属性的航天系统关键软件评价方法 - Google Patents

Abstract

基于可信属性的航天系统关键软件评价方法，本方法通过建立不同层次、不同阶段的软件可信属性度量五边形，实现对软件可信属性的度量，然后由度量五边形构建度量驱动链，度量驱动链构建度量雷达图，度量雷达图综合反映了软件的可信程度，最后通过计算并比较雷达图中可信属性度量值连接的多边形的面积和可信属性要求值连接的多边形面积，评价软件能否用于航天关键系统中。本发明以航天软件中主要涉及的软件可信属性为度量基础，为全面度量航天软件的可信性提供了一种参考方法，可以作为软件能否使用于航天关键系统中的评价方法。

Description

基于可信属性的航天系统关键软件评价方法

技术领域

本发明涉及一种可信性的度量方法，特别是一种基于可信属性的航天系统关键软件评价方法。

背景技术

软件可信性是指软件系统的运行行为及其结果总是符合人们的预期，在受到干扰时仍能够提供连续服务的能力。在航空航天、军事应用等领域，提高软件可信性是保障关键任务成功完成的重要方法，而软件可信性的度量是验证软件是否可信的必要手段。

现阶段对软件可信性度量的方法主要有三类：第一类是基于测试数据的软件可信性度量，如北京航空航天大学的200910082587.4号专利“一种面向测试过程的软件可信性度量与评估方法”、天津大学的201010164611.1号专利“基于软件缺陷的软件可信性定量评估方法”，这类方法主要针对软件测试过程中的产品缺陷进行度量分析，难以从管理过程、用户、产品等多个层次以及设计、实现、测试等多个阶段进行可信性度量，而软件可信性体现在这些层次和阶段中。第二类是基于证据的软件可信性评估，如合肥工业大学的200910251702.6号专利“一种基于证据理论的不确定型软件可信性评估方法”、南京航空航天大学的201010612014.0号专利“支持定制证据模型与属性模型的软件可信评估实现方法”，这类方法没有区分可信属性的主、客观差异，比较适用于软件可信性中主观属性的度量。第三类是基于统计理论的软件可信性度量，如南开大学的201010241546.8号专利“一种基于贝叶斯网络的网构软件可信性评估模型”、北京邮电大学的201110061270.8号专利“一种基于数据挖掘的软件可信性度量与评估方法”，这类方法只有在统计数据量充足的情况下才实用。

发明内容

本发明解决的技术问题是：克服现有技术的不足，提供了一种可以从不同层次、不同阶段考察软件的可信属性，并可以直观分析度量结果的软件可信性评价方法。

本发明的技术解决方案是：基于可信属性的航天系统关键软件评价方法，包括如下步骤：

(1)获取软件可信性度量需要的可信属性并分类，所述可信属性包括技术完备性、可测性、可靠性、安全性、复杂性、可恢复性、评审有效性、可用性、可维护性、保密性，并将技术完备性、可测性、可靠性、安全性、复杂性、可恢复性作为客观可信属性，将评审有效性、可用性、可维护性、保密性作为主观可信属性；

(2)将技术性能度模块复用率作为技术完备性的度量元，并计算技术完备性度量值e₁+e₂，其中n(u)为满足的功能需求点数，n(k)为总功能点数，n(r)为可复用部件数目，n(m)为软件的总部件数；

将传播概率 $e_3=\left\{\begin{array}{c}\underset{i=1}{\overset{n}{\mathrm{\Π}}}{I}_i\\ 0\end{array}\right.,$ 传染概率 $e_4=\frac{1}{N}(\underset{i=1}{\overset{\mathrm{op}}{\mathrm{\Σ}}}{l}_{\mathrm{opri}}+\underset{j=1}{\overset{\mathrm{od}}{\mathrm{\Σ}}}{l}_{\mathrm{opdj}}),$ 执行概率 $e_5=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{k}{\mathrm{\Π}}}{E}_j$ 作为可测性的度量元，计算可测性度量值e₃*e₄*e₅，其中，n为故障经过的语句数，I_i为故障传播路径上的传染概率，N为所有操作数和操作符的个数，op为操作符的个数，od为操作数的个数，l_opri和l_opdj分别为操作符和操作数的传染率，E_j为执行路径i的一条边j的访问概率；

将失效强度e₆＝λ₀exp(-θu)作为可靠性的度量元，计算可靠性度量值exp(-e₆t)，其中，t为运行时间，λ₀为开始执行的初始失效强度，u为给定时间点上的平均或预期发生的失效数，θ为失效强度延迟参数；

将最小割集作为安全性的度量元，计算安全性度量值为 $~p(e_{7_1}\∪e_{7_2}\∪e_{7_3},,,\∪e_{7_n});$

将结构复杂度 $e_8=\frac{\mathrm{\Σ}{f}^2\left(i\right)}{n},$ 数据复杂度 $e_9=\frac{\mathrm{\Σ}{d}^2\left(i\right)}{n},d\left(i\right)=\frac{\mathrm{Vs}\left(i\right)}{f\left(i\right)+1}$ 作为复杂性的度量元，计算复杂性度量值～(e₈+e₉)，其中，f(i)为软件模块i的扇出，n为软件的模块数，d(i)为模块i的数据复杂度，Vs(i)为模块i的变量数；

将恢复时间目标RTO e₁₀、恢复点目标RPO e₁₁作为可恢复性的度量元，计算可恢复性度量值～(e₁₀+e₁₁)；所述度量元是度量和计算可信属性的最小单元；

(3)根据评价等级选择法和各个主观可信属性的度量元，分别确定各个主观可信属性对应各自度量元的评价等级，将评价等级定量化得到各个主观可信属性的评价等级数值向量，使用德尔菲法得到各个主观可信属性度量元到评价等级数值向量的模糊矩阵

$R=\left[\begin{array}{cccc}{r}_{11}& r_{1m}& \·\·\·& r_{1m}\\ r_{21}& r_{2m}& \·\·\·& r_{2m}\\ r_{31}& r_{3m}& \·\·\·& r_{3m}\\ \·\·\·& & & \\ r_{n1}& r_{\mathrm{nm}}& \·\·\·& r_{\mathrm{nm}}\end{array}\right]$

其中，r_nm表示某个主观可信属性的第n个度量元对该主观可信属性评价等级集合中第m个评价等级的隶属度；

根据各个主观可信属性的度量元的优先级分别得到各个主观可信属性的度量元的权重向量W(W₁,W₂,W₃,,,W_n)，然后分别计算得到各个主观可信属性的模糊评价模型B＝WοR＝(b₁,b₂,b₃,,,b_m)，最后对各个主观可信属性评价等级进行定量化处理，得到评价等级的数值向量L＝(l₁,l₂,l₃,,,l_m)，按照

$A=\frac{1}{{\mathrm{\Σ}}_{i=1}^m{b}_i}{\mathrm{BL}}^T$

计算得到主观可信属性的具体值，其中，n为某个主观可信属性的度量元个数，m为某个主观可信属性的评价等级集合中评价等级个数；

(4)获取各个可信属性的优先级并根据各个可信属性的优先级构造一条基于各个可信属性的度量驱动链，然后使用得到的度量驱动链构建成度量雷达图；

(5)计算由各个可信属性度量值连接的多边形的面积SA1，然后以雷达图的中心为圆心，各个可信属性要求值到圆心的距离为半径，作经过可信属性要求值的切线，得到的各条切线形成可信属性要求值形成的多边形，计算该多边形的面积SA2，判断SA1与SA2的大小；

(6)如果SA1>SA2且各个可信属性度量值均大于对应属性的要求值，则该软件可用于航天关键系统，否则该软件不可用于航天关键系统中。

本发明与现有技术相比的优点在于：

(1)传统方法考察软件可信性通常只关注软件产品本身的一些特性，本发明方法从管理角度、用户角度、产品角度三个层次以及分析、设计、实现、测试不同阶段全面度量评价软件的可信性；

(2)本发明方法基于软件的可信属性构建了主观度量五边形和客观度量五边形，并利用模糊数学将两种度量结果统一起来，按驱动规则将度量五边形组成度量驱动链，最后构成可信性度量雷达图，从而可以反映软件可信属性的整体度量情况；

(3)由于目前我国使用的航天关键系统的软件多数借鉴航空机载软件安全性评价准则，只是在安全性、可靠性等方面说明软件是否可用，无法作为软件可信的全面度量，本发明方法解决了该问题，可作为软件能否使用于航天关键系统中的评价方法。

附图说明

图1为本发明技术方案流程图；

图2为本发明不同层次、不同阶段的软件可信性度量示意图；

图3为本发明基于软件可信属性的客观度量、主观度量五边形；

图4为本发明度量驱动链；

图5为本发明可信属性的度量雷达图。

具体实施方式

为了达到上述目的，本发明的技术流程如图1所示，具体实施方式如下：

(1)根据航天软件可信性度量需求确定需要度量的可信属性。软件的可信性是由一系列的可信属性组成的，可信属性可以从质量和阶段两个维度来综合衡量，如图2所示。

在质量维度，分为管理层、用户层和产品层三个层次，可以从这三个层次度量软件的可信性，管理层从管理视角出发，关心软件开发的过程，体现了软件过程质量属性，是过程的度量，例如是否按计划组织可信性评审活动，可信性技术是否完备等；用户层从用户视角出发，关心用户的满意程度，体现了软件使用质量属性，强调的是用户的认同，例如软件的可用性，操作的便捷性；产品层从产品视角出发，关心产品自身具有的性质，体现了产品的内部质量属性和外部质量属性，是产品属性的度量，例如软件的复杂度，可靠性。

在阶段维度，从软件的生命周期角度度量软件的可信性，将软件可信属性和活动分为分析、设计、实现、测试、运行维护五个阶段。

航天软件可信性度量需求可能是包括不同层次，不同阶段软件可信属性的全面度量，也可能是只考查某个层次或某个阶段的可信属性。结合实例对本步骤(1)做进一步说明：

为了全面考察航天软件的可信性，从管理层、用户层和产品层三个层次以及软件的不同阶段全面进行度量，不同阶段在步骤(2)的度量五边形中可以体现。表1从不同层次给出了航天软件涉及的一些可信属性。

表1航天软件不同层次的一些可信属性

由表1可以确定需要度量的可信属性，根据需求，假设需要度量的可信属性如下：

管理层：技术完备性、评审有效性

用户层：可用性、可测性、可维护性

产品层：可靠性、安全性、保密性、复杂性、可恢复性

(2)建立基于软件可信属性的度量五边形。

在步骤(1)根据度量目标确定软件可信属性的基础上，判断可信属性为主观属性还是客观属性，然后建立基于可信属性的度量五边形G，度量五边形根据可信属性分为两种类型，客观度量五边形G_o和主观度量五边形G_s，这两种类型均由一个五元组组成。

客观度量五边形的五元组为G_o＝{可信属性A、度量约束C、度量工具T、度量方法M、度量阶段P}，如图3的左图所示，其中：

可信属性A(Attribute)：可以描述和评价软件某一方面可信性的特征量，软件的可信性是由一系列的可信属性组成。可信属性A又由一系列的度量元e组成A＝F(e₁,e₂,e₃,,,)，度量元是进行软件度量和计算的最小单元。度量元根据度量数据的获得方式分为基本度量元和派生度量元，基本度量元的数据可以直接测量，派生度量元的数据通常由几个基本度量元数据组合计算获得。

度量约束C(Constraints)：在执行可信属性度量过程中需要满足的约束条件，每个可信属性在给定的约束条件下是可以度量的。度量约束包括环境约束、操作约束、时间约束等方面。

度量工具T(Tool)：度量软件可信属性所使用的工具，度量工具是度量方法的客观载体，可信属性度量不是必须要使用度量工具，但权威的度量工具可以提高度量的自动化效率和客观性。

度量方法M(Method)：度量软件可信属性所采用的方法，可信属性和度量方法不是一一对应关系，同一可信属性在不同的度量约束、不同的度量阶段可能采用不同的度量方法。

度量阶段P(Phase)：软件可信属性中度量元测量和计算的阶段或周期。度量阶段反映了度量元数据采集的合适的时间点或时间段，度量阶段的选取会影响到度量元数据的准确性。

客观度量五边形以可信属性的定量度量为主，可信属性(如软件复杂性、可靠性)是由物理意义明确的度量元组成，度量元数据是数值形式。

主观度量五边形的五元组为G_s＝{可信属性A、度量约束C、评估专家S、度量方法M、度量阶段P}，与客观度量不同，主观度量以定性度量为主，可信属性(如软件可用性)的度量元具有模糊性，度量元数据通常是类似优、良、中、差的等级形式进行度量，难以用精确数值衡量，因此五元组中的度量工具T由评估专家S替代，如图3的右图所示。

由于客观度量五边形的可信属性、度量元是数值形式的，主观度量五边形的可信属性、度量元是等级形式的(非数值形式)，两种度量结果的形式不同，需要统一起来才能进行不同可信属性的综合度量分析，这里利用模糊数学将主观度量的可信属性进行定量化分析。

例如，某个主观度量的可信属性A包含的度量元集合为E＝{e₁,e₂,e₃,,,e_n}，定性度量的评价等级集合为V＝{v₁,v₂,v₃,,,v_m}，如果用r_ij表示第i个度量元对第j个评价等级的隶属度，则可以确定一个从E到V的模糊关系R，这个模糊关系的隶属度函数是一个n*m的模糊关系矩阵：

$R=\left[\begin{array}{cccc}{r}_{11}& r_{1m}& \·\·\·& r_{1m}\\ r_{21}& r_{2m}& \·\·\·& r_{2m}\\ r_{31}& r_{3m}& \·\·\·& r_{3m}\\ \·\·\·& & & \\ r_{n1}& r_{\mathrm{nm}}& \·\·\·& r_{\mathrm{nm}}\end{array}\right]$

其中0≤r_ij＝u_R(e_i,e_i)≤1,i＝1,2,3,,,m。

考虑到专家对各种度量元的重视程度可能不同，确定各度量元的权重，记作W(W₁,W₂,W₃,,,W_n),可以得到考虑度量元权重的可信属性模糊评价模型B，B＝WοR＝(b₁,b₂,b₃,,,b_m)，ο为模糊运算符。由于模型B具有模糊性，对评价等级进行定量化处理(如采用百分制计分方式)，得到评价等级的数值向量L＝(l₁,l₂,l₃,,,l_m)，从而可以计算出主观度量的可信属性的数值形式：

$A=\frac{1}{{\mathrm{\Σ}}_{i=1}^m{b}_i}{\mathrm{BL}}^T=\frac{{\mathrm{\Σ}}_{i=1}^m{b}_i{l}_i}{{\mathrm{\Σ}}_{i=1}^m{b}_i}$

结合步骤(1)中实例进行进一步说明，

(2.1)判断可信属性为客观、主观属性，如果可信属性的度量元能够按照实用的方法测量或计算得到具体值，则该可信属性为客观属性，否则为主观属性。经过上述准则判断得到：

客观属性为包括技术完备性、可测性、可靠性、安全性、复杂性、可恢复性。

主观属性为包括评审有效性、可用性、可维护性、保密性。

(2.2)建立客观度量五边形

步骤(2.1)中需要度量的客观属性共6个，下面分别说明建立客观度量五边形的过程。

(2.2.1)测量和计算度量元

(2.2.1.1)技术完备性

基于软件技术完备性的度量五元组为：

可信属性A：技术完备性

度量约束C：软件功能需求和技术性能需求确定

度量工具T：无

度量方法M：功能点估算法

度量阶段P：系统分析阶段

其中，功能点估算法可参见文献“郭英君,曾一,程全良,等.一种软件过程质量的度量方法[J].计算机工程与应用,2010,46(9):227-230”。

基于功能点估算方法，软件技术完备性的度量元为：e¹技术性能度，e²模块复用率；

$e_1=\frac{n\left(u\right)}{n\left(k\right)}$

$e_2=\frac{n\left(r\right)}{n\left(m\right)}$

其中，n(u)为满足用户的功能和技术性能需求的功能点数，n(k)为总功能点数，n(r)为可复用部件数目，n(m)为软件的总模块数。

(2.2.1.2)可测性

基于软件可测性的度量五元组为：

可信属性A：可测性

度量约束C：较大的测试样本空间

度量工具T：PISCES工具

度量方法M：PIE(Propagation,Infection and Execution)分析技术

度量阶段P：设计与测试阶段

其中，PIE技术分析方法可参见文献“张丽娜.嵌入式软件的可测试性研究[D].内蒙古大学,2012”。

基于PIE技术分析方法，软件可测性的度量元为：e₃传播概率，e₄传染概率，e₅执行概率；

$e_3=\left\{\begin{array}{c}\underset{i=1}{\overset{n}{\mathrm{\Π}}}{I}_i\\ 0\end{array}\right.$

$e_4=\frac{1}{N}(\underset{i=1}{\overset{\mathrm{op}}{\mathrm{\Σ}}}{l}_{\mathrm{opri}}+\underset{j=1}{\overset{\mathrm{od}}{\mathrm{\Σ}}}{l}_{\mathrm{opdj}})$

$e_5=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{k}{\mathrm{\Π}}}{E}_j$

其中，n为故障经过的语句数，I_i为故障传播路径上的传染概率；N为所有操作数和操作符的个数，op为操作符的个数，od为操作数的个数，l_opri和l_opdj分别为操作符和操作数的传染率；E_pi为路径i的执行概率；E_j为执行路径i的一条边j的访问概率。

(2.2.1.3)可靠性

基于软件可靠性的度量五元组为：

可信属性A：可靠性

度量约束C：失效数据可以获得

度量工具T：无

度量方法M：对数泊松模型失效强度估计法

度量阶段P：测试阶段、运行维护阶段

其中，对数泊松模型失效强度估计法可参见文献“GB_T 28171-2011嵌入式软件可靠性测试方法”。

基于对数泊松模型失效强度估计法，软件可靠性的度量元为：e₆失效强度；

e₆＝λ₀exp(-θu)

其中，t为运行时间，λ₀为开始执行的初始失效强度；u为给定时间点上的平均或预期发生的失效数，θ为失效强度延迟参数。λ₀、θ可以在软件系统测试阶段，通过收集失效的数据进行估计。

(2.2.1.4)安全性

基于软件安全性的度量五元组为：

可信属性A：安全性

度量约束C：故障树中基本事件独立且已知发生概率

度量工具T：SFTA工具

度量方法M：软件故障树分析方法

度量阶段P：设计与实现阶段

其中，软件故障树分析方法可参见文献“Leveson N G,Harvey P R.Software fault tree analysis[J].Journal of Systems and Software,1983,3(2):173-181”。

基于软件故障树分析方法，软件安全性的度量元为：最小割集。

(2.2.1.5)复杂性

基于软件复杂性的度量五元组为：

可信属性A：复杂性

度量约束C：可获得软件源码

度量工具T：无

度量方法M：信息流度量方法

度量阶段P：测试阶段

其中，信息流度量方法可参见参考文献“褚彦明.(2008).软件可靠性中的复杂度评估[D](Doctoral dissertation，上海:上海大学)”。

基于信息流度量方法，软件复杂性的度量元为：e₈结构复杂度，e₉数据复杂度；

$e_8=\frac{\mathrm{\Σ}{f}^2\left(i\right)}{n}$

$e_9=\frac{\mathrm{\Σ}{d}^2\left(i\right)}{n},d\left(i\right)=\frac{\mathrm{Vs}\left(i\right)}{f\left(i\right)+1}$

其中，f(i)为软件模块i的扇出；n为软件的模块数；d(i)为模块i的数据复杂度；Vs(i)为模块i的变量数。

(2.2.1.6)可恢复性

基于软件可恢复性的度量五元组为：

可信属性A：可恢复性

度量约束C：适用于数据恢复

度量工具T：无

度量方法M：检查点还原技术

度量阶段P：运行维护阶段

其中，检查点还原技术可参见参考文献“Schulman R R.Disaster recoveryissues and solutions[J].Hitachi Data Systems White paper,2004”。

基于软件检查点还原技术，软件可恢复性的度量元为：e₁₀恢复时间目标RTO，e₁₁恢复点目标RPO。

(2.2.2)计算客观可信属性

(2.2.2.1)技术完备性

功能点估算方法中，软件的技术完备性是技术性能度和模块复用率两者综合的结果e₁+e₂

(2.2.2.2)可测性

PIE技术分析方法中，软件的可测性是传播概率、传染概率和执行概率综合的结果e₃*e₄*e₅

(2.2.2.3)可靠性

软件的可靠性与失效强度之间的关系为exp(-e₆t)

(2.2.2.4)安全性

软件的顶事件T发生的概率与最小割集之间的关系为

一般假定顶事件为故障，顶事件的发生会降低软件的可信性，因此，软件的安全性与顶事件发生概率的关系为：A＝～p(T)，公式中～为取反操作。

(2.2.2.5)复杂性

软件的复杂性可表示为～(e₈+e₉)

信息流度量方法中，软件复杂性是结构复杂性和数据复杂性综合的结果，高复杂性会降低软件的可信性，因此，上述公式中～为取反操作。

(2.2.2.6)可恢复性

软件的RTO是反映系统恢复及时性的指标，RPO是反映恢复数据完整性的指标，RTO和RPO越小，说明软件的可恢复性越强，因此，软件的可恢复性与RTO和RPO的可表示为～(e₁₀+e₁₁)。

(2.3)建立主观度量五边形

上述需要度量的主观属性共4个，采用的度量方法均为评价等级选择法，下面分别说明建立主观度量五边形的过程。

(2.3.1)确定度量元和评价等级

基于软件评审有效性的度量五元组为：

可信属性A：评审有效性

度量约束C：评估专家不参与被评估软件的研制

评估专家S：行业领域内专家

度量方法M：评价等级选择法

度量阶段P：全周期

根据软件评审有效性的含义，选取的度量元为：e₁₂评审过程合理性，e₁₃评审发现问题有效性；

基于软件可用性的度量五元组为：

可信属性A：可用性

度量约束C：评估专家不参与被评估软件的研制

评估专家S：软件资深用户

度量方法M：评价等级选择法

度量阶段P：运行维护阶段

其中，软件有效性度量可参见文献“ISO 9241-11软件可用性”。

根据软件可用性的含义，选取的度量元为：e₁₄有效性，e₁₅效率，e₁₆满意度；

基于软件可维护性的度量五元组为：

可信属性A：可维护性

度量约束C：评估专家不参与被评估软件的研制

评估专家S：软件用户和运维人员

度量方法M：评价等级选择法

度量阶段P：运行维护阶段

其中软件可维护性度量可参见文献“王军.(2010).计算机软件可维护性方法研究[J].软件导刊,(7)”。

根据软件可维护性的含义，选取的度量元为：e₁₇正常服务能力，e₁₈环境适应能力；

基于软件保密性的度量五元组为：

可信属性A：保密性

度量约束C：评估专家不参与被评估软件的研制

评估专家S：行业领域专家和保密专员

度量方法M：评价等级选择法

度量阶段P：运行维护阶段

其中软件保密性度量可参见文献“葛琳.可信软件开发框架下的出具证明编译研究[D].中国科学技术大学,2007”。

根据软件保密性的含义，选取的度量元为：e₁₉信息保密性，e₂₀信息完整性，e₂₁信息可用性，e₂₂信息真实性；

上述四个主观属性采用的度量方法均是基于评价等级选择方法，定性度量的评价等级选取为：v₁-优，v₂-良，v₃-中，v₄-差。

四个主观属性的模糊关系矩阵和定量化处理过程相同，这里以软件可用性为例说明，则软件可用性的度量元到评价等级的模糊关系矩阵为：

$R=\left[\begin{array}{cccc}0.30& 0.54& 0.10& 0.06\\ 0.28& 0.51& 0.13& 0.08\\ 0.19& 0.42& 0.25& 0.14\end{array}\right]$

模糊关系矩阵中的隶属度可以通过德尔菲法确定，其中确定软件可用性的度量元到评价等级的模糊关系矩阵的德尔菲法可参见文献“申利民,宋新星,王俊飞.软件柔点操控难度度量的过程研究[J].小型微型计算机系统,2014,35(1).”。

如果评估专家对软件可用性的三个度量元重视程度相同，即三个度量元的权重相等，W(0.33,0.33,0.33)，从而可以确定可信属性模糊评价模型B，B＝WοR＝(0.099,0.1782,0.0825,0.0462)，ο为模糊运算符，采用的计算方法为b_j＝max(w₁r_1j,w₂r_2j,w₃r_3j,,,w_nr_nj)。

(2.3.2)主观度量的可信属性定量化

主观度量的可信属性定量化首先需要对评价等级进行定量化处理，这里假设评价等级采用百分制方式，即90≤v₁≤100，80≤v₁≤90，70≤v₁≤80，40≤v₁≤70，，得到评价等级的数值向量L＝(95,85,75,55)，从而可以计算出软件可用性的数值形式：

$A=\frac{1}{{\mathrm{\Σ}}_{i=1}^4{b}_i}{\mathrm{BL}}^T=81.99$

(3)度量五边形构建度量驱动链。

步骤(2)建立的软件可信属性度量五边形，无论是主观度量五边形还是客观度量五边形均是针对某个可信属性的单独度量，无法反映各个度量五边形之间的关系，步骤(3)在步骤(2)度量五边形基础上按一定的驱动规则将度量五边形构建度量驱动链，度量驱动链将独立的度量五边形链接成一个整体，可以反映软件各个可信属性之间的关系。

步骤(1)中确定了软件需要度量的可信属性，可信属性间的度量驱动链可以由一个五元组表示D＝(Da,Dc,Di,Dr,De)。

Da：基于可信属性的度量五边形集合，包含了进行一次软件可信性度量活动所需要的度量五边形集合。

Dc：驱动条件集合，从一个度量五边形到另一个度量五边形的触发条件集合。

Di：初始的度量五边形，Di∈Da，一次软件可信性度量活动中首先考虑的度量五边形，该五边形处于度量驱动链的首部。

Dr：驱动规则，从当前度量五边形到下一个度量五边形的驱动规则，即从(Da-De)*Dc到Da的转换函数。驱动规则的选择要从软件可信性度量实际需求出发，可以按软件可信属性的优先级来确定，也可以按不同阶段或特定事件确定，或者由这几种因素的综合考虑而定。

De：终止的度量五边形，一次软件可信性度量活动中最后考虑的度量五边形，处于度量驱动链的尾部。

上述五元组中各个元素确定后，就可以构建由一系列度量五边形组成的度量驱动链，如图4所示。度量驱动链越长，说明软件度量的可信属性越多。

结合步骤(1)和步骤(2)中的实例进一步说明，

(3.1)确定度量驱动链的驱动规则

可信属性间的度量驱动链可以由一个五元组表示D＝(Da,Dc,Di,Dr,De)，其中最核心的元素为驱动规则Dr。假设软件可信性的需求是在满足层次优先级的情况下满足属性优先级，即首先满足用户层的可信属性，接着满足产品层的可信属性，最后满足管理层的可信属性，而且每一层的可信属性按优先级在该层排序，由此可以确定驱动规则为：用户层中优先级高的可信属性→用户层中优先级低的可信属性→产品层中优先级高的可信属性→产品层中优先级低的可信属性→管理层中优先级高的可信属性→管理层中优先级低的可信属性。

(3.2)形成度量驱动链

根据步骤(1)、(2)可知，五元组中Da为10个给定可信属性的度量五边形集合，驱动条件Dc为上一个优先级的可信属性已度量且可信，假设度量需求中，最高优先级的可信属性是软件的可用性，最低优先级的可信属性是技术完备性，则Di为软件可用性的度量五边形，De为技术完备性的度量五边形，根据上述驱动规则，形成一条基于软件可信属性的度量驱动链：{可用性度量五边形→可测性度量五边形→可维护性度量五边形→可靠性度量五边形→安全性度量五边形→保密性度量五边形→复杂性度量五边形→可恢复性度量五边形→评审有效性度量五边形→技术完备性度量五边形}。如图4所示。

(4)度量驱动链构建度量雷达图，综合分析度量结果。

为了更好反映度量驱动链中可信属性对软件可信性的综合影响结果，将步骤(3)形成的度量驱动链构建成度量雷达图，如图5所示。度量雷达图中包含了步骤(3)中每个可信属性的度量值和要求值，如果某个可信属性的度量值低于要求值，说明软件在该属性方面并不可信。度量雷达图既可以反映软件每个可信属性的可信程度，又可以反映软件可信性的整体情况。

结合步骤(1)、步骤(2)和步骤(3)中的实例进一步说明，

(4.1)构建度量雷达图

前面三个步骤按不同层次获得主、客观度量五边形的可信属性度量值，并按驱动规则形成度量驱动链，为了综合分析软件的可信性，将上述三个步骤的结果构建成度量雷达图，如图5所示。

(4.2)分析度量结果

基于可信属性的度量雷达图构建后，可以直观地分析度量结果，雷达图标明了本次度量活动的所有可信属性及其度量值和要求值，图中各个可信属性度量值用实线连接起来形成一个多边形，从直观上分析，这个多边形面积越大，说明软件的可信性就越高，多边形越规则，说明各个可信属性对软件的影响差异越小。从数值上分析，如果可信属性的度量值高于可信属性的要求值(图中度量值用点划线标出，要求值用虚线标出)，说明软件在该属性方面是可信的。

航天系统关键软件要求软件具有高可信性，需要确保软件可信属性全部满足给定的要求值，而现阶段我国的航天器软件系统多借鉴DO-178B标准，该标准是航空机载软件安全性评价准则，适用于软件可信属性中的安全性评价，无法评价软件的多个可信属性，而采用本发明中提到的方法可作为软件能否使用于航天关键系统中的评价准则。具体评价方法如下：

(4.2.1)计算由可信属性度量值连接的多边形的面积SA1；

(4.2.2)以雷达图的中心为圆心，可信属性要求值到圆心的距离为半径，作经过可信属性要求值的切线；

(4.2.3)上述各条切线形成可信属性要求值所组成的多边形，计算该多边形的面积SA2；

(4.2.4)如果SA1>SA2，且每个可信属性的度量值均大于该属性的要求值，则该软件可使用于航天关键系统中，否则，该软件不可使用于航天关键系统中。

按照上述四个步骤，即可实现基于可信属性的航天系统关键软件评价方法，该方法可以从不同层次、不同阶段考察软件的可信属性，并形成度量五边形和度量驱动链，构建出度量雷达图，可以直观分析度量结果，为软件可信性的全面度量提供了一种实用方法。

本发明不同于现有技术方法，是以软件可信属性为基础，将不同层次、不同阶段的可信属性通过主观和客观度量五边形进行分析，并形成度量驱动链和度量雷达图，为软件可信性的全面度量提供了一种有效手段。

本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。

Claims (1)

1.基于可信属性的航天系统关键软件评价方法，其特征在于包括如下步骤：

(1)获取软件可信性度量需要的可信属性并分类，所述可信属性包括技术完备性、可测性、可靠性、安全性、复杂性、可恢复性、评审有效性、可用性、可维护性、保密性，并将技术完备性、可测性、可靠性、安全性、复杂性、可恢复性作为客观可信属性，将评审有效性、可用性、可维护性、保密性作为主观可信属性；

(2)将技术性能度模块复用率作为技术完备性的度量元，并计算技术完备性度量值e₁+e₂，其中n(u)为满足的功能需求点数，n(k)为总功能点数，n(r)为可复用部件数目，n(m)为软件的总部件数；

将传播概率 $e_3=\left\{\begin{array}{c}\underset{i=1}{\overset{n}{\mathrm{\Π}}}{I}_i\\ 0\end{array}\right.,$ 传染概率 $e_4=\frac{1}{N}(\underset{i=1}{\overset{\mathrm{op}}{\mathrm{\Σ}}}{l}_{\mathrm{opri}}+\underset{j=1}{\overset{\mathrm{od}}{\mathrm{\Σ}}}{l}_{\mathrm{opdj}}),$ 执行概率 $e_5=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{k}{\mathrm{\Π}}}{E}_j$ 作为可测性的度量元，计算可测性度量值e₃*e₄*e₅，其中，n为故障经过的语句数，I_i为故障传播路径上的传染概率，N为所有操作数和操作符的个数，op为操作符的个数，od为操作数的个数，l_opri和l_opdj分别为操作符和操作数的传染率，E_j为执行路径i的一条边j的访问概率；

将失效强度作为可靠性的度量元，计算可靠性度量值exp(-e₆t)，其中，t为运行时间，λ₀为开始执行的初始失效强度，u为给定时间点上的平均或预期发生的失效数，为失效强度延迟参数；

将最小割集作为安全性的度量元，计算安全性度量值为 $~p(e_{7_1}\∪e_{7_2}\∪e_{7_3},,,\∪e_{7_n});$

将结构复杂度 $e_8=\frac{\mathrm{\Σ}{f}^2\left(i\right)}{n},$ 数据复杂度 $e_9=\frac{\mathrm{\Σ}{d}^2\left(i\right)}{n},d\left(i\right)=\frac{\mathrm{Vs}\left(i\right)}{f\left(i\right)+1}$ 作为复杂性的度量元，计算复杂性度量值～(e₈+e₉)，其中，f(i)为软件模块i的扇出，n为软件的模块数，d(i)为模块i的数据复杂度，Vs(i)为模块i的变量数；

将恢复时间目标RTO e₁₀、恢复点目标RPO e₁₁作为可恢复性的度量元，计算可恢复性度量值～(e₁₀+e₁₁)；所述度量元是度量和计算可信属性的最小单元；

(3)根据评价等级选择法和各个主观可信属性的度量元，分别确定各个主观可信属性对应各自度量元的评价等级，将评价等级定量化得到各个主观可信属性的评价等级数值向量，使用德尔菲法得到各个主观可信属性度量元到评价等级数值向量的模糊矩阵

$R=\left[\begin{array}{c}{r}_{11}{r}_{1m}\·\·\·r_{1m}\\ r_{21}{r}_{2m}\·\·\·r_{2m}\\ r_{31}{r}_{3m}\·\·\·r_{3m}\\ \·\·\·\\ r_{n1}{r}_{\mathrm{nm}}\·\·\·r_{\mathrm{nm}}\end{array}\right]$

其中，r_nm表示某个主观可信属性的第n个度量元对该主观可信属性评价等级集合中第m个评价等级的隶属度；

根据各个主观可信属性的度量元的优先级分别得到各个主观可信属性的度量元的权重向量W(W₁,W₂,W₃,,,W_n)，然后分别计算得到各个主观可信属性的模糊评价模型B＝WоR＝(b₁,b₂,b₃,,,b_m)，最后对各个主观可信属性评价等级进行定量化处理，得到评价等级的数值向量L＝(l₁,l₂,l₃,,,l_m)，按照

$A=\frac{1}{{\mathrm{\Σ}}_{i=1}^m{b}_i}{\mathrm{BL}}^T$

计算得到主观可信属性的具体值，其中，n为某个主观可信属性的度量元个数，m为某个主观可信属性的评价等级集合中评价等级个数；

(4)获取各个可信属性的优先级并根据各个可信属性的优先级构造一条基于各个可信属性的度量驱动链，然后使用得到的度量驱动链构建成度量雷达图；

(5)计算由各个可信属性度量值连接的多边形的面积SA1，然后以雷达图的中心为圆心，各个可信属性要求值到圆心的距离为半径，作经过可信属性要求值的切线，得到的各条切线形成可信属性要求值形成的多边形，计算该多边形的面积SA2，判断SA1与SA2的大小；

(6)如果SA1>SA2且各个可信属性度量值均大于对应属性的要求值，则该软件可用于航天关键系统，否则该软件不可用于航天关键系统中。