CN105630494B

CN105630494B - 一种可靠性分析系统

Info

Publication number: CN105630494B
Application number: CN201510973291.7A
Authority: CN
Inventors: 王丹华
Original assignee: Nanjing Institute of Technology
Current assignee: Nanjing Qinglu Network Technology Co., Ltd.
Priority date: 2015-12-23
Filing date: 2015-12-23
Publication date: 2018-12-28
Anticipated expiration: 2035-12-23
Also published as: CN105630494A

Abstract

本发明涉及一种可靠性分析系统，包括外部客户端、接口服务器、模型创建服务器、分析服务器和改进服务器，外部客户端和接口服务器通过网络相连，接口服务器分别和其他三个服务器相连，模型创建服务器和分析服务器相连，分析服务器和改进服务器相连，接口服务器从客户端获取软件代码和可靠性要求，模型创建服务器根据该软件代码创建软件运行过程的模型，分析服务器分析模型最终生成故障树，改进服务器根据该故障树提出改进措施并返回给客户端。通过本发明的可靠性分析系统，可以对软件进行可靠性分析，从而提高软件的安全性、鲁棒性和可靠性。

Description

一种可靠性分析系统

【技术领域】

本发明涉及一种可靠性分析系统，属于计算机软件设计技术领域。

【背景技术】

过程是当前的一个流行词汇，它是一种思维方式，很多技术都是基于此思维方式，它反映出任务在实施过程中的资源分布、参与者的协同以及其他的过程要素。过程理论的基本内容是：实现某特定目标的过程是已定义的构建模型；质量、成本、进度的控制通过对整个过程的管理实现；过程可以也必须不断改进或优化。现代质量工程学曾专门指出，产品质量的改进来自于对产品生产过程的改进，而非仅仅是测试和校验。

计算机软件运行过程是一种特殊的过程，随着信息化技术对各行各业的渗透，各行各业对计算机软件的依赖性越来越大，软件运行过程的故障给社会带来的影响也越来越严重。在一些重要领域中，一旦软件运行过程发生故障，终止运行来进行维护是不现实的，尤其是一些安全苛求的系统，因此，软件运行过程的故障可能导致不可挽回的重大损失。然而计算机软件总是存在各种各样的缺陷和漏洞，任何机构和个人都无法确保软件运行过程一定没有问题，因此，软件运行过程的可靠性已经成为当前软件工程设计的关键需求。

随着各行各业对可靠性要求的提高，可靠性分析技术已经渗透到我们工作和生活的方方面面，相关的可靠性分析技术被用来提高系统的可靠性。利用可靠性的工程技术手段能够快速、准确地确定系统或过程的薄弱环节，并给出改进措施和改进后对系统或过程可靠性的影响。因此，如何将可靠性分析技术应用于安全苛求系统，在系统运行前发现潜在的故障及其原因，从而避免事故的发生已经成为国内外共同关注的研究课题之一。然而，我国目前基本上仅将可靠性分析技术应用于系统的可靠性设计分析，很少用于过程的可靠性分析，导致过程可靠性存在明显缺陷：（1）过程的早期设计缺乏可靠性设计；（2）依靠预计而不是进行系统有效的可靠性技术分析；（3）对过程进行的可靠性分析多数为工程师依据经验及对过程理解的基础上进行的手工分析，局限性较大。

【发明内容】

本发明的目的在于：针对现有技术的缺陷和不足，提供了一种可靠性分析系统，该系统可以对软件进行可靠性分析，从而提高软件的安全性、鲁棒性和可靠性。

为实现上述目的，本发明采用的技术方案是：

本发明所述的一种可靠性分析系统，其特征在于：包括外部客户端、接口服务器、模型创建服务器、分析服务器和改进服务器，外部客户端和接口服务器通过网络相连，接口服务器分别和其他三个服务器相连，模型创建服务器和分析服务器相连，分析服务器和改进服务器相连，其中

所述的接口服务器从所述外部客户端接收软件代码以及可靠性级别N，并向后台的其余3个服务器发出消息，指示其对软件的运行过程进行可靠性分析，最后将分析结果返回给外部客户端；

所述的模型创建服务器从接口服务器接收软件代码，并使用Little-JIL语言为该软件的运行过程构建模型，在所述Little-JIL语言构建的模型中，用步骤描述软件的函数，用参数描述所述函数的输入或输出参数，用参数绑定和通道绑定来描述所述函数间的参数传递，用资源描述软件的数据资源和主体；

所述分析服务器使用FMEA方法分析所述模型，并将分析结果自动构建成影响树，所述分析服务器中还具有一个可靠影响树数据库，对于每一个可靠性级别，该数据库中保存了多个已知的满足该可靠性级别的可靠影响树，当所述分析服务器构造出所述影响树后，根据从接口服务器获取的软件可靠性级别查询该数据库，获取该数据库中满足该可靠性级别的所有可靠影响树，检测获取的每一个可靠影响树是否构成从模型构造出的影响树的子树，如果构成子树，则将影响树中的该子树简化成一个叶节点，然后再使用FTA方法根据简化后的影响树自动构建故障树，将故障模式作为故障树的顶事件；

所述改进服务器从接口服务器接收软件可靠性级别N，并从分析服务器接收构建的故障树，所述改进服务器从故障树中找出所有元素数目小于等于N的最小割集，对于每一个元素数目小于等于N的最小割集，改进服务器在其对应的故障树中加入一个或多个可靠性步骤。

在本发明中：所述的分析服务器通过构建影响树和故障树来对可靠性进行分析，分析如下：

（1）、影响树的第一层结点为模型的各个步骤，可以从模型中自动获得；

（2）、第二层结点对应各个步骤中潜在的故障模式，为每个函数即相应Little-JIL步骤定义与工件错误相关的故障模式，分为以下两种类型：

故障模式类型1: Artifact p to Step S is wrong，(p 为步骤S 的任一输入参数)；

故障模式类型2: Artifact p from Step S is wrong，(p 为步骤S 的任一输出参数)；

另外，步骤S 接口中申明的输入/输出参数，既被当作输入参数，同时也被当作输出参数，亦即每个输入/输出参数分别对应两个故障模式，通过遍历模型中所有步骤对应的接口可以得到所有的参数，即可自动生成模型各个步骤中潜在的故障模式；

（3）、第三层结点为各个故障模式对应的直接影响；

（4）、第三层以下每层结点均为其上层结点的直接影响，需要构建故障模式的影响。

在本发明中：所述改进服务器中的可靠性步骤满足下述两个条件：

（1）、每个可靠性步骤的功能都是检测相应故障树位置的参数是否正确；

（2）、所述可靠性步骤的加入使得相应故障树的最小割集的元素数目大于N。

在本发明中：所述分析服务器使用FTA的推导算法通过追溯模型对应的工件流图和控制流图为故障模式事件自动构建相应故障树，并根据Little-JIL 语义规则抽取所述模型对应的数据依赖关系图，对于任一故障模式，遍历数据依赖关系图得出该故障模式中的错误参数可能传播的所有路径及所有可能到达的模型中其他步骤的参数，并将其定义为该故障模式的影响。

采用上述方法后，本发明有益效果为：本发明通过可靠性分析系统，可以对软件进行可靠性分析，从而提高软件的安全性、鲁棒性和可靠性。

【附图说明】

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

图1是本发明的系统结构示意图。

【具体实施方式】

下面将结合附图以及具体实施例来详细说明本发明，其中的示意性实施例以及说明仅用来解释本发明，但并不作为对本发明的限定。

如图1所示，一种可靠性分析系统，包括外部客户端、接口服务器、模型创建服务器、分析服务器和改进服务器，外部客户端和接口服务器通过网络相连，接口服务器分别和其他三个服务器相连，模型创建服务器和分析服务器相连，分析服务器和改进服务器相连，整个系统的运作过程如下：

（1）接口服务器接收客户端传送的软件代码和可靠性级别N；

（2）接口服务器将软件代码发送给模型创建服务器，模型创建服务器为该软件创建相应的模型，并将模型发送给分析服务器；

（3）分析服务器为该模型创建影响树，再根据影响树创建故障树，将故障树发送给改进服务器；

（4）改进服务器从接口服务器接收可靠性级别N，根据故障树和可靠性级别N，计算出需要加入的可靠性步骤，然后将所有需要加入的可靠性步骤发送给接口服务器，接口服务器再将所述可靠性步骤返回给客户端。

在具体实施中，接口服务器是整个系统与外界的接口，其接收外部客户端提交的软件代码以及可靠性要求，根据该软件代码和可靠性要求，接口服务器向后台的其余3个服务器发出消息，指示其对软件的运行过程进行可靠性分析，最后接口服务器将分析结果返回给客户端，所述可靠性要求可以是用户要求的可靠性级别，可靠性级别越高，则对软件运行过程要求的可靠性越高。

模型创建服务器，为了对软件代码的运行过程进行可靠性分析，第一步需要建立一个软件代码运行过程的模型，本发明采用Little-JIL语言构建过程模型，Little-JIL语言是一种主体协作、可执行且具有正式且图形化语法和严密语义规则的建模语言，通过对过程各要素及其相互关系的描述为其构建语义严密且易于分析的可视化模型。构成软件运行过程的要素主要有函数、参数、数据资源和主体，所述主体指的是软件运行过程中需要交互的外部系统，例如操作系统、服务提供者、数据库系统等等，各个要素相互之间的约束关系很复杂，存在各种不同的对过程建立模型的方法，不同的建模方法通常将建模所关注的焦点集中在某一个要素上，并以该要素为中心构建整个模型。

Little-JIL语言提供了一种基于活动的建模方法，它以活动作为模型的核心要素，其他要素与活动相关联，从而将模型描述为一系列活动的偏序集，对于软件运行过程而言，活动就是其函数。各个软件的运行过程都各不相同，但是，一旦确定了其过程的各个要素，即可按以下方法用Little-JIL 语言为其创建相应的模型，严格定义过程中各个要素及相互之间的关系。

函数:各个函数及其子函数在Little-JIL语言中可分别被描述为步骤及其子步骤，步骤接口中申明该步骤所使用的资源(包括数据资源和主体)、输入及输出参数等信息。函数的执行步骤由步骤顺序(step sequence)标识指定，分为顺序(sequential)、并行(parallel)、选择(choice)及尝试(try)四种，各函数之间可能存在先决与后置关系，例如，函数B 必须在函数A 完成后才开始执行，或者当函数B 完成时必须执行函数C，则在Little-JIL 语言中，函数A被描述为函数B 相应步骤的先决步骤(pre-requisite step)，而函数C 则被描述为函数B 相应步骤的后置步骤(postrequisite step)。

参数：软件运行过程中的各个函数的输入/输出参数，在Little-JIL 语言中被描述为该函数相应步骤的输入/输出参数，在步骤接口中申明。

参数传递：参数在各个函数之间的传递在Little-JIL 语言中通过参数绑定(channel binding)和通道绑定(channel binding)来实现，前者实现父函数及其子函数之间的参数传递，后者则实现任意函数之间的参数传递，使得不同函数间可通过通信或同步来实现相互之间的协作。

数据资源：数据资源在Little-JIL 语言中以资源描述的形式存在，由资源管理器(resource manager)统一管理与分配，函数其对应的步骤接口中申明所需资源，当模型被执行时，各个函数对应的步骤接口中申明的资源描述被发送至资源管理器，由资源管理器对其管理的数据资源进行检索，找出现存数据资源中最匹配的数据资源，并将其分配到各个函数。数据资源也可像参数一样在各个活动之间进行传递，通过资源绑定(resourcebinding)来实现。

主体：在Little-JIL 语言中，主体被作为一种特殊的资源来对待。

异常: Little-JIL 语言允许函数在执行过程中抛出异常，并为其创建相应的异常处理步骤捕获并处理该异常。

分析服务器根据所述模型，对软件运行过程的可靠性进行分析，本发明通过构建影响树和故障树来对可靠性进行分析。

首先，分析服务器使用FMEA(Failure Mode and Effect Analysis, 故障模式及影响分析)方法分析所述模型，并将分析结果自动构建成影响树的格式，影响树的第一层结点为模型的各个步骤，第二层结点对应各个步骤中潜在的故障模式，第三层结点为各个故障模式对应的直接影响，第三层以下每层结点均为其上层结点的直接影响，直至最终影响。

下面说明自动化构建影响树的过程，第一层节点是模型的各个步骤，可以从模型中自动获得，第二层节点需要自动生成模型各个步骤中潜在的故障模式。通过研究发现，绝大部分故障模式可以转换为参数相关的故障模式，因此本发明仅关注与参数相关的故障模式，因此为每个函数即相应Little-JIL 步骤定义与工件错误相关的故障模式，分为以下两种类型：

故障模式类型2: Artifact p from Step S is wrong，(p 为步骤S 的任一输出参数)。

另外，步骤S 接口中申明的输入/输出参数，既被当作输入参数，同时也被当作输出参数，亦即每个输入/输出参数分别对应两个故障模式，通过遍历模型中所有步骤对应的接口可以得到所有的参数，即可自动生成模型各个步骤中潜在的故障模式。

为了建立影响树第三层以下的节点，需要构建故障模式的影响，对于自动生成的故障模式，由于故障模式中的错误参数是在模型各个步骤之间传递，使得错误在模型中传播开来，造成其他步骤中的错误，因此，可将该故障模式中的参数错误可能导致的模型中其他步骤的错误定义为该故障模式的影响。为了自动生成故障模式所有可能的影响，需抽象出模型中各个步骤的参数之间的流向，即相互依赖关系，称其为工件流图(Artifact FlowGraph，简称AFG)，通过遍历AFG，即可得出给定故障模式中的错误参数在整个模型中的传播路径。

根据Little-JIL 语义规则抽取模型对应AFG：AFG在Little-JIL 语言模型中对应为各步骤参数之间的数据依赖关系图。AFG 可表示为G_a = <P_a，E_a>，其中P_a 表示各个Little-JIL 步骤接口中参数即工件的集合；Ea为模型中各个参数之间数据依赖关系的集合，即工件之间依赖关系的集合，当且仅当工件p₂依赖于工件p₁ 时，存在一条边从工件p₁指向p₂。如何从Little-JIL 过程中分别抽取出P_a 和E_a 是生成AFG 的关键。P_a 可通过直接遍历各个步骤接口得到。而抽取Ea 首先需定义参数之间的数据依赖关系，即工件之间的依赖关系。根据Little-JIL 语义规则，各工件之间的数据依赖关系分为以下几类：

参数绑定: 用来在父步骤与子步骤之间传递参数。若一个步骤的参数p₁与另一个步骤的参数p₂之间存在由p₁指向p₂的参数绑定，则称p₂ 数据依赖于p₁，则在AFG 中存在对应的边由p₁指向p₂。

同一步骤的输入参数与输出参数：在Little-JIL 语言的语义规则中，并未具体指定步骤的各个输出参数分别数据依赖于该步骤的某个或某些输入参数，因此，定义Little-JIL步骤的任一输出参数数据依赖于该步骤所有的输入参数。对应AFG 中，同一步骤的任一输入参数存在一条边指向该步骤的每一个输出参数。

通道绑定: 通道绑定类似于参数绑定，不同的是它可以实现任意步骤之间的参数传递。步骤对通道的操作方式有在三种，读(read)，写(write)，以及取(take)。读操作是指从通道中读取参数；写操作是指向通道中写入参数；取操作与读操作相似，不同的是取操作后，该通道中不再存在该参数，而读操作后该参数依然存在于该通道。若一个步骤从通道读或取的参数p₁ 为另一步骤向该通道写的参数p₂，则参数p₁数据依赖于参数p₂，在AFG 中存在对应的边由参数p₂指向参数p₁。

定义了工件之间的依赖关系后，就可得到AFG 边的集合E_a，即得到模型对应的AFG。对于任一故障模式，可通过简单算法遍历AFG 得出该故障模式中的错误参数可能传播的所有路径及所有可能到达的模型中其他步骤的参数，并将其定义为该故障模式的影响。

分析服务器构建完影响树后，需要根据该影响树，自动构建故障树。本发明的分析服务器应用FTA(Fault Tree Analysis, 故障树分析)方法对模型中故障模式寻找各种可能的原因事件，将故障模式作为FTA方法的顶事件，并为其构建相应的故障树。FTA方法是本领域中公知的方法。

故障树的推导过程是一个迭代过程，在给定故障树的顶事件后，每一步迭代过程中，一个非基本事件(即顶事件或中间事件)将被推导。首先需要为每个Little-JIL 步骤预定义可能发生的故障事件，如下：

·Artifact o from step S is wrong;

·Artifact o to step S is wrong;

·All inputs are correct, but step S produces wrong output o.

在FTA 方法中，除了故障事件以外，一些条件事件也可能会影响到故障的传播，具体如下：

·No exceptions are thrown by step S;

·Exception e is thrown by step S;

·Exception e is not thrown by step S.

Little-JIL 步骤之间的因果关系遵循Little-JIL 语义规则，因此，可根据Little-JIL 语义规则预定义一些模板来捕捉此类因果关系。每个预定义模板即为一棵小故障树，小故障树的根节点为需要被进一步推导的故障事件，叶节点表示导致该故障事件发生的直接原因事件的组合。在故障树推导的迭代过程中，将根据欲推导事件类型选择合适的模板，一旦模板被选定，则用模板中的小故障树取代被推导的故障事件。预定义的事件和模板覆盖了Little-JIL 现有语义规则，使得故障树构建过程中任一中间事件都有相应且唯一的模板与其对应。

在预定义事件与模板之后，使用FTA的推导算法便可通过追溯模型对应的工件流图和控制流图(Control Flow Graph, 简称CFG)为故障模式事件自动构建相应故障树。其中控制流图为模型执行过程中的状态流图，用以辅助模板确定某步骤状态的前驱步骤状态。控制流图可表示为G_c = <N_c, E_c>，其中N_c为过程中的步骤状态的集合，N_c 为边的集合，当且仅当模型中步骤状态n₁ 为步骤状态n₂的直接先驱状态时，控制流图中存在一条边从n₁指向n₂。

作为本发明的一个优选实施例，为了加速故障树的构建，分析服务器中还具有一个可靠影响树数据库，对于每一个可靠性级别，该数据库中保存了多个已知的满足该可靠性级别的影响树（即可靠影响树），因此，当分析服务器根据模型构造出影响树后，可以根据从接口服务器获取的可靠性级别查询该数据库，获取数据库中满足该可靠性级别的所有可靠影响树，检测获取的每一个可靠影响树是否构成从模型构造出的影响树的子树，如果构成子树，则可将该子树简化成一个叶节点，从而简化影响树，加速后续故障树的构建。

改进服务器对得到的故障树进行分析，从而对模型提出改进措施，目的是降低故障树顶事件的发生概率。本发明根据故障树的定性分析结果中的最小割集来对模型提出改进措施。

所谓故障树的割集是指故障树中一些底事件的集合，当这些底事件发生时，顶事件必然发生。若某割集中所含的底事件任意去掉一个就不再成为割集了，此割集为最小割集。最小割集表示模型的危险性，最小割集数越多则模型的危险系数越高，如果一个最小割集中底事件的数目越少，则顶事件发生的概率就越大。因此，本发明将软件运行过程的可靠性级别和最小割集中底事件的数目相关联。如前所述，接口服务器从客户端接收可靠性要求，该可靠性要求包括可靠性级别，设可靠性级别为N，接口服务器将可靠性级别发送给改进服务器，改进服务器找出所有元素数目小于等于N的最小割集，对于每一个元素数目小于等于N的最小割集，改进服务器在其对应的故障树中加入一个或多个可靠性步骤，所述可靠性步骤的加入满足两个条件：（1）每个可靠性步骤的功能都是检测相应故障树位置的参数是否正确；（2）上述可靠性步骤的加入使得相应故障树的最小割集的元素数目大于N。

以上所述仅是本发明的较佳实施方式，故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰，均包括于本发明专利申请范围内。

Claims

1.一种可靠性分析系统，其特征在于：包括外部客户端、接口服务器、模型创建服务器、分析服务器和改进服务器，外部客户端和接口服务器通过网络相连，接口服务器是整个系统与外界的接口，接口服务器分别和其他三个服务器相连，模型创建服务器和分析服务器相连，分析服务器和改进服务器相连，其中

所述的接口服务器从所述外部客户端接收软件代码以及可靠性级别N，并向后台的其余3个服务器发出消息，指示其对软件的运行过程进行可靠性分析，最后将分析结果返回给外部客户端；所述可靠性级别反映了用户对所述软件代码的可靠性要求，可靠性级别越高，则对软件运行过程要求的可靠性越高；

所述改进服务器从接口服务器接收软件可靠性级别N，并从分析服务器接收构建的故障树，所述改进服务器从故障树中找出所有元素数目小于等于N的最小割集，对于每一个元素数目小于等于N的最小割集，改进服务器在其对应的故障树中加入一个或多个可靠性步骤,所述可靠性步骤满足下述两个条件：

（2）、所述可靠性步骤的加入使得相应故障树的最小割集的元素数目大于N；

改进服务器将所有需要加入的可靠性步骤发送给接口服务器，接口服务器再将所述可靠性步骤返回给客户端；

所述的分析服务器通过构建影响树和故障树来对可靠性进行分析，分析如下：

（1）、影响树的第一层结点为模型的各个步骤，从模型中自动获得；

（2）、第二层结点对应各个步骤中潜在的故障模式，为每个函数即相应Little-JIL 步骤定义与工件错误相关的故障模式，分为以下两种类型：

（3）、第三层结点为各个故障模式对应的直接影响；

（4）、第三层以下每层结点均为其上层结点的直接影响，直至最终影响。

2.根据权利要求1所述的一种可靠性分析系统，其特征在于：所述分析服务器使用FTA的推导算法通过追溯模型对应的工件流图和控制流图为故障模式事件自动构建相应故障树。

3.根据权利要求1-2任意一项所述的一种可靠性分析系统，其特征在于：所述分析服务器根据Little-JIL 语义规则抽取所述模型对应的数据依赖关系图，对于任一故障模式，遍历数据依赖关系图得出该故障模式中的错误参数可能传播的所有路径及所有可能到达的模型中其他步骤的参数，并将其定义为该故障模式的影响。