CN108717476B - 基于cots部件构成的安全苛求系统进行故障注入测试的方法 - Google Patents

Abstract

本发明实施例提供了一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法。该方法包括：将构成安全苛求系统的COTS部件，按故障注入所需分类；对于分类使用的COTS部件采用对应的方式解除安全苛求系统实现时所设置的EMC保护措施；根据COTS部件使用的实际情况选择故障注入界面，确定各故障注入界面的故障注入点；针对不同的故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障；利用自动测试软件，对故障注入的测试效果和测试结果进行收集、处理和统计。本发明针对基于COTS部件构成的安全苛求系统，使用全系统运行中非破坏性在线多点多层次故障注入测试方法，实现了安全验证与确认。

Description

基于COTS部件构成的安全苛求系统进行故障注入测试的方法

技术领域

本发明涉及安全测试技术领域，尤其涉及一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法。

背景技术

随着信息技术的飞速发展，采用COTS(Commercial-Off-The-Shell，现货供应商品)部件(包括硬件和/或软件)实现安全苛求系统的方式日渐普及。基于COTS部件进行系统设计具有以下优点：

1)加快开发速度。使用COTS部件可避免某些通用功能模块的重复开发，有效缩短了开发周期。

2)开发变得容易。使用COTS部件无需从头开始每一个模块的开发，可减少大量新部件的开发投入。

3)COTS部件分担了一部分系统开发所产生的不确定性风险，可选用市场占有率较高的COTS部件，从而使整个系统的性能、可靠性等方面得到较好控制。

4)成本易于控制和评估。COTS部件商品化、规模化生产，大大降低了系统的开发成本，从而能较好地控制系统开发成本。同时有专业维护人员对COTS部件进行维护，减轻了系统维护人员的负担。

对于安全苛求系统而言，其验证和确认是确定其安全属性的重要过程，基于故障注入的测试方法则是安全苛求系统验证和确认的常见方法。

故障注入方法是一种系统验证和确认方法，通过向被测系统中刻意引入故障，进而检查系统中存在故障及其针对性的后续行为。故障注入作为一种有效的测试验证手段，在系统的功能性、安全性等方面的验证发挥着重要的作用。

目前，故障注入方法主要有基于硬件的故障注入、基于软件的故障注入以及基于仿真的故障注入。

基于硬件的故障注入是在物理级完成的，通过改变环境参数(重离子辐射，电磁干扰，电源干扰等)干扰硬件，或者使用探针法和插入法，来改变集成电路芯片的管脚输入以达到故障注入的效果。

基于软件的故障注入是在软件级生成错误，从而造成硬件级的故障，使用修改内存数据，通过应用软件生成故障或者通过底层软件如操作系统生成故障等方法，方便进行程序修改、目标程序的执行以及结果数据的统计分析。

基于仿真的故障注入用在模拟测试的计算机原型上，通过在模拟过程中，改变逻辑值来达到故障注入的效果。

现有技术中，出于商业利益考虑，COTS部件生产厂家不会也不愿意提供COTS部件的详细设计资料。因此，只能将COTS部件本身视为“黑盒”，而将COTS部件与其它部件的接口视为“白盒”。“黑盒”特性决定了探针法和插入法用于COTS部件本身的故障注入非常困难。即使对于可视为“白盒”的COTS部件与其它部件的外部总线接口，探针法和插入法一般也很难使用。

对于使用COTS部件实现的安全苛求系统而言，COTS部件本身在整个安全苛求系统中的验证和确认是必须解决的难题，而COTS部件的“黑盒”或“灰盒”属性决定验证和确认使用故障注入方法是非常合适的。

因此，可针对基于COTS部件构成的安全苛求系统，使用全系统运行中非破坏性在线多点多层次故障注入测试方法，完成安全验证与确认。

发明内容

本发明的实施例提供了一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法，以解决上述背景技术中的问题。

为了实现上述目的，本发明采取了如下技术方案：

本发明的实施例提供的一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，该方法包括：

将构成安全苛求系统的COTS部件，按故障注入所需划分为整机类使用方式和板卡类使用方式；

对于整机类使用方式的COTS部件和板卡类使用方式的COTS部件，采用对应的方式解除安全苛求系统实现时所设置的COTS部件EMC保护措施；

根据COTS部件使用的实际情况选择故障注入界面，确定各故障注入界面的故障注入点；

针对不同的所述故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障；

利用自动测试软件，对故障注入的测试效果和测试结果进行收集、处理和统计。

优选地，所述的将构成安全苛求系统的COTS部件，按故障注入所需划分为整机类使用方式和板卡类使用方式，包括：

根据COTS部件应用类型的不同，将COTS部件硬件分为：计算机系统类、计算机板卡类、计算机模块类、数字逻辑器件类，将COTS部件软件分为：操作系统及其开发环境、软件编程语言及其开发环境、硬件描述语言及其开发环境；

COTS部件的硬件和软件根据实际情况进行搭配使用有：

计算机系统类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

计算机板卡类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

计算机模块类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

数字逻辑器件类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

数字逻辑器件类硬件+硬件描述语言及其开发环境；

所述COTS部件的整机类使用方式包括：所述计算机系统类硬件+操作系统及其开发环境+软件编程语言及其开发环境；

所述COTS部件的板卡类使用方式包括：所述计算机板卡类硬件+操作系统及其开发环境+软件编程语言及其开发环境，所述计算机模块类硬件+操作系统及其开发环境+软件编程语言及其开发环境，所述数字逻辑器件类硬件+操作系统及其开发环境+软件编程语言及其开发环境，以及所述数字逻辑器件类硬件+硬件描述语言及其开发环境。

优选地，所述的对于整机类使用方式的COTS部件和板卡类使用方式的COTS部件，采用对应的方式解除安全苛求系统实现时所设置的COTS部件EMC保护措施，包括：

对于整机类使用方式的COTS部件，解除安全苛求系统实现时所设置的COTS部件EMC保护措施所采用的方式为：

拆除其全部或部分机箱外壳，去除或人为跳过设置于安全苛求系统外部和/或内部电源处、外部和/或内部通信网处、外部和/或内部输入处、外部和/或内部输出处的EMC保护措施；

对于板卡类使用方式的COTS部件，解除安全苛求系统实现时所设置的COTS部件EMC保护措施所采用的方式为：

通过转接板和/或转接线，将COTS板卡或嵌入COTS部件的安全苛求系统板卡接出安全苛求系统机箱或机柜之外，同时将安全苛求系统的外部和/或内部通信网、外部和/或内部输入、外部和/或内部输出线缆引出，用于故障注入。

优选地，所述的根据COTS部件使用的实际情况选择故障注入界面，确定各故障注入界面的故障注入点，包括：

根据COTS部件使用的实际情况选择故障注入界面，所述故障注入界面包括：硬件共因故障注入界面、硬件独立故障注入界面、软件共因故障注入界面和软件独立故障注入界面；

所述硬件共因故障注入界面的故障注入点，包括：安全苛求系统的每一系的多机的外部和/或内部电源故障注入点、安全苛求系统的每一系的多机的外部和/或内部通信网故障注入点、安全苛求系统的每一系的多机的外部和/或内部输入故障注入点、安全苛求系统的每一系的多机的外部和/或内部输出故障注入点以及安全苛求系统的每一系多机的的非接触故障注入点；

所述硬件独立故障注入界面的故障注入点，包括：安全苛求系统的每一系单机的外部和/或内部电源故障注入点、安全苛求系统的每一系单机的外部和/或内部通信网故障注入点、安全苛求系统的每一系单机的外部和/或内部输入故障注入点、安全苛求系统的每一系单机的外部和/或内部输出故障注入点以及安全苛求系统的每一系单机的非接触故障注入点；

所述软件共因故障注入界面的故障注入点，包括：安全苛求系统的每一系多机上协同运行的软件故障注入点；

所述软件独立故障注入界面的故障注入点，包括：安全苛求系统的每一系单机上独立运行的软件故障注入点。

优选地，所述的针对不同的所述故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障，包括：

在硬件故障注入界面：

针对所述电源故障注入点，采用的电磁抗扰度测试方式包括：电压暂降、短时中断和电压变化，射频场感应的传导骚扰以及电快速瞬变脉冲群，通过电源故障注入点，对多个COTS部件的外部和/或内部的电源接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的电源接口施加干扰而产生独立故障；

针对所述通信网故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的通信网处故障注入点，对多个COTS部件的外部和/或内部的通信网接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的通信网接口施加干扰产生独立故障，并对安全苛求系统的外部通信网接口，设置故障注入测试的外部通信模拟装置；

针对所述输入故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的输入故障注入点，对多个COTS部件的外部和/或内部的输入接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的输入接口施加干扰产生独立故障，并对安全苛求系统的外部输入接口，设置故障注入测试的外部输入模拟装置；

针对所述输出故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的输出故障注入点，对多个COTS部件的输出接口施加干扰产生共因故障，对单个COTS部件的输出接口施加干扰产生独立故障，并对安全苛求系统的外部输出接口，设置故障注入测试的外部输出模拟装置；

针对所述非接触故障注入点，采用的电磁抗扰度测试方式包括：射频电磁场辐射、工频磁场，通过非接触注入点，对多个COTS部件施加干扰产生共因故障，对单个COTS部件施加干扰产生独立故障。

优选地，所述的电压暂降、短时中断和电压变化，射频场感应的传导骚扰以及电快速瞬变脉冲群，射频电磁场辐射，工频磁场，包括：

所述电压暂降、短时中断和电压变化的抗扰度测试，若使用交流电源，则按照GB/T17626.11(IEC 61000-4-21)标准实施，若使用直流电源，则按照GB/T 17626.29(IEC61000-4-29)标准实施；

所述射频场感应的传导抗扰度测试，按照GB/T17626.6(IEC 61000-4-6)标准实施；

所述电快速瞬变脉冲群抗扰度测试，按照GB/T17626.4(IEC 61000-4-4)标准实施；

所述射频电磁场辐射抗扰度测试，按照GB/T17626.3(IEC 61000-4-3)标准实施；

所述工频磁场抗扰度测试，按照GB/T17626.8(IEC 61000-4-8)标准实施。

优选地，所述的针对不同的所述故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障，还包括：

在软件故障注入界面：

针对所述软件故障注入点，基于多任务或多线程方式实现，与应用软件为并列任务或线程关系；

通过软件故障注入点，对应用软件和COTS操作系统进行故障注入，在安全苛求系统每一系的单机上独立运行产生软件独立故障，或在安全苛求系统每一系的多机上协同运行产生软件共因故障。

优选地，所述的利用自动测试软件，对故障注入的测试效果和测试结果进行收集、处理和统计，包括：

对基于COTS部件构成的安全苛求系统，采用电磁抗扰度测试方式进行全系统运行中非破坏性的在线故障注入测试后，利用安全苛求系统在线故障注入自动测试软件，对故障注入后的安全苛求系统运行数据进行自动收集、自动处理和自动统计；

所述自动测试软件独立于安全苛求系统，且保证安全苛求系统全系统运行中的非破坏性。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例针对基于COTS部件构成的安全苛求系统，提出了一种使用电磁抗扰度的测试方式，实现全系统运行中非破坏性的在线故障注入测试；根据COTS部件使用的实际情况选择故障注入界面，确定不同的故障注入点，依次进行硬件共因故障注入、硬件独立(非共因)故障注入以及软件共因故障注入、软件独立(非共因)故障注入。本发明针对基于COTS部件构成的安全苛求系统，使用全系统运行中非破坏性在线多点多层次的故障注入测试方法，完成了安全验证与确认。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法的处理流程图；

图2为本发明实施例提供的一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法的实施流程框图；

图3为本发明实施例提供的一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法的运行中非破坏性在线故障注入测试原理图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明实施例提供了一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法，针对基于COTS部件构成的安全苛求系统，进行全系统运行中非破坏性的在线故障注入测试。

本发明实施例提供的一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法的处理流程图如图1所示，具体包括如下步骤：

S110：将构成安全苛求系统的COTS部件，按故障注入所需划分为整机类使用方式和板卡类使用方式。

根据COTS部件应用类型的不同，将COTS部件硬件分为：计算机系统类、计算机板卡类、计算机模块类、数字逻辑器件类，将COTS部件软件分为：操作系统及其开发环境、软件编程语言及其开发环境、硬件描述语言及其开发环境。

COTS部件的硬件和软件根据实际情况进行搭配使用有：

计算机系统类硬件+操作系统及其开发环境+软件编程语言及其开发环境，计算机板卡类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

计算机模块类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

数字逻辑器件类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

数字逻辑器件类硬件+硬件描述语言及其开发环境；

所述COTS部件的整机类使用方式包括：所述计算机系统类硬件+操作系统及其开发环境+软件编程语言及其开发环境；

所述COTS部件的板卡类使用方式包括：所述计算机板卡类硬件+操作系统及其开发环境+软件编程语言及其开发环境，所述计算机模块类硬件+操作系统及其开发环境+软件编程语言及其开发环境，所述数字逻辑器件类硬件+操作系统及其开发环境+软件编程语言及其开发环境，以及所述数字逻辑器件类硬件+硬件描述语言及其开发环境。

S120：对于整机类使用方式的COTS部件和板卡类使用方式的COTS部件，采用对应的方式解除安全苛求系统实现时所设置的COTS部件EMC保护措施。

对于整机类使用方式的COTS部件，解除安全苛求系统实现时所设置的COTS部件EMC保护措施所采用的方式为：

拆除其全部或部分机箱外壳，去除或人为跳过设置于安全苛求系统外部和/或内部电源处、外部和/或内部通信网处、外部和/或内部输入处、外部和/或内部输出处的EMC保护措施。

对于板卡类使用方式的COTS部件，解除安全苛求系统实现时所设置的COTS部件EMC保护措施所采用的方式为：

通过转接板和/或转接线，将COTS板卡或嵌入COTS部件的安全苛求系统板卡接出安全苛求系统机箱或机柜之外，同时将安全苛求系统的外部和/或内部通信网、外部和/或内部输入、外部和/或内部输出线缆引出，用于故障注入。

S130：根据COTS部件使用的实际情况选择故障注入界面，确定各故障注入界面的故障注入点。

根据COTS部件使用的实际情况选择故障注入界面，故障注入界面包括：硬件共因故障注入界面、硬件独立故障注入界面、软件共因故障注入界面和软件独立故障注入界面。

硬件共因故障注入界面的故障注入点，包括：安全苛求系统的每一系的多机的外部和/或内部电源故障注入点、安全苛求系统的每一系的多机的外部和/或内部通信网故障注入点、安全苛求系统的每一系的多机的外部和/或内部输入故障注入点、安全苛求系统的每一系的多机的外部和/或内部输出故障注入点以及安全苛求系统的每一系多机的的非接触故障注入点。

硬件独立故障注入界面的故障注入点，包括：安全苛求系统的每一系单机的外部和/或内部电源故障注入点、安全苛求系统的每一系单机的外部和/或内部通信网故障注入点、安全苛求系统的每一系单机的外部和/或内部输入故障注入点、安全苛求系统的每一系单机的外部和/或内部输出故障注入点以及安全苛求系统的每一系单机的非接触故障注入点。

软件共因故障注入界面的故障注入点，包括：安全苛求系统的每一系多机上协同运行的软件故障注入点。

软件独立故障注入界面的故障注入点，包括：安全苛求系统的每一系单机上独立运行的软件故障注入点。

S140：针对不同的所述故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障。

(1)在硬件故障注入界面：

针对电源故障注入点，采用的电磁抗扰度测试方式包括：电压暂降、短时中断和电压变化，射频场感应的传导骚扰以及电快速瞬变脉冲群，通过电源故障注入点，对多个COTS部件的外部和/或内部的电源接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的电源接口施加干扰而产生独立故障。

针对通信网故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的通信网处故障注入点，对多个COTS部件的外部和/或内部的通信网接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的通信网接口施加干扰产生独立故障，并对安全苛求系统的外部通信网接口，设置故障注入测试的外部通信模拟装置。

针对输入故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的输入故障注入点，对多个COTS部件的外部和/或内部的输入接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的输入接口施加干扰产生独立故障，并对安全苛求系统的外部输入接口，设置故障注入测试的外部输入模拟装置。

针对输出故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的输出故障注入点，对多个COTS部件的输出接口施加干扰产生共因故障，对单个COTS部件的输出接口施加干扰产生独立故障，并对安全苛求系统的外部输出接口，设置故障注入测试的外部输出模拟装置。

针对非接触故障注入点，采用的电磁抗扰度测试方式包括：射频电磁场辐射、工频磁场，通过非接触注入点，对多个COTS部件施加干扰产生共因故障，对单个COTS部件施加干扰产生独立故障。

在软件故障注入界面：

针对软件故障注入点，基于多任务或多线程方式实现，与应用软件为并列任务或线程关系；通过软件故障注入点，对应用软件和COTS操作系统进行故障注入，在安全苛求系统每一系的单机上独立运行产生软件独立故障，或在安全苛求系统每一系的多机上协同运行产生软件共因故障。

电压暂降、短时中断和电压变化的抗扰度测试，若使用交流电源，则按照GB/T17626.11(IEC 61000-4-21)标准实施，若使用直流电源，则按照GB/T17626.29(IEC61000-4-29)标准实施。

射频场感应的传导抗扰度测试，按照GB/T17626.6(IEC 61000-4-6)标准实施。

电快速瞬变脉冲群抗扰度测试，按照GB/T17626.4(IEC 61000-4-4)标准实施。

射频电磁场辐射抗扰度测试，按照GB/T17626.3(IEC 61000-4-3)标准实施。

工频磁场抗扰度测试，按照GB/T17626.8(IEC 61000-4-8)标准实施。

S150：利用自动测试软件，对故障注入的测试效果和测试结果进行收集、处理和统计。

对基于COTS部件构成的安全苛求系统，采用电磁抗扰度测试方式进行全系统运行中非破坏性的在线故障注入测试后，利用安全苛求系统在线故障注入自动测试软件，对故障注入后的安全苛求系统运行数据进行自动收集、自动处理和自动统计。

自动测试软件独立于安全苛求系统，且保证安全苛求系统全系统运行中的非破坏性。

实施例二

该实施例提供了一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其实现流程框图如图2所示，具体可以包括如下的步骤：

(1)首先将构成安全苛求系统的COTS部件按故障注入所需划分为整机类使用方式和板卡类使用方式。

根据COTS部件(包括硬件和/或软件)应用类型的不同，可以将COTS部件硬件分为计算机(含工控机)系统类、计算机(含工控机)板卡类、计算机(含工控机)模块类、数字逻辑器件类(处理器、微控制器或FPGA等，含外围器件)，COTS部件软件分为操作系统(包括实时操作系统)及其开发环境、软件编程语言及其开发环境、硬件描述语言及其开发环境。

COTS部件的硬件和软件可根据实际情况合理搭配使用，例如常见的有：

①计算机系统类硬件+操作系统(包括实时操作系统)及其开发环境+软件编程语言及其开发环境。

②计算机(含工控机)板卡类硬件+操作系统(包括实时操作系统)及其开发环境+软件编程语言及其开发环境。

③计算机(含工控机)模块类硬件+操作系统(包括实时操作系统)及其开发环境+软件编程语言及其开发环境。

④数字逻辑器件类(处理器、微控制器，含外围器件)硬件+操作系统(包括实时操作系统)及其开发环境+软件编程语言及其开发环境。

⑤数字逻辑器件类(FPGA，含外围器件)硬件+硬件描述语言及其开发环境。

上述常见的5种组合中，第①种属于COTS整机类的使用方式，第②种属于COTS板卡直接集成进入安全苛求系统的使用方式，第③～⑤种属于COTS部件直接嵌入安全苛求系统板卡之中进而集成进入安全苛求系统的使用方式，与第②种使用方式都属于板卡类的使用方式，对于故障注入而言并无本质区别。

(2)不论是整机类COTS部件使用方式和板卡类COTS部件使用方式，都需尽可能地解除安全苛求系统实现时所设置的COTS部件EMC保护措施。

例如：对于整机类使用方式的COTS部件，可采用拆除其全部或部分机箱外壳，去除或人为跳过设置于安全苛求系统外部和/或内部电源处、外部和/或内部通信网处、外部和/或内部输入处、外部和/或内部输出处的EMC保护措施。

对于板卡类使用方式的COTS部件，可通过转接板和/或转接线，将COTS板卡或嵌入COTS部件的安全苛求系统板卡接出安全苛求系统机箱或机柜之外，同时将安全苛求系统的外部和/或内部通信网、外部和/或内部输入、外部和/或内部输出线缆引出用于故障注入。

(3)为了对基于COTS部件构成的安全苛求系统进行全系统运行中非破坏性在线故障注入测试，根据COTS部件使用的实际情况选择故障注入界面，如图3所示，故障注入界面分为硬件共因故障注入界面、硬件独立(非共因)故障注入界面以及软件共因故障注入界面、软件独立(非共因)故障注入界面。其中：

硬件共因故障注入界面由安全苛求系统的每一系的多机的外部和/或内部电源故障注入点、安全苛求系统的每一系的多机的外部和/或内部通信网故障注入点、安全苛求系统的每一系的多机的外部和/或内部输入故障注入点、安全苛求系统的每一系的多机的外部和/或内部输出故障注入点以及安全苛求系统的每一系多机的的非接触故障注入点组成。

硬件独立(非共因)故障注入界面由安全苛求系统的每一系单机的外部和/或内部电源故障注入点、安全苛求系统的每一系单机的外部和/或内部通信网故障注入点、安全苛求系统的每一系单机的外部和/或内部输入故障注入点、安全苛求系统的每一系单机的外部和/或内部输出故障注入点以及安全苛求系统的每一系单机的非接触故障注入点组成。

软件共因故障注入界面由安全苛求系统的每一系多机上协同运行的软件故障注入点组成。

软件独立(非共因)故障注入界面由安全苛求系统的每一系单机上独立运行的软件故障注入点组成。

(4)电源故障注入单元利用电压暂降，短时中断和电压变化、射频场感应的传导骚扰、电快速瞬变脉冲群这三种电磁抗扰度(Electro-Magnetic Susceptibility，EMS)测试方式，通过电源注入点，对多个COTS部件的外部和/或内部电源接口施加干扰而产生共因故障，对单个COTS部件的外部和/或内部电源接口施加干扰而产生独立(非共因)故障。

所述的电压暂降，短时中断和电压变化抗扰度测试根据所使用的是交流电源或直流电源，分别按照：GB/T17626.11(IEC 61000-4-21)标准或GB/T17626.29(IEC 61000-4-29)标准实施。

所述的射频场感应的传导抗扰度测试按照：GB/T17626.6(IEC 61000-4-6)标准实施。

所述的电快速瞬变脉冲群抗扰度测试按照：GB/T17626.4(IEC 61000-4-4)标准实施。

(5)通信网故障注入单元利用射频场感应的传导骚扰、电快速瞬变脉冲群这两种电磁抗扰度(Electro-Magnetic Susceptibility，EMS)测试方式，通过外部和/或内部通信网处故障注入点，对多个COTS部件的外部和/或内部通信网接口施加干扰而产生共因故障，对单个COTS部件的外部和/或内部通信网接口施加干扰而产生独立(非共因)故障。

对于安全苛求系统的外部通信网接口，需设置其故障注入测试的外部通信模拟装置，该装置应具备射频场感应的传导骚扰、电快速瞬变脉冲群防护措施。

所述的射频场感应的传导抗扰度测试按照：GB/T17626.6(IEC 61000-4-6)标准实施。

所述的电快速瞬变脉冲群抗扰度测试按照：GB/T17626.4(IEC 61000-4-4)标准实施。

(6)输入故障注入单元利用射频场感应的传导骚扰、电快速瞬变脉冲群这两种电磁抗扰度(Electro-Magnetic Susceptibility，EMS)测试方式，通过外部和/或内部输入故障注入点，对多个COTS部件的外部和/或内部输入接口施加干扰而产生共因故障，对单个COTS部件的外部和/或内部输入接口施加干扰而产生独立(非共因)故障。

对于安全苛求系统的外部输入接口，需设置其故障注入测试的外部输入模拟装置，该装置应具备射频场感应的传导骚扰、电快速瞬变脉冲群防护措施。

所述的射频场感应的传导抗扰度测试按照：GB/T17626.6(IEC 61000-4-6)标准实施。

所述的电快速瞬变脉冲群抗扰度测试按照：GB/T17626.4(IEC 61000-4-4)标准实施。

(7)输出故障注入单元利用射频场感应的传导骚扰、电快速瞬变脉冲群这两种电磁抗扰度(Electro-Magnetic Susceptibility，EMS)测试方式，通过外部和/或内部输出故障注入点，对多个COTS部件的输出接口施加干扰而产生共因故障，对单个COTS部件的输出接口施加干扰而产生独立(非共因)故障。

对于安全苛求系统的外部输出)接口，需设置其故障注入测试的外部输出模拟装置，该装置应具备射频场感应的传导骚扰、电快速瞬变脉冲群防护措施。

所述的射频场感应的传导抗扰度测试按照：GB/T17626.6(IEC 61000-4-6)标准实施。

所述的电快速瞬变脉冲群抗扰度测试按照：GB/T17626.4(IEC 61000-4-4)标准实施。

(8)非接触故障注入单元利用射频电磁场辐射、工频磁场这两种电磁抗扰度(Electro-Magnetic Susceptibility，EMS)测试方式，通过非接触注入点，对多个COTS部件施加干扰而产生共因故障，对单个COTS部件施加干扰而产生独立(非共因)故障。

所述的射频电磁场辐射抗扰度测试按照：GB/T17626.3(IEC 61000-4-3)标准实施。

所述的工频磁场抗扰度测试按照：GB/T17626.8(IEC 61000-4-8)标准实施。

(9)软件故障注入单元基于多任务或多线程方式实现，与应用软件为并列任务或线程关系，通过软件故障注入点，对应用软件、COTS操作系统[包括实时操作系统，含BSP(Board Support Package，板级支持包)]进行故障注入，软件故障注入单元可在安全苛求系统每一系的单机上独立运行而产生软件独立(非共因)故障，亦可在安全苛求系统每一系的多机上协同运行而产生软件共因故障。

(10)测试结果通过独立于安全苛求系统的安全苛求系统全系统运行中非破坏性在线故障注入自动测试软件收集、处理和统计，其数据可来源于安全苛求系统的运行记录单元，如果安全苛求系统不具备或不能提供运行记录功能或类似功能，则安全苛求系统全系统运行中非破坏性在线故障注入自动测试软件应实时记录安全苛求系统的运行数据。

基于EMS(Electro-Magnetic Susceptibility，电磁抗扰度)测试方法实现对基于COTS部件构成的安全苛求系统进行全系统运行中非破坏性在线故障注入测试，其故障影响效果需要较长时间才能显现，因此需要独立于安全苛求系统的安全苛求系统全系统运行中非破坏性在线故障注入自动测试软件自动收集故障注入后的安全苛求系统运行数据，自动处理这些数据，并且自动统计故障注入测试效果。

综上所述，本发明实施例通过提出了一种使用电磁抗扰度测试方法，针对基于COTS部件构成的安全苛求系统，进行全系统运行中非破坏性在线故障注入测试的方法。根据COTS部件使用的实际情况选择故障注入界面，包括硬件共因故障注入界面、硬件独立(非共因)故障注入界面以及软件共因故障注入界面、软件独立(非共因)故障注入界面；硬件故障注入点包括外部和/或内部电源注入点、外部和/或内部通信网注入点、外部和/或内部输入注入点、外部和/或内部输出注入点以及非接触注入点，软件故障注入点与应用软件为并列任务或线程关系。本发明采用的故障注入方法，实现了对COTS部件构成的安全苛求系统进行验证和确认。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，该方法包括：

将构成安全苛求系统的COTS部件，按故障注入所需划分为整机类使用方式和板卡类使用方式；

对于整机类使用方式的COTS部件和板卡类使用方式的COTS部件，采用对应的方式解除安全苛求系统实现时所设置的COTS部件EMC保护措施；

根据COTS部件使用的实际情况选择故障注入界面，确定各故障注入界面的故障注入点；

针对不同的所述故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障；具体包括：

在硬件故障注入界面：

针对电源故障注入点，采用的电磁抗扰度测试方式包括：电压暂降、短时中断和电压变化，射频场感应的传导骚扰以及电快速瞬变脉冲群，通过电源故障注入点，对多个COTS部件的外部和/或内部的电源接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的电源接口施加干扰而产生独立故障；

针对通信网故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的通信网处故障注入点，对多个COTS部件的外部和/或内部的通信网接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的通信网接口施加干扰产生独立故障，并对安全苛求系统的外部通信网接口，设置故障注入测试的外部通信模拟装置；

针对输入故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的输入故障注入点，对多个COTS部件的外部和/或内部的输入接口施加干扰产生共因故障，对单个COTS部件的外部和/或内部的输入接口施加干扰产生独立故障，并对安全苛求系统的外部输入接口，设置故障注入测试的外部输入模拟装置；

针对输出故障注入点，采用的电磁抗扰度测试方式包括：射频场感应的传导骚扰和电快速瞬变脉冲群，通过外部和/或内部的输出故障注入点，对多个COTS部件的输出接口施加干扰产生共因故障，对单个COTS部件的输出接口施加干扰产生独立故障，并对安全苛求系统的外部输出接口，设置故障注入测试的外部输出模拟装置；

针对非接触故障注入点，采用的电磁抗扰度测试方式包括：射频电磁场辐射、工频磁场，通过非接触注入点，对多个COTS部件施加干扰产生共因故障，对单个COTS部件施加干扰产生独立故障；

利用自动测试软件，对故障注入的测试效果和测试结果进行收集、处理和统计。

2.根据权利要求1所述的基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，所述的将构成安全苛求系统的COTS部件，按故障注入所需划分为整机类使用方式和板卡类使用方式，包括：

根据COTS部件应用类型的不同，将COTS部件硬件分为：计算机系统类、计算机板卡类、计算机模块类、数字逻辑器件类，将COTS部件软件分为：操作系统及其开发环境、软件编程语言及其开发环境、硬件描述语言及其开发环境；

COTS部件的硬件和软件根据实际情况进行搭配使用有：

计算机系统类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

计算机板卡类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

计算机模块类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

数字逻辑器件类硬件+操作系统及其开发环境+软件编程语言及其开发环境，

数字逻辑器件类硬件+硬件描述语言及其开发环境；

所述COTS部件的整机类使用方式包括：所述计算机系统类硬件+操作系统及其开发环境+软件编程语言及其开发环境；

所述COTS部件的板卡类使用方式包括：所述计算机板卡类硬件+操作系统及其开发环境+软件编程语言及其开发环境，所述计算机模块类硬件+操作系统及其开发环境+软件编程语言及其开发环境，所述数字逻辑器件类硬件+操作系统及其开发环境+软件编程语言及其开发环境，以及所述数字逻辑器件类硬件+硬件描述语言及其开发环境。

3.根据权利要求1所述的基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，所述的对于整机类使用方式的COTS部件和板卡类使用方式的COTS部件，采用对应的方式解除安全苛求系统实现时所设置的COTS部件EMC保护措施，包括：

对于整机类使用方式的COTS部件，解除安全苛求系统实现时所设置的COTS部件EMC保护措施所采用的方式为：

拆除其全部或部分机箱外壳，去除或人为跳过设置于安全苛求系统外部和/或内部电源处、外部和/或内部通信网处、外部和/或内部输入处、外部和/或内部输出处的EMC保护措施；

对于板卡类使用方式的COTS部件，解除安全苛求系统实现时所设置的COTS部件EMC保护措施所采用的方式为：

通过转接板和/或转接线，将COTS板卡或嵌入COTS部件的安全苛求系统板卡接出安全苛求系统机箱或机柜之外，同时将安全苛求系统的外部和/或内部通信网、外部和/或内部输入、外部和/或内部输出线缆引出，用于故障注入。

4.根据权利要求1所述的基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，所述的根据COTS部件使用的实际情况选择故障注入界面，确定各故障注入界面的故障注入点，包括：

根据COTS部件使用的实际情况选择故障注入界面，所述故障注入界面包括：硬件共因故障注入界面、硬件独立故障注入界面、软件共因故障注入界面和软件独立故障注入界面；

所述硬件共因故障注入界面的故障注入点，包括：安全苛求系统的每一系的多机的外部和/或内部电源故障注入点、安全苛求系统的每一系的多机的外部和/或内部通信网故障注入点、安全苛求系统的每一系的多机的外部和/或内部输入故障注入点、安全苛求系统的每一系的多机的外部和/或内部输出故障注入点以及安全苛求系统的每一系多机的的非接触故障注入点；

所述硬件独立故障注入界面的故障注入点，包括：安全苛求系统的每一系单机的外部和/或内部电源故障注入点、安全苛求系统的每一系单机的外部和/或内部通信网故障注入点、安全苛求系统的每一系单机的外部和/或内部输入故障注入点、安全苛求系统的每一系单机的外部和/或内部输出故障注入点以及安全苛求系统的每一系单机的非接触故障注入点；

所述软件共因故障注入界面的故障注入点，包括：安全苛求系统的每一系多机上协同运行的软件故障注入点；

所述软件独立故障注入界面的故障注入点，包括：安全苛求系统的每一系单机上独立运行的软件故障注入点。

5.根据权利要求1所述的基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，所述的电压暂降、短时中断和电压变化，射频场感应的传导骚扰以及电快速瞬变脉冲群，射频电磁场辐射，工频磁场，包括：

所述电压暂降、短时中断和电压变化的抗扰度测试，若使用交流电源，则按照GB/T17626.11(IEC 61000-4-21)标准实施，若使用直流电源，则按照GB/T 17626.29(IEC61000-4-29)标准实施；

所述射频场感应的传导抗扰度测试，按照GB/T17626.6(IEC 61000-4-6)标准实施；

所述电快速瞬变脉冲群抗扰度测试，按照GB/T17626.4(IEC 61000-4-4)标准实施；

所述射频电磁场辐射抗扰度测试，按照GB/T17626.3(IEC 61000-4-3)标准实施；

所述工频磁场抗扰度测试，按照GB/T17626.8(IEC 61000-4-8)标准实施。

6.根据权利要求1所述的基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，所述的针对不同的所述故障注入点，采用对应的电磁抗扰度测试方式，对多个COTS部件进行故障注入产生共因故障，对单个COTS部件进行故障注入产生独立故障，还包括：

在软件故障注入界面：

针对所述软件故障注入点，基于多任务或多线程方式实现，与应用软件为并列任务或线程关系；

通过软件故障注入点，对应用软件和COTS操作系统进行故障注入，在安全苛求系统每一系的单机上独立运行产生软件独立故障，或在安全苛求系统每一系的多机上协同运行产生软件共因故障。

7.根据权利要求1所述的基于COTS部件构成的安全苛求系统进行故障注入测试的方法，其特征在于，所述的利用自动测试软件，对故障注入的测试效果和测试结果进行收集、处理和统计，包括：

对基于COTS部件构成的安全苛求系统，采用电磁抗扰度测试方式进行全系统运行中非破坏性的在线故障注入测试后，利用安全苛求系统在线故障注入自动测试软件，对故障注入后的安全苛求系统运行数据进行自动收集、自动处理和自动统计；

所述自动测试软件独立于安全苛求系统，且保证安全苛求系统全系统运行中的非破坏性。

Images