CN117271377A - 一种安全关键软件可靠性的两阶段贝叶斯验证方法和系统 - Google Patents

Abstract

本发明公开了一种安全关键软件可靠性的两阶段贝叶斯验证方法和系统，属于软件可靠性验证技术领域。本发明先在研发阶段对软件提出可靠性要求，基于该阶段产生的可靠性增长测试信息，利用软件可靠性增长模型给出软件可靠性评估值，并验证其是否达到规定的可靠性要求，从而保证进入下一阶段前的软件具有较高可靠性水平；再在软件试用阶段，基于最大后验风险制定贝叶斯验证方案，并利用用户现场使用信息验证软件可靠性。利用两阶段可靠性信息综合验证软件可靠性指标，降低对测试用例的依赖性，使验证结论具有更好的可信性。

Description

一种安全关键软件可靠性的两阶段贝叶斯验证方法和系统

技术领域

本发明属于软件可靠性验证技术领域，更具体地，涉及一种安全关键软件可靠性的两阶段贝叶斯验证方法和系统。

背景技术

软件可靠性验证测试是指订购方在验收软件时，为确定软件的可靠性水平是否满足合同规定的指标要求而进行的相关测试工作，通常在系统测试完成后或在鉴定验证阶段开展，对确保交付软件的质量水平有重要意义。

软件可靠性验证通常借鉴硬件可靠性验证试验的方法与标准，并结合软件研发特点制定可靠性验证方案。根据所采取的理论，验证方法可分为经典方法和贝叶斯方法两大类。其中，贝叶斯方法认为软件研发过程中产生了大量软件可靠性信息，可以综合这些先验信息和验证测试中的现场信息来制定软件可靠性验证方案。在贝叶斯方法中，先验分布的确定是核心，常见的先验分布确定方法有共轭函数法、减函数法、多层贝叶斯法等，其中共轭函数法应用简便，减函数法适用于失效率较低的安全关键软件，多层贝叶斯法适用于有专家经验的情况。

然而，现有研究在确定先验分布时大多用样本均值来估计先验分布中的参数。由于软件研发过程中经历的通常是可靠性增长测试，现有先验信息加工方法没有充分挖掘软件测试数据的增长规律，对测试数据的使用偏保守。此外，安全关键软件的任务场景复杂多变，构建的测试用例难以准确反映用户的真实使用场景，进而为安全关键软件可靠性验证带来一定挑战。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种安全关键软件可靠性的两阶段贝叶斯验证方法和系统，旨在解决安全关键软件可靠性验证存在测试周期长、测试剖面难以准确反映真实使用环境的问题。

为实现上述目的，第一方面，本发明提供了一种安全关键软件的可靠性两阶段贝叶斯验证方法，包括：

S1.研发阶段的可靠性验证：基于安全关键软件在研发阶段可靠性增长测试中产生的各次失效时刻数据，对软件可靠性增长过程建模，利用软件可靠性增长模型，估计增长测试结束时的软件失效率；判断软件失效率估计值是否满足事先规定的可靠性指标要求，若是，进入S2，否则，继续进行研发阶段软件可靠性增长测试，直至满足规定的可靠性指标要求；

S2.基于软件研发阶段可靠性增长测试结束时的失效率估计值，利用贝叶斯理论确定失效率的先验分布和后验分布，以最大程度保护用户利益为原则，得到用户可容忍最大失效次数下的软件可靠性验证期；

S3.试用阶段的可靠性验证：统计经用户现场试用产生的软件累积失效次数，所述用户现场试用具体为对安全关键软件进行持续试用，试用期间发生失效不排除软件故障、只记录失效次数，直至实际累积试用时长达到步骤S2确定的软件可靠性验证期；比较该累积失效次数是否不超过用户可容忍最大失效次数，若是，软件通过可靠性验证，否则，未通过可靠性验证；

所述基于安全关键软件在研发阶段可靠性增长测试中产生的各次失效时刻数据，对软件可靠性增长过程建模，具体如下：

S11.获取可靠性增长测试中安全关键软件次失效时刻；

S12.分别对软件可靠性增长测试过程中软件失效率、累计失效数与失效时刻的数量关系进行拟合，并求解拟合模型中的参数。

优选地，所述软件可靠性增长模型具体如下：

其中，为研发阶段可靠性增长测试至/>时刻的软件失效率函数，/>为研发阶段可靠性增长测试至/>时刻的软件累积失效次数，满足/>，/>为研发阶段可靠性增长测试至/>时刻的软件失效率函数，/>的取值范围为/>，/>为潜伏在软件中的初始缺陷总数，/>为每个缺陷的检出率。

优选地，采用极大似然估计法求解可靠性增长模型中的参数：

其中，为研发阶段可靠性增长测试期间累计发生的失效次数，/>为研发阶段可靠性增长测试中第/>次失效的时刻，/>为研发阶段可靠性增长测试中第/>次失效的时刻。

优选地，判断软件失效率估计值满足规定的可靠性指标要求的判据为：评估值不高于用户可接受的最低失效率下限。

优选地，失效率先验分布中超参数的值，通过以下方式计算：

其中，为Gamma分布超参数的估计值，/>为事件发生的次数，/>为事件发生一次的概率，下标0标志估计值，/>为安全关键软件在研发阶段可靠性增长测试结束时的失效率估计值。

优选地，在用户可容忍最大失效次数给定的情况下，使如下不等式成立的最小τ即为可靠性验证期：

其中，为Gamma分布的概率密度函数，/>为Gamma分布超参数的估计值，/>为安全关键软件在试用阶段的可靠性验证期，/>为用户可接受的最低失效率下限，/>为用户可承受最大风险。

优选地，该方法应用于舰船装备软件。

为实现上述目的，第二方面，本发明提供了一种安全关键软件可靠性的两阶段贝叶斯验证系统，包括：存储器和处理器；所述存储器，用于存储计算机执行指令；所述处理器，用于执行所述计算机执行指令，使得第一方面所述的方法被执行。

为实现上述目的，第三方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述方法的步骤。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有以下有益效果：

本发明提出一种安全关键软件可靠性的两阶段贝叶斯验证方法和系统，先在研发阶段对软件提出可靠性要求，基于该阶段产生的可靠性增长测试信息，利用软件可靠性增长模型给出软件可靠性评估值，并验证其是否达到规定的可靠性要求，从而保证进入下一阶段前的软件具有较高可靠性水平；再在软件试用阶段，基于最大后验风险制定贝叶斯验证方案，并利用用户现场使用信息验证软件可靠性。利用两阶段可靠性信息综合验证软件可靠性指标，降低对测试用例的依赖性，使验证结论具有更好的可信性，方便工程实施。

附图说明

图1是本发明提供的一种安全关键软件的可靠性两阶段贝叶斯验证方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明提供了一种安全关键软件的可靠性两阶段贝叶斯验证方法，所述安全关键软件包括但不限于：舰船装备软件、核反应堆监控系统软件、飞行控制系统软件、航空电子系统软件、危重病人监护系统。该方法包括：

S1.研发阶段的可靠性验证：基于安全关键软件在研发阶段可靠性增长测试中产生的各次失效时刻数据，对软件可靠性增长过程建模，利用软件可靠性增长模型，估计增长测试结束时的软件失效率；判断软件失效率估计值是否满足事先规定的可靠性指标要求，若是，进入S2，否则，继续进行研发阶段软件可靠性增长测试，直至满足规定的可靠性指标要求。

优选地，所述基于安全关键软件在研发阶段可靠性增长测试中产生的各次失效时刻数据，对软件可靠性增长过程建模，具体如下：

S11.获取可靠性增长测试中安全关键软件次失效时刻；

S12.分别对软件可靠性增长测试过程中软件失效率、累计失效数与失效时刻的数量关系进行拟合，并求解拟合模型中的参数。

优选地，所述软件可靠性增长模型具体如下：

其中，为研发阶段可靠性增长测试至/>时刻的软件失效率函数，/>为研发阶段可靠性增长测试至/>时刻的软件累积失效次数，满足/>，/>为研发阶段可靠性增长测试至/>时刻的软件失效率函数，/>的取值范围为/>，/>为潜伏在软件中的初始缺陷总数，/>为每个缺陷的检出率。

优选地，采用极大似然估计法求解可靠性增长模型中的参数：

其中，为研发阶段可靠性增长测试期间累计发生的失效次数，/>为研发阶段可靠性增长测试中第/>次失效的时刻，/>为研发阶段可靠性增长测试中第/>次失效的时刻。

优选地，判断软件失效率估计值满足规定的可靠性指标要求的判据为：评估值不高于用户可接受的最低失效率下限。

S2.基于软件研发阶段可靠性增长测试结束时的失效率估计值，利用贝叶斯理论确定失效率的先验分布和后验分布，以最大程度保护用户利益为原则，得到用户可容忍最大失效次数下的软件可靠性验证期。

优选地，失效率先验分布中超参数的值，通过以下方式计算：

其中，为Gamma分布超参数的估计值，/>为事件发生的次数，/>为事件发生一次的概率，下标0标志估计值，/>为安全关键软件在研发阶段可靠性增长测试结束时的失效率估计值。

优选地，在用户可容忍最大失效次数给定的情况下，使如下不等式成立的最小τ即为可靠性验证期：

其中，为Gamma分布的概率密度函数，/>为Gamma分布超参数的估计值，/>为安全关键软件在试用阶段的可靠性验证期，/>为用户可接受的最低失效率下限，/>为用户可承受最大风险。

S3.试用阶段的可靠性验证：统计经用户现场试用产生的软件累积失效次，所述用户现场试用具体为对安全关键软件进行持续试用，试用期间发生失效不排除软件故障、只记录失效次数，直至实际累积试用时长达到步骤S2确定的软件可靠性验证期；比较该累积失效次数是否不超过用户可容忍最大失效次数，若是，软件通过可靠性验证，否则，未通过可靠性验证。

优选地，该方法应用于舰船装备软件。

本发明提供了一种安全关键软件可靠性的两阶段贝叶斯验证系统，包括：存储器和处理器；所述存储器，用于存储计算机执行指令；所述处理器，用于执行所述计算机执行指令，使得上述方法被执行。

实施例

随着舰船装备智能水平的不断提升，舰船装备的功能以软件实现的比例越来越大。为确保舰船装备软件的质量，不仅需要在软件研发过程中强化软件工程化管理，加强模拟实际使用环境下的软件测试力度，尽早发现软件中存在的缺陷，实现软件的可靠性增长，还需要在验证阶段对其进行可靠性验证，确保投入使用后的软件达到规定的可靠性要求。事实上，高可靠舰船装备在交付初期还需开展大量性能验证与技术状态鉴定工作。在此阶段，通过装备执掌人员对舰船装备软件的实际使用，可以更加客观的验证软件可靠性水平。

本实施例以舰船装备软件为例，说明整个安全关键软件的可靠性两阶段贝叶斯验证方法的过程。数据源自NTDS（Naval Tactical Data System，海军战术数据系统）核心模块在其开发过程中产生的失效数据，该数据集已被众多学者用于软件可靠性模型的有效性验证，详细数据如表1所示。

表1 NTDS核心模块的失效数据集

从表1可以看到：1）该软件开发共经历了四个阶段，即制造阶段、测试阶段1、用户阶段、测试阶段2；2）软件制造阶段共250天，累积排除了26个缺陷，期间，软件的失效间隔时间呈平稳变化趋势，增长趋势不明显；3）在测试阶段1，软件被累计排除了五次缺陷，最后一次缺陷排除后，软件无失效运行了135天，与前一次的9天相比，无失效运行时间取得大幅增长，之后测试终止，软件交付用户；4）交付用户后，美军对该软件设置了一个用户阶段，数据显示，用户对该软件持续操作至第258天时，软件发生了首次失效，基于该使用结果，用户做出了拒收该软件的决定；5）之后，软件被安排了第二阶段测试，测试时长849天。根据以上分析可知，软件在累积测试540天时，从研发阶段转入试用阶段。

假设某舰船装备软件的可靠性指标为，则软件可靠性的两阶段贝叶斯验证方案可按以下步骤：

Step1:研发阶段的可靠性验证。根据可靠性增长测试中记录到的软件次失效时刻/>，利用/>对增长测试过程进行拟合，其中的参数以极大似然估计法获得。评估软件在增长测试结束时的失效率/>。基于评估结果，判定软件是否交付试用，若/>高于规定的指标/>，要求研发方继续开展软件可靠性增长测试，直至≤/>，转入Step2。

Step2:制定贝叶斯验证方案。

根据，解出先验分布超参数/>的值；

计算在给定c下的可靠性验证期τ：

制定验证方案，然后将软件交付用户进入试用阶段。

Step3:试用阶段的可靠性验证。由用户对软件进行操作，记录在可靠性验证期内的软件失效次数/>。试用期结束后，基于用户现场使用数据，给出验证结论。如果/>，软件可靠性达到规定指标，通过可靠性验证，验证合格；反之，拒收软件。

本实施例先以可靠性指标为(0.01,0.01)为例，基于测试阶段1数据，对两阶段可靠性验证方案的制定与实施步骤进行演示。然后，给出其它几种可靠性指标下的两阶段验证方案，并基于表1提供的用户现场使用数据给出验证结论，从而演示本发明所提验证方案在不同情况下的表现。

当可靠性指标要求为(0.01,0.01)时，首先判断测试阶段1结束时的软件失效率是否不高于0.01，若满足要求，允许软件交付试用，并制定试用阶段的贝叶斯验证方案。由于0.009<0.01，允许软件交付试用，计算得失效率先验分布超参数的估计值，再计算给定可容忍失效次数c下的可靠性验证时长τ，制定贝叶斯验证方案，具体如表2所示：

表2可靠性指标为(0.01,0.01)的试用期可靠性验证方案

对于高可靠舰船装备软件，可采用无失效方案(350,0)，即当用户对软件连续使用达到350天，且不发生失效时，软件可通过验证。

采用相同步骤，可以制定其它可靠性指标下的两阶段验证方案，在获得现场使用数据之后，还可给出验证结论。表3列举了三种可靠性指标下的两阶段验证方案，以及基于表1现场使用数据的验证结论：

表3不同可靠性指标下两阶段无失效验证方案比较

由表3可见，当可靠性指标要求为(0.005,0.01)时，由于评估结果0.009>0.005，软件可靠性水平未达到指标要求，因此软件未进入用户试用；当可靠性指标要求为(0.01,0.01)时，由于评估结果0.009<0.01，允许软件进入用户试用，但根据现场试用情况，软件未通过可靠性验证；当可靠性指标要求为(0.02,0.01)时，0.009<0.02，允许软件进入用户试用，根据现场试用情况，软件通过了可靠性验证。

由此可见，不同的可靠性指标要求，会产生不同验证结果，且即使允许软件转入用户试用阶段，软件也不一定能通过验收。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种安全关键软件的可靠性两阶段贝叶斯验证方法，其特征在于，包括：

S1.研发阶段的可靠性验证：基于安全关键软件在研发阶段可靠性增长测试中产生的各次失效时刻数据，对软件可靠性增长过程建模，利用软件可靠性增长模型，估计增长测试结束时的软件失效率；判断软件失效率估计值是否满足事先规定的可靠性指标要求，若是，进入S2，否则，继续进行研发阶段软件可靠性增长测试，直至满足规定的可靠性指标要求；

S2.基于软件研发阶段可靠性增长测试结束时的失效率估计值，利用贝叶斯理论确定失效率的先验分布和后验分布，以最大程度保护用户利益为原则，得到用户可容忍最大失效次数下的软件可靠性验证期；

S3.试用阶段的可靠性验证：统计经用户现场试用产生的软件累积失效次数，所述用户现场试用具体为对安全关键软件进行持续试用，试用期间发生失效不排除软件故障、只记录失效次数，直至实际累积试用时长达到步骤S2确定的软件可靠性验证期；比较该累积失效次数是否不超过用户可容忍最大失效次数，若是，软件通过可靠性验证，否则，未通过可靠性验证；

所述基于安全关键软件在研发阶段可靠性增长测试中产生的各次失效时刻数据，对软件可靠性增长过程建模，具体如下：

S11.获取可靠性增长测试中安全关键软件次失效时刻；

S12.分别对软件可靠性增长测试过程中软件失效率、累计失效数与失效时刻的数量关系进行拟合，并求解拟合模型中的参数。

2.如权利要求1所述的方法，其特征在于，所述软件可靠性增长模型具体如下：

其中，为研发阶段可靠性增长测试至/>时刻的软件失效率函数，/>为研发阶段可靠性增长测试至/>时刻的软件累积失效次数，满足/>，/>为研发阶段可靠性增长测试至/>时刻的软件失效率函数，/>的取值范围为/>，/>为潜伏在软件中的初始缺陷总数，/>为每个缺陷的检出率。

3.如权利要求2所述的方法，其特征在于，采用极大似然估计法求解可靠性增长模型中的参数：

其中，为研发阶段可靠性增长测试期间累计发生的失效次数，/>为研发阶段可靠性增长测试中第/>次失效的时刻，/>为研发阶段可靠性增长测试中第/>次失效的时刻。

4.如权利要求1所述的方法，其特征在于，判断软件失效率估计值满足规定的可靠性指标要求的判据为：评估值不高于用户可接受的最低失效率下限。

5.如权利要求1所述的方法，其特征在于，失效率先验分布中超参数的值，通过以下方式计算：

其中，为Gamma分布超参数的估计值，/>为事件发生的次数，/>为事件发生一次的概率，下标0标志估计值，/>为安全关键软件在研发阶段测试结束时的失效率估计值。

6.如权利要求1所述的方法，其特征在于，在用户可容忍最大失效次数给定的情况下，使如下不等式成立的最小τ即为可靠性验证期：

其中，为Gamma分布的概率密度函数，/>为Gamma分布超参数的估计值，/>为安全关键软件在试用阶段的可靠性验证期，/>为用户可接受的最低失效率下限，/>为用户可承受最大风险。

7.如权利要求1至6任一项所述的方法，其特征在于，该方法应用于舰船装备软件。

8.一种安全关键软件可靠性的两阶段贝叶斯验证系统，其特征在于，包括：存储器和处理器；

所述存储器，用于存储计算机执行指令；

所述处理器，用于执行所述计算机执行指令，使得权利要求1至7任一项所述的方法被执行。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。