一种嵌入式软件安全性分析充分性检查方法

摘要

本发明属于计算机技术领域，涉及一种嵌入式软件安全性分析充分性检查方法，尤其涉及一种用于飞机安全性分析充分性检查的方法。本发明首次明确提出从系统和软件双向角度分别对机载嵌入式软件安全性分析工作开展充分性检查，给出了对PHA、FHA和FMEA分析结果进行独立和交叉检查的详细过程和检查策略，能有效识别机载嵌入式软件安全性分析工作各阶段产品中存在的缺陷和不足，既可用于提升机载嵌入式软件安全性分析工作项目的质量和效率，也可用于软件安全性分析工作项目的验收和评价，有效解决了当前机载嵌入式软件安全性分析中工作效果人为影响因素过大、充分性有效性难以保证的问题，为机载嵌入式软件达到高安全性和质量要求提供技术支撑。

说明书

技术领域

本发明属于计算机技术领域，涉及一种嵌入式软件安全性分析充分性检查方法， 尤其涉及一种用于飞机安全性分析充分性检查的方法。

背景技术

随着科学技术的发展和计算机技术在现代飞机上的广泛应用，软件已逐渐成为 机载系统中极为重要的部分，确保机载嵌入式软件的高安全性、高可靠性、高质量 就显得十分重要。软件安全性是指软件运行过程中不引起系统事故的能力。它反映 了产品所具有的不导致人员伤亡、系统毁坏、重大财产损失或不危及人员健康和环 境的能力。在软件安全性中，导致安全性事故发生的客观存在或潜在的条件称为“危 险”。

软件安全性分析技术是一项在软件研制过程中不可被忽略且不可被替代的软件 工程化工作，其通过识别系统危险和软件失效模式，分析其原因和影响，进而提出 控制措施，显著降低系统危险与软件失效的发生概率，同时充分获取与安全性相关 的软件需求，提升软件工程化水平，并为软件安全性工作的开展奠定基础。

目前常见的软件安全性分析技术包括功能危险分析（FHA），初步危险分析 （PHA），失效模式及其影响分析（FMEA）等。这些技术从不同层面、不同角度进 行系统危险和失效模式的识别与分析，通常在一次软件安全性分析工作中，这三项 技术将会被同时使用，工作量极为庞大。因此，如何确保软件安全性分析工作充分 性，是软件安全性分析工作人员最为关心的问题。

但是目前还没有针对软件安全性分析工作的充分性检查方法，软件安全性分析 人员往往无法有效且规范地检查各类软件安全性分析技术是否已经充分识别系统危 险和失效模式，难以评估软件安全性分析工作开展的是否充分且有效。因此，为解 决软件安全性分析工作的充分性问题，提出一种面向嵌入式软件的安全性分析充分 性检查方法。其围绕“系统-软件”的双向角度，首先针对各项系统层面的安全性分析 技术（PHA和FHA）以及各项软件层面的安全性分析技术（FMEA）的工作成果开 展独立充分性检查，确保每项工作不存在遗漏的分析内容；然后将这三种安全性分 析技术的工作成果进行交叉式充分性检查，通过各项工作成果之间存在的差异性和 关联性迫使分析人员从不同角度来检查是否存在遗漏的分析内容。本方法意义在于 可有效提升各项安全性分析工作的效率和充分性，确保嵌入式安全关键系统的软件 安全性水平。

发明内容

本发明的目的是提出一种能够提升各项安全性分析工作的效率和充分性，确保 机载嵌入式安全关键系统的软件安全性水平的嵌入式软件安全性分析充分性检查方 法。本发明的技术解决方案包含如下三个主要工作步骤：

步骤一：在机载嵌入式系统软件研制过程中分别依次开展初步危险分析、功能 危险分析和失效模式及其影响分析，分别得到功能危险清单、系统危险清单和软件 失效模式数据；

步骤二：进行上述各项分析技术的独立充分性检查，检查策略如下：

1)FHA分析技术独立充分性检查策略：

●检查危险识别的充分性，即FHA是否围绕机载嵌入式系统软件所有功能， 考虑机载嵌入式系统软件功能正常和降级环境中单个或多重失效的情形，FHA确定 并描述与功能相关的失效模式，进行系统危险识别；

●检查每一个系统危险都与系统软件相关的系统功能建立映射关系，即每个系 统危险所关联的系统功能必须是由软件功能独立实现或参与实现的；

●检查每个系统危险都已经开展危险影响分析，并明确危险影响等级，即围绕 每个系统危险都描述其所可能导致的安全事故及事故后果危害程度；

●检查每个系统危险都有对应的飞行阶段，即明确每个系统危险是在不同飞行 阶段下所导致的；

●检查每个系统危险都有相应的控制措施，并落实为软件安全性需求；

2)PHA分析技术独立充分性检查策略：

●检查危险识别的充分性，即是否围绕系统所有的危险源，即系统运行状态、 外部交联设备、输入输出接口、人员操作、环境因素，以及依据通用或自身历史系 统危险数据进行系统危险识别；

●检查每一个系统危险都与系统软件相关的系统功能建立映射关系。即每个系 统危险所关联的系统功能必须是由软件功能独立实现或参与实现的；

●检查每个系统危险都已经开展危险影响分析，并明确危险影响等级，即围绕 每个系统危险都描述其所可能导致的安全事故及事故后果危害程度；

●检查每个系统危险都已经开展危险原因分析，即明确每个系统危险所有可能 的发生原因，包括软硬件交互约束、软件需求问题及人为因素；

●检查每个系统危险都有相应的控制措施，并落实为软件安全性需求；

3)FMEA分析技术独立充分性检查策略：

●检查系统危险与系统软件功能的关联性，即与系统危险相关的安全关键软件 功能均已被标识；

●检查失效模式识别的充分性，即是否围绕系统所有软件功能、外部输入输出 接口、功能之间的静态或动态逻辑关系因素进行失效模式识别；

●检查每个失效模式都已经开展影响分析，并明确失效影响等级，即围绕每个 失效模式分析其对同级软件功能、上级软件功能直至系统所产生的影响效果；

●检查每个失效模式都已经开展原因分析，即明确每个软件失效模式所有可能 的发生原因，包括系统软件功能间接口、功能执行逻辑，功能间的静态和动态逻辑 关系；

●检查每个系统软件失效模式都有相应的控制措施；

●检查所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应 的软件安全性需求，并落实于软件需求规格说明文档；

步骤三：进行各项分析技术之间的交叉充分性检查，检查策略如下：

1）FHA和PHA之间的交叉充分性检查：

●检查FHA分析中的系统危险清单与PHA分析中的系统危险清单的一致性；

●检查FHA分析中的每个系统危险是否都经过了PHA分析；

●检查PHA分析中的每个系统危险是否都经过了FHA分析。

2）FHA和FMEA之间的交叉充分性检查：

●检查FHA分析中的系统危险与FMEA失效模式中的失效影响的一致性，即 每个FMEA失效模式对系统的失效影响，是否对应FHA分析中的一个或多个系统 危险；

●检查FHA分析中的每项系统危险都有FMEA分析中的系统软件功能相对 应，即每个FHA分析的系统危险都能与一个或多个系统软件功能相关联；

●检查FHA分析中每项系统危险的控制措施都有FMEA分析中的系统软件功 能相对应，即每项控制措施都能落实到系统软件功能上；

●检查FHA分析中的每个系统危险都有对应的FMEA失效模式分析结果，即 每项FHA分析的系统危险都进行过FMEA分析，包括对应的失效模式和原因；

●检查FMEA失效模式中的失效系统影响都有对应的FHA分析结果，即每项 失效的系统影响都进行过FHA分析；

3）PHA和FMEA之间的交叉充分性检查：

●检查PHA分析中的系统危险与FMEA失效模式中的失效影响一致性，即每 个失效模式对系统的失效影响，均为PHA分析中的一个系统危险；

●检查PHA分析中的每项系统危险都有FMEA分析中的系统软件功能相对 应，即每个PHA分析的系统危险都能与一个或多个系统软件功能相关联；

●PHA分析中每项系统危险的控制措施都有FMEA分析中的系统软件功能相 对应，即每项控制措施都能落实到系统软件功能上；

●PHA分析中的每个系统危险都有对应的FMEA失效模式分析结果，即每项 PHA分析的系统危险都进行过FMEA分析，包括对应的失效模式和原因；

●检查FMEA失效模式中的失效系统影响都有对应的PHA分析结果，即每项 失效的系统影响都进行PHA分析。

本发明具有的优点和有益效果

本发明首次明确提出从系统和软件双向角度分别对机载嵌入式软件安全性分析 工作开展充分性检查，给出了对PHA、FHA和FMEA分析结果进行独立和交叉检 查的详细过程和检查策略，能有效识别机载嵌入式软件安全性分析工作各阶段产品 中存在的缺陷和不足，给出改进和完善建议，既可用于提升机载嵌入式软件安全性 分析工作项目的质量和效率，也可用于软件安全性分析工作项目的验收和评价，有 效解决了当前机载嵌入式软件安全性分析中工作效果人为影响因素过大、充分性有 效性难以保证的问题，为机载嵌入式软件达到高安全性和质量要求提供技术支撑。

说明书附图

图1是本发明软件安全性分析技术关系图；

图2是本发明实施例功能层次图。

具体实施方式

一种嵌入式软件安全性分析充分性检查方法分为如下三个主要工作步骤：

步骤一：在机载嵌入式系统软件研制过程中分别依次开展功能危险分析、初步 危险分析和失效模式及其影响分析，分别得到功能危险清单、系统危险清单和软件 失效模式数据。

其中：功能危险分析（FHA）是一种自上而下的确定系统功能失效状态并对其 影响进行分析的方法。其首先确定软件所在系统的所有功能，然后确定并描述与系 统功能相关的失效模式，即系统危险状态，进而分析系统功能失效模式对系统飞行、 任务安全的影响。初步危险分析（PHA）首先针对指定系统进行计划和需求的审查， 并识别系统级危险，然后分析导致系统危险的各种原因，并提出危险控制和验证措 施。失效模式及其影响分析（FMEA）是一种自底向上的分析方法，它首先分析软 件需求中潜在的所有软件失效模式，然后以此为起点，逐步分析软件失效模式是否 会导致系统危险的发生。图1中列举了各项技术的主要输入与输出，并给出技术间 的交叉检查对象，具体的独立和交叉充分性检查策略见后续步骤。

步骤二：进行各项分析技术的独立充分性检查。制定的各项分析技术独立充分 性检查策略如下：

1)FHA分析技术独立充分性检查策略：

●检查危险识别的充分性，即是否围绕所有系统功能，考虑正常和降级环境中 单个或多重失效的情形，确定并描述与功能相关的失效模式，进行系统危险识别；

●检查每一个系统危险都与软件相关的系统功能建立映射关系。即每个系统危 险所关联的系统功能必须是由软件功能独立实现或参与实现的；

●检查每个系统危险都已经开展危险影响分析，并明确危险影响等级，即围绕 每个系统危险都描述其所可能导致的安全事故及事故后果危害程度；

●检查每个系统危险都有对应的飞行阶段（如起飞、返航、着陆等阶段），即 明确每个系统危险是在不同飞行阶段下所导致的；

●检查每个系统危险都有相应的控制措施，并落实为软件安全性需求。

2)PHA分析技术独立充分性检查策略：

●检查危险识别的充分性，即是否围绕所有系统运行状态、外部交联设备、输 入输出接口、人员操作、环境因素等系统危险源，以及依据通用或历史系统危险数 据进行系统危险识别；

●检查每一个系统危险都与软件相关的系统功能建立映射关系。即每个系统危 险所关联的系统功能必须是由软件功能独立实现或参与实现的；

●检查每个系统危险都已经开展危险影响分析，并明确危险影响等级，即围绕 每个系统危险都描述其所可能导致的安全事故及事故后果危害程度；

●检查每个系统危险都已经开展危险原因分析，即明确每个系统危险所有可能 的发生原因（软硬件交互约束、软件需求问题、人为因素等）；

●检查每个系统危险都有相应的控制措施，并落实为软件安全性需求。

2)FMEA分析技术独立充分性检查策略：

●检查系统危险与软件功能的关联性，即与危险相关的安全关键软件功能均已 被标识；

●检查失效模式识别的充分性，即是否围绕所有软件功能、外部输入输出接口、 功能之间的静态或动态逻辑关系等因素进行失效模式识别；

●检查每个失效模式都已经开展影响分析，并明确失效影响等级，即围绕每个 失效模式分析其对同级软件功能、上级软件功能直至系统所产生的影响效果；

●检查每个失效模式都已经开展原因分析，即明确每个软件失效模式所有可能 的发生原因（功能间接口、功能执行逻辑，功能间的静态和动态逻辑等）；

●检查每个软件失效模式都有相应的控制措施；

●检查所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应 的软件安全性需求，并落实于软件需求规格说明。

步骤三：进行各项分析技术之间的交叉充分性检查。制定的交叉充分性检查策 略如下：

1）FHA和PHA之间的交叉充分性检查：

●检查FHA分析中的系统危险清单与PHA分析中的系统危险清单完全一致；

●检查FHA分析中的每个系统危险是否都经过了PHA分析；

●检查PHA分析中的每个系统危险是否都经过FHA分析。

2）FHA和FMEA之间的交叉充分性检查：

●检查FHA分析中的系统危险与FMEA失效模式中的失效影响完全一致。即 每个失效模式对系统的失效影响，均对应FHA分析中的一个或多个系统危险；

●检查FHA分析中的每项系统危险都有FMEA分析中的软件功能相对应，即 每个FHA分析的系统危险都能与一个或多个软件功能相关联；

●检查FHA分析中每项系统危险的控制措施都有FMEA分析中的软件功能相 对应，即每项控制措施都能落实到软件功能上；

●检查FHA分析中的每个系统危险都有对应的FMEA失效模式分析结果，即 每项FHA分析的系统危险都进行过FMEA分析（包括对应的失效模式和原因）。

●检查FMEA失效模式中的失效系统影响（即系统危险）都有对应的FHA分 析结果，即每项失效的系统影响都进行过FHA分析。

3）PHA和FMEA之间的交叉充分性检查：

●检查PHA分析中的系统危险与FMEA失效模式中的失效影响完全一致。即 每个失效模式对系统的失效影响，均为PHA分析中的一个系统危险；

●检查PHA分析中的每项系统危险都有FMEA分析中的软件功能相对应，即 每个PHA分析的系统危险都能与一个或多个软件功能相关联；

●PHA分析中每项系统危险的控制措施都有FMEA分析中的软件功能相对 应，即每项控制措施都能落实到软件功能上；

●PHA分析中的每个系统危险都有对应的FMEA失效模式分析结果，即每项 PHA分析的系统危险都进行过FMEA分析（包括对应的失效模式和原因）；

●检查FMEA失效模式中的失效系统影响（即系统危险）都有对应的PHA分 析结果，即每项失效的系统影响都进行PHA分析。

实施例1

本实例选用的对象是某型雷达数据处理嵌入式软件安全性分析项目。雷达数据 处理软件接收雷达回波数据，根据不同的工作方式对雷达回波数据进行信号处理， 再根据不同的工作方式将数据转换为相应的气象视频信号或地形视频信号，输出给 航电系统显示处理单元，在风切变状态输出风切变告警信号给告警系统。整个项目 共使用三种分析技术分别开展软件安全性分析工作，即PHA分析，FMEA分析，FHA 分析。

第一步，明确PHA，FHA，FMEA分析工作结果。PHA分析工作结果见附表1， FHA分析工作结果见附表2，FMEA分析工作结果见附表3。雷达数据处理软件的 系统功能如图2所示。

第二步，围绕表1，表2，表3，图2进行各项分析技术的独立充分性检查。

1)PHA分析工作独立充分性检查：

依据第三节PHA独立充分性检查策略，对附表1中的PHA分析结果进行检查， 检查结果如下：

●危险识别的充分性不足。仅仅依据系统功能中的风切变探测功能开展PHA 分析，但未从外部交联环境、系统运行状态以及外部环境因素等角度开展安全性分 析；

●每一个系统危险都已与软件相关的系统功能建立映射关系，即与风切变探测 功能；

●每个系统危险都已经开展危险影响分析，并明确危险影响等级；

●每个系统危险都已经开展危险原因分析；

●每个系统危险都有相应的控制措施，并落实为软件安全性需求。

2)FHA分析工作独立充分性检查：

依据第三节FHA独立充分性检查策略，对附表2中的FHA分析结果进行检查， 检查结果如下：

●危险识别的充分性不足。仅仅针对风切变探测功能展开分析。未对图2中的 其他雷达数据处理系统功能，如湍流探测功能、孔径成像功能展开分析。并且未对 这些功能之间的组合进行分析；

●每一个系统危险都已与软件相关的系统功能建立映射关系，即与风切变探测 功能；

●每个系统危险都已经开展危险影响分析，并明确危险影响等级；

●每个系统危险都有对应的飞行阶段，即都是在起飞和下降阶段引发的；

●系统危险的控制措施充分性不足。即危险“无法切换风切变”没有对应的控 制措施；

3)FMEA分析工作独立充分性检查：

依据第三节FMEA独立充分性检查策略，对附表3中的FMEA分析结果进行检 查，检查结果如下：

●系统危险与软件功能的关联性分析不足，即未针对每个系统标识与其对应的 安全关键软件功能。例如危险“无法进行风切变探测”应对应“风切变多普勒频移” 和“风切变地杂波计算”等风切变探测相关的软件功能，但本次分析却未对其进行 标识；

●失效模式识别的充分性不足。即未针对其他软件功能开展失效模式分析，例 如“风切变危险因子统计”，“风切变探测视频输出”等功能；也未围绕外部输入输 出接口、功能之间的静态或动态逻辑关系等因素进行失效模式识别；

●每个失效模式的影响分析充分性不足。如失效模式“风切变多普勒频移超时” 和“风切变特征参数计算超时”没有对应的系统影响；

●每个失效模式都已经开展原因分析；

●软件失效模式的控制措施分析充分性不足。如失效模式“风切变多普勒频移 超时”和“风切变特征参数计算超时”没有对应的控制措施；

●所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应的软 件安全性需求，并落实于软件需求规格说明。

第三步，围绕附表1，表2，表3进行各项分析技术之间的交叉充分性检查。

1）FHA和PHA之间的交叉充分性检查：

依据第三节中的FHA和PHA交叉充分性检查策略，对附表2中的FHA分析结 果和附表1中的PHA分析结果进行交叉检查，检查结果如下：

●FHA分析中的系统危险清单与PHA分析中的系统危险清单不完全一致， FHA中的危险“无法自动切换风切变”在PHA分析中未见；

●FHA分析中的每个系统危险（除危险“无法自动切换风切变”）都经过PHA 分析；

●PHA分析中的每个系统危险都经过FHA分析。

2）FHA和FMEA之间的交叉充分性检查：

依据第三节中的FHA和FMEA交叉充分性检查策略，对附表2中的FHA分析 结果和附表3中的FMEA分析结果进行检查，检查结果如下：

●FHA分析中的系统危险与FMEA失效模式中的失效影响不完全一致。FMEA 分析中的系统影响“系统无法实时输出风切变信号视频”在FHA系统危险清单中未 见；

●FHA分析中的每项系统危险都有FMEA分析中的软件功能相对应，例如危 险“无法进行风切变探测”有软件功能“风切变多普勒频移”和“风切变地杂波抑 制”等对应；

●FHA分析中每项系统危险的控制措施与FMEA分析中的软件功能尚未完全 对应。例如FHA分析中的控制措施“增加AD定时功能的防错和容错措施”在目前 的FMEA分析结果未见；

●FHA分析中的每个系统危险都有对应的FMEA失效模式分析结果；

●FMEA失效模式中的失效系统影响不是都有对应的FHA分析结果，例如 FMEA分析中的系统影响“系统无法实时输出风切变信号视频”未开展FHA分析。

3）PHA和FMEA之间的交叉充分性检查：

依据第三节中的PHA和FMEA交叉充分性检查策略，对附表1中的PHA分析 结果和附表3中的FMEA分析结果进行检查，检查结果如下：

●PHA分析中的系统危险与FMEA失效模式中的失效影响不完全一致。FMEA 分析中的系统影响“系统无法实时输出风切变信号视频”在PHA系统危险清单中未 见；

●PHA分析中的每项系统危险都有FMEA分析中的软件功能相对应，例如危 险“无法进行风切变探测”有软件功能“风切变多普勒频移”和“风切变地杂波抑 制”等对应；

●PHA分析中每项系统危险的控制措施与FMEA分析中的软件功能尚未完全 对应。例如PHA分析中的控制措施“调整天线仰角或调整滤波算法或限制探测距离” 在FMEA分析结果未见；

●PHA分析中的每个系统危险都有对应的FMEA失效模式分析结果；

●FMEA失效模式中的失效系统影响不是都有对应的PHA分析结果，例如 FMEA分析中的系统影响“系统无法实时输出风切变信号视频”未开展PHA分析。

综合上述检查结果可以看出，本次雷达数据处理软件安全性分析工作的充分性 明显不足，还有很多工作需要进一步展开。因此可以肯定的是，通过本发明中的软 件安全性分析充分性检查方法可有效确保软件安全性分析工作的充分性和效率。需 注意的是，本示例中的检查结果是简化形式的描述，在实际工作项目中应以列表的 形式逐条列举各项检查结果，并给出改进意见。

附表1所示是本发明选用的雷达数据处理软件安全性分析项目中的PHA分析结 果；

附表2所示是本发明选用的雷达数据处理软件安全性分析项目中的FHA分析结 果。

附表3所示是本发明选用的雷达数据处理软件安全性分析项目中的FMEA分析 结果。

一.附表

表1是雷达数据处理软件安全性分析项目中的PHA分析结果

表1

表2是雷达数据处理软件安全性分析项目中的FHA分析结果

表2

表3是雷达数据处理软件安全性分析项目中的FMEA分析结果

表3