技术领域
[0001] 本
发明涉及一种软件可信性衡量方法,尤其是面向航天高可信软件的软件可信性衡量方法,属于非专用特定变量的测量技术领域。
背景技术
[0002] 软件可信性,指软件按照期望提供安全可靠服务的能
力,是人们在长期的工程实践中对软件
质量的评价总结。航天型号软件所关注的可信属性包括“可靠性、失效安全性、保密安全性、可生存性、容错性、实时性”等特性。
[0003] 当前,航天工业处在高速发展时期,航天型号任务越来越密集,高
密度的发射任务对研制效率和质量提出了更高的要求。另一方面,弹箭星船器各系统对软件的依赖程度越来越高,由于软件失效导致系统故障的事件也屡屡出现。软件作为航天型号系统重要的组成部分,具有功能关键、运行环境苛刻、可靠性安全性要求高等特点,这些特征对软件的可信性提出了更高的要求,软件可信性已直接关系到型号任务的成败。
[0004] 软件的可信性是用户所关心的重要软件特性,高可信软件的设计与生产已经成为当前航天高安全软件产业发展的重要目标。软件可信性衡量是软件可信性管理的重要支持手段,只有借助于可信性衡量,进行必要的软件可信性测量,获得有关数据,才能使软件可信性管理做到心中有数,进而对被测量软件的可信性有更好的认识、控制和改进。
[0005] 如何衡量型号软件的高可信,进而保证整个型号任务的高可信,已成为航天软件重点关注且亟待解决的问题。航天软件“可信衡量”并非仅是衡量
软件代码或软件最终产品的可信性,更为重要的是指导型号软件开发过程如何达到预设的可信性。
发明内容
[0006] 本发明的技术解决问题是:弥补现有可信性衡量方法在航天型号软件领域的空白,提供一种面向航天高可信软件的软件可信性衡量方法,本发明通过依据软件生命周期的阶段划分,建立了由开发阶段可信证据、提交阶段可信证据、应用阶段可信证据构成的软件可信证据模型,同时给出了一种基于可信证据的衡量方法,解决了级别之间容易混淆的问题。
[0007] 本发明的技术解决方案是:
[0008] 一种面向航天软件的软件可信性衡量方法,步骤如下:
[0009] (1)确定目标航天软件生命周期的各阶段划分为:软件开发阶段、软件提交阶段和软件应用阶段;软件开发阶段依次包括10个部分:软件需求规格说明、软件体系结构设计、软件支持工具和编程语言、详细设计、软件模
块测试和集成测试、软件确认测试、系统联试、软件更改、软件验证与确认以及软件安全性分析;
[0010] 软件提交阶段包括两个部分:功能特性证据和性能特性证据;
[0011] (2)根据步骤(1)中确定出来的目标航天软件生命周期的各阶段,确定各阶段对应的软件可信证据,即采用的技术或措施;
[0012] 软件开发阶段的软件可信证据:软件开发阶段的证据是在软件生产过程中的需求分析、设计以及编码与测试过程中,能够提供的与保障软件可信性相关的一系列证据,具体为:
[0013] 软件需求规格说明部分对应的技术或措施为:计算机辅助规格说明工具、逻辑/功能块图、顺序
框图、有限状态机、时间Petri网和形式化方法;
[0014] 软件体系结构设计部分对应的技术或措施为:故障检测和诊断、错误检测和纠错编码、失效
断言程序设计、编程多样性、重试故障恢复机制、记录执行情况、适度降级、结构化方法和
计算机辅助设计工具;
[0015] 软件支持工具和编程语言部分对应的技术或措施为:经过认证的工具和经过认证的翻译程序;
[0016] 详细设计部分对应的技术或措施为:结构化方法、计算机辅助设计工具、防卫性编程、
软件模块规模限制、信息隐藏/封装、子程序和函数的单入口/单出口、完全定义的
接口、设计和编码标准以及结构化程序设计;
[0017] 软件模块测试和集成测试部分对应的技术或措施为:功能测试、基于结构的测试、性能测试、接口测试以及数据记录和分析;
[0018] 软件确认测试部分对应的技术或措施为:功能测试、性能测试和接口测试;
[0019] 系统联试部分对应的技术或措施为:模拟/建模、功能测试、性能测试和接口测试;
[0020] 软件更改部分对应的技术或措施为:影响分析、重新验证变更的软件模块、重新验证受影响的软件模块、重新确认完整系统、软件配置管理以及数据记录和分析;
[0021] 软件验证与确认部分对应的技术或措施为:边界值分析、控制流分析、数据流分析、走查/设计评审、基于故障注入的软件分析(静态)、依据边界值分析的测试
用例执行、性能测试、运行时错误检查、数据流测试、基于故障注入的软件测试(动态)、等价类别和输入分区测试以及基于结构的测试;
[0022] 软件安全性分析部分对应的技术或措施为:故障树分析、失效分析、影响和关键度分析以及不同软件的共因失效分析。
[0023] 软件提交阶段的功能特性证据:功能特性证据提供了软件对软件需求规格
说明书中规定的功能要求的满足程度;
[0024] 性能特性证据:性能特性证据提供了软件对软件需求规格说明书中规定的性能要求的满足程度;
[0025] 软件应用阶段的可信证据是在软件实际使用过程中形成的与软件可信性相关的证据;
[0026] (3)根据步骤(1)和步骤(2),确定航天软件的可信证据表;
[0027] (4)根据航天软件可信等级的定义,初步确定待衡量的目标航天软件的可信等级k;
[0028] (5)如果步骤(4)中初步确定的目标航天软件的可信等级k=5,则该目标软件的最终可信等级为5,且合理度为1;如果步骤(4)中初步确定的目标航天软件的可信等级k<5,则进入步骤(6);
[0029] (6)令k的值加1,确定目标软件符合k可信级别的技术或措施的满足程度Pkij:
[0030] 对于强制使用的技术或措施,如果目标软件中使用了该技术或措施,则相应的Pkij=1,否者Pkij=0;
[0031] 对于推荐使用的技术或措施,如果软件中使用了该技术或措施,则相应的Pkij=0.8,否者Pkij=0.2;
[0032] 对于是否采用不做要求的技术或措施,无论目标软件是否使用了该技术或措施,始终Pkij=0;
[0033] (7)根据步骤(6)中得到的结果,通过如下公式计算第i阶段符合k等级要求的合理度Rki:
[0034] Pkij∈[0,1],i≤10,m=开发阶段第i部分所包含的技术/措施数量,k={2,3,4,5},Ni为k等级要求软件开发阶段第i部分中强制使用或推荐使用的技术数量;
[0035] (8)根据步骤(7)的计算结果,通过公式
[0036] Rki∈[0,1],Wki∈[0,1],其中k={1,2,3,4},计算所述目标软件被评为k可信等级的合理度Rk,其中Wki为组成所述目标软件等级评估合理度的各个阶段评估值的权重,Wk1~Wk10均为0.08,Wk11=Wk12=0.05,Wk13=0.1;
[0037] d为目标软件中实现的功能数量,D为需求规格说明书中规定要求实现的功能数量;
[0038] a为目标软件中达到需求规格说明书中所规定的性能要求的数量,A为需求规格说明书中所规定实现的性能要求数量;
[0039] c为应用阶段软件运行正常的次数,C为应用阶段软件运行的总次数;
[0040] (9)若Rk>0.9且k=5,则k=5为目标软件最终可信性等级,评价为该等级的合理度为R5;
[0041] 若Rk>0.9且k<5,则返回步骤(6);
[0042] 若Rk<0.9,则目标软件最终可信性等级为k-1,评价为该等级的合理度为Rk-1;
[0043] 2、根据
权利要求1所述的一种面向航天软件的软件可信性衡量方法,其特征在于:所述可信等级的具体定义为:
[0044] a)第1级
[0045] 所述目标软件未采用表1中技术或措施中的任何一项,该目标软件不能判定可信性,则此时该目标软件的可信等级定义为第1级,即可信等级k=1;
[0046] b)第2级
[0047] 目标软件开发阶段中采用了所述可信证据表中第2级所规定的所有强制使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC1,则该目标软件的可信等级定义为第2级,即k=2;
[0048] c)第3级
[0049] 目标软件开发阶段中采用了可信证据表中第3级所规定的所有强制使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC2,则该目标软件的可信等级定义为第3级,即k=3;
[0050] d)第4级
[0051] 目标软件开发阶段中采用了可信证据表中第4级所规定的所有强制使用和推荐使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC3,则该目标软件的可信等级定义为第4级,即k=4;
[0052] e)第5级
[0053] 目标软件开发阶段中采用了可信证据表中第5级所规定的所有强制使用和推荐使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC3,则该目标软件的可信等级定义为第5级,即k=5。
[0054] 所述可信证据表,具体如下:
[0055]
[0056]
[0057]
[0058] ,其中,M:对应于该目标航天软件可信级别强制使用的技术或措施;
[0059] HR:对应于该目标航天软件可信级别推荐的技术或措施;“-”:对应于该目标航天软件可信级别的技术或者措施的采用不做要求;
[0060] Pkij表示第i阶段的第j项技术/措施对第k可信级别要求的满足程度,Nkij表示第i阶段的第j项技术/措施在评估第k可信级别时的权重,i、j、k均为正整数。
[0061] 所述KAELOC1、KAELOC2和KAELOC3为检出错误密度等级,具体为:
[0062] KAELOC1:表示中国航天软件安全关键级别为C级或D级的软件每千行源代码的剩余错误数为[0,2.39];
[0063] KAELOC2:表示中国航天软件安全关键级别为B级的软件每千行源代码的剩余错误数为(0.32,0.92];
[0064] KAELOC3:表示中国航天软件安全关键级别为A或B级的软件每千行源代码的剩余错误数为[0,0.32]。
[0065] 本发明与
现有技术相比的优点在于:本发明从软件的整个生命周期出发,依据软件生命周期的阶段划分,建立了由开发阶段可信证据、提交阶段可信证据、应用阶段可信证据构成的软件可信证据模型,针对所提交的可信证据的可信程度,提出了软件可信等级的划分和每一等级的定义,为软件可信等级评定提供明确的依据和衡量方法。本发明的方法能够使技术专家和管理者在科研管理活动中很好地结合起来,提高了科研及工程管理的精确度和科学性,有力地保证了航天型号软件的高可信性。
附图说明
具体实施方式
[0067] 如图1所示,本发明提供了一种面向航天软件的软件可信性衡量方法,步骤如下:
[0068] (1)确定目标航天软件生命周期的各阶段划分为:软件开发阶段、软件提交阶段和软件应用阶段;软件开发阶段依次包括10个部分:软件需求规格说明、软件体系结构设计、软件支持工具和编程语言、详细设计、软件模块测试和集成测试、软件确认测试、系统联试、软件更改、软件验证与确认以及软件安全性分析;
[0069] 软件提交阶段主要是反映软件实体的自身可信特性,是用户判断“实体是否符合期望”的主要依据。这些依据集中体现在软件质量的各个特性上,主要通过测试、验证、分析和评估等手段获得。因此本方法将软件提交阶段的功能特性部分和性能特性部分作为可信性衡量的主要方面;
[0070] (2)根据步骤(1)中确定出来的目标航天软件生命周期的各阶段,确定各阶段对应的软件可信证据,即采用的技术或措施;
[0071] 所述软件可信证据是指与软件相关的能够反映其可信的数据、文档或其他信息。软件可信性可能通过多个可信证据从不同的
角度反映出来。一个软件所有可信证据的集合,以某种结构进行组织后,就构成了软件可信证据模型。
[0072] 软件开发阶段的软件可信证据:软件开发阶段的证据是在软件生产过程中的需求分析、设计以及编码与测试过程中,能够提供的与保障软件可信性相关的一系列证据,具体为:
[0073] 软件需求规格说明部分对应的技术或措施为:计算机辅助规格说明工具、逻辑/功能块图、顺序框图、有限状态机、时间Petri网和形式化方法;
[0074] 软件体系结构设计部分对应的技术或措施为:故障检测和诊断、错误检测和纠错编码、失效断言程序设计、编程多样性、重试故障恢复机制、记录执行情况、适度降级、结构化方法和计算机辅助设计工具;
[0075] 软件支持工具和编程语言部分对应的技术或措施为:经过认证的工具和经过认证的翻译程序;
[0076] 详细设计部分对应的技术或措施为:结构化方法、计算机辅助设计工具、防卫性编程、软件模块规模限制、信息隐藏/封装、子程序和函数的单入口/单出口、完全定义的接口、设计和编码标准以及结构化程序设计;
[0077] 软件模块测试和集成测试部分对应的技术或措施为:功能测试、基于结构的测试、性能测试、接口测试以及数据记录和分析;
[0078] 软件确认测试部分对应的技术或措施为:功能测试、性能测试和接口测试;
[0079] 系统联试部分对应的技术或措施为:模拟/建模、功能测试、性能测试和接口测试;
[0080] 软件更改部分对应的技术或措施为:影响分析、重新验证变更的软件模块、重新验证受影响的软件模块、重新确认完整系统、软件配置管理以及数据记录和分析;
[0081] 软件验证与确认部分对应的技术或措施为:边界值分析、控制流分析、数据流分析、走查/设计评审、基于故障注入的软件分析(静态)、依据边界值分析的测试用例执行、性能测试、运行时错误检查、数据流测试、基于故障注入的软件测试(动态)、等价类别和输入分区测试以及基于结构的测试;
[0082] 软件安全性分析部分对应的技术或措施为:故障树分析、失效分析、影响和关键度分析以及不同软件的共因失效分析。
[0083] 软件提交阶段的可信证据指在测试阶段从软件实体获取的可信证据,主要包括:
[0084] 功能特性证据:功能特性证据提供了软件对软件需求规格说明书中规定的功能要求的满足程度;
[0085] 性能特性证据:性能特性证据提供了软件对软件需求规格说明书中规定的性能要求的满足程度;
[0086] 软件需求规格说明书是使用户和软件开发者双方对该软件的初始规定有一个共同的理解,使之成为整个工作的
基础。包含
硬件、功能、性能、输入输出、接口界面、警示信息、保密安全、数据域
数据库、文档和法规的要求。
[0087] 软件应用阶段的可信证据是在软件实际使用过程中形成的与软件可信性相关的证据;
[0088] (3)根据步骤(1)和步骤(2),确定航天软件的可信证据表;
[0089] (4)根据航天软件可信等级的定义,初步确定待衡量的目标航天软件的可信等级k;
[0090] 所述可信等级的具体定义为:
[0091] a)第1级
[0092] 所述目标软件未采用表1中技术或措施中的任何一项,该目标软件不能判定可信性,则此时该目标软件的可信等级定义为第1级,即可信等级k=1。如航天软件中与执行任务有关的其他软件;
[0093] b)第2级
[0094] 目标软件开发阶段中采用了所述可信证据表中第2级所规定的所有强制使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC1,则该目标软件的可信等级定义为第2级,即k=2。该级别对应当前中国航天软件安全关键级别C、D级,如航天无人系统的一般软件;
[0095] c)第3级
[0096] 目标软件开发阶段中采用了可信证据表中第3级所规定的所有强制使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC2,则该目标软件的可信等级定义为第3级,即k=3。该级别对应当前中国航天软件安全关键级别B级,如载人系统和特别重大系统的一般软件、无人系统的重要软件;
[0097] d)第4级
[0098] 目标软件开发阶段中采用了可信证据表中第4级所规定的所有强制使用和推荐使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC3,则该目标软件的可信等级定义为第4级,即k=4。该级别对应当前中国航天软件安全关键级别A级和B级部分软件,如载人系统和特别重大系统的重要软件、无人系统的关键软件;
[0099] e)第5级
[0100] 目标软件开发阶段中采用了可信证据表中第5级所规定的所有强制使用和推荐使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC3,则该目标软件的可信等级定义为第5级,即k=5。该级别对应当前中国航天软件安全关键级别A级,如载人系统的关键软件和特别重大的无人系统的关键软件。
[0101] 中国航天软件安全关键级别,其定义可参见《航天型号软件与
软件工程概述》一书中表1-1。
[0102] 所述可信证据表,具体如下:
[0103]
[0104]
[0105]
[0106] ,其中,M:对应于该目标航天软件可信级别强制使用的技术或措施;
[0107] HR:对应于该目标航天软件可信级别推荐的技术或措施;“-”:对应于该目标航天软件可信级别的技术或者措施的采用不做要求;
[0108] Pkij表示第i阶段的第j项技术/措施对第k可信级别要求的满足程度,Nkij表示第i阶段的第j项技术/措施在评估第k可信级别时的权重,i、j、k均为正整数。
[0109] 所述KAELOC1、KAELOC2和KAELOC3为检出错误密度等级,具体为:
[0110] KAELOC1:表示中国航天软件安全关键级别为C级或D级的软件每千行源代码的剩余错误数为[0,2.39];
[0111] KAELOC2:表示中国航天软件安全关键级别为B级的软件每千行源代码的剩余错误数为(0.32,0.92];
[0112] KAELOC3:表示中国航天软件安全关键级别为A或B级的软件每千行源代码的剩余错误数为[0,0.32]。
[0113] (5)如果步骤(4)中初步确定的目标航天软件的可信等级k=5,则该目标软件的最终可信等级为5,且合理度为1;如果步骤(4)中初步确定的目标航天软件的可信等级k<5,则进入步骤(6);
[0114] (6)令k的值加1,确定目标软件符合k可信级别的技术或措施的满足程度Pkij:
[0115] 对于强制使用的技术或措施,如果目标软件中使用了该技术或措施,则相应的Pkij=1,否者Pkij=0;
[0116] 对于推荐使用的技术或措施,如果软件中使用了该技术或措施,则相应的Pkij=0.8,否者Pkij=0.2;
[0117] 对于是否采用不做要求的技术或措施,无论目标软件是否使用了该技术或措施,始终Pkij=0;
[0118] (7)根据步骤(6)中得到的结果,通过如下公式计算第i阶段符合k等级要求的合理度Rki;
[0119] Pkij∈[0,1],i≤10,m=开发阶段第i部分所包含的技术/措施数量,k={2,3,4,5},Ni为k等级要求软件开发阶段第i部分中强制使用或推荐使用的技术数量;
[0120] (8)根据步骤(7)的计算结果,通过公式
[0121] Rki∈[0,1],Wki∈[0,1],其中k={1,2,3,4},计算所述目标软件被评为k可信等级的合理度Rk;
[0122] Rk11为评定软件提交阶段中的功能特性证据对软件需求规格说明中规定的功能要求的满足程度,d为目标软件中实现的功能数量,D为需求规格说明书中规定要求实现的功能数量;
[0123] Rk12为性能特性证据对软件需求规格说明中规定的性能要求的满足程度,a为目标软件中达到需求规格说明书中所规定的性能要求的数量,A为需求规格说明书中所规定实现的性能要求数量;
[0124] Rk13为软件应用阶段接受试验的程度,c为应用阶段软件运行正常的次数,C为应用阶段软件运行的总次数;Wk11,Wk12和Wk13分别为功能特性证据、性能特性证据和软件应用阶段证据在整个软件评估过程中所占的权重。
[0125] Wk1~Wk10表示开发阶段的10个类别在评估整个软件可信性时的权重,一般情况下,由于其在软件可信性评估过程中的重要性等同,因此其值均设为0.08。Wk11=Wk12=0.05,由于软件在应用阶段的评估对于软件可信性衡量来说较为重要,因此Wk13=0.1。
[0126] (9)若Rk>0.9且k=5,则k=5为目标软件最终可信性等级,评价为该等级的合理度为R5,并指出该目标航天软件可信性为完全达到5级要求应当进行的改进;
[0127] 若Rk>0.9且k<5,则返回步骤(6);
[0128] 若Rk<0.9,则目标软件最终可信性等级为k-1,评价为该等级的合理度为Rk-1。并指出该目标航天软件可信性为完全达到5级要求应当进行的改进。
[0129] 下面选取中国航天某型号飞控软件为例对上述步骤进行描述,具体如下:
[0130] (1)确定目标航天软件生命周期的各阶段划分。即为实施步骤中所述的三个阶段以及各阶段的进一步划分;
[0131] (2)确定各阶段对应的软件可信证据。软件开发阶段中使用的技术或措施有计算机辅助规格说明工具、逻辑/功能块图、顺序框图、有限状态机、时间Petri网、……等等;
[0132] (3)根据步骤(1)中的阶段划分在可信证据表中列出步骤(2)中的各项技术或措施;
[0133] (4)初步确定待衡量的目标航天软件的可信等级k。该飞控软件采用了可信证据表中第4级所规定的所有强制使用和推荐使用的技术或措施,且该目标软件的检出错误密度不超过KAELOC3,所以其可信等级初步定为第4级,即k=4;
[0134] (5)由于步骤(4)中的k<5,所以转入步骤(6);
[0135] (6)k的值加1,即k=5,确定该飞控软件符合可信5级的技术或措施的满足程度Pkij:
[0136] 该软件中除了“失效断言程序设计”技术未采用外,其余技术或措施均符合各级可信证据表中关于第5级的要求。即P523=0,其余技术或措施对应的Pkij=1。
[0137] (7)根据步骤(6)中的结果,通过如下公式计算第i部分符合5级要求的合理度R5i:
[0138] P5ij∈[0,1],i≤10,m=开发阶段第i部分所包含的技术/措施数量,k={2,3,4,5},Ni为k等级要求软件开发阶段第i部分中强制使用或推荐使用的技术数量;
[0139] 计算得R51=R53=R54=R55=R56=R57=R58=R59=R510=1,R52=0.89[0140] (8)根据步骤(7)的计算结果,通过公式
[0141] Rki∈[0,1],Wki∈[0,1],其中k=5,计算所述目标软件被评为5可信等级的合理度R5,其中Wki为组成所述目标软件等级评估合理度的各个阶段评估值的权重,Wk1~Wk10均为0.08,Wk11=Wk12=0.05,Wk13=0.1;
[0142] d为目标软件中实现的功能数量,D为需求规格说明书中规定要求实现的功能数量;
[0143] a为目标软件中达到需求规格说明书中所规定的性能要求的数量,A为需求规格说明书中所规定实现的性能要求数量;
[0144] 计算得R5=99%
[0145] (9)根据步骤(8)中的计算结果,得Rk>0.9且k=5,则k=5为目标软件最终可信性等级,评价为该等级的合理度为R5,其合理度为99%,为完全满足可信等级5需要进行增加的技术为“失效断言程序设计”。
