一種安全關(guān)鍵軟件的健康管理方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于機(jī)載計(jì)算機(jī)技術(shù)領(lǐng)域,具體涉及一種安全關(guān)鍵軟件的健康管理方法�。【背景技術(shù)】
[0002] 機(jī)載安全關(guān)鍵系統(tǒng)(Safety-criticalSystem)是指具有潛在破壞力的一類機(jī)載 系統(tǒng)�,此類系統(tǒng)一旦失效,就可能造成飛機(jī)墜毀���、人員傷亡和環(huán)境破壞等嚴(yán)重后果�����。隨著計(jì) 算機(jī)技術(shù)和機(jī)載航空電子技術(shù)的發(fā)展��,軟件在安全關(guān)鍵系統(tǒng)中的應(yīng)用越來越廣泛���,規(guī)模也 與日倶增����。F-22戰(zhàn)機(jī)的綜合航電系統(tǒng)中由軟件實(shí)現(xiàn)的航電功能高達(dá)80%�,軟件代碼達(dá)到 170萬余行�����。F-35戰(zhàn)機(jī)的先進(jìn)綜合航電系統(tǒng)中����,軟件代碼達(dá)到500萬行。這表明�����,越來越多 的安全關(guān)鍵系統(tǒng)中���,軟件日益密集化�,逐漸形成安全關(guān)鍵的軟件密集型系統(tǒng)����。另一方面,安 全性關(guān)鍵系統(tǒng)中軟件引發(fā)的事故頻發(fā)����,20世紀(jì)90年代的Arianne5運(yùn)載火箭等5起航天器 事故的起因是軟件�;2004年12月20日����,一架F-22因飛行控制軟件故障而墜毀;2009年��,法 航AF447航班的A330-200飛機(jī)由于飛行控制軟件錯誤的攀升指示最終導(dǎo)致飛機(jī)在大西洋 上墜毀��。由此可見�����,安全關(guān)鍵軟件已成為決定機(jī)載安全關(guān)鍵系統(tǒng)安全與否的重要因素之一���, 對安全關(guān)鍵軟件的健康管理方法研究具有重大現(xiàn)實(shí)意義�。
[0003]軟件健康管理是健康管理技術(shù)在軟件領(lǐng)域中的應(yīng)用拓展���,通過對被監(jiān)測軟件工作 狀態(tài)的實(shí)時監(jiān)測�,對由異常情況引起的不良事件進(jìn)行自動檢測����、診斷,并評估該不良事件在 軟件內(nèi)部傳播的危險(xiǎn)性��,根據(jù)評估結(jié)果自動采取相應(yīng)的措施消除或減緩由該不良事件造成 的影響。
【發(fā)明內(nèi)容】
[0004] 針對機(jī)載安全關(guān)鍵軟件不正確的功能或失效就極有可能導(dǎo)致飛機(jī)墜毀�、人員傷 亡�����、財(cái)產(chǎn)損失和環(huán)境嚴(yán)重破壞的問題��,設(shè)計(jì)了一種基于健康監(jiān)測�����、健康診斷����、管理決策、故障 隔離����、故障恢復(fù)和故障預(yù)測六位一體的安全關(guān)鍵軟件健康管理方法。
[0005] 本發(fā)明的具體技術(shù)方案是:
[0006] 本發(fā)明提供了一種安全關(guān)鍵軟件的健康管理方法��,包括以下步驟:
[0007] 1)創(chuàng)建安全關(guān)鍵軟件健康監(jiān)測表����;所述健康監(jiān)測表用于監(jiān)測安全關(guān)鍵軟件是否 發(fā)生故障�����;監(jiān)測內(nèi)容包括安全關(guān)鍵軟件中各模塊的狀態(tài)�����、事件以及日志的監(jiān)測�;
[0008] 2)創(chuàng)建安全關(guān)鍵軟件健康診斷判據(jù)表�����,所述健康診斷判據(jù)表用于確定故障現(xiàn)象�; 所述故障現(xiàn)象內(nèi)容包括安全關(guān)鍵軟件中各模塊的消息、響應(yīng)��、聲明���、架構(gòu)和規(guī)則的診斷����;
[0009] 3)創(chuàng)建安全關(guān)鍵軟件健康管理決策藍(lán)圖��,所述健康管理決策藍(lán)圖用于故障處理規(guī) 則的制定����;
[0010] 4)查詢健康監(jiān)測表判斷安全關(guān)鍵軟件是否出現(xiàn)故障��,若出現(xiàn)故障����,則進(jìn)行步驟 6)�����,若未出現(xiàn)故障�����,則繼續(xù)周期性的查詢健康監(jiān)測表�;
[0011] 5)根據(jù)健康診斷判據(jù)表確定故障現(xiàn)象����;
[0012] 6)根據(jù)健康管理決策藍(lán)圖制定的故障處理規(guī)則對故障進(jìn)行處理;所述故障處理 規(guī)則包括故障隔離以及故障恢復(fù)���。
[0013] 該方法還包括步驟7)建立安全關(guān)鍵軟件故障預(yù)測模型����;依據(jù)故障預(yù)測模型的內(nèi) 容對安全關(guān)鍵軟件的故障進(jìn)行預(yù)測;所述故障預(yù)測模型內(nèi)容包括安全關(guān)鍵軟件的規(guī)模�����、復(fù) 雜度��、以探測故障數(shù)�、引入故障數(shù)、探測故障密度��、剩余故障密度����。
[0014] 上述故障恢復(fù)包括兩種方式:
[0015] A、對于影響范圍小的故障�,通過替換故障模塊進(jìn)行故障恢復(fù);
[0016] B���、對于影響范圍大的故障��,對安全關(guān)鍵軟件或者安全關(guān)鍵軟件的子系統(tǒng)進(jìn)行重 構(gòu)���。
[0017] 本發(fā)明的優(yōu)點(diǎn)在于:
[0018] 1、本發(fā)明的方法通過創(chuàng)建的健康監(jiān)測表、健康診斷判據(jù)表����、健康管理決策藍(lán)圖實(shí) 現(xiàn)了安全關(guān)鍵軟件的故障隔離、故障恢復(fù)���。
[0019] 2��、本發(fā)明的方法通過建立安全關(guān)鍵軟件故障預(yù)測模型�,可以有效的預(yù)測安全關(guān)鍵 軟件未來可能發(fā)生的故障的時機(jī)�,類型�����,便于后期處理���。
【附圖說明】
[0020] 圖1為本發(fā)明的健康管理流程圖����;
[0021 ] 圖2為安全關(guān)鍵軟件故障恢復(fù)流程����;
[0022] 圖3為安全關(guān)鍵軟件故障預(yù)測模型。
【具體實(shí)施方式】
[0023] 本方案中所指的安全關(guān)鍵軟件包括危害性軟件(指直接導(dǎo)致危害或用于控制危 害的軟件)及對危害性軟件有影響的軟件,所提出的健康管理方法適用于以下幾類安全關(guān) 鍵軟件:
[0024] a����、用于控制或監(jiān)控危害性硬件、軟件的軟件����。此類軟件一般駐留于實(shí)時嵌入式系 統(tǒng)中,如機(jī)艙門的控制軟件��、操作系統(tǒng)或交換機(jī)監(jiān)控軟件等�����。
[0025] b�����、向安全相關(guān)決策提供信息的軟件���。如飛行員在引擎起火時必須關(guān)閉引擎��,讀取 引擎起火離散量并向飛行員顯示的軟件必須為安全關(guān)鍵軟件����,進(jìn)一步,在所有信息處理過 程中的相關(guān)軟件�����,包括傳感器采集軟件�、數(shù)模轉(zhuǎn)換軟件、顯示軟件等均為安全關(guān)鍵軟件�����;
[0026] c�����、執(zhí)行特等危害相關(guān)過程的軟件�。如用于驗(yàn)證危害性軟件的軟件����。在一些特定情 況下,模型�、仿真器、模擬器等常用于對真實(shí)硬件相應(yīng)的模擬�,根據(jù)產(chǎn)生的結(jié)果,會對軟件需 求���、設(shè)計(jì)等進(jìn)行更改�,因此,這些模型��、仿真器�����、模擬器等也屬于安全關(guān)鍵軟件�。
[0027]d、和安全關(guān)鍵軟件駐留在一起的軟件���。非安全關(guān)鍵軟件由于和安全關(guān)鍵軟件共享 計(jì)算機(jī)資源�����,可能造成系統(tǒng)故障蔓延����,除非證明確實(shí)采用了正確手段保證故障隔離��,非安全 關(guān)鍵軟件也被看作安全關(guān)鍵軟件���。
[0028] 本方案中的安全關(guān)鍵軟件健康管理方法包括以下幾個方面健康監(jiān)測�、健康診斷、 管理決策��、故障隔離���、故障恢復(fù)����、故障預(yù)測���;
[0029] 健康監(jiān)測:實(shí)時收集安全關(guān)鍵軟件系統(tǒng)的各項(xiàng)運(yùn)行數(shù)據(jù)�,為軟件健康診斷提供依 據(jù)�。
[0030] 健康診斷:對安全關(guān)鍵軟件各部分的監(jiān)測信息進(jìn)行分析,鑒定故障�����,評價(jià)安全關(guān)鍵 軟件系統(tǒng)的健康狀態(tài)�����。
[0031] 管理決策:依據(jù)健康診斷結(jié)果及故障預(yù)測信息決定執(zhí)行何種故障處理策略����,包括 故障隔離策略和故障恢復(fù)策略。
[0032] 故障隔離:定位到發(fā)生故障的軟件子系統(tǒng)或軟件模塊���,并對其進(jìn)行有效隔離��,防止 故障擴(kuò)散���。
[0033] 故障恢復(fù):在不影響軟件本身及關(guān)聯(lián)軟件正常運(yùn)行的情況下,執(zhí)行前向恢復(fù)或后 向恢復(fù)策略����,使安全關(guān)鍵軟件系統(tǒng)無縫地從故障狀態(tài)切換到健康狀態(tài)。
[0034] 故障預(yù)測:綜合各種軟件健康狀況信息如當(dāng)前狀態(tài)監(jiān)測數(shù)據(jù)�、健康診斷信息、故障 恢復(fù)信息以及健康狀態(tài)歷史經(jīng)驗(yàn)數(shù)據(jù)等���,預(yù)測其未來可能發(fā)生的故障的時機(jī)�����。故障預(yù)測信 息與健康診斷信息一起��,構(gòu)成健康管理決策的基礎(chǔ)�����。
[0035] 具體步驟是:
[0036] 1)創(chuàng)建安全關(guān)鍵軟件健康監(jiān)測表�;所述健康監(jiān)測表用于監(jiān)測安全關(guān)鍵軟件是否 發(fā)生故障;監(jiān)測內(nèi)容包括安全關(guān)鍵軟件中各模塊的狀態(tài)�、事件以及日志的監(jiān)測;
[0037] 具體說:健康診斷依據(jù)實(shí)時監(jiān)測的健康數(shù)據(jù)