軟件的安全性分析(優(yōu)質(zhì)PPT文檔)

第十講軟件的安全性分析優(yōu)選第十講軟件的安全性分析1概述的反射治療機(jī)軟件錯(cuò)誤，五名患者受超劑量輻射死亡血液數(shù)據(jù)庫(kù)程序出錯(cuò)，致使被AIDS污染的血液被用于治療軍用設(shè)備和核反應(yīng)堆…………軟件的安全問(wèn)題主要起源于軟件設(shè)計(jì)對(duì)實(shí)際工作情況缺乏了解對(duì)系統(tǒng)工作狀況所作的錯(cuò)誤假設(shè)需求說(shuō)明不清楚……軟件安全性是一種特殊的可靠性軟件可靠性的避錯(cuò)，查錯(cuò)和容錯(cuò)設(shè)計(jì)技術(shù)同樣適用軍標(biāo)MIL-STD-882B將軟件系統(tǒng)的安全性工作歸結(jié)為如下的九項(xiàng)：確定系統(tǒng)及系統(tǒng)中軟件的安全性要求將系統(tǒng)安全性說(shuō)明中的要求準(zhǔn)確轉(zhuǎn)化為系統(tǒng)或分系統(tǒng)說(shuō)明的要求，轉(zhuǎn)化為軟件需求說(shuō)明的要求，并將這些要求在軟件設(shè)計(jì)和編碼中實(shí)現(xiàn)在系統(tǒng)，分系統(tǒng)說(shuō)明及軟件需求說(shuō)明中確定當(dāng)可能發(fā)生安全事故時(shí)的系統(tǒng)決策，這些決策包括失效安全，失效降級(jí)使用，失效容錯(cuò)使用等確定軟件系統(tǒng)中的安全關(guān)鍵單元，安全關(guān)鍵單元是指那些對(duì)系統(tǒng)安全性有關(guān)鍵性影響的程序、分程序和模塊對(duì)軟件的安全關(guān)鍵單元進(jìn)行分析通過(guò)分析、驗(yàn)證、確保軟件系統(tǒng)安全性要求的實(shí)現(xiàn)，驗(yàn)證不存在有損于安全性的單個(gè)或多個(gè)失效事件，保證系統(tǒng)的安全性要求不致引起新的危險(xiǎn)確保編制出的程序不會(huì)因?yàn)橛|發(fā)危險(xiǎn)功能，或阻礙正常的功能的執(zhí)行而使系統(tǒng)處于危險(xiǎn)狀態(tài)保證對(duì)系統(tǒng)進(jìn)行充分的安全性測(cè)試，包括失效事件發(fā)生的測(cè)試2.軟件系統(tǒng)安全性分析MIL-STD-882B規(guī)定軟件的安全性分析包括軟件需求危險(xiǎn)分析概要設(shè)計(jì)危險(xiǎn)分析詳細(xì)設(shè)計(jì)危險(xiǎn)分析軟件編程危險(xiǎn)分析軟件安全性測(cè)試軟件與用戶接口危險(xiǎn)分析軟件更改危險(xiǎn)分析2.1軟件需求危險(xiǎn)分析利用系統(tǒng)初步危險(xiǎn)分析的結(jié)果，初步確定軟件的安全關(guān)鍵單元。要點(diǎn)為：建立軟件安全性需求的跟蹤系統(tǒng)，記錄每個(gè)需求的實(shí)現(xiàn)情況從安全性的角度評(píng)審系統(tǒng)說(shuō)明和分系統(tǒng)說(shuō)明，評(píng)審軟件需求說(shuō)明，接口說(shuō)明，以及其它有關(guān)系統(tǒng)方案和要求等文件將系統(tǒng)安全性的要求分配到軟件由系統(tǒng)的初步危險(xiǎn)表導(dǎo)出軟件的危險(xiǎn)表分析功能流程圖、編程語(yǔ)言、數(shù)據(jù)流圖、存儲(chǔ)和時(shí)序分配圖表以及其它的程序文檔2.2概要設(shè)計(jì)危險(xiǎn)分析分析的結(jié)果將交給初步設(shè)計(jì)評(píng)審從軟件的危險(xiǎn)表出發(fā)，分析其中的危險(xiǎn)事件與軟件的組成單元之間的關(guān)系，并將這些危險(xiǎn)事件有關(guān)的軟件單元確定為軟件安全關(guān)鍵單元檢查軟件。確定軟件的各個(gè)單元、模塊、表、變量之間是否相關(guān)，確定相關(guān)的程度，凡是對(duì)軟件安全性單元有直接和間接影響的其它單元，也要確定為軟件安全關(guān)鍵單元，并且分析它們對(duì)安全的影響分析軟件安全關(guān)鍵單元的概要設(shè)計(jì)是否符合安全性的要求，分析的結(jié)果應(yīng)送交給軟件設(shè)計(jì)人員和項(xiàng)目主管2.3詳細(xì)設(shè)計(jì)危險(xiǎn)分析安排在初步評(píng)審之后，軟件編碼之前，分析的結(jié)果交給關(guān)鍵設(shè)計(jì)評(píng)審依據(jù)需求危險(xiǎn)分析，概要設(shè)計(jì)危險(xiǎn)分析確定的危險(xiǎn)事件，分析這些事件與低層次的軟件單元的關(guān)系，將對(duì)危險(xiǎn)事件有影響的單元確定為軟件安全關(guān)鍵單元，分析這些單元對(duì)危險(xiǎn)事件影響的方式和途徑在低結(jié)構(gòu)層次上考察軟件的各個(gè)單元、模塊、表和變量之間的相關(guān)程度，將直接和間接影響軟件安全關(guān)鍵單元的其它單元確定為安全關(guān)鍵單元，分析它們對(duì)安全的影響分析軟件安全關(guān)鍵單元的詳細(xì)設(shè)計(jì)是否符合安全性設(shè)計(jì)的要求，分析的結(jié)果應(yīng)該送給軟件設(shè)計(jì)人員和項(xiàng)目主管確定在測(cè)試計(jì)劃、說(shuō)明和規(guī)程中需要包含的安全性要求確定在系統(tǒng)操作員手冊(cè)、軟件用戶手冊(cè)、系統(tǒng)診斷手冊(cè)及其它手冊(cè)中需要包含的安全性要求確保編程人員了解安全關(guān)鍵單元，向編程人員提供有關(guān)安全性的編程建議和要求2.4軟件編程危險(xiǎn)分析考察軟件的安全關(guān)鍵單元以及其它單元的源程序和目標(biāo)程序是否實(shí)現(xiàn)了安全性設(shè)計(jì)的要求，該工作與編程同時(shí)進(jìn)行考察軟件安全關(guān)鍵單元的正確性，考察它們對(duì)輸入或輸出時(shí)序，多重事件，錯(cuò)誤事件，失序事件，惡劣事件，死鎖及輸入數(shù)據(jù)錯(cuò)誤的反映和敏感性考察程序、模塊或單元中是否存在影響安全性的編程錯(cuò)誤考察安全關(guān)鍵單元是否符合系統(tǒng)說(shuō)明、分系統(tǒng)說(shuō)明和軟件需求說(shuō)明中提出的安全性對(duì)策，這種考察必須在源程序和目標(biāo)程序中進(jìn)行考察軟件安全關(guān)鍵單元的安全性設(shè)計(jì)要求的實(shí)現(xiàn)情況，確保達(dá)到所要求的目標(biāo)，確保硬件和其它模塊的失效不致影響軟件的安全性特征使系統(tǒng)在危險(xiǎn)狀態(tài)下運(yùn)行，并考察硬件或軟件失效、單個(gè)或多重事件，失序事件，程序的非正常轉(zhuǎn)移對(duì)安全性的影響考察超界、過(guò)載輸入對(duì)安全性的影響評(píng)審正在制訂的軟件文檔、確保這些文檔包含了軟件的安全性要求2.5軟件安全性測(cè)試對(duì)安全關(guān)鍵單元進(jìn)行安全性測(cè)試，保證使危險(xiǎn)事件發(fā)生的可能性降低到可以接受的水平向測(cè)試人員提供軟件安全關(guān)鍵單元的安全性測(cè)試案例確保所有的軟件安全關(guān)鍵單元按預(yù)定的測(cè)試方案進(jìn)行安全性測(cè)試，準(zhǔn)確地記錄測(cè)試的結(jié)果除了在正常狀態(tài)下進(jìn)行的測(cè)試外，還要在異常的環(huán)境和異常的輸入狀態(tài)下測(cè)試軟件，確保軟件在這些狀態(tài)下仍能安全運(yùn)行進(jìn)行軟件強(qiáng)度測(cè)試，確保軟件安全運(yùn)行確保外購(gòu)軟件安全運(yùn)行訂購(gòu)方所提供的軟件，不管是否進(jìn)行了修改，都需要進(jìn)行測(cè)試，以保證這些軟件在系統(tǒng)中安全運(yùn)行確保在系統(tǒng)綜合測(cè)試和系統(tǒng)驗(yàn)收測(cè)試中所發(fā)現(xiàn)的危險(xiǎn)事件得到了糾正，確保對(duì)這些事件進(jìn)行了重新測(cè)試，沒(méi)有遺留問(wèn)題2.6軟件與用戶接口危險(xiǎn)性分析提供檢測(cè)危險(xiǎn)征兆或潛在危險(xiǎn)狀態(tài)的方法，預(yù)防安全事故的發(fā)生控制危險(xiǎn)事件，使其只有在特殊的情況下和操作員特定的命令下才可能發(fā)生向操作員、用戶和其它人員提供報(bào)警功能，指示可能出現(xiàn)或正在出現(xiàn)的潛在危險(xiǎn)當(dāng)危險(xiǎn)事件發(fā)生后，確保系統(tǒng)能夠生存當(dāng)預(yù)防和控制危險(xiǎn)的規(guī)程失敗后，或危險(xiǎn)事件發(fā)生時(shí)，能提供控制損害程度的規(guī)程和恢復(fù)到安全狀態(tài)的規(guī)程提供在嚴(yán)重危險(xiǎn)狀態(tài)下使系統(tǒng)生存和恢復(fù)功能的規(guī)程具有安全終止某個(gè)事件和安全終止程序運(yùn)行的能力具有向操作員提供系統(tǒng)或軟件失效的報(bào)警功能具有向操作員提供安全性決策所需的信息，確保危險(xiǎn)數(shù)據(jù)能夠明確顯示2.7軟件更改危險(xiǎn)分析分析系統(tǒng)，分系統(tǒng)接口，邏輯和其它設(shè)計(jì)更改對(duì)安全性的影響，確保這些更改不會(huì)產(chǎn)生新的危險(xiǎn)，不會(huì)觸發(fā)已經(jīng)消除的危險(xiǎn)，不會(huì)使現(xiàn)存的危險(xiǎn)變得更嚴(yán)重，不會(huì)對(duì)有關(guān)的設(shè)計(jì)和程序產(chǎn)生任何有害的危害對(duì)更改進(jìn)行測(cè)試，確保更改后的軟件不包含危險(xiǎn)事件確保軟件的更改已經(jīng)在編程中準(zhǔn)確的實(shí)現(xiàn)評(píng)審和修改有關(guān)文檔，以反映這些更改將執(zhí)行軟件更改危險(xiǎn)分析的方法和程序納入軟件配置管理計(jì)劃3軟件失效模式效應(yīng)分析失效模式效應(yīng)分析FMEA傳統(tǒng)的系統(tǒng)可靠性，安全性分析方法增加危害度分析的內(nèi)容，稱為失效模式，效應(yīng)及危害度分析，簡(jiǎn)稱為FMECA3.1FMEA的例子:速度傳感器gearboxcontrollersensorsignalprocessingunit儀表盤(pán)gearboxtoothedwheelFMEA報(bào)告:速度傳感器組件失效模式局部效果系統(tǒng)效果危害SpeedsensorBreaksSpeedcalculatedaszero1.

Speedometershowszero2.

Odometer(里程表)

notupdated3.

Wronggearselected1.

Drivermislead,...2.

Maintenance

delayed,...3.

Engineseizes

athighspeed,...3.2FMEA特點(diǎn)失效模式和影響分析方法:從組件的已知的或者預(yù)測(cè)的失效模式，確定對(duì)系統(tǒng)可能的效果比較有利于在開(kāi)發(fā)早期識(shí)別系統(tǒng)的危險(xiǎn):lossoffunction(omissionfailure)functionperformedincorrectlyfunctionperformedwhennotrequired

(commissionfailure)3.3軟件FMEA方法軟件與硬件具有相似性，但是又存在若干重要差別，例如軟件的執(zhí)行是串行的軟件FMEA中的失效模式、影響和嚴(yán)重性分類(lèi)方法，可參考相關(guān)的資料，例如IEEE失效模式分類(lèi)方法評(píng)審和修改有關(guān)文檔，以反映這些更改Odometer(里程表)notupdated對(duì)更改進(jìn)行測(cè)試，確保更改后的軟件不包含危險(xiǎn)事件糧食大量?jī)A倒，造成嚴(yán)重?fù)p失與安全關(guān)鍵任務(wù)有關(guān)的嵌入式軟件，對(duì)系統(tǒng)的可靠性與安全性構(gòu)成嚴(yán)重威脅三角形轉(zhuǎn)出符用來(lái)表示某事件的輸出，用于簡(jiǎn)化故障樹(shù)1FMEA的例子:速度傳感器三角形轉(zhuǎn)出符用來(lái)表示某事件的輸出，用于簡(jiǎn)化故障樹(shù)軟件FMEA中的失效模式、影響和嚴(yán)重性分類(lèi)方法，可參考相關(guān)的資料，例如IEEE失效模式分類(lèi)方法從安全性的角度評(píng)審系統(tǒng)說(shuō)明和分系統(tǒng)說(shuō)明，評(píng)審軟件需求說(shuō)明，接口說(shuō)明，以及其它有關(guān)系統(tǒng)方案和要求等文件血液數(shù)據(jù)庫(kù)程序出錯(cuò)，致使被AIDS污染的血液被用于治療嵌入式發(fā)動(dòng)機(jī)測(cè)速軟件控制流程圖考察安全關(guān)鍵單元是否符合系統(tǒng)說(shuō)明、分系統(tǒng)說(shuō)明和軟件需求說(shuō)明中提出的安全性對(duì)策，這種考察必須在源程序和目標(biāo)程序中進(jìn)行分析每一個(gè)失效模式的影響，分析失效模式影響的嚴(yán)重程度對(duì)系統(tǒng)工作狀況所作的錯(cuò)誤假設(shè)1.系統(tǒng)定義在系統(tǒng)定義中應(yīng)說(shuō)明系統(tǒng)的主要功能和次要功能，用途，系統(tǒng)的約束條件和失效判據(jù)等2.危險(xiǎn)分析在危險(xiǎn)分析中，主要任務(wù)是找出對(duì)系統(tǒng)功能和安全性影響較大的危險(xiǎn)事件，確定軟件的不安全模式。對(duì)這些危險(xiǎn)事件的出現(xiàn)有直接或間接關(guān)系的單元稱為安全關(guān)鍵單元。建立危險(xiǎn)事件及其發(fā)生原因聯(lián)系

安全關(guān)鍵單元分原因1分原因2分原因3……分原因n

危險(xiǎn)事件1原因1

原因2

……

危險(xiǎn)事件n原因1

原因2

……

3.結(jié)構(gòu)分解及分層次定義按功能分解按軟件系統(tǒng)結(jié)構(gòu)特征分解按軟件工作模式分解4.失效模式分析填寫(xiě)失效模式分析表格并進(jìn)行危害度分析及提出改進(jìn)、糾正措施3.4嵌入式軟件的FMEA分析方法嵌入式計(jì)算機(jī)控制系統(tǒng)特征系統(tǒng)的軟硬件配置與通用系統(tǒng)不同系統(tǒng)設(shè)計(jì)：硬件與軟件必須同步進(jìn)行使用的語(yǔ)言嵌入式計(jì)算機(jī)軟件的可靠性特征與安全關(guān)鍵任務(wù)有關(guān)的嵌入式軟件，對(duì)系統(tǒng)的可靠性與安全性構(gòu)成嚴(yán)重威脅嵌入式計(jì)算機(jī)硬件和軟件的可靠性是相互聯(lián)系、相互制約的必須將系統(tǒng)反應(yīng)時(shí)間是否符合規(guī)定的要求作為嵌入式實(shí)時(shí)計(jì)算機(jī)控制系統(tǒng)的失效判據(jù)由于開(kāi)發(fā)環(huán)境相對(duì)不夠完善，軟件的可靠性較難保證軟硬件綜合FMEA分析方法的步驟根據(jù)系統(tǒng)的功能和軟件的需求說(shuō)明，繪制出軟件或軟件單元的控制功能的流程圖將控制功能流程圖中的每一個(gè)單元，等同于硬件系統(tǒng)中的一個(gè)元件按照常規(guī)FMEA分析方法的原則，分析各個(gè)單元的各種失效模式。但是與硬件的失效模式分析的區(qū)別是，分析時(shí)必須詳細(xì)研究軟件的各種可能的失效模式分析每一個(gè)失效模式的影響，分析失效模式影響的嚴(yán)重程度將分析的結(jié)果，填寫(xiě)入FMEA分析表格區(qū)分各種失效模式的嚴(yán)重程度，有針對(duì)性地提出糾正措施軟硬件綜合FMEA分析方法的特點(diǎn)軟硬件綜合FMEA分析方法的特點(diǎn)是以計(jì)算機(jī)軟件的控制流程圖為線索，對(duì)系統(tǒng)進(jìn)行功能和結(jié)構(gòu)分解，進(jìn)行更深層次的分析常規(guī)FMEA分析方法通常是在硬件（例如電路）的詳細(xì)設(shè)計(jì)完成后，利用歸納法從底向上，逐級(jí)上推，跟蹤分析底層元器件失效模式對(duì)系統(tǒng)的最終影響。軟硬件綜合FMEA分析方法的一個(gè)基本依據(jù)是軟件的需求說(shuō)明由于軟硬件綜合FMEA分析是將軟件和受控的硬件作為一個(gè)整體進(jìn)行分析，所以容易考察硬件和軟件的相互作用。例子嵌入式發(fā)動(dòng)機(jī)測(cè)速軟件控制流程圖檢查發(fā)動(dòng)機(jī)的速度檢查速度允許范圍軟件單元1軟件單元2在維修記錄中寫(xiě)入并報(bào)警輸出至發(fā)動(dòng)機(jī)模塊軟件單元3軟件單元4IF否是在速度正常時(shí)被作為不正常值寫(xiě)到維護(hù)記錄中；在速度不正常時(shí)沒(méi)有作出記錄。失效原因分析檢查發(fā)動(dòng)機(jī)的速度檢查速度允許范圍軟件單元1軟件單元2在維修記錄中寫(xiě)入并報(bào)警輸出至發(fā)動(dòng)機(jī)模塊軟件單元3軟件單元4IF否是來(lái)自軟件單元1的從屬失效；本單元軟件設(shè)計(jì)的接收數(shù)據(jù)等待時(shí)間短于測(cè)速器數(shù)據(jù)測(cè)量和傳輸時(shí)間功能和結(jié)構(gòu)簡(jiǎn)單，失效原因不可能出自軟件單元內(nèi)部，而是單元1、單元2導(dǎo)致的從屬失效失效糾正措施關(guān)鍵作用的原因：測(cè)速器和傳感器故障微處理器存儲(chǔ)器故障軟件單元1設(shè)計(jì)錯(cuò)誤軟件單元3設(shè)計(jì)接收數(shù)據(jù)等待時(shí)間短于測(cè)速器和傳感器數(shù)據(jù)的測(cè)量和傳輸時(shí)間硬件故障，解決方法：提高測(cè)速器和傳感器及微處理器的可靠性軟件設(shè)計(jì)錯(cuò)誤例子2糧食自動(dòng)裝載運(yùn)輸系統(tǒng)任務(wù)101開(kāi)始從傳感器上讀入小車(chē)到達(dá)的信號(hào)，停止傳輸線的運(yùn)行任務(wù)102使裝料桶傾斜，向小車(chē)傾倒糧食任務(wù)201小車(chē)停留n秒，然后繼續(xù)運(yùn)行任務(wù)103讀取到達(dá)編碼器的信息，小車(chē)停止運(yùn)行任務(wù)202小車(chē)停止打碼任務(wù)104讀取到達(dá)派送器的信息任務(wù)203移動(dòng)小車(chē)到達(dá)預(yù)訂的生產(chǎn)線軟件單元系統(tǒng)失效模式失效原因影響嚴(yán)重程度建議的軟件硬件改正措施101軟件誤認(rèn)為小車(chē)已經(jīng)到達(dá)，實(shí)際上小車(chē)沒(méi)有到達(dá)傳感器功能不正?；蛭⑻幚砥鲾?shù)據(jù)位發(fā)生錯(cuò)誤糧食大量?jī)A倒，造成嚴(yán)重?fù)p失十分嚴(yán)重除正常的控制系統(tǒng)外，建議增加一個(gè)附加的電子觀察裝置

軟件誤認(rèn)為小車(chē)沒(méi)有到達(dá)，實(shí)際上小車(chē)已經(jīng)叨叨傳感器功能不正?；蛭⑻幚砥鲾?shù)據(jù)位發(fā)生錯(cuò)誤，程序功能錯(cuò)誤小車(chē)空載，正常生產(chǎn)過(guò)程被打亂嚴(yán)重增加一個(gè)傳感器，程序應(yīng)檢查二者是否一致，并從打碼處獲取反饋信息，軟件應(yīng)該經(jīng)過(guò)嚴(yán)格的測(cè)試和驗(yàn)證102裝料桶對(duì)程度的命令沒(méi)有反應(yīng)控制開(kāi)關(guān)失效生產(chǎn)過(guò)程中斷嚴(yán)重程序的命令應(yīng)換接到另一備用的控制電路

裝料桶裝料之后沒(méi)有返回正常狀態(tài)控制開(kāi)關(guān)失效糧食大量的傾倒到廠房地面，可能造成糧食的嚴(yán)重污染十分嚴(yán)重設(shè)計(jì)一個(gè)等待時(shí)間達(dá)N+2分鐘后使裝料桶復(fù)位的程序，載開(kāi)關(guān)失效時(shí)裝料桶應(yīng)處于失效、安全狀態(tài)201小車(chē)等待時(shí)間過(guò)長(zhǎng)時(shí)鐘錯(cuò)誤糧食大量?jī)A倒十分嚴(yán)重程序應(yīng)用一個(gè)主時(shí)鐘，檢查控制器時(shí)鐘的誤差是否在允許范圍內(nèi)，如果時(shí)間誤差達(dá)到N+2分鐘，則打印輸出并報(bào)警………………………………

分析結(jié)果軟件系統(tǒng)的需求規(guī)格說(shuō)明存在缺陷，例如最初的需求說(shuō)明沒(méi)有考慮到如果裝料桶的計(jì)時(shí)器在使用過(guò)程中逐漸發(fā)生誤差，使裝載時(shí)間延長(zhǎng)，結(jié)果可能出現(xiàn)每次裝載的糧食太多，由小車(chē)艙中溢出一些通用的失效模式糾正措施從設(shè)計(jì)方案中，消除導(dǎo)致關(guān)鍵性的硬件失效原因采用容錯(cuò)設(shè)計(jì)技術(shù)采用失效安全設(shè)計(jì)技術(shù)在軟件執(zhí)行關(guān)鍵性功能時(shí)，應(yīng)使程序具有自檢查的功能對(duì)用戶進(jìn)行專(zhuān)門(mén)的培訓(xùn)從設(shè)計(jì)方案中，消除導(dǎo)致關(guān)鍵性的硬件失效原因?qū)@些危險(xiǎn)事件的出現(xiàn)有直接或間接關(guān)系的單元稱為安全關(guān)鍵單元。確定軟件的各個(gè)單元、模塊、表、變量之間是否相關(guān)，確定相關(guān)的程度，凡是對(duì)軟件安全性單元有直接和間接影響的其它單元，也要確定為軟件安全關(guān)鍵單元，并且分析它們對(duì)安全的影響在系統(tǒng)定義中應(yīng)說(shuō)明系統(tǒng)的主要功能和次要功能，用途，系統(tǒng)的約束條件和失效判據(jù)等與安全關(guān)鍵任務(wù)有關(guān)的嵌入式軟件，對(duì)系統(tǒng)的可靠性與安全性構(gòu)成嚴(yán)重威脅分析功能流程圖、編程語(yǔ)言、數(shù)據(jù)流圖、存儲(chǔ)和時(shí)序分配圖表以及其它的程序文檔由系統(tǒng)的初步危險(xiǎn)表導(dǎo)出軟件的危險(xiǎn)表血液數(shù)據(jù)庫(kù)程序出錯(cuò)，致使被AIDS污染的血液被用于治療軟件FMEA中的失效模式、影響和嚴(yán)重性分類(lèi)方法，可參考相關(guān)的資料，例如IEEE失效模式分類(lèi)方法當(dāng)危險(xiǎn)事件發(fā)生后，確保系統(tǒng)能夠生存軟硬件綜合FMEA分析方法的特點(diǎn)是以計(jì)算機(jī)軟件的控制流程圖為線索，對(duì)系統(tǒng)進(jìn)行功能和結(jié)構(gòu)分解，進(jìn)行更深層次的分析確保編制出的程序不會(huì)因?yàn)橛|發(fā)危險(xiǎn)功能，或阻礙正常的功能的執(zhí)行而使系統(tǒng)處于危險(xiǎn)狀態(tài)functionperformedwhennotrequired

(commissionfailure)三角形轉(zhuǎn)入符表示某事件的轉(zhuǎn)入，用于簡(jiǎn)化故障樹(shù)向測(cè)試人員提供軟件安全關(guān)鍵單元的安全性測(cè)試案例4軟件故障樹(shù)分析法故障樹(shù)分析法（SFTA)是硬件可靠性和安全性分析的重要技術(shù)工具在軟件開(kāi)發(fā)的早期，可以用故障樹(shù)分析來(lái)確定軟件的安全要求，當(dāng)進(jìn)入設(shè)計(jì)后期或在編碼完成后，可以對(duì)故障樹(shù)加以擴(kuò)充，繼續(xù)進(jìn)行更輸入的分析4.1故障樹(shù)的邏輯關(guān)系邏輯“或”邏輯“與”邏輯否定圖形符表示基本事件，或元件的初始失效，對(duì)于故障樹(shù)中的基本事件沒(méi)有必要作更深入的分析矩形符表示需進(jìn)一步分析的事件，當(dāng)它用于故障樹(shù)的頂端時(shí)，表示頂端事件，即系統(tǒng)的某種不可靠或不安全的事件菱形符表示非基本事件，但是由于缺乏必要的信息，無(wú)法作更深沉的分析，這種事件又稱準(zhǔn)基本事件雙菱形符表示一個(gè)重要事件，其原因尚未窮盡，需要更深入的分析展開(kāi)三角形轉(zhuǎn)入符表示某事件的轉(zhuǎn)入，用于簡(jiǎn)化故障樹(shù)三角形轉(zhuǎn)出符用來(lái)表示某事件的輸出，用于簡(jiǎn)化故障樹(shù)房型符表示系統(tǒng)中正常發(fā)生的事件，例如用來(lái)表示元件的連續(xù)運(yùn)行橢圓型符用來(lái)表示某種條件，可以是這個(gè)符號(hào)來(lái)定義系統(tǒng)的可以導(dǎo)致某種失效事件的系統(tǒng)狀態(tài)或條件