软件可靠性设计的基本原则

失效故障错误的定义

失效：系统按要求执行功能的能力的终止，针对的是功能的丧失或者终止

故障：可引起要素或相关项失效的异常情况，分为故障和非故障

错误：指计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异

软件可靠性的定义

在规定条件下，规定时间内，软件不引起系统失效的概率。

软件系统在规定的时间内以及规定的环境条件下，完成规定功能的能力。

可靠性和可用性

系统可靠性是系统在规定的时间以及规定的环境条件下，完成规定功能的能力，也就是系统无障碍运行的概率

系统可用性是指某个给定时间点上系统能按规定需求执行的概率

提高可靠性需要强调减少系统中断或故障的次数，提高可用性需要强调减少系统从灾难中恢复的时间

可靠性技术

(1)故障检测，故障定位，故障修复

(2)防错，查错，容错，纠错

可靠性设计的基本原则

(1)要在软件的总体设计框架中使用，并且不能与其他设计原则相冲突

(2)前提是满足提高软件质量的要求下，终提高软件可靠性

(3)确定软件的可靠性目标，不能无限扩大，并且排在功能，用户需求，开发费用之后考虑

可靠性的分析方法

失效模式影响分析，严酷性分析，故障树分析和潜在线路分析。

可靠性测试流程

确定可靠性目标，进行软件运行剖面，编写测试计划，设计可靠性用例，执行测试，分析测试结果，编写测试报告。

软件运行剖面

MUSA软件分析的原则：

1. 模式剖面：对软件的使用者进行分类，根据对使用者的划分将软件划分成不同的模式剖面。

2. 功能剖面：根据每个模式下的功能可以划分为不同的功能剖面。

3. 运行剖面：每一个功能由许多运行组成。这些运行的集合便构成了运行剖面。

定义失效等级

在制定测试计划时，失效及其等级的定义应由测试人员、设计人员和用户共同商定，达成协议。

定义失效等级的目的：

(1) 对发生概率小但失效后危害严重的功能需求的识别。

(2) 对可不查找失效原因、并不做统计的功能需求的识别。

失效等级定义

1级失效：系统无法运行

2级失效：主要功能失效

3级失效：影响一般，范围较小

4级失效：不影响使用，范围小

如果存在1级和2级失效可能性，那么就应该进行故障树分析，标识出所有可能造成严重失效的功能需求和其相关的输入域、外部条件和发生的可能性，对引起1级和2级失效的功能需求及其相关的输入域必须进行严格的强化测试。

对引起3级失效的功能可按其发生概率选择测试实例。

第4级失效可不查找原因，可在以后的版本中处理。

失效数据

失效时间数据（完全失效数据）：每一次失效发生的时间构成的失效数据

失效计数数据（不完全失效数据）：由各时间段内发生的失效次数构成的失效数据

故障树

故障树的定义

故障树分析法是在系统设计的过程中，通过对可能造成系统失败的各种因素（包括硬件、软件、环境、人为因素）进行分析，画出逻辑框图（即故障树），从而确定系统失败原因的各种可能组合方式或其发生概率，以计算系统失效概率，采取相应措施，以提高系统可靠性的一种设计分析方法。

对于所研究系统的各类故障或不正常工作情况统称为故障事件，与之对立的是成功事件。

故障树是一种为研究系统某功能故障而建立的一种倒树状的逻辑因果关系图。

故障树主要由事件和逻辑门构成，事件用来描述系统或元部件的故障状态，逻辑门把事件联系起来，表示事件间的逻辑因果关系

故障树的特点

(1)自上而下作层层追踪分析

(2)事件间的逻辑关系一目了然

(3)在系统设计阶段有助于判明系统的隐患和潜在故障

(4)故障树可作为管理维修人员的管理维修指南

(5)规范化

仅含有基本事件、中间事件、顶事件以及与或非三种逻辑门的故障树

(6)简化

用相同转移符号表示相同子树、相似转移符号表示相似子树

用布尔代数法化简，去掉明显的逻辑多余事件和逻辑多余门

故障树相关过程

（1）选择顶事件

（2）建立故障树：规范化、事件逻辑门符号

（3）故障树的定性分析：简化（布尔表达式化简）和求小割集

（4）故障树的定量分析：求顶事件发生的概率、重要度分析

（5）确定设计上的薄弱环节（找出问题所在）

（6）采取措施，提高产品的可靠性和安全性

割集的性质（重要度影响关系）

阶数越小的小割集越重要

在低阶小割集中出现的底事件比高阶中的更重要

在相同阶次下，在不同割集中重复出现次数越多的底事件越重要