增强指控装备软件健壮性的设计方法及应用_王骥.pdf

SOFTWARE软 件2023第 44 卷 第 1 期2023 年Vol.44,No.1作者简介：王骥（1979）,男,江西萍乡人,硕士研究生,高级工程师,研究方向：信息装备监造。增强指控装备软件健壮性的设计方法及应用王骥（海装上海局，上海 200000）摘要：本文从增强指控装备软件健壮性入手,分析了指控软件特点,提出软件可靠性、安全性设计方法,概述了常用软件健壮性测试方法,对指控软件健壮性设计及测试方法进行了总结。关键词：指控软件；健壮性；可靠性；安全性中图分类号：TP311.5 文献标识码：A DOI：10.3969/j.issn.1003-6970.2023.01.024本文著录格式：王骥.增强指控装备软件健壮性的设计方法及应用J.软件,2023,44(01):094-097Design Method and Application of Enhancing the Robustness of Command and Control Equipment SoftwareWANG Ji(Haizhuang Shanghai Bureau,Shanghai 200000)【Abstract】：This paper starts with enhancing the robustness of command and control equipment software,the characteristics of command and control software are analyzed,propose software reliability and safety design methods,common software robustness testing methods are summarized,the robustness design and testing methods of command and control software are summarized.【Key words】：command and control software;robustness;reliability;security设计研究与应用0 引言指控装备软件是作战指挥控制装备软件的简称,是现代战争指控体系的关键组成部分,具有实时性要求高、人机工程复杂、可靠性要求高、运行环境复杂、协同设计等特点,直接关系着指控装备效能的有效发挥乃至战争的胜负。从实战使用的角度来说,指控软件不仅要确保正确性和性能的符合性,还要注重增强软件对于规范要求以外的输入情况的处理能力,也就是确保软件的健壮性。1 指控软件的特点（1）实时性要求高。不论是战争时期指挥控制,还是和平时期全域监控,都对指控装备软件的实时性提出了更高的要求。指控装备软件将各类信息采集设备返回的敌我装备区域、速度、状态等实时信息进行整合、预判,快速得出用户指定的分析结果及决策建议,从而指导下一步动作,整个过程对实时性的要求都非常高。（2）人机工程复杂。指控装备软件涉及到各级用户单位、面向众多角色提供服务,在接入对讲机、手持终端、平板电脑、卫星等多种类信息采集设备的同时,为用户提供各类信息展现设备,且随着我国军用电子装备应用系统向海洋、高山、沙漠、高空甚至深空等全域恶劣环境平台方向发展,指控装备软件需要具备全域复杂恶劣环境适应性,人机环境异常复杂。（3）可靠性要求高。指控装备软件拥有着和一般的计算机软件存在较大差异的特点,比如规模大、必须更加可靠等1,可靠性水平的高低直接影响到整个系统的实现程度,在作战和训练中必须具有较高的可靠性才能确保军队安全、国家安全,随着硬件系统的集成化水平及批量生产质量控制水平的提高,其可靠性已经维持在一个较高的水平,今后一段时间软件将是制约装备可靠性提升的瓶颈,加强软件的可靠性设计将是未来一段时间软件研制的首要任务。（4）运行环境复杂。可以预见将来的战场环境会更加复杂,充满了更多变数2,比如说,如果处于复杂的电磁环境,就会对武器装备带来很大的干扰。除此之外,装备指控软件规模大且复杂,对所运行的环境有一定程度的依赖3,运行环境的差异可能导致软件在不同的环境95王骥：增强指控装备软件健壮性的设计方法及应用下运行会有不同的结果,如与操作系统、与数据库、与浏览器、与中间件、与其他软件、与平台软件等能否兼容,都是在指控装备软件设计开发中不可忽视的问题。（5）协同设计要求高。随着各项任务的拓展,指控软件的软件规模越来越大,系统结构异常复杂,主要包括安全保密系统、运维管理系统等共用软件,机要、测绘、气象、情报、通信、动员、后勤、装备等通用软件,密码保密、航海保证、情报保障、预警探测保障等专用软件。为了确保指控软件功能的完全实现,软件的协同设计尤为重要。2 软件健壮性设计方法软件健壮性一般包涵着软件可靠性和软件安全性两个方面。软件可靠性是指在一定的环境下,在给定的时间内,系统不发生故障的概率,强调在一定的条件下软件应准确完成所赋予的功能,考虑的是条件的预定性和功能集的实现；软件安全性是指软件在系统中运行而不至于在系统工作中造成不可接受的风险的能力,强调在某些特定条件下不能出现不期望的事件,考虑的是各种事故得到扼制。本文主要从软件可靠性、安全性两方面介绍软件健壮性设计方法。2.1 软件可靠性设计软件的可靠性设计是根据软件工程原理,对软件运行可能存在的隐患进行检验与分析,有助于提高软件运行水平。因此,在这一过程中,软件可靠性设计,则需要对软件的运行状态以及故障处理过程、软件处理方式等进行整合,并根据软件的功能特征,对软件可靠性指标进行合理分配,按照需要运行的软件、一般连续运行软件、重要连续运行软件以及一般需要运行软件的种类进行划分,在对可靠性指标占比进行分类中,按照 1.5：1.5：2.25：1 的比例进行划分,对提高软件可靠性有促进作用。与此同时,在对可靠性设计模型进行选择中,可从串联软件、并联软件、表决软件、及时修理并联软件、及时修理表决软件等模型的特征着手,根据软件可靠性需求,对软件可靠性模型的应用进行调整,从而提高软件可靠性设计的整体水平。2.1.1 可靠性设计模型（1）串联软件可靠性模型。软件之间采用串联的方式进行连接,其中一个软件出现故障问题,则软件整体会出现故障状态,所以,在对可靠性设计进行分析中,则可通过串联的方式,对软件公祖航进行检验,并实现点对点的故障处理,提高软件的可靠性。具体计算公式如式（1）所示：=nii1 （1）式（1）中：软件故障率,1/=mtbf,mtbf 为串联软件平均无故障工作时间；i各模块软件故障率。（2）并联软件可靠性模型。并联软件可靠性模型的搭建与应用,则是从软件连接以及故障处理的角度出发,对并联的软件可靠性进行设计。并行连接的状态下,所有软件模块出现故障状态,则说明是软件故障。具体的计算公式如式（2）所示：()2121/1-/1/1/1+=（2）式（2）中：软件故障率,1/=mtbf,mtbf 为并联软件平均无故障工作时间；i各模块软件故障率。（3）表决软件可靠性模型。从表决软件可靠性的角度进行分析,则是在并联的状态,对软件故障数量以及故障点等进行统计,将其认定为软件故障。在 n 选 m表决软件可靠性模型下,可对无故障工作时间、故障率等进行计算,计算公式如式（3）所示：=nmii11 （3）式（3）中：软件故障率,1/=mtbf,mtbf 为表决软件平均无故障工作时间；i各模块软件故障率。（4）及时修理并联软件可靠性模型。及时修理并联软件可靠性模型,则是在并联软件应用下,对故障软件的故障问题进行修复,修复故障后,软件可再投入到工作中,从而提高并联软件运行的可靠性。在两个特性相同的额软件运行中,可通过及时修理的方式,提高软件故障的处理效果。具体的模型表示公式如式（4）所示：()(2)2mr mrmtbfrr+=（4）式（4）中：m单个软件的平均无故障工作时间（m=1/）；r单个软件的平均维修时间（r=1/）；单个软件的故障率；单个软件的维修率。（5）及时修理表决软件可靠性模型。n 选 s（s/n）及时修理表决系统在实际应用中,则是从故障处理以及子系统修复的角度进行处理,在修复软件故障后,子系统可投入到工作中,以增加表决系统的可靠性。及时修理表决系统可靠性计算比较复杂,这里仅用递推法给出特性相同的子系统组成的及时修理表决系统的可靠性模型（w=n-s+1）：x=w 时：()1/1)()(+=wnrmRNwnwnx=w-1 时：()()2/11)1()1()()1(+=+=wnrmNRwRNwnwnwnwn96软 件第 44 卷 第 1 期SOFTWAREx=k（1kw）时：()1/1)()()1()(+=+=+knrmNRkRNknknknkn由递推公式一直计算到 x=1,n 选 m 即时修理系统的平均无故障工作时间计算方法如式（5）所示：()nwrnrmNMTBFNNwiin/1)(+=（5）式（5）中：m单个软件的平均无故障工作时间（m=1/）；m单个软件的平均无故障工作时间；r单个软件的平均维修时间；n表决软件的数量；w要求同时工作的软件数量；其他为中间变量。在实际应用中,可通过递推的方式,对软件的可靠性指标进行计算,从而获得软件平均无故障的运行时间。2.1.2 可靠性指标分配某指控软件的部署及应用情况可将软件分为：PC服务器软件、数据库软件等 15 个部位软件,根据软件设计要求,连续性要求较强的软件采取数据备份及软件故障检测自动重启等增强软件可靠性的设计措施；按需运行软件在实际应用中是根据需要进行调度,任务完成后退出。由此在可靠性设计中可以将系统中连续运行软件集中处理,并考虑有软件备份；按需运行软件则考虑根据可用度指标,允许存在一定的故障率,同时考虑对故障软件进行及时修复。根据上述原则对某指控装备软件的可靠性框图进行简化,如图 1 所示。连续运行软件采用先并联再串联的可靠性连接方式,并联主要是指连续运行软件采用共享内存的方式保存其处理的信息数据产品,并与特殊的软件并联共同“看守”信息数据产品,即使连续运行软件因故障退出也不影响其产品的完整性及产品所拥有的状态特性,软件恢复后能够沿原有的产品状态特性继续处理,用户感觉不到软件故障；按需运行软件采用表决连接方式,冗余软件数量为运行软件数量的 1%。软件的可靠性与软件的运行情况相关,考虑不同运行模式下连续运行软件和按需运行软件的运行率,对的软件可靠性框图进行简化。连续软件运行情况不变,非连续运行软件的运行率为 30%,再次简化后得到软件全要素模式可靠性等效框图如图 2 所示。全要素运行条件下,考虑全系统连续运行软件全部工作,连续运行软件采用共享内存及错误恢复技术,一般错误由系统自动恢复,不影响系统功能,只考虑特别严重的错误（死循环、破坏内存等）才会影响系统功能,根据这一原则进行连续运行软件可靠性预计。软件运行过程中要先采用并联后串联的方式进行连接,并利用可靠性模型,对软件连续运行过程以及运行状态等进行检验,从而提高软件运行的可靠性。根据全要素运行条件下的软件可靠性框图图 2,系统中连续运行软件和按需运行软件的可靠性关系为串联关系,根据串联软件可靠性模型可计算出全要素运行条件下的软件 MTBF能够满足可靠性指标要求。2.2 软件安全性设计提高软件的安全性,就要分析清楚软件可能面临的异常情况,并针对这些立场情况进行设计,使得软件在遇到同样的异常情况时,可以按照预先设计进行正确的响应,异常分类鱼骨图如图 3 所示。异常分类鱼骨图将每一种可能引发异常的问题都以鱼刺方式列出,分为计算问题、硬件问题、输入输出与文件问题、库函数问题、数据输入问题、函数/过程调用的返回值问题、外部用户/客户问题、空指针与内存问题这 8 个方面,鱼骨状清晰的结构图可以很好的帮助程序员不遗漏任何一个有可能导致程序崩溃的异常。3 软件健壮性测试方法软件的健壮性测试则是从测量以及故障注入的角度进行测定,在对硬件的健壮性进行测试中,则可以采用测量的方式进行检验。一方面,在对软件的健壮性进行测试中,可利