高 猛

(北京控制工程研究所,北京 100190)

總線(xiàn)容錯(cuò)機(jī)制及其驗(yàn)證方法

高 猛

(北京控制工程研究所,北京 100190)

衛(wèi)星系統(tǒng)廣泛采用容錯(cuò)技術(shù)以提高系統(tǒng)的可靠性，而總線(xiàn)通信的穩(wěn)定性和可靠性對(duì)于系統(tǒng)任務(wù)的成功至關(guān)重要.工程研制中，通常采用總線(xiàn)容錯(cuò)技術(shù)對(duì)系統(tǒng)通信故障進(jìn)行識(shí)別和屏蔽.介紹了基于故障仿真技術(shù)的總線(xiàn)容錯(cuò)機(jī)制驗(yàn)證方法，包括故障規(guī)格分析技術(shù)、故障用例生成技術(shù)和故障仿真技術(shù)，利用該方法對(duì)某星載軟件的總線(xiàn)通信功能進(jìn)行了容錯(cuò)測(cè)試，驗(yàn)證了方法的有效性和實(shí)用性.

總線(xiàn)容錯(cuò);故障模式;故障仿真

衛(wèi)星系統(tǒng)廣泛采用容錯(cuò)技術(shù)以提高系統(tǒng)的可靠性.現(xiàn)代容錯(cuò)技術(shù)中包括對(duì)硬件故障的容錯(cuò)，越來(lái)越多地借助軟件容錯(cuò)加以實(shí)現(xiàn)，星載軟件的可信性評(píng)估變得愈加重要.

研究表明，對(duì)于安全關(guān)鍵系統(tǒng)，系統(tǒng)內(nèi)及系統(tǒng)與環(huán)境間的復(fù)雜交互作用所引起的故障較其他類(lèi)型的故障而言，對(duì)系統(tǒng)安全性的影響更大.文獻(xiàn)[1]中對(duì)1200個(gè)軟件缺陷進(jìn)行因果關(guān)系分析，得出組件外部接口故障所占的比例達(dá)到60%.

衛(wèi)星系統(tǒng)通過(guò)數(shù)據(jù)總線(xiàn)構(gòu)建起設(shè)備之間的通信網(wǎng)絡(luò)，總線(xiàn)通信的穩(wěn)定性和可靠性對(duì)于系統(tǒng)安全和任務(wù)成功至關(guān)重要.在工程實(shí)際中，因總線(xiàn)通信故障造成的任務(wù)失敗或系統(tǒng)失效也時(shí)常發(fā)生.因此，總線(xiàn)容錯(cuò)機(jī)制的驗(yàn)證是星載軟件確認(rèn)測(cè)試工作中的重要內(nèi)容之一.

對(duì)總線(xiàn)容錯(cuò)機(jī)制的驗(yàn)證，不僅需要通過(guò)仿真建模方法構(gòu)建被測(cè)系統(tǒng)的真實(shí)運(yùn)行環(huán)境，還需要在故障仿真技術(shù)的支持下實(shí)現(xiàn)在多種失效場(chǎng)景下對(duì)被測(cè)系統(tǒng)進(jìn)行測(cè)試，以有效擴(kuò)大被測(cè)系統(tǒng)的輸入空間，進(jìn)一步提高測(cè)試的充分性.

1 總線(xiàn)容錯(cuò)機(jī)制

在星載軟件的研制設(shè)計(jì)中，針對(duì)總線(xiàn)通信有如下可靠性、安全性需求[2]：

1)星載軟件能夠周期性的對(duì)總線(xiàn)通斷情況進(jìn)行檢測(cè)，如果連續(xù)通信失敗，則切換總線(xiàn)或重新初始化總線(xiàn)控制器；

2)星載軟件能夠?qū)ο?shù)據(jù)進(jìn)行有效性驗(yàn)證，屏蔽錯(cuò)誤的消息；

3)總線(xiàn)通信時(shí)間(如傳輸時(shí)間、應(yīng)答時(shí)間)滿(mǎn)足設(shè)計(jì)約束.

為了實(shí)現(xiàn)上述容錯(cuò)需求，星載軟件設(shè)計(jì)中主要采用冗余技術(shù)[2].所謂冗余，是指當(dāng)系統(tǒng)無(wú)故障時(shí)取消這些冗余措施不會(huì)影響系統(tǒng)正常運(yùn)行；當(dāng)系統(tǒng)出現(xiàn)故障時(shí)，冗余機(jī)制能夠?qū)收霞右砸?guī)避，系統(tǒng)不致失效或功能降級(jí).

通常采用的總線(xiàn)冗余技術(shù)包括：

1)硬件冗余：指以追加系統(tǒng)的硬件資源為代價(jià).如系統(tǒng)采用總線(xiàn)A、B備份.

2)軟件冗余：指針對(duì)同一功能需求，由不同開(kāi)發(fā)人員研制不同的軟件模塊，并對(duì)模塊進(jìn)行備份.

3)信息冗余：指在消息中附加檢錯(cuò)碼或糾錯(cuò)碼，以檢查數(shù)據(jù)是否發(fā)生偏差，并在有偏差時(shí)能夠糾正偏差.如上注指令的校驗(yàn)和驗(yàn)證、錯(cuò)誤指令碼的篩選驗(yàn)證等.常用的檢錯(cuò)碼有奇偶校驗(yàn)碼、循環(huán)碼.

4)時(shí)間冗余：通過(guò)附加執(zhí)行時(shí)間來(lái)診斷總線(xiàn)是否發(fā)生永久性故障，并排除瞬時(shí)故障的影響.如檢測(cè)到通信延時(shí)，需要重新發(fā)送指令或返回原始程序.

2 總線(xiàn)容錯(cuò)機(jī)制驗(yàn)證方法

針對(duì)星載軟件的總線(xiàn)容錯(cuò)機(jī)制，通常采用故障仿真技術(shù)驗(yàn)證其容錯(cuò)效果.對(duì)總線(xiàn)容錯(cuò)能力的測(cè)試是否充分直接影響到對(duì)容錯(cuò)效果的驗(yàn)證.通常，進(jìn)行容錯(cuò)測(cè)試時(shí)必須具備以下2個(gè)方面的條件.

1)需要有充分的故障測(cè)試用例.故障測(cè)試用例面向總線(xiàn)通信的故障行為，與系統(tǒng)的外部故障行為相一致.

2)需要有良好的仿真測(cè)試環(huán)境.測(cè)試環(huán)境用來(lái)驅(qū)動(dòng)被測(cè)系統(tǒng)軟件運(yùn)行，施加各種測(cè)試激勵(lì)(如總線(xiàn)故障的仿真)，通過(guò)軟件的動(dòng)態(tài)行為來(lái)驗(yàn)證和評(píng)價(jià)軟件的總線(xiàn)容錯(cuò)效果.

因此，針對(duì)總線(xiàn)的容錯(cuò)機(jī)制的驗(yàn)證和測(cè)試也同樣需要具備以上兩個(gè)條件.

2.1故障測(cè)試用例的生成

故障測(cè)試用例的生成過(guò)程如圖1所示.

圖1 故障測(cè)試用例的生成過(guò)程

1)故障模式分析

星載軟件確認(rèn)測(cè)試中通常是對(duì)總線(xiàn)應(yīng)用層協(xié)議進(jìn)行測(cè)試，限于篇幅，本文僅以1553B總線(xiàn)為例，對(duì)總線(xiàn)應(yīng)用層的故障模式進(jìn)行分析.

應(yīng)用層協(xié)議是面向用戶(hù)自定義的高層通信協(xié)議.應(yīng)用層協(xié)議數(shù)據(jù)是指各星載設(shè)備外部接口變量的集合.總線(xiàn)應(yīng)用層協(xié)議的故障直接影響系統(tǒng)的功能實(shí)現(xiàn)，通過(guò)分析總結(jié)出應(yīng)用層協(xié)議數(shù)據(jù)在數(shù)值域和時(shí)間域兩個(gè)方面的故障模式.

數(shù)值域故障是指外部接口變量的取值不滿(mǎn)足協(xié)議的定義.數(shù)值域故障模式包括變量值域越界、變量數(shù)量越界、變量類(lèi)型不匹配、變量精度錯(cuò)誤、變量源和目的錯(cuò)誤等.例如，熱控軟件中的開(kāi)啟加熱門(mén)限超限就屬于變量數(shù)量越界的故障.

時(shí)間域故障是指星載設(shè)備中的外部接口變量在時(shí)序上不滿(mǎn)足功能或使用需求.時(shí)間域故障模式包括時(shí)間過(guò)早故障、時(shí)間延遲故障等.例如，并發(fā)執(zhí)行程控指令與上注指令會(huì)導(dǎo)致程控指令執(zhí)行延時(shí)及應(yīng)答超時(shí)等，這些都屬于時(shí)間延遲故障.

2)故障規(guī)格分析

在故障模式分析的基礎(chǔ)上，進(jìn)行故障規(guī)格分析.故障規(guī)格分析層次框架分為如下3個(gè)層次.

①模式層：表示故障模式的基本屬性、故障表現(xiàn)等基本信息，定義了故障的范圍、各種類(lèi)型故障模式的基本屬性以及該故障模式的相關(guān)故障仿真技術(shù).

②關(guān)系層：依據(jù)模式層中的基本故障模式構(gòu)建，可對(duì)故障模式之間的相關(guān)性進(jìn)行分析.該層主要定義了故障模式之間的傳播關(guān)系以及等效、組合和映射關(guān)系，構(gòu)成故障模式關(guān)系集合，以具體的形式給出故障的等價(jià)解決方案.

③特征層：在關(guān)系層的基礎(chǔ)上，定義了故障模式與系統(tǒng)功能、測(cè)試特性之間的外部關(guān)系，目的在于確定故障集抽樣選取準(zhǔn)則[3]，用來(lái)衡量故障樣本集在典型特性構(gòu)成上對(duì)被測(cè)系統(tǒng)故障模式集的代表性.

故障規(guī)格分析是在軟件需求規(guī)格分析的基礎(chǔ)上，對(duì)被測(cè)系統(tǒng)可能出現(xiàn)的故障模式集合進(jìn)行的定義，對(duì)故障模式的基本屬性、故障模式之間的相關(guān)性以及故障模式與系統(tǒng)功能、測(cè)試的外部關(guān)系進(jìn)行分析，作為測(cè)試中故障抽樣、故障仿真和故障驗(yàn)證的依據(jù).

3)失效場(chǎng)景建立

為實(shí)現(xiàn)對(duì)星載軟件容錯(cuò)機(jī)制的有效測(cè)試，測(cè)試人員應(yīng)對(duì)被測(cè)系統(tǒng)可能出現(xiàn)的潛在故障情況建立失效場(chǎng)景.失效場(chǎng)景建立需要描述系統(tǒng)中可能導(dǎo)致失效的故障、觸發(fā)事件和系統(tǒng)相關(guān)狀態(tài)等因素.

總線(xiàn)的失效場(chǎng)景舉例如下：

總線(xiàn)數(shù)據(jù)接收/發(fā)送緩存區(qū)溢出；

總線(xiàn)數(shù)據(jù)傳輸過(guò)程中出現(xiàn)校驗(yàn)和錯(cuò)誤；

總線(xiàn)數(shù)據(jù)出現(xiàn)實(shí)時(shí)應(yīng)答超時(shí).

4)設(shè)計(jì)故障測(cè)試用例

依據(jù)失效場(chǎng)景，設(shè)計(jì)故障測(cè)試用例.用例設(shè)計(jì)時(shí)，應(yīng)結(jié)合以下原則進(jìn)行：

①覆蓋需求規(guī)格說(shuō)明中給定的總線(xiàn)通信故障模式，遍歷工程實(shí)際中出現(xiàn)的總線(xiàn)故障模式；

②結(jié)合灰盒測(cè)試技術(shù)，針對(duì)軟件通信模塊中的異常分支進(jìn)行故障設(shè)計(jì)；

③運(yùn)行中難以實(shí)現(xiàn)的故障，依據(jù)故障規(guī)格中的關(guān)系層，采用故障模式等價(jià)組合的方法進(jìn)行設(shè)計(jì).

設(shè)計(jì)故障測(cè)試用例，能夠有效地提高測(cè)試輸入域的覆蓋范圍，同時(shí)縮短了故障觸發(fā)的時(shí)間，提高了執(zhí)行效率.

2.2仿真測(cè)試環(huán)境

星載軟件作為嵌入式系統(tǒng)中的應(yīng)用軟件，其運(yùn)行狀態(tài)、功能行為與交聯(lián)環(huán)境的交互操作密切相關(guān).為了能夠有效考察星載軟件在異常輸入空間下(如總線(xiàn)通信故障)的軟件可能失效行為，通常采用全數(shù)字仿真測(cè)試環(huán)境執(zhí)行故障測(cè)試.

全數(shù)字仿真測(cè)試環(huán)境[4]適用于配置項(xiàng)測(cè)試，是指使用計(jì)算機(jī)仿真的方式構(gòu)建星載軟件運(yùn)行所需的硬件環(huán)境(處理器、接口芯片)以及運(yùn)行時(shí)所需要的外部接口數(shù)據(jù)源，在此基礎(chǔ)上通過(guò)施加各種測(cè)試激勵(lì)(包括故障激勵(lì))，實(shí)現(xiàn)對(duì)軟件的功能、性能、可靠性、安全性以及強(qiáng)度等各項(xiàng)測(cè)試的評(píng)估驗(yàn)證工作.空間飛行器軟件檢測(cè)站自主研發(fā)的VTest就屬于全數(shù)字仿真測(cè)試環(huán)境.

2.3故障仿真技術(shù)

總線(xiàn)故障測(cè)試，即在仿真測(cè)試環(huán)境的基礎(chǔ)上，通過(guò)對(duì)外部總線(xiàn)消息通信、信號(hào)傳輸以及總線(xiàn)控制器的運(yùn)行狀態(tài)進(jìn)行故障仿真，模擬潛在總線(xiàn)故障改變被測(cè)系統(tǒng)的行為，實(shí)現(xiàn)被測(cè)系統(tǒng)在預(yù)期失效場(chǎng)景下的測(cè)試.

由于星載軟件的總線(xiàn)故障測(cè)試面向的對(duì)象是應(yīng)用層協(xié)議，同時(shí)目前空間飛行器軟件檢測(cè)站的全數(shù)字仿真測(cè)試環(huán)境中已經(jīng)對(duì)1553B總線(xiàn)控制器及通信過(guò)程中的常見(jiàn)故障模式(控制寄存器溢出、離線(xiàn)等)進(jìn)行了軟件仿真，因此實(shí)際故障測(cè)試中，總線(xiàn)的故障仿真通常通過(guò)腳本驅(qū)動(dòng)加以實(shí)現(xiàn)，其基本原理如圖2所示.故障腳本的格式如下：

[時(shí)間令] #設(shè)置總線(xiàn)故障;200;A1.

其中參數(shù)200表示指令的發(fā)送時(shí)刻，參數(shù)A1表示總線(xiàn)A溢出的故障模式.

圖2 故障仿真的基本原理

在仿真測(cè)試環(huán)境的基礎(chǔ)上進(jìn)行故障仿真，實(shí)現(xiàn)對(duì)總線(xiàn)的應(yīng)用層進(jìn)行協(xié)議測(cè)試.依據(jù)協(xié)議測(cè)試的定義[3]，測(cè)試類(lèi)別可分為3種：一致性測(cè)試、互操作性測(cè)試和性能測(cè)試.表1是針對(duì)3種測(cè)試類(lèi)別的故障仿真實(shí)現(xiàn).

一致性測(cè)試是檢測(cè)協(xié)議實(shí)現(xiàn)是否符合協(xié)議標(biāo)準(zhǔn)，其故障主要是基本數(shù)據(jù)單元各位段與協(xié)議定義不符合.

互操作性測(cè)試主要檢測(cè)協(xié)議實(shí)現(xiàn)與對(duì)應(yīng)星載設(shè)備的匹配情況，即接口數(shù)據(jù)的源與目的的符合性，其故障主要是站地址通道錯(cuò)誤等.

性能測(cè)試是檢測(cè)協(xié)議是否實(shí)現(xiàn)系統(tǒng)的性能指標(biāo)(如數(shù)據(jù)傳輸時(shí)間、應(yīng)答響應(yīng)時(shí)間和吞吐量等).

表1 故障仿真實(shí)現(xiàn)

注：*標(biāo)識(shí)故障類(lèi)別；**幀間隔為0.2ms.

系統(tǒng)測(cè)試通常采用半實(shí)物仿真測(cè)試環(huán)境[5]，總線(xiàn)的傳輸層、鏈路層及物理層的故障激勵(lì)及容錯(cuò)機(jī)制驗(yàn)證需要在半實(shí)物仿真測(cè)試環(huán)境中進(jìn)行.通過(guò)采用基于總線(xiàn)驅(qū)動(dòng)的故障注入技術(shù)實(shí)現(xiàn)故障仿真和注入.限于篇幅，本文不展開(kāi)說(shuō)明.

3 工程實(shí)例

下面結(jié)合某星載軟件的故障測(cè)試案例對(duì)上述方法的有效性和實(shí)用性進(jìn)行說(shuō)明.被測(cè)軟件(SUT)為某型號(hào)星載熱控軟件，編程語(yǔ)言為C語(yǔ)言，主要負(fù)責(zé)衛(wèi)星系統(tǒng)的溫度控制，通過(guò)1553B總線(xiàn)與星務(wù)實(shí)現(xiàn)通信.依據(jù)該軟件的總線(xiàn)通信協(xié)議和需求規(guī)格，測(cè)試人員針對(duì)總線(xiàn)應(yīng)用層協(xié)議設(shè)計(jì)了故障用例，如表2所示.

表2 故障用例設(shè)計(jì)與腳本實(shí)現(xiàn)

針對(duì)總線(xiàn)通信功能，測(cè)試人員共設(shè)計(jì)了18個(gè)用例，用例類(lèi)別和分布如表3所示.

表3 用例統(tǒng)計(jì)

上述用例執(zhí)行完畢后，共發(fā)現(xiàn)1個(gè)協(xié)議一致性錯(cuò)誤(站地址故障未屏蔽)和1個(gè)性能錯(cuò)誤(間接指令應(yīng)答超時(shí))，測(cè)試結(jié)果如表4所示.同時(shí)，總線(xiàn)通信模塊的語(yǔ)句覆蓋率和分支覆蓋率均達(dá)到100%.

在實(shí)際測(cè)試工作中，通過(guò)上述方法能夠較全面和準(zhǔn)確地發(fā)現(xiàn)總線(xiàn)容錯(cuò)設(shè)計(jì)中的缺陷.

基于此，本文的總線(xiàn)容錯(cuò)機(jī)制驗(yàn)證方法的有效性和實(shí)用性得到了驗(yàn)證.

表4 用例執(zhí)行結(jié)果

4 結(jié) 論

本文介紹了基于總線(xiàn)故障仿真技術(shù)的總線(xiàn)容錯(cuò)機(jī)制驗(yàn)證方法，包括故障規(guī)格分析技術(shù)、故障用例生成技術(shù)、故障仿真技術(shù).如何控制故障源的時(shí)間域和空間域的顆粒度，以提高故障仿真的準(zhǔn)確性和有效性，及如何結(jié)合仿真測(cè)試環(huán)境提高故障測(cè)試的通用性將是后續(xù)研究的工作重點(diǎn).

[1] Nakajo T，Kume H.A case history analysis of software error cause-effect relationships [J].IEEE Transactions on Software Engineering, 1991, 17:630-838

[2] 徐春林.中巴地球資源衛(wèi)星數(shù)管軟件開(kāi)發(fā)實(shí)踐與體會(huì)[J].航天器工程, 2002，11(5)：107-110

[3] 徐應(yīng)詩(shī).基于故障注入的仿真測(cè)試方法與關(guān)鍵技術(shù)研究[D].北京: 北京航空航天大學(xué), 2007

[4] 賀紅衛(wèi).全數(shù)字仿真環(huán)境技術(shù)及其在航天軟件測(cè)試中的應(yīng)用[C].中國(guó)宇航學(xué)會(huì)計(jì)算機(jī)應(yīng)用專(zhuān)業(yè)委員會(huì)學(xué)術(shù)會(huì)議, 黃山，2006

[5] Zhong D M，Liu B.The domain analysis and design of system-testing equipment for software-intensive avionics[C].IEEE Systems Readiness Technology Conference, Michigan, September 2006

ResearchonBusFault-TolerantMechanismandItsVerificationMethod

GAO Meng

(BeijingInstituteofControlEngineering,Beijing100190，China)

Fault-tolerant technique is extensively used in the satellite control systems to improve reliability.And the stability and reliability of bus communication are critical for the success of tasks.In real engineering development, the fault-tolerant mechanism is commonly used to identify and to shield the bus communication failures.A fault simulation-based bus fault-tolerance verification method including failure specification analysis technique, fault-case generation technique and fault simulation technique is described in the paper.As an example, the fault-tolerant capability of a satellite software bus is tested using the method, and the validity and practicability of the method are verified.

bus fault-tolerant；fault mode； fault simulation

2009-10-30

高猛(1982—)，男，山東人，助理工程師，研究方向?yàn)檐浖煽啃约败浖y(cè)試 (e-mail: buaagaomeng@163.com).

TP302

A

1674-1579(2010)02-0051-04