★北京廣利核系統(tǒng)工程有限公司 王曉燕，張亞棟，周小波

軟件FMEA在核級(jí)儀控系統(tǒng)平臺(tái)（和睦系統(tǒng)）中的研究與實(shí)踐

★北京廣利核系統(tǒng)工程有限公司 王曉燕，張亞棟，周小波

軟件失效模式和影響分析（軟件FMEA）是一種系統(tǒng)化的自下而上可靠性分析方法，本文闡述軟件FMEA在和睦系統(tǒng)作用、策略、方法、實(shí)施過(guò)程、總結(jié)，通過(guò)對(duì)和睦系統(tǒng)軟件功能單元潛在的各種失效模式及其對(duì)系統(tǒng)功能的影響分析，提出存在的風(fēng)險(xiǎn)或異常，以提高和睦系統(tǒng)軟件的可靠性。

軟件FMEA；失效模式庫(kù)

1 背景

可靠性是產(chǎn)品或系統(tǒng)的研究熱點(diǎn)，盡管可靠性工程已經(jīng)有50年發(fā)展歷史，但是在20世紀(jì)90年代以前，人們只關(guān)注硬件的可靠性，產(chǎn)生了很多種硬件可靠性方法，其中FMEA是一項(xiàng)重要的硬件可靠性方法；它以一種系統(tǒng)化、模式化的形式來(lái)思考問(wèn)題，成為世界先進(jìn)工業(yè)企業(yè)持續(xù)改進(jìn)的有效方法，已以標(biāo)準(zhǔn)的形式加以規(guī)范化了。

隨著數(shù)字化的興起，軟件規(guī)模和復(fù)雜性的增加，軟件故障的頻繁發(fā)生，對(duì)系統(tǒng)的安全運(yùn)行產(chǎn)生危害增大，從而使人們逐漸認(rèn)識(shí)到軟件可靠性的重要性，加強(qiáng)對(duì)軟件可靠性的研究，產(chǎn)生很多軟件可靠性方法：軟件FMEA、軟件FTA、危險(xiǎn)與可運(yùn)行性（HAZOP）等。其中常用的是軟件FTA和軟件FMEA。

軟件FTA是一種演繹型的軟件安全性分析方法，它采取自頂向下的分析方式，對(duì)于識(shí)別軟件安全性錯(cuò)誤，尤其是能引起系統(tǒng)危險(xiǎn)的單點(diǎn)錯(cuò)誤非常有用，這樣有助于識(shí)別潛在的、復(fù)雜的失效模式。軟件FTA的局限性在于：對(duì)于大型的系統(tǒng)，代碼級(jí)的分析是不現(xiàn)實(shí)的；而且很多時(shí)候也是不必要的；軟件FTA 不能替代檢驗(yàn)系統(tǒng)功能需求的集成和測(cè)試過(guò)程，它只是可以使安全關(guān)鍵軟件更可信任；軟件FTA的應(yīng)用比較的狹窄，只有在危險(xiǎn)失效的數(shù)量想對(duì)少的情況下，F(xiàn)TA才是一種有效的實(shí)用的分析手段：如果安全關(guān)鍵故障太多了，那么很有必要重新設(shè)計(jì)系統(tǒng)。

軟件FMEA被用來(lái)從最底層組件的角度發(fā)現(xiàn)系統(tǒng)的失效，是一種歸納型、自底向上的分析方法，識(shí)別數(shù)據(jù)和軟件活動(dòng)中的關(guān)鍵軟件失效模式。它分析了異常對(duì)系統(tǒng)中其它組件以及對(duì)系統(tǒng)本身的影響。軟件FMEA可以幫助設(shè)計(jì)者較早發(fā)現(xiàn)設(shè)計(jì)缺陷，避免后期昂貴的設(shè)計(jì)改動(dòng)；也可以幫助識(shí)別出其他系統(tǒng)作用在嵌入式軟件上的限制；在找出系統(tǒng)的潛在錯(cuò)誤和薄弱環(huán)節(jié)后，可以為測(cè)試提供策略；也可以方便系統(tǒng)的分析人員和設(shè)計(jì)人員之間的溝通。這些都是軟件FMEA的優(yōu)點(diǎn)。但與此同時(shí)，軟件FMEA以手工為主，枯燥、耗時(shí)，分析結(jié)果對(duì)分析人員的知識(shí)水平和經(jīng)驗(yàn)，以及分析文檔的準(zhǔn)確性和規(guī)范性依賴性很強(qiáng)。這些都是軟件FMEA的不足之處。

通過(guò)軟件FTA和軟件FMEA方法對(duì)比，軟件FMEA方法更適合用于和睦系統(tǒng)是廣利核公司自主研發(fā)核級(jí)儀控系統(tǒng)平臺(tái)，同時(shí)為了彌補(bǔ)軟件FMEA的不足，制定軟件失效模式庫(kù)來(lái)指導(dǎo)軟件FMEA工作。

2 軟件FMEA在和睦系統(tǒng)作用

廣利核公司為了進(jìn)一步提高和睦系統(tǒng)軟件可靠性，公司V&V部開(kāi)展軟件FMEA方法研究，并在和睦系統(tǒng)軟件中實(shí)踐。通過(guò)在和睦系統(tǒng)實(shí)施軟件FMEA，自下而上、系統(tǒng)化識(shí)別產(chǎn)品或系統(tǒng)軟件的潛在失效，進(jìn)行可診和可控判斷，從而達(dá)到以下作用：

· 分析已知軟件失效形式對(duì)產(chǎn)品/系統(tǒng)的影響，進(jìn)而揭示安全性需求；

· 分析已知軟件失效機(jī)理與軟件失效形式的關(guān)系，為設(shè)計(jì)的決策和設(shè)計(jì)的修改提供參考信息；

· 識(shí)別和分析產(chǎn)品/系統(tǒng)中潛藏的失效形式，為產(chǎn)品和系統(tǒng)測(cè)試提供參考信息；

· 確定產(chǎn)品/系統(tǒng)中軟件失效形式的失效機(jī)理，為產(chǎn)品和系統(tǒng)的可靠性、安全性分析提供參考信息。

3 軟件FMEA在和睦系統(tǒng)策略

和睦系統(tǒng)包括一系列基于嵌入式處理器和網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備和軟件，可以組成多個(gè)彼此獨(dú)立的子系統(tǒng)，各子系統(tǒng)彼此獨(dú)立異步運(yùn)行，該系統(tǒng)能夠?qū)崿F(xiàn)信號(hào)輸入、數(shù)據(jù)處理、執(zhí)行算法邏輯、信號(hào)輸出、信息顯示、操作控制、網(wǎng)絡(luò)通信等功能。

根據(jù)和睦系統(tǒng)結(jié)構(gòu)特點(diǎn)，在對(duì)其執(zhí)行軟件FMEA實(shí)施分兩級(jí)、三層進(jìn)行，如圖1所示。

圖1 軟件FMEA的層次劃分

兩級(jí)：是從工作逐級(jí)開(kāi)展的角度出發(fā)制定的，指：

“產(chǎn)品軟件FMEA”（以下簡(jiǎn)稱產(chǎn)品FMEA）級(jí)

“系統(tǒng)軟件FMEA”（以下簡(jiǎn)稱系統(tǒng)FMEA）級(jí)

三層：是從平臺(tái)對(duì)象客觀存在的層次關(guān)系角度出發(fā)制定的，指：

“系統(tǒng)架構(gòu)層”（簡(jiǎn)稱系統(tǒng)層）：它是系統(tǒng)FMEA最終影響的對(duì)象。在這層發(fā)生的失效的表現(xiàn)，稱為系統(tǒng)失效形式，失效形式包括系統(tǒng)任務(wù)失敗的各種形式，通常由操作人員關(guān)心；

“產(chǎn)品單元和通信層/產(chǎn)品單元層”（簡(jiǎn)稱產(chǎn)品層）：是系統(tǒng)FMEA的最底層對(duì)象，也是產(chǎn)品FMEA最終影響的對(duì)象。產(chǎn)品層發(fā)生的失效，其表現(xiàn)形式稱為產(chǎn)品失效形式（或通信失效形式），產(chǎn)品層失效通常由維護(hù)人員關(guān)心；

“軟件功能單元層”（簡(jiǎn)稱軟件層）：它是產(chǎn)品FMEA的最底層的對(duì)象，決定了產(chǎn)品FMEA工作的顆粒度。在這層次發(fā)生的失效表現(xiàn)，稱為軟件失效形式，失效形式包括軟件相關(guān)功能失效的各種表現(xiàn)，通常由產(chǎn)品驗(yàn)證人員關(guān)心。 圖1為軟件FMEA的層次劃分。

各級(jí)FMEA活動(dòng)的最高和最低約定層次如表1所示。

表1 各級(jí)軟件FMEA約定層次表

為了最大化發(fā)揮軟件FMEA的價(jià)值，軟件FMEA需隨著產(chǎn)品/系統(tǒng)的研發(fā)同步執(zhí)行，即：開(kāi)發(fā)全生命周期中執(zhí)行軟件FMEA；隨著軟件FMEA應(yīng)用不斷更新，需將經(jīng)驗(yàn)和教訓(xùn)總結(jié)也要納入軟件FMEA中，針對(duì)這種情況，制定和睦系統(tǒng)軟件失效模式庫(kù)顯得尤為必要，失效模式庫(kù)指導(dǎo)執(zhí)行軟件FMEA，軟件FMEA結(jié)果補(bǔ)充或完善失效模式庫(kù)，從而更能提高軟件可靠性。

4 軟件FMEA在和睦系統(tǒng)方法

明確軟件FMEA內(nèi)容定義，根據(jù)針對(duì)和睦系統(tǒng)軟件FMEA劃分策略，制定了產(chǎn)品軟件V&V方法和系統(tǒng)軟件V&V方法，以及包含軟件FMEA經(jīng)驗(yàn)和教訓(xùn)總結(jié)的軟件失效模式庫(kù)建立、使用和維護(hù)方法。

4.1 軟件FMEA內(nèi)容定義

軟件FMEA主要內(nèi)容是：失效機(jī)理、失效模式、失效影響、可診和可控。對(duì)各個(gè)部分定義如下：

（1）識(shí)別失效模式：停止運(yùn)行或運(yùn)行不正常，達(dá)不到功能要求，包括：

· 功能的完全喪失。

· 功能退化，不能達(dá)到規(guī)定的性能。

· 不需要的功能出現(xiàn)。

（2）失效機(jī)理：可能導(dǎo)致失效模式的最初的事件，某一失效模式可能有多種不同的原因引起，某一原因也可引起多種失效模式。

（3）分析失效影響：失效模式對(duì)被分析對(duì)象的使用、功能或狀態(tài)所導(dǎo)致的結(jié)果，包括：

· 對(duì)設(shè)備操作人員的影響；

· 由該設(shè)備故障導(dǎo)致運(yùn)行停止；

· 所制造的產(chǎn)品質(zhì)量問(wèn)題；

· 人身或財(cái)產(chǎn)安全問(wèn)題。

（4）可診、可控：自診斷是否覆蓋了該失效模式，該失效模式是否有了應(yīng)對(duì)措施，含預(yù)防和后果降低措施。

4.2 產(chǎn)品軟件FMEA方法

對(duì)于產(chǎn)品軟件FMEA來(lái)說(shuō)，軟件最小顆粒度定義為重要，軟件顆粒度比較細(xì)，例如實(shí)現(xiàn)V&V階段對(duì)每個(gè)函數(shù)進(jìn)行執(zhí)行軟件FMEA，導(dǎo)致軟件FMEA工作量很大，不具有可執(zhí)行性；如果軟件顆粒度很粗的，軟件FMEA結(jié)果指導(dǎo)意義不大；本文提出識(shí)別產(chǎn)品軟件應(yīng)用數(shù)據(jù)流分析方式，軟件顆粒度以功能相對(duì)單一軟件作為軟件功能單元的方法，該方法能很好達(dá)到平衡了軟件FMEA結(jié)果指導(dǎo)意見(jiàn)和工作量方面。具體方法如下：

（1）從產(chǎn)品應(yīng)用角度識(shí)別產(chǎn)品軟件應(yīng)用數(shù)據(jù)流，明確數(shù)據(jù)流的功能，識(shí)別關(guān)聯(lián)應(yīng)用約束；

（2）對(duì)每個(gè)應(yīng)用數(shù)據(jù)流，識(shí)別關(guān)聯(lián)的軟件功能單元；

（3）對(duì)關(guān)聯(lián)的軟件功能單元采取IPO（輸入、處理、輸出）的方式進(jìn)行失效影響分析，明確其失效機(jī)理、失效模式、失效影響、可診和可控，過(guò)程中如果識(shí)別到新的失效模式，添加到失效模式庫(kù)中；

（4）對(duì)關(guān)聯(lián)應(yīng)用約束進(jìn)行失效影響性分析，明確其失效機(jī)理、失效模式、失效影響、可診和可控，過(guò)程中如識(shí)別到新的失效模式，添加到失效模式庫(kù)中。

4.3 系統(tǒng)軟件FMEA方法

和睦系統(tǒng)是基礎(chǔ)平臺(tái)，在對(duì)其執(zhí)行系統(tǒng)FMEA時(shí)，首先要明確一種或幾種系統(tǒng)典型架構(gòu)，對(duì)于每種系統(tǒng)典型架構(gòu)，也采取應(yīng)用數(shù)據(jù)流方式，以產(chǎn)品軟件、通信為軟件功能單元的方法執(zhí)行系統(tǒng)軟件FMEA，具體方法如下：

（1）確定系統(tǒng)典型架構(gòu)，識(shí)別每個(gè)典型架構(gòu)的應(yīng)用數(shù)據(jù)流，識(shí)別關(guān)聯(lián)應(yīng)用約束；

（2）對(duì)每個(gè)應(yīng)用數(shù)據(jù)流，識(shí)別關(guān)聯(lián)的軟件功能單元：產(chǎn)品軟件和通信；

（3）對(duì)關(guān)聯(lián)的軟件功能單元：產(chǎn)品軟件，如果其執(zhí)行過(guò)產(chǎn)品軟件FMEA，其軟件失效影響作為系統(tǒng)軟件FMEA的失效模式，明確其失效機(jī)理、失效影響、可診和可控；如果產(chǎn)品軟件和通信未執(zhí)行產(chǎn)品軟件FMEA，則采取IPO（輸入、處理、輸出）的方式進(jìn)行失效影響分析，明確其失效機(jī)理、失效模式、失效影響、可診和可控，過(guò)程中如果識(shí)別到新的失效模式，添加到失效模式庫(kù)中；

（4）對(duì)關(guān)聯(lián)應(yīng)用約束進(jìn)行失效影響性分析，明確其失效機(jī)理、失效模式、失效影響、可診和可控，過(guò)程中如識(shí)別到新的失效模式，添加到失效模式庫(kù)中。

4.4 軟件失效模式庫(kù)構(gòu)建、使用和維護(hù)方法

4.4.1 構(gòu)建失效模式庫(kù)

構(gòu)建軟件失效模式庫(kù)時(shí),要體現(xiàn)模塊化特征,類同與硬件FMEA。軟件功能單元也要具有功能內(nèi)聚、獨(dú)立性強(qiáng)的特點(diǎn)，將使用軟件功能單元為基礎(chǔ)模塊，搭建一個(gè)基礎(chǔ)的軟件失效模式庫(kù)。失效模式庫(kù)的內(nèi)容來(lái)自對(duì)軟件功能單元的失效分析，即挑選出其中與軟件密切相關(guān)、且具有相對(duì)明確失效機(jī)理（發(fā)生可能性較高）的失效形式，納入到失效模式庫(kù)中。

另外，任何經(jīng)分析的應(yīng)用數(shù)據(jù)流，只要評(píng)估其具有典型性、可復(fù)用，就可以將其當(dāng)做一個(gè)軟件功能單元，納入失效模式庫(kù)管理。

為體現(xiàn)直接，使FMEA分析人員能直接使用，軟件失效模式庫(kù)將采用扁平的結(jié)構(gòu)，不使用層次化。為此，盡管軟件功能單元在設(shè)計(jì)模式上可能存在嵌套，但其失效描述也采用扁平結(jié)構(gòu)，不層層嵌套。

4.4.2 使用和維護(hù)軟件失效模式庫(kù)

軟件失效模式庫(kù)服務(wù)于軟件FMEA工作，供軟件FMEA執(zhí)行時(shí)參考和使用，如果在軟件FMEA時(shí)，識(shí)別新的軟件功能單元，或軟件功能單元的新的失效模式，則需根據(jù)軟件FMEA結(jié)果納入軟件失效模式庫(kù)中。隨著軟件失效模式庫(kù)應(yīng)用、更新不停迭代，其作用日益突出。

5 軟件FMEA在和睦系統(tǒng)實(shí)施過(guò)程

在和睦系統(tǒng)研制過(guò)程中進(jìn)行，驗(yàn)證與確認(rèn)部將軟件FMEA融入V&V活動(dòng)。各階段軟件FMEA活動(dòng)如

圖2所示。

圖2 各階段軟件FMEA活動(dòng)

在上述過(guò)程中，從概念、需求、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試，系統(tǒng)FMEA和產(chǎn)品FMEA信息從最初的設(shè)想、越來(lái)越逼近真實(shí)情況。為適當(dāng)區(qū)分不同階段的迭代關(guān)系，本文規(guī)定對(duì)具體工作項(xiàng)命名時(shí)增加“初步、進(jìn)一步”等前綴，如“初步分析產(chǎn)品的失效形式、分析產(chǎn)品的失效形式、進(jìn)一步分析產(chǎn)品的失效形式”等。

在生命周期過(guò)程的概念、需求、設(shè)計(jì)階段，F(xiàn)MEA分析人員應(yīng)超越研發(fā)文檔的約束、利用已有經(jīng)驗(yàn)和知識(shí)、積極主動(dòng)識(shí)別失效可能性，這樣才能在早期識(shí)別到具體的失效形式、推動(dòng)更新安全需求、使得風(fēng)險(xiǎn)得以規(guī)避，有效發(fā)揮V&V價(jià)值；反之，如果受限于研發(fā)文檔的敘述程度、早期僅進(jìn)行概要的分析，就容易使FMEA流于形式。

5.1 各個(gè)階段軟件FMEA工作項(xiàng)

V&V過(guò)程中需執(zhí)行的具體FMEA工作項(xiàng)如表2所示。

5.2 示例：“將現(xiàn)場(chǎng)I/O信息轉(zhuǎn)發(fā)到NCU網(wǎng)絡(luò)”應(yīng)用數(shù)據(jù)流的軟件FMEA

5.2.1 數(shù)據(jù)流圖，如圖3所示。

5.2.2 軟件功能單元

（1）讀取SCU數(shù)據(jù)；（2）拷貝SCU數(shù)據(jù)，修改SCU數(shù)據(jù)質(zhì)量位；（3）測(cè)試模式下進(jìn)行變量強(qiáng)制；（4）調(diào)用應(yīng)用軟件；

（5）發(fā)送數(shù)據(jù)給NCU板卡。

5.2.3 軟件FMEA記錄

表2 V&V過(guò)程中需執(zhí)行的具體FMEA工作項(xiàng)

圖3 數(shù)據(jù)流圖

（1）“讀雙口RAM的IO實(shí)時(shí)數(shù)據(jù)”軟件功能單元FMEA記錄

失效機(jī)理失效模式產(chǎn)品影響 可診可控備注雙口RAM數(shù)據(jù)超過(guò)雙方規(guī)定大小 雙口RAM中IO數(shù)據(jù)被部分讀取 讀取SCU的雙口是 是 通過(guò)檢驗(yàn)CRC進(jìn)行診斷RAM數(shù)據(jù)無(wú)效CRC錯(cuò)誤的數(shù)據(jù)丟棄掉未對(duì)內(nèi)存數(shù)據(jù)初始化為一個(gè)確定的值內(nèi)存未被初始化或初始化失敗讀取S C U的雙口是是通過(guò)檢驗(yàn)CRC進(jìn)行診斷存在殘留不確定數(shù)據(jù)RAM數(shù)據(jù)無(wú)效CRC錯(cuò)誤的數(shù)據(jù)丟棄掉………………………………

（2）“拷貝SCU數(shù)據(jù)、修改SCU數(shù)據(jù)質(zhì)量位”軟件功能單元FMEA記錄

失效機(jī)理失效模式產(chǎn)品影響可診可控備注SCU板卡類型有效、數(shù)據(jù)有效且連續(xù) SCU數(shù)據(jù)質(zhì)量位被修改 SCU誤報(bào)是是無(wú)SCU板卡類型無(wú)效或數(shù)據(jù)無(wú)效或不連續(xù)SCU數(shù)據(jù)質(zhì)量未被修改MPU送出一個(gè)錯(cuò)誤數(shù)值給IO是是無(wú)………………………………（3）“測(cè)試模式下進(jìn)行變量強(qiáng)制”軟件功能單元FMEA記錄失效機(jī)理失效模式產(chǎn)品影響可診可控備注1.從運(yùn)行模式切換到測(cè)試模式未重啟；1.從其它模式切換到測(cè)試模式，無(wú)數(shù)據(jù)擾動(dòng)；2.從下裝開(kāi)關(guān)位切換到測(cè)試模式未重啟；模式切換擾動(dòng) 工程師誤判MPU是否2.從測(cè)試模式切到下裝開(kāi)關(guān)位時(shí)，程序會(huì)當(dāng)3.從測(cè)試模式切換到運(yùn)行模式未重啟；工作模式成運(yùn)行模式來(lái)處理。4.從測(cè)試模式切換到下裝開(kāi)關(guān)位未重啟。測(cè)試模式下，以太網(wǎng)網(wǎng)絡(luò)芯片故障。FIFO數(shù)據(jù)損壞 無(wú)是是對(duì)網(wǎng)絡(luò)接受數(shù)據(jù)完整性有CRC校驗(yàn)………………………………（4）“運(yùn)行應(yīng)用代碼”軟件功能單元FMEA記錄失效機(jī)理失效模式產(chǎn)品影響可診可控備注應(yīng)用軟件算法邏輯運(yùn)算復(fù)雜，變量?jī)?nèi)存不足 軟件運(yùn)行超時(shí)，報(bào)故 是是超時(shí)報(bào)故，導(dǎo)向安全比較多 計(jì)數(shù)器溢出 看門狗喂狗失敗 軟件重新初始化 是否軟件重新初始化，看門狗連續(xù)2次或累計(jì)5次后，軟件就停止運(yùn)行。………………………………（5）“寫(xiě)雙口RAM的IO數(shù)據(jù)”軟件功能單元失效模式匯總失效機(jī)理失效模式產(chǎn)品影響可診可控備注DPRAM讀寫(xiě)沖突；內(nèi)存尋址錯(cuò)誤 寫(xiě)入雙口RAM中的數(shù)無(wú)法寫(xiě)入NCU的雙是是在寫(xiě)入時(shí)返回是否寫(xiě)入成功標(biāo)志。據(jù)損壞口RAM中DPRAM收發(fā)不同步，沖突；關(guān)聯(lián)寫(xiě)入雙口RAM中的數(shù)無(wú)法寫(xiě)入NCU的雙是是對(duì)于LNU來(lái)說(shuō)，第一次不成功，模塊周期不匹配，計(jì)時(shí)器偏差據(jù)被覆蓋口RAM中可以再重新發(fā)送一次?！?/p>

（6）應(yīng)用約束FMEA記錄

無(wú)

5.2.4 提出風(fēng)險(xiǎn)/異常

無(wú)

6 總結(jié)與建議

軟件FMEA是一種自下而上的系統(tǒng)化失效分析方法。通過(guò)在和睦系統(tǒng)軟件中研究與應(yīng)用，識(shí)別軟件可能的失效模式，確定每個(gè)失效模式的失效機(jī)理及失效影響，促進(jìn)安全設(shè)計(jì)來(lái)消除或使其影響減小，從而達(dá)到提高產(chǎn)品可靠性的目的。

建議后續(xù)繼續(xù)維護(hù)失效模式庫(kù)，其凝結(jié)分析人員的經(jīng)驗(yàn)、形成適合本企業(yè)的知識(shí)庫(kù)，能使隱式經(jīng)驗(yàn)直觀顯現(xiàn)化，能增強(qiáng)安全論證說(shuō)服力，是企業(yè)寶貴的資產(chǎn)。AP

[1] GB-T 7163-200, 核電廠安全系統(tǒng)的可靠性分析要求[S].

[2] NUREG/CR6101 Software Reliability and Safety in Nuclear Reactor Protection Systems[Z].

[3] GJB 1391-2006, 故障模式、影響及危害性分析指南[Z].

Software FMEA Research and Practice in Nuclear Instrument Control System Platform (FirmSys System)

Software failure mode and effect analysis (software FMEA) is a systematic bottom-up reliability analysis method. This paper elaborates software FMEA in the function, policy, method, implementation of the FirmSys system. We analyze various potential failure modes of the functional units in the FirmSys Software, as well as their corresponding effects on the system functions. Based on the analyses, we come up with the possible risks or abnormities, with the purpose of improving the reliability of the FirmSys system software.

Software FMEA; Failure mode library

王曉燕（1974-），女，山東人，工程師，畢業(yè)于北京航空航天大學(xué)，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事于核級(jí)軟件的驗(yàn)證和確認(rèn)工作。

張亞棟（1975-），男，山西人，高級(jí)工程師，畢業(yè)于北京化工大學(xué)，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事于核級(jí)軟件的驗(yàn)證和確認(rèn)工作。

周小波（1983-），男，山西人，工程師，畢業(yè)于中北大學(xué)，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事于核級(jí)軟件的驗(yàn)證和確認(rèn)工作。