基于軟件仿真技術的外源性故障注入方法研究

，，

(中國航空綜合技術研究所，北京 100028)

基于軟件仿真技術的外源性故障注入方法研究

高虎，李海峰，趙剛

(中國航空綜合技術研究所，北京100028)

針對當前復雜系統測試性試驗中存在的無法模擬外部條件性存在的設備故障、外部輸入輸出故障模式單一等故障注入問題，定義了外源性故障的概念；針對外源性故障具有的功能邏輯和運行場景特性、故障源繁雜特性、模擬難度大成本高特性、總線交聯特性，總結了外源性故障注入的基本要求；提出了一種面向外總線復雜應用數據仿真的外源性故障注入方法，面向總線應用層數據，從復雜系統的高級應用邏輯出發，模擬復雜系統交聯環境、使用方式等故障行為，建立自動化的實時仿真故障注入環境，通過全數字仿真模型模擬交聯環境的行為，進一步通過模型輸入、輸出或模型參數的改變，實施總線高級行為的故障注入；最后闡述了測試性試驗中的外源性故障注入實施方案，分析了該方法的關鍵技術和環境構建思路，制定了外源性故障注入試驗的實施流程。

測試性；故障注入；仿真技術；外源性故障

0 引言

裝備復雜系統往往具有功能性能復雜、外部輸入輸出條件不可遍歷、故障模式具有邏輯性和時序性等特點[1]。而目前國內外已有的故障注入方法均主要針對硬件電路，按照一定的邏輯組合從管腳、導線等電路連接部位注入指定故障模式。一般可歸納為以下幾種方法：針對管腳等電勢進行故障注入的方法，該方法可注入的故障模式少，覆蓋性差；通過后驅動進行故障注入的方法，該方法通過直接改變注入點電流值達到修改邏輯電平的目的，在應用時會受到實際負載的限制；針對專用總線進行故障注入的方法，該方法主要局限于總線底層協議，如物理通路、總線鏈路、數據位、數據幀的故障注入；軟件故障注入方法，該方法局限于系統/設備自身軟/硬件失效，可信性差，隨意性強，且實施代價較高。

上述故障注入均面向單一的外部運行模式，未考慮系統/設備復雜行為和復雜工作條件的響應。一方面，難以將復雜的、依賴外部激勵條件性存在的系統/設備內在故障模式得到真實、有效的模擬；另一方面，無法模擬系統/設備外源故障模式，缺少針對系統/設備對外部輸入/輸出的各類異常、故障及危險情況的檢測、處理與隔離進行驗證的有效手段。在目前已開展的型號測試性試驗工作中，軟件故障注入均僅作為備用手段，尚無實際應用，而外部總線故障注入范圍也受到了很大局限，這也制約了復雜系統級裝備測試性試驗的開展[2]。

本文提出了一種面向外總線復雜應用數據故障的外源性故障注入方法，通過仿真技術模擬外源性復雜功能、性能故障，可有效提高裝備軟件外部應用數據故障的注入能力。

1 外源性故障注入簡介

1.1 外源性故障特點

定義：受試系統以外的、與受試系統存在信息交互的交聯系統產生的故障，稱為受試系統的外源性故障。

受試系統作為裝備系統中的一部分，其外源性故障主要來自外部總線接口的輸入和輸出，外部總線接口的輸入和輸出的特點決定了復雜系統故障通常具有如下特點[3]：

1)外源性故障具有功能邏輯和運行場景特點。復雜系統的處理過程通常包含了復雜的邏輯或時序環節，如軟件流程、復雜邏輯電路、狀態機等；復雜系統所要完成的系統任務非常繁多，覆蓋不同的工作狀態、飛機飛行階段以及外部環境條件，因此系統運行過程中所產生的故障也具有特定功能邏輯和運行場景激活的特點。

2)外源性故障具有故障源復雜繁多的特點。復雜系統集成了多項功能，通常會與多項外部設備相互交聯，進行數據交互與機構控制等活動，并融合這些信息對外部交聯設備進行監控與管理；在這種高度交聯化的情況下，外部交聯設備各種控制和數據的異常變化，都會使研究對象產生不易預知的故障。

3)外源性故障的模擬難度大成本高。復雜系統交聯設備具有的實時性、耦合性以及存在閉環反饋等復雜特性，對復雜系統交聯環境故障行為的模擬難以接近真實使用場景的交聯環境。

4)外源性故障具有總線交聯特點。受試系統交聯設備引起的故障通過信息交互傳遞給受試系統，使得雜系統總線故障具備了輸入輸出邏輯性強、交聯設備繁多和應用場景復雜等的特性。

1.2 外源性故障注入要求

復雜系統故障注入即對復雜系統模擬故障行為，以實現對復雜系統某類故障處理行為的驗證。根據上述外源性故障的特點，在裝備測試性試驗中，對復雜系統的故障注入提出了以下的要求：

1)針對復雜系統總線應用層功能邏輯故障的特點，需要提供總線數據內容層面上的外部故障激勵施加方式，以及系統輸出對外部激勵響應的采集、查看和分析；

2)針對復雜系統交聯環境繁多的特點，交聯設備具有的實時性、耦合性以及存在閉環反饋等復雜特性，對復雜系統交聯環境故障行為的模擬應與盡可能接近真實使用場景的交聯環境建立總線故障激勵連接。

3)由于注入的故障往往受成本、安全性等因素的考慮，難以通過真實交聯設備進行輸入，需要提供一套有效、便捷，實施代價小的交聯環境總線數據激勵和采集試驗方法，并建立相應的試驗環境。

4)針對復雜系統狀態復雜、不可窮舉等特點，需要提供自動化的復雜系統故障注入手段。

2 外源性故障注入方法

2.1 基本原理

根據外源性故障的特點及外源性故障注入要求，面向總線應用層協議中具體傳輸的數據內容，從復雜系統的高級邏輯應用出發，模擬復雜系統交聯環境、使用方式等仿真故障行為。而針對復雜系統總線故障注入對交聯設備場景和故障模擬的要求，需要通過仿真測試的手段，建立自動化的實時仿真故障注入環境，通過全數字仿真模型的運算模擬交聯環境的行為，進一步通過模型輸入、輸出或模型參數的人為改變，實施相應的總線高級行為故障注入。

外源性總線軟件故障注入基本原理是修改交聯設備軟件或仿真激勵環境軟件，模擬真實交聯設備無法達到或達到代價過高的故障狀態，通過總線級的激勵作用于受試設備，實現故障注入。外源性總線故障注入不同于傳統意義的外部總線故障注入，主要從交聯設備軟件行為出發，注入總線數據內容、邏輯等應用層故障。外源性總線故障注入的實現不能影響交聯設備的正常功能和性能，應盡可能真實的模擬實裝環境下故障的特征。

2.2 總體方案

將故障通過受試系統外部的交聯設備進行注入是外源性故障注入的核心內容，因此外源性故障注入的實施可包括以下兩中方案：

1)外源性直接故障注入方法：通過直接修改交聯設備軟件，并編譯、下載到交聯設備目標芯片中，實施故障注入，故障注入環境包括故障注入計算機、編譯環境和下載設備，如圖1所示。

圖1 外源性總線直接故障注入原理

該方法在實施過程中與傳統的軟件故障注入較類似，所不同的是故障模式擴大至受試系統外部，故障觸發方式僅支持運行中故障激活方式。

2)外源性總線仿真故障注入方法：通過建立交聯設備的仿真激勵環境，通過仿真激勵環境自動程控加載注入故障的模型、腳本或數據，實施故障注入，故障注入環境包括仿真建模工具、故障注入設計工具和故障注入實施工具，見圖2。

圖2 外源性總線仿真故障注入原理

外源性總線仿真故障注入方法能夠更加符合復雜系統的特點及其對故障注入方法的要求，全面、有效的實現復雜系統的故障注入，是本文的關鍵技術。

2.3 關鍵技術

針對外源性總線仿真故障注入方案，可采用如下關鍵技術作支撐：

1)真實的總線接口黑盒測試技術[4]。即通過復雜系統的外部總線和接口，向受試系統施加激勵，并查看受試系統通過外部總線的響應。在該試驗技術中，將復雜系統當成一個黑盒的整體，保證了受試產品試驗狀態的真實性和一致性，通過對黑盒整體的輸入到輸出的響應的試驗，驗證設備包括故障處理能力在內的宏觀功能的正確性。進一步，依據試驗輸入條件中的故障模式策略，通過總線協議和數據內容的變異，施加包含了試驗預期故障模式的輸入激勵，實現外部總線故障注入。

2)面向動態數據內容的總線激勵技術[5]。即在外部總線故障注入過程中，不僅針對總線協議和物理連接，注入數據傳輸層及其底層的故障，如總線中斷、速率不匹配、數據反轉等。更重要的是，針對復雜系統的邏輯性特點，注入面向數據內容的應用層故障，即針對總線傳輸的數據內容，如溫度、壓力、迎角、法相加速度等，的異常偏差，查看的不僅局限于受試設備對總線故障的處理能力，更重要的是驗證復雜受試系統核心功能對輸入的數據代表的交聯設備、運行環境、飛行環境等高層次異常的處理能力。而這類面向數據內容的高層次的故障，往往不是一個孤立的單點數據變異，而是一組輸入元素融合在操作流程、運行場景或狀態遷移中的動態時序行為組合。因此，應通過順序文件或腳本的形式對復雜系統的輸入數據元素動態關系進行程序化的設計，并在這些動態輸入元素行為組合中，注入數值和時序兩個維度的故障，從而實現對復雜系統高層系外部總線故障的模擬。

3)實時仿真故障注入技術[6]。即建立高逼真度的復雜系統交聯環境全數字仿真平臺，通過數字仿真取代受試系統的真實外部交聯環境連接。

一方面，通過實時仿真故障注入技術，實現了對受試產品外部接口、交聯環境和輸入輸出行為的仿真，全數字模型取代了物理設備，更有助于面向動態數據內容的總線故障的模擬和施加；同時通過靈活的數學模型，擴充了可注入故障的范圍，解決了故障注入過程中成本、效率的局限以及潛在的故障安全性風險等方面的問題。另一方面，實時仿真故障注入技術依托數學模型強大的行為表達能力，理論上能夠模擬外部交聯環境全部的復雜行為，彌補了動態輸入數據元素序列僅能從輸入數值和時序兩個維度設置故障模式的不足。實時仿真故障注入技術將故障模式的表達范圍擴大到輸入數值、輸出反饋、系統狀態、動態時序等多個維度，可通過模型輸入輸出、模型參數、模型結構以及專用故障模塊等靈活的方式實現故障的模擬和施加，解決復雜系統交互性、反饋性等復雜特性的故障注入問題。

2.4 試驗環境構建

外源性總線仿真故障注入是面向復雜系統外源性總線故障注入的有效手段，故障注入人員可通過相關的支撐工具對系統的各種資源進行配置，組織受試系統的輸入，來驅動受試系統運行，同時接收受試系統的輸出結果，從而對復雜系統進行自動的、實時的、非侵入性的閉環故障注入[7]。

外源性總線仿真故障注入具有可重復性，借助工具平臺能完成手工注入由于時間或運行環境而無法進行的故障模式，保證注入的完整性，此外自動故障注入還能保證當復雜系統的功能擴展時使其故障模式也隨之擴展，具有可擴展性[8]。非侵入性保證受試系統自身不會因為故障注入而改變，以確保試驗的真實性；閉環故障可仿真復雜系統交聯環境的輸入信號、捕捉并觀察受試系統的響應并對響應進行判斷。

基于軟件模擬的故障注入工具平臺，通過通用的、可定制的方式，建立復雜系統外部交聯環境接口模型，實現系統動態運行中故障激活條件的實時、自動化控制，提供內源性軟件故障注入支撐；建立復雜系統外部交聯環境行為仿真模型，通過仿真模型的動態運行，實現對外部交聯環境故障和高級行為的模擬，提供外源性總線故障注入支撐。

針對復雜系統軟件故障模式復雜度高、接口種類豐富、交互性強、與功能耦合性強以及對時序要求高等特點，實時仿真故障注入環境采用分層設計結構[9]，如圖3所示。

圖3 實時仿真故障注入環境結構圖

1)故障注入應用層提供人機交互界面，實現軟件故障模式的編輯、仿真模型設計、接口配置、實時激勵與顯示、結果數據管理與分析等功能；通過Matlab/simulink等第三方通用建模工具，實現第三方仿真模型的編輯，并編譯成可供測試環境執行的形式，在試驗核心層實現仿真模型的實施運行。

2)故障注入核心層采用實時嵌入式操作系統，滿足復雜系統軟件故障的實時性要求，實現交互式仿真模型的實時運行、交聯環境激勵的產生、故障模式的自動施加、原始數據的實時采集；

3)故障注入驅動層實現數量和種類上滿足復雜系統要求的，包括RS-232/422/485、CAN、ARINC429、MIL-STD-1553B、AFDX、模擬量、開關量等常用航空接口的集成。

2.5 實施流程

外源性總線仿真故障注入方法能把被測復雜系統和外部故障源物理地連接在一起，并進行邏輯的描述，通過自動生成故障用例，仿真產生輸入驅動受試目標系統運行，得到運行結果，并且在試驗后能對受試系統進行分析和測試性評估等工作。

外源性總線仿真故障注入的具體工作過程為：

1)開始故障注入試驗前，首先進行相關的系統配置，包括總線接口配置和仿真模型配置?？偩€接口配置主要工作內容有：選擇測試需要的受試系統外部總線接口，并且進行接口通訊協議、數據格式等方面的配置，形成配置數據或配置文件。仿真模型配置主要工作內容有：通過第三方建模工具，如matlab等建立仿真模型，采用第三方聯合編譯技術，將仿真模型編譯成可在故障注入支撐平臺運行的模型文件，并且對其輸入/輸出和參數進行設定，提取相關的輸入、輸出及參數信息，與故障注入支撐工具操作界面進行數據綁定，實現仿真模型的實時控制。

2)利用試驗腳本或總線數據元素序列文件，生成包含故障信息的試驗腳本或試驗用例。

3)建立仿真故障注入環境，選擇構建仿真故障注入環境的輸入輸出環境文件、試驗用例或腳本，以及仿真模型，并且通過編輯連接表，建立它們的連接關系。

4)執行試驗，實施故障注入：將輸入輸出環境文件、試驗用例或腳本，以及仿真模型下發到實時試驗系統，完成緩沖區初始化，實時測試任務初始化等。執行測試性試驗，激活注入的故障。實施采集受試設備的外部總線輸出，并記錄。

5)試驗后處理，當實時試驗完成后，進行試驗后處理工作，包括：試驗過程回放，試驗結果事后分析、比較，測試性評估等。

3 結 論

本文提出了外源性故障的概念，并總結了復雜系統外源性故障的特點及注入的要求；在此基礎上給出了外源性故障注入的基本原理及總體方案，并提出了外源性總線仿真故障注入方案的關鍵技術，研究故障注入環境的構建方法并描述了外源性故障注入的實施流程。從實施層面能夠解決目前航空型號研制過程中缺乏系統測試性整體驗證的能力。

復雜系統的測試性試驗方法尤其是仿真技術在測試性試驗中的應用尚處于起步階段，在航空電子迅速發展的今天，加強對該技術領域的研究對我國型號飛機研制過程中測試性驗證能力的提高具有非常重要的意義。

[1] 徐 萍，康 銳． 測試性試驗驗證中的故障注入系統框架研究[J]． 測控技術， 2004, 23(8) ：12-14.

[2] 孫峻朝，王建瑩，楊孝宗． 故障注入方法與工具的研究現狀[J]． 宇航學報， 2001, 22(1) ：99-104.

[3] 彭俊杰，洪炳镕，袁成軍． 軟件實現的星載系統故障注入技術研究[J]． 哈爾濱工業大學學報，, 2004, 36(7) ：934-936.

[4] JA Clark，DK Pradhan. Fault injection: a method for validating computer-system dependability[J]. Computer, 1995, 28(6) ：47-56.

[5] 李璇君． 航空發動機數字控制器與航空電子綜合系統BIT技術研究[D]． 南京：南京航空航天大學， 2001.

[6] R Natella，D Cotroneo，JA Duraes，HS Madeira. On Fault Representativeness of Software Fault Injection [J]. IEEE Transactions on Software Engineering, 2013, 39(1) ：80-96.

[7] J Arlat，Y Crouzet，J Karlsson. Comparison of Physical and Software-Implemented Fault Injection Techniques[J]. IEEE Transactions on Computers, 2003, 52(9) ：1115-1133.

[8] 石君友，李 鄭，劉 騮，等．自動控制故障注入設備的設計與實現[J]． 航空學報， 2007, 28(3) ：556-560

[9] 劉 暢，劉 斌，阮 鐮. 航空電子軟件仿真測試環境軟件體系結構研究[J]. 航空學報，2006，27(5):877-882.

ResearchonMethodofExogenousFaultInjectionBasedonSoftwareSimulationTechnology

Gao Hu，Li Haifeng, Zhao Gang

(China Aero-polytechnology Establishment, Beijing 100028, China)

There are many deficiencies in testability test of complex systems, such as the external conditional existence of equipment failure can not be modeled , the equipment failure mode of external input and output is too simple for the testability test. As a new approach to the problem, the concept of exogenous fault is defined. The characteristics and basic requirements of exogenous faults are summarized. Then an exogenous fault injection approach based on the application data simulation of external bus is proposed. From the advanced application logic of the complex system, this approach establishes an automated real-time simulation fault injection environment, simulates the behavior of cross-linked environment by full digital simulation model, change the input, output, or parameters of the model, and implement the fault injection of the advanced behavior of the bus. At last, the implementation scheme of exogenous fault injection in the test is described, the key technology and environment construction of the method are analyzed, and the implementation process of external fault injection test is developed.

testability; fault injection; simulation; exogenous failure

2017-03-04；

2017-03-24。

高 虎(1986-)，男，河北石家莊人，碩士研究生，工程師，主要從事軟件故障注入、軟件測試方向的研究。

1671-4598(2017)09-0017-04

10.16526/j.cnki.11-4762/tp.2017.09.005

TP311.1

A