【民航精品课件 软件质量】2012-No9-容错（2010版）2003版.pdf

北京航空航天大学可靠性与系统工程学院北京航空航天大学可靠性与系统工程学院 2012.052012.05 软件容错技术软件容错技术 了解容错的重要思想了解容错的重要思想 了解容错的基本工作内容了解容错的基本工作内容 了解容错的了解容错的三种三种技术技术 目标目标 2 1 1 故障检测故障检测 2 2 故障处理故障处理 3 3 信息容错信息容错 4 4 时间容错时间容错 5 5 结构容错结构容错 内容内容 3 1 容错技术的重要思想容错技术的重要思想 4 容错技术是研究在系统容错技术是研究在系统存在故障的情况存在故障的情况 下下，如何，如何发现发现故障并故障并纠正纠正故障使计算机系统故障使计算机系统 不受到影响不受到影响继续正确运行，或将故障影响继续正确运行，或将故障影响降降 到到可接受范畴的技术，可接受范畴的技术，使系统能继续满足用使系统能继续满足用 户的要求户的要求 什么是容错技术？什么是容错技术？ 5 冗余可包括：冗余可包括： 1.1.信息冗余信息冗余：通过对信息中外加一部分信息码或将信：通过对信息中外加一部分信息码或将信 息存放在多个内存单元或将信息进行备份等实现冗息存放在多个内存单元或将信息进行备份等实现冗 余。

余 2.2.时间冗余时间冗余：通过软件：通过软件指令的再执行指令的再执行实现冗余实现冗余 3.3.结构冗余结构冗余：通过：通过余度余度配置模块单元或软件配置项配置模块单元或软件配置项 来实现冗余，结构冗余包括结构静态冗余、结构来实现冗余，结构冗余包括结构静态冗余、结构 动态冗余和结构混合冗余动态冗余和结构混合冗余简单地说，即实现简单地说，即实现 多个软件单元或部件或配置项多个软件单元或部件或配置项）（）（冗余级别比较冗余级别比较 高高）） 容错一个重要思想是冗余！容错一个重要思想是冗余！ 6 2 容错技术的两项基本工作内容容错技术的两项基本工作内容 7 对软件而言，一般系统故障可分为两大类：对软件而言，一般系统故障可分为两大类： 内在（软件）故障内在（软件）故障 是指由于在是指由于在软件软件的设计（需求分析、的设计（需求分析、 概要及详细设计）、生产（编程）过程中考虑不周等概要及详细设计）、生产（编程）过程中考虑不周等 人为错误而导致软件本身的故障，在系统中使软件发人为错误而导致软件本身的故障，在系统中使软件发 生失效，这一类故障具有永久性、重复性、不可恢复生失效，这一类故障具有永久性、重复性、不可恢复 的特征。

的特征 外在（环境）故障外在（环境）故障 是指由于外界因素导致系统存在故是指由于外界因素导致系统存在故 障，多为障，多为硬件硬件错误等环境因素影响所致，具有瞬态、错误等环境因素影响所致，具有瞬态、 偶发性、可恢复的特征偶发性、可恢复的特征 容错的意义是当系统发生上述两类故障时，系统容错的意义是当系统发生上述两类故障时，系统 不受到影响或将有害影响限制在一个较小的范围不受到影响或将有害影响限制在一个较小的范围 软件容错要处理的故障软件容错要处理的故障 8 故障检测故障检测 故障处理故障处理 容错的两项基本工作内容容错的两项基本工作内容 9 2.1 故障检测故障检测 10 软件检测原则软件检测原则 相互怀疑原则相互怀疑原则：在设计任何一个单元、模块时，假设：在设计任何一个单元、模块时，假设 其它单元、模块存在着故障每当一个单元、模块接其它单元、模块存在着故障每当一个单元、模块接 受一个数据时，无论这个数据是来自系统外的输入或受一个数据时，无论这个数据是来自系统外的输入或 是来自其它单元、模块处理的结果，首先假定它是一是来自其它单元、模块处理的结果，首先假定它是一 个错误数据，并且竭力去证实这个假设。

个错误数据，并且竭力去证实这个假设 立即检测原则立即检测原则：当故障征兆出现后，要尽快查明，以：当故障征兆出现后，要尽快查明，以 限制故障的损害范围并降低排错的难度限制故障的损害范围并降低排错的难度 11 有哪些故障检测方法？有哪些故障检测方法？ 12 故障检测方法故障检测方法 功能检测法功能检测法 合理性检测法合理性检测法 基于监视定时器的检测法基于监视定时器的检测法 软件自测试软件自测试 13 功能检测法功能检测法 功能检测法是一种按照问题本身的实际需求，归纳出功能检测法是一种按照问题本身的实际需求，归纳出 检查标准，对软件功能运行结果进行检查的方法检查标准，对软件功能运行结果进行检查的方法 14 检查 软件功能 输出 输入 功能检测示意图 功能检测法一般可以从以下方面进行考虑：功能检测法一般可以从以下方面进行考虑： 1.1.直接检测输出直接检测输出 例例- -排序问题排序问题：测试标准是验证软件排序的输出结果：测试标准是验证软件排序的输出结果 是否将所有要求的数据按要求进行了排列是否将所有要求的数据按要求进行了排列 2.2.逆变换检测逆变换检测 例例- -验证写操作的正确性验证写操作的正确性，可以通过把刚写入的数据，可以通过把刚写入的数据 回读出来与原先数据比较。

回读出来与原先数据比较 例例- -验证两个矩阵积的输出结果的正确性验证两个矩阵积的输出结果的正确性，可以把结，可以把结 果矩阵与相应矩阵的逆矩阵相乘然后与另一矩阵比果矩阵与相应矩阵的逆矩阵相乘然后与另一矩阵比 较等 功能检测法功能检测法 15 合理性检测法合理性检测法 合理性检测法是以运算的结果是否合理为标准的一合理性检测法是以运算的结果是否合理为标准的一 种检查方法一般可以从以下方面进行考虑：种检查方法一般可以从以下方面进行考虑： 1.1. 检查每个数据的属性检查每个数据的属性 例例 检查输入数据不可为空检查输入数据不可为空 function function CheckInputCheckInput(char (char InputValueInputValue) ) if ( if (InputValue.lengthInputValue.length==0)==0) alert(alert(检索内容为空！检索内容为空！); ); return false;return false; 16 合理性检测法合理性检测法 检查数值运算的有效性检查数值运算的有效性 平方根运算的数据不能小于平方根运算的数据不能小于0 0；； 除法的分母不能为除法的分母不能为0 0；； 求反正弦函数和反余弦函数的数值应限制在求反正弦函数和反余弦函数的数值应限制在 - -1.01.0，， 1.01.0之间；之间； 进行等于、大于等于、小于等于等比较运算数据不能进行等于、大于等于、小于等于等比较运算数据不能 为浮点类型等为浮点类型等。

17 基于监视定时器的检测法基于监视定时器的检测法 监视定时器俗称“看门狗”（监视定时器俗称“看门狗”（watchdogwatchdog），），目的是在目的是在 时序上保证消息或命令的可靠到达和避免进程阻塞时序上保证消息或命令的可靠到达和避免进程阻塞 例如系统向另外一个设备发出查询命令并等待应答时，例如系统向另外一个设备发出查询命令并等待应答时， 如果该设备故障不能应答，发起方进程就可能一直在如果该设备故障不能应答，发起方进程就可能一直在 等待应答而造成阻塞为了避免这种情况，发起方进等待应答而造成阻塞为了避免这种情况，发起方进 程在发出命令后可以设置一个定时器，在定时器超时程在发出命令后可以设置一个定时器，在定时器超时 之前收到的应答为有效应答，否则认为发送失败，然之前收到的应答为有效应答，否则认为发送失败，然 后进行相应的处理或继续向下运行后进行相应的处理或继续向下运行 18 基于监视定时器的检测法基于监视定时器的检测法 任务运行前启动一个 定时器，任务正常运 行完关闭定时器 19 (a) 系统看门狗示意图；(b) 看门狗复位逻辑图 软件自测试软件自测试 把硬件的自测试（把硬件的自测试（BITBIT）概念用于软件即软件自测试（）概念用于软件即软件自测试（BITBIT）。

1.1.对对ROMROM中的代码进行和检验（中的代码进行和检验（sum checksum check），累加各存储单元数值并与检验），累加各存储单元数值并与检验 和比较和比较 其源程序（伪代码）示意如下：其源程序（伪代码）示意如下： TestROMTestROM() () ////用移位累加和校验用移位累加和校验 sum=0;sum=0; for(i=0;i

并读出判断 向某一固定地址依次写入向某一固定地址依次写入1H1H、、2H2H、、4H4H、、8H8H、、10H10H、、20H20H、、 40H40H、、80H80H并读出判断并读出判断 所有单元置所有单元置1(1(先清零再置先清零再置1 1并读出判断并读出判断) ) 所有单元清零所有单元清零( (清零并读出判断清零并读出判断) ) 向某一单元高速交替写入若干全向某一单元高速交替写入若干全0 0和全和全1 1，最后以全，最后以全0 0结束 21 2.2 故障处理故障处理 22 故障处理故障处理 故障处理指当确定软件发生故障时，采用一故障处理指当确定软件发生故障时，采用一 定方法将其解决，使软件继续正常运行故障处定方法将其解决，使软件继续正常运行故障处 理的策略在很大程度上与软件的用途、功能、结理的策略在很大程度上与软件的用途、功能、结 构及算法、重要程度等因素紧密相关构及算法、重要程度等因素紧密相关 23 有哪些故障处理方法？有哪些故障处理方法？ 24 故障处理故障处理 对于每个可识别的故障来说，可以有对于每个可识别的故障来说，可以有四类四类处理方式：处理方式： 1.1.改正改正 2.2.重试重试 3.3.报告报告 4.4.立即停机立即停机 25 改正改正 程序运行过程中，经过故障检测发现故障之程序运行过程中，经过故障检测发现故障之 后，人们自然期望软件具有能够自动改正故障的后，人们自然期望软件具有能够自动改正故障的 功能。

功能改正故障的前提是已经准确地找出软件故改正故障的前提是已经准确地找出软件故 障的起因和部位，程序又有能力修改、剔除有故障的起因和部位，程序又有能力修改、剔除有故 障的语句障的语句 例例 高度高度HeightDataHeightData为外界传入数据，当其有为外界传入数据，当其有 误时可将其设置为默认值，之后再进行相应的处误时可将其设置为默认值，之后再进行相应的处 理 26 改正改正 void void DatainputDatainput( (intint HeightDataHeightData) //) //其中，其中，HeightDataHeightData为外界传入数据为外界传入数据 if ((if ((HeightData。