基于SFMEA的综合导航系统软件安全性分析

冯　瑞　曹　宁

（中国电子科技集团公司第二十研究所，陕西西安710068）

【摘　要】随着导航技术的发展，综合导航系统将成为未来各型平台导航系统的发展趋势，配合系统共同完成导航定位的软件也将逐步成为提升导航精度和可靠性的关键。为此，结合综合导航系统软件特点，研究了一种适合于该类软件的SFMEA安全性分析方法及其实施流程，分析了软件可能存在的缺陷、薄弱环节以及产生的影响，并提出了一些控制措施以避免高危状态的出现。

教育期刊网 http://www.jyqkw.com
关键词综合导航系统软件；SFMEA；安全性

【Abstract】Withthedevelopmentofnavigationtechnology，integratednavigationsystemwillbethedevelopmenttrendoffuturenavigationsystem，thesoftwareofthissystemwillalsobethekeytoenhancenavigationprecisionandreliability.Therefore，Combiningwiththecharacteristicsofintegratednavigationsystem，aSFMEAsafetyanalysismethodthatsuitableforthesoftwareanditsimplementationprocessareadvancedinthispaper，thenthedefectsandweaklinksofthesoftwareandtheireffectsareanalyzed，aswellassomecontrolmeasuresareproposedtoimprovementthesoftwareandavoidthehazardstatements。

【Keywords】Thesoftwareofintegratednavigationsystem；Softwarefailuremodesandeffectsanalysis；Safety

０　引言

随着科学技术的发展，各型平台对导航的精度和可靠性的要求越来越高，任何一种单一的导航系统都难以满足不同区域、不同环境下用户对导航性能的要求。因此，多种导航传感器组合利用、信息融合的综合导航系统应运而生，并将成为提升导航精度及可靠性的重要手段和趋势。

为实现多种导航传感器组合利用、信息融合，综合导航系统赋予软件的功能越来越强大，软件实现越来越复杂，使得软件对整个系统的影响逐渐占据了统治地位。但是，由于重功能、性能，轻效能的传统观念，人们往往忽视可靠性和安全性设计，造成软件维修效率低，安全风险高等缺陷。加之国内软件工程化起步较晚，软件研发人员对标准的理解有差异，导致在编制软件需求时连软件功能、性能需求都有可能描述不清，软件安全性更无从谈起，软件存在巨大安全隐患。因此，对综合导航系统软件的安全性进行分析，避免系统故障引起严重的安全事故十分必要。

目前常用的软件安全性分析方法有：软件失效模式及影响分析方法（SFMEA），软件故障树分析方法（SFTA）、软件潜藏回路分析法（SCA）及马尔可夫状态转移法等［1］。本文利用SFMEA分析方法，基于软件功能I-P-O分析过程对综合导航系统软件进行安全性分析，帮助软件设计人员发现软件产品中存在的设计缺陷和安全性薄弱环节，以便采取相应的补偿措施，提高软件的可靠性和安全性，保证软件质量。

2　SFMEA分析方法及软件功能I-P-O分析过程

2.1　SFMEA分析方法

软件失效模式与影响分析(SFMEA)是硬件FMEA的扩展［2］，是一种自底向上的安全性分析方法，它以失效模式为基础，以失效影响或后果为中心，根据分析层次和因果关系推理、归纳进行分析，采用列表的形式分析软件中每个组成部分潜在的故障模式、原因及其对系统的影响，并针对系统设计中潜在的薄弱环节采取有效的预防、改进或补偿措施。

2.2　软件功能I-P-O分析过程

软件系统大到整个系统，小到一个子函数，都可以看成是由I-P-O三个逻辑部分组成，其中，“输入”负责接收外部的输入；“处理过程”负责对输入进行特定的算法处理；“输出”负责将结果传递给后续功能或者用户[3]。软件I-P-O功能分解示意图如图1所示，软件功能的执行序列可以看成是由多个功能的IPO链接而成。软件功能的IPO分解只是逻辑上的，并非所有的功能都有明显的输入处理或输出处理过程。

3　基于SFMEA的综合导航系统软件安全性分析方案

3.1　综合导航系统软件组成

根据不同的使命和任务以及各个导航源传感器性能互补特性，综合导航系统的组合模式是多种多样的。目前，常用的导航传感器有：塔康（TACAN）、惯性导航（INS）和卫星导航（GNSS）等。其中，TACAN是一种无线电导航系统，具有近程导航定位精度高的特点；INS由陀螺仪和加速度仪组成，是一种不依赖外界信息的完全自主的导航系统，它可以提供速度、位置、姿态等导航参数。但是INS的精度主要取决于惯性器件，导航精度误差会随着时间的积累而不断增加；GNSS具有全天候、实时连续提供位置、速度和时间等导航信息的功能，定位误差不会随着时间的推移而发散。但是GNSS动态性能差[4]。因此，具有性能互补特性的TACAN/GNSS/INS综合导航系统组合模式是可行的。

综合导航系统软件是系统的重要组成部分，是系统方案的具体实现。本文将以塔康(TACAN)、惯性导航（INS）和卫星导航（GNSS）组成的简单综合导航系统为例进行安全性分析，见图2，本文的分析方法也适用于扩展的综合导航系统软件安全性分析。

TACAN/INS/GNSS综合导航系统软件由参数获取、时空配准、异常检测和信息融合四个功能模块组成，其中，参数获取功能是通过接口函数获取各个导航源传感器数据信息；时空配准功能是利用各个导航源传感器输出的导航信息进行时间和空间的统一处理，使得各传感器能在同一时刻提供对同一目标的观测数据；异常检测功能是对各个导航源传感器输出的导航源信息进行检测，隔离出现故障的导航源；信息融合功能是利用各种导航源传感器的状态和数据进行融合处理。

TACAN/INS/GNSS综合导航系统软件涉及到对多种导航源传感器信息融合处理，功能实现较为复杂，可能存在的潜在失效模式较多，同时每种模式发生的因素及逻辑演化十分复杂。因此，本文将结合软件功能特点，采用SFMEA分析方法，基于软件功能I-P-O的分析过程对综合导航系统软件进行安全性分析。

3.2基于SFMEA的软件安全性分析方案

基于SFMEA的软件安全性分析方案具体执行过程如下：

①结合TACAN/GNSS/INS综合导航系统软件功能需求项的特点，对软件进行I-P-O分解，具体描述见表1。

②通过采访、观察及头脑风暴等方法，对每个功能分解得到的I、P、O过程分别进行SFMEA分析，寻找综合导航系统软件失效原因、失效模式，分析失效影响并制定控制措施。分析过程如表2所示。