喬邦江 劉彪 易澤鵬 林鎮(zhèn)明 廖家旺/ 國(guó)營(yíng)長(zhǎng)虹機(jī)械廠 空軍駐桂林地區(qū)軍事代表室

0 引言

當(dāng)前，綜合電子系統(tǒng)的復(fù)雜度越來(lái)越高，對(duì)穩(wěn)定性的要求更高，系統(tǒng)的故障適應(yīng)能力需要在系統(tǒng)設(shè)計(jì)之初考慮清楚。系統(tǒng)出廠前，針對(duì)設(shè)計(jì)之初論證的臨界狀態(tài)以及功能、性能超限等技術(shù)指標(biāo)，需要采用故障注入技術(shù)模擬故障測(cè)試環(huán)境，進(jìn)行系統(tǒng)的故障適應(yīng)性分析，驗(yàn)證系統(tǒng)的容錯(cuò)性能和系統(tǒng)的可靠性；系統(tǒng)出廠后，由于工作在特殊、惡劣的環(huán)境下，常常出現(xiàn)一些無(wú)法預(yù)測(cè)的隨機(jī)故障，一般通過(guò)主動(dòng)向目標(biāo)系統(tǒng)注入標(biāo)準(zhǔn)激勵(lì)信號(hào)，觀察系統(tǒng)在標(biāo)準(zhǔn)激勵(lì)信號(hào)下的響應(yīng)，查看能否重現(xiàn)測(cè)試中的故障，以幫助提升故障定位的準(zhǔn)確率和故障處理效果。

故障注入技術(shù)作為測(cè)評(píng)系統(tǒng)容錯(cuò)機(jī)制的有效性方法，已經(jīng)在航空航天、飛行器控制、商業(yè)交易以及通信等領(lǐng)域廣泛應(yīng)用。故障注入技術(shù)可以分為基于物理硬件的實(shí)現(xiàn)方法和基于軟件的實(shí)現(xiàn)方法。硬件故障注入技術(shù)易使系統(tǒng)造成永久性損壞，且無(wú)法評(píng)測(cè)系統(tǒng)的軟件故障；軟件故障注入技術(shù)通?？勺⑷氲墓收戏秶鼜V，既可以模擬系統(tǒng)的硬故障又可以模擬系統(tǒng)的軟故障，且不會(huì)對(duì)系統(tǒng)硬件產(chǎn)生任何形式的破壞，還具有方便地跟蹤目標(biāo)操作系統(tǒng)執(zhí)行情況并實(shí)現(xiàn)數(shù)據(jù)處理的特點(diǎn)。軟件故障注入成為故障注入技術(shù)的發(fā)展方向與研究熱點(diǎn)[1]，引起各國(guó)研究者的廣泛關(guān)注。

本文通過(guò)分析國(guó)內(nèi)外基于軟件故障注入技術(shù)的研究現(xiàn)狀及其發(fā)展趨勢(shì)，開(kāi)展軟件故障注入技術(shù)方法調(diào)研，歸納總結(jié)軟件故障注入技術(shù)在不同應(yīng)用領(lǐng)域的研究情況。該研究成果可為航空航天領(lǐng)域應(yīng)用該項(xiàng)技術(shù)對(duì)裝備武器系統(tǒng)、無(wú)人機(jī)飛行控制系統(tǒng)和裝備總線通信系統(tǒng)的可靠性評(píng)估提供參考。

1 研究現(xiàn)狀及其發(fā)展趨勢(shì)

故障是指在系統(tǒng)運(yùn)行過(guò)程中導(dǎo)致或可能導(dǎo)致系統(tǒng)故障的缺陷。故障注入是指人為地有意識(shí)地通過(guò)特定的故障模型產(chǎn)生故障，在特定工作負(fù)載的目標(biāo)系統(tǒng)上運(yùn)行，加速系統(tǒng)故障和錯(cuò)誤的發(fā)生，同步觀察目標(biāo)系統(tǒng)的反饋信息，并對(duì)收集到的信息進(jìn)行分析，從而得到相關(guān)的評(píng)價(jià)結(jié)果。因此，故障注入成為一種評(píng)價(jià)系統(tǒng)可靠性的有效方法。

軟件故障注入是一種模擬目標(biāo)系統(tǒng)硬件或軟件故障的方法，通過(guò)修改內(nèi)存映像來(lái)實(shí)現(xiàn)，分為靜態(tài)和動(dòng)態(tài)兩種方式。在程序運(yùn)行前將故障代碼嵌入到程序中，稱(chēng)之為靜態(tài)模式，根據(jù)程序運(yùn)行時(shí)的數(shù)據(jù)判斷結(jié)果是否存在故障；在程序運(yùn)行過(guò)程中進(jìn)行故障實(shí)時(shí)注入的則稱(chēng)為動(dòng)態(tài)故障注入。

運(yùn)行前的軟件故障注入方法需要修改程序源代碼，包括修改賦值語(yǔ)句和進(jìn)程結(jié)構(gòu)以實(shí)現(xiàn)故障注入，然后將程序重新編譯并運(yùn)行，通過(guò)監(jiān)控程序運(yùn)行過(guò)程中的數(shù)據(jù)分析結(jié)果，評(píng)估注入的故障是否符合要求，從而診斷故障[2]。運(yùn)行中的軟件故障注入方法不需要對(duì)程序源代碼進(jìn)行修改，也不需修改賦值語(yǔ)句及程序的邏輯結(jié)構(gòu)。在程序執(zhí)行過(guò)程中，將錯(cuò)誤數(shù)據(jù)插入到程序中，監(jiān)視其執(zhí)行狀態(tài)以獲取必要的數(shù)據(jù)，根據(jù)獲取的數(shù)據(jù)判斷程序是否存在問(wèn)題或出現(xiàn)故障。

與運(yùn)行前的軟件故障注入方法相比，研究運(yùn)行中的軟件故障注入方法更具實(shí)際意義，主要原因如下。

1）運(yùn)行前的軟件故障注入方法需要多次對(duì)源代碼進(jìn)行更改，以檢測(cè)程序中是否存在故障。這種方法過(guò)于復(fù)雜煩瑣，不易一步到位。

2）修改源代碼中的賦值語(yǔ)句或邏輯結(jié)構(gòu)，可能影響程序的行為，導(dǎo)致程序出現(xiàn)錯(cuò)誤或異常；可能導(dǎo)致程序在發(fā)生故障時(shí)產(chǎn)生不同的數(shù)據(jù)，難以診斷故障問(wèn)題。

基于軟件方法實(shí)現(xiàn)的故障注入技術(shù)的研究正在向以下幾個(gè)方面發(fā)展。

1）研究并應(yīng)用不同的故障注入方法，如將硬件故障注入與軟件故障注入方法相結(jié)合，構(gòu)建實(shí)用的注入工具，并將理論應(yīng)用于實(shí)踐[3]。

2）在分布式系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)中，運(yùn)用宏觀層次的軟件故障注入策略。

3）對(duì)改進(jìn)現(xiàn)有的采樣技術(shù)、參數(shù)估計(jì)和建模方法的研究，可以降低故障注入測(cè)試的實(shí)際運(yùn)行時(shí)間和經(jīng)濟(jì)成本，提高評(píng)估結(jié)果的準(zhǔn)確性[4]。

4）將設(shè)計(jì)階段與評(píng)估階段使用的故障注入方式相結(jié)合，并將故障注入方法與現(xiàn)場(chǎng)測(cè)量和建模相結(jié)合。

5）改進(jìn)現(xiàn)有的軟件故障注入方法，以實(shí)現(xiàn)特定時(shí)間和地點(diǎn)的故障數(shù)據(jù)注入。

6）故障注入測(cè)試正在向錯(cuò)誤注入自動(dòng)化和智能化、錯(cuò)誤注入反饋智能化、錯(cuò)誤注入結(jié)果分析和評(píng)估智能化方向發(fā)展[5]。

2 軟件故障注入技術(shù)應(yīng)用領(lǐng)域研究

2.1 軟件故障注入技術(shù)在武器裝備系統(tǒng)中的應(yīng)用研究

由于武器系統(tǒng)本身的設(shè)計(jì)論證涉及測(cè)量和控制技術(shù)、紅外技術(shù)、圖像技術(shù)、電源技術(shù)、總線技術(shù)、激光技術(shù)、毫米波技術(shù)以及電氣、光學(xué)和運(yùn)動(dòng)學(xué)等學(xué)科的方方面面，以及數(shù)字無(wú)刷伺服、氣動(dòng)/推力矢量控制、紅外成像制導(dǎo)等新技術(shù)的應(yīng)用，因此很難在武器系統(tǒng)發(fā)生故障后找到故障的真正原因。將故障注入技術(shù)應(yīng)用于武器系統(tǒng)，為武器系統(tǒng)的故障診斷、隔離和定位提供了有效手段，極大地促進(jìn)了武器系統(tǒng)的開(kāi)發(fā)、測(cè)試和性能評(píng)估。

一些武器設(shè)計(jì)總體單位已經(jīng)將故障注入技術(shù)應(yīng)用于裝備武器系統(tǒng)設(shè)計(jì)中。例如，航空研究所采用軟件方法測(cè)試裝備武器系統(tǒng)的信息交互故障（包含武器與外部設(shè)備以及武器內(nèi)部之間），驗(yàn)證裝備武器系統(tǒng)的工作能力，如圖1 所示，虛線框內(nèi)為裝備武器系統(tǒng)，即目標(biāo)系統(tǒng)，目標(biāo)系統(tǒng)的正常通信信號(hào)被引出至故障注入系統(tǒng)，經(jīng)注入故障后再送回到目標(biāo)系統(tǒng)中[6]。

武器故障注入系統(tǒng)可以從物理層、電氣層和協(xié)議層三個(gè)層面進(jìn)行故障注入，具有實(shí)時(shí)數(shù)據(jù)傳輸能力，可以阻斷和收集武器的各種信息交換通道，可以在實(shí)時(shí)注入故障的同時(shí)生成各種信號(hào)，不影響武器測(cè)試的實(shí)時(shí)性能。具體功能如下。

圖1 裝備武器系統(tǒng)故障注入原理圖

1）故障設(shè)置功能?？梢造`活設(shè)置各種故障，涵蓋設(shè)備和武器系統(tǒng)中的各種常見(jiàn)故障。根據(jù)設(shè)備和武器系統(tǒng)中通信數(shù)據(jù)所代表的實(shí)際物理意義，數(shù)據(jù)故障分為三類(lèi)：通信量故障、連續(xù)量故障和開(kāi)關(guān)量故障。設(shè)備和武器系統(tǒng)中的故障包含十余種故障模式和近百種故障編號(hào)。

2）故障注入功能。該故障注入系統(tǒng)可以在特定時(shí)間、特定故障位置注入指定數(shù)量的故障。故障注入的開(kāi)始時(shí)間、持續(xù)時(shí)間、結(jié)束時(shí)間、重復(fù)時(shí)間和注入周期可以根據(jù)故障模型確定。在故障注入過(guò)程中實(shí)時(shí)控制和監(jiān)控故障的注入狀態(tài)。該系統(tǒng)還可以根據(jù)要求注入瞬態(tài)故障、永久故障和間歇性故障。

3）測(cè)試結(jié)果存儲(chǔ)和分析功能?？梢詫⒃囼?yàn)數(shù)據(jù)以文件形式保存，并提供數(shù)據(jù)分析和處理方法。

4）故障注入系統(tǒng)采用軟硬件故障注入方法相結(jié)合，從物理、電氣和協(xié)議層對(duì)裝備和武器系統(tǒng)進(jìn)行實(shí)時(shí)動(dòng)態(tài)故障注入測(cè)試，對(duì)裝備和武器系統(tǒng)的可靠性進(jìn)行更加全面的評(píng)估，對(duì)提高武器裝備的可靠性起著關(guān)鍵作用[7]。

2.2 軟件故障注入技術(shù)在無(wú)人機(jī)飛控系統(tǒng)中的應(yīng)用研究

飛行控制系統(tǒng)是無(wú)人機(jī)的核心子系統(tǒng)之一。飛行控制系統(tǒng)一旦發(fā)生故障，將造成重大財(cái)產(chǎn)損失。若能及時(shí)有效地發(fā)現(xiàn)故障，可采取一定措施防止重大事故的發(fā)生[8]。

基于上述需求，南京航空航天大學(xué)和西北工業(yè)大學(xué)研發(fā)了一種無(wú)人機(jī)飛行控制系統(tǒng)的軟件故障注入與故障診斷實(shí)時(shí)仿真驗(yàn)證平臺(tái)。該系統(tǒng)具有靈活多變的特點(diǎn)，可以隨時(shí)在系統(tǒng)的任何地方注入不同類(lèi)型的故障，快速滿(mǎn)足用戶(hù)的需求，能夠在特定條件下快速檢測(cè)并定位故障，診斷算法的質(zhì)量。

軟件故障注入系統(tǒng)、故障診斷系統(tǒng)和飛行控制系統(tǒng)之間的關(guān)系如圖2 所示。虛線框代表無(wú)人機(jī)飛行控制系統(tǒng)或者目標(biāo)系統(tǒng)。軟件故障注入系統(tǒng)和故障診斷系統(tǒng)在無(wú)人機(jī)飛行控制系統(tǒng)中串聯(lián)連接。雙箭頭表示從目標(biāo)系統(tǒng)提取正常信號(hào)到軟件故障注入系統(tǒng)的雙向過(guò)程，并在故障注入后將信號(hào)發(fā)送回目標(biāo)系統(tǒng)[9]。雙箭頭和目標(biāo)系統(tǒng)的交點(diǎn)表示故障注入節(jié)點(diǎn)。

根據(jù)機(jī)載傳感器、執(zhí)行器、外圍設(shè)備、綜合控制計(jì)算機(jī)、飛機(jī)專(zhuān)用設(shè)備之間的通信特點(diǎn)，可將故障注入分為切換故障注入、連續(xù)故障注入及通信故障注入三種方式[10]。

連續(xù)故障注入通過(guò)拉動(dòng)、移動(dòng)、短路和斷開(kāi)來(lái)改變正確值，從而產(chǎn)生故障數(shù)據(jù)；開(kāi)關(guān)故障注入通過(guò)改變描述載機(jī)設(shè)備運(yùn)行狀態(tài)的二進(jìn)制位來(lái)產(chǎn)生故障值，通常使用設(shè)置0、1 和反轉(zhuǎn)的方法；通信故障注入通過(guò)修改通信內(nèi)容來(lái)產(chǎn)生故障值。

事件觸發(fā)機(jī)制是在目標(biāo)系統(tǒng)運(yùn)行時(shí)激活一組故障，生成故障注入序列，并自動(dòng)將它們注入到系統(tǒng)中[11]。采用事件觸發(fā)的動(dòng)態(tài)故障注入方法設(shè)計(jì)的故障注入系統(tǒng)的故障注入測(cè)試流程如圖3 所示。

無(wú)人機(jī)的飛行狀態(tài)受機(jī)載設(shè)備故障的影響很大。表1 所示的故障注入范例是將故障注入到無(wú)人機(jī)不同飛行狀態(tài)下的所有分系統(tǒng)中。故障注入范例與故障注入的統(tǒng)計(jì)結(jié)果如表2 所示。

試驗(yàn)結(jié)果研究表明，將軟件故障注入技術(shù)應(yīng)用到無(wú)人機(jī)飛行控制系統(tǒng)的測(cè)試中，對(duì)無(wú)人機(jī)飛行控制系統(tǒng)的故障檢測(cè)、系統(tǒng)可靠性和容錯(cuò)能力的研究具有重要的指導(dǎo)意義，是評(píng)估無(wú)人機(jī)飛行控制系統(tǒng)性能指標(biāo)的一種有效手段。

2.3 軟件故障注入技術(shù)在總線通信系統(tǒng)中的應(yīng)用研究

控制系統(tǒng)作為整個(gè)武器系統(tǒng)的關(guān)鍵組成部分，承擔(dān)著各子系統(tǒng)間的數(shù)據(jù)交互。早期，武器控制系統(tǒng)各部分間的信號(hào)交互大多采用模擬信號(hào)進(jìn)行。隨著通信數(shù)據(jù)量愈來(lái)愈多，傳統(tǒng)的信號(hào)交互方法逐步被總線通信替代。

圖2 飛行控制系統(tǒng)軟件故障注入與故障診斷系統(tǒng)原理圖

圖3 動(dòng)態(tài)故障注入流程

兵器研究所采用故障注入方法，主動(dòng)向武器系統(tǒng)注入特定總線類(lèi)型的故障，通過(guò)確定系統(tǒng)的響應(yīng)，實(shí)現(xiàn)總線故障的定位和故障排除。為了滿(mǎn)足上述需求，該團(tuán)隊(duì)研發(fā)了一種用于多總線的電氣故障注入系統(tǒng)，包括1553B、ARINC 429、RS232、RS422、CAN 總線、以太網(wǎng)和武器系統(tǒng)中常用的其他通信方式，該系統(tǒng)可以實(shí)現(xiàn)從電氣和協(xié)議層的故障注入。

以下故障注入方法可用于RS422、CAN、ARINC 429 和以太網(wǎng)。

1）在RS422 協(xié)議層上實(shí)施數(shù)據(jù)位、奇偶校驗(yàn)和停止位的替換以及啟動(dòng)位反轉(zhuǎn)等故障處理，可以實(shí)現(xiàn)在RS422 電氣層差分信號(hào)幅值的調(diào)整[12]。

2）在ARINC 429 協(xié)議層實(shí)施同步報(bào)頭反轉(zhuǎn)、數(shù)據(jù)替換和指定比特編碼極性等故障處理，可以實(shí)現(xiàn)在ARINC 429電氣層信號(hào)幅值和速率的調(diào)整。

3）在CAN 電氣層實(shí)施終端匹配電阻調(diào)整及內(nèi)部電源故障，可以實(shí)現(xiàn)CAN總線的電氣層故障注入；在CAN 協(xié)議層實(shí)施自定義傳輸波特率和傳輸錯(cuò)誤數(shù)據(jù)幀故障，可以實(shí)現(xiàn)CAN 總線的協(xié)議層故障注入[13]。

4）在網(wǎng)絡(luò)電氣層采用直流、正負(fù)信號(hào)以及TX/RX 差分信號(hào)的同時(shí)疊加，可以提供疊加的共模電壓，采用IP/UDP層或TCP 中報(bào)文的錯(cuò)誤、消息長(zhǎng)度錯(cuò)誤或其他故障注入方式，可以實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議層的故障注入[14]。

故障注入系統(tǒng)的總體結(jié)構(gòu)如圖4 所示。故障注入單元首先通過(guò)通信網(wǎng)絡(luò)接收來(lái)自故障軟件的故障命令，并進(jìn)行相關(guān)的故障注入運(yùn)算，然后再利用故障注入系統(tǒng)，完成對(duì)總線上的所有故障的注入；故障注入單元完成了故障注入設(shè)備和待測(cè)裝備和武器控制系統(tǒng)之間的接口交聯(lián)與數(shù)據(jù)交互；信息收集單元通過(guò)接口信息收集各種信號(hào)，并按照ICD 的協(xié)議格式分析原始消息；信號(hào)采集接口實(shí)現(xiàn)對(duì)故障注入單元輸出信號(hào)的采集；故障注入軟件用于故障模式設(shè)置、測(cè)試管理、設(shè)備管理等。信號(hào)激勵(lì)和采集設(shè)備完成標(biāo)準(zhǔn)信號(hào)的產(chǎn)生及目標(biāo)信號(hào)的采集和顯示，在故障注入期間可以采用激勵(lì)信號(hào)替換標(biāo)準(zhǔn)信號(hào)。

表2 故障注入試驗(yàn)統(tǒng)計(jì)結(jié)果

圖4 故障注入系統(tǒng)架構(gòu)圖

圖5 測(cè)試系統(tǒng)連接關(guān)系圖

故障注入系統(tǒng)可以測(cè)試系統(tǒng)的多項(xiàng)設(shè)計(jì)重點(diǎn)，包括CAN 總線及RS422 總線通信鏈路，該系統(tǒng)可應(yīng)用CAN 總線完成地面測(cè)控單元與武器系統(tǒng)之間的通信，還可應(yīng)用RS422 通信總線完成綜合控制計(jì)算機(jī)與機(jī)載組件之間的通信[15]。系統(tǒng)連接關(guān)系圖如圖5 所示。

該總線電氣故障注入系統(tǒng)可針對(duì)多種類(lèi)型的故障向多條總線注入故障。基于總線故障注入原理，可以對(duì)多種類(lèi)型的總線裝備武器系統(tǒng)進(jìn)行實(shí)時(shí)動(dòng)態(tài)故障注入，從而對(duì)武器系統(tǒng)的可靠性進(jìn)行更加全面的評(píng)估。該系統(tǒng)可為未來(lái)的總線系統(tǒng)設(shè)計(jì)提供有效的評(píng)估方法，有助于提高武器裝備的可靠性水平。

3 總結(jié)與展望

本文對(duì)軟件故障注入技術(shù)發(fā)展現(xiàn)狀和發(fā)展趨勢(shì)進(jìn)行調(diào)研，通過(guò)查閱文獻(xiàn)，歸納總結(jié)軟件故障注入技術(shù)在不同領(lǐng)域的應(yīng)用情況，重點(diǎn)分析了軟件故障注入技術(shù)在裝備武器系統(tǒng)、總線通信系統(tǒng)等幾個(gè)領(lǐng)域的應(yīng)用。

從故障注入技術(shù)在上述領(lǐng)域的應(yīng)用情況來(lái)看，該技術(shù)作為評(píng)測(cè)系統(tǒng)容錯(cuò)性與可靠性的有效手段，已經(jīng)廣泛應(yīng)用于軍事、航空航天和工業(yè)控制等領(lǐng)域。將軟件故障注入技術(shù)應(yīng)用于軟件系統(tǒng)的整體測(cè)試中，不但可以觀察系統(tǒng)內(nèi)部的錯(cuò)誤傳播規(guī)律，還可以評(píng)估系統(tǒng)的可靠性。為后續(xù)單位使用該項(xiàng)技術(shù)對(duì)飛艇和武器類(lèi)產(chǎn)品的可靠性評(píng)估提供參考。

針對(duì)現(xiàn)有的軟件故障注入系統(tǒng)可以看出，這些系統(tǒng)都是針對(duì)具體項(xiàng)目而專(zhuān)門(mén)設(shè)計(jì)的故障注入系統(tǒng)，因此應(yīng)用范圍具有相對(duì)的局限性。未來(lái)可以根據(jù)相關(guān)產(chǎn)品的特點(diǎn)和應(yīng)用環(huán)境等因素，定制特定的軟件故障注入系統(tǒng)，為提高產(chǎn)品的設(shè)計(jì)可靠性提供保障。