软件可靠性与安全性-分析方法02

事故严重等级
类别 灾难 危险 定义 造成较大经济损失, 破坏数据完整性 造成较小经济损失
重大 较小
可忽略
造成银行工作量增加 让客户感到使用不便
无影响
风险分级表
灾难(16)
频繁(32) 很可能(16) 不经常(8) 较少(4) 很少(2) 极少(1) A(512) A(256) A(128) B(64) B(32) C(16)
8
7 6 5 4 3 2 1
FMEA
可检测性评估
检测能力 通过设计控制装置发现的可能性 可检测性(D) 10
完全不确 控制装置仅有<1/500,000 的机会发现失效原因 /机制和 定 模式，或者没有设计控制装置
非常少
少
控制装置有1/50,000的机会发现失效原因/机制和模式
控制装置有1/5,000的机会发现失效原因/机制和模式
II
III
造成人员重大伤亡及系统严重 IV 灾难性的 破坏的灾难性事故，必须予以 果断排除并进行重点防范
PHA
危险发生的可能性分级
级别 A B C 发生的可能性 经常发生 容易发生 偶尔发生
D
E F
很少发生
不易发生 极难发生
风险分析
风险
可能会发生也可能不会发生的事件，该 事件的发生会带来损失
8 9
10 11
无法正确识别银行卡 修改密码，新密码无法预期
失效后，自动重启不成功 异常吞卡
很可能 很少
极少 频繁
风险分析举例(ATM)
序号 失效 发生概率 失效影响
1
2 3 4 5
余额显示错误
余额计算错误 交易明细清单显示错误 实际取款与输入金额不一致 实际存款与存入金额不一致
频繁
频繁 很少 频繁 频繁
发生频度评估 失效发生可能性描述 失效可能性(每单元) >1/2 1/10 1/100 1/500 1/1000 1/5000 1/10,000 1/50,000 1/100,000 发生(O)频度 10 9 8 7 6 5 4 3 2
非常高，几乎不可避免
高，反复失效 中等，偶尔失效 低，相当少的失效 很少，不太可能失效
风险分级对照表实例
W1 S1 A1 S2 A2 A1 A2 S4 G1 G2 G1 G2 S3 1 2 3 4 5 6 7 8 0 1 1 2 3 3 4 4 W2 0 1 2 3 4 5 6 7 0 0 1 1 2 3 3 4 W3 0 0 1 2 3 4 5 6 0 0 0 1 1 2 3 4 DIN IEC
部件 1c.3.1 部件1c.3.2 部件1c.3.3
总系统
单元1c.3.3.a 单元1c.3.3.b 单元1c.3.3.c
FMEA
确定潜在失效模式
头脑风暴 SFRACAS 根本原因分析 缺陷分类 市场调查 技术支持维护信息 客户反馈 安全保密脆弱性及威胁模式 对上一级别失效模式的分析
FMEA
Leabharlann Baidu
< 1/500,000
1
FMEA
严重性评估
失效影响 失效影响严重性 严重等级(S)
危险，w/o 潜在的失效模式影响安全系统运行，且/或违背安全规 告警 范，且不提供任何告警信息
危险, w/ 告 潜在的失效模式影响安全系统运行，且/或违背安全规 警 范，但提供告警信息
10
9
非常高
高 中等 低 非常低 少 非常少 没有
FMECA( 失 效 模 式 影 响 及 危 害 性 分 析 , Failure Mode Effects and Criticality Analysis) FMEDA( 失效模式影响和诊断分析 , Failure Modes Effects and Diagnostic Analysis)
揭示风险来源
文档方式记录所有风险及其属性 与那些能应对风险的人交流风险
风险识别过程
不确定性事件 领域知识 疑虑 问题 项目资源 项目要求 风险管理计划
识别风险
风险核对清单 风险识别方法 风险管理表单 风险数据库
风险陈述 风险场景
风险识别活动
系统地识别风险
定义风险属性 将已知的风险编写为文档 交流已知风险 确定风险清单
D
E
在正式项目评审认可时, 可接受
在任何条件下都可接受
发生概率
发生频度 运行生存期发生
频繁
很可能 不经常
10000 × 10-6; 可能频繁感受到
100 × 10-6; 可能经常发生 1 × 10-6; 可能发生数次
较少 很少
极少
0.01 × 10-6; 有时可能会发生
0.0001 × 10-6; 不大可能, 例外情况下 有可能发生 0.000001 × 10-6; 极其不可能发生
风险评估
将风险陈述转变为按优先顺序排列的风险列 表的一系列必要任务
目标
用有成本效益的方式评估风险
提炼风险场景
确定风险影响
确定行动时间框架 确定最严重的风险
风险评估过程
项目资源 项目要求 风险管理计划
风险陈述 风险场景
风险评估
风险列表
评估准则 评估技巧 评估工具 风险数据库
风险评估活动
将相似和关联的风险归为一组
9
8
非常低
低
控制装置有1/ 500的机会发现失效原因/机制和模式
控制装置有1/100的机会发现失效原因/机制和模式
7
6
中等
中等高
控制装置有1/50的机会发现失效原因/机制和模式
控制装置有1/20的机会发现失效原因/机制和模式
5
4
高
非常高
控制装置有1 /10的机会发现失效原因/机制和模式
PHA
PHA的结果
一般采用表格的形式列出 格式和内容可根据实际情况确定
危害 原因 主要后果 危险等级 危险可 能性 风险度 控制措施
PHA
危险性的等级划分
I
级别 安全的 临界的
危险的
说明 不会造成人员伤亡及系统损坏
处于事故的边缘状态，暂时还 不至于造成人员伤 会造成人员伤亡和系统损坏， 要立即采取防范措施
危险(8) 危险(8)
灾难(16) 较小(2) 较小(2) 重大(4) 重大(4) 较小(2)
A(256) A(256)
A(512) D(8) B(32) D(8) E(4) B(64)
风险分析举例(ATM)
序号 1 2 3 4 5 6 失效 余额计算错误 操作日志记录错误 实际取款与输入金额不一致 实际存款与存入金额不一致 余额显示错误 异常吞卡 无法正确识别银行卡 发生概率 频繁(32) 频繁(32) 频繁(32) 频繁(32) 频繁(32) 频繁(32) 很可能(16) 失效影响 灾难(16) 灾难(16) 危险(8) 危险(8) 重大(4) 较小(2) 较小(2) 优先级 A(512) A(512) A(256) A(256) A(128) B(64)
重大
灾难 较小 危险 危险
6
7 8 9 10
操作日志记录错误
转帐过程异常中止 无法正确识别银行卡 修改密码，新密码无法预期 失效后，自动重启不成功
频繁
较少 很可能 很少 极少
灾难
较小 较小 重大 重大
11
异常吞卡
频繁
较小
风险分析举例(ATM)
序号 1 2 3 失效 余额显示错误 余额计算错误 交易明细清单显示错误 发生概率 频繁(32) 频繁(32) 很少(2) 失效影响 重大(4) 灾难(16) 较小(2) 优先级 A(128) A(512) E(4)
系统不能运行，导致了主要功能丧失
系统可以运行，但是造成了性能降级(用户不满意) 系统可以运行，但是造成了辅助/方便性功能的丧失 系统可以运行，但是造成了辅助/方便性功能的降级 对大部分用户来讲，是显而易见的缺陷 对平均水平的用户来讲，是显而易见的缺陷 仅对具有鉴别力的用户来讲，是显而易见的缺陷 无影响
7 8
9 10 11
B(32) D(8)
D(8) E(4) E(4)
转帐过程异常中止
修改密码，新密码无法预期 失效后，自动重启不成功 交易明细清单显示错误
较少(4)
很少(2) 极少(1) 很少(2)
较小(2)
重大(4) 重大(4) 较小(2)
FMEA
失效模式和影响分析 (FMEA, Failure Mode and Effect Analysis) 是一种用来确定潜在失 效模式及其原因的方法 FMEA 是自底向上的分析 , 是“事前预防” , 不是“事后追悔”
4 5
6 7 8 9 10 11
实际取款与输入金额不一致 实际存款与存入金额不一致
操作日志记录错误 转帐过程异常中止 无法正确识别银行卡 修改密码，新密码无法预期 失效后，自动重启不成功 异常吞卡
频繁(32) 频繁(32)
频繁(32) 较少(4) 很可能(16) 很少(2) 极少(1) 频繁(32)
S: 危害的程度 A: 持续的时间 G: 危险可预防 W: 发生的概率
风险分析举例(ATM)
ATM功能特征
查询余额 查询明细 取款 存款
行内转帐
银联转账 修改密码
风险分析举例(ATM)
序号 1 2 3 4 5 6 7 余额显示错误 余额计算错误 交易明细清单显示错误 实际取款与输入金额不一致 实际存款与存入金额不一致 操作日志记录错误 转帐过程异常中止 失效 发生概率 频繁 频繁 很少 频繁 频繁 频繁 较少
⑧
填入失效模式列表 评估每种失效模式的失效影响 确定每种失效模式所有可能的原因 , 识别单 点失效 分配失效率、发生频度、严重性、可检测性 的量值, 计算风险优先数 识别将开展、已开展、已实现的纠正活动
FMEA
分系统1
子系统1a
分系统2
分系统3
子系统1b 子系统1c
软件配置项1c1 软件配置项1c2 软件配置项1c3
确定风险的驱动因素 确定风险来源 使用风险分析技巧和工具, 预测风险影响 根据标准评估风险
按与其他风险的关系排序风险
风险评估技术
风险影响(RE)
RE＝发生概率 ✘ 损失大小 风险评估技术 计算风险因子 PERT估计
专家判断
期望货币值 仿真
风险等级
风险 等级 A B C 不可接受 不期望, 仅当降低风险不现实时接受 在项目安全评审委员会认可时, 可接受 描述
危险
原因
控制
控制 原因
控制
验证
验证
可靠性与安全性分析技术
预先危险分析(PHA)
风险分析(RA) 失效模式、影响分析(FMEA) 失效树分析(FTA)
PHA
系统安全危害分析的初步或初始工作
在设计之前 , 对系统中存在的危险性类别、 出现条件、导致事故的后果进行分析
是基本的危险分析
风险特性
不确定性：可能发生也可能不发生，用 发生概率描述 损失：如果风险变成了现实就会产生恶 性后果或损失，用损失大小表示
风险管理
风险识别 风险分析 风险评估
风险管理
风险计划
风险控制
风险跟踪
风险应对
风险识别
将不确定性的事件转变为风险陈述的一系列 必要任务
目标
提出已察觉的风险
识别潜在的风险
危险(8)
A(256) A(128) B(64) B(32) C(16) D(8)
重大(4)
B(64) B(64) B(32) C(16) D(8) E(4)
较小(2)
B(64) B(32) C(16) D(8) E(4) E(2)
可忽略(1)
B(32) C(16) D(8) E(4) E(2) E(1)
PHA
目的
识别系统中的潜在危险 确定危险等级 防止危险发展成事故
PHA
PHA的特点
是进一步进行危险分析的先导，是一种 宏观概略定性分析方法
简单易行，经济有效
为系统分析和设计提供指南
识别可能的危险，用很少的费用、时间 就可以实现改进
PHA
PHA的步骤
① 对系统进行充分了解, 确定危险源 ② 分析系统可能出现的危险, 确定危险类型 ③ 根据危险源和危险类型, 制成预先危险性 分析表 ④ 分析转化条件, 寻求对策和措施, 检验对 策和措施的有效性 ⑤ 进行危险性分级, 排列出重点和轻、重、 缓、急次序 ⑥ 制定危险的预防性对策和措施
FMEA目标
确定在设计或者运行过程中需要特别关注哪 些部件和采取哪些必要的措施
评定部件的关键性等级
确定某些部件的单点失效可能危害、损坏系 统或者使系统功能下降
FMEA工作表
序号 部件 功能 失效 模式 失效 原因 系统所 受影响 失效率 O S D RPN
FMEA一般工作流程
① 定义系统及分析范围 ② 构建结构图, 将软件分解为逻辑部件 ③ 评估每个部件对系统的影响 ④ 确定每个部件的潜在失效模式 , 将失效模式 ⑤ ⑥ ⑦
软件可靠性与安全性
第二部分
软件可靠性与安全性分析
提要
软件可靠性与安全性分析技术
1
3 2
基于分析结果的决策
可靠性与安全性分析目标
找出任何实际的、潜在的可导致严重后果的 危险
人员受伤、疾病或死亡
系统、设备、资产的损坏或经济损失
对环境的破坏
危险的结构
控制 原因 控制 控制 验证 验证 验证 验证