[发明专利]基于故障注入的嵌入式系统测评方法

说明书

技术领域

本发明涉及嵌入式系统平台测试领域，特别是涉及一种基于故障注入的嵌入式系统测评方法。

背景技术

软件测试是提高软件可靠性和保障软件质量的重要手段。传统的软件测试方法有黑盒测试、白盒测试以及灰盒测试等。在这些传统的软件测试技术中，由于被测程序的复杂性以及测试环境相关原因，我们往往很难测试程序的所有分支。而且对于有容错功能的软件的异常处理和故障恢复代码的测试尤其困难，使得这些代码中可能包含软件故障，反而成为软件质量的隐患。嵌入式系统软件的测试与通用软件测试既有相同点也有所不同，嵌入式软件测试由于其自身的特点，使得嵌入式软件的开发和测试与一般的软件开发和测试策略有很大的不同。

故障注入是一种有效的用于容错计算机系统验证的技术，也是一种通过试验来测评容错机制，验证系统应对异常能力，从而提高系统可靠性的有效办法。进行故障注入试验，首先应当确定故障注入实验的输入域和输出域。故障注入方法有硬件故障注入和软件故障注入两种。软件实现的故障注入提供了廉价和易于控制的故障注入方法，无需额外的硬件设备，可以在程序指令能够访问到的硬件或软件上选择故障注入位置。作为近年来新兴实验技术手段，软件的故障注入方法有着代价低、灵活度高、具有可再现性等优点成为被广泛采用。

发明内容

本发明的目的在于提供一种基于故障注入的嵌入式系统测评方法。重点观察被测对象在异常条件和无效参数下的表现情况。

本发明解决其技术问题采用的技术方案如下：

1)根据嵌入式系统平台分层模型，利用硬件接口和操作系统接口实现故障注入，注入方式有两种：

(1)改变系统内部状态，通过程序调用接口对访问系统内部参数变量的修改，从而注入故障；

(2)修改接口参数，是通过设置接口的异常参数和设置接口的内部函数的异常参数这两种方式；其中内部函数指外部接口所调用的函数，异常参数包括无效参数或非法参数；

2)故障注入后，定性分析系统在异常状况下的表现情况，采用从系统失效和任务失效两个方面来测评系统表现。

采用改变系统内部状态的故障注入方式，为CPU、存储设备和网络设备的故障都能通过改变存储元素的值来得到测评。

本发明与背景技术相比，具有的有益的效果是：

利用嵌入式平台接口实施故障注入，从而有效地模拟硬件故障，操作系统层故障以及应用层故障。故障注入后，通过观测被测平台在一些故障条件下的失效表现，从而测评系统容错能力和应对异常能力，并有助于对失效表现进行故障预测。将这种测试方法用于嵌入式系统测试，可以有效地模拟现实中的故障，分析系统失效表现，测评系统可靠性。

具体实施方式

本发明提出的这种基于故障注入的嵌入式系统测评方法主要按如下步骤进行：

1.确定要注入的故障模型：

该步骤定义对待测容错机制的输入，并将生成的模型传递给执行注入步骤，故障模型的属性包括故障类型、发生时刻、持续期、位置等。

2.执行故障注入：

该步骤接收“选择故障模型”步骤中生成的故障模型并将该模型转换为可应用于故障注入的故障形式。根据故障形式，采用改变系统内部状态或者修改接口参数这两种方法注入故障。改变系统内部状态是通过程序调用接口对访问系统内部参数变量的修改，从而注入故障；修改接口参数是通过设置接口的异常参数和设置接口的内部函数的异常参数这两种方式。

3.监视系统行为并分析试验结果：

关注系统或者任务的不同失效表现，将系统失效分成灾难性崩溃、重启崩溃、异常中断崩溃、沉寂崩溃、阻碍性崩溃五种表现，任务失效分成任务停顿、任务暂停、延迟输出和无效输出四种表现，分别记录各种失效次数，分析各种失效表现的故障源。

其中系统失效的五种失效表现如下：

(1)灾难性崩溃：指这种失效能引起整个系统停止工作，要求机器重启；

(2)重启崩溃：由监视器定时程序检测到的崩溃；

(3)异常中断崩溃：是指测试进程不正常的中断；

(4)沉寂崩溃：指当执行非法输入时，本应返回相应的错误处理代码，结果却没有指示；

(5)阻碍性崩溃：指虽然返回了错误处理代码，但错误处理代码与相应的非法数据输入并不符合。

任务失效的四种失效表现如下：

(1)任务停顿：崩溃，或任务被停止处理；

(2)任务暂停：错误导致任务停止有效处理；

(3)延迟输出：发生在软件故障导致任务需要的输出超过可接受的时间范围；