可测性设计-5

1、固有测试性和固有测试性和BIT设计；设计；TP选取选取通过对模型的仿真及通过对模型的仿真及故障注入，预计故障注入，预计FDR、FIR等测试性指标等测试性指标功能、硬件功能、硬件FMECA测试性需求分析测试性需求分析FMECA测试性指标分配测试性指标分配测试性方案优化生成测试性方案优化生成基于模型的故障诊断策略构建基于模型的故障诊断策略构建BIT设计设计测试性验证与评估测试性验证与评估符合要求否？符合要求否？测试性验证：测试性验证：为确定系统或设备是否达到规定的测试性要求而进行为确定系统或设备是否达到规定的测试性要求而进行的试验与评价工作的试验与评价工作测试性验证的一般步骤测试性验证的一般步骤在

2、研制的系统或设备中在研制的系统或设备中注入注入一定数量的故障一定数量的故障用测试性设计规定的测试方法进行用测试性设计规定的测试方法进行故障检测与隔离故障检测与隔离按其结果来按其结果来估计估计系统或设备的测试性设计水平系统或设备的测试性设计水平判断判断是否达到规定要求，决定接收和拒收是否达到规定要求，决定接收和拒收 测试性验证技术包含的内容测试性验证技术包含的内容：计算模型选择、样本量确定、样本：计算模型选择、样本量确定、样本选取、样本充分性度量、故障注入、参数评估选取、样本充分性度量、故障注入、参数评估现有故障样本选取方法存在的问题现有故障样本选取方法存在的问题无论采用二项分布、正态分布、基于

3、充分性准则无论采用二项分布、正态分布、基于充分性准则/基于三元组故障基于三元组故障特征模型，当对测试性指标要求较高时，承制方、使用方风险承受特征模型，当对测试性指标要求较高时，承制方、使用方风险承受能力低，或要求的评估结论置信度、精度较高时，已有方法确定的能力低，或要求的评估结论置信度、精度较高时，已有方法确定的故障样本量较大故障样本量较大已有方法采用考虑故障率的不等概率抽样来建立故障样本。根据统已有方法采用考虑故障率的不等概率抽样来建立故障样本。根据统计抽样理论，故障样本集能较好地反映计抽样理论，故障样本集能较好地反映UUT故障模式集的总体特故障模式集的总体特性，但未考虑到故障率数据是否准确

4、。而有的可靠性预计值与故障性，但未考虑到故障率数据是否准确。而有的可靠性预计值与故障率真值相差巨大率真值相差巨大随机抽样是典型的抽样技术，但未对关键故障模式（包括危害性故随机抽样是典型的抽样技术，但未对关键故障模式（包括危害性故障、破坏性故障、传播型故障等）做重点抽样障、破坏性故障、传播型故障等）做重点抽样在相同的故障样本量下，由于样本抽取的随机性，每次可能得到不在相同的故障样本量下，由于样本抽取的随机性，每次可能得到不同的故障样本集，因此对同的故障样本集，因此对UUT故障模式集的反映能力存在差别故障模式集的反映能力存在差别故障注入：按选定的故障模型，人为故障注入：按选定的故障模型，人为有意识

5、地有意识地产生故障并施加于运行产生故障并施加于运行特定负载的被测对象中；观测、收集测试诊断系统对故障的检测、隔特定负载的被测对象中；观测、收集测试诊断系统对故障的检测、隔离成败结果；对数据进行统计分析，向用户提供离成败结果；对数据进行统计分析，向用户提供有关结果有关结果重要性：测试性验证技术的核心内容之一；实现测试性验证试验的基础重要性：测试性验证技术的核心内容之一；实现测试性验证试验的基础两个环节两个环节 故障模型分析故障模型分析：对真实情况下：对真实情况下UUT待注入的故障模式进行抽象、归待注入的故障模式进行抽象、归纳和建模，形成故障注入器可访问的描述模型纳和建模，形成故障注入器可访问的描

6、述模型 故障注入器故障注入器：向目标系统注入故障，要求能保持注入故障的类型、：向目标系统注入故障，要求能保持注入故障的类型、大小和位置等信息，并包含适当的软大小和位置等信息，并包含适当的软/硬件逻辑保证故障在合适的时硬件逻辑保证故障在合适的时刻注入到合适的位置刻注入到合适的位置 相互关系：相互关系：故障模型分析将故障模式特性解释为故障注入器可理解故障模型分析将故障模式特性解释为故障注入器可理解的描述形式的描述形式；故障注入器将故障模型描述的故障属性引入到故障注入器将故障模型描述的故障属性引入到UUT中中，加速，加速UUT发生故障发生故障完整的故障模型完整的故障模型 故障属性：故障属性：F =

7、(FL , FV , FT) FL 故障位置；故障位置； FV 故障数值（类型）；故障数值（类型）； FT 故障时间故障时间 故障分布：故障分布： f = (fL , fV , fT )F f 相对于故障全集发生的概率，依赖于相对于故障全集发生的概率，依赖于f 的各具体属性在相应的的各具体属性在相应的属性模型中的分布规律，故障属性信息和故障分析信息来自统计数属性模型中的分布规律，故障属性信息和故障分析信息来自统计数据或低级别的故障注入试验。据或低级别的故障注入试验。故障模型研究集中于对故障模型的定义、生成、故障模拟方法等故障模型研究集中于对故障模型的定义、生成、故障模拟方法等故障模型可建立在系

8、统各级别上故障模型可建立在系统各级别上 级别越低，模型越准确，但需故障入器有较好的访问深度级别越低，模型越准确，但需故障入器有较好的访问深度 级别越高，模型准确性越差，故障注入器实现相对容易级别越高，模型准确性越差，故障注入器实现相对容易 故障模型和故障注入器的优劣综合表现为它们对每处故障的描故障模型和故障注入器的优劣综合表现为它们对每处故障的描述能力述能力国内外主要以存储器和数据总线的故障注入为主。国内外主要以存储器和数据总线的故障注入为主。能较好解决故障能较好解决故障模型的准确性与覆盖度问题，但不能较好解决故障注入器访问深度模型的准确性与覆盖度问题，但不能较好解决故障注入器访问深度问题问题

9、故障模拟注入故障模拟注入实现方式：在系统仿真模型实现方式：在系统仿真模型中插入故障注入单元中插入故障注入单元技术特点：费用低，无需任技术特点：费用低，无需任何特殊硬件，对注入的故障何特殊硬件，对注入的故障可精确监控，注入故障模式可精确监控，注入故障模式多；但在无有效仿真器的情多；但在无有效仿真器的情况下开发工作量大，建立精况下开发工作量大，建立精准的仿真模型困难，导致仿准的仿真模型困难，导致仿真模型置信度低，不能说明真模型置信度低，不能说明真实系统的执行错误真实系统的执行错误常见应用：设计周期前期，常见应用：设计周期前期，即系统物理样机建立之前即系统物理样机建立之前硬件故障注入硬件故障注入实现

10、方式：通过宿主机控制注实现方式：通过宿主机控制注入故障类型及注入故障的时间入故障类型及注入故障的时间，通过硬件注入故障，并收集，通过硬件注入故障，并收集系统在注入故障后的响应及测系统在注入故障后的响应及测试结果试结果技术特点：注入的故障更接近技术特点：注入的故障更接近于真实硬件故障，注入故障位于真实硬件故障，注入故障位置、范围广，故障传播性好。置、范围广，故障传播性好。但易对系统本身硬件造成损坏但易对系统本身硬件造成损坏，且价格贵，可控性差；，且价格贵，可控性差；DUT硬件结构的复杂性使得故障注硬件结构的复杂性使得故障注入后难以测试；无法评测软件入后难以测试；无法评测软件故障情况故障情况常见应

11、用：设计阶段常见应用：设计阶段 实现方式：通过程序指令访问故障相关资源，即修改内存或寄实现方式：通过程序指令访问故障相关资源，即修改内存或寄存器的值。多种方法，如基于调试器、基于驱动、基于特定目存器的值。多种方法，如基于调试器、基于驱动、基于特定目标系统、基于多处理器标系统、基于多处理器的故障注入的故障注入 技术特点：廉价、易控制，可多次重复注入。但需在目标程序技术特点：廉价、易控制，可多次重复注入。但需在目标程序中插入特定程序代码，属于侵入性故障注入，对强实时嵌入式中插入特定程序代码，属于侵入性故障注入，对强实时嵌入式系统和内存资源紧张的系统，可能会严重影响系统性能；仅限系统和内存资源紧张的

12、系统，可能会严重影响系统性能；仅限于和软件有关的部分于和软件有关的部分 实现方式：借助仿真控制的方法解决软件故障注入无法定位的实现方式：借助仿真控制的方法解决软件故障注入无法定位的系统故障。通过仿真器实现模拟仿真控制，兼有软件故障注入系统故障。通过仿真器实现模拟仿真控制，兼有软件故障注入和模拟注入的优点和模拟注入的优点 技术特点：软件注入与模拟仿真相结合，故障注入的新方向技术特点：软件注入与模拟仿真相结合，故障注入的新方向现有故障注入存在的问题现有故障注入存在的问题故障注入对象主要为处于设计阶段的系统或设备，故障注入对象主要为处于设计阶段的系统或设备，常见故障模式：常见故障模式：开路、短路、固

13、高、固低、输出错误、与地搭接电阻、与电源搭接开路、短路、固高、固低、输出错误、与地搭接电阻、与电源搭接电阻、线与线间搭接电阻等电阻、线与线间搭接电阻等8种种。故障类型少、故障表现形式简单。故障类型少、故障表现形式简单对规模大、结构复杂、功能多的复杂系统，其中一个模块发生故障对规模大、结构复杂、功能多的复杂系统，其中一个模块发生故障后将产生故障耦合和传递，现有模型在解决故障注入准确性方面面后将产生故障耦合和传递，现有模型在解决故障注入准确性方面面临挑战临挑战对定型阶段的系统或设备，因封装等物理位置限制造成一些硬件故对定型阶段的系统或设备，因封装等物理位置限制造成一些硬件故障不可访问；随机选择的障

14、不可访问；随机选择的LRU故障中，有故障中，有2/3的故障不可软件注入的故障不可软件注入故障注入位置（物理位置和寄存器位置）的不可访问，造成可有故障注入位置（物理位置和寄存器位置）的不可访问，造成可有效检验测试性设计水平的故障模式无法注入效检验测试性设计水平的故障模式无法注入缺乏模型构成因素与测试性验证试验结果关系的研究，故障模型尚缺乏模型构成因素与测试性验证试验结果关系的研究，故障模型尚不能完整检验系统或设备的测试性设计水平不能完整检验系统或设备的测试性设计水平评估评估根据与系统或设备测试性有关的所有信息（包括根据与系统或设备测试性有关的所有信息（包括试验数据和先验信息）试验数据和先验信息）

15、，利用概率统计方法确定系统或设利用概率统计方法确定系统或设备的测试性指标（备的测试性指标（FDR、FIR）值）值评估结果形式评估结果形式点估计、点估计、置信区间估计置信区间估计、置信下限估计等、置信下限估计等测试性评估测试性评估系统或设备研制的任一阶段系统或设备研制的任一阶段包括研制包括研制阶段测试性预计、定型阶段和外场使用阶段阶段测试性预计、定型阶段和外场使用阶段FDR/FIR评估评估评估方法主要是统计学方法，包括基于二项分布和正态分评估方法主要是统计学方法，包括基于二项分布和正态分布的置信区间估计测试性评估方法布的置信区间估计测试性评估方法相关相关标准标准GJB2072、GJB1770、G

16、B5080、GB4087等等最典型的基于概率信息的测试性评估方法最典型的基于概率信息的测试性评估方法测试性预计测试性预计 根据测试性设计资料，通过工程分析与计算来估计测试性和根据测试性设计资料，通过工程分析与计算来估计测试性和诊断参数可能达到的量值，并与规定的指标要求进行比较诊断参数可能达到的量值，并与规定的指标要求进行比较评估过程评估过程 建立描述故障建立描述故障-测试逻辑相关关系的布尔矩阵测试逻辑相关关系的布尔矩阵 经验确定测试检测经验确定测试检测/隔离故障的概率，形成故障隔离故障的概率，形成故障-测试概率矩阵测试概率矩阵 据此通过一定的诊断逻辑，得到据此通过一定的诊断逻辑，得到FDR/F

17、IR的预计值的预计值测试性预计的精度测试性预计的精度取决于故障取决于故障-测试间的逻辑关系和测试检测测试间的逻辑关系和测试检测/隔隔离故障的概率信息离故障的概率信息存在问题存在问题：故障故障-测试间逻辑关系的简化使预计精确性大为降低，测试间逻辑关系的简化使预计精确性大为降低，更为严重的是，仅通过假设和经验确定的概率信息使预计结果可更为严重的是，仅通过假设和经验确定的概率信息使预计结果可能出现严重偏差能出现严重偏差若故障注入试验较充分若故障注入试验较充分，可更换单元，可更换单元FDR/FIR值可用值可用点估计点估计国军标采用二项分布法国军标采用二项分布法对对FDR和和FIR进行验证。使用条件：进

18、行验证。使用条件：(1)样本总样本总体数量未知；体数量未知；(2)每次抽样相互独立，具有独立同分布；确定抽样方案每次抽样相互独立，具有独立同分布；确定抽样方案需给定参数需给定参数、q0、q1正态分布使用条件：正态分布使用条件：(1)样本总体为未知量；样本总体为未知量；(2)样本量样本量n，该要求，该要求在工程上不现实；在工程上不现实；(3)确定样本量和进行判决需给定参数确定样本量和进行判决需给定参数、qs解决解决“小子样小子样”测试性评估问题的根测试性评估问题的根本途径是扩大信息量本途径是扩大信息量。充分运用全寿命周充分运用全寿命周期与测试性相关的所期与测试性相关的所有信息，有信息，建立能将不

19、建立能将不同类型信息融合在一同类型信息融合在一起的模型起的模型，然后评估，然后评估测试性水平测试性水平。全寿命周期的测试性验证试验优化设计与综合评估全寿命周期的测试性验证试验优化设计与综合评估测试性验证相关的国军标测试性验证相关的国军标标准编号标准编号测试性验证相关内容概述测试性验证相关内容概述GJB 1135针对地空导弹规定了针对地空导弹规定了机内监测设备和外部监测设备检测性能评价和研制的一般方法机内监测设备和外部监测设备检测性能评价和研制的一般方法。主要内容：建立故障库、主要内容：建立故障库、FDR/FIR试验方法、机内检测设备虚警率的评价与研制等试验方法、机内检测设备虚警率的评价与研制等

20、GJB 1298针对雷达规定了针对雷达规定了自动测试设备验证方法自动测试设备验证方法，并对验证测试性的定性要求作了相关阐述，并对验证测试性的定性要求作了相关阐述GJB/Z 20045针对雷达从针对雷达从试验要求、故障模拟方法、故障率及故障库中故障的选择要求、试验要求、故障模拟方法、故障率及故障库中故障的选择要求、FDR试试验方法、验方法、FIR试验方法、虚警率试验方法等方面作了相关规定试验方法、虚警率试验方法等方面作了相关规定。其中。其中FDR、FIR试验试验方法都包括计数试验方法和截尾序贯试验方法。方法都包括计数试验方法和截尾序贯试验方法。GJB 368A在工作项目在工作项目301维修性与测

21、试性验证中维修性与测试性验证中规定了维修性规定了维修性/测试性验证中的工作项目要点测试性验证中的工作项目要点，工作项目中要求验证前应制定维修性验证计划，并将最终的验证结果编写成报告。工作项目中要求验证前应制定维修性验证计划，并将最终的验证结果编写成报告。GJB 2072规定了规定了FDR、FIR验证所需的样本量、模拟故障的分配和模拟、试验程序、数据处理、验证所需的样本量、模拟故障的分配和模拟、试验程序、数据处理、判别准则等，以及进行虚警率验证所需的方法和相应的图表。判别准则等，以及进行虚警率验证所需的方法和相应的图表。GJB 3970针对针对雷达规定测试性定性评定项目及验证技术、测试性定量指标

22、验证的项目和要求雷达规定测试性定性评定项目及验证技术、测试性定量指标验证的项目和要求，及试用阶段测试性验证的主要内容。同时对测试性验收的相关注意事项进行说明，规及试用阶段测试性验证的主要内容。同时对测试性验收的相关注意事项进行说明，规定了检验的主要内容。定了检验的主要内容。GJB 4260针对雷达规定了针对雷达规定了测试性验证项目包括固有测试性的定性评价、测试性验证项目包括固有测试性的定性评价、FDR验证、验证、FIR验证、验证、故障虚警率验证、平均故障检测时间验证和平均故障隔离时间验证故障虚警率验证、平均故障检测时间验证和平均故障隔离时间验证。并对需验证项目。并对需验证项目的具体验证方法及相

23、关内容作了规定。的具体验证方法及相关内容作了规定。GJB 2547A规定了测试性验证的主要工作项目：规定了测试性验证的主要工作项目：测试性核查、测试性验证试验及测试性分析评价测试性核查、测试性验证试验及测试性分析评价。同时规定了工作项目的要点和输入同时规定了工作项目的要点和输入/输出及注意事项。输出及注意事项。 调查结果：调查结果：目前国内测试性验证工作开展得目前国内测试性验证工作开展得不够普遍，不够普遍，测试性试验选用的故障数量较少、测试性评估验证的虚警数测试性试验选用的故障数量较少、测试性评估验证的虚警数量较少量较少。产品层次产品层次所占比例所占比例产品层次产品层次所占比例所占比例成员级成

24、员级/分系统级分系统级73%装备级装备级3%设备级设备级/LRU15%其他其他3%电路板级电路板级/SRU6%参与测试性评估验证的产品层次参与测试性评估验证的产品层次故障数量故障数量所占比例所占比例故障数量故障数量所占比例所占比例60个个45%2130个个17%测试性评估验证选用的故障数量测试性评估验证选用的故障数量故障数量故障数量所占比例所占比例故障数量故障数量所占比例所占比例30个个33%测试性评估验证选用的虚警数量测试性评估验证选用的虚警数量参数估计方法参数估计方法所占比例所占比例参数估计方法参数估计方法所占比例所占比例点估计点估计27%置信下限估计置信下限估计25%置信区间估计置信区间

25、估计39%其他其他9%测试性参数估计方法测试性参数估计方法 现有测试性验证试现有测试性验证试验故障样本选取的主要不足验故障样本选取的主要不足标准抽样方案确定的标准抽样方案确定的故障样故障样本量太大本量太大，试验无法开展，试验无法开展故障样本结构不合理故障样本结构不合理，导致，导致测试性验证结论置信度低测试性验证结论置信度低相同的故障样本量下，随机相同的故障样本量下，随机抽样的故障样本集对抽样的故障样本集对UUT故故障模式集的代表性无法把握障模式集的代表性无法把握 利用研制阶段先验数据的优化利用研制阶段先验数据的优化抽样方案确定方法。给出研制抽样方案确定方法。给出研制阶段的阶段的FDR/FIR专

26、家经验信息专家经验信息、摸底试验数据和增长试验数、摸底试验数据和增长试验数据的等效计算方法，引入比例据的等效计算方法，引入比例因子，求得优化抽样特性概率因子，求得优化抽样特性概率密度函数，在此基础上求得优密度函数，在此基础上求得优化抽样方案化抽样方案 从故障样本量分配从故障样本量分配、传播型故传播型故障模式抽取两方面障模式抽取两方面，得到合理得到合理故障样本结构的模型和方法故障样本结构的模型和方法 建立考虑故障样本量特性、故建立考虑故障样本量特性、故障样本结构特性、故障注入特障样本结构特性、故障注入特性等几个方面的评价指标体系性等几个方面的评价指标体系，给出指标量化方法，给出指标量化方法优化抽

27、样方案确定优化抽样方案确定故障样本量分配故障样本量分配故障模式抽取故障模式抽取故障样本集评估优选故障样本集评估优选l FDR设计要求值设计要求值q0l FDR最低可接收值最低可接收值q1l 承制方可承受的最大风险承制方可承受的最大风险l 使用方可承受的最大风险使用方可承受的最大风险 问题描述：问题描述：受试验费用的限制，基于二受试验费用的限制，基于二项分布确定的标准抽样方案需注入的故障样项分布确定的标准抽样方案需注入的故障样本量太大，导致试验无法开展本量太大，导致试验无法开展；若减小故障若减小故障样本量，承制方或使用方承受的实际风险往样本量，承制方或使用方承受的实际风险往往超过风险承受能力，使

28、承制方或使用方不往超过风险承受能力，使承制方或使用方不能接受。能接受。：FDR/FIR点估计点估计 ：相应置信度相应置信度为为的的置信下限置信下限q , Lq求优化抽样特性概率密度函数之前，需将先验信息做等效分析处理，求优化抽样特性概率密度函数之前，需将先验信息做等效分析处理，最终以成败型试验数据最终以成败型试验数据(n0, f0)表示表示专家信息分析专家信息分析专家对专家对FDR/FIR的估计常以连续区间形式给出。如的估计常以连续区间形式给出。如qqL, qH 预计信息分析预计信息分析依据经典概率论统计理论的求解式依据经典概率论统计理论的求解式FDR/FIR先验信息分析先验信息分析21121

29、11000000100dHdnHfddndLdnLfddnqqCqqCqL ：相应置信度相应置信度为为的置信下限的置信下限qH ：置信上限值：置信上限值qL为相应置信度为11000,0000knLkLfkknqqCnfnqFDR/FIR先验信息分析（续先验信息分析（续1）摸底试验数据分析摸底试验数据分析研制过程中，承制方进行一系列测试性研制过程中，承制方进行一系列测试性摸底试验、测试性测定试验以便了解摸底试验、测试性测定试验以便了解FDR/FIR。对不能正确检。对不能正确检测测/隔离的故障，设计人员识别并确定新的故障模式、测试空缺隔离的故障，设计人员识别并确定新的故障模式、测试空缺、模糊点、测

30、试容差和门限等缺陷，研究判断测试性设计及人、模糊点、测试容差和门限等缺陷，研究判断测试性设计及人工测试方法等原因，改进测试性设计。工测试方法等原因，改进测试性设计。 假定研制阶段共进行假定研制阶段共进行k次摸底试验，第次摸底试验，第i次（次（i = 1, 2, , k）试验注入试验注入ni个故障，其中个故障，其中fi个检测个检测/隔离失败，经测试性改进这隔离失败，经测试性改进这fi个故障有个故障有gi个可正确检测个可正确检测/隔离。隔离。k次摸底试验数据等效处理次摸底试验数据等效处理。kiiikiigffnn1010)(FDR/FIR先验信息分析（续先验信息分析（续2） 增长试验数据分析增长试

31、验数据分析u通过试验和使用发现问题并改进，使故障诊断能力得通过试验和使用发现问题并改进，使故障诊断能力得以以增长增长u测试性增长试验规划方式测试性增长试验规划方式即时纠正模式、延缓纠正模式和含延缓即时纠正模式、延缓纠正模式和含延缓纠正模式纠正模式u基本假设基本假设 进行进行m个阶段的测试性增长试验，每次试验环境相同个阶段的测试性增长试验，每次试验环境相同 在第在第i阶段对出现的阶段对出现的ni次故障进行诊断，结果为有次故障进行诊断，结果为有/没有正确检测没有正确检测/隔离故障。记隔离故障。记第第i阶段测试性增长试验结果为阶段测试性增长试验结果为(ni, fi, qi)，其中，其中i = 1,

32、2, , m；ni为每次试验注入为每次试验注入的故障样本数，的故障样本数，fi为每次试验故障检测为每次试验故障检测/隔离失败次数，隔离失败次数，qi为每个研制阶段为每个研制阶段FDR/FIR真值真值 由于存在测试性增长过程，各阶段由于存在测试性增长过程，各阶段FDR/FIR满足序化关系满足序化关系：0 q1 qm qk+1 qk 0k 1求取抽样特性概率密度函数求取抽样特性概率密度函数利用研制阶段等效试验数据利用研制阶段等效试验数据(n0,f0)，求得，求得FDR/FIR的置信概率分布函数的置信概率分布函数F0(q)、置信概率密度函数、置信概率密度函数f0(q)研制结束后的研制结束后的FDR/

33、FIR真值为真值为Q，验证需达到的，验证需达到的FDR/FIR真值为真值为Qn，求得的抽样方案为求得的抽样方案为(n,C)，求得，求得FDR/FIR置信概率密度函数置信概率密度函数f1(q)比例因子比例因子研制阶段结束后的研制阶段结束后的FDR/FIR水平与需达到的水平与需达到的FDR/FIR水水平的差异，一定存在唯一的平的差异，一定存在唯一的可满足可满足Q = Qn Q = QnqffnxxxffnBffnqF010000000d11,11,;00000011,11,;10000000ffnqqffnBffnqfCCnqqCCnBCCnqf11,11,;11求取抽样特性概率密度函数（续）求取

34、抽样特性概率密度函数（续）设设q f0(q)，则，则q f0()(q)。已知。已知q0 f1(q)，且存在，且存在使使q = q0，可认为，可认为两者服从同一分布。用两者服从同一分布。用f0()(q)逼近逼近f1(q)，求得，求得求得包含先验信息的抽样特性概率密度函数求得包含先验信息的抽样特性概率密度函数f01(q;N,C) qqfqfd1001min q使上式获得最小值的使上式获得最小值的研制阶段先验数据中反映当前系统或设备所需达到的研制阶段先验数据中反映当前系统或设备所需达到的FDR/FIR 1000001d111,;qqqqfqqqfWqqqfCNqfCCNCCNCCN确定优化抽样方案确

35、定优化抽样方案p 在已有标准抽样方案确定方法基础上，求得包含先验信息的连续抽在已有标准抽样方案确定方法基础上，求得包含先验信息的连续抽样特性概率密度函数样特性概率密度函数p 代替基于二项分布确定标准抽样方案中的离散抽样特性概率密度函代替基于二项分布确定标准抽样方案中的离散抽样特性概率密度函数，将离散概率密度函数中的求和运算改为连续概率密度函数中的数，将离散概率密度函数中的求和运算改为连续概率密度函数中的积分运算积分运算p 综合考虑综合考虑q0、q1、和和，利用研制阶段先验信息的确定抽样方案，利用研制阶段先验信息的确定抽样方案(Nn,Cc)新方法新方法求解公式：求解公式： 10000d1d11q

36、qqqfqqqqfccnccnCCNqCCN 10000d1d110qqqqfqqqqfccnccnCCNqCCN 联立不等式组可能存在无穷多组解。为使验证试验费用最联立不等式组可能存在无穷多组解。为使验证试验费用最少，一般采用少，一般采用Nn最小的解。最小的解。案例应用案例应用稳定跟踪平台稳定跟踪平台 稳定跟踪平台能隔离载体（战车、导弹、飞机、舰船）在武器系稳定跟踪平台能隔离载体（战车、导弹、飞机、舰船）在武器系统中得到广泛应用。平台由统中得到广泛应用。平台由9个个SRU组成，设计有组成，设计有BIT。以。以FDR为验证为验证指标，经承制方和使用方协商确定的指标，经承制方和使用方协商确定的F

37、DR指标要求值和风险承受能力指标要求值和风险承受能力为为q0 = 0.95，q1 = 0.90，= = 0.1。 研制阶段测试性先验信息分析研制阶段测试性先验信息分析 根据故障根据故障-测试不确定相关矩阵，得到测试不确定相关矩阵，得到FDR的点估计值的点估计值 =0.96，置信，置信度为度为=0.9的置信下限估计值的置信下限估计值qL,=0.91 等效成败型数据为等效成败型数据为(n0,f0) = (74,3) 四次摸底试验：成败型试验数据为四次摸底试验：成败型试验数据为(n1,f1) = (25, 20)、(n2,f2) = (25,15)、(n3,f3) = (25,8)、(n4,f4)

38、= (25,5) 等效成败型数据为等效成败型数据为(n0,f0) = (100,10) 三个阶段的测试性增长试验：成败型试验数据为三个阶段的测试性增长试验：成败型试验数据为(n1,f1) = (10,10)、(n2,f2) = (38,9)、(n3,f3) = (15, 0)。结合前面的分析实例，可以得到等效。结合前面的分析实例，可以得到等效成败型数据成败型数据(n0,f0) = (118,19)q 在减少故障样本量和降低承制方风险、使用方风险方面的效果分析在减少故障样本量和降低承制方风险、使用方风险方面的效果分析 已知已知q0 = 0.95，q1 = 0.90， = = 0.1 基于二项分布

39、确定标准抽样方案基于二项分布确定标准抽样方案(187,13) 分析得到等效成败型数据，分析得到等效成败型数据，并求得比例因子估计值并求得比例因子估计值 确定优化抽样方案确定优化抽样方案 标准抽样方案与优化抽样方案结果对比标准抽样方案与优化抽样方案结果对比:基于研制阶段先验信息确定的优化抽样方案在承基于研制阶段先验信息确定的优化抽样方案在承制方、使用方风险基本不变的情况下，能有效减少故制方、使用方风险基本不变的情况下，能有效减少故障样本量；或在故障样本量保持不变的情况下，有效障样本量；或在故障样本量保持不变的情况下，有效降低承制方、使用方风险降低承制方、使用方风险。在指导全寿命周期的不同阶段需要

40、的抽样方案的效果分析在指导全寿命周期的不同阶段需要的抽样方案的效果分析 不同先验信息下确定的优化抽样方案不同先验信息下确定的优化抽样方案随着先验信息的丰富，对随着先验信息的丰富，对系统或设备的测试性设计水平认识越来越准确，且由于测试性增长过程系统或设备的测试性设计水平认识越来越准确，且由于测试性增长过程的存在，的存在，FDR水平越来越高，开展测试性验证试验水平越来越高，开展测试性验证试验所所需注入的故障样本需注入的故障样本量逐渐减小量逐渐减小。抽样方案与置信度的关系抽样方案与置信度的关系随着注入故障样本量的增加，相应验证随着注入故障样本量的增加，相应验证结论的置信度结论的置信度提提高高5.2.

41、2 分层故障样本量分配方法分层故障样本量分配方法基于故障率的分层故障样本量分配基于故障率的分层故障样本量分配：一种典型概率抽样技术，将一种典型概率抽样技术，将n个故个故障样本逐层分配到各可更换单元，得到各可更换单元需抽取的故障数障样本逐层分配到各可更换单元，得到各可更换单元需抽取的故障数量，避免从庞大的故障模式集中（量，避免从庞大的故障模式集中（L个）随机抽取个）随机抽取n个故障模式（个故障模式（L n）造成随机抽样误差过大问题）造成随机抽样误差过大问题层层产品构成层次产品构成层次。系统级系统级LRU级级 SRU级级模块级模块级元器件级元器件级分层故障样本量分配方法分层故障样本量分配方法由由故

42、障率故障率和系统和系统/设备设备复杂性复杂性来确定每层来确定每层的权重，进行故障样本量的加权分配的权重，进行故障样本量的加权分配 分析被测系统或设备构成层次和故障率，按权重分析被测系统或设备构成层次和故障率，按权重Wi把确定的故障样把确定的故障样本量本量n分配给系统或设备规定级别的各可更换单元分配给系统或设备规定级别的各可更换单元同法同法，把各可更换单元的故障样本量把各可更换单元的故障样本量ni分配给下一级可更换单元分配给下一级可更换单元iiiiiiiiiiTQTQWnWnWi第第i个单元的分配权值个单元的分配权值Qi第第i个单元的数量，表征系统或设备的复杂性个单元的数量，表征系统或设备的复杂

43、性i第第i个单元的故障率个单元的故障率Ti第第i个单元的的工作时间系数，等于该单元工作时间个单元的的工作时间系数，等于该单元工作时间与全程工作时间之比与全程工作时间之比分层故障样本量分配方法的分层故障样本量分配方法的优点优点综合考虑系统或设备故障率和复杂性求得的权重综合考虑系统或设备故障率和复杂性求得的权重，能保证能保证降低随机抽样误差降低随机抽样误差 故障越高的可更换单元故障越高的可更换单元，抽取的故障模式越多抽取的故障模式越多 模块数量越多且工作时间长的可更换单元模块数量越多且工作时间长的可更换单元，抽取的故障模式越多抽取的故障模式越多 选取的故障样本集在结构上对选取的故障样本集在结构上对

44、UUT故障模式集的代表性越好故障模式集的代表性越好可同时对指定级别的可更换单元的可同时对指定级别的可更换单元的FDR、FIR等测试性参等测试性参数进行估计数进行估计可根据各层的不同特点采用不同抽样方式可根据各层的不同特点采用不同抽样方式使故障样本在总体中分布更均匀，从而具有更好的代表性使故障样本在总体中分布更均匀，从而具有更好的代表性提高参数估计的精度提高参数估计的精度故故障障样样本本集集评评价价指指标标体体系系构构成成第一、二级评价指标第一、二级评价指标故障样本量故障样本量（L1）影响影响FDR/FIR等估计量是否具有无偏等估计量是否具有无偏性或渐进无偏性、方差小的等良好因素的主要因素性或渐

45、进无偏性、方差小的等良好因素的主要因素样本结构样本结构（L2）主要用主要用于于评价选择的故障样本集在结构评价选择的故障样本集在结构上对上对UUT故障模式集的代表性故障模式集的代表性 结构覆盖要求（结构覆盖要求（L21）选取的故障样本集对选取的故障样本集对UUT结构结构的覆盖能力的覆盖能力 功能覆盖要求（功能覆盖要求（L22）故障样本集对故障样本集对UUT功能故障的功能故障的覆盖能力覆盖能力 测试覆盖要求（测试覆盖要求（L23）描述故障样本集有效激发测试描述故障样本集有效激发测试的能力的能力故障注入故障注入（L3）需考虑注入危害性要求（需考虑注入危害性要求（L31）、注入费）、注入费用要求（用要

46、求（L32）和可注入要求（）和可注入要求（L33）第二、三级评价指标第二、三级评价指标样本量要求样本量要求（L11）确定的故障样本量满足最小故障样本量要求（确定的故障样本量满足最小故障样本量要求（t1）。故障样本量并）。故障样本量并非非越多越好越多越好结构覆盖要求结构覆盖要求（L21）故障样本量的分配形式影响故障样本集对故障样本量的分配形式影响故障样本集对UUT故障模式集的代表性故障模式集的代表性 单元故障分配率单元故障分配率t2有效评价故障样本量分配结果是否合理有效评价故障样本量分配结果是否合理 复杂单元故障分配率复杂单元故障分配率t3有效评价复杂模块测试性设计效果检验是有效评价复杂模块测试

47、性设计效果检验是否充分否充分 故障不可诊断率故障不可诊断率t4评价测试性设计对复杂模块设计是否完备评价测试性设计对复杂模块设计是否完备功能覆盖要求功能覆盖要求（L22）故障样本集应尽量选用与故障样本集应尽量选用与UUT设计、使用过设计、使用过程相关的特性，包括：关键故障功能故障覆盖率程相关的特性，包括：关键故障功能故障覆盖率t5、功能故障覆盖率、功能故障覆盖率t6、致命故障覆盖率致命故障覆盖率t7测试覆盖要求测试覆盖要求（L23）选取的故障样本集应能尽量反映故障检测选取的故障样本集应能尽量反映故障检测/隔隔离的能力和要求，体现离的能力和要求，体现在在故障对测试的激发能力上。包括：测试激发率故障

48、对测试的激发能力上。包括：测试激发率t8、可测率、可测率t9、测试使用率、测试使用率t10第二、三级评价指标第二、三级评价指标（续）（续）注入危害性要求注入危害性要求（L31）故障注入试验在某些特殊情况下是故障注入试验在某些特殊情况下是有损性甚至破坏性试验。引入注入危害率（有损性甚至破坏性试验。引入注入危害率（t11）指标）指标注入费用要求注入费用要求（L32）引入注入试验费用消耗率（引入注入试验费用消耗率（t12）指标）指标 硬件故障注入费用硬件故障注入费用元器件或试验辅助设备元器件或试验辅助设备的的购置和消耗购置和消耗费用费用 软件故障注入费用软件故障注入费用故障建模消耗的人力等，故障建模

49、消耗的人力等，或或是软件故是软件故障注入需要的计算时间障注入需要的计算时间可注入要求可注入要求（L33）故障是否允许注入；注入该故障的代价故障是否允许注入；注入该故障的代价是否可接受。引入故障可注入率（是否可接受。引入故障可注入率（t13）指标）指标二、三级指标评估体系较好地评价故二、三级指标评估体系较好地评价故障样本集对障样本集对UUT故障模式集的代表性故障模式集的代表性评评价价指指标标量量化化方方法法其余略其余略基于模糊灰色关联分析求解距离模型基于模糊灰色关联分析求解距离模型评价指标若干特性之间存在复杂和不确定性关系，导致评价指标若干特性之间存在复杂和不确定性关系，导致各特性评各特性评价指

50、标有可能不可比，且各指标对评价结果的影响程度不一价指标有可能不可比，且各指标对评价结果的影响程度不一。引入模。引入模糊层次分析法和灰色关联分析，进行故障样本集与糊层次分析法和灰色关联分析，进行故障样本集与UUT故障模式集的故障模式集的关联性分析，进而求得故障样本集与故障模式集的距离模型。关联性分析，进而求得故障样本集与故障模式集的距离模型。引入引入:指标权重向量指标权重向量W 均值比例系数均值比例系数灰色关联系数灰色关联系数建立以三角模糊数表示标度的建立以三角模糊数表示标度的隶属度函数隶属度函数构造模糊判断矩阵构造模糊判断矩阵求模糊判断矩阵的特征值及特求模糊判断矩阵的特征值及特征向量征向量解得

51、所有各级评价矩阵解得所有各级评价矩阵的特征向量，通过各评价指标间的特征向量，通过各评价指标间关系的分析得到各权重关系的分析得到各权重由由求得的权重，得求得的权重，得到关联系数到关联系数，则则故障样本集与故障故障样本集与故障模式集的距离模型模式集的距离模型为为D = 1- -案例应用案例应用（某稳定跟踪平台某稳定跟踪平台）选取确定选取确定3个故障样本集个故障样本集Sam1、Sam2 、 Sam3，距离模型的建模过程，距离模型的建模过程如下如下:案例应用案例应用（续（续1）确定需注入的最少故障样本量、每个可更换单元被分配的故障样本量确定需注入的最少故障样本量、每个可更换单元被分配的故障样本量由由F

52、MECA，得到故障的严酷度和危害度得到故障的严酷度和危害度建立故障建立故障-功能相关性模型，确定故障是否为功能故障功能相关性模型，确定故障是否为功能故障、关键功能故障等关键功能故障等根据多信号流图模型根据多信号流图模型，建立故障建立故障-测试相关矩阵，确定故障是否可测，判测试相关矩阵，确定故障是否可测，判断故障是否能有效的激发测试断故障是否能有效的激发测试由故障注入方式及需购买的试验设备或消耗的软件计算时间等，确定故由故障注入方式及需购买的试验设备或消耗的软件计算时间等，确定故障注入费用障注入费用依据评价指标的量化计算方法依据评价指标的量化计算方法，得出被比较序列得出被比较序列Y1、Y2 、

53、Y3的值的值案例应用案例应用（续（续2）灰色关联系数的计算从三个层次由右至左进行，利用多层次灰色关灰色关联系数的计算从三个层次由右至左进行，利用多层次灰色关联理论求解故障样本集与故障模式集的距离联理论求解故障样本集与故障模式集的距离： 确定三阶关联系数确定三阶关联系数结构覆盖要求指标关联系数结构覆盖要求指标关联系数21 = 0.9359，功能覆盖要求指标关联系数，功能覆盖要求指标关联系数22 = 0.7034，测试覆盖要求指标，测试覆盖要求指标关联系数关联系数23 = 0.9039 确定二阶关联系数确定二阶关联系数样本量指标关联系数样本量指标关联系数1 = 1，样本结构，样本结构指标关联系数指

54、标关联系数2 = 0.8673，故障注入指标关联系数，故障注入指标关联系数3 = 0.8926 确定一阶关联系数确定一阶关联系数 = 0.884，故障样本集，故障样本集Sam1与故障模式与故障模式集的距离集的距离D1 = 1 - - = 0.116同理同理得得D2 = 0.159，D3 = 0.172 结论：结论：故障样本集故障样本集Sam1相比故障样本集相比故障样本集Sam2和和Sam3较优，对稳定较优，对稳定跟踪平台故障模式集代表性较好跟踪平台故障模式集代表性较好; 以以Sam1进行故障注入试验，根据进行故障注入试验，根据故障注入试验结果进行统计分析，得到的验证结论置信度更高故障注入试验结

55、果进行统计分析，得到的验证结论置信度更高5.1 测试性验证概述测试性验证概述5.2 测试性验证试验故障样本优化选取方法测试性验证试验故障样本优化选取方法5.3 故障注入方法与故障注入策略优化设计故障注入方法与故障注入策略优化设计5.4 测试性综合评估方法测试性综合评估方法5.5 示例：某系统测试性验证试验优化设计与综合评估示例：某系统测试性验证试验优化设计与综合评估5.3 故障注入方法与故障注入策略优化设计故障注入方法与故障注入策略优化设计基于故障注入的测试性验证试验原理基于故障注入的测试性验证试验原理状态信息对故障检测状态信息对故障检测/隔离能力的影响隔离能力的影响故障故障-测试测试-状态相

56、关性建模状态相关性建模 基于多信号流图基于多信号流图的的故障检测隔离原理故障检测隔离原理：通过测试：通过测试Ti获取一定的信号获取一定的信号ST(Ti)，按规定的判据或诊断逻辑确定按规定的判据或诊断逻辑确定Ti的输出值的输出值ti ：ti = 0则通过；用于故障检测的测试则通过；用于故障检测的测试集合为集合为TD = TD1, TD2, , TDL， TDT ，Ln。根据根据TD中每个测试的输出结果，依中每个测试的输出结果，依据诊断逻辑确定被测对象故障据诊断逻辑确定被测对象故障或或正常；用于故障隔离的测试集合为正常；用于故障隔离的测试集合为TI = TI1, TI2, , TIK，TI T，K

57、n，根据，根据TI中每个测试的输出结果，在已知中每个测试的输出结果，在已知UUT处于故障的状态处于故障的状态下，依据诊断逻辑确定被测对象发生故障的部位或可更换单元。下，依据诊断逻辑确定被测对象发生故障的部位或可更换单元。获取的状态信息大小对故障检测获取的状态信息大小对故障检测/隔离能力的影响隔离能力的影响(a)故障被正确检测故障被正确检测/隔离的概率小隔离的概率小 (b)故障被正确检测故障被正确检测/隔离的概率大隔离的概率大 “有效注入有效注入”表述了故障注入的本源目的，即表述了故障注入的本源目的，即注入故障后的故注入故障后的故障状态空间要保证障状态空间要保证不小不小于最小完备检测于最小完备检

58、测/ /隔离状态空间隔离状态空间，极限情况是，极限情况是注入故障后的状态空间逼近故障发生后的真实状态空间注入故障后的状态空间逼近故障发生后的真实状态空间。5.3.2 故障传递特性分析与量化故障传递特性分析与量化故障传递过程故障传递过程 故障故障fi造成自身所在造成自身所在的功能模块的功能模块Mi状态异常状态异常，Mi状态异常信号作为状态异常信号作为附近功能模块附近功能模块Mk的输入的输入，引起功能模块，引起功能模块Mk的状的状态输出异常。同时态输出异常。同时，故故障障fi通过传递或耦合关系通过传递或耦合关系引起故障引起故障fj，造成，造成fj所在所在功 能 模 块功 能 模 块 Mj状 态 异

59、 常状 态 异 常异常信号依次在系统异常信号依次在系统中传播，直到信号传播中传播，直到信号传播强度小于强度小于10-8，则认为不，则认为不再传播。再传播。故障故障-故障等效矩阵（故障等效矩阵（EFF）eij故障故障fi与故障与故障ffj之间的等效性系数之间的等效性系数 eij = 1：故障故障fi的行为状态向量的行为状态向量BCfi与故障与故障ffj的行为状态向量的行为状态向量BCffj完全相同，称完全相同，称ffj为为fi的一个等效故障模式的一个等效故障模式 eij = 0：故障故障fi的行为状态向量的行为状态向量BCfi与故障与故障ffj的行为状态向量的行为状态向量BCffj不完全相同不完

60、全相同LnnLnjnniLijiiLjLjeeeeeeeeeeeeeeee2121222221111211FFE故障故障-故障相关等效矩阵（故障相关等效矩阵（REFF）reij故障故障fi与故障与故障ffj之间的相关等效性系数之间的相关等效性系数 reij = 1：故障故障fi发生必然会导致故障发生必然会导致故障ffj也发生，同时故障也发生，同时故障fi的行为状的行为状态向量态向量BCfi与故障与故障ffj的行为状态向量的行为状态向量BCfi完全相同，称完全相同，称ffj为为fi的一个的一个相关等效故障模式相关等效故障模式 reij = 0：故障故障fi和故障和故障ffj之间不会同时存在相关性