软件故障注入方法

谈思实验室 2023-11-06 17:52

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯




摘要

软件故障注入是功能安全验证的重要技术手段。本文旨在为软件故障注入提供一个基本概述,以及简介现有的故障注入技术。

01

故障注入方法简介

  //  

在功能安全相关关键场景中,密集的测试活动对于确保新系统和内置容错机制按预期运行至关重要。确保系统在出现故障时正常运行(Fail Operational)是一个需要比传统测试内容复杂的问题。在系统中引入故障以评估其行为并测量容错机制的效率(即覆盖率和延迟)的过程称为故障注入。


故障注入方法的发展是随着数字化的发展同步进行的。


最开始,数字系统只使用了简单的硬件系统。因此,第一种故障注入方法包括通过假设简单的硬件故障模型(如位翻转或位卡死)将物理故障注入目标系统硬件(例如,使用辐射、引脚电平、电源干扰等)。


硬件的日益复杂使这些物理方法的使用变得相当困难,甚至不可能,一个新的故障注入方法,即基于通过软件(软件实现的故障注入SWIFI)对硬件故障进行运行时仿真,变得非常流行。


随着关键系统在其他应用领域的扩展,我们看到这些系统的软件部分越来越复杂,这成为系统故障的一个不可忽视的原因。阿丽亚娜5号火箭的第一次试飞(1996年6月4日)就是一个例子。在试飞过程中,火箭偏离了飞行路线,在起飞后不到一分钟就发生了爆炸,造成了5亿美元的损失。爆炸是由软件中的错误数据转换引起的,从64位浮点到16位有符号整数表示。该漏洞源于对以往任务中软件子系统的重用,而没有进行实质性的重新测试,开发人员认为该任务与新系统兼容。


SWIFI工具用于在程序状态(例如,数据和地址寄存器、堆栈和堆内存)和程序代码(例如,在程序执行之前或期间存储代码的内存区域)中注入错误。不幸的是,在复杂的软件密集型系统中,通过SWIFI无法准确模拟真实软件故障的影响。因为在过去三十年中,汽车中使用的代码行的规模从数万行呈指数增长到数亿行。


与第一种故障注入方法相比,使用故障注入来模拟真实软件故障(即bug)的影响,即软件故障注入(SFI),是相对较新的方法。实际上,软件故障的注入包括在目标程序代码中引入小的更改,创建不同版本的程序(每个版本有一个注入的软件故障)。


ISO 26262标准规定了软件中错误检测和处理机制的使用,以及通过故障注入进行验证。


软件故障注入是一种假设实验,它可能起源于软件开发过程的任何阶段,包括需求分析、设计和编码活动。在给定的工作负载下执行目标,并将故障插入目标系统的特定软件组件中。主要目标是观察系统在存在注入故障的情况下的行为,考虑到这些故障会重现可能在运行期间影响系统给定软件组件的合理故障。


02

故障注入方法关键特性

  //  

故障是系统状态不正确的判定或假设的原因,称为错误。故障是在提供错误服务时发生的事件,即用户或外部系统感知到错误状态。


故障注入活动获得的结果的准确性在很大程度上取决于实验的几个关键特性,即:


代表性

是指故障负载和工作负载代表系统在运行期间将经历的真实故障和输入的能力。通过定义一个真实的故障模型,并在实验过程中准确再现该故障模型,可以实现故障的代表性。


非侵入性

要求故障注入过程中采用的仪器(如故障插入和数据收集)不应显著改变实际系统的行为。例如,执行额外的代码来破坏软件状态可能会导致侵入。


重复性

是指当在同一环境中使用同一程序多次执行故障注入活动时,可确保统计结果等效的特性。由于计算机系统中存在许多不确定性的来源,例如线程调度和事件计时,要实现这一特性并非易事。


实用性

是指故障注入在成本和时间方面的有效性。这些因素包括实现和设置故障注入环境所需的时间、执行实验的时间以及分析结果的时间。该属性要求实验由自动工具支持,以满足时间和预算限制。


可移植性

要求故障注入技术或工具能够轻松地应用于不同的系统,以便进行比较。故障注入工具的可移植性还指该工具支持多个故障模型并用新的故障模型进行扩展的能力。


03

软件故障特征

软件故障的注入需要对要注入的故障进行精确定义,这反过来又需要对软件故障进行清晰的理解和描述。这并不容易实现,因为软件故障是由于开发过程中发生的人为错误造成的,这些错误会以程序中错误指令的形式影响软件工件。


为了提高软件可靠性,人们提出了几种故障分类模式。在故障分类模式中,正交缺陷分类(Orthogonal Defect classification,ODC)是研究人员和实践者最广泛采用的模式之一,并已在多个研究中用于定义软件故障注入的故障模型。ODC是一个对软件故障进行分类的框架,目的是获得软件开发过程的度量和定量反馈;



04

软件故障注入技术

  //  

许多SFI技术和工具是在20多年的时间里发展起来的。这里,我们通过区分两种基本方法来说明和讨论这些工作:注入故障效应(也称为错误注入),其中通过扰动系统状态引入错误,以及注入实际故障,其中更改程序代码以模拟代码中的软件故障。以下小节分别回顾了软件故障注入技术:


·  数据错误注入的方法最早,这些方法基于当时存在的硬件故障注入技术;

·  接口错误注入方法,旨在测试组件与其他组件交互的稳健性;

·  注入实际故障的方法,在程序代码中引入小的故障更改。


4.1数据错误注入


早期注入故障效应的方法是在通过SWIFI研究硬件故障的背景下发展起来的。SWIFI旨在通过软件干扰内存或硬件寄存器的状态,再现硬件故障(如CPU、总线和内存故障)的影响(即错误)。根据以下标准,SWIFI方法将内存位置或寄存器的内容替换为损坏的值:


·  注入什么。内存位置或寄存器中单个位、字节或字的内容已损坏。通过对电气或门级故障产生的错误的分析,定义了错误类型。常见的错误类型是用固定值(卡在0和卡在1故障)或相反值(位翻转)替换位。


·  注入的地方。由于内存位置众多,注入内存的错误通常针对位置的子集。注入可以集中在特定内存区域中随机选择的位置(例如堆栈、堆、全局数据)或用户选择的位置(例如内存中的特定变量)。在寄存器中注入的错误可以针对那些可以通过软件访问的寄存器(例如,数据和地址寄存器)。


·  何时注入。错误注入可能与时间或事件有关。在前一种情况下,在经过给定的实验时间后注入错误,该时间由用户或根据概率分布选择。在后一种情况下,当特定事件在执行期间发生时,例如在第一次访问或每次访问目标位置时,会注入错误。可以模拟三种类型的硬件故障,分别是瞬时故障(即偶然故障)、间歇性故障(即多次重复故障)和永久性故障。


值得注意的是,SWIFI工具注入的硬件错误可以在程序状态(例如,数据和地址寄存器、堆栈和堆内存)和程序代码(例如,在程序执行之前或执行期间存储代码的内存区域)中注入。这是软件故障注入的一个重要区别:程序状态中的损坏旨在反映软件故障的影响,即错误程序的执行导致的错误,例如错误的指针、标志或控制流,SWIFI工具可以直接引入此类错误;相反,程序代码中的故障旨在反映代码中的实际软件故障。


4.2 接口错误的注入


在输入参数处注入错误旨在模拟目标外部故障产生的影响,包括外部软件组件中软件故障的影响,并评估目标检测和处理损坏输入的能力。以类似的方式,输出值的损坏被用来模拟故障部件的输出,并可用于评估故障对系统其余部分的影响。

 

输入参数的故障可能会揭示目标的错误检测和恢复机制(例如,输入处理代码)的设计和实施中的缺陷。它通常在稳健性测试中采用,该测试评估“系统或组件在存在无效输入或压力环境条件下能够正确运行的程度”。应该注意的是,健壮性测试和接口错误注入的目标不同于功能测试技术,例如黑盒测试:健壮性测试旨在评估软件模块在面对无效输入时的健壮行为(例如,避免了进程崩溃,或产生了警告信号),它与目标的功能正确性无关。


接口错误注入可以通过两种方式执行。第一种方法基于链接到目标组件的测试驱动程序(例如,使用目标导出的API的程序),并通过提交无效输入来执行该程序。这种方法类似于单元测试,但在这种情况下,评估的是健壮性,而不是功能正确性。第二种方法包括拦截和破坏目标与系统其余部分之间的交互,即在调用目标组件时触发拦截器程序,并修改原始输入以引入损坏的输入。在这种情况下,目标组件将在集成目标的整个系统的上下文中进行测试。这种方法类似于SWIFI,因为流经系统的原始数据(在本例中为接口输入)被损坏的数据替换。



在接口错误注入实验中,在实验期间发生的几个输入参数和目标API的几个调用中,通常只有一个输入参数和一个调用被破坏。生成无效输入值的常用方法有三种:


·  模糊化:原始值被随机生成的值替换。

·  位翻转:通过反转原始值的一个或多个位的值来生成损坏的值。

·  基于数据类型的注入:原始值被替换为无效值,该值是根据被破坏的输入参数类型选择的,其中类型是从目标导出的API派生的。这种方法为每种数据类型定义了一个无效值池,这些值是从类型域的分析中选择的(例如,在C指针的情况下为“NULL”)。


4.3注入代码的更改


前面小节讨论的主要是通过使用SWIFI方法注入故障影响(即错误)来模拟软件故障。这些方法的一个公开问题是注入错误(如位翻转)的代表性,它不一定与软件故障产生的错误匹配。


为了解决代表性问题,最近对SFI的研究集中在程序代码中错误的注入(即代码更改)。即可以采用注入代码更改来模拟真实软件故障,因为注入的故障会产生与真实软件故障产生的错误和故障相似的错误和故障。一般可通过在进程的代码存储区或二进制可执行文件上应用SWIFI,在程序中注入错误。但要注意通过对这些程序进行彻底测试,需在有限的范围内注入软件故障,需要专门针对软件故障注入的工具和技术。


05

结论

  //  

在为系统选择方法时,应考虑所讨论的故障注入方法的特点。


错误注入通常用于评估单个组件的健壮性,并改进代码特定部分的错误处理。主要原因是,错误的注入允许对系统的特定部分进行实验,因为它可以评估错误对特定组件接口或程序变量的影响。事实上,错误注入不需要等待错误生成并传播到正在评估的程序状态的特定部分。此外,由于错误注入可以应用于单个组件,因此可以在软件验证的早期阶段执行。


相反,注入代码更改的目的是作为一个整体评估容错系统,并在备选设计选择之间进行定量评估和比较。代码更改更适合于这些目标,因为它们基于软件故障的代表性模型,并密切模拟故障软件的行为。这是定量评估和比较的一个重要要求,因为它们考虑了故障发生的相对概率,以反映系统在运行期间表现出的行为。这使得代码更改的注入更适合于软件验证的后期阶段,此时系统组件已经集成,开发人员的目标是评估系统在其运行寿命期间的预期容错性(以及衍生的度量,如可用性)。


作者:郑威,TÜV北德功能安全总监






码上报名

谈思实验室AutoSec智能汽车安全攻防实训课程,10月,上海

更多文章

智能网联汽车信息安全综述

华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考

汽车数据合规要点

车载以太网技术发展与测试方法

车载以太网防火墙设计

SOA:整车架构下一代的升级方向

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员



谈思实验室 深入专注智能汽车网络安全与数据安全技术,专属汽车网络安全圈的头部学习交流平台和社区。平台定期会通过线上线下等形式进行一手干货内容输出,并依托丰富产业及专家资源,深化上下游供需对接,逐步壮大我国汽车安全文化及产业生态圈。
评论
  • 一、SAE J1939协议概述SAE J1939协议是由美国汽车工程师协会(SAE,Society of Automotive Engineers)定义的一种用于重型车辆和工业设备中的通信协议,主要应用于车辆和设备之间的实时数据交换。J1939基于CAN(Controller Area Network)总线技术,使用29bit的扩展标识符和扩展数据帧,CAN通信速率为250Kbps,用于车载电子控制单元(ECU)之间的通信和控制。小北同学在之前也对J1939协议做过扫盲科普【科普系列】SAE J
    北汇信息 2024-12-11 15:45 113浏览
  • 应用环境与极具挑战性的测试需求在服务器制造领域里,系统整合测试(System Integration Test;SIT)是确保产品质量和性能的关键步骤。随着服务器系统的复杂性不断提升,包括:多种硬件组件、操作系统、虚拟化平台以及各种应用程序和服务的整合,服务器制造商面临着更有挑战性的测试需求。这些挑战主要体现在以下五个方面:1. 硬件和软件的高度整合:现代服务器通常包括多个处理器、内存模块、储存设备和网络接口。这些硬件组件必须与操作系统及应用软件无缝整合。SIT测试可以帮助制造商确保这些不同组件
    百佳泰测试实验室 2024-12-12 17:45 63浏览
  • 习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习笔记&记录学习习笔记&记学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记
    youyeye 2024-12-12 10:13 40浏览
  • 首先在gitee上打个广告:ad5d2f3b647444a88b6f7f9555fd681f.mp4 · 丙丁先生/香河英茂工作室中国 - Gitee.com丙丁先生 (mr-bingding) - Gitee.com2024年对我来说是充满挑战和机遇的一年。在这一年里,我不仅进行了多个开发板的测评,还尝试了多种不同的项目和技术。今天,我想分享一下这一年的故事,希望能给大家带来一些启发和乐趣。 年初的时候,我开始对各种开发板进行测评。从STM32WBA55CG到瑞萨、平头哥和平海的开发板,我都
    丙丁先生 2024-12-11 20:14 73浏览
  • 铁氧体芯片是一种基于铁氧体磁性材料制成的芯片,在通信、传感器、储能等领域有着广泛的应用。铁氧体磁性材料能够通过外加磁场调控其导电性质和反射性质,因此在信号处理和传感器技术方面有着独特的优势。以下是对半导体划片机在铁氧体划切领域应用的详细阐述: 一、半导体划片机的工作原理与特点半导体划片机是一种使用刀片或通过激光等方式高精度切割被加工物的装置,是半导体后道封测中晶圆切割和WLP切割环节的关键设备。它结合了水气电、空气静压高速主轴、精密机械传动、传感器及自动化控制等先进技术,具有高精度、高
    博捷芯划片机 2024-12-12 09:16 85浏览
  • 时源芯微——RE超标整机定位与解决详细流程一、 初步测量与问题确认使用专业的电磁辐射测量设备,对整机的辐射发射进行精确测量。确认是否存在RE超标问题,并记录超标频段和幅度。二、电缆检查与处理若存在信号电缆:步骤一:拔掉所有信号电缆,仅保留电源线,再次测量整机的辐射发射。若测量合格:判定问题出在信号电缆上,可能是电缆的共模电流导致。逐一连接信号电缆,每次连接后测量,定位具体哪根电缆或接口导致超标。对问题电缆进行处理,如加共模扼流圈、滤波器,或优化电缆布局和屏蔽。重新连接所有电缆,再次测量
    时源芯微 2024-12-11 17:11 109浏览
  • RK3506 是瑞芯微推出的MPU产品,芯片制程为22nm,定位于轻量级、低成本解决方案。该MPU具有低功耗、外设接口丰富、实时性高的特点,适合用多种工商业场景。本文将基于RK3506的设计特点,为大家分析其应用场景。RK3506核心板主要分为三个型号,各型号间的区别如下图:​图 1  RK3506核心板处理器型号场景1:显示HMIRK3506核心板显示接口支持RGB、MIPI、QSPI输出,且支持2D图形加速,轻松运行QT、LVGL等GUI,最快3S内开
    万象奥科 2024-12-11 15:42 88浏览
  • 全球智能电视时代来临这年头若是消费者想随意地从各个通路中选购电视时,不难发现目前市场上的产品都已是具有智能联网功能的智能电视了,可以宣告智能电视的普及时代已到临!Google从2021年开始大力推广Google TV(即原Android TV的升级版),其他各大品牌商也都跟进推出搭载Google TV操作系统的机种,除了Google TV外,LG、Samsung、Panasonic等大厂牌也开发出自家的智能电视平台,可以看出各家业者都一致地看好这块大饼。智能电视的Wi-Fi连线怎么消失了?智能电
    百佳泰测试实验室 2024-12-12 17:33 56浏览
  • 天问Block和Mixly是两个不同的编程工具,分别在单片机开发和教育编程领域有各自的应用。以下是对它们的详细比较: 基本定义 天问Block:天问Block是一个基于区块链技术的数字身份验证和数据交换平台。它的目标是为用户提供一个安全、去中心化、可信任的数字身份验证和数据交换解决方案。 Mixly:Mixly是一款由北京师范大学教育学部创客教育实验室开发的图形化编程软件,旨在为初学者提供一个易于学习和使用的Arduino编程环境。 主要功能 天问Block:支持STC全系列8位单片机,32位
    丙丁先生 2024-12-11 13:15 66浏览
  • 近日,搭载紫光展锐W517芯片平台的INMO GO2由影目科技正式推出。作为全球首款专为商务场景设计的智能翻译眼镜,INMO GO2 以“快、准、稳”三大核心优势,突破传统翻译产品局限,为全球商务人士带来高效、自然、稳定的跨语言交流体验。 INMO GO2内置的W517芯片,是紫光展锐4G旗舰级智能穿戴平台,采用四核处理器,具有高性能、低功耗的优势,内置超微高集成技术,采用先进工艺,计算能力相比同档位竞品提升4倍,强大的性能提供更加多样化的应用场景。【视频见P盘链接】 依托“
    紫光展锐 2024-12-11 11:50 78浏览
  • 在智能化技术快速发展当下,图像数据的采集与处理逐渐成为自动驾驶、工业等领域的一项关键技术。高质量的图像数据采集与算法集成测试都是确保系统性能和可靠性的关键。随着技术的不断进步,对于图像数据的采集、处理和分析的需求日益增长,这不仅要求我们拥有高性能的相机硬件,还要求我们能够高效地集成和测试各种算法。我们探索了一种多源相机数据采集与算法集成测试方案,能够满足不同应用场景下对图像采集和算法测试的多样化需求,确保数据的准确性和算法的有效性。一、相机组成相机一般由镜头(Lens),图像传感器(Image
    康谋 2024-12-12 09:45 75浏览
  • 习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习笔记&记录学习习笔记&记学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记
    youyeye 2024-12-11 17:58 86浏览
  • 本文介绍瑞芯微RK3588主板/开发板Android12系统下,APK签名文件生成方法。触觉智能EVB3588开发板演示,搭载了瑞芯微RK3588芯片,该开发板是核心板加底板设计,音视频接口、通信接口等各类接口一应俱全,可帮助企业提高产品开发效率,缩短上市时间,降低成本和设计风险。工具准备下载Keytool-ImportKeyPair工具在源码:build/target/product/security/系统初始签名文件目录中,将以下三个文件拷贝出来:platform.pem;platform.
    Industio_触觉智能 2024-12-12 10:27 68浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦