面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法
【專利摘要】本發(fā)明公開了一種步驟一:建立系統(tǒng)安全性設(shè)計(jì)AltaRica模型���;步驟二:定義AltaRica模型到Promela模型間模型轉(zhuǎn)換的規(guī)則����;得到AltaRica模型轉(zhuǎn)換之后的Promela模型���;步驟三:使用線性時(shí)序邏輯對系統(tǒng)安全需求需求進(jìn)行形式化的描述���;步驟四:利用模型檢測器對系統(tǒng)模型進(jìn)行安全性驗(yàn)證;步驟五:得到不滿足步驟四的安全性需求反例���,對系統(tǒng)安全性設(shè)計(jì)模型進(jìn)行追蹤��,完成系統(tǒng)安全性設(shè)計(jì)模型的驗(yàn)證����。本發(fā)明有效地解決模型轉(zhuǎn)換問題,完成了模型檢測工具SPIN對AltaRica的操作����。本發(fā)明是一種針對系統(tǒng)安全性分析的新思路��,使得轉(zhuǎn)換規(guī)則定義的更精確����。
【專利說明】
面向AI taR i ca模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及一種系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法,具體涉及一種面向AltaRica模型的系 統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�����。本發(fā)明屬于安全關(guān)鍵系統(tǒng)的形式化驗(yàn)證分析領(lǐng)域����。
【背景技術(shù)】
[0002] 航空、核電等安全關(guān)鍵系統(tǒng)的安全性日益受到重視�����。系統(tǒng)安全性分析是系統(tǒng)安全 工程的核心內(nèi)容,也是安全評估的基礎(chǔ)����。系統(tǒng)安全性分析的主要目的是了解、查明系統(tǒng)存在 的危險(xiǎn)���,并確保系統(tǒng)滿足規(guī)定的安全需求����,同時(shí)為安全性評估提供依據(jù)����。系統(tǒng)安全分析的主 要內(nèi)容是研究在部分系統(tǒng)組件由于故障處于非正常工作狀態(tài)時(shí)的系統(tǒng)行為。
[0003] 近些年�����,利用形式化方法尤其是模型檢測技術(shù)的基于模型的安全分析技術(shù)逐漸得 到工業(yè)界和學(xué)術(shù)界的關(guān)注�����。在基于模型的開發(fā)過程中�����,如仿真、驗(yàn)證��、測試以及代碼生成等 活動(dòng)都在統(tǒng)一的有著明確語義的形式化模型上進(jìn)行���。這樣系統(tǒng)開發(fā)過程與安全分析過程之 間通過統(tǒng)一的系統(tǒng)模型有了溝通的橋梁�。在模型有準(zhǔn)確語法��、語義定義的基礎(chǔ)上��,可以更為 精確地描述系統(tǒng)需求��,同時(shí)也支持進(jìn)行部分自動(dòng)化的分析��。
[0004] 模型檢測[Clarke EM��,Grumberg 0�����,Peled D.Model Checking[M] .Cambridge = MIT press, 1999.]作為一種成熟的自動(dòng)驗(yàn)證技術(shù)���,已被廣泛用于計(jì)算機(jī)硬件、通信協(xié)議和航空 電子等領(lǐng)域����。它比演繹的證明方法使用起來更加簡單和方便����。其基本思想是:使用有限狀態(tài) 自動(dòng)機(jī)來描述系統(tǒng)模型�����,同時(shí)采用時(shí)序邏輯或者計(jì)算樹邏輯對系統(tǒng)屬性進(jìn)行規(guī)約�,通過對 系統(tǒng)所有的狀態(tài)空間進(jìn)行窮舉搜索來檢驗(yàn)該模型是否符合屬性規(guī)約,并且當(dāng)屬性不成立 時(shí)���,提供反例路徑�。比較成熟的驗(yàn)證工具主要包括:支持CTL和LTL時(shí)序規(guī)約公式驗(yàn)證的SMV [McMillan K L. Symbolic model checking[M] .NewYork: Springer US, 1993·];支持異步 進(jìn)程設(shè)計(jì)和驗(yàn)證以及LTL時(shí)序規(guī)約驗(yàn)證的SPIN[Holzmann G J.The model checker SPIN [J]. IEEE Transactions on software engineering,1997.]等��。
[0005] 系統(tǒng)安全性需求和系統(tǒng)功能設(shè)計(jì)之間如果沒有一個(gè)統(tǒng)一的模型將兩者結(jié)合起來�, 由此可能導(dǎo)致系統(tǒng)設(shè)計(jì)模型并不能完整的反應(yīng)系統(tǒng)的安全性需求,基于該設(shè)計(jì)模型的系統(tǒng) 安全性分析也不完整�。法國工業(yè)界和學(xué)術(shù)界針對系統(tǒng)的安全性評估聯(lián)合開發(fā)了 AltaRica建 模語言,AltaRica是一個(gè)以衛(wèi)式轉(zhuǎn)換系統(tǒng)(Guarded Transition System,GTS)的語義為基 礎(chǔ)進(jìn)行系統(tǒng)安全行為建模與分析的語言�����,并已在達(dá)索航空和獵鷹運(yùn)載火箭等航空電子設(shè)備 系統(tǒng)安全性分析和評估上得到應(yīng)用���,并取得了很好的效果�����,實(shí)際上AltaRica模型已成為歐 洲工業(yè)界基于模型的安全性評估領(lǐng)域的工業(yè)標(biāo)準(zhǔn)��。AltaRica也是一種結(jié)合系統(tǒng)安全性行為 和功能行為的建模語言���,AltaRica語言對系統(tǒng)功能建模的同時(shí)考慮系統(tǒng)在實(shí)現(xiàn)功能時(shí)可能 引發(fā)的安全性問題�����。對于形成的AltaRica模型不僅可以對系統(tǒng)的功能進(jìn)行分析��,還可以針 對系統(tǒng)安全性需求進(jìn)行驗(yàn)證。
[0006]目前��,Al taRica已經(jīng)在基于模型的安全性評估國際研討會(huì)(Internat ional Symposium on Model-Based Safety and Assessment, IMBSA)上引起了足夠的重視����,同時(shí) AltaRica目前已經(jīng)在一些公司和聯(lián)盟的項(xiàng)目中得到運(yùn)用,主要有萊尼亞航空���、空中客車�、阿 爾斯通鐵路、達(dá)索航空�����、歐洲宇航防務(wù)集團(tuán)�����、法國電信�、施耐德電氣、泰勒斯����、道達(dá)爾等,而且 近十年已經(jīng)成為歐洲工業(yè)界基于模型安全性評估的標(biāo)準(zhǔn)�����。但是現(xiàn)有技術(shù)尚不存在面向 AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�。
【發(fā)明內(nèi)容】
[0007] 為解決現(xiàn)有技術(shù)的不足,本發(fā)明的目的在于提供一種面向AltaRica模型的系統(tǒng)安 全性設(shè)計(jì)驗(yàn)證方法����,以解決傳統(tǒng)故障樹生成方法成本過高且無法應(yīng)對龐大系統(tǒng)規(guī)模及系統(tǒng) 高復(fù)雜度缺陷,以及現(xiàn)有基于模型的故障樹生成方法的不足的技術(shù)問題。
[0008] 為了實(shí)現(xiàn)上述目標(biāo)���,本發(fā)明采用如下的技術(shù)方案:
[0009] 面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法���,其特征在于,包括如下步驟:
[0010] 步驟一:建立系統(tǒng)安全性設(shè)計(jì)AltaRica模型�����;
[0011 ] 步驟二:得到AltaRica模型轉(zhuǎn)換之后的Promela模型�;
[0012] 步驟三:使用線性時(shí)序邏輯對系統(tǒng)安全需求需求進(jìn)行形式化的描述;
[0013] 步驟四:以步驟二的轉(zhuǎn)換后的Promela模型���、步驟三使用線性時(shí)序邏輯規(guī)約的安全 性需求作為輸入���,利用模型檢測器對系統(tǒng)模型進(jìn)行安全性驗(yàn)證;
[0014] 步驟五:對步驟四模型檢測工具的驗(yàn)證結(jié)果進(jìn)行分析�����,并得到不滿足步驟四的安 全性需求反例�����,對系統(tǒng)安全性設(shè)計(jì)模型進(jìn)行追蹤���,完成系統(tǒng)安全性設(shè)計(jì)模型的驗(yàn)證�。
[0015]前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法����,其特征在于,所述步驟一 包括:根據(jù)目標(biāo)系統(tǒng)的功能需求和系統(tǒng)安全性需求等內(nèi)容��,確定系統(tǒng)層次機(jī)構(gòu)和基本框架�����, 建立系統(tǒng)安全性設(shè)計(jì)AltaRica模型���。
[0016]前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法���,其特征在于,所述步驟一 包括:系統(tǒng)安全性設(shè)計(jì)模型AltaRica模型既描述了系統(tǒng)的正常行為模型��,同時(shí)還刻畫了系 統(tǒng)可能存在的失效行為下的系統(tǒng)行為�����,其本質(zhì)是狀態(tài)迀移系統(tǒng),利用系統(tǒng)狀態(tài)間的迀移關(guān) 系刻畫系統(tǒng)的功能和行為�����。
[0017] 前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法��,其特征在于����,所述步驟二 包括:根據(jù)AltaRica模型和Promela模型的語義分析,以及基于接口轉(zhuǎn)換系統(tǒng)的形式化語 義���,定義AI taR i ca模型到Pr ome I a模型間模型轉(zhuǎn)換的規(guī)則;并根據(jù)這些轉(zhuǎn)換規(guī)則和模型的形 式化語義��,得到AltaRica模型轉(zhuǎn)換之后的Promela模型���。
[0018] 前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法,其特征在于���,所述步驟二 中�����,所述AI taR i ca模型到Pr ome I a模型間模型轉(zhuǎn)換的規(guī)則包括:
[0019] 規(guī)則1 :加釤辦O辦;AltaRica模型的結(jié)點(diǎn)node有兩種類型,對于包含sub 聲明的node結(jié)點(diǎn)表示該系統(tǒng)組件內(nèi)含有子系統(tǒng)組件,間接的反應(yīng)了組件間的層次關(guān)系�; component類型的結(jié)點(diǎn)只代表最小組件的劃分,不包含其他組件;sub聲明表示實(shí)例化結(jié)點(diǎn)���, 而子結(jié)點(diǎn)的所包含具體行為由sub聲明標(biāo)識(shí)后面的結(jié)點(diǎn)決定;對于系統(tǒng)而言�,建模時(shí)系統(tǒng)組 件在AltaRica模型中映射為結(jié)點(diǎn)����,系統(tǒng)組件在Promela模型映射為proctype進(jìn)程實(shí)體;因此 AltaRica模型結(jié)點(diǎn)轉(zhuǎn)換為Promela模型中的進(jìn)程實(shí)體proctype����,但是proctype的名字則根 據(jù)結(jié)點(diǎn)是否含有子結(jié)點(diǎn)不同,不含子結(jié)點(diǎn)的對應(yīng)的proctype名字為子節(jié)點(diǎn)類型_實(shí)例名;N 表示Al taRi ca模型的node結(jié)點(diǎn)�,sub聲明表示子結(jié)點(diǎn)的實(shí)例和子節(jié)點(diǎn)的類型;P表示Prome Ia 模型的進(jìn)程實(shí)體proctype;
[0020] 規(guī)則2:身0/?%組件內(nèi)承擔(dān)信息傳遞的flow變量的值與狀態(tài)變量 的變化有關(guān),通過assert完成綁定���,同時(shí)狀態(tài)變量使用ini t聲明進(jìn)行初始化;f和ini t為 AltaRica模型結(jié)點(diǎn)flow聲明和init聲明�����,State和So分別為Promela模型中的狀態(tài)變量��、初 始狀態(tài)
[0021 ]規(guī)則3:0 ;組件間flow變量表示組件間信息的傳遞��,一般在相關(guān)組件的上 層組件定義組件間的flow變量����,而且flow變量的綁定通過assert聲明完成;f為AltaRica模 型中組件間的f I ow變量,Stat e表示Prome Ia模型中的狀態(tài)變量����;
[0022] 規(guī)則4:Λ?? ;A1 taRi ca模型的trans聲明主要聲明系統(tǒng)狀態(tài)之間的迀移活 動(dòng),狀態(tài)滿足一定的條件或在事件的影響下完成狀態(tài)間的迀移;Promela模型狀態(tài)轉(zhuǎn)移也同 樣是系統(tǒng)狀態(tài)滿足一定的條件或在事件的影響下完成;T表示Al taRica模型中trans聲明�����, Trans表示Prome Ia模型轉(zhuǎn)換表達(dá)式中的狀態(tài)迀移��;
[0023] 規(guī)則5:及;A1 taRica模型的event聲明不僅影響組件內(nèi)狀態(tài)的迀移��,還影響 到組件內(nèi)flow變量及相關(guān)聯(lián)組件的狀態(tài)迀移行為;Promela模型可以使用枚舉類型mtype枚 舉事件�����,然后定義mtype類型的事件變量Estate表示各個(gè)事件;E代表Al taRica模型中的 event變量�,表Promela模型的事件的聲明,采用mtype類型表示
[0024] 規(guī)則6: 〇/?"" ;A1 taRica模型的同步主要包括三種類型:強(qiáng)同步����、弱同步�����、CCF 同步。
[0025]前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�����,其特征在于��,所述步驟三 包括:使用線性時(shí)序邏輯對系統(tǒng)安全性需求進(jìn)行規(guī)約����。
[0026]前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法,其特征在于����,所述步驟四 包括:將步驟二得到的Promela模型和步驟三得到的安全需求的LTL規(guī)約導(dǎo)入模型檢測工具 SPIN,進(jìn)行形式化驗(yàn)證����。
[0027]前述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法,其特征在于����,所述步驟五 包括:如果系統(tǒng)的Promela模型滿足輸入的安全屬性���,則模型檢測結(jié)果顯示系統(tǒng)滿足時(shí)序邏 輯公式;如果系統(tǒng)不滿足安全屬性,則輸出的結(jié)果為不滿足安全屬性的反例路徑��,根據(jù)反例 路徑和模型轉(zhuǎn)換定義的規(guī)則����,得到對應(yīng)的系統(tǒng)設(shè)計(jì)AltaRica模型的設(shè)計(jì)缺陷。
[0028]本發(fā)明的有益之處在于:本發(fā)明提出了 AltaRica模型到Promela模型的轉(zhuǎn)換規(guī)則��, 有效地解決模型轉(zhuǎn)換問題�,完成了模型檢測工具SPIN對AltaRica的操作。本發(fā)明利用 AltaRica模型在系統(tǒng)安全性分析和模型檢測技術(shù)的優(yōu)勢��,提出了一種針對系統(tǒng)安全性分析 的新思路���。本發(fā)明提出的模型轉(zhuǎn)換規(guī)則���,采用了形式化的描述方法,使得轉(zhuǎn)換規(guī)則定義的更 精確�����。
【附圖說明】
[0029]圖1為面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法流程圖����;
[0030]圖2為本發(fā)明的一個(gè)具體實(shí)施例�����,機(jī)輪剎車系統(tǒng)控制單元的系統(tǒng)結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0031]以下結(jié)合附圖和具體實(shí)施例對本發(fā)明作具體的介紹。
[0032]參照圖1所示����,本發(fā)明方法將嵌入式系統(tǒng)的AltaRica模型引入安全分析過程,利用 AltaRica模型作為系統(tǒng)的正常行為模型和失效行為模型�����,利用接口轉(zhuǎn)換系統(tǒng)(Interface Transition System���,ITS)��,作為模型轉(zhuǎn)換的基礎(chǔ)�����。然后基于AltaRica模型和Promela模型的 語義分析定義模型轉(zhuǎn)換的規(guī)則���,同時(shí)使用線性時(shí)序邏輯規(guī)約系統(tǒng)安全性需求���。最后,利用安 全性需求規(guī)約和轉(zhuǎn)換得到的Promela模型導(dǎo)入窮舉模型檢測工具�����,實(shí)現(xiàn)面向AltaRica模型 的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證�����。
[0033]技術(shù)方案實(shí)現(xiàn)的:
[0034]面向Al taRi ca模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�����,包括如下步驟(為便于理解��,表1 中列出了各步驟統(tǒng)一使用的主要數(shù)學(xué)符號(hào)及其含義):
[0035]表1:各步驟統(tǒng)一使用的主要數(shù)學(xué)符號(hào)及其含義
[0038]步驟1��,所述系統(tǒng)安全性設(shè)計(jì)模型AltaRica模型既描述了系統(tǒng)的正常行為模型���,同 時(shí)還刻畫了系統(tǒng)可能存在的失效行為下的系統(tǒng)行為��,其本質(zhì)是狀態(tài)迀移系統(tǒng)���,利用系統(tǒng)狀 態(tài)間的迀移關(guān)系刻畫系統(tǒng)的功能和行為�。
[0039] 步驟2,定義AltaRica模型到PromeIa模型的轉(zhuǎn)換規(guī)則����,從而完成模型轉(zhuǎn)換,得到 Promela0
[0040] 規(guī)則1:崩0 A紐分抑JVltaRica模型的結(jié)點(diǎn)node有兩種類型����,對于包含sub 聲明的node結(jié)點(diǎn)表示該系統(tǒng)組件內(nèi)含有子系統(tǒng)組件���,間接的反應(yīng)了組件間的層次關(guān)系�。而 component類型的結(jié)點(diǎn)則只代表最小組件的劃分�,不包含其他組件。sub聲明表示實(shí)例化結(jié) 點(diǎn)���,而子結(jié)點(diǎn)的所包含具體行為由sub聲明標(biāo)識(shí)后面的結(jié)點(diǎn)決定���。對于系統(tǒng)而言,建模時(shí)系 統(tǒng)組件在AltaRica模型中映射為結(jié)點(diǎn),系統(tǒng)組件在Promela模型映射為proctype進(jìn)程實(shí)體���。 因此AltaRica模型結(jié)點(diǎn)轉(zhuǎn)換為Promela模型中的進(jìn)程實(shí)體proctype�,但是proctype的名字 則根據(jù)結(jié)點(diǎn)是否含有子結(jié)點(diǎn)不同����,不含子結(jié)點(diǎn)的對應(yīng)的proctype名字為子節(jié)點(diǎn)類型_實(shí)例 名。
[0041 ] 規(guī)則2:房�����。���。組件內(nèi)承擔(dān)信息傳遞的flow變量的值與狀態(tài)變量 的變化有關(guān)����,通過assert完成綁定����,同時(shí)狀態(tài)變量使用ini t聲明進(jìn)行初始化。
[0042] 規(guī)則3:身^ /?咖����。組件間flow變量表示組件間信息的傳遞,一般在相關(guān)組件的上 層組件定義組件間的flow變量,而且flow變量的綁定通過assert聲明完成�。
[0043] 規(guī)則4: o.AltaRica模型的trans聲明主要聲明系統(tǒng)狀態(tài)之間的迀移活 動(dòng),狀態(tài)滿足一定的條件或在事件的影響下完成狀態(tài)間的迀移;Promela模型狀態(tài)轉(zhuǎn)移也同 樣是系統(tǒng)狀態(tài)滿足一定的條件或在事件的影響下完成����。
[0044] 規(guī)則5:/?「Jp/. 〇AltaRica模型的event聲明不僅影響組件內(nèi)狀態(tài)的迀移,還影響 到組件內(nèi)flow變量及相關(guān)聯(lián)組件的狀態(tài)迀移行為���。Promela模型可以使用枚舉類型mtype枚 舉事件�����,然后定義mtype類型的事件變量Estate表示各個(gè)事件�。
[0045] 規(guī)則6: 八·/腿"A1 taRica模型的同步主要包括三種類型:強(qiáng)同步���、弱同步、CCF 同步���。1)強(qiáng)同步:AltaRica模型中強(qiáng)同步表示形式為sync〈ei�,Θ2�����,…,en>���。強(qiáng)同步具體語義: 假設(shè)事件61和62存在強(qiáng)同步的關(guān)系����,如果事件edPe2的同步類型為強(qiáng)同步����,則他們在組件^ 和C2中對應(yīng)的狀態(tài)迀移必須同時(shí)發(fā)生。對應(yīng)的Prome Ia模型選擇通道chan實(shí)現(xiàn)同步��。2) 八1七31?����;[03模型的弱同步是一種形如廣播的同步類型,其具體的表示形式為87110〈61|62|··· en>���。弱同步的具體語義:假設(shè)事件的和防存在弱同步的關(guān)系�����,若事件的和的同時(shí)發(fā)生����,那么事 件一丨^各自對應(yīng)的轉(zhuǎn)換發(fā)生;若事件 ei(e2)發(fā)生且事件e2(ei)的守衛(wèi)條件為true,事件的和 e2對應(yīng)的轉(zhuǎn)換都會(huì)發(fā)生��,事件e2(ei)的守衛(wèi)條件為false��,事件 ei(e2)對應(yīng)的轉(zhuǎn)換會(huì)發(fā)生而事 件e2(ei)對應(yīng)的轉(zhuǎn)換不發(fā)生���。3)CCF同步:CCF同步與弱同步相似���,在AltaRica模型中表示為 sync〈ei?. . .?e2>。兩者的區(qū)別在于CCF同步的動(dòng)機(jī)是為了描述由于內(nèi)部錯(cuò)誤或共同原因?qū)?致組件失效的情形���。內(nèi)部錯(cuò)誤和產(chǎn)生失效的共同原因 ei����、e2認(rèn)為一個(gè)事件影響兩個(gè)組件的失 效��,因此CCF同步用弱同步來表示�。
[0046] 步驟3,使用線性時(shí)序邏輯對系統(tǒng)安全性需求進(jìn)行規(guī)約。
[0047] 步驟4,將步驟2得到的Promela模型和步驟3得到的安全需求的LTL規(guī)約導(dǎo)入模型 檢測工具SPIN��,進(jìn)行形式化驗(yàn)證�����。
[0048]步驟5,如果系統(tǒng)的Promela模型滿足輸入的安全屬性��,則模型檢測結(jié)果顯示系統(tǒng) 滿足時(shí)序邏輯公式��。如果系統(tǒng)不滿足安全屬性�,則輸出的結(jié)果為不滿足安全屬性的反例路 徑,根據(jù)反例路徑和模型轉(zhuǎn)換定義的規(guī)則����,得到對應(yīng)的系統(tǒng)設(shè)計(jì)AltaRica模型的設(shè)計(jì)缺陷。 [0049]下面結(jié)合附圖對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)說明:
[0050]具體實(shí)施例以圖2所示的機(jī)輪剎車系統(tǒng)剎車控制單元系統(tǒng)為例��,
[0051]圖1為本發(fā)明技術(shù)方案流程圖����,具體實(shí)施步驟如下:
[0052]步驟1,機(jī)輪剎車系統(tǒng)剎車控制單元的描述����,如圖2,依據(jù)圖2建立其對應(yīng)的系統(tǒng) Al taRi ca模型。剎車系統(tǒng)控制單元(BSCU)是機(jī)輪剎車系統(tǒng)中唯一的一個(gè)數(shù)據(jù)組件�����。大部分 的BSCU輸入來自于更高級(jí)別的WBS�。它也可以將位于正常線路和備用線路不同位置上的一 些反饋值作為輸入�,同時(shí)擁有兩個(gè)獨(dú)立的電源供應(yīng)��。BSCU子系統(tǒng)又包含有兩個(gè)冗余的命令 單元(Command Unit)和監(jiān)控單元(Monitor Unit)�,可將其看作是BSQJ的兩個(gè)子系統(tǒng),這兩 個(gè)子系統(tǒng)(每個(gè)子系統(tǒng)包含有一個(gè)命令單元和監(jiān)控單元)分別有兩個(gè)獨(dú)立的電源供應(yīng)�����。命令 單元主要用于產(chǎn)生正常命令(Normal Command)和備用命令(Alt Command)����,這兩個(gè)命令分 別作用于正常線路和備用線路;監(jiān)控單元主要對命令單元起到監(jiān)控作用,用于監(jiān)控各自對 應(yīng)的命令單元產(chǎn)生的命令是否有效�。BSCU與命令單元的關(guān)系主要分為以下幾種情況:1)若 兩個(gè)命令單元均有效,則BSCU有效�,并且默認(rèn)使用第一個(gè)命令單元產(chǎn)生的命令;2)若兩個(gè)命 令單元中只有一個(gè)命令是有效的,則BSCU有效��,且使用該命令單元產(chǎn)生的命令;3)若兩個(gè)命 令單元產(chǎn)生的命令均無效��,則BSCU無效�,兩個(gè)命令單元不能產(chǎn)生正常命令和備用命令;4)若 電源出現(xiàn)故障,則BSCU無效����,同樣兩個(gè)命令單元不能產(chǎn)生正常命令和備用命令。
[0053]步驟2,根據(jù)定義的轉(zhuǎn)換規(guī)則完成模型轉(zhuǎn)換�,由系統(tǒng)的AltaRica模型轉(zhuǎn)換得到系統(tǒng) 的Prome Ia模型。
[0054]步驟3,使用線性時(shí)序邏輯對系統(tǒng)安全需求進(jìn)行形式化的描述����。以剎車系統(tǒng)控制單 元子系統(tǒng)為例,部分安全屬性與其對應(yīng)的線性時(shí)序邏輯公式如表2��。
[0055] 弄2系統(tǒng)仝反雇件及其對府丨,T丨,公忒
[0057]步驟4,以Promela模型及表示系統(tǒng)安全屬性的時(shí)序邏輯公式作為輸入��,利用模型 檢測工具SPIN對系統(tǒng)進(jìn)行驗(yàn)證�。具體實(shí)施過程,使用命令以系統(tǒng)模型及安全屬性時(shí)序邏輯 公式作為輸入運(yùn)行模型檢測工具�。
[0058]步驟5,根據(jù)驗(yàn)證結(jié)果,得到當(dāng)前的模型是否滿足屬性規(guī)約�。若不滿足,得到反例路 徑����,得到反例路徑中所有的狀態(tài)變量和事件變量的變化,同時(shí)根據(jù)轉(zhuǎn)換規(guī)則����,得到對應(yīng)的 AltaRica模型中對應(yīng)變量的變化。由安全分析人員根據(jù)變量的值得到設(shè)計(jì)模型的缺陷����。 [0059]以上顯示和描述了本發(fā)明的基本原理���、主要特征和優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該 了解��,上述實(shí)施例不以任何形式限制本發(fā)明�,凡采用等同替換或等效變換的方式所獲得的 技術(shù)方案,均落在本發(fā)明的保護(hù)范圍內(nèi)���。
【主權(quán)項(xiàng)】
1. 面向Alta化ca模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法��,其特征在于���,包括如下步驟: 步驟一:建立系統(tǒng)安全性設(shè)計(jì)Alta化ca模型; 步驟二:得到Alta化ca模型轉(zhuǎn)換之后的Prome la模型��; 步驟Ξ:使用線性時(shí)序邏輯對系統(tǒng)安全需求需求進(jìn)行形式化的描述��; 步驟四:W步驟二的轉(zhuǎn)換后的Promela模型��、步驟Ξ使用線性時(shí)序邏輯規(guī)約的安全性需 求作為輸入��,利用模型檢測器對系統(tǒng)模型進(jìn)行安全性驗(yàn)證; 步驟五:對步驟四模型檢測工具的驗(yàn)證結(jié)果進(jìn)行分析�����,并得到不滿足步驟四的安全性 需求反例��,對系統(tǒng)安全性設(shè)計(jì)模型進(jìn)行追蹤�,完成系統(tǒng)安全性設(shè)計(jì)模型的驗(yàn)證���。2. 根據(jù)權(quán)利要求1所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法����,其特征在于���, 所述步驟一包括:根據(jù)目標(biāo)系統(tǒng)的功能需求和系統(tǒng)安全性需求等內(nèi)容�����,確定系統(tǒng)層次機(jī)構(gòu) 和基本框架�,建立系統(tǒng)安全性設(shè)計(jì)A1化Rica模型���。3. 根據(jù)權(quán)利要求2所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�����,其特征在于�, 所述步驟一包括:系統(tǒng)安全性設(shè)計(jì)模型AltaRica模型既描述了系統(tǒng)的正常行為模型,同時(shí) 還刻畫了系統(tǒng)可能存在的失效行為下的系統(tǒng)行為����,其本質(zhì)是狀態(tài)遷移系統(tǒng),利用系統(tǒng)狀態(tài) 間的遷移關(guān)系刻畫系統(tǒng)的功能和行為�。4. 根據(jù)權(quán)利要求3所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法,其特征在于����, 所述步驟二包括:根據(jù)A1化Rica模型和Promela模型的語義分析,W及基于接口轉(zhuǎn)換系統(tǒng)的 形式化語義���,定義A1化Rica模型到Promela模型間模型轉(zhuǎn)換的規(guī)則;并根據(jù)運(yùn)些轉(zhuǎn)換規(guī)則和 模型的形式化語義����,得到A1化Rica模型轉(zhuǎn)換之后的Promela模型��。5. 根據(jù)權(quán)利要求4所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法����,其特征在于����, 所述步驟二中�����,所述A1化Rica模型到Promela模型間模型轉(zhuǎn)換的規(guī)則包括: 規(guī)則1:如巧巧&本誠片..巧';'A1 tallica模型的結(jié)點(diǎn)node有兩種類型���,對于包含sub聲明 的node結(jié)點(diǎn)表示該系統(tǒng)組件內(nèi)含有子系統(tǒng)組件,間接的反應(yīng)了組件間的層次關(guān)系�; component類型的結(jié)點(diǎn)只代表最小組件的劃分,不包含其他組件;sub聲明表示實(shí)例化結(jié)點(diǎn)�����, 而子結(jié)點(diǎn)的所包含具體行為由sub聲明標(biāo)識(shí)后面的結(jié)點(diǎn)決定;對于系統(tǒng)而言���,建模時(shí)系統(tǒng)組 件在A1化化ca模型中映射為結(jié)點(diǎn)����,系統(tǒng)組件在Promela模型映射為proctype進(jìn)程實(shí)體����;因此 AltaRica模型結(jié)點(diǎn)轉(zhuǎn)換為Promela模型中的進(jìn)程實(shí)體proctype����,但是proctype的名字則根 據(jù)結(jié)點(diǎn)是否含有子結(jié)點(diǎn)不同���,不含子結(jié)點(diǎn)的對應(yīng)的proctype名字為子節(jié)點(diǎn)類型_實(shí)例名�;N 表示A1化化ca模型的node結(jié)點(diǎn)��,sub聲明表示子結(jié)點(diǎn)的實(shí)例和子節(jié)點(diǎn)的類型;P表示Prome la 模型的進(jìn)程實(shí)體proctype; 規(guī)則2 : 一 A"# 一Ps<����,;組件內(nèi)承擔(dān)信息傳遞的f low變量的值與狀態(tài)變量的變 化有關(guān),通過曰336^完成綁定���,同時(shí)狀態(tài)變量使用init聲明進(jìn)行初始化�;f和;[]1����;[1:為 AltaRica模型結(jié)點(diǎn)flow聲明和init聲明,State和So分別為Promela模型中的狀態(tài)變量����、初 始狀態(tài) 規(guī)則3:少^ Rswf ;組件間flow變量表示組件間信息的傳遞,一般在相關(guān)組件的上層組 件定義組件間的flow變量��,而且flow變量的綁定通過assed聲明完成;f為A1化化ca模型中 組件間的flow變量���,S化te表示Promela模型中的狀態(tài)變量�; 規(guī)則4: ^ 一仍酣;AltaRica模型的trans聲明主要聲明系統(tǒng)狀態(tài)之間的遷移活動(dòng)���,狀 態(tài)滿足一定的條件或在事件的影響下完成狀態(tài)間的遷移;Promela模型狀態(tài)轉(zhuǎn)移也同樣是 系統(tǒng)狀態(tài)滿足一定的條件或在事件的影響下完成;Τ表示A:Ua化ca模型中trans聲明�����,Trans 表示Promela模型轉(zhuǎn)換表達(dá)式中的狀態(tài)遷移���; 規(guī)則5: Ae A ;AltaRica模型的event聲明不僅影響組件內(nèi)狀態(tài)的遷移���,還影響到組 件內(nèi)flow變量及相關(guān)聯(lián)組件的狀態(tài)遷移行為;Promela模型可W使用枚舉類型mtype枚舉事 件�,然后定義mtype類型的事件變量Es化te表示各個(gè)事件;E代表A1 taRica模型中的event變 量���,L代表Promela模型的事件的聲明���,采用mtype類型表示 規(guī)則6: Aiw 只細(xì);A1 taRica模型的同步主要包括Ξ種類型:強(qiáng)同步、弱同步����、CCF同 步�。6. 根據(jù)權(quán)利要求1至5任一項(xiàng)所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�,其 特征在于,所述步驟Ξ包括:使用線性時(shí)序邏輯對系統(tǒng)安全性需求進(jìn)行規(guī)約��。7. 根據(jù)權(quán)利要求6所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法�,其特征在于, 所述步驟四包括:將步驟二得到的Promela模型和步驟Ξ得到的安全需求的LTL規(guī)約導(dǎo)入模 型檢測工具SPIN,進(jìn)行形式化驗(yàn)證�����。8. 根據(jù)權(quán)利要求7所述的面向AltaRica模型的系統(tǒng)安全性設(shè)計(jì)驗(yàn)證方法����,其特征在于, 所述步驟五包括:如果系統(tǒng)的Promela模型滿足輸入的安全屬性���,則模型檢測結(jié)果顯示系統(tǒng) 滿足時(shí)序邏輯公式;如果系統(tǒng)不滿足安全屬性�����,則輸出的結(jié)果為不滿足安全屬性的反例路 徑����,根據(jù)反例路徑和模型轉(zhuǎn)換定義的規(guī)則,得到對應(yīng)的系統(tǒng)設(shè)計(jì)AltaRica模型的設(shè)計(jì)缺陷����。
【文檔編號(hào)】G06F17/50GK105938502SQ201610159046
【公開日】2016年9月14日
【申請日】2016年3月17日
【發(fā)明人】胡軍, 陳松, 仵志鵬
【申請人】南京航空航天大學(xué)