[发明专利]用于故障行为的安全分析的系统和方法

说明书

用于故障行为的安全分析的系统和方法。本发明涉及一种用于针对包括两个或更多部件（210、220、230）——其具有用于接收故障数据的至少一个输入端口（I）以及用于传输故障数据的一个输出端口（O）——的单元（200）的故障行为的安全分析的系统（100），其中为了分析部件（210、220、230）和/或单元（200）的故障数据，使用安全契约（SC），并且其中通过基于模型的安全分析模型（SAM）来自动生成安全契约（SC），所述基于模型的安全分析模型（SAM）包括与单元200的部件（210、220、230）有关的分离的SAM模块（110、120、130）。

本发明一般地涉及用于针对包括两个或更多部件的单元的故障行为的安全分析的系统和方法。

在工业生产、能量、运输的所有领域中以及在如经由网络连接直接地或经由云网关而被连接到工业物联网（IIoT）的银行业、零售、款待和医学健康护理系统的其它领域中，存在工业自动化系统、资产、机器、传感器、移动设备等等的增加的趋势。数据分析（数据挖掘、深度学习、人工智能）是在被连接的事物的此整个领域中的核心方面，并且生成新的认知和可用性水平。

在基于云计算技术的系统中，大量设备经由因特网被连接到云计算系统。设备可以位于被连接到云计算系统的远程设施中。例如，所述设备可以包括以下各项或由以下各项构成：（多个）工业设置中的装备、传感器、致动器、机器人和/或机械装置。所述设备可以是医学设备以及健康护理单元中的装备。所述设备可以是住宅/商业机构中的家用器具或办公室器具。

云计算系统可以实现远程配置、监视、控制以及维护所连接的设备（通常也称为“资产”）。而且，云计算系统可以促进存储从所述设备周期性收集的大量数据，分析所述大量数据，以及经由（例如web应用的）图形用户接口来向操作员、现场工程师或所述设备的拥有者提供洞察（insight）（例如关键性能指示物、离群值）以及警报。所述洞察和警报可以实现控制并且维护所述设备，从而导致设备的高效且故障安全的操作。云计算系统还可以实现修改与设备相关联的参数，并且基于所述洞察和警报而经由图形用户接口来发布控制命令。

用于工程设计此类复杂系统的越来越普及的途径是通过契约（contract）的设计概念。它规定软件设计者应当为软件部件限定正式、精确并且可验证的接口规范，其在具有先决条件、后置条件和不变量的情况下扩展抽象数据类型的普通定义。这些规范被称为“契约”，其根据概念隐喻，具有商业契约的条件和义务。

软件契约已初始地由Bertrand Meyer提出以用于验证顺序软件程序，其使用程序入口处的先决条件、程序出口处的后置条件以及用于程序运行时间的不变量。[BertrandMeyer，Applying 'design by contract'，IEEE Computer，Bd. 25，Nr. 10，pp. 40-51，1992]。通过契约途径的设计假定在服务器部件上调用操作的所有客户端部件将满足如针对那个操作所要求的经指定的先决条件。在此假定被视为太有风险的情况下（如在多信道客户端-服务器或分布式计算中），取相对的“防御性设计”途径，其意味着服务器部件测试（在处理客户端的请求2018之前或在处理客户端的请求2018的时候）所有相关先决条件适用，并且如果不适用的话则利用合适的错误消息来答复。

此途径旨在减小认证成本并且增大安全关键系统的可维护性。基于契约的设计实现将要求分解到部件上，并且示出它们在开发过程中的兼容性。因而，契约支持对工作的分区并且在接口处隔离性质。

传统上，软件契约主要被用作用于软件系统的防御性编程和/或基于部件的设计的技术，如由T. Gezgin等人所描述的。[T. Gezgin，R. Weber和M. Girod，“A refinementchecking technique for contract-based architecture design”，关于基于模型的架构设计和嵌入式系统构造的第四届国际研讨会（Fourth International Workshop on ModelBased Architecting and Construction of Embedded Systems），ACES-MB，2011]。此类软件契约包含先决条件和后置条件。