[发明专利]一种基于模型故障树自动生成的系统安全性评估方法

说明书

一种基于模型故障树自动生成的系统安全性评估方法，包括如下步骤：步骤1：根据系统的功能性需求建立AltaRica3.0模型，并扁平化为GTS模型；步骤2：将GTS模型划分为一个或多个独立GTS和独立断言；步骤3：生成各独立GTS的可达性图；步骤4：编译可达性图生成布尔公式；步骤5：断言传播生成故障树；步骤6：根据生成的故障树，对系统安全性进行评估。本发明提供了一种基于该语言的模型自动化生成故障树的方法，该方法经过冗余多重优化和模型层次划分结构化，大大降低了往日获取故障树的错误率和繁琐程度，能够更加快速精准地评估系统的安全性。

技术领域

本发明属于安全关键系统领域，具体涉及一种基于模型故障树自动生成的系统安全性评估方法。

背景技术

目前的航空工业、核电产业等安全关键系统的安全性日益受到重视，大量电子机械密集型设备向软件支持密集型设备转变，软件层面的规模逐渐变大，各行各业中由于软件或系统故障所导致的经济财产损失和人员伤亡逐渐增加，在安全关键系统领域对软件系统的安全性提出了越来越高的要求，软件模型的安全性分析便是其中的重要组成部分。传统安全性分析技术是将硬件安全分析方法扩展到软件领域，例如软件故障树分析(Software Fault Tree Analysis，SFTA)，软件失效模式和影响分析(Software FailureMode and Effects Analysis，SFMEA)，是基于传统链式/树式事故因果模型的安全性分析方法，并且是为过去简单、松耦合的系统而开发的，主要集中在故障事件上。

AltaRica语言是一种由事件驱动的、面向对象的、形式化的复杂系统建模语言，由于其可以很好的联系系统规约形式与系统建模设计间的形式问题的优点，通常被用于系统高级建模及软件可靠性分析上。目前广泛被应用于航空电子设备和安全关键性系统等工业领域，AltaRica语言现在已经发展到了AltaRica3.0版本，它的语义基于GTS，建立在面向原型的构造上，以方便建模过程和建模知识的重用，AltaRica3.0中重用主要是在通过建模模型的设计来实现的。AltaRica3.0项目的目标是提出一套用来建模和评估工具来进行初步的安全分析，3.0版本中引入了新的机制---利用固定点机制稳定每个被触发后的Transition的流变量的值，因此允许设计非因果组件和处理即时循环系统。组件间交互以及依赖关系的设计成为嵌入式系统安全性分析的关注点，AltaRica模型的Dataflow元素能够很好地支持组件间的交互和组件间的依赖关系，同时组件间的依赖关系使用线性时序逻辑(line temporal logic，LTL)进行规约。AltaRica语言的语义通过一组规则来指定，根据系统的不同需求建立规则，进而得到整个系统的AltaRica模型，之后的一系列系统模型分析都建立在此基础之上。

卫士转化系统GTS是一种致力于安全分析的状态/转化形式，它概括了可靠性框图，马尔可夫链和随机Petri网。从卫士转化系统的模型中，我们可以生成相应的故障树(Fault Tree)，即将状态/转化模型转换为一组布尔公式。在实践中，从高级模型自动生成故障树比从头创建起来更加简单，省时省力。利用这种高级模型可以极大的改进系统设计，共享与维护相关问题。对于卫士转化系统有三个操作，这些操作可以将它们组装成层次结构。因此，卫士转化系统是一种完整的描述语言(相反，在形式上，如有限状态机或常规Petri网)。通过引入一个点稳定机制来稳定每个转化环后的流量变量值，卫士转化系统可以表示具有即时环路的系统(例如网络系统或电气系统)，并且可以设计非因果组件，即组件的方向流量传播在运行时确定。卫士转化系统是一种自动机，其状态由变量标记表示，即变量及其值。状态的变化由事件触发的转化表示，还可以表示流经网络的流动并同步事件以描述正在研究的系统组件之间的远程交互。