[发明专利]一种人机物融合系统的特定风险建模与分析方法

权利要求书

1.一种人机物融合系统的特定风险建模与分析方法，其特征在于，包括以下步骤：

步骤1：根据系统规格说明书，为HCPS系统建立AADL计算系统架构模型；

步骤2：根据HCPS中存在的特定风险，依据行为和特征分类分别建立人因模型和物理环境模型；

步骤2-1：将人因模型定义为一个七元组HM＝{A，IM，IP，OI，RP，II，ISQ}，其中A表示执行者集合，IM表示交互模式集合，IP表示交互接口集合，OI表示操作接口，RP表示角色权限集合，II表示交互意图，ISQ表示交互序列集合，具体为：

步骤2-1-1：将与系统直接交互的单个个体定义为执行者，建立系统运行时的执行者集合A＝{a₁，a₂，...，a_i，...，a_n}，a_i表示第i个执行者；对每个执行者a_i定义角色类型，并在安全攸关嵌入式系统中赋予不同的操作权限；

步骤2-1-2：将系统运行过程中执行者与系统进行交互的访问操作定义为交互模式集合IM＝{im₁，im₂，...，im_i，...，im_n}，im_i表示第i个交互模式，其中交互模式分为读操作和写操作；执行者通过执行交互模式与系统进行交互完成任务，交互模式im_i定义为同一时刻只由一个执行者来执行；

对每个交互模式定义属性集，包括交互类型、交互名称、标称人为差错概率、差错诱发因子EPC、差错诱发因子EPC的实际影响值APOA；

步骤2-1-3：将系统运行过程中提供给外部的接口定义为交互接口集合IP＝{ip₁，ip₂，...，ip_i，...ip_n}，ip_i表示第i个交互接口，执行者通过交互接口与系统进行交互；

步骤2-1-4：将交互接口与交互模式之间的关系定义为操作接口OI＝R_r∪R_w，其中R_r是写操作与交互接口的关系，R_w是读操作和交互接口的关系，

步骤2-1-5：根据HCPS系统运行规章，为角色类型建立角色权限集合RP＝{rp₁，rp₂，...rp_n}，在角色权限rp_i中定义该角色类型包含的执行操作接口；

步骤2-1-6：定义交互主体集合IS＝{is₁，is₂，...is_n}，每个交互主体is_i由有限的执行者组成is_i＝{a₁，a₂，...a_m}，将交互主体与操作接口之间的关系定义为系统中存在的交互意图II＝{ii₁，ii₂，...，ii_i，...，ii_n}，ii_i表示第i个交互意图；交互意图表示系统运行过程中交互主体能够通过执行操作接口完成的意图；定义逻辑运算符“*”，运算符“*”代表其两边都是可选的返回值，则第i个交互意图ii_i＝({a₁，a₂，...a_m}，oi_i)＝(a₁，oi_i)*(a₂，oi_i)*...*(a_m，oi_i)；

步骤2-1-7：定义交互序列集合ISQ＝{isq₁，isq₂，...，isq_i，...，isq_n}，交互序列isq_i定义为一个按照时间顺序的交互意图序列描述在系统运行过程中多个交互意图ii_i执行的顺序关系；

步骤2-2：将物理环境模型定义为一个七元组PM＝{BS，BS₀，PV，CV，CB，CD，T}，其中BS表示离散行为状态集合，BS₀表示初始状态集合，PV表示变量集合，CV表示时钟变量集合，CB表示连续行为集合，CD表示变迁机制集合，T表示状态变迁集合，具体为：

步骤2-2-1：物理环境模型中有限的离散行为状态集合定义为BS＝{bs₁，bs₂，...bs_n}，表示物理环境模型中存在的不同的行为状态；

步骤2-2-2：定义物理环境模型中的初始状态集合表示物理构件在开始时的初始状态；

步骤2-2-3：定义物理环境模型中存在的变量集合PV＝{pv₁，pv₂，...pv_n}，变量是离散变量或定义在实数集上的连续变量，通过变量来刻画物理构件的运行状态；

步骤2-2-4：定义物理环境模型中时钟变量的集合CV＝{cv₁，cv₂，...cv_n}，时钟变量是物理环境模型中的时钟；

步骤2-2-5：将行为状态上的连续行为定义为CB＝{cb₁，cb₂，...cb_n}，用以描述物理环境模型在状态bs_i时，外界物理变量变化的情况；

步骤2-2-6：定义物理环境模型中存在的变迁机制集合CD＝{cd₁，cd₂，...cd_n}，用以描述物理构件行为状态的动态变化过程，分为以下三个步骤：

1)定义物理环境模型中包括的触发行为集合TB＝{tb₁，tb₂，...tb_n}，用来描述外界环境中物理变量的约束条件，当该约束条件不满足时，物理构件所处的行为状态会发生变化；

2)定义物理环境模型中包括的时钟约束集合CS＝{cs₁，cs₂，...cs_n}；根据时钟变量定义相应的时钟约束cs_i，即时钟和时间常量之间的比较；当物理环境模型接收到触发行为t_i，且此时时钟约束表达式cs_i为真时，行为状态发生变迁，否则不能变迁；

3)定义物理环境模型中包括的时钟重置集合CR＝{cr₁，cr₂，...cr_n}，当物理构件状态变迁后，部分时钟需要重新设置；

步骤2-2-7：根据行为状态和变迁机制描述物理环境模型中包括的状态变迁集合T＝{t₁，t₂，...t_n}，用以表示物理构件的目前动态行为信息；

步骤3：采用AADL定义特定风险模型语义，扩展出两种语义：人为因素构件和物理环境构件；

步骤3-1：在人为因素构件中定义类型type和实现implementation，在类型type中定义features和执行者与计算系统交互的接口inport和outport，然后根据扩展的人因模型附录定义接口的属性信息，利用错误模型将接口声明为错误传播点；

步骤3-2：在物理环境构件定义类型type和实现implementation，在类型type中定义features，用来描述物理环境和计算系统之间的交互接口；在implementation中利用扩展的物理环境模型定义物理环境中的混成特性，同时利用错误模型描述物理环境模型中存在的风险事件；

步骤4：基于AADL核心语法为人因模型和物理环境模型扩展AADL附录：

步骤4-1：定义人因模型附录的语法规则，人因模型附录包括附录库和附录子句；在附录库中定义复用信息，包括执行者actor、角色类型role type和交互模式interactivemodes；在附录子句中先声明对附录库的引用，然后定义操作接口operation interface、角色权限role permission、交互意图interaction intention和交互序列interactionsequence；

步骤4-2：定义物理环境模型附录的语法规则，物理环境模型附录包括附录库和附录子句；在附录库中定义复用信息，包括行为状态behavior state、物理变量physicalvariable和时钟变量clock variable；在附录子句中先声明对附录库的引用，然后定义行为状态上的连续行为continuous behavior、物理环境中的触发机制trigger condition和行为状态之间的变迁关系transitions；

步骤5：根据系统安全性需求为系统建立错误模型，具体为：

步骤5-1：根据执行者遵守的执行规章，建立人因模型的错误模型，其中错误事件的概率由交互模式的属性集决定，错误事件发生概率由下面公式计算；

其中为每个EPC分配的权重值；APOA_i为每个EPC的影响程度，通过专家打分的方式确定每个EPC的实际影响值；NHEP为该领域内该类错误事件的标称人为差错概率；HEP为计算得到的人因失误概率；

步骤5-2：根据HCPS系统运行标准中定义的使用限制，为物理环境模型建立相应的错误模型，其中错误事件的发生概率通过物理模型中的严酷度等级来定义，制定严酷度等级和发生概率之间的对应关系；

步骤5-3：在错误模型中通过定义错误传播点error propagation point描述构件之间的风险传播，从而将计算系统架构模型、人因模型和物理环境模型组合形成完整的特定风险分析模型；

步骤6：完成特定风险分析建模后，通过模型检验和模型转换的方式完成特定风险分析，具体如下：

步骤6-1：模型检验为从特定风险分析模型中提取出特定的风险、失效状态和操作要求，风险传播路径通过错误模型中定义的错误传播机制来确定；

步骤6-2：根据AADL到DSPN的映射规则，将AADL特定风险分析模型转换为DSPN模型，将错误模型中的错误状态机转换到DSPN模型中对应的库所place、托肯token，迁移transition，然后通过调用Petri网工具TimeNet对转换后的错误自动机自动化计算，得到系统构件处于失效状态的发生概率，最终完成人机物融合系统的特定风险分析。