[发明专利]一种适用于航电系统的安全需求建模方法

摘要

本发明公开了一种适用于航电系统的安全需求建模方法，该方法通过对航空嵌入式系统的安全性相关的概念和约束进行分析提取，并将提取的概念和约束与RUCM中的基本概念相结合，实现对UCMeta的扩展从而建立安全性相关的领域模型；通过对建立的领域模型进行分析，确定出航空嵌入式系统安全需求的描述模板使其在准确描述功能需求的同时又捕获安全性相关的非功能约束。本发明方法是一种半形式化的安全性需求描述方法，在RUCM的基础上增加安全性需求的描述模板和相应的限制规则，用于完整的、准确的对安全性需求进行描述，并支持一定程度的自动化验证。

主权项

一种适用于航电系统的安全需求建模方法，其包括有下列步骤：步骤一：建立安全需求的领域概念模型；依据RTCA/DO－178B标准对现有航电系统软件进行安全识别创建得到领域概念模型；步骤二：构建基于UCMeta元模型的航电系统的图形扩展；该航电系统的图形扩展是依据步骤一得到的安全需求的领域概念模型对UCMeta元模型进行扩展而得到；步骤三：构建基于RUCM描述模板的航电系统安全需求模板；该航电系统安全需求模板是在RUCM描述模板上进行添加相关项得到；在步骤二中，将领域概念模型转换为UML Profile，对RUCM的元模型UCMeta中进行安全扩展；在Actor中进行细化，对Use Case进行安全性扩展建立SafetyUse Case；分析领域概念模型，确定出安全需求的描述模板以及限制规则和关键字的使用；扩展RUCM描述模板进行安全需求描述，添加10条安全描述规则和若干关键字以保证RUCM的描述完整、准确、无二义性；扩展后的UCMeta创建支持安全需求描述的Use Case Diagram，同时用户通过每一个Use Case都进行了完整准确的功能描述和安全需求描述；其特征在于：在Actor中进行细化的步骤有：步骤301：根据嵌入式实时系统的特点对Actor进行扩展，将Actor划分为四种类型：Timer、Human Actor、External Instrument和External System；步骤302：在嵌入式实时系统中包含周期性的任务，而Timer则用来触发一个周期性的动作，其属性duration表示该周期的时间长度；其值的类型NFD_Duration包括时间的单位和时间值；Human Actor表示使用触发其相关用例的用户；步骤303：External Instrument表示和用例进行数据交换的外部设备，即传感器或信号接收器；其属性direction和signal分别表示数据传输方向和信号类型；步骤304：External System表示和用例进行交互的外部用例、子系统或者系统；步骤305：External Instrument和External System均定义了安全级别；所述的Use Case细化步骤有：步骤401：Safety Use Case继承自Use Case；将Safety Use Case定义为实现安全功能的用例，而安全功能则表示对系统或其组成部分的失效进行识别和处理的功能，因此，每一个Safety Use Case须关联到一个或多个失效的识别和处理；步骤402：依据DO‑178B标准中对安全级别进行定义和划分，Safety Use Case的安全性级别分为五个等级level‑A到level‑E，分别对应灾难性的、危险的/严重的、较重的、较轻的、无影响的；所述的安全描述规则为：R1：当用例的执行者的类型为ExternalSystem或者ExternalInstrument时，ExternalSystem和ExternalInstrument的安全级别应不小于用例的安全级别；R2：当用例访问某一资源时，该资源的安全级别应不小于用例的安全级别；R3：用关键字COLLECT INPUT FROM和DELIEVR OUTPUT TO表示从其他用例或外部设备收集或发送数据，用关键字VIA表示数据通讯时使用的通讯介质；R4：使用关键字AND表示多个失效共同引发一个危害；R5：使用关键字>、<、＝、IN表示约束值的范围，并且用关键字CHECKCONSTRAINT对约束进行检查；R6：使用关键字RECORD THE FAILURE表示记录一个失效；R7：使用关键字RETRY FOR TIMES表示重试操作的重试次数；R8：使用关键字PROPOGATE TO USE CASE表示失效的传播；R9：当失效传播到另外一个用例进行处理时，该用例的安全级别应该不低于当前用例的安全级别；R10：每个失效的安全级别由其引发的最严重的危害的严重程度决定，而每个用例的安全级别由其安全级别最高的失效决定。