[发明专利]基于确定性随机Petri网的AADL模型安全性评估方法

摘要

本发明提供了一种基于确定性随机Petri网的AADL模型安全性评估方法。首先，构建层次化结构的AADL架构模型；然后，制定新的模型转换方法，将AADL安全性模型转换为DSPN模型，其中，为AADL安全性模型增加了新的语义，包括复合构件中可操作状态分别与失效状态和危险之间的关系，以及恢复事件和修复事件与错误检测之间的关系，新的模型转换方法简化了构件之间错误传播的转换方法和危险行为的转换方法，使安全性模型转换为状态数量更少的DSPN模型，用于计算危险发生的概率；最后，结合危险的严酷度等级计算危险发生的风险，做安全性评估。

主权项

1.一种基于确定性随机Petri网的AADL模型安全性评估方法，其特征在于包括以下步骤：步骤一：根据系统规格说明书为系统建立AADL架构模型，根据安全性需求为架构模型建立错误模型和危险模型，得到层次化结构的AADL安全性模型；步骤二：将AADL安全性模型中最低层次的构件所包含的错误模型和危险模型转换为DSPN模型，转换方法以及转换顺序如下：步骤1：将错误状态转换为DSPN模型中的位置，其中，将初始错误状态转换为DSPN模型中带一个标识的位置；步骤2：对于使用发生分布属性定义发生分布的错误事件、恢复事件和修复事件，将服从固定概率分布和泊松分布的错误事件、恢复事件和修复事件，转换为指数迁移；将服从确定时间延迟分布的错误事件、恢复事件和修复事件，转换为确定时间迁移；其中，错误事件的发生率转换为迁移的分布参数；步骤3：将使用延迟分布属性定义发生属性的恢复事件和修复事件，转换为确定时间迁移，其中，延迟时间转换为确定时间迁移的参数；当延迟时间的单位不是秒时，将其转换为秒；当延迟时间是一个区间范围时，取最大值；步骤4：对于所有变迁，如果目标错误状态是关键字same state，用源错误状态代替目标错误状态，如果源错误状态是关键字all，用构件内所有错误状态代替源错误状态；然后，将不包含分支概率分布且与错误检测没有关联的从源错误状态到错误事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；步骤5：如果恢复事件或修复事件分别是错误检测的恢复动作或者修复动作，那么将源错误状态到恢复事件或修复事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；步骤6：如果目标错误状态是分支概率分布，添加一个位置作为中间错误状态，将从源错误状态到错误事件再到中间错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；然后，将每个分支概率看做一个服从指数分布的错误事件，并将错误事件转换为指数迁移，参数为分支概率值，接着，将从中间错误状态到各个错误事件再到目标错误状态的变迁，分别转换为位置到迁移的弧和迁移到位置的弧，其中，变迁的数量与分支概率的数量相同；步骤7：以前面步骤得到的位置或迁移来表示危险源；步骤8：对于与逻辑组合，如果各组合元素是位置，添加一个瞬时迁移，然后分别添加从各组合元素到这个瞬时迁移的弧和从这个瞬时迁移到各组合元素的弧；如果各组合元素是迁移，添加一个位置和一个瞬时迁移，将逻辑组合转换为从各组合元素到新添加的位置的弧，以及新添加的位置到新添加的迁移的弧，并且将后面这条弧的弧权函数设置为：新添加的位置上的标识总数等于组合元素的个数；所述的与逻辑组合是指带有逻辑操作与的逻辑组合；对于或逻辑组合，如果组合元素是位置，那么为每个组合元素添加一个瞬时迁移，并分别添加各组合元素到其对应的瞬时迁移的弧和从各个瞬时迁移到其对应的组合元素的弧；如果组合元素是迁移，直接使用这些迁移；所述的或逻辑组合是指带有逻辑操作或的逻辑组合；对于带有逻辑原语“或者多于”和“或者少于”的逻辑组合，先将其转换为与逻辑组合和或逻辑组合的组合，再分别按照上述方法进行转换；步骤9：将危险转换为DSPN模型中的位置；步骤10：将服从固定概率分布和泊松分布的危险触发器，转换为指数迁移；将服从确定时间延迟分布的危险触发器，转换为确定时间迁移；其中，危险触发器的发生率转换为迁移的分布参数；步骤11：将从危险源到触发器再到危险的危险传播，转换为危险源位置到迁移的弧、迁移到危险源位置的弧和迁移到危险位置的弧；步骤12：将从危险到危险触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧，然后，添加一个瞬时迁移，将从危险到这个瞬时迁移再到可操作状态的变迁，转换为位置到迁移的弧和迁移到位置的弧，其中，瞬时迁移的使能函数设置为：可操作状态位置有大于0个标识；步骤三：将AADL安全性模型中子构件均已经完成错误模型和危险模型转换的高一层次构件转换为DSPN模型，转换方法以及转换顺序，如下：步骤a：按照步骤二中的步骤1至步骤10将构件所包含的错误模型和危险模型转换为DSPN模型；步骤b：对于构件之间的错误传播，如果定义了错误传播点，但是没有在错误传播和错误变迁中使用它们，则跳过此步骤；否则，进行如下转换：首先，如果向内的错误传播点与错误事件、恢复事件或修复事件构成触发条件且用于触发错误变迁或错误传播，以错误事件、恢复事件或修复事件为迁移，否则，添加一个瞬时迁移。然后，如果向内的错误传播点用作触发条件且用于触发错误变迁，将构件之间的错误传播转换为从源错误状态位置到迁移的弧和迁移到源错误状态位置的弧，接着，将被触发的错误变迁转换为从源错误状态位置到迁移的弧和从迁移到目标错误状态位置的弧；如果向内的错误传播点用作触发条件且用于触发错误传播，将构件之间的错误传播转换为源错误状态位置到迁移的弧和迁移到源错误状态位置的弧，接着，添加一个位置，将目标构件内的错误传播转换为从源错误状态位置到迁移的弧和从迁移到所添加的位置的弧，并以新添加的位置作为目标构件内错误传播的新的源错误状态位置。所述的错误变迁或错误传播的触发条件是逻辑组合时，先根据步骤二中的步骤8转换逻辑组合，再转换错误变迁或错误传播；步骤c：对于复合错误行为，先将子构件错误状态的逻辑组合按照步骤二中的步骤8进行转换得到瞬时迁移，然后将复合错误行为转换为从瞬时迁移到目标错误状态的弧；其中，若目标错误状态是可操作状态，瞬时迁移的使能函数设置为：可操作状态上的标识数小于1，若目标错误状态是失效状态，瞬时迁移的使能函数设置为：除可操作状态之外的所有状态上的标识总数小于1；将从可操作状态到失效状态的变迁，转换为从可操作状态位置到瞬时迁移的弧，此瞬时迁移是通过转换目标错误状态是失效状态的复合错误行为得到的，弧上的弧权函数设置为：可操作状态位置上的所有标识；对于从失效状态到可操作状态的变迁，添加一个瞬时迁移，将变迁转换为从失效状态位置到新添加的瞬时迁移的弧和从新添加的瞬时迁移到可操作状态的弧，这个新添加的瞬时迁移的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，具体为：如果为带有逻辑原语“或者多于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于逻辑原语组合中给定的数值；如果为带有逻辑原语“或者少于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和小于等于逻辑原语组合中给定的数值；如果为与逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和等于子构件错误状态总数；如果为或逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于1。步骤d：将从危险源到触发器再到危险的危险传播，转换为位置到迁移的弧和迁移到位置的弧；将从危险到触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧；对于从各个危险到可操作状态的变迁，为每个危险添加一个瞬时迁移，然后，将从每个危险到其瞬时迁移再到可操作状态的变迁，转换为从每个危险位置到其瞬时迁移的弧和从瞬时迁移到可操作状态位置的弧，其中，瞬时迁移的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，具体为：如果为带有逻辑原语“或者多于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于逻辑原语组合中给定的数值；如果为带有逻辑原语“或者少于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和小于等于逻辑原语组合中给定的数值；如果为与逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和等于子构件错误状态总数；如果为或逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于1；步骤四：如果前面已经完成模型转换的构件有高一层次构件，那么重复步骤三；否则，此时已经完成了所有的模型转换，得到一个与AADL安全性模型对应的完整的DSPN模型；步骤五：按照P{#hazard>＝1}生成危险的概率公式，并将其加入到DSPN模型文件中，得到最终的DSPN模型；其中，P代表概率，hazard表示危险的名字，#hazard表示危险对应的位置中拥有的标识数量；步骤六：利用计算工具TimeNET对最终的DSPN模型进行仿真计算，得到每个危险的发生概率；步骤七：根据严酷度等级为AADL安全性模型中的危险进行赋值，得到每个危险的严酷度值，其中，严酷度值与严酷度等级一一对应，严酷度等级越高，其严酷度值越高，严酷度值的取值范围为[0,1]；步骤八：将危险的发生概率和严酷度值的乘积作为危险发生的风险，并按照风险值由大到小进行排序，风险值越高的危险对应的构件，安全性越低。