一种适用于航电系统的安全需求建模方法
【专利摘要】本发明公开了一种适用于航电系统的安全需求建模方法,该方法通过对航空嵌入式系统的安全性相关的概念和约束进行分析提取,并将提取的概念和约束与RUCM中的基本概念相结合,实现对UCMeta的扩展从而建立安全性相关的领域模型;通过对建立的领域模型进行分析,确定出航空嵌入式系统安全需求的描述模板使其在准确描述功能需求的同时又捕获安全性相关的非功能约束。本发明方法是一种半形式化的安全性需求描述方法,在RUCM的基础上增加安全性需求的描述模板和相应的限制规则,用于完整的、准确的对安全性需求进行描述,并支持一定程度的自动化验证。
【专利说明】—种适用于航电系统的安全需求建模方法
【技术领域】
[0001]本发明涉及一种需求建模的方法,更特别地说,是指一种适用于航电系统的安全需求建模方法。
【背景技术】
[0002]软件安全性(software safety)是关于软件所控制的系统始终处于不危及人的生命财产和生态环境的安全状态的一种性质。尤其是对于航空航天等需要高安全性的嵌入式实时软件而言,随着系统中软件所占比重的逐步增大,软件失效可能引起的后果也越来越严重。为保证系统的安全性,需要在需求分析阶段对系统的安全性进行描述和分析。
[0003]需求建模是软件需求工程中的一项重要的活动,需求工程师通过采用不同的建模方法识别、理解、挖掘需求提供者对系统的期望,从而构建软件系统的结构模型,行为模型,或者其他各种对展示待开发软件的不同特性的模型。建模方法在这个活动中占了重要的作用,采用不同的建模方法意味着从不同的视角去看待软件问题,如何从对整体系统的期望中推导出对软件系统本身的期望,去展示软件系统如何行为并在软件加强型系统中如何起到它的作用。参见2008年7月第一版《软件需求工程:原理与方法》第50页,金芝等编著。
[0004]在目前的需求建模方法中,主要使用的描述手段和技术是自然语言、图形符号语言和形式语言等。从实用性角度来划分有:结构化的需求建模方法和面向对象的需求建模方法。
[0005]面向对象方法的技术路线包括有需求工程、软件设计和软件实现;其中,需求工程有需求获取和需求分析。面向对象方法首先从需求的源头(主要是用户)进行需求的获取,组织需求信息的用户描述,建立用例模型。在得到用户需求的完整、准确理解之后,面向对象方法就开始考虑软件的实现机制,进行软件设计。2009年4月第I版《需求工程一软件建模与分析》第315页,骆斌主编。
[0006]综合模块化航空电子系统(Integrated Modular Architecture, IMA,简称航电系统)的软件包括操作系统、应用程序、数据库、网络、人机界面等应遵循统一的系列标准、规范研制开发,软件的可重用、标准化、智能化、可移植性、质量、可靠性等都应列入表征软件技术的特征参数之中。
【发明内容】
[0007]为了使所需构建的航电系统软件具有较高的安全性需求,本发明提供一种适用于航电系统的安全需求建模方法。本发明的建模方法应用RUCM中的用例元模型UCMeta对参与者Actor和用例Use Case进行安全扩展,实现所需构建的航电系统软件的需求建模的描述;引述DO - 178B标准与现有航电系统软件进行安全缺陷识别;通过本发明设计的安全需求模型能够为航电系统的软件设计提供完整无二义的需求描述。
[0008]本发明的一种适用于航电系统的安全需求建模方法,具体地有下列步骤:
[0009]步骤一:建立安全需求的领域概念模型;[0010]依据RTCA/DO - 178B标准对现有航电系统软件进行安全识别创建得到领域概念模型;
[0011]步骤二:构建基于UCMeta元模型的航电系统的图形扩展;该航电系统的图形扩展是依据步骤一得到的安全需求的领域概念模型对UCMeta元模型进行扩展而得到;
[0012]步骤三:构建基于RUCM描述模板的航电系统安全需求模板;该航电系统安全需求模板是在RUCM描述模板上进行添加相关项得到。
[0013]在本发明中步骤二中,将领域概念模型转换为UML Profile,对RUCM的元模型UCMeta中进行安全扩展;在Actor中进行细化,对Use Case进行安全性扩展建立SafetyUse Case ;分析领域概念模型,确定出安全需求的描述模板以及限制规则和关键字的使用;扩展RUCM描述模板进行安全需求描述,添加10条安全描述规则和若干关键字以保证RUCM的描述完整、准确、无二义性;扩展后的UCMeta创建支持安全需求描述的Use CaseDiagram,同时用户通过每一个Use Case都进行了完整准确的功能描述和安全需求描述。
[0014]本发明安全需求建模方法的优点在于:
[0015]①本发明针对高安全性的航空嵌入式系统,对安全标准D0-178B进行了深入学习并创建了相应的安全模型,从而可以在软件需求阶段对安全需求进行建模。
[0016]②本发明针对航空嵌入式系统的安全需求建模,扩展了标准RUCM的UCMeta。UCMeta是RUCM方法的元模型,它是使用MOF (Meta Object Facility)定义的。通过领域分析对UML标准Use Case Diagram中的模型兀素Actor和Use Case进行细化和安全扩展从而可以支持进行图形化的安全需求建模。
[0017]③本发明针对航空嵌入式系统的安全需求建模,扩展了标准RUCM的需求描述模板及其限制规则。通过扩展RUCM的需求描述模板可以支持在软件需求建模阶段对安全相关的故障处理进行描述,并通过限制规则的扩展使得安全需求的描述完整、准确、无二义性。
【专利附图】
【附图说明】
[0018]图1是常规面向对象方法的技术路线图。
[0019]图2为本发明适用范围内的领域概念模型图。
[0020]图3为本发明所述的RUCM的UCMeta包图。
[0021]图4为本发明所述的UCSTemplate包图。
[0022]图5为本发明所述的Actor细化模型图。
[0023]图6为本发明所述的Use Case扩展模型图。
[0024]图7为本发明所述的Use Case与Actor或资源之间的数据交换图。
[0025]图8为本发明所述的失效模型图。
[0026]图9为本发明所述的失效处理分析模型图。
[0027]图10为本发明所述的失效处理语句模型图。
[0028]图11为Use case template需求的各栏信息示意图。
【具体实施方式】
[0029]下面将结合附图和实施例对本发明做进一步的详细说明。[0030]参见图1所示,图1中的“用例模型”就是本发明申请中需要建模得到的安全需求模型。
[0031]本发明的一种适用于航电系统的安全需求建模方法,具体包括有下列步骤:
[0032]步骤一:建立安全需求的领域概念模型
[0033]依据RTCA/D0 — 178B标准对现有航电系统软件进行安全识别创建得到领域概念模型。
[0034]RTCA/D0 — 178B 标准的全称是 Royal Technical Commi si on on AviationD0-178B。
[0035]安全需求是由安全级别的要求和安全功能的要求两个部分组成的。安全级别的要求主要为安全隔离措施,即不同安全等级的软件需要给予不同程度的关注;安全功能的要求主要包括对系统中引发危害状态的失效进行识别,降低其进入不安全状态的概率和削弱其危咅后果。
[0036]危害(Hazard)指由功能失效或外部事件等造成的系统潜在的不安全状态,DO 一178B标准中对危害的级别进行了划分,表明其对系统的影响,这些类别分别是:灾难性的、危险的/严重的、较重的、较轻的、无影响的;相应的对安全关键软件定义其安全级别,根据其引发的危害的严重程度进行划分,同样分为5个级别。
[0037]表1:软件安全级别
[0038]
【权利要求】
1.一种适用于航电系统的安全需求建模方法,其特征在于包括有下列步骤: 步骤一:建立安全需求的领域概念模型; 依据RTCA/DO - 178B标准对现有航电系统软件进行安全识别创建得到领域概念模型; 步骤二:构建基于UCMeta元模型的航电系统的图形扩展;该航电系统的图形扩展是依据步骤一得到的安全需求的领域概念模型对UCMeta元模型进行扩展而得到; 步骤三:构建基于RUCM描述模板的航电系统安全需求模板;该航电系统安全需求模板是在RUCM描述模板上进行添加相关项得到。
2.根据权利要求1所述的适用于航电系统的安全需求建模方法,其特征在于:在步骤二中,将领域概念模型转换为UML Profile,对RUCM的元模型UCMeta中进行安全扩展;在Actor中进行细化,对Use Case进行安全性扩展建立Safety Use Case ;分析领域概念模型,确定出安全需求的描述模板以及限制规则和关键字的使用;扩展RUCM描述模板进行安全需求描述,添加10条安全描述规则和若干关键字以保证RUCM的描述完整、准确、无二义性;扩展后的UCMeta创建支持安全需求描述的Use Case Diagram,同时用户通过每一个Use Case都进行了完整准确的功能描述和安全需求描述。
3.根据权利要求2所述的适用于航电系统的安全需求建模方法,其特征在于:在Actor中进行细化的步骤有: 步骤301:根据嵌入式实时系统的特点对Actor进行扩展,将Actor划分为四种类型:Timer、Human Actor、External Instrument 和 External System ;· 步骤302:在嵌入式实时系统中包含很多周期性的任务,而Timer则用来触发一个周期性的动作,其属性duration表示该周期的时间长度。其值的类型NFD_Duration包括时间的单位和时间值;Human Actor表示使用触发其相关用例的用户; 步骤303:External Instrument表示和用例进行数据交换的外部设备,例如传感器、信号接收器等;其属性direction和signal分别表示数据传输方向和信号类型; 步骤304:External System表示和用例进行交互的外部用例、子系统或者系统; 步骤 305:External Instrument 和 External System 均定义了安全级别。
4.根据权利要求2所述的适用于航电系统的安全需求建模方法,其特征在于:所述的Use Case细化步骤有: 步骤401:Safety Use Case继承自Use Case ;将Safety Use Case定义为实现一定安全功能的用例,而安全功能则表示对系统或其组成部分的失效进行识别和处理的功能,因此,每一个Safety Use Case须关联到一个或多个失效的识别和处理; 步骤402:依据D0-178B标准中对安全级别进行定义和划分,Safety Use Case的安全性级别分为五个等级Ievel-A到level-E,分别对应灾难性的、危险的/严重的、较重的、较轻的、无影响的。
5.根据权利要求2所述的适用于航电系统的安全需求建模方法,其特征在于:所述的安全描述规则为: Rl:当用例的执行者的类型为ExternalSystem或者ExternalInstrument时,ExternalSystem和ExternalInstrument的安全级别应不小于用例的安全级别。 R2:当用例访问某一资源时,该资源的安全级别应不小于用例的安全级别。R3:用关键字COLLECT INPUT FROi^PDELIEVR OUTPUT TO表示从其他用例或外部设备收集或发送数据,用关键字VIA表示数据通讯时使用的通讯介质。 R4:使用关键字AND表示多个失效共同引发一个危害。 R5:使用关键字>、〈、=、IN表示约束值的范围,并且用关键字CHECK CONSTRAINT对约束进行检查。 R6:使用关键字RECORD THE FAILURE表示记录一个失效。 R7:使用关键字RETRY FOR..TIMES表示重试操作,可定义重试的次数。 R8:使用关键字PR0P0GATE TO USE CASE表示失效的传播。 R9:当失效传播到另外一个用例进行处理时,该用例的安全级别应该不低于当前用例的安全级别。 RlO:每个失效的安全级别由其引发的最严重的危害的严重程度决定,而每个用例的安全级别由其安全级别最高的失效决定。
6.根据权利要求1所述的适用于航电系统的安全需求建模方法,其特征在于航电系统安全需求模板的完整结构为:
【文档编号】G06F17/50GK103853871SQ201310595322
【公开日】2014年6月11日 申请日期:2013年11月21日 优先权日:2013年11月21日
【发明者】吴际, 张辉辉, 李亚晖, 牛文生 申请人:北京航空航天大学, 中国航空工业集团公司西安航空计算技术研究所