系统安全性评估方法和装置与流程

本发明涉及系统安全性研究领域，特别是涉及一种系统安全性评估方法和装置。

背景技术：

随着科学技术的进步与发展，大型飞机、舰船等装备逐步向着信息化、自动化、智能化发展，表现出结构高度集成化、系统组成软件化、系统功能多样化的特点。大型飞机、舰船等装备的系统功能的软件化，一方面，对装备向小型化、综合化、功能多样化发展具有重要的促进作用；另一方面，也带来一些不利的影响，随着硬件可靠性水平的提高，软件故障对系统可靠性、安全性的影响越来越显著。通过对近年来某试验靶场完成的几型导弹武器或火控系统定型/鉴定试验中出现的故障进行统计，出现的16次故障中11次是软件故障。同时，由于大型飞机、舰船等装备的高度集成化、软硬件综合化、功能多样化，同一套设备具有多项功能，在同一时刻可能参与到多个任务当中，在实际使用中一旦出现问题，将同时丧失多项功能，影响多个任务的执行。特别是在作战任务执行过程中，将存在重大的隐患，使用方需要承担巨大的风险。因此，对这种软硬件结合、多任务系统进行安全性分析，认识安全性风险，进而采取措施消除风险，对提高任务成功率、降低使用风险具有重要作用。

在进行系统可靠性、安全性分析时，一种常用安全性分析评价方法是组合使用FHA(Functional Hazard Analysis，功能危险性分析)、FTA(Fault TreeAnalysis，故障树分析方法)、FMEA(Failure Mode and Effects Analysis，故障模式和影响分析)以及CCA(Common Cause Analysis，共因分析)。FTA是一种演绎性的可靠性分析方法，关注于一个特定的不希望事件，并提供确定引起该事件发生原因的一种方法。FMEA是一种识别系统、组件、功能或单个零部件失效模式并确定其对更高层次设计所产生影响的系统性方法，形成的结果可汇总形成系统各层级失效模式和影响。CCA是用于分析系统功能、系统部件、故障影响之间的独立性，对故障树分析中各层级逻辑门下的事件是否成立进行判断，识别出导致灾难性或危险失效状态的单一失效模式或外部事件。通过以上方法的综合使用，可以得到一个完整准确描述系统安全性的系统树和系统树中各事件的发生概率，根据各个不希望发生事件发生后产生的影响，可以计算得到系统的安全性风险，完成系统安全性评估。

以FTA为主要方法，辅以FHA、FMEA和CCA等方法，对软硬件结合多任务系统进行可靠性、安全性分析评估时，存在难以考虑不同任务剖面对系统安全性的影响，缺少软硬件结合系统安全性评估模型的问题。

技术实现要素：

基于此，有必要针对现有技术对软硬件结合多任务系统进行可靠性、安全性分析评估时，存在难以考虑不同任务剖面对系统安全性的影响，缺少软硬件结合系统安全性评估模型的问题，提供一种可以考虑不同任务剖面对系统安全性的影响，具有软硬件结合系统安全性评估模型的系统安全性评估方法和装置。

一种系统安全性评估方法，包括：

获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块；

分析系统的基础信息，建立系统任务、系统功能和系统软硬件模块的关联关系模型；

根据对系统的基础信息中系统任务的分析，建立系统的任务剖面；

获取系统软硬件模块的故障以及对故障的修复规律；

根据系统软硬件模块的故障以及对故障的修复规律，建立系统的故障逻辑关系模型；

根据任务剖面、关联关系模型以及故障逻辑关系模型，构建系统的仿真模型；

通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数；

根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，得到系统的安全性评估结果。

一种系统安全性评估装置，包括：

基础信息获取模块，用于获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块；

关联关系模型建立模块，用于分析系统的基础信息，建立系统任务、所述系统功能和所述系统软硬件模块的关联关系模型；

任务剖面建立模块，用于根据对系统的基础信息中系统任务的分析，建立系统的任务剖面；

系统软硬件模块分析模块，用于获取系统软硬件模块的故障以及对故障的修复规律；

故障逻辑关系模型建立模块，用于根据系统软硬件模块的故障以及对故障的修复规律，建立系统的故障逻辑关系模型；

系统仿真模型建立模块，用于根据任务剖面、关联关系模型以及故障逻辑关系模型，构建所述系统的仿真模型；

系统仿真模型运行模块，用于通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数；

系统安全性评估模块，用于根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，得到系统的安全性评估结果。

上述系统安全性评估方法和系统安全性评估装置，首先获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块；分析系统的基础信息，建立系统任务、系统功能和系统软硬件模块的关联关系模型；再根据对系统任务的分析，建立系统的任务剖面；获取系统软硬件模块的故障以及对故障的修复规律，根据系统软硬件模块的故障和对故障的修复规律，建立系统的故障逻辑关系模型；然后基于任务剖面和关联关系模型，根据故障逻辑关系模型，构建系统的仿真模型；通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数；最后根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，进而得到系统的安全性。这样可有效进行具有软硬件结合多任务特点的大型复杂系统(例如航空电子系统、舰船装备系统和飞船与空间站对接系统)的可靠性和安全性分析，解决大型复杂系统的任务、功能和软硬件的关联关系建模、软硬件故障逻辑关系建模的问题，并且可为具有软硬件结合、多任务特性的大型复杂系统安全性评估提供参考。

附图说明

图1为一个实施例中系统安全性评估方法的流程示意图；

图2为一个实施例中系统安全性评估方法中映射关系的示意图；

图3为一个实施例中系统安全性评估方法中任务剖面的示意图；

图4为一个实施例中系统安全性评估方法中系统仿真流程的示意图；

图5为一个实施例中系统安全性评估装置的结构示意图。

具体实施方式

随着软件技术的快速发展，系统软件已经成为大型复杂系统(例如航空电子系统、舰船装备系统和飞船与空间站对接系统)不可或缺的一部分，同时由于系统综合了集成化和功能多样化，整个系统任务表现出多样化的特点。目前关于系统可靠性及安全性的分析将系统软件和系统硬件分开独立开展，不能反应系统真实水平，而且由于缺乏有效的可靠性及安全性建模与定量分析评价，导致软硬件结合多任务大型复杂系统的安全性定量评估工作，特别在是考虑维修性和备件保障条件下的定量评估工作，无法有效的开展。

在一个实施例中，如图1所示，一种系统安全性评估方法，包括：

步骤S100，获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块。

系统是由相互作用、相互依赖的若干组成部分结合而成的具有特定功能的有机整体，可以是各种类型的大型复杂系统或简单系统，具体的，系统可以是大型飞机、舰船等装备的系统。由于大型飞机、舰船等装备具有高度集成化、软硬件综合化和功能多样化等特点，系统具有多项功能，在同一时刻可能参与到多个任务当中，在实际使用中一旦出现问题，将同时丧失多项功能，影响多个任务的执行。围绕着以系统故障事件发生概率、事件发生后造成的损失为主要内容的系统安全性定量评估工作对于把握安全性风险，进而采取措施消除风险、提高任务成功率、降低使用风险具有重要作用。

步骤S200，分析系统的基础信息，建立系统任务、系统功能和系统软硬件模块的关联关系模型。

进一步地，步骤S200可以包括：

步骤一：分析系统的基础信息，得到系统任务时间、单项系统任务执行时间、单项系统任务失败的损失以及系统软硬件模块的备份数量。

将系统的基础信息罗列出来，可以整理成如表1所示的表格，表格中的MTBF(Mean Time Between Failure，平均故障间隔时间)是衡量可靠性指标，单位为小时，它反映了产品的时间质量，是体现产品在规定时间内保持功能的一种能力，具体来说，是指相邻两次故障之间的平均工作时间，也称为平均故障间隔；MTTR(Mean Time To Repair，平均修复时间)是随机变量恢复时间的期望值，它包括确认失效发生所必需的时间以及维护所需要的时间。系统任务时间，记为T₀；单项任务执行时间，记为T＝{T₁,T₂,…,T_m}，T_i≤T₀；各项任务失败的损失，记为L＝{L₁,L₂,…,L_m}。

表1系统的基础信息

步骤二：根据对系统的基础信息的分析，确定系统任务与系统功能以及系统功能与系统软硬件模块之间的映射关系。

具体的，可以将系统分为任务层、功能层和软硬件模块层，将系统任务，记为S＝{s₁,s₂,…,s_m}；系统功能，记为F＝{f₁,f₂,…,f_n}；系统软硬件模块，记为G＝{_g1,g2,…,gj}；各系统软硬件模块备份数量，记为K＝{k₁,k₂,…,k_j}，k_i≥0。如图2所示，任务层中的系统任务s₁与功能层中的功能f₁、f₂和f₃具有映射关系，而功能f₁与模块层中的模块g₁和g₃具有映射关系，功能f2与模块层中的模块g₂和g₅具有映射关系，功能f₃与模块层中的模块g₄具有映射关系，如此建立整个系统的系统任务与系统功能以及系统功能与系统软硬件模块之间的映射关系。

步骤三：根据系统任务与系统功能以及系统功能与系统软硬件模块之间的映射关系，建立系统任务、系统功能和系统软硬件模块的关联关系模型。

系统任务与系统功能以及系统功能与系统软硬件模块之间的映射关系可以转换为数学模型，表示为：

f_i＝ξ(G_i)

F＝F₁∪F₂∪…∪F_m

G＝{G₁,G₂,…,G_n}

其中，φ()和ξ()是两个表征串联关系的函数，由于在系统任务执行过程中，某一时刻，每一个模块对该时刻工作的功能的实现都是必须的，每一个功能对相应的系统任务的完成也是必不可少的，所以对每一个任务来说，都是不同模块构成的串联系统。由图2可知F₁＝{f₁,f₂,f₃}，G₁＝{g₁(k₁),g₃(k₃)}，gi(ki)表示g_i有k_i个备份模块，即该模块共有k_i+1个，为了简化分析，这里假设所有的备份都是热贮备。

步骤S300，根据对系统的基础信息中系统任务的分析，建立系统的任务剖面。

根据对系统任务执行流程的分析，建立系统任务剖面，包括每项任务的执行时间(T_i)、每项任务执行阶段划分及持续时间(T_i1、T_i2、…)、各个阶段相关的系统功能，通过该分析可以得到系统任务的任务剖面示意图如图3所示，其中，

步骤S400，获取系统软硬件模块的故障以及对故障的修复规律。

根据系统的历史数据得到系统软硬件模块的故障以及对故障的修复规律，即在系统以往运行中出现的具体的软件故障和硬件故障以及对该故障的修复，比如系统硬件的完全维修或系统软件的可靠性增长维修，假设系统软硬件模块故障后都是可修复的，则各个软硬件模块的备份数量会随着故障和修复事件的发生而变化，假设硬件进行的是完全修复，即修复后故障率与初始时刻相同。考虑到软件在发生故障后，进行缺陷移除，软件模块的可靠性会有所变化，假设软件缺陷移除不会引入新的缺陷，为了简化分析，这里引入软件可靠性增长因子α，该因子的取值与软件模块的修复次数成负指数关系，即

α＝e^-x

其中，x是软件故障修复次数，假设软件模块的初始故障率为λ，则进行x次修复后的失效率为λe^-x。

步骤S500，根据系统软硬件模块的故障以及对故障的修复规律，建立系统的故障逻辑关系模型。

进一步地，步骤S500可以包括：

步骤一：获取系统软硬件模块的故障与系统任务的成功执行之间的关系。

系统软硬件模块j发生故障时，考虑模块有对应的备份，与之相应的系统任务m能否成功执行以及系统总任务能否成功执行。

步骤二：根据系统软硬件模块的故障、对故障的修复规律以及系统软硬件模块的故障与系统任务的成功执行之间的关系，建立系统的故障逻辑关系模型。

步骤S600，根据任务剖面、关联关系模型以及故障逻辑关系模型，构建系统的仿真模型。

根据系统的任务剖面、关联关系模型以及故障逻辑关系模型，构建系统的仿真模型，采用抽样方法，模拟系统任务执行过程中的失效和修复事件。

步骤S700，通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数。

进一步地，步骤S700可以包括：

步骤一：初始化所述系统的仿真模型的仿真参数。

如图4(A)系统仿真流程所示，设定仿真总次数，假设为N；用B＝{b₁，b₂，……，b_m}分别表示任务m在仿真中成功执行次数，初始时刻都为0；用A＝{a₁，a₂，……，a_j}分别表示软硬件模块j在一个循环仿真中被修复的次数，用于更新模块的失效率，每一个循环的初始时刻都为0；用Q＝{q₁，q₂，……，q_m}表示每一个循环中每一个任务的当前状态，每一个循环的初始时刻设为1，表示该任务正常执行。

步骤二：监控每项系统任务的状态以及各自相关联的系统软硬件模块的失效状况，并对每项系统任务的状态以及各自相关联的系统软硬件模块的失效状况进行当前时刻的离散仿真判断与记录。

如图4(B)系统仿真流程中的子流程所示，对每一个任务分别根据与该任务相关的系统软硬件模块G_i的失效率分布函数，通过抽样生成随机数，判断与该任务相关的模块是否有失效的，如果没有失效，则认为该任务在该时刻可以成功执行；如果有1个及以上模块发生失效，记录对应的失效模块。判断失效模块是否有备份，如果没有备份模块，则认为该任务在这个循环中无法成功执行，将该任务的状态标志q_i设为0；如果有备份，则启用备份模块，该模块的备份数量减1。按照以上规则遍历系统中m个任务进行判断和记录。由于存在同一个模块参与多个任务的多功能模块，所以在同一个时刻对于多功能模块只进行一次抽样判断，比如第4个模块是一个多功能模块，如果第1个任务中判断出第4个模块故障，则同一时刻的后续任务就不再抽样判断，如果第4个模块故障且无备份可用，则认为本次循环中与该模块相关的任务都无法成功执行。

步骤三：确定单次离散仿真过程中各个时刻每项系统任务的状态以及各自相关联的系统软硬件模块的失效状况。

假设t为记录离散仿真时间的变量，从t＝1开始执行，每一个时刻按照步骤二来执行，然后根据记录的故障模块修复率函数进行抽样，判断该时刻能否被修复，如果能修复，则该模块的备份数量加1，同时记录该模块在该次循环中的修复次数；如果不能修复，则继续将其记录在故障模块当中。对于硬件模块来说，修复后失效率和初始时刻相同；对于软件模块来说，修复后，按照步骤二中更新公式，根据修复次数将其失效率更新。如果到该任务执行时间结束，对应的状态标志都没有被修改为0，则认为该任务在本次循环中成功执行，对应任务的成功执行次数加1。在整个循环执行过程中，实时更新每个任务的状态标志Q、模块备份数量K和每个模块被修复次数A。由于每个任务的执行时间不一致，所以整个循环过程中，对不同的任务只需要在其任务时间内进行统计即可。

步骤四：计数完成预设次数的循环离散仿真时所述每项系统任务成功执行的次数。

设n为记录循环执行次数的变量，从n＝1开始执行，每一个循环按照步骤三来执行，记录每一个循环中单项任务成功执行的次数，完成设定次数的仿真后，统计得到每一个任务成功执行的次数B＝{b₁，b₂，……，b_m}。

步骤S800，根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，得到系统的安全性评估结果。

进一步地，步骤S800可以包括：

步骤一：根据每项系统任务成功执行的次数和仿真次数，计算出每项系统任务的成功率。

根据仿真得到的单个任务的成功执行次数和仿真次数，利用以下公式可以计算出第i个任务的任务成功率。

步骤二：根据对系统任务的分析，得到每项系统任务的执行时间T_i、每项系统任务失败的损失L_i以及每项任务的加权系数W_i。

步骤三：根据每项系统任务的成功率以及每项系统任务失败的损失，计算出每项系统任务的安全性评估结果。

根据每项系统任务的成功率以及每项任务失败的损失，利用以下公式可以得到每项任务的安全性结果。

步骤四：根据每项系统任务的执行时间、每项任务的加权系数以及每项系统任务的安全性评估结果进行加权求和，得到系统的安全性评估结果。

根据各个任务的任务时间和各个任务的重要性确定各个任务的加权系统Wi，利用下式可以计算出整个系统的安全性评估结果。

其中，各项任务的加权系数W＝{W₁,W₂,……，W_m}，W₁+W₂+...+W_m＝1。

上述系统安全性评估方法，首先获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块；分析系统的基础信息，建立系统任务、系统功能和系统软硬件模块的关联关系模型；再根据对系统任务的分析，建立系统的任务剖面；获取系统软硬件模块的故障以及对故障的修复规律，根据系统软硬件模块的故障和对故障的修复规律，建立系统的故障逻辑关系模型；然后基于任务剖面和关联关系模型，根据故障逻辑关系模型，构建系统的仿真模型；通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数；最后根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，进而得到系统的安全性。这样可有效进行具有软硬件结合多任务特点的大型复杂系统(例如航空电子系统、舰船装备系统和飞船与空间站对接系统)的可靠性和安全性分析，解决大型复杂系统的任务、功能和软硬件的关联关系建模、软硬件故障逻辑关系建模的问题，并且可为具有软硬件结合、多任务特性的大型复杂系统安全性评估提供参考。

在一个实施例中，如图5所示，一种系统安全性评估装置，包括：

基础信息获取模块100，用于获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块；

关联关系模型建立模块200，用于分析系统的基础信息，建立系统任务、系统功能和系统软硬件模块的关联关系模型；

任务剖面建立模块300，用于根据对系统的基础信息中系统任务的分析，建立系统的任务剖面；

系统软硬件分析模块400，用于获取系统软硬件模块的故障以及对故障的修复规律；

故障逻辑关系模型建立模块500，用于根据系统软硬件模块的故障以及对故障的修复规律，建立系统的故障逻辑关系模型；

系统仿真模型建立模块600，用于根据任务剖面、关联关系模型以及故障逻辑关系模型，构建系统的仿真模型；

系统仿真模型运行模块700，用于通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数；

系统安全性评估模块800，用于根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，得到系统的安全性评估结果。

在一个实施例中，系统安全性评估装置中的关联关系模型建立模块包括：

系统基础信息分析单元，用于分析系统的基础信息，得到系统任务时间、单项系统任务执行时间、单项系统任务失败的损失以及系统软硬件模块的备份数量；

映射关系确定单元，用于根据对系统的基础信息的分析，确定系统任务与系统功能、系统功能与系统软硬件模块之间的映射关系；

关联关系确定单元，用于根据系统任务与系统功能、系统功能与系统软硬件模块之间的映射关系，建立系统任务、系统功能和系统软硬件模块的关联关系模型。

在一个实施例中，系统安全性评估装置中的故障逻辑关系模型建立模块包括：

故障分析单元，用于获取系统软硬件模块的故障与系统任务的成功执行之间的关系；

故障逻辑关系确定单元，用于根据系统软硬件模块的故障、对故障的修复规律以及系统软硬件模块的故障与系统任务的成功执行之间的关系，建立系统的故障逻辑关系模型。

在一个实施例中，系统安全性评估装置中的系统仿真模型运行模块包括：

初始化单元，用于初始化系统的仿真模型的仿真参数；

当前时刻状态监测单元，用于监控每项系统任务的状态以及各自相关联的系统软硬件模块的失效状况，并对每项系统任务的状态以及各自相关联的系统软硬件模块的失效状况进行当前时刻的离散仿真判断与记录；

仿真时间状态监测单元，用于确定单次离散仿真过程中各个时刻每项系统任务的状态以及各自相关联的系统软硬件模块的失效状况；

循环执行单元，用于计数完成预设次数的循环离散仿真时每项系统任务成功执行的次数。

在一个实施例中，系统安全性评估装置中的系统安全性评估模块包括：

每项系统任务成功率计算单元，用于根据每项系统任务成功执行的次数和仿真次数，计算出每项系统任务的成功率；

每项系统任务信息获取单元，用于根据对系统任务的分析，得到每项系统任务失败的损失、每项系统任务的执行时间以及每项任务的加权系数；

每项系统任务安全性计算单元，用于根据每项系统任务的成功率以及每项系统任务失败的损失，计算出每项系统任务的安全性评估结果；

系统安全性评估单元，用于根据每项系统任务的执行时间、每项任务的加权系数以每项系统任务的安全性评估结果进行加权求和，得到系统的安全性评估结果。

上述系统安全性评估装置，首先获取系统的基础信息，系统的基础信息包括系统任务、系统功能和系统软硬件模块；分析系统的基础信息，建立系统任务、系统功能和系统软硬件模块的关联关系模型；再根据对系统任务的分析，建立系统的任务剖面；获取系统软硬件模块的故障以及对故障的修复规律，根据系统软硬件模块的故障和对故障的修复规律，建立系统的故障逻辑关系模型；然后基于任务剖面和关联关系模型，根据故障逻辑关系模型，构建系统的仿真模型；通过系统的仿真模型进行预设次数的仿真，得到每项系统任务成功执行的次数；最后根据每项系统任务成功执行的次数和仿真次数，计算每项系统任务成功率，进而得到系统的安全性。这样可有效进行具有软硬件结合多任务特点的大型复杂系统(例如航空电子系统、舰船装备系统和飞船与空间站对接系统)的可靠性和安全性分析，解决大型复杂系统的任务、功能和软硬件的关联关系建模、软硬件故障逻辑关系建模的问题，并且可为具有软硬件结合、多任务特性的大型复杂系统安全性评估提供参考。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。