基于特征配置的故障树生成方法
【技术领域】
[0001] 本发明公开了基于特征配置的故障树生成方法,涉及安全关键系统的安全性分析
技术领域。
【背景技术】
[0002] 航空、核电等安全关键系统的安全性日益受到重视。系统安全分析是系统安全工 程的核心内容,它是安全评估的基础。系统安全分析的主要目的是了解、查明系统存在的危 险,并确保系统满足规定的安全需求,同时为安全评估提供依据。系统安全分析的主要内容 是研究在部分系统组件由于故障处于非正常工作状态时的系统行为。
[0003] 故障树分析(FaultTreeAnalysis,FTA)是最常见的安全分析技术之一,它是一 个自顶向下的演绎的分析系统设计与可靠性的分析手段。故障树是一种特殊的树状逻辑关 系图,它以图形的方式表明"系统是怎样失效的"(用规定的事件、逻辑门和其他符号描述系 统中各种事件之间的因果关系)。逻辑门的输入事件是输出事件的"因",逻辑门的输出事 件是输入事件的"果"。故障树将选定的系统故障状态定义为顶事件,通过对可能造成系统 故障的各种因素进行逐层分析,揭示各元件(模块)发生故障与系统发生故障之间的逻辑 关系。割集(CutSet,CS)是故障树中一些基本事件的集合。当这些基本事件同时发生时, 顶层事件发生。如果割集中的任一底事件不发生时顶事件也不发生,则这样的割集称为最 小割集(MinimalCutSet,MCS) 〇
[0004] 故障树的生成是故障树分析的前提。传统安全分析过程中故障树通常由人工生生 成,因此故障树的质量取决于安全工程师的个人技巧与经验。这也使得故障树生成过程容 易出错同时耗费大量时间。随着系统规模和复杂程度的不断增加,传统人工的故障树生成 面对着巨大的挑战。
[0005] 近些年,利用形式化方法尤其是模型检测技术的基于模型的安全分析技术逐渐得 到工业界和学术界的关注。在基于模型的开发过程中,如仿真、验证、测试以及代码生成等 活动都在统一的有着明确语义的形式化模型上进行。这样系统开发过程与安全分析过程之 间通过统一的系统模型有了沟通的桥梁。在模型有准确语法、语义定义的基础上,可以更为 精确地描述系统需求,同时也支持进行部分自动化的分析。
[0006] 模型检测[ClarkeEM,Grumberg0,PeledD.ModelChecking[M]·Cambridge:MIT press, 1999.]作为一种成熟的自动验证技术,已被广泛用于计算机硬件、通信协议和航空 电子等领域。其基本思想是通过对系统的状态空间的穷举搜索,来判断采用时序逻辑所描 述的待验证的行为属性是否成立,并且当属性不成立时,提供反例说明。最新的故障树生成 技术是利用模型检测技术基于模型的故障树生成。比如AnjaliJoshi和SteveVestal等 [JoshiA,VestalS,BinnsP.AutomaticgenerationofstaticfaulttreesfromAADL models[C]//WorkshoponArchitectingDependableSystemsofThe37thAnnualIEEE/ IFIPInt.ConferenceonDependableSystemsandNetworks,Edinburgh,UK. 2007.]提 出了对航电系统采用AADL构建系统和故障模型,并进行安全性分析的方法。对于AADL模 型,主要用于描述航电系统的体系架构,利用AADL错误模型附件对系统故障和传播进行建 模,通过追踪对象的可能故障源来提取系统的错误模型实例,然后将其存储在有向图里,根 据有向图分析生成系统错误模型的静态故障树。但其虽然提出了采用模型检测等形式化验 证方法自动生成故障树的思想,但尚未提供工具支持。PierreBieber和CharlesCastel 等[CombinationofFaultTreeAnalysisandModelCheckingforSafetyAssessment ofComplexSystem]利用Altarica语言建立系统模型。Altarica模型以节点的形式定义 系统的构件层次。每个节点具备相应的数据流、状态、事件和迀移关系。失效行为则通过与 特定失效事件相关的迀移关系来描述。Altatica提供了对给定的顶层失效事件自动生成故 障树的方法,但主要问题是仅限于对非时序的安全属性的分析,并且无法针对顶层失效事 件计算出全部的故障组合,在对故障建模时无法描述故障层次关系和故障间的约束关系。 [0007] 软件产品线是一组在公共核心资源的基础上,按照规定的方式开发的软件密集系 统的集合。这些系统共享一组公共的、可管理的、能够满足特定的市场或者任务需求的功 能集合。在实际中软件产品线可用特征(feature)来描述,一条产品线可看作是一个有层 次关系的特征的集合。所谓特征,是指软件系统或系统中用户可见的、显著或与众不同的 方面、品质或特点。特征模型一般由树形结构图表示,称为特征图(FeatureDiagram-FD) [K.Kang,S.Cohen,J.Hess,ff.Novak,andS.Peterson.Feature-OrientedDomain Analysis(FODA)FeasibilityStudy[J].TechnicalReportCMU/SEI-90-TR-21,Software EngineeringInstitute,CarnegieMellonUniversity,November, 1990]〇图中有且仅有 一个根节点,通常表示一个领域系统;一般节点表示特征,分为可选和必选两类;边表示父 节点与子节点特征自上而下的层次分解,包括〇r-group和Xor-group两种分解模式;约束 关系通过文本的形式表示,如requires和excludes等。
【发明内容】
[0008] 本发明所要解决的技术问题是:针对传统故障树生成方法成本过高且无法应对庞 大系统规模及系统高复杂度缺陷,以及现有基于模型的故障树生成方法的不足,提供一种 利用检测基于故障特征配置的故障树生成方法。该方法将软件产品线的可变性建模引入 安全分析过程,利用特征模型作为系统故障的结构模型刻画故障的层次与约束关系。同时 通过对状态迀移的拓展提出一种故障标记迀移系统(FaultLabeledTransitionSystem, FLTS),作为系统故障行为模型。然后基于故障标记迀移系统的语义定义了利用模型检测生 成故障树的过程。最后,利用现有的软件产品线模型检测器实现了基于故障配置生成故障 树的方法。
[0009] 本发明为解决上述技术问题采用以下技术方案:
[0010] 基于故障配置的故障树生成方法,包括如下步骤(为便于理解和表述,表1中列出 了各步骤统一使用的主要数学符号及其含义):
[0011] 表1 :各步骤统一使用的主要数学符号及其含义
[0012]
[0013] 步骤1,根据目标系统的需求和初步设计等内容,确定系统层次机构和基本框架, 建立系统正常行为模型。
[0014] 步骤2,根据安全分析过程前期的功能危害分析及初步系统安全评估,确定系统各 组件可能的故障特征。对故障特征进行分析,明确故障间的约束关系。根据系统的层次结 构、故障与组件的关系以及故障间的约束,建立故障特征模型,规定系统的合法故障配置。
[0015] 步骤3,根据系统正常行为模型,明确故障事件对系统正常行为的影响,在系统正 常行为模型中注入故障行为,使用故障标记迀移系统描述包含故障行为的拓展系统模型。
[0016] 步骤4,使用线性时序逻辑(LinearTemporalLogic,LTL)对系统安全需求进行形 式化的描述。
[0017] 步骤5,以步骤2的故障特征模型、步骤3得到的拓展系统模型及步骤4使用线性 时序逻辑描述的系统需求作为输入,利用模型检测器对系统模型进行验证。
[0018] 步骤6,对步