本发明专利技术公开了一种步骤一:建立系统安全性设计AltaRica模型;步骤二:定义AltaRica模型到Promela模型间模型转换的规则;得到AltaRica模型转换之后的Promela模型;步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;步骤四:利用模型检测器对系统模型进行安全性验证;步骤五:得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。本发明专利技术有效地解决模型转换问题,完成了模型检测工具SPIN对AltaRica的操作。本发明专利技术是一种针对系统安全性分析的新思路,使得转换规则定义的更精确。
【技术实现步骤摘要】
本专利技术涉及一种系统安全性设计验证方法,具体涉及一种面向AltaRica模型的系统安全性设计验证方法。本专利技术属于安全关键系统的形式化验证分析领域。
技术介绍
航空、核电等安全关键系统的安全性日益受到重视。系统安全性分析是系统安全工程的核心内容,也是安全评估的基础。系统安全性分析的主要目的是了解、查明系统存在的危险,并确保系统满足规定的安全需求,同时为安全性评估提供依据。系统安全分析的主要内容是研究在部分系统组件由于故障处于非正常工作状态时的系统行为。近些年,利用形式化方法尤其是模型检测技术的基于模型的安全分析技术逐渐得到工业界和学术界的关注。在基于模型的开发过程中,如仿真、验证、测试以及代码生成等活动都在统一的有着明确语义的形式化模型上进行。这样系统开发过程与安全分析过程之间通过统一的系统模型有了沟通的桥梁。在模型有准确语法、语义定义的基础上,可以更为精确地描述系统需求,同时也支持进行部分自动化的分析。模型检测[Clarke EM,Grumberg O,Peled D.Model Checking[M].Cambridge:MIT press,1999.]作为一种成熟的自动验证技术,已被广泛用于计算机硬件、通信协议和航空电子等领域。它比演绎的证明方法使用起来更加简单和方便。其基本思想是:使用有限状态自动机来描述系统模型,同时采用时序逻辑或者计算树逻辑对系统属性进行规约,通过对系统所有的状态空间进行穷举搜索来检验该模型是否符合属性规约,并且当属性不成立时,提供反例路径。比较成熟的验证工具主要包括:支持CTL和LTL时序规约公式验证的SMV[McMillan K L.Symbolic model checking[M].NewYork:Springer US,1993.];支持异步进程设计和验证以及LTL时序规约验证的SPIN[Holzmann G J.The model checker SPIN[J].IEEE Transactions on software engineering,1997.]等。系统安全性需求和系统功能设计之间如果没有一个统一的模型将两者结合起来,由此可能导致系统设计模型并不能完整的反应系统的安全性需求,基于该设计模型的系统安全性分析也不完整。法国工业界和学术界针对系统的安全性评估联合开发了AltaRica建模语言,AltaRica是一个以卫式转换系统(Guarded Transition System,GTS)的语义为基础进行系统安全行为建模与分析的语言,并已在达索航空和猎鹰运载火箭等航空电子设备系统安全性分析和评估上得到应用,并取得了很好的效果,实际上AltaRica模型已成为欧洲工业界基于模型的安全性评估领域的工业标准。AltaRica也是一种结合系统安全性行为和功能行为的建模语言,AltaRica语言对系统功能建模的同时考虑系统在实现功能时可能引发的安全性问题。对于形成的AltaRica模型不仅可以对系统的功能进行分析,还可以针对系统安全性需求进行验证。目前,AltaRica已经在基于模型的安全性评估国际研讨会(International Symposium on Model-Based Safety and Assessment,IMBSA)上引起了足够的重视,同时AltaRica目前已经在一些公司和联盟的项目中得到运用,主要有莱尼亚航空、空中客车、阿尔斯通铁路、达索航空、欧洲宇航防务集团、法国电信、施耐德电气、泰勒斯、道达尔等,而且近十年已经成为欧洲工业界基于模型安全性评估的标准。但是现有技术尚不存在面向AltaRica模型的系统安全性设计验证方法。
技术实现思路
为解决现有技术的不足,本专利技术的目的在于提供一种面向AltaRica模型的系统安全性设计验证方法,以解决传统故障树生成方法成本过高且无法应对庞大系统规模及系统高复杂度缺陷,以及现有基于模型的故障树生成方法的不足的技术问题。为了实现上述目标,本专利技术采用如下的技术方案:面向AltaRica模型的系统安全性设计验证方法,其特征在于,包括如下步骤:步骤一:建立系统安全性设计AltaRica模型;步骤二:得到AltaRica模型转换之后的Promela模型;步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;步骤四:以步骤二的转换后的Promela模型、步骤三使用线性时序逻辑规约的安全性需求作为输入,利用模型检测器对系统模型进行安全性验证;步骤五:对步骤四模型检测工具的验证结果进行分析,并得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:根据目标系统的功能需求和系统安全性需求等内容,确定系统层次机构和基本框架,建立系统安全性设计AltaRica模型。前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:系统安全性设计模型AltaRica模型既描述了系统的正常行为模型,同时还刻画了系统可能存在的失效行为下的系统行为,其本质是状态迁移系统,利用系统状态间的迁移关系刻画系统的功能和行为。前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二包括:根据AltaRica模型和Promela模型的语义分析,以及基于接口转换系统的形式化语义,定义AltaRica模型到Promela模型间模型转换的规则;并根据这些转换规则和模型的形式化语义,得到AltaRica模型转换之后的Promela模型。前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二中,所述AltaRica模型到Promela模型间模型转换的规则包括:规则1:AltaRica模型的结点node有两种类型,对于包含sub声明的node结点表示该系统组件内含有子系统组件,间接的反应了组件间的层次关系;component类型的结点只代表最小组件的划分,不包含其他组件;sub声明表示实例化结点,而子结点的所包含具体行为由sub声明标识后面的结点决定;对于系统而言,建模时系统组件在AltaRica模型中映射为结点,系统组件在Promela模型映射为proctype进程实体;因此AltaRica模型结点转换为Promela模型中的进程实体proctype,但是proctype的名字则根据结点是否含有子结点不同,不含子结点的对应的proctype名字为子节点类型_实例名;N表示AltaRica模型的node结点,sub声明表示子结点的实例和子节点的类型;P表示Promela模型的进程实体proctype;规则2:组件内承担信息传递的flow变量的值与状态变量的变化有关,通过assert完成绑定,同时状态变量使用init声明进行初始化;f和init为AltaRica模型结点flow声明和init声明,State和S0分别为Promela模型中的状态变量、初始状态规则3:组件间flow变量表示组件间信息的传递,一般在相关组件的上层组件定义组件间的flow变量,而且flow变量的绑定通过assert声明完成;f为AltaRica模型中组件间的flow变量,State表示P本文档来自技高网...
【技术保护点】
面向AltaRica模型的系统安全性设计验证方法,其特征在于,包括如下步骤:步骤一:建立系统安全性设计AltaRica模型;步骤二:得到AltaRica模型转换之后的Promela模型;步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;步骤四:以步骤二的转换后的Promela模型、步骤三使用线性时序逻辑规约的安全性需求作为输入,利用模型检测器对系统模型进行安全性验证;步骤五:对步骤四模型检测工具的验证结果进行分析,并得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。
【技术特征摘要】
1.面向AltaRica模型的系统安全性设计验证方法,其特征在于,包括如下步骤:步骤一:建立系统安全性设计AltaRica模型;步骤二:得到AltaRica模型转换之后的Promela模型;步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;步骤四:以步骤二的转换后的Promela模型、步骤三使用线性时序逻辑规约的安全性需求作为输入,利用模型检测器对系统模型进行安全性验证;步骤五:对步骤四模型检测工具的验证结果进行分析,并得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。2.根据权利要求1所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:根据目标系统的功能需求和系统安全性需求等内容,确定系统层次机构和基本框架,建立系统安全性设计AltaRica模型。3.根据权利要求2所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:系统安全性设计模型AltaRica模型既描述了系统的正常行为模型,同时还刻画了系统可能存在的失效行为下的系统行为,其本质是状态迁移系统,利用系统状态间的迁移关系刻画系统的功能和行为。4.根据权利要求3所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二包括:根据AltaRica模型和Promela模型的语义分析,以及基于接口转换系统的形式化语义,定义AltaRica模型到Promela模型间模型转换的规则;并根据这些转换规则和模型的形式化语义,得到AltaRica模型转换之后的Promela模型。5.根据权利要求4所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二中,所述AltaRica模型到Promela模型间模型转换的规则包括:规则1:AltaRica模型的结点node有两种类型,对于包含sub声明的node结点表示该系统组件内含有子系统组件,间接的反应了组件间的层次关系;component类型的结点只代表最小组件的划分,不包含其他组件;sub声明表示实例化结点,而子结点的所包含具体行为由sub声明标识后面的结点决定;对于系统而言,建模时系统组件在AltaRica模型中映射为结点,系统组件在Promela模型映射为proctype进程实体;因此AltaRica模型结点转换为Promela模型中的进程实体proctype,但是proctype的名字则根据结点是否含有子结点不同,不含子结点的对...
【专利技术属性】
技术研发人员:胡军,陈松,仵志鹏,
申请(专利权)人:南京航空航天大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。