MBSA框架下的安全性建模和分析技术研究.pptVIP

这是转换得到的EFCS板和单机模块，飞控系统的所有模块在论文附录2中 * 完成飞控系统所有模块的建模后，进行仿真和形式化验证 首先是系统仿真，定义了三种仿真情景，第一是名义系统，即没有故障的飞控系统 仿真执行五步后系统状态不再变化，可以发现名义模型下系统不会出现横滚功能失效的状态 * 第二是PFCS、EFCS、DDC之间的模式切换 左边是进入EFCS的状态转移路径，在第6个状态时进入EFCS模式，前几个状态表明系统出现了三次数字通路失效 右图是进入DDC的状态转移路径，第16G个状态时进入DDC模式，解读前面状态发现是惯性测量组件余度失效导致的模式转换 * 第3是模拟横滚控制失效，第6个状态时进入EFCS模式，在第9个状态横滚功能失效 * 第二部分是形式化验证，首先定义三条LTL规范，输入模型后得到结论，三条规范均为真，表明系统满足这三条规范 * 再定义一条规范，当两台惯性测量组件同时进入失效模式时，系统能进入DDC模式 验证表明该属性是错误的 解读反例发现系统已经提前进入EFCS状态，这就是不符合系统属性的情景，用这样一个验证过程可以发现飞控系统控制逻辑中可能存在的缺陷 * * 主要包括四篇论文，一篇EI期刊和三篇EI会议，以及三作论文若干 * ARP4761中将安全性分析流程分为三个主要阶段，分别是功能危险评估、初步系统安全性评估、系统安全性评估，各个阶段定义与细化飞机功能，开展不同详细程度的FTA、FMEA，制定研制保证等级，迭代过程包含了大量重复性的分析工作 * MBSA在安全性分析理念上主张通过相同的模型开展产品设计与安全性分析，使安全性评估围绕模型与相关安全性需求展开 MBSA的完整分析流程可以概括为右图所示步骤 首先是形式化安全性需求，这是整个MBSA工作的第一步，利用现有的需求获取办法，例如功能危险评估，得到安全性需求，并转化为MBSA所对应的形式化语言 * 第二步，名义系统建模，构建系统正常功能状态下的行为模型，描述系统正常工作的情况 第三步，由设计者与安全分析者功能梳理失效模式，确定可能的失效模式并构建与名义系统相对应的模型，失效模型包括常用的失效模式，例如数字部件常见的输入故障状态，以及另外一些特殊的故障行为，例如故障时序关系 * 在得到名义模型和失效模型后，将两种模型组合在一起描述系统在故障条件下的行为，得到的模型就是扩展系统模型 模型扩展难度会随着系统复杂度的提升儿增加，因此在系统建模早起完全基于功能的安全性评估过程中，可以利用另一种直接失效行为建模开展公共模型构建 * 无论采用哪一种建模策略，在得到公共系统模型后，由于目前大部分公共模型的建模语言都无法直接用于分析，所以需要将公共模型转换为形式化方法所对应的建模语言，现有的相关模型转换路线如下图所示，本文主要采用了AltaRica和SMV分别用于公共系统建模和安全性评估 * 第六步是模型的评估验证，形式化方法是MBSA种最常用的评估方法，通过严格的数学推导证明所定义的安全性属性是否在系统模型中得到保持，从而确保分析结论的完备性，除此之外，也可以利用仿真进行系统的初步分析以及动态运行细节的挖掘 最后一步是结论的输出，将形式化方法的结论，例如反例，转化为常见的安全性分析结论 * 以上的分析流程在工程过程中可以分为四大块工作，定义安全属性、形式化系统模型，模型验证，评估结论，这四部分工作也同样需要在研制周期内迭代开展 * 以4761为例 在功能危险分析阶段，MBSA将FHA得到的功能失效状态转化为形式化安全性需求，并进行分解细化 PSSA阶段构建功能为对象的系统模型，定义功能失效状态模型 SSA阶段主要完成模型的自动分析，利用形式化方法验证系统属性是否满足，并生成相应的分析产物 * 第二块儿，基于AltaRica的系统公共模型 * AltaRica的理论基础是约束自动机，核心是系统迁移的集合 AltaRica模型主要的建模要素包含状态、流、事件、迁移、断言等 利用节点之间的逐层实例化实现层次化的建模，根据系统层级将AltaRica模型节点分为三类，Main节点、设备节点与部件节点 * AltaRica模型在运行过程中也事件为时间核心，事件发生是系统变化的分界点，从而带动状态变量与流变量的更新 部件节点是最基本的节点，图中是一个开关的节点模型，定义事件作为系统状态迁移的触发，从而完成一个部件的状态空间转换规则定义 * 在得到部件节点后，以设备节点为容器，将相互联系的部件节点在设备节点内实例化，并利用流变量与同步机制将变量、事件联系在一起 * 基于AltaRica的建模是一个自上而下的过程，定义所有部件节点后逐层定义设备节点直到根节点 * 具体分为以下几个步骤，明确系统结构与部件划分，定义部件节点输入输出流变量，定义正常状态和正常事件，