安全苛求系统及其评估.ppt

反应式故障-安全技术功能A功能A故障检测屏蔽输出功能A检测输出T安全状态A中出现第一个故障第一个故障被检测出屏蔽输出A中出现第一个故障后的检测和屏蔽时间T不应大于规定的潜在危险性瞬间输出时间限制这种技术允许一个安全相关功能由单个项执行，前提是通过快速的危险故障检测和屏蔽来确保它的安全操作(例如通过编码，多路计算和比较，或通过连续的测试)。尽管只由一个项实施实际的安全相关功能，但检查/测试/检测功能应被看作为第二项。检查/测试/检测功应是独立的，以避免共因失效。多版本编程技术恢复块选择合适的程序设计语言设计良好、清晰的软件架构软件模块化，减少模块相互依赖防御性编程软件注释软件测试软件容错和故障安全技术失效率浴盆曲线MTTFMTTRMTBF可用性系统可靠性基本概念可靠性方框图串联并联串并联组合失效的独立性马尔可夫模型离散马尔可夫模型连续马尔可夫模型其他模型可靠性模型PART1硬件可靠性预测软件可靠性预测可靠性预测和评估传统的诸如测试、故障树等检错、纠错和容错技术擅长处理由随机产生、系统老化或系统单部件引起的，而不是由复杂的交互作用引起的故障。它们是在假设系统的设计正确的情况下，对软件、硬件故障进行处理。同时，软件的故障处理主要借鉴于硬件故障处理技术。然而硬、软件的故障性质是有差别的，软件具有离散性，更适合用集合、格、群等数学工具来表达。一种更为严格和客观安全保障方法形式化是指使用离散数学和逻辑学的技术来分析需求、设计和构建计算机系统及其软件，用严格的数学符号和数学法则对目标系统的的结构与行为进行有效的综合分析和推理的方法，它为系统的说明、开发验证提供了一个框架，以利于发现目标系统需求中的不一致、不完整的情况。形式化方法概要PART1形式化规范描述顺序系统行为的形式规范方法：典型有Z、B、VDM等。这类方法中状态使用集合、关系和函数等数学结构来表示；状态转移使用前置条件和后置条件来表示。描述并发系统行为的形式规范方法：典型有CSP、CCS、时序逻辑和I/O自动机。这类方法中状态只使用简单的数学类型例如整数或对状态根本没有定义；系统的行为用序列、树或事件的偏序关系来表示。集成的形式规范方法：典型有SDL和RAISE。它们把两种不同的方法结合起来，既能表示复杂的状态类型又能描述并发系统的特性。形式化验证模型检验(modelchecking)：模型检验是对有限状态系统的一种形式化确认方法，具体做法是：采用一种形式语言描述系统的规范说明，构造一种算法来遍历根据系统规范设计的实现模型，确认实现模型是否满足系统的规范说明。由于系统的状态是有限的，所以该算法必然会终止。定理证明：定理证明的原理是：首先我们定义一种数学逻辑，该逻辑系统实际上是一个形式化的系统，由一系列公理和推理规则组成。然后我们用这种数学逻辑分别表示被验证系统和其被期望的特性。所谓定理证明就是从系统的公理出发使用推理规则逐步推导出其所期望的特性的证明过程。证明所需要的步骤依赖于系统的公理和推理规则，在某种程度上也依赖于其派生定义和中间引理。与模型检验不同!定理证明可直接处理无限的状态空间。形式化方法分类形式化方法的开发过程验证和确认计划验证和确认人员必须满足独立性要求功能测试结构测试随机测试动态测试技术基于等价类划分的测试案例基于边界值分析的测试案例状态转移测试概率测试基于结构的测试过程仿真猜错播错实时和内存测试性能测试压力测试环境仿真安全性测试动态测试PART1走查/设计审核检查表形式证明Fagan检查控制流分析数据流分析符号执行度量静态分析技术PART1形式化方法软件原型性能建模状态转移图时间Petri网数据流图结构图环境建模建模技术PART1测试覆盖率——完备测试不可能语句覆盖率分枝覆盖率组合判定覆盖率等等测试充分性准则基于需求的准则基于结构的准则时间特性测试开销测试策略PART1软件工程ISO9001质量管理体系CMM/CMMI软件能力成熟度模型（1-5级）质量管理PART1铁路信号EN标准族EN50128整个铁路系统铁路信号系统子系统单独设备EN50159（通信）EN50129(安全性)硬件软件EN50126（可信性）安全性的证据：安全性例证SafetyCase第六部分：结论第五部分：相关安全例证第四部分：技术安全报告第三部分：安全管理报告第二部分：质量管理报告第一部分：系统定义安全例证质量管理报告组织结构质量计划和程序需求规范设