本文是一篇软件工程硕士论文,本文以嵌入式安全攸关系统的AADL模型定量安全分析为主要研究目标,着重于提升复杂系统环境下AADL模型安全分析的适应性和效率。
第一章绪论
1.1研究背景和意义
现代安全攸关系统已经广泛应用到汽车、航空航天、医疗卫生和核工业等多个领域[1]。这些系统的故障可能会导致设备损坏甚至人员伤亡等灾难性后果。因此其安全性问题受到越来越多的重视。安全性是系统的核心质量属性之一,是确保系统的高质量的重要特性。安全性保证是指一系列伴随在软、硬件系统开发过程中的质量保证活动,其核心目的是消除隐患。然而,随着软、硬件规模的扩大,系统复杂性也相应增加,这些系统的安全性、可靠性分析变得越来越具有挑战性。
近年来,人们开发了基于模型的安全分析[2](Model-Based Safety Analysis,MBSA)技术,以解决复杂安全攸关系统的安全分析与验证问题。MBSA技术致力于运用模型驱动理念来开发各类可靠、有效的安全评估方法,并通过自动化手段提升安全分析的效率和准确性。MBSA技术促进了多种通用建模语言的诞生和发展,例如SysML[3]、AADL[4]、RSML[5]、Lustre[6]和AltaRica[7]等。架构分析与设计语言[4](Architecture Analysis and Design Language,AADL),是其中代表性的建模语言之一,被广泛应用于嵌入式安全攸关系统的架构建模。它还提供了错误模型附件[8](Error Model Annex v2,EMV2),支持注释系统故障和失效信息。
目前,已有多种针对AADL模型进行安全分析的方法被提出,但其中的大多数仍面临一些挑战。
系统的动态行为,例如系统的时间行为、故障的顺序依赖性等,是挑战之一。不幸的是,经典的安全分析技术(包括但不限于故障树分析[9](Fault Tree Analysis,FTA)、故障模式和影响分析[10](Failure Mode and Effects Analysis,FMEA)等)无法解释这些方面。
1.2国内外研究现状
MBSA方法最早起源于20世纪90年代,其目的在于构筑复杂系统的模型,并最终利用这些模型实现系统安全性分析的自动化或半自动化[22]。该方法的实质是系统开发流程与安全性分析领域的深度融合[23]。然而,由于形式化建模语言的多样性,同一系统可能因采用不同建模语言而衍生出截然不同的系统模型。因此,业界迫切需要一种既具备强大描述能力,又拥有出色迁移能力的形式化建模方式。这种方式应能支持自身产生的目标模型与其他语言所建模型之间的自由转换,以供后续分析使用。在此背景下,Feiler等人于2004年提出了面向嵌入式实时系统的架构分析与设计语言AADL。该语言以其简洁的语法、强大的功能以及良好的可拓展性,展现出了广阔的应用前景,并迅速获得了欧美工业界的认可与支持。
目前,基于AADL模型的系统安全性分析方法主要可以被划分为四个类别。
1.2.1基于AADL模型的静态安全分析方法
一些工作提出的方法仅适用于静态系统的分析,而不考虑系统的动态特征。
文献[24]针对安全攸关型嵌入式系统,提出了一种新的定量安全分析方法。作者扩展了AADL模型的EMV2附件,为其添加了RFMEA(基于风险的故障模式影响分析)属性,并通过形式化的方式描述故障影响。在此基础之上,该工作又开发了一种自动化生成RFMEA表的方法,并在Eclipse平台上实现了工具插件。该方法已被证明具有良好的可行性和实用性。在工作[25]中,一项显著成果是Awas框架的开发。该开源框架专注于对AADL模型进行可达性分析,并通过详细的流注解,实现了对系统软、硬件组件及信息流的深入探索。Awas支持动态的、交互式的流可视化功能,且构建了一种简洁的领域特定语言,用于系统安全性属性的检验,极大地简化了用户操作。同一位作者的另一项研究[26]则聚焦于在医疗器械开发过程中对风险进行有效管控。
第二章理论与技术基础
2.1基于模型的安全分析方法MBSA
2.1.1 MBSA方法概述
随着现代工业系统的持续扩展与复杂性的不断提升,系统设计流程也日趋繁杂。在此背景下,系统安全分析技术在安全攸关系统的设计过程中显得愈发重要。传统的安全分析方法,例如危害与可操作性分析[52](Hazard and Operability Analysis,HAZOP)、故障树分析(Fault Tree Analysis,FTA)以及失效模式与影响分析(FailureMode and Effect Analysis,FMEA)等,虽已发展成熟,但在面对日益复杂的系统设计时,其局限性逐渐凸显。这些方法的实施高度依赖于人工操作和分析人员的主观经验,导致其分析结果的准确性和可靠性受到严重影响。针对这一问题,基于模型的安全性分析方法(Model-Based Safety Analysis,MBSA)被提出并广泛应用于现代工业系统设计中。MBSA技术最早起源于上世纪90年代,它结合了传统安全性分析技术与模型化理念,形成了一种新型的安全分析方法。该方法能够将安全性分析任务集成到系统模型中,并利用自动化分析工具来生成准确的分析结果。与传统的安全分析方法相比,MBSA技术具有诸多优势。首先,它能够自动化地应用各种分析方法,这显著提高了安全分析的效率。其次,通过减少人工参与,MBSA降低了分析结果受主观因素影响的可能性,从而增强了分析结果的客观性和准确性。通常,MBSA技术的核心流程包含以下两个关键步骤:
(1)构建系统建模:在这一步骤中,系统将被分解为多个子模块,这些子模块可能包括机械结构、物理部件及软件模块。随后,系统工程师将运用软件工具对每个子模块进行建模。这些子模型可以精准反映原系统的功能和结构,并通过模块间的逻辑和组成关系,最终整合成一个完整全面的系统模型。建模的过程实质上是对复杂实体的抽象表达,这种表达为后续的安全分析提供了便利。
(2)执行安全性分析:在建立了能够描述系统安全性质的模型后,可以利用各类软件工具和多种安全性分析方法对模型进行自动化的安全性分析。最终,分析结果将会通过一份详尽的分析报告呈现。
2.2架构分析与设计语言AADL
架构分析与设计语言(Architecture Analysis and Design Language,AADL)是一种针对嵌入式实时系统设计的形式化架构规范语言,在保证系统的高完整性方面发挥着至关重要的作用。该标准的诞生,正是为了避免因组件接口模糊或文档不完整,导致子系统集成失败,进而带来高昂的成本。通过AADL,系统工程师能够精确地定义系统架构,并采用“先集成后构建”的设计方法,确保在构建组件的详细设计之前,就明确组件中关键的交互、接口设计的合理性并验证系统集成的正确性。这一方法在工业界得到了广泛应用。例如,航空制造公司在系统架构虚拟集成(SAVI)项目中就利用AADL来确保架构的精确性。
随着AADL的广泛应用,用户对于将危险分析、可靠性预测和风险评估等技术与形式化架构规范进行深度融合的需求日益增长。为满足此需求,AADL错误模型框架应运而生。其中的错误模型附件(Error Model Annex v2,EMV2)通过附件机制对AADL标准功能进行了扩展,支持多种系统故障建模、故障行为描述、故障传播影响分析以及容错策略的规范。该框架不仅增强了对系统安全性进行定性与定量评估的能力,而且为嵌入式软、硬件平台的架构模型进行故障注解提供了坚实基础,从而有效解决了复杂嵌入式实时系统安全分析与规范中的核心问题。
第三章基于DTBN的AADL模型定量安全分析······················24
3.1概述···················24
3.2 AADL模型到DTBN模型的转换方法············24
第四章集成数据驱动与DTBN的AADL模型定量安全分析·······41
4.1概述······················41
4.2方法框架·················42
第五章飞行系统案例研究··················53
5.1概述·················53
5.2飞行系统概述·······················54
第五章飞行系统案例研究
5.1概述
本章将通过一个飞行系统的案例研究,来验证本文所提方法的有效性。
首先,我们根据第三章讨论的方法将飞行系统的AADL模型转换为DTBN模型。随后,使用风险分析来量化系统在任务时间内发生飞行事故的风险概率,并以风险分析为例展示了所提出的方法相较于现有方法在性能方面的优势。之后,我们利用诊断分析得出影响系统风险的主要因素,并执行优化以降低系统风险。最后,我们通过敏感性分析识别系统中的关键节点,并对系统的维护策略提出见解。
在此基础上,本章根据第四章所提出的方法将数据驱动技术与基于DTBN的AADL模型定量安全分析方法进行集成。我们使用公开数据集训练了涡扇引擎的失效预测模型,并评估了预测模型的可靠性。之后,本章通过将原始飞行系统DTBN模型中的多个引擎节点替换为实时节点,实现了飞行系统的实时定量安全分析。我们展现了所提方法在分析系统实时安全性方面的有效性,及其相对于仅采用历史失效数据进行定量安全分析的优势。
第六章总结与展望
6.1工作总结
现代安全攸关系统已广泛应用于多个关键领域,其安全性问题备受重视。然而,随着系统复杂性的增加,这些系统的安全性分析变得愈发具有挑战性。为解决这一问题,人们开发了基于模型的安全分析(MBSA)技术。在此技术中,系统分析与设计语言(AADL)成为了代表性的建模语言之一。尽管已有多种针对AADL模型进行安全分析的方法被提出,
