CN103605608B - 一种嵌入式软件安全性分析充分性检查方法 - Google Patents
一种嵌入式软件安全性分析充分性检查方法 Download PDFInfo
- Publication number
- CN103605608B CN103605608B CN201310648088.3A CN201310648088A CN103605608B CN 103605608 B CN103605608 B CN 103605608B CN 201310648088 A CN201310648088 A CN 201310648088A CN 103605608 B CN103605608 B CN 103605608B
- Authority
- CN
- China
- Prior art keywords
- analysis
- dangerous
- software
- function
- check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Stored Programmes (AREA)
Abstract
本发明属于计算机技术领域,涉及一种嵌入式软件安全性分析充分性检查方法,尤其涉及一种用于飞机安全性分析充分性检查的方法。本发明首次明确提出从系统和软件双向角度分别对机载嵌入式软件安全性分析工作开展充分性检查,给出了对PHA、FHA和FMEA分析结果进行独立和交叉检查的详细过程和检查策略,能有效识别机载嵌入式软件安全性分析工作各阶段产品中存在的缺陷和不足,既可用于提升机载嵌入式软件安全性分析工作项目的质量和效率,也可用于软件安全性分析工作项目的验收和评价,有效解决了当前机载嵌入式软件安全性分析中工作效果人为影响因素过大、充分性有效性难以保证的问题,为机载嵌入式软件达到高安全性和质量要求提供技术支撑。
Description
技术领域
本发明属于计算机技术领域,涉及一种嵌入式软件安全性分析充分性检查方法,尤其涉及一种用于飞机安全性分析充分性检查的方法。
背景技术
随着科学技术的发展和计算机技术在现代飞机上的广泛应用,软件已逐渐成为机载系统中极为重要的部分,确保机载嵌入式软件的高安全性、高可靠性、高质量就显得十分重要。软件安全性是指软件运行过程中不引起系统事故的能力。它反映了产品所具有的不导致人员伤亡、系统毁坏、重大财产损失或不危及人员健康和环境的能力。在软件安全性中,导致安全性事故发生的客观存在或潜在的条件称为“危险”。
软件安全性分析技术是一项在软件研制过程中不可被忽略且不可被替代的软件工程化工作,其通过识别系统危险和软件失效模式,分析其原因和影响,进而提出控制措施,显著降低系统危险与软件失效的发生概率,同时充分获取与安全性相关的软件需求,提升软件工程化水平,并为软件安全性工作的开展奠定基础。
目前常见的软件安全性分析技术包括功能危险分析(FHA),初步危险分析(PHA),失效模式及其影响分析(FMEA)等。这些技术从不同层面、不同角度进行系统危险和失效模式的识别与分析,通常在一次软件安全性分析工作中,这三项技术将会被同时使用,工作量极为庞大。因此,如何确保软件安全性分析工作充分性,是软件安全性分析工作人员最为关心的问题。
但是目前还没有针对软件安全性分析工作的充分性检查方法,软件安全性分析人员往往无法有效且规范地检查各类软件安全性分析技术是否已经充分识别系统危险和失效模式,难以评估软件安全性分析工作开展的是否充分且有效。因此,为解决软件安全性分析工作的充分性问题,提出一种面向嵌入式软件的安全性分析充分性检查方法。其围绕“系统-软件”的双向角度,首先针对各项系统层面的安全性分析技术(PHA和FHA)以及各项软件层面的安全性分析技术(FMEA)的工作成果开展独立充分性检查,确保每项工作不存在遗漏的分析内容;然后将这三种安全性分析技术的工作成果进行交叉式充分性检查,通过各项工作成果之间存在的差异性和关联性迫使分析人员从不同角度来检查是否存在遗漏的分析内容。本方法意义在于可有效提升各项安全性分析工作的效率和充分性,确保嵌入式安全关键系统的软件安全性水平。
发明内容
本发明的目的是提出一种能够提升各项安全性分析工作的效率和充分性,确保机载嵌入式安全关键系统的软件安全性水平的嵌入式软件安全性分析充分性检查方法。本发明的技术解决方案包含如下三个主要工作步骤:
步骤一:在机载嵌入式系统软件研制过程中分别依次开展初步危险分析、功能危险分析和失效模式及其影响分析,分别得到功能危险清单、系统危险清单和软件失效模式数据;
步骤二:进行上述各项分析技术的独立充分性检查,检查策略如下:
1)FHA分析技术独立充分性检查策略:
●检查危险识别的充分性,即FHA是否围绕机载嵌入式系统软件所有功能,考虑机载嵌入式系统软件功能正常和降级环境中单个或多重失效的情形,FHA确定并描述与功能相关的失效模式,进行系统危险识别;
●检查每一个系统危险都与系统软件相关的系统功能建立映射关系,即每个系统危险所关联的系统功能必须是由软件功能独立实现或参与实现的;
●检查每个系统危险都已经开展危险影响分析,并明确危险影响等级,即围绕每个系统危险都描述其所可能导致的安全事故及事故后果危害程度;
●检查每个系统危险都有对应的飞行阶段,即明确每个系统危险是在不同飞行阶段下所导致的;
●检查每个系统危险都有相应的控制措施,并落实为软件安全性需求;
2)PHA分析技术独立充分性检查策略:
●检查危险识别的充分性,即是否围绕系统所有的危险源,即系统运行状态、外部交联设备、输入输出接口、人员操作、环境因素,以及依据通用或自身历史系统危险数据进行系统危险识别;
●检查每一个系统危险都与系统软件相关的系统功能建立映射关系。即每个系统危险所关联的系统功能必须是由软件功能独立实现或参与实现的;
●检查每个系统危险都已经开展危险影响分析,并明确危险影响等级,即围绕每个系统危险都描述其所可能导致的安全事故及事故后果危害程度;
●检查每个系统危险都已经开展危险原因分析,即明确每个系统危险所有可能的发生原因,包括软硬件交互约束、软件需求问题及人为因素;
●检查每个系统危险都有相应的控制措施,并落实为软件安全性需求;
3)FMEA分析技术独立充分性检查策略:
●检查系统危险与系统软件功能的关联性,即与系统危险相关的安全关键软件功能均已被标识;
●检查失效模式识别的充分性,即是否围绕系统所有软件功能、外部输入输出接口、功能之间的静态或动态逻辑关系因素进行失效模式识别;
●检查每个失效模式都已经开展影响分析,并明确失效影响等级,即围绕每个失效模式分析其对同级软件功能、上级软件功能直至系统所产生的影响效果;
●检查每个失效模式都已经开展原因分析,即明确每个软件失效模式所有可能的发生原因,包括系统软件功能间接口、功能执行逻辑,功能间的静态和动态逻辑关系;
●检查每个系统软件失效模式都有相应的控制措施;
●检查所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应的软件安全性需求,并落实于软件需求规格说明文档;
步骤三:进行各项分析技术之间的交叉充分性检查,检查策略如下:
1)FHA和PHA之间的交叉充分性检查:
●检查FHA分析中的系统危险清单与PHA分析中的系统危险清单的一致性;
●检查FHA分析中的每个系统危险是否都经过了PHA分析;
●检查PHA分析中的每个系统危险是否都经过了FHA分析。
2)FHA和FMEA之间的交叉充分性检查:
●检查FHA分析中的系统危险与FMEA失效模式中的失效影响的一致性,即每个FMEA失效模式对系统的失效影响,是否对应FHA分析中的一个或多个系统危险;
●检查FHA分析中的每项系统危险都有FMEA分析中的系统软件功能相对应,即每个FHA分析的系统危险都能与一个或多个系统软件功能相关联;
●检查FHA分析中每项系统危险的控制措施都有FMEA分析中的系统软件功能相对应,即每项控制措施都能落实到系统软件功能上;
●检查FHA分析中的每个系统危险都有对应的FMEA失效模式分析结果,即每项FHA分析的系统危险都进行过FMEA分析,包括对应的失效模式和原因;
●检查FMEA失效模式中的失效系统影响都有对应的FHA分析结果,即每项失效的系统影响都进行过FHA分析;
3)PHA和FMEA之间的交叉充分性检查:
●检查PHA分析中的系统危险与FMEA失效模式中的失效影响一致性,即每个失效模式对系统的失效影响,均为PHA分析中的一个系统危险;
●检查PHA分析中的每项系统危险都有FMEA分析中的系统软件功能相对应,即每个PHA分析的系统危险都能与一个或多个系统软件功能相关联;
●PHA分析中每项系统危险的控制措施都有FMEA分析中的系统软件功能相对应,即每项控制措施都能落实到系统软件功能上;
●PHA分析中的每个系统危险都有对应的FMEA失效模式分析结果,即每项PHA分析的系统危险都进行过FMEA分析,包括对应的失效模式和原因;
●检查FMEA失效模式中的失效系统影响都有对应的PHA分析结果,即每项失效的系统影响都进行PHA分析。
本发明具有的优点和有益效果
本发明首次明确提出从系统和软件双向角度分别对机载嵌入式软件安全性分析工作开展充分性检查,给出了对PHA、FHA和FMEA分析结果进行独立和交叉检查的详细过程和检查策略,能有效识别机载嵌入式软件安全性分析工作各阶段产品中存在的缺陷和不足,给出改进和完善建议,既可用于提升机载嵌入式软件安全性分析工作项目的质量和效率,也可用于软件安全性分析工作项目的验收和评价,有效解决了当前机载嵌入式软件安全性分析中工作效果人为影响因素过大、充分性有效性难以保证的问题,为机载嵌入式软件达到高安全性和质量要求提供技术支撑。
说明书附图
图1是本发明软件安全性分析技术关系图;
图2是本发明实施例功能层次图。
具体实施方式
一种嵌入式软件安全性分析充分性检查方法分为如下三个主要工作步骤:
步骤一:在机载嵌入式系统软件研制过程中分别依次开展功能危险分析、初步危险分析和失效模式及其影响分析,分别得到功能危险清单、系统危险清单和软件失效模式数据。
其中:功能危险分析(FHA)是一种自上而下的确定系统功能失效状态并对其影响进行分析的方法。其首先确定软件所在系统的所有功能,然后确定并描述与系统功能相关的失效模式,即系统危险状态,进而分析系统功能失效模式对系统飞行、任务安全的影响。初步危险分析(PHA)首先针对指定系统进行计划和需求的审查,并识别系统级危险,然后分析导致系统危险的各种原因,并提出危险控制和验证措施。失效模式及其影响分析(FMEA)是一种自底向上的分析方法,它首先分析软件需求中潜在的所有软件失效模式,然后以此为起点,逐步分析软件失效模式是否会导致系统危险的发生。图1中列举了各项技术的主要输入与输出,并给出技术间的交叉检查对象,具体的独立和交叉充分性检查策略见后续步骤。
步骤二:进行各项分析技术的独立充分性检查。制定的各项分析技术独立充分性检查策略如下:
1)FHA分析技术独立充分性检查策略:
●检查危险识别的充分性,即是否围绕所有系统功能,考虑正常和降级环境中单个或多重失效的情形,确定并描述与功能相关的失效模式,进行系统危险识别;
●检查每一个系统危险都与软件相关的系统功能建立映射关系。即每个系统危险所关联的系统功能必须是由软件功能独立实现或参与实现的;
●检查每个系统危险都已经开展危险影响分析,并明确危险影响等级,即围绕每个系统危险都描述其所可能导致的安全事故及事故后果危害程度;
●检查每个系统危险都有对应的飞行阶段(如起飞、返航、着陆等阶段),即明确每个系统危险是在不同飞行阶段下所导致的;
●检查每个系统危险都有相应的控制措施,并落实为软件安全性需求。
2)PHA分析技术独立充分性检查策略:
●检查危险识别的充分性,即是否围绕所有系统运行状态、外部交联设备、输入输出接口、人员操作、环境因素等系统危险源,以及依据通用或历史系统危险数据进行系统危险识别;
●检查每一个系统危险都与软件相关的系统功能建立映射关系。即每个系统危险所关联的系统功能必须是由软件功能独立实现或参与实现的;
●检查每个系统危险都已经开展危险影响分析,并明确危险影响等级,即围绕每个系统危险都描述其所可能导致的安全事故及事故后果危害程度;
●检查每个系统危险都已经开展危险原因分析,即明确每个系统危险所有可能的发生原因(软硬件交互约束、软件需求问题、人为因素等);
●检查每个系统危险都有相应的控制措施,并落实为软件安全性需求。
2)FMEA分析技术独立充分性检查策略:
●检查系统危险与软件功能的关联性,即与危险相关的安全关键软件功能均已被标识;
●检查失效模式识别的充分性,即是否围绕所有软件功能、外部输入输出接口、功能之间的静态或动态逻辑关系等因素进行失效模式识别;
●检查每个失效模式都已经开展影响分析,并明确失效影响等级,即围绕每个失效模式分析其对同级软件功能、上级软件功能直至系统所产生的影响效果;
●检查每个失效模式都已经开展原因分析,即明确每个软件失效模式所有可能的发生原因(功能间接口、功能执行逻辑,功能间的静态和动态逻辑等);
●检查每个软件失效模式都有相应的控制措施;
●检查所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应的软件安全性需求,并落实于软件需求规格说明。
步骤三:进行各项分析技术之间的交叉充分性检查。制定的交叉充分性检查策略如下:
1)FHA和PHA之间的交叉充分性检查:
●检查FHA分析中的系统危险清单与PHA分析中的系统危险清单完全一致;
●检查FHA分析中的每个系统危险是否都经过了PHA分析;
●检查PHA分析中的每个系统危险是否都经过FHA分析。
2)FHA和FMEA之间的交叉充分性检查:
●检查FHA分析中的系统危险与FMEA失效模式中的失效影响完全一致。即每个失效模式对系统的失效影响,均对应FHA分析中的一个或多个系统危险;
●检查FHA分析中的每项系统危险都有FMEA分析中的软件功能相对应,即每个FHA分析的系统危险都能与一个或多个软件功能相关联;
●检查FHA分析中每项系统危险的控制措施都有FMEA分析中的软件功能相对应,即每项控制措施都能落实到软件功能上;
●检查FHA分析中的每个系统危险都有对应的FMEA失效模式分析结果,即每项FHA分析的系统危险都进行过FMEA分析(包括对应的失效模式和原因)。
●检查FMEA失效模式中的失效系统影响(即系统危险)都有对应的FHA分析结果,即每项失效的系统影响都进行过FHA分析。
3)PHA和FMEA之间的交叉充分性检查:
●检查PHA分析中的系统危险与FMEA失效模式中的失效影响完全一致。即每个失效模式对系统的失效影响,均为PHA分析中的一个系统危险;
●检查PHA分析中的每项系统危险都有FMEA分析中的软件功能相对应,即每个PHA分析的系统危险都能与一个或多个软件功能相关联;
●PHA分析中每项系统危险的控制措施都有FMEA分析中的软件功能相对应,即每项控制措施都能落实到软件功能上;
●PHA分析中的每个系统危险都有对应的FMEA失效模式分析结果,即每项PHA分析的系统危险都进行过FMEA分析(包括对应的失效模式和原因);
●检查FMEA失效模式中的失效系统影响(即系统危险)都有对应的PHA分析结果,即每项失效的系统影响都进行PHA分析。
实施例1
本实例选用的对象是某型雷达数据处理嵌入式软件安全性分析项目。雷达数据处理软件接收雷达回波数据,根据不同的工作方式对雷达回波数据进行信号处理,再根据不同的工作方式将数据转换为相应的气象视频信号或地形视频信号,输出给航电系统显示处理单元,在风切变状态输出风切变告警信号给告警系统。整个项目共使用三种分析技术分别开展软件安全性分析工作,即PHA分析,FMEA分析,FHA分析。
第一步,明确PHA,FHA,FMEA分析工作结果。PHA分析工作结果见附表1,FHA分析工作结果见附表2,FMEA分析工作结果见附表3。雷达数据处理软件的系统功能如图2所示。
第二步,围绕表1,表2,表3,图2进行各项分析技术的独立充分性检查。
1)PHA分析工作独立充分性检查:
依据第三节PHA独立充分性检查策略,对附表1中的PHA分析结果进行检查,检查结果如下:
●危险识别的充分性不足。仅仅依据系统功能中的风切变探测功能开展PHA分析,但未从外部交联环境、系统运行状态以及外部环境因素等角度开展安全性分析;
●每一个系统危险都已与软件相关的系统功能建立映射关系,即与风切变探测功能;
●每个系统危险都已经开展危险影响分析,并明确危险影响等级;
●每个系统危险都已经开展危险原因分析;
●每个系统危险都有相应的控制措施,并落实为软件安全性需求。
2)FHA分析工作独立充分性检查:
依据第三节FHA独立充分性检查策略,对附表2中的FHA分析结果进行检查,检查结果如下:
●危险识别的充分性不足。仅仅针对风切变探测功能展开分析。未对图2中的其他雷达数据处理系统功能,如湍流探测功能、孔径成像功能展开分析。并且未对这些功能之间的组合进行分析;
●每一个系统危险都已与软件相关的系统功能建立映射关系,即与风切变探测功能;
●每个系统危险都已经开展危险影响分析,并明确危险影响等级;
●每个系统危险都有对应的飞行阶段,即都是在起飞和下降阶段引发的;
●系统危险的控制措施充分性不足。即危险“无法切换风切变”没有对应的控制措施;
3)FMEA分析工作独立充分性检查:
依据第三节FMEA独立充分性检查策略,对附表3中的FMEA分析结果进行检查,检查结果如下:
●系统危险与软件功能的关联性分析不足,即未针对每个系统标识与其对应的安全关键软件功能。例如危险“无法进行风切变探测”应对应“风切变多普勒频移”和“风切变地杂波计算”等风切变探测相关的软件功能,但本次分析却未对其进行标识;
●失效模式识别的充分性不足。即未针对其他软件功能开展失效模式分析,例如“风切变危险因子统计”,“风切变探测视频输出”等功能;也未围绕外部输入输出接口、功能之间的静态或动态逻辑关系等因素进行失效模式识别;
●每个失效模式的影响分析充分性不足。如失效模式“风切变多普勒频移超时”和“风切变特征参数计算超时”没有对应的系统影响;
●每个失效模式都已经开展原因分析;
●软件失效模式的控制措施分析充分性不足。如失效模式“风切变多普勒频移超时”和“风切变特征参数计算超时”没有对应的控制措施;
●所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应的软件安全性需求,并落实于软件需求规格说明。
第三步,围绕附表1,表2,表3进行各项分析技术之间的交叉充分性检查。
1)FHA和PHA之间的交叉充分性检查:
依据第三节中的FHA和PHA交叉充分性检查策略,对附表2中的FHA分析结果和附表1中的PHA分析结果进行交叉检查,检查结果如下:
●FHA分析中的系统危险清单与PHA分析中的系统危险清单不完全一致,FHA中的危险“无法自动切换风切变”在PHA分析中未见;
●FHA分析中的每个系统危险(除危险“无法自动切换风切变”)都经过PHA分析;
●PHA分析中的每个系统危险都经过FHA分析。
2)FHA和FMEA之间的交叉充分性检查:
依据第三节中的FHA和FMEA交叉充分性检查策略,对附表2中的FHA分析结果和附表3中的FMEA分析结果进行检查,检查结果如下:
●FHA分析中的系统危险与FMEA失效模式中的失效影响不完全一致。FMEA分析中的系统影响“系统无法实时输出风切变信号视频”在FHA系统危险清单中未见;
●FHA分析中的每项系统危险都有FMEA分析中的软件功能相对应,例如危险“无法进行风切变探测”有软件功能“风切变多普勒频移”和“风切变地杂波抑制”等对应;
●FHA分析中每项系统危险的控制措施与FMEA分析中的软件功能尚未完全对应。例如FHA分析中的控制措施“增加AD定时功能的防错和容错措施”在目前的FMEA分析结果未见;
●FHA分析中的每个系统危险都有对应的FMEA失效模式分析结果;
●FMEA失效模式中的失效系统影响不是都有对应的FHA分析结果,例如FMEA分析中的系统影响“系统无法实时输出风切变信号视频”未开展FHA分析。
3)PHA和FMEA之间的交叉充分性检查:
依据第三节中的PHA和FMEA交叉充分性检查策略,对附表1中的PHA分析结果和附表3中的FMEA分析结果进行检查,检查结果如下:
●PHA分析中的系统危险与FMEA失效模式中的失效影响不完全一致。FMEA分析中的系统影响“系统无法实时输出风切变信号视频”在PHA系统危险清单中未见;
●PHA分析中的每项系统危险都有FMEA分析中的软件功能相对应,例如危险“无法进行风切变探测”有软件功能“风切变多普勒频移”和“风切变地杂波抑制”等对应;
●PHA分析中每项系统危险的控制措施与FMEA分析中的软件功能尚未完全对应。例如PHA分析中的控制措施“调整天线仰角或调整滤波算法或限制探测距离”在FMEA分析结果未见;
●PHA分析中的每个系统危险都有对应的FMEA失效模式分析结果;
●FMEA失效模式中的失效系统影响不是都有对应的PHA分析结果,例如FMEA分析中的系统影响“系统无法实时输出风切变信号视频”未开展PHA分析。
综合上述检查结果可以看出,本次雷达数据处理软件安全性分析工作的充分性明显不足,还有很多工作需要进一步展开。因此可以肯定的是,通过本发明中的软件安全性分析充分性检查方法可有效确保软件安全性分析工作的充分性和效率。需注意的是,本示例中的检查结果是简化形式的描述,在实际工作项目中应以列表的形式逐条列举各项检查结果,并给出改进意见。
附表1所示是本发明选用的雷达数据处理软件安全性分析项目中的PHA分析结果;
附表2所示是本发明选用的雷达数据处理软件安全性分析项目中的FHA分析结果。
附表3所示是本发明选用的雷达数据处理软件安全性分析项目中的FMEA分析结果。
一.附表
表1是雷达数据处理软件安全性分析项目中的PHA分析结果
表1
表2是雷达数据处理软件安全性分析项目中的FHA分析结果
表2
表3是雷达数据处理软件安全性分析项目中的FMEA分析结果
表3
Claims (1)
1.一种嵌入式软件安全性分析充分性检查方法,其特征是,检查方法为如下三个主要工作步骤:
步骤一:在机载嵌入式系统软件研制过程中依次开展功能危险分析、初步危险分析和失效模式及其影响分析,分别得到功能危险清单、系统危险清单和软件失效模式数据;
步骤二:进行上述各项分析的独立充分性检查,检查策略如下:
1)功能危险分析的独立充分性检查策略:
●检查危险识别的充分性,即功能危险分析是否围绕机载嵌入式系统软件所有功能,考虑机载嵌入式系统软件功能正常和降级环境中单个或多重失效的情形,功能危险分析确定并描述与功能相关的失效模式,进行系统危险识别;
●检查每一个系统危险都与系统软件相关的系统功能建立映射关系,即每个系统危险所关联的系统功能必须是由软件功能独立实现或参与实现的;
●检查每个系统危险都已经开展危险影响分析,并明确危险影响等级,即围绕每个系统危险都描述其所可能导致的安全事故及事故后果危害程度;
●检查每个系统危险都有对应的飞行阶段,即明确每个系统危险是在不同飞行阶段下所导致的;
●检查每个系统危险都有相应的控制措施,并落实为软件安全性需求;
2)初步危险分析技术独立充分性检查策略:
●检查危险识别的充分性,即是否围绕系统所有的危险源,即系统运行状态、外部交联设备、输入输出接口、人员操作、环境因素,以及依据通用或自身历史系统危险数据进行系统危险识别;
●检查每一个系统危险都与系统软件相关的系统功能建立映射关系,即每个系统危险所关联的系统功能必须是由软件功能独立实现或参与实现的;
●检查每个系统危险都已经开展危险影响分析,并明确危险影响等级,即围绕每个系统危险都描述其所可能导致的安全事故及事故后果危害程度;
●检查每个系统危险都已经开展危险原因分析,即明确每个系统危险所有可能的发生原因,包括软硬件交互约束、软件需求问题及人为因素;
●检查每个系统危险都有相应的控制措施,并落实为软件安全性需求;
3)失效模式及其影响分析技术独立充分性检查策略:
●检查系统危险与系统软件功能的关联性,即与系统危险相关的安全关键软件功能均已被标识;
●检查失效模式识别的充分性,即是否围绕系统所有软件功能、外部输入输出接口、功能之间的静态或动态逻辑关系因素进行失效模式识别;
●检查每个失效模式都已经开展影响分析,并明确失效影响等级,即围绕每个失效模式分析其对同级软件功能、上级软件功能直至系统所产生的影响效果;
●检查每个失效模式都已经开展原因分析,即明确每个软件失效模式所有可能的发生原因,包括系统软件功能间接口、功能执行逻辑,功能间的静态和动态逻辑关系;
●检查每个系统软件失效模式都有相应的控制措施;
●检查所有安全关键功能的失效模式的控制措施都被准确无误地转化为对应的软件安全性需求,并落实于软件需求规格说明文档;
步骤三:进行各项分析技术之间的交叉充分性检查,检查策略如下:
1)功能危险分析和初步危险分析之间的交叉充分性检查:
●检查功能危险分析中的系统危险清单与初步危险分析中的系统危险清单的一致性;
●检查功能危险分析中的每个系统危险是否都经过了初步危险分析;
●检查初步危险分析中的每个系统危险是否都经过了功能危险分析;
2)功能危险分析和失效模式及其影响分析之间的交叉充分性检查:
●检查功能危险分析中的系统危险与系统软件失效模式中的失效影响的一致性,即每个系统软件失效模式对系统的失效影响,是否对应功能危险分析中的一个或多个系统危险;
●检查功能危险分析中的每项系统危险都有失效模式及其影响分析中的系统软件功能相对应,即每个功能危险分析的系统危险都能与一个或多个系统软件功能相关联;
●检查功能危险分析中每项系统危险的控制措施都有失效模式及其影响分析中的系统软件功能相对应,即每项控制措施都能落实到系统软件功能上;
●检查功能危险分析中的每个系统危险都有对应的软件失效模式分析结果,即每项功能危险分析的系统危险都进行过失效模式及其影响分析,包括对应的失效模式和原因;
●检查软件失效模式中的失效系统影响都有对应的功能危险分析结果,即每项失效的系统影响都进行过功能危险分析;
3)初步危险分析和失效模式及其影响分析之间的交叉充分性检查:
●检查初步危险分析中的系统危险与失效模式及其影响失效模式中的失效影响一致性,即每个失效模式对系统的失效影响,均为初步危险分析中的一个系统危险;
●检查初步危险分析中的每项系统危险都有失效模式及其影响分析中的系统软件功能相对应,即每个初步危险分析的系统危险都能与一个或多个系统软件功能相关联;
●初步危险分析中每项系统危险的控制措施都有失效模式及其影响分析中的系统软件功能相对应,即每项控制措施都能落实到系统软件功能上;
●初步危险分析中的每个系统危险都有对应的软件失效模式分析结果,即每项初步危险分析的系统危险都进行过失效模式及其影响分析,包括对应的失效模式和原因;
●检查软件失效模式中的失效系统影响都有对应的初步危险分析结果,即每项失效的系统影响都进行初步危险分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310648088.3A CN103605608B (zh) | 2013-12-04 | 2013-12-04 | 一种嵌入式软件安全性分析充分性检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310648088.3A CN103605608B (zh) | 2013-12-04 | 2013-12-04 | 一种嵌入式软件安全性分析充分性检查方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103605608A CN103605608A (zh) | 2014-02-26 |
| CN103605608B true CN103605608B (zh) | 2016-04-20 |
Family
ID=50123837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310648088.3A Active CN103605608B (zh) | 2013-12-04 | 2013-12-04 | 一种嵌入式软件安全性分析充分性检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103605608B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104899043B (zh) * | 2015-06-16 | 2018-07-17 | 北京航空航天大学 | 采用模块安全性分析获取软件安全性需求的方法 |
| CN105404278B (zh) * | 2015-12-09 | 2018-08-03 | 中国航空工业集团公司西安航空计算技术研究所 | 一种安全关键软件的健康管理方法 |
| CN108122061A (zh) * | 2016-11-30 | 2018-06-05 | 中国航空工业集团公司成都飞机设计研究所 | 基于危险指标索引矩阵的航空装备软件重要度分级方法 |
| CN106709253B (zh) * | 2016-12-28 | 2019-05-10 | 中国航空工业集团公司西安飞机设计研究所 | 一种机载设备重要度确定方法 |
| CN107797921B (zh) * | 2017-09-07 | 2020-08-04 | 北京航空航天大学 | 嵌入式软件通用安全性需求的获取方法 |
| CN109144870B (zh) * | 2018-08-17 | 2020-07-31 | 中国航空综合技术研究所 | 基于使用剖面的软件安全性分析方法 |
| CN112612241B (zh) * | 2020-12-15 | 2021-09-28 | 中国航空综合技术研究所 | 航空装备现场可编程逻辑器件软件安全性分析方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567270A (zh) * | 2003-06-14 | 2005-01-19 | 中兴通讯股份有限公司 | 一种使用多个启动程序存储器的处理器系统及其启动方法 |
| CN102622249A (zh) * | 2012-03-05 | 2012-08-01 | 山东华芯半导体有限公司 | 一种防止cpu自锁的安全启动方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
-
2013
- 2013-12-04 CN CN201310648088.3A patent/CN103605608B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567270A (zh) * | 2003-06-14 | 2005-01-19 | 中兴通讯股份有限公司 | 一种使用多个启动程序存储器的处理器系统及其启动方法 |
| CN102622249A (zh) * | 2012-03-05 | 2012-08-01 | 山东华芯半导体有限公司 | 一种防止cpu自锁的安全启动方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103605608A (zh) | 2014-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103605608B (zh) | 一种嵌入式软件安全性分析充分性检查方法 | |
| US10055648B1 (en) | Detection, classification, and tracking of surface contacts for maritime assets | |
| Purton et al. | Identification of ADS-B system vulnerabilities and threats | |
| KR101258668B1 (ko) | 한반도 통합형 기상 레이더 품질 관리 시스템 및 그 방법 | |
| Chen et al. | Automatic power line extraction from high resolution remote sensing imagery based on an improved radon transform | |
| CN104504686A (zh) | 一种采用局部自适应阈值分割的高光谱图像异常探测方法 | |
| CN101916440B (zh) | 基于数字图像形态学理论的高光谱异常检测方法 | |
| Humaidi et al. | FPGA-based lane-detection architecture for autonomous vehicles: A real-time design and development | |
| CN111624607A (zh) | 低空风切变区域的获取方法、装置、设备和存储介质 | |
| CN104732236A (zh) | 一种基于分层处理的人群异常行为智能检测方法 | |
| CN111523362A (zh) | 一种基于电子围网的数据分析方法、装置及电子设备 | |
| CN113283315B (zh) | 一种多飞行状态直升机故障动态监测告警方法 | |
| Forsberg et al. | Challenges in using neural networks in safety-critical applications | |
| Yu et al. | Aircraft target detection using multimodal satellite-based data | |
| CN116310903A (zh) | 识别光伏组件故障类型的方法、装置及电子设备 | |
| CN114445663A (zh) | 检测对抗样本的方法、装置及计算机程序产品 | |
| CN115797316A (zh) | 重载绳监测方法、装置、计算机设备及介质 | |
| CN115641607A (zh) | 电力施工现场作业人员穿戴行为检测方法、装置、设备及存储介质 | |
| Khan et al. | Recognizing foreign object debris (FOD): false alarm reduction implementation | |
| CN113065809A (zh) | 一种民用飞机信息安全风险分析系统 | |
| CN103996050A (zh) | 一种基于极坐标下Fourier频谱的防护网检测方法 | |
| CN114091503A (zh) | 人脸图像的校验方法、装置、电子设备及存储介质 | |
| CN113452700A (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
| CN110610085B (zh) | 放行检查方法、装置和计算机设备 | |
| CN114241400A (zh) | 电网系统的监控方法及其装置、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |