CN105760653A

CN105760653A - 一种基于随机时间Petri网的系统安全性分析方法

Info

Publication number: CN105760653A
Application number: CN201610065441.9A
Authority: CN
Inventors: 姚淑珍; 谭火彬; 彭颖; 朱丹江
Original assignee: Beihang University
Current assignee: Beihang University
Priority date: 2016-01-29
Filing date: 2016-01-29
Publication date: 2016-07-13

Abstract

本发明涉及一种基于随机时间Petri网的系统安全性分析方法，用于在安全攸关系统设计期间通过系统安全性需求分析，建立系统的sTPN模型，基于时序逻辑CSL公式将安全性度量指标转化为形式化的表达，最后计算稳定状态安全度和基于路径的安全性指标从而评估系统的安全性。该方法所能描述的系统可以包含实施时延的概率密度函数是e的多项式形式的变迁，并且提出了基于路径的安全性指标这一现有安全性研究未涉及的指标。本发明能够在系统设计期间自动化地计算稳定状态安全度和基于路径的安全性指标，准确有效地评估系统的安全性。

Description

一种基于随机时间Petri网的系统安全性分析方法

技术领域

本发明提出一种基于随机时间Petri网(stochasticTimePetriNets,sTPN)的系统安全性分析方法，用于在安全攸关系统设计期间通过系统的sTPN模型评估稳定状态安全度和基于路径的安全性指标这两类安全性度量指标。

背景技术

对于安全性分析，国内外学者已经做了大量研究，并提出了许多模型和方法，例如故障树分析法、失效模式与影响分析方法、潜在通路分析法和Petri网分析法等等。传统的安全性分析方法大多是静态分析技术，即从系统的硬件结构和功能的角度出发分析系统部件失效的可能，没有涉及系统的动态行为特征，并且这些技术很大程度上依赖于分析人员的工程经验。Petri网模型既能够描述系统的静态结构又能够描述系统的动态运行，并且Petri网具有并发性、异步性、不确定性、互斥性以及其他分布式系统的典型特征，很适合在设计期间对系统建模以及进行安全性分析。

现有的国内外将Petri网与安全性分析结合的研究根据所利用的Petri网的类别主要分为四类。第一类是基于基本Petri网进行安全性分析的方法，其主要步骤是：定义系统的不安全状态并评估其后果的严重程度，将不安全状态分为高风险状态和低风险状态，安全性分析的目标就是分析高风险状态是否可达；根据可达图由高风险状态往前推找到关键状态；最后给出相应的对策。此处的关键状态是满足以下两个条件的状态：1)关键状态本身是低风险状态；2)从此关键状态出发至少存在两条路径，其中一条通向高风险状态而另一条通向低风险状态。相应的对策是，修改Petri网模型使得通向低风险状态的路径优先发生。利用基本Petri网进行安全性分析的局限在于只能进行定性分析，即分析高风险状态是否可达。

第二类是基于时间Petri网进行安全性分析，时间Petri网在基本Petri网的基础上引入了时间因素，给每个变迁加上了从可实施到变迁实施所需的最小延时和最大延时。此方法主要通过仿真得到系统在规定时间内完成一系列变迁到达目标状态的概率，若不能在规定时间内完成则系统将处于不安全状态。由于时间Petri网只给定了变迁实施延时的区间，但并未指明区间内的概率分布，得到的仿真结果的准确性依赖于延时分布假设的准确性。

第三类是基于随机Petri网进行安全性分析，随机Petri网将时间因素作为随机变量引入。基于随机Petri网进行安全性分析的主要步骤是得到广义随机Petri网GSPN或确定随机Petri网DSPN的可达图，再根据GSPN同构的连续时间离散状态马尔可夫链或DSPN的嵌入马尔可夫链计算其稳定状态概率，从而得到系统在长时间运行到达稳定状态时处于高风险状态的概率。

第四类是基于着色Petri网进行安全性分析，着色Petri网通过给库所中的托肯加上颜色信息让建模者可以更好地描述系统，折叠程度更高，能有效改善状态空间爆炸的问题。基于着色Petri网进行安全性分析方法与基本Petri网类似，即定性分析高风险状态是否可达。

以上方法只有基于随机Petri网的安全性分析方法，由于给每个变迁关联了服从一定的概率分布的实施时延，可应用于安全性定量分析，即分析系统长时间运行到达稳定状态时处于高风险状态的概率。但是随机Petri网只包含瞬时变迁、时延服从负指数分布和确定分布的变迁，大大限制了所能描述的系统的范围。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种基于随机时间Petri网的系统安全性分析方法，能够在系统设计期间自动化地计算稳定状态安全度和基于路径的安全性指标，准确有效地评估系统的安全性。

本发明技术解决：如图1所示，一种基于随机时间Petri网的系统安全性分析方法，其特征在于实现步骤如下：首先建立待评估系统的随机时间Petri网模型，通过时序逻辑CSL公式将安全性度量指标转化为形式化的表达，最后在Petri网模型的基础上，结合CSL公式计算稳定状态安全度和基于路径的安全性指标从而评估系统的安全性；该方法适用于系统变迁的实施时延服从概率密度函数是e的多项式形式的所有系统。

所述基于时序逻辑CSL公式将安全性度量指标转化为形式化的表达的方法为：将稳定状态安全度和基于路径的安全性指标表示为S_≤λ[Φ]和对于公式S_≤λ[Φ]，Φ定义为系统处于不安全状态的条件，λ表示系统期望的不安全状态发生概率，公式S_≤λ[Φ]表示系统长时间运行到达稳定状态时处于不安全状态的概率小于等于λ，也就是意味着目标系统满足期望的稳定状态安全度。对于公式s为初始状态，表示系统处于安全状态的条件，表示系统处于不安全状态的条件，该公式表示系统从初始状态s出发，在[0,t]的时间范围内，经过每个状态都满足的路径第一次到达满足状态的概率小于等于p，也就是在时间范围[0,t]内经过满足公式的路径第一次到达不安全状态的概率。通过利用这种CSL形式化公式，可以清晰地表示系统安全性指标，并且不需要人工根据所计算的安全性指标更改模型，基于此类公式的不同安全性指标可以利用同一个算法逻辑得出计算结果。

所述计算稳定状态安全度的步骤是，首先得到Petri网模型的随机状态类可达图，检索其中所有的底部强连通组件BSCC，再计算从初始状态出发到达每个BSCC的概率，结合马尔可夫理论通过计算离散时间的稳定状态概率和随机状态类的平均逗留时间得到BSCC内部的稳态概率，最后结合CSL公式计算稳定状态安全度并判断是否满足安全性需求。

所述计算基于路径的安全性指标的步骤是，首先得到Petri网模型的瞬态随机状态类可达图，针对CSL公式修改Petri网的瞬态随机状态类可达图中满足公式的状态为吸收状态，对修改后的Petri网模型进行瞬态分析，最后累加时刻t满足公式的状态的瞬态概率，结合CSL公式判断是否满足安全性需求。

本发明与现有技术相比的优点在于：

(1)通过利用sTPN建立待评估系统的模型，可以包含实施时延服从概率密度函数是e的多项式形式的变迁，与现有的基于基本Petri网和随机Petri网的安全性分析方法相比，扩大了所能描述的系统范围。

(2)相比基于自然语言描述的安全性度量指标的模糊性和二义性，通过利用时序逻辑CSL公式将其转化为形式化的表达使得含义清晰明了；不需要人工地根据所要计算的安全性指标更改模型，一个模型就可以计算不同的指标，例如，对于基于路径的安全性指标只需要更改与的所表示的条件即可；基于这类公式的不同的安全性指标可以利用同一个算法逻辑得出计算结果。

(3)本发明提出的安全性分析方法，通过修改待评估系统的sTPN模型的瞬态随机状态类可达图并且利用sTPN的瞬态分析技术可以计算基于路径的安全性指标，这在现有的安全性研究中是未涉及的。

附图说明

图1为本发明实现流程图；

图2为本发明中的稳定状态安全度的计算流程图；

图3为本发明中的基于路径的安全性度量指标的计算流程图；

图4为冗余容错系统的sTPN模型；

图5为sTPN模型的随机状态类可达图；

图6为基于路径的安全性指标随时间变化的趋势图。

具体实施方式

如图1所示，本发明一种基于随机时间Petri网的系统安全性分析方法，包括两部分；一是提出一种以时序逻辑CSL(ContinousStochasticLogic)公式形式化地表示安全性度量指标的方法；二是提出一种基于sTPN的安全性度量指标的算法，具体技术方案描述如下：

1.基于CSL的安全性度量指标描述方法

本发明主要研究两类安全性度量指标：稳定状态安全度和基于路径的安全性指标。稳定状态安全度，具体含义指系统长时间运行到达稳定状态时处于安全状态的概率，它反映了系统的可用性。基于路径的安全性指标描述了在一定时间范围内第一次到达不安全状态的情况，例如飞机在起飞后降落前这一段时间内发生严重故障导致不安全后果的概率。现有的安全性分析的研究并没有涉猎这一类安全性指标。

本发明提出的基于CSL的安全性度量指标描述方法，根据CSL公式的语法和语义特点将安全性度量指标转化为如下形式化的表达：S_≤λ[Φ]和前者用于表示稳定状态安全度，因为绝大多数情况下系统都处于安全状态，可以将问题转换为求解系统长时间运行到达稳定状态时处于不安全状态的概率。Φ定义为系统处于不安全状态时所满足的状态公式，λ表示1-期望的稳定状态安全度所得的值。后者表示基于路径的安全性指标，此公式等价于公式的意义是从初始状态s出发，模型在时间范围[0,t]内经过每个状态都满足公式的路径第一次到达满足公式的状态的概率小于等于p。若公式表示系统处于不安全状态时满足的条件，则上述公式的计算结果为系统在时间范围[0,t]内经过一直满足限制条件的路径第一次到达不安全状态的概率。

利用CSL公式表示安全性度量指标主要有三个优点：

(1)相比基于自然语言描述的安全性度量指标的模糊性和二义性，形式化的表示使得含义清晰明了；

(2)不需要人工地根据所要计算的安全性指标更改模型，一个模型就可以计算不同的指标，例如，对于基于路径的安全性指标只需要更改与的含义即可；

(3)基于这类公式的不同的安全性指标可以利用同一个算法逻辑得出计算结果。

2.基于sTPN的安全性度量指标的算法

下面分别针对稳定状态安全度和基于路径的安全性指标阐述计算的方法。

2.1稳定状态安全度的计算

稳定状态安全度可利用CSL公式S_≤λ[Φ]来表示，Φ定义为系统处于不安全状态时所满足的状态公式，S_≤λ[Φ]的真值则表示系统的稳定状态安全度是否满足期望。稳定状态安全度的计算的流程图如图2所示。

首先需要建立系统的sTPN模型，并且定义系统的不安全状态，输入对应的CSL公式；然后得到sTPN模型的随机状态类可达图。接着判断随机状态类可达图是否有限。若是有限的，则第一步是检索其中所有的底部强连通组件(bottomstronglyconnectedcomponent,BSCC)。一个子图B是BSCC当且仅当它是一个最大强连通组件，即它不包含通向它的顶点之外的边，即对于所有s∈B，Reach(s)＝B。易知，BSCC之外的状态的稳定状态概率为0。

第二步是对于包含满足公式Φ的状态的BSCCB，计算从初始状态s出发到达B的概率Prob(s,B)：

第三步是计算BSCC内部的稳定状态概率。由于sTPN的标识变化等价的随机过程属于广义半马尔可夫过程(generalizedsemi-Markovprocess)，可以先基于随机状态类可达图和离散时间马尔可夫链理论计算离散时间的稳定状态概率，再结合每个随机状态类的平均逗留时间计算连续时间的稳定状态概率。最后，通过下列公式求解系统的稳定状态概率，即可判断稳定状态安全度是否满足期望。

π (s, S^{'}) = \underset{B &Element; B (M)}{Σ} (\Pr o b (s, B) * \underset{s^{'} &Element; B \cap S^{'}}{Σ} π^{B} (s^{'}))

S’是待分析的随机状态类的集合，B(M)是随机状态类可达图的所有BSCC，π^B(s′)指在BSCCB内部状态s′的稳定状态概率。

2.1.1离散时间的稳定状态概率的计算

由于sTPN的标识变化等价的随机过程属于广义半马尔可夫过程，因此考虑离散时间，sTPN的随机状态类图的BSCC是一个离散时间马尔可夫链。

由于所分析的sTPN的随机状态类图的BSCC是有限的，不可约的，结合马尔可夫理论，它的离散时间下的稳定状态概率分布可由下列矩阵方程求得:

\{\begin{matrix} η = η P \\ Σ_{i = 1}^{n} η_{i} = 1 \end{matrix}

η表示稳定状态概率分布，P表示转移概率矩阵，n表示BSCC中随机状态类的数量。

2.1.2连续时间的稳定状态概率的计算

sTPN的随机状态类可达图的BSCC的连续时间稳定状态概率可通过结合离散时间的稳定状态概率和随机状态类的平均逗留时间来计算。

η_{Σ^{i}}^{X} = \frac{η_{Σ^{i}}^{Y} \times E ({SJ}_{Σ^{i}}^{X})}{Σ_{Σ^{h} &Element; X} (η_{Σ^{h}}^{Y} \times E ({SJ}_{Σ^{h}}^{X}))}

其中表示稳定状态时处于状态Σⁱ的概率，表示离散时间情况下的稳定状态时处于状态Σⁱ的概率，表示状态Σⁱ的平均逗留时间。

随机状态类的平均逗留时间可以通过枚举当前标识所有可实施的变迁t_i，计算该变迁实施的概率μ_i，计算若t_i实施，在随机状态类s的平均逗留时间SJ_i，即变迁i的平均实施时延，最后通过如下公式计算：

{SJ}_{S} = Σ_{t_{i} &Element; T^{f} (s)} (μ_{i} \times {SJ}_{i})

其中SJ_s表示随机状态类s的平均逗留时间，T^f(s)表示状态随机状态类s可实施的变迁的集合。

2.2基于路径的安全性指标的计算

基于路径的安全性指标可以利用公式来表示，此公式等价于公式表示系统处于不安全状态时满足的条件，基于路径的安全性指标的计算的流程图如图3所示。

首先建立系统的sTPN模型，然后输入代表基于路径的安全性指标的CSL公式之后得到sTPN模型的瞬态随机状态类图，针对公式修改图中满足公式的状态为吸收状态，对修改后的模型进行瞬态分析，最后累加时刻t满足公式的状态的瞬态概率，若和小于等于p则表示模型满足上述CSL公式，否则不满足。

对于sTPN的瞬态随机状态类图M和公式定义为修改M中所有满足公式的状态为吸收状态(吸收状态是指系统的某些状态，一旦进入这些状态就不再向外转移)得到的瞬态随机状态类图。

定理：若则并且可以转换为求时刻t满足的状态的瞬态概率。

证明如下：

对于若为真，则为假或者为真。所以中的吸收状态为为假或者为真的状态，这些状态不再有其他后续状态。

M中共有四类路径：

(1)在时间t内沿着满足的状态，到达满足的状态，这类路径的概率应包含在

(2)在时间t内沿着满足的状态，到达满足的状态，这类路径的概率应包含在中

(3)在时间t内经过状态都满足这类路径的概率不应包含在中。

(4)在时间t内沿着满足的状态，到达满足的状态，这类路径的概率不应包含在

对于第一种情况，满足公式由于不满足的状态为吸收状态，因此在时刻t，依然处于此状态。对于第二种情况，满足公式由于满足的状态为吸收状态，因此在时刻t，依然处于此状态。对于第三种情况，不满足公式对于第四种情况，不满足公式由于不满足的状态为吸收状态，因此在时刻t，依然处于此状态，即一直未到达满足的状态。综上所述，并且对于前两种情况，时刻t时的状态满足对于后两种情况，时刻t时的状态不满足因此问题可以转换为求解时刻t满足的状态的瞬态概率，即瞬态分析。

当变迁的实施时延的概率密度函数f_t()是一个e的多项式形式函数时，即可达的瞬态随机状态类的概率密度函数有闭合解，可以利用已有的sTPN瞬态分析理论有效地进行瞬态分析。易知，上述函数不仅包含了指数分布和确定分布，还包含了其他常用的函数分布如均匀分布、伽马分布和爱尔朗分布等等。

以下通过冗余容错系统的具体实例说明本发明的实施方法，结合附图和实施实例对本发明进一步详细说明。

根据图2和图3可知，首先需要建立系统的sTPN模型。

一个sTPN由一个十一元组构成：sTPN＝<P,T,A^-,A⁺,A^·,m₀,EFT,LFT,F,C,W>。和时间Petri网一样，P是库所的集合，T是变迁的集合，分别代表着前置条件、后置条件和抑制弧的集合；m₀是初始标识。EFT:T→R₀ ⁺和LFT:T→R₀ ⁺∪{+∞}表示每个变迁的最小实施时延和最大实施时延。F代表每个变迁的实施时延在[EFT,LFT]区间内的概率分布函数，C是变迁的权重的集合，W是弧的权重函数，默认值为1。本发明方法中sTPN可以包含所有实施时延的概率密度函数是e的多项式形式的变迁。

随机状态类是一个三元组<m,D,f_τ()>，m表示标识，向量τ＝<τ₀,τ₁,...,τ_N-1>是代表标识m下所有使能变迁的实施时延的变量，D是一个差分界限矩阵(DifferenceBoundsMatrix,DBM)，表示标识m下所有使能变迁的实施时延的的分布区域，也就是说这些变迁的实施时延变量分布在一个以一系列线性不等式表示的区域内，f_τ()代表变迁的实施时延的随机变量τ在D上分布的概率密度函数。瞬态随机状态类是一个三元组其中m表示标识，<τ_age,τ>是称为时钟向量的变量，其中τ_age是代表已经过时间的负值的标量，向量τ＝<τ₀,τ₁,...,τ_N-1>代表m标识下所有使能的变迁的实施时延，代表<τ_age,τ>在D上的概率密度函数。

以冗余容错系统的老化失效及修复过程为分析对象，建立sTPN模型如图4所示。库所up中的托肯数量代表正常运行的处理模块数目，初始状态有三个正常运行的处理模块。变迁Tage表示处理模块的老化过程，库所age中的托肯数量代表老化的、可能失效的处理模块数目。变迁Tdown表示处理模块失效，库所down中的托肯数量代表已经失效的处理模块数目。变迁Trej1表示处理模块从老化状态恢复到正常运行状态的过程，变迁Trej2表示处理模块从失效状态恢复到正常运行状态的过程。其中变迁Tage的实施时延服从伽马分布，参数α＝2,β＝1，其他变迁的实施时延均服从指数分布，参数λ＝1。

对于上述冗余容错系统，不安全状态是当库所down中的托肯数大于等于2的状态，若没有失效的处理模块或者只有一个处理模块失效，则系统依然正常运行，仍处于安全状态。因此对于该系统，其稳定状态安全度可表示为S_≤0.01[(＃down≥2)]，#down表示库所down中的托肯数目。

为了计算该CSL公示是否成立，首先构造该sTPN的随机状态类可达图如图5所示，它是有限的，并且它只包含一个BSCC，此BSCC包括除初始随机状态类Σ₁外的所有随机状态类。并且Σ₁只有到达包含于此BSCC内部的Σ₂的变迁，因此从初始状态出发到达此BSCC的概率为1，只需计算BSCC内部的稳定状态概率即可。

依据2.1.1计算离散时间的稳定状态概率，结果如下表1所示。

表1离散时间的稳定状态概率

结合各状态类的平均逗留时间，因此可得到连续时间的稳定状态概率，满足公式(＃down≥2)的如下表2所示。

表2满足(#down≥2)的连续时间稳态概率

因此，计算得到的稳定状态概率为0.03440372842786623+0.009960933409961775+0.0033203111366538656＝0.0476849729744817。不满足稳定状态安全度公式S_≤0.01[(＃down≥2)]。

根据图3，基于路径的安全性指标可表示为Prob{s，ttU^≤10(＃down≥2)}≤0.01，即在10个单位时间之内第一次到达至少两个处理模块失效的情况的概率是否小于等于0.01。首先得到sTPN的瞬态随机状态类图，然后修改满足(＃down≥2)的状态为吸收状态，接着瞬态分析，求解在10个单位时间这个时刻满足(＃down≥2)的状态的瞬态概率。基于路径的安全性指标随时间变化的趋势如图6所示，在t＝10时概率为0.170809，即不满足上述基于路径的安全性指标。

提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。

Claims

1.一种基于随机时间Petri网的系统安全性分析方法，其特征在于实现步骤如下：首先建立待评估系统的随机时间Petri网模型，通过时序逻辑CSL公式将安全性度量指标转化为形式化的表达，最后在Petri网模型的基础上，结合CSL公式计算稳定状态安全度和基于路径的安全性指标从而评估系统的安全性；所述稳定状态安全度是指待评估系统长时间运行到达稳定状态时处于安全状态的概率，它反映了系统的可用性；基于路径的安全性指标描述了系统在一定时间范围内第一次到达不安全状态的情况。

2.根据权利要求1所述的基于随机时间Petri网的系统安全性分析方法，其特征在于：所述方法适用于系统变迁的实施时延服从概率密度函数是e的多项式形式的所有系统。

3.根据权利要求1所述的基于随机时间Petri网的系统安全性分析方法，其特征在于：所述基于时序逻辑CSL公式将安全性度量指标转化为形式化的表达的方法为：将稳定状态安全度和基于路径的安全性指标分别表示为S_≤λ[Φ]和在公式S_≤λ[Φ]中，Φ定义为系统处于不安全状态的条件，λ表示系统期望的不安全状态发生概率，公式S_≤λ[Φ]表示系统长时间运行到达稳定状态时处于不安全状态的概率小于等于λ，也就是意味着目标系统满足期望的稳定状态安全度；在公式中，s为初始状态，表示系统处于安全状态的条件，表示系统处于不安全状态的条件，该公式表示系统从初始状态s出发，在[0,t]的时间范围内，经过每个状态都满足的路径第一次到达满足状态的概率小于等于p，也就是在时间范围[0,t]内经过满足公式的路径第一次到达不安全状态的概率。

4.根据权利要求1所述的基于随机时间Petri网的系统安全性分析方法，其特征在于：所述计算稳定状态安全度的步骤是，首先得到Petri网模型的随机状态类可达图，检索其中所有的底部强连通组件BSCC，再计算从初始状态出发到达每个BSCC的概率，结合马尔可夫理论通过计算离散时间的稳定状态概率和随机状态类的平均逗留时间得到BSCC内部的稳态概率，最后结合CSL公式计算稳定状态安全度并判断是否满足安全性需求。

5.根据权利要求1所述的基于随机时间Petri网的系统安全性分析方法，其特征在于：所述计算基于路径的安全性指标的步骤是，首先得到Petri网模型的瞬态随机状态类可达图，针对CSL公式修改Petri网的可达瞬态随机状态类可达图中满足公式的状态为吸收状态，对修改后的Petri网模型进行瞬态分析，最后累加时刻t满足公式的状态的瞬态概率，结合CSL公式判断是否满足安全性需求。