CN105808366A - 一种基于四变量模型的系统安全分析方法 - Google Patents

Abstract

本发明提供了一种基于四变量模型的系统安全分析方法。所述基于四变量模型的系统安全分析方法包括如下步骤：a、监测并分析确定系统的受监控的变量、受控制的变量、输入变量和输出变量；b、基于所述受监控的变量、所述受控制的变量、所述输入变量和所述输出变量构建所述系统的四变量模型，并利用所述四变量模型对所述系统进行需求分析；c、构建所述四变量模型与AltaRica模型之间的语义映射规则，并设计具有流变量和状态变量的所述AltaRica模型；d、利用所述AltaRica模型的分析工具构建所述系统的故障树，并进行安全性验证。本发明的基于四变量模型的系统安全分析方法能够更好的体现系统功能和物理架构，从而更方便地进行所述系统的安全性和可靠性分析。

Description

一种基于四变量模型的系统安全分析方法

【技术领域】

本发明属于系统安全分析领域，具体地涉及一种基于四变量模型的系统安全分析方法。

【背景技术】

目前，嵌入式系统不仅已由工业、通信和网络扩展到了与数字多媒体相关的消费领域，在军工电子、航空航海、国家大飞机等安全关键系统工程领域中也同样得到了广泛应用。由于软件系统开发对象复杂度的不断提高，硬件和软件设计比例也随之发生了很大变化，为适应这种变化，就需要相应地提高嵌入式系统的复杂性和多样性。同时，随着软件系统设计规模越来越大以及系统框架越来越复杂，对嵌入式系统的安全性和可靠性要求也越来越高，嵌入式系统的应用不再是过去单一的应用模式，而是越来越多样化。由此，如何设计并验证这类系统已经成为工业界与学术界的一个研究热点。

而且，针对模型的系统安全性分析，安全工程师提出的模型设计安全性评估方法包括：故障树分析法(FTA)、故障模式及影响分析方法(FMEA)和马尔科夫过程模型(Markovprocess)。

对故障树分析法(FTA)而言，不同的安全工程师在同一系统环境下可能会以不同的方式生成故障树。而且，由于安全工程师是针对实际系统做回顾研究，使得最终生成的故障树与所研究的系统达到一致性的效果，因此，尽管最终结果确实具备了一致性，但是基于非正式模型产生的分析结果是不可能完整的、一致的、甚至是无差错的，故该分析结果也不可能作为基本分析方式使用到后续工作中。

对故障模式及影响分析方法(FMEA)而言，FMEA需要根据现有的客户需求和资料来分析系统结构，鉴别系统中每一个潜在的故障模式，分析引起故障的原因并设计一份完整的“故障模式分析表”，接着利用统计学方法，估算故障发生时的不宜探测度、严重度以及发生频率等因素，根据这些因素来计算风险优先度的值，最后再根据RPN值的大小判断是否有必要进行改进或确定改进的轻重缓急程度。这导致FMEA虽然原理简单明了并且容易掌握，但是实施起来比较繁琐，浪费资源并且耗时多。

对马尔科夫过程模型(Markovprocess)而言，马尔科夫过程模型具有如下特性：在已知目前状态的条件下，它未来的演变不依赖于它以往的演变。而且，虽然马尔科夫过程模型已得到了广泛应用，但模型与所要研究的实际系统规范相差较远。

因此，有必要提供一种基于四变量模型的系统安全分析方法。

【发明内容】

本发明的目的在于提供一种基于四变量模型的系统安全分析方法。

本发明的技术方案如下：一种基于四变量模型的系统安全分析方法，包括如下步骤：

a、监测并分析确定系统的受监控的变量、受控制的变量、输入变量和输出变量；

b、基于所述受监控的变量、所述受控制的变量、所述输入变量和所述输出变量构建所述系统的四变量模型，并利用所述四变量模型对所述系统进行需求分析；

c、构建所述四变量模型与AltaRica模型之间的语义映射规则，并设计具有流变量和状态变量的所述AltaRica模型；

d、利用所述AltaRica模型的分析工具构建所述系统的故障树，并进行安全性验证。

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，所述四变量模型还包括NAT关系、REQ关系、IN关系和OUT关系；所述NAT关系定义所述受监控的变量和所述受控制的变量之间的约束关系，所述REQ关系描述受监控的变量和受控制的变量之间的约束关系，所述IN关系描述所述受监控的变量和所述输入变量之间的映射关系，所述OUT关系描述所述输出变量和所述受控制的变量之间的映射关系；

在所述AltaRica模型中，所述流变量分别对应所述受监控的变量和所述受控制的变量，所述状态变量分别对应所述输入变量和所述输出变量。

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，所述步骤c还包括如下步骤：构建所述受监控的变量和所述受控制的变量与所述AltaRica模型之间的映射关系；构建所述输入变量和所述输出变量与所述AltaRica模型之间的映射关系；构建所述NAT关系与所述AltaRica模型之间的映射关系；构建所述REQ关系与所述AltaRica模型之间的映射关系；以及构建所述IN关系和所述OUT关系与所述AltaRica模型之间的映射关系。

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，设定所述四变量模型包括多个受监控的变量和多个受控制的变量，分别用两个集合表示，并分别记作MV＝{mv1,mv2,…,mvn},CV＝{cv1,cv2,…,cvn}；在所述AltaRica模型中，设定所述AltaRica模型的流变量用F表示，并记作F＝{f1,f2,…,fn}，其中，fi具有in和out两种属性，所述受监控的变量和所述受控制的变量分别与所述流变量的对应关系如下：

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，设定所述四变量模型包括多个输入变量和多个输出变量，分别用集合表示，并分别记作IV＝{iv1,iv2,…,ivn}，OV＝{ov1,ov2,…,ovn}；在所述AltaRica模型中，设定所述AltaRica模型的状态变量用S＝{s1，s2，…，sn}表示，其中，si分为输入流in和输出流out，所述输入变量和所述输出变量与所述状态变量之间对应关系如下：

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，设定所述AltaRica模型的流变量和状态变量之间的约束关系通过断言assert函数实现；并设定符号⊕代表所述四变量模型和所述AltaRica模型中的自然约束关系，所述NAT关系与所述断言assert函数之间的对应关系如下：

(M：MV.mvi)⊕(M：CV.cvi)→(N:assertF.fi⊕F.fj)。

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，设定符号⊥代表所述四变量模型和所述AltaRica模型中的附加约束关系，所述REQ关系与所述断言assert函数之间对应关系可表示为：

(M：MV.mvi)⊥(M：CV.cvi)→(N:assertF.fi⊥F.fj)。

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，设定符号“├”分别代表所述四变量模型中受监控的变量与输入变量和受控制的变量与输出变量之间的映射关系，以及所述AltaRica模型中流变量和状态变量之间的映射关系，所述IN关系和所述OUT关系与所述断言assert函数之间的对应关系可表示为：

(M：MV.mvi)├(M：IV.ivi)→(N:assertF.fi├S.si)；

(M：OV.ovi)├(M：CV.cvi)→(N:assertF.fi├S.si)。

在本发明提供的基于四变量模型的系统安全分析方法一较佳实施例中，所述步骤d还包括如下步骤：

利用所述AltaRica模型的分析工具Simfia进行系统安全性分析；及利用所述AltaRica模型的配套工具ARC进行系统的安全性验证。

本发明的有益效果在于：所述基于四变量模型的系统安全分析方法中，利用四变量模型对所述系统进行需求分析，然后基于所述四变量模型与所述AltaRica模型间的语义映射规则，设计出所述系统的AltaRica模型，最后利用所述AltaRica模型的分析工具构建所述系统的故障树，并进行安全性验证，因此所述四变量模型的系统安全分析方法能够更好的体现系统功能和物理架构，从而更方便地进行所述系统的安全性和可靠性分析。

【附图说明】

图1为本发明实施例提供的基于四变量模型的系统安全分析方法的分析框架结构图；

图2是本发明实施例提供的基于四变量模型的系统安全分析方法的流程框图；

图3是图2所示基于四变量模型的系统安全分析方法的步骤S2中受监控的变量和受控制的变量与所述AltaRica模型的流变量之间映射过程示意图；

图4是图2所示基于四变量模型的系统安全分析方法的步骤S2中输入变量和输出变量与所述AltaRica模型的状态变量之间映射过程示意图；

图5是图2所示基于四变量模型的系统安全分析方法的步骤S2中REQ关系与所述AltaRica模型的断言assert函数之间映射过程示意图；

图6是飞机中机轮刹车系统的工作原理示意图。

【具体实施方式】

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。除非上下文另有特定清楚的描述，本发明中的元件和组件，数量既可以单个的形式存在，也可以多个的形式存在，本发明并不对此进行限定。本发明中的步骤虽然用标号进行了排列，但并不用于限定步骤的先后次序，除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础，否则步骤的相对次序是可以调整的。可以理解，本文中所使用的术语“和/或”涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组合。

请同时参阅图1和图2，图1为本发明实施例提供的基于四变量模型的系统安全分析方法的分析框架结构图，图2是本发明实施例提供的基于四变量模型的系统安全分析方法的流程框图。

本发明提供的基于四变量模型的系统安全分析方法100主要是针对系统的安全性及可靠性问题进行分析，包括如下步骤：

步骤S1、监测并分析确定系统的受监控的变量、受控制的变量、输入变量和输出变量。

在步骤S1中，对系统进行观察和监测，记录并获得所述系统的受监控的变量、受控制的变量、输入变量和输出变量。

其中，所述受监控的变量是指所述系统观察到并对系统行为做出回应的变量。例如：飞机在飞行过程中所监测到的飞行速度，并根据飞行速度来改变飞行高度。

所述受控制的变量是指系统用于控制外部环境做出变化的变量。例如：上述根据飞行速度控制的飞机飞行高度。

所述输入变量是指系统软件读入的变量，由系统中的输入设备将受监控的变量转化而得到的。

所述输出变量是指系统软件读出的变量，经系统中的输出设备转化后得到受控制的变量。

步骤S2、基于所述受监控的变量、所述受控制的变量、所述输入变量和所述输出变量构建所述系统的四变量模型，并利用所述四变量模型对所述系统进行需求分析。

在本实施例中，所述四变量模型的基本结构包括四类变量和四类关系。所述四类变量包括所述系统的受监控的变量、受控制的变量、输入变量和输出变量；所述四类关系包括所述系统的NAT关系、REQ关系、IN关系和OUT关系。其中，所述NAT关系定义所述受监控的变量和所述受控制的变量之间的约束关系，所述REQ关系描述受监控的变量和受控制的变量之间的约束关系，所述IN关系描述所述受监控的变量和所述输入变量之间的映射关系，所述OUT关系描述所述输出变量和所述受控制的变量之间的映射关系。

例如，所述NAT关系可以定义系统环境中的自然约束，如飞机最大爬升率；所述REQ关系可以定义系统需求，并指明当受监控的变量发生变化时，受控制的变量如何相应的发生变化；所述IN关系可以定义系统中受监控的变量与输入变量之间的映射关系；所述OUT关系可以定义系统中输出变量与受控制的变量之间的映射关系。

并且，在所述系统的需求分析方面，基于所述系统的受监控的变量、受控制的变量、输入变量和输出变量构建四变量模型，并利用所述四变量模型从需求层面对所述系统进行需求分析。

步骤S3、构建所述四变量模型与AltaRica模型之间的语义映射规则，并设计具有流变量和状态变量的所述AltaRica模型。

具体地，在步骤S3中，分析并研究所述四变量模型与所述AltaRica模型的形式化语义。其中，在所述四变量模型的形式化语义研究中，引入SCR需求分析方法，并分别从系统状态、条件、事件、系统和实体排序四个方面对所述四变量模型展开研究。

在所述AltaRica模型的形式化语义研究中，基于约束的AltaRica语义需要执行静态分析算法和约束求解器。而且，在构建所述AltaRica模型分析工具的过程中，如果静态分析不能成功地消除约束，那么这些需求在开发以及执行过程中就会付出高昂代价，浪费资源。为解决这一问题，研究人员于2002年提出了AltaRica数据流的概念，该数据流增强了数据流动的方向性，并且在变量依赖关系图中能够消除循环。

而且，设定所述AltaRica模型是一种用于描述约束自动机的建模语言，所述约束自动机是一个元组集A＝<D,S,F,E,T,A,I>，其中：

D是一个有限或无限域；

S和F是两个变量集，并分别定义为所述状态变量和所述流变量，并且

E是事件集；

T是转换集。其中，所述转换集是元组集(g,e,a)，是基于S∪F的一种约束，称为转换的卫士；其中，在所述AltaRica模型中，

e∈E并且a是后继状态的一种映射：a：D^|S∪F|→D^|S|；

是定义在变量值上的断言assert函数；

定义了自动机中的初始(init)状态集。

进一步地，基于上述描述，在本实施例中，所述基于四变量模型的系统安全分析方法的步骤S3还包括如下步骤：

构建所述受监控的变量和所述受控制的变量与所述AltaRica模型之间的映射关系；

构建所述输入变量和所述输出变量与所述AltaRica模型之间的映射关系；

构建所述NAT关系与所述AltaRica模型之间的映射关系；

构建所述REQ关系与所述AltaRica模型之间的映射关系；以及

构建所述IN关系和所述OUT关系与所述AltaRica模型之间的映射关系。

具体地，在构建所述受监控的变量和所述受控制的变量与所述AltaRica模型之间的映射关系中，设定MV代表所述受监控的变量，CV代表所述受控制的变量。而且，所述四变量模型中的MV和CV可看作是与外界环境交互的接口，并通过MV和CV实现系统内部与外部间信息传递。其中，MV是输入流，CV是输出流，这与所述AltaRica模型中的流变量一致，而流变量也可分为输入流(in)和输出流(out)。因此，可以将所述流变量与所述受监控的变量和所述受控制的变量对应起来。

设定所述四变量模型包括多个受监控的变量和多个受控制的变量，分别用两个集合表示，并分别记作MV＝{mv1,mv2,…,mvn},CV＝{cv1,cv2,…,cvn}；在所述AltaRica模型中，设定所述AltaRica模型的流变量用F表示，并记作F＝{f1,f2,…,fn}，其中，fi具有in和out两种属性，所述受监控的变量和所述受控制的变量分别与所述流变量的对应关系如下：

例如，请参阅图3，以飞机中地形跟踪系统为例，飞机距地面高度始终保持一固定值HEIGHT，飞机的飞行速度(speed)，距离地面实际高度(ActHeight)以及雷达测出地面地形变化(RadarInfo)等信息输送到地形跟踪系统后，经一系列判断计算，输出飞机垂直加速度(VertAccel)信息。其中，MV包括speed、ActHeight和RadarInfo；CV包括VertAccel；所述流变量可以定义为flowspeed：in；ActHeight：in；RadarInfo：in；和VertAccel：out；。

在构建所述输入变量和所述输出变量与所述AltaRica模型之间的映射关系中，设定IV代表所述输入变量，OV代表所述输出变量，且IV和OV在所述四变量模型中作为所述系统的内部数据处理，并根据IV和OV间的变化描述所述系统软件行为。而且，在所述AltaRica模型中，结点内部工作模式完全由所述状态变量的变化来描述，因此将所述状态变量与所述输入变量和所述输出变量对应起来。

设定所述四变量模型包括多个输入变量和多个输出变量，分别用集合表示，并分别记作IV＝{iv1,iv2,…,ivn}，OV＝{ov1,ov2,…,ovn}；在所述AltaRica模型中，设定所述AltaRica模型的状态变量用S＝{s1，s2，…，sn}表示，其中，si分为输入流in和输出流out，所述输入变量和所述输出变量与所述状态变量之间对应关系如下：

例如，请参阅图4，在所述地形跟踪系统中，飞行速度、实际高度以及雷达信息传送到系统后，会经过输入设备的进一步处理，处理后的数据信息再传送至软件中心进行相关计算，并将计算后的数据，飞机垂直加速度输出。假定经输入设备处理后的数据用speed’、ActHeight’和RadarInfo’表示，那么这些数据信息在所述四变量模型中即为所述输入变量，经计算产生的所述输出变量用VertAccel’表示。在所述AltaRica模型中，对应的所述状态变量定义为statespeed’：in；ActHeight’：in；RadarInfo’：in；VertAccel’：out；。

在构建所述NAT关系与所述AltaRica模型之间的映射关系中，所述NAT关系用于描述系统固有属性，并用于定义MV与CV之间本身存在的约束关系。在所述AltaRica模型中，所述流变量与所述状态变量之间的约束关系可以通过所述断言assert函数实现。其中，所述AltaRica模型中的断言assert函数也可以描述状态变量与状态变量，或状态变量与流变量之间的对应关系，而所述NAT关系仅仅描述MV与CV之间的约束关系，故所述NAT关系与所述断言assert函数之间是一种“包含于”的对应关系，并非可逆。

设定所述AltaRica模型的流变量和状态变量之间的约束关系通过断言assert函数实现；并设定符号⊕代表所述四变量模型和所述AltaRica模型中的自然约束关系，所述NAT关系与所述断言assert函数之间的对应关系如下：

(M：MV.mvi)⊕(M：CV.cvi)→(N:assertF.fi⊕F.fj)。

在构建所述REQ关系与所述AltaRica模型之间的映射关系中，所述REQ关系描述的是系统中的附加约束，即MV发生变化时CV应如何变化，但本质上仍然描述的是MV与CV之间的约束关系。这与所述NAT关系相类似，故将所述REQ关系与所述断言assert函数相对应。

设定符号⊥代表所述四变量模型和所述AltaRica模型中的附加约束关系，所述REQ关系与所述断言assert函数之间对应关系可表示为：

(M：MV.mvi)⊥(M：CV.cvi)→(N:assertF.fi⊥F.fj)。

例如，请参阅图5，在所述地形跟踪系统中，假设飞机距地面实际高度ActHeight与固定高度HEIGH相差太大，超过了某一固定范围，那么输出的飞机垂直加速度VertAccel就要相应的发生变化，如增加或减少垂直加速度的值。在所述四变量模型中，所述REQ关系可表示为“T(VertAccel＝？)WHENActHeight<HEIGHT；”或“T(VertAccel＝？)WHENActHeight>HEIGHT；”。相应的所述AltaRica模型的描述是“assertifActHeight<HEIGHTthenVertAccel＝？；”或“assertifActHeight>HEIGHTthenVertAccel＝？；”。

在构建所述IN关系和所述OUT关系与所述AltaRica模型之间的映射关系中，所述IN关系和所述OUT关系在所述四变量模型中分别描述MV与IV，OV与CV之间的映射关系；从MV到IV之间存在某种转换规则，使得MV经该转换规则得到IV，且OV与CV之间存在同样的转换关系。在所述AltaRica模型中，所述流变量与所述状态变量之间的约束关系也可通过所述断言assert函数来表示，因此，可将所述IN关系和所述OUT关系与所述断言assert函数相对应。

设定符号“├”分别代表所述四变量模型中受监控的变量与输入变量和受控制的变量与输出变量之间的映射关系，以及所述AltaRica模型中流变量和状态变量之间的映射关系，所述IN关系和所述OUT关系与所述断言assert函数之间的对应关系可表示为：

(M：MV.mvi)├(M：IV.ivi)→(N:assertF.fi├S.si)；

(M：OV.ovi)├(M：CV.cvi)→(N:assertF.fi├S.si)。

步骤S4、利用所述AltaRica模型的分析工具构建所述系统的故障树，并进行安全性验证。

具体地，在所述步骤S4中，还包括如下步骤：

利用所述AltaRica模型的分析工具Simfia进行系统安全性分析；及

利用所述AltaRica模型的配套工具ARC进行系统的安全性验证。

其中，所述Simfia是一款专门针对复杂系统的安全性、可靠性建模分析的高度智能化的软件工具，该软件是一款基于模型的安全性分析(MBSA)的风险工程研究平台，能够支持航空飞行器全生命周期的适航认证及安全分析的工作。在所述Simfia中，主要就是利用相关的概率计算规则，通过确定公式中用到的参数以及事件发生的时间范围或次数，可自动计算得出事件的预计发生概率，是一种方便的基于AltaRica的故障树构建工具。

所述ARC包含了多种命令，包括通用命令、与所述AltaRica模型结点相关的命令、与关系相关的命令等。其中，与所述AltaRica模型结点相关的命令包括：

ca：用于计算并显示出与AltaRica结点语义相关的约束自动机；

depgraph：显示出与约束自动机中关系依赖图相关的信息；

flatten：计算并显示出与所给结点扁平化语义相关的信息；及

node-info：得到结点中与组件相关的具体信息。

而且，所述结点中的组件包括：子结点、流变量、状态变量、事件、转换等。

在利用所述ARC进行模型检测及安全性属性验证的过程中，需要用到ACHECK规范，利用ACHECK规范使安全性属性具体化。与此同时，在ACHECK中内置了一些用于计算AltaRica状态和转换的集合，包括一些预定义操作符，例如and(&)、or(|)、rsrc、rtgt、src、tgt等。其中，rsrc(S)用于返回从状态S出发所包含的所有转换的集合。rtgt(S)用于返回经转换后到达的某一状态S的所有转换的集合。src(T)用于返回某一状态集，该状态集的转换过程包含了转换集T中的某一转换。tgt(T)同样用于返回某一状态集，该状态集是经转换集T中某一转换命令的转换所达到的状态。同时，ACHECK中也包含了一些常用命令，如events、dot、test等。其中，events(T)用于列出出现在转换集T中的所有事件。dot(S，T)以图形化的形式输出受限于状态集S与转换集T的可达图。test(X，n)用于检测集合X基数的个数是否为n。

接下来以图6所示的飞机中机轮刹车系统中刹车系统控制单元为例，利用本发明实施例提供的基于四变量模型的系统安全分析方法进行安全性及可靠性问题的分析。

其中，所述机轮刹车系统(WheelBreakSystem,WBS)包含一个数据控制单元，即刹车系统控制单元(BrakeSystemControlUnit,BSCU)；一个液压子系统，其包括两条液压线路：正常线路(NormalLine,NL，又称绿液压线路)和备用线路(AlternateLine，AL，又称蓝液压子系统)。所述WBS从外部环境读入自动刹车、减速率和飞机速度等信息，并所述信息送到所述BSCU子系统，经计算产生刹车命令。同时，所述两条液压线路中布满各种机械部件，其中定义一些通用部件，如选择阀，限量阀等。所述WBS的输出包括作用于机轮的正常压力值或备用压力值。

首先，利用所述四变量模型对所述BSCU子系统进行需求分析。

在所述BSCU子系统的四变量模型中，受监控的变量分两种：从整个所述WBS外部接收到的数值信息和来自所述BSCU子系统的反馈值。所述数值信息和所述反馈值经所述BSCU子系统内部处理，最终产生的受控制的变量分别是正常命令和备用命令，用于提供阀门位置命令，并作用于CMD/AS限量阀和AS限量阀。

接着，基于所述四变量模型与所述AltaRica模型间的语义映射规则，设计出所述BSCU子系统的AltaRica模型。

在所述BSCU子系统的AltaRica模型中，用所述BSCU结点表示。其中，所述流变量包括NorCmdBSCU，AltCmdBSCU和IsBSC。所述断言assert函数主要说明以下几种情况：

一、若第一个监控单元中的正常命令或备用命令有效，则用第一个监控单元中的正常命令或备用命令；

二、若第一个监控单元中的正常命令或备用命令无效，第二个监控单元中的正常命令或备用命令有效时，用第二个监控单元中的正常命令或备用命令；及

三、若两个监控单元中的正常命令和备用命令均无效，则BSCU无效且无任何命令输出。最后用sync来构建所述BSCU子系统内部的同步机制。

最后，利用所述AltaRica模型分析工具Simfia构建故障树，总结所述BSCU子系统的安全性属性，并利用所述AltaRica模型配套工具ARC完成属性验证。

通过预计故障概率来确定“正常刹车系统故障”的类别(绿液压系统故障、液压元件故障及BSCU不能按指令控制刹车的故障)。因此，为了达到这一故障率的预计，BSCU的能源供应来自于对冗余的BSCU概率计算的要求。

相较于现有技术，本发明提供的基于四变量模型的系统安全分析方法中，利用四变量模型对所述系统进行需求分析，然后基于所述四变量模型与所述AltaRica模型间的语义映射规则，设计出所述系统的AltaRica模型，最后利用所述AltaRica模型的分析工具构建所述系统的故障树，并进行安全性验证，因此所述四变量模型的系统安全分析方法能够更好的体现系统功能和物理架构，从而更方便地进行所述系统的安全性和可靠性分析。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (9)

1.一种基于四变量模型的系统安全分析方法，其特征在于，包括如下步骤：

a、监测并分析确定系统的受监控的变量、受控制的变量、输入变量和输出变量；

b、基于所述受监控的变量、所述受控制的变量、所述输入变量和所述输出变量构建所述系统的四变量模型，并利用所述四变量模型对所述系统进行需求分析；

c、构建所述四变量模型与AltaRica模型之间的语义映射规则，并设计具有流变量和状态变量的所述AltaRica模型；

d、利用所述AltaRica模型的分析工具构建所述系统的故障树，并进行安全性验证。

2.根据权利要求1所述的基于四变量模型的系统安全分析方法，其特征在于：所述四变量模型还包括NAT关系、REQ关系、IN关系和OUT关系；所述NAT关系定义所述受监控的变量和所述受控制的变量之间的约束关系，所述REQ关系描述受监控的变量和受控制的变量之间的约束关系，所述IN关系描述所述受监控的变量和所述输入变量之间的映射关系，所述OUT关系描述所述输出变量和所述受控制的变量之间的映射关系；

在所述AltaRica模型中，所述流变量分别对应所述受监控的变量和所述受控制的变量，所述状态变量分别对应所述输入变量和所述输出变量。

3.根据权利要求2所述的基于四变量模型的系统安全分析方法，其特征在于：所述步骤c还包括如下步骤：

构建所述受监控的变量和所述受控制的变量与所述AltaRica模型之间的映射关系；

构建所述输入变量和所述输出变量与所述AltaRica模型之间的映射关系；

构建所述NAT关系与所述AltaRica模型之间的映射关系；

构建所述REQ关系与所述AltaRica模型之间的映射关系；以及

构建所述IN关系和所述OUT关系与所述AltaRica模型之间的映射关系。

4.根据权利要求3所述的基于四变量模型的系统安全分析方法，其特征在于：设定所述四变量模型包括多个受监控的变量和多个受控制的变量，分别用两个集合表示，并分别记作MV＝{mv1,mv2,…,mvn},CV＝{cv1,cv2,…,cvn}；在所述AltaRica模型中，设定所述AltaRica模型的流变量用F表示，并记作F＝{f1,f2,…,fn}，其中，fi具有in和out两种属性，所述受监控的变量和所述受控制的变量分别与所述流变量的对应关系如下：

5.根据权利要求4所述的基于四变量模型的系统安全分析方法，其特征在于：设定所述四变量模型包括多个输入变量和多个输出变量，分别用集合表示，并分别记作IV＝{iv1,iv2,…,ivn}，OV＝{ov1,ov2,…,ovn}；在所述AltaRica模型中，设定所述AltaRica模型的状态变量用S＝{s1，s2，…，sn}表示，其中，si分为输入流in和输出流out，所述输入变量和所述输出变量与所述状态变量之间对应关系如下：

6.根据权利要求5所述的基于四变量模型的系统安全分析方法，其特征在于：设定所述AltaRica模型的流变量和状态变量之间的约束关系通过断言assert函数实现；并设定符号⊕代表所述四变量模型和所述AltaRica模型中的自然约束关系，所述NAT关系与所述断言assert函数之间的对应关系如下：

(M：MV.mvi)⊕(M：CV.cvi)→(N:assertF.fi⊕F.fj)。

7.根据权利要求6所述的基于四变量模型的系统安全分析方法，其特征在于：设定符号⊥代表所述四变量模型和所述AltaRica模型中的附加约束关系，所述REQ关系与所述断言assert函数之间对应关系可表示为：

(M：MV.mvi)⊥(M：CV.cvi)→(N:assertF.fi⊥F.fj)。

8.根据权利要求7所述的基于四变量模型的系统安全分析方法，其特征在于：设定符号分别代表所述四变量模型中受监控的变量与输入变量和受控制的变量与输出变量之间的映射关系，以及所述AltaRica模型中流变量和状态变量之间的映射关系，所述IN关系和所述OUT关系与所述断言assert函数之间的对应关系可表示为：

9.根据权利要求1所述的基于四变量模型的系统安全分析方法，其特征在于：所述步骤d还包括如下步骤：

利用所述AltaRica模型的分析工具Simfia进行系统安全性分析；及

利用所述AltaRica模型的配套工具ARC进行系统的安全性验证。