CN105938502A - 面向AltaRica模型的系统安全性设计验证方法 - Google Patents
面向AltaRica模型的系统安全性设计验证方法 Download PDFInfo
- Publication number
- CN105938502A CN105938502A CN201610159046.7A CN201610159046A CN105938502A CN 105938502 A CN105938502 A CN 105938502A CN 201610159046 A CN201610159046 A CN 201610159046A CN 105938502 A CN105938502 A CN 105938502A
- Authority
- CN
- China
- Prior art keywords
- model
- altarica
- security
- promela
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/36—Circuit design at the analogue level
- G06F30/367—Design verification, e.g. using simulation, simulation program with integrated circuit emphasis [SPICE], direct methods or relaxation methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Evolutionary Computation (AREA)
- Geometry (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种步骤一:建立系统安全性设计AltaRica模型;步骤二:定义AltaRica模型到Promela模型间模型转换的规则;得到AltaRica模型转换之后的Promela模型;步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;步骤四:利用模型检测器对系统模型进行安全性验证;步骤五:得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。本发明有效地解决模型转换问题,完成了模型检测工具SPIN对AltaRica的操作。本发明是一种针对系统安全性分析的新思路,使得转换规则定义的更精确。
Description
技术领域
本发明涉及一种系统安全性设计验证方法,具体涉及一种面向AltaRica模型的系统安全性设计验证方法。本发明属于安全关键系统的形式化验证分析领域。
背景技术
航空、核电等安全关键系统的安全性日益受到重视。系统安全性分析是系统安全工程的核心内容,也是安全评估的基础。系统安全性分析的主要目的是了解、查明系统存在的危险,并确保系统满足规定的安全需求,同时为安全性评估提供依据。系统安全分析的主要内容是研究在部分系统组件由于故障处于非正常工作状态时的系统行为。
近些年,利用形式化方法尤其是模型检测技术的基于模型的安全分析技术逐渐得到工业界和学术界的关注。在基于模型的开发过程中,如仿真、验证、测试以及代码生成等活动都在统一的有着明确语义的形式化模型上进行。这样系统开发过程与安全分析过程之间通过统一的系统模型有了沟通的桥梁。在模型有准确语法、语义定义的基础上,可以更为精确地描述系统需求,同时也支持进行部分自动化的分析。
模型检测[Clarke EM,Grumberg O,Peled D.Model Checking[M].Cambridge:MITpress,1999.]作为一种成熟的自动验证技术,已被广泛用于计算机硬件、通信协议和航空电子等领域。它比演绎的证明方法使用起来更加简单和方便。其基本思想是:使用有限状态自动机来描述系统模型,同时采用时序逻辑或者计算树逻辑对系统属性进行规约,通过对系统所有的状态空间进行穷举搜索来检验该模型是否符合属性规约,并且当属性不成立时,提供反例路径。比较成熟的验证工具主要包括:支持CTL和LTL时序规约公式验证的SMV[McMillan K L.Symbolic model checking[M].NewYork:Springer US,1993.];支持异步进程设计和验证以及LTL时序规约验证的SPIN[Holzmann G J.The model checker SPIN[J].IEEE Transactions on software engineering,1997.]等。
系统安全性需求和系统功能设计之间如果没有一个统一的模型将两者结合起来,由此可能导致系统设计模型并不能完整的反应系统的安全性需求,基于该设计模型的系统安全性分析也不完整。法国工业界和学术界针对系统的安全性评估联合开发了AltaRica建模语言,AltaRica是一个以卫式转换系统(Guarded Transition System,GTS)的语义为基础进行系统安全行为建模与分析的语言,并已在达索航空和猎鹰运载火箭等航空电子设备系统安全性分析和评估上得到应用,并取得了很好的效果,实际上AltaRica模型已成为欧洲工业界基于模型的安全性评估领域的工业标准。AltaRica也是一种结合系统安全性行为和功能行为的建模语言,AltaRica语言对系统功能建模的同时考虑系统在实现功能时可能引发的安全性问题。对于形成的AltaRica模型不仅可以对系统的功能进行分析,还可以针对系统安全性需求进行验证。
目前,AltaRica已经在基于模型的安全性评估国际研讨会(InternationalSymposium on Model-Based Safety and Assessment,IMBSA)上引起了足够的重视,同时AltaRica目前已经在一些公司和联盟的项目中得到运用,主要有莱尼亚航空、空中客车、阿尔斯通铁路、达索航空、欧洲宇航防务集团、法国电信、施耐德电气、泰勒斯、道达尔等,而且近十年已经成为欧洲工业界基于模型安全性评估的标准。但是现有技术尚不存在面向AltaRica模型的系统安全性设计验证方法。
发明内容
为解决现有技术的不足,本发明的目的在于提供一种面向AltaRica模型的系统安全性设计验证方法,以解决传统故障树生成方法成本过高且无法应对庞大系统规模及系统高复杂度缺陷,以及现有基于模型的故障树生成方法的不足的技术问题。
为了实现上述目标,本发明采用如下的技术方案:
面向AltaRica模型的系统安全性设计验证方法,其特征在于,包括如下步骤:
步骤一:建立系统安全性设计AltaRica模型;
步骤二:得到AltaRica模型转换之后的Promela模型;
步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;
步骤四:以步骤二的转换后的Promela模型、步骤三使用线性时序逻辑规约的安全性需求作为输入,利用模型检测器对系统模型进行安全性验证;
步骤五:对步骤四模型检测工具的验证结果进行分析,并得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:根据目标系统的功能需求和系统安全性需求等内容,确定系统层次机构和基本框架,建立系统安全性设计AltaRica模型。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:系统安全性设计模型AltaRica模型既描述了系统的正常行为模型,同时还刻画了系统可能存在的失效行为下的系统行为,其本质是状态迁移系统,利用系统状态间的迁移关系刻画系统的功能和行为。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二包括:根据AltaRica模型和Promela模型的语义分析,以及基于接口转换系统的形式化语义,定义AltaRica模型到Promela模型间模型转换的规则;并根据这些转换规则和模型的形式化语义,得到AltaRica模型转换之后的Promela模型。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二中,所述AltaRica模型到Promela模型间模型转换的规则包括:
规则1:AltaRica模型的结点node有两种类型,对于包含sub声明的node结点表示该系统组件内含有子系统组件,间接的反应了组件间的层次关系;component类型的结点只代表最小组件的划分,不包含其他组件;sub声明表示实例化结点,而子结点的所包含具体行为由sub声明标识后面的结点决定;对于系统而言,建模时系统组件在AltaRica模型中映射为结点,系统组件在Promela模型映射为proctype进程实体;因此AltaRica模型结点转换为Promela模型中的进程实体proctype,但是proctype的名字则根据结点是否含有子结点不同,不含子结点的对应的proctype名字为子节点类型_实例名;N表示AltaRica模型的node结点,sub声明表示子结点的实例和子节点的类型;P表示Promela模型的进程实体proctype;
规则2:组件内承担信息传递的flow变量的值与状态变量的变化有关,通过assert完成绑定,同时状态变量使用init声明进行初始化;f和init为AltaRica模型结点flow声明和init声明,State和S0分别为Promela模型中的状态变量、初始状态
规则3:组件间flow变量表示组件间信息的传递,一般在相关组件的上层组件定义组件间的flow变量,而且flow变量的绑定通过assert声明完成;f为AltaRica模型中组件间的flow变量,State表示Promela模型中的状态变量;
规则4:AltaRica模型的trans声明主要声明系统状态之间的迁移活动,状态满足一定的条件或在事件的影响下完成状态间的迁移;Promela模型状态转移也同样是系统状态满足一定的条件或在事件的影响下完成;T表示AltaRica模型中trans声明,Trans表示Promela模型转换表达式中的状态迁移;
规则5:AltaRica模型的event声明不仅影响组件内状态的迁移,还影响到组件内flow变量及相关联组件的状态迁移行为;Promela模型可以使用枚举类型mtype枚举事件,然后定义mtype类型的事件变量Estate表示各个事件;E代表AltaRica模型中的event变量,L代表Promela模型的事件的声明,采用mtype类型表示
规则6:AltaRica模型的同步主要包括三种类型:强同步、弱同步、CCF同步。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤三包括:使用线性时序逻辑对系统安全性需求进行规约。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤四包括:将步骤二得到的Promela模型和步骤三得到的安全需求的LTL规约导入模型检测工具SPIN,进行形式化验证。
前述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤五包括:如果系统的Promela模型满足输入的安全属性,则模型检测结果显示系统满足时序逻辑公式;如果系统不满足安全属性,则输出的结果为不满足安全属性的反例路径,根据反例路径和模型转换定义的规则,得到对应的系统设计AltaRica模型的设计缺陷。
本发明的有益之处在于:本发明提出了AltaRica模型到Promela模型的转换规则,有效地解决模型转换问题,完成了模型检测工具SPIN对AltaRica的操作。本发明利用AltaRica模型在系统安全性分析和模型检测技术的优势,提出了一种针对系统安全性分析的新思路。本发明提出的模型转换规则,采用了形式化的描述方法,使得转换规则定义的更精确。
附图说明
图1为面向AltaRica模型的系统安全性设计验证方法流程图;
图2为本发明的一个具体实施例,机轮刹车系统控制单元的系统结构图。
具体实施方式
以下结合附图和具体实施例对本发明作具体的介绍。
参照图1所示,本发明方法将嵌入式系统的AltaRica模型引入安全分析过程,利用AltaRica模型作为系统的正常行为模型和失效行为模型,利用接口转换系统(InterfaceTransition System,ITS),作为模型转换的基础。然后基于AltaRica模型和Promela模型的语义分析定义模型转换的规则,同时使用线性时序逻辑规约系统安全性需求。最后,利用安全性需求规约和转换得到的Promela模型导入穷举模型检测工具,实现面向AltaRica模型的系统安全性设计验证。
技术方案实现的:
面向AltaRica模型的系统安全性设计验证方法,包括如下步骤(为便于理解,表1中列出了各步骤统一使用的主要数学符号及其含义):
表1:各步骤统一使用的主要数学符号及其含义
步骤1,所述系统安全性设计模型AltaRica模型既描述了系统的正常行为模型,同时还刻画了系统可能存在的失效行为下的系统行为,其本质是状态迁移系统,利用系统状态间的迁移关系刻画系统的功能和行为。
步骤2,定义AltaRica模型到Promela模型的转换规则,从而完成模型转换,得到Promela。
规则1:AltaRica模型的结点node有两种类型,对于包含sub声明的node结点表示该系统组件内含有子系统组件,间接的反应了组件间的层次关系。而component类型的结点则只代表最小组件的划分,不包含其他组件。sub声明表示实例化结点,而子结点的所包含具体行为由sub声明标识后面的结点决定。对于系统而言,建模时系统组件在AltaRica模型中映射为结点,系统组件在Promela模型映射为proctype进程实体。因此AltaRica模型结点转换为Promela模型中的进程实体proctype,但是proctype的名字则根据结点是否含有子结点不同,不含子结点的对应的proctype名字为子节点类型_实例名。
规则2:组件内承担信息传递的flow变量的值与状态变量的变化有关,通过assert完成绑定,同时状态变量使用init声明进行初始化。
规则3:组件间flow变量表示组件间信息的传递,一般在相关组件的上层组件定义组件间的flow变量,而且flow变量的绑定通过assert声明完成。
规则4:AltaRica模型的trans声明主要声明系统状态之间的迁移活动,状态满足一定的条件或在事件的影响下完成状态间的迁移;Promela模型状态转移也同样是系统状态满足一定的条件或在事件的影响下完成。
规则5:AltaRica模型的event声明不仅影响组件内状态的迁移,还影响到组件内flow变量及相关联组件的状态迁移行为。Promela模型可以使用枚举类型mtype枚举事件,然后定义mtype类型的事件变量Estate表示各个事件。
规则6:AltaRica模型的同步主要包括三种类型:强同步、弱同步、CCF同步。1)强同步:AltaRica模型中强同步表示形式为sync<e1,e2,…,en>。强同步具体语义:假设事件e1和e2存在强同步的关系,如果事件e1和e2的同步类型为强同步,则他们在组件c1和c2中对应的状态迁移必须同时发生。对应的Promela模型选择通道chan实现同步。2)AltaRica模型的弱同步是一种形如广播的同步类型,其具体的表示形式为sync<e1|e2|…|en>。弱同步的具体语义:假设事件e1和e2存在弱同步的关系,若事件e1和e2同时发生,那么事件e1、e2各自对应的转换发生;若事件e1(e2)发生且事件e2(e1)的守卫条件为true,事件e1和e2对应的转换都会发生,事件e2(e1)的守卫条件为false,事件e1(e2)对应的转换会发生而事件e2(e1)对应的转换不发生。3)CCF同步:CCF同步与弱同步相似,在AltaRica模型中表示为sync<e1?...?e2>。两者的区别在于CCF同步的动机是为了描述由于内部错误或共同原因导致组件失效的情形。内部错误和产生失效的共同原因e1、e2认为一个事件影响两个组件的失效,因此CCF同步用弱同步来表示。
步骤3,使用线性时序逻辑对系统安全性需求进行规约。
步骤4,将步骤2得到的Promela模型和步骤3得到的安全需求的LTL规约导入模型检测工具SPIN,进行形式化验证。
步骤5,如果系统的Promela模型满足输入的安全属性,则模型检测结果显示系统满足时序逻辑公式。如果系统不满足安全属性,则输出的结果为不满足安全属性的反例路径,根据反例路径和模型转换定义的规则,得到对应的系统设计AltaRica模型的设计缺陷。
下面结合附图对本发明的技术方案做进一步的详细说明:
具体实施例以图2所示的机轮刹车系统刹车控制单元系统为例,
图1为本发明技术方案流程图,具体实施步骤如下:
步骤1,机轮刹车系统刹车控制单元的描述,如图2,依据图2建立其对应的系统AltaRica模型。刹车系统控制单元(BSCU)是机轮刹车系统中唯一的一个数据组件。大部分的BSCU输入来自于更高级别的WBS。它也可以将位于正常线路和备用线路不同位置上的一些反馈值作为输入,同时拥有两个独立的电源供应。BSCU子系统又包含有两个冗余的命令单元(Command Unit)和监控单元(Monitor Unit),可将其看作是BSCU的两个子系统,这两个子系统(每个子系统包含有一个命令单元和监控单元)分别有两个独立的电源供应。命令单元主要用于产生正常命令(Normal Command)和备用命令(Alt Command),这两个命令分别作用于正常线路和备用线路;监控单元主要对命令单元起到监控作用,用于监控各自对应的命令单元产生的命令是否有效。BSCU与命令单元的关系主要分为以下几种情况:1)若两个命令单元均有效,则BSCU有效,并且默认使用第一个命令单元产生的命令;2)若两个命令单元中只有一个命令是有效的,则BSCU有效,且使用该命令单元产生的命令;3)若两个命令单元产生的命令均无效,则BSCU无效,两个命令单元不能产生正常命令和备用命令;4)若电源出现故障,则BSCU无效,同样两个命令单元不能产生正常命令和备用命令。
步骤2,根据定义的转换规则完成模型转换,由系统的AltaRica模型转换得到系统的Promela模型。
步骤3,使用线性时序逻辑对系统安全需求进行形式化的描述。以刹车系统控制单元子系统为例,部分安全属性与其对应的线性时序逻辑公式如表2。
表2 系统全区属性及其对应LTL公式
步骤4,以Promela模型及表示系统安全属性的时序逻辑公式作为输入,利用模型检测工具SPIN对系统进行验证。具体实施过程,使用命令以系统模型及安全属性时序逻辑公式作为输入运行模型检测工具。
步骤5,根据验证结果,得到当前的模型是否满足属性规约。若不满足,得到反例路径,得到反例路径中所有的状态变量和事件变量的变化,同时根据转换规则,得到对应的AltaRica模型中对应变量的变化。由安全分析人员根据变量的值得到设计模型的缺陷。
以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解,上述实施例不以任何形式限制本发明,凡采用等同替换或等效变换的方式所获得的技术方案,均落在本发明的保护范围内。
Claims (8)
1.面向AltaRica模型的系统安全性设计验证方法,其特征在于,包括如下步骤:
步骤一:建立系统安全性设计AltaRica模型;
步骤二:得到AltaRica模型转换之后的Promela模型;
步骤三:使用线性时序逻辑对系统安全需求需求进行形式化的描述;
步骤四:以步骤二的转换后的Promela模型、步骤三使用线性时序逻辑规约的安全性需求作为输入,利用模型检测器对系统模型进行安全性验证;
步骤五:对步骤四模型检测工具的验证结果进行分析,并得到不满足步骤四的安全性需求反例,对系统安全性设计模型进行追踪,完成系统安全性设计模型的验证。
2.根据权利要求1所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:根据目标系统的功能需求和系统安全性需求等内容,确定系统层次机构和基本框架,建立系统安全性设计AltaRica模型。
3.根据权利要求2所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤一包括:系统安全性设计模型AltaRica模型既描述了系统的正常行为模型,同时还刻画了系统可能存在的失效行为下的系统行为,其本质是状态迁移系统,利用系统状态间的迁移关系刻画系统的功能和行为。
4.根据权利要求3所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二包括:根据AltaRica模型和Promela模型的语义分析,以及基于接口转换系统的形式化语义,定义AltaRica模型到Promela模型间模型转换的规则;并根据这些转换规则和模型的形式化语义,得到AltaRica模型转换之后的Promela模型。
5.根据权利要求4所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤二中,所述AltaRica模型到Promela模型间模型转换的规则包括:
规则1:AltaRica模型的结点node有两种类型,对于包含sub声明的node结点表示该系统组件内含有子系统组件,间接的反应了组件间的层次关系;component类型的结点只代表最小组件的划分,不包含其他组件;sub声明表示实例化结点,而子结点的所包含具体行为由sub声明标识后面的结点决定;对于系统而言,建模时系统组件在AltaRica模型中映射为结点,系统组件在Promela模型映射为proctype进程实体;因此AltaRica模型结点转换为Promela模型中的进程实体proctype,但是proctype的名字则根据结点是否含有子结点不同,不含子结点的对应的proctype名字为子节点类型_实例名;N表示AltaRica模型的node结点,sub声明表示子结点的实例和子节点的类型;P表示Promela模型的进程实体proctype;
规则2:组件内承担信息传递的flow变量的值与状态变量的变化有关,通过assert完成绑定,同时状态变量使用init声明进行初始化;f和init为AltaRica模型结点flow声明和init声明,State和S0分别为Promela模型中的状态变量、初始状态
规则3:组件间flow变量表示组件间信息的传递,一般在相关组件的上层组件定义组件间的flow变量,而且flow变量的绑定通过assert声明完成;f为AltaRica模型中组件间的flow变量,State表示Promela模型中的状态变量;
规则4:AltaRica模型的trans声明主要声明系统状态之间的迁移活动,状态满足一定的条件或在事件的影响下完成状态间的迁移;Promela模型状态转移也同样是系统状态满足一定的条件或在事件的影响下完成;T表示AltaRica模型中trans声明,Trans表示Promela模型转换表达式中的状态迁移;
规则5:AltaRica模型的event声明不仅影响组件内状态的迁移,还影响到组件内flow变量及相关联组件的状态迁移行为;Promela模型可以使用枚举类型mtype枚举事件,然后定义mtype类型的事件变量Estate表示各个事件;E代表AltaRica模型中的event变量,L代表Promela模型的事件的声明,采用mtype类型表示
规则6:AltaRica模型的同步主要包括三种类型:强同步、弱同步、CCF同步。
6.根据权利要求1至5任一项所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤三包括:使用线性时序逻辑对系统安全性需求进行规约。
7.根据权利要求6所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤四包括:将步骤二得到的Promela模型和步骤三得到的安全需求的LTL规约导入模型检测工具SPIN,进行形式化验证。
8.根据权利要求7所述的面向AltaRica模型的系统安全性设计验证方法,其特征在于,所述步骤五包括:如果系统的Promela模型满足输入的安全属性,则模型检测结果显示系统满足时序逻辑公式;如果系统不满足安全属性,则输出的结果为不满足安全属性的反例路径,根据反例路径和模型转换定义的规则,得到对应的系统设计AltaRica模型的设计缺陷。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610159046.7A CN105938502A (zh) | 2016-03-17 | 2016-03-17 | 面向AltaRica模型的系统安全性设计验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610159046.7A CN105938502A (zh) | 2016-03-17 | 2016-03-17 | 面向AltaRica模型的系统安全性设计验证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105938502A true CN105938502A (zh) | 2016-09-14 |
Family
ID=57152523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610159046.7A Pending CN105938502A (zh) | 2016-03-17 | 2016-03-17 | 面向AltaRica模型的系统安全性设计验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105938502A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106598566A (zh) * | 2016-11-03 | 2017-04-26 | 南京航空航天大学 | 一种面向航电系统的基于需求的形式化建模与验证方法 |
| CN106708730A (zh) * | 2016-11-22 | 2017-05-24 | 北京控制工程研究所 | 一种针对嵌入式实时操作系统形式化验证方法 |
| CN107038281A (zh) * | 2017-03-13 | 2017-08-11 | 南京航空航天大学 | 一种基于特征配置的系统层综合模型安全验证方法 |
| CN107908892A (zh) * | 2017-11-28 | 2018-04-13 | 中国民航大学 | 一种基于模型的增强视景系统安全性分析方法 |
| CN108089861A (zh) * | 2017-12-27 | 2018-05-29 | 南京航空航天大学 | 一种从SysML模型转换到AltaRica模型的转换方法 |
| CN108733725A (zh) * | 2017-04-24 | 2018-11-02 | 西门子(中国)有限公司 | 目标系统的网络语义模型的建立方法及系统 |
| CN109214140A (zh) * | 2018-11-19 | 2019-01-15 | 中国航空综合技术研究所 | 基于AltaRica的航电系统动态重构建模方法 |
| CN109857458A (zh) * | 2019-03-01 | 2019-06-07 | 南京航空航天大学 | 基于ANTLR的AltaRica 3.0的扁平化的转化方法 |
| CN110716819A (zh) * | 2019-10-10 | 2020-01-21 | 江苏科技大学 | 一种基于AltaRica的系统故障树自动生成方法 |
| CN113283008A (zh) * | 2021-05-25 | 2021-08-20 | 中国航空无线电电子研究所 | 基于模型转换的民用飞机系统行为状态安全性验证方法 |
| CN116755662A (zh) * | 2023-08-18 | 2023-09-15 | 深圳海云安网络安全技术有限公司 | 一种应用开发安全需求的生成方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104679650A (zh) * | 2015-02-03 | 2015-06-03 | 上海交通大学 | 面向软件体系结构模型的可信性评估方法 |
-
2016
- 2016-03-17 CN CN201610159046.7A patent/CN105938502A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104679650A (zh) * | 2015-02-03 | 2015-06-03 | 上海交通大学 | 面向软件体系结构模型的可信性评估方法 |
Non-Patent Citations (3)
| Title |
|---|
| YUANZHEN ZHU 等: "Reliability and safety assessment with AltaRica for complex aircraft systems", 《THE PROCEEDINGS OF 2011 9TH INTERNATIONAL CONFERENCE ON RELIABILITY, MAINTAINABILITY AND SAFETY》 * |
| 仵志鹏 等: "面向AltaRica模型的嵌入式系统安全性验证方法", 《计算机科学与探索》 * |
| 陈道喜: "基于Promela的组合抽象Spin模型检测及应用", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106598566A (zh) * | 2016-11-03 | 2017-04-26 | 南京航空航天大学 | 一种面向航电系统的基于需求的形式化建模与验证方法 |
| CN106708730A (zh) * | 2016-11-22 | 2017-05-24 | 北京控制工程研究所 | 一种针对嵌入式实时操作系统形式化验证方法 |
| CN106708730B (zh) * | 2016-11-22 | 2019-04-09 | 北京控制工程研究所 | 一种针对嵌入式实时操作系统形式化验证方法 |
| CN107038281B (zh) * | 2017-03-13 | 2020-06-16 | 南京航空航天大学 | 一种基于特征配置的系统层综合模型安全验证方法 |
| CN107038281A (zh) * | 2017-03-13 | 2017-08-11 | 南京航空航天大学 | 一种基于特征配置的系统层综合模型安全验证方法 |
| CN108733725B (zh) * | 2017-04-24 | 2022-03-25 | 西门子(中国)有限公司 | 目标系统的网络语义模型的建立方法及系统 |
| CN108733725A (zh) * | 2017-04-24 | 2018-11-02 | 西门子(中国)有限公司 | 目标系统的网络语义模型的建立方法及系统 |
| CN107908892A (zh) * | 2017-11-28 | 2018-04-13 | 中国民航大学 | 一种基于模型的增强视景系统安全性分析方法 |
| CN108089861B (zh) * | 2017-12-27 | 2020-12-22 | 南京航空航天大学 | 一种从SysML模型转换到AltaRica模型的转换方法 |
| CN108089861A (zh) * | 2017-12-27 | 2018-05-29 | 南京航空航天大学 | 一种从SysML模型转换到AltaRica模型的转换方法 |
| CN109214140A (zh) * | 2018-11-19 | 2019-01-15 | 中国航空综合技术研究所 | 基于AltaRica的航电系统动态重构建模方法 |
| CN109857458A (zh) * | 2019-03-01 | 2019-06-07 | 南京航空航天大学 | 基于ANTLR的AltaRica 3.0的扁平化的转化方法 |
| CN110716819A (zh) * | 2019-10-10 | 2020-01-21 | 江苏科技大学 | 一种基于AltaRica的系统故障树自动生成方法 |
| CN110716819B (zh) * | 2019-10-10 | 2020-11-20 | 江苏科技大学 | 一种基于AltaRica的系统故障树自动生成方法 |
| CN113283008A (zh) * | 2021-05-25 | 2021-08-20 | 中国航空无线电电子研究所 | 基于模型转换的民用飞机系统行为状态安全性验证方法 |
| CN113283008B (zh) * | 2021-05-25 | 2024-03-15 | 中国航空无线电电子研究所 | 基于模型转换的民用飞机系统行为状态安全性验证方法 |
| CN116755662A (zh) * | 2023-08-18 | 2023-09-15 | 深圳海云安网络安全技术有限公司 | 一种应用开发安全需求的生成方法及系统 |
| CN116755662B (zh) * | 2023-08-18 | 2023-10-20 | 深圳海云安网络安全技术有限公司 | 一种应用开发安全需求的生成方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105938502A (zh) | 面向AltaRica模型的系统安全性设计验证方法 | |
| CN105426680B (zh) | 基于特征配置的故障树生成方法 | |
| CN108376221A (zh) | 一种基于aadl模型扩展的软件系统安全性验证与评估方法 | |
| CN103257913B (zh) | 一种运行时软件故障检测排除系统和方法 | |
| Zhai et al. | Check before you change: Preventing correlated failures in service updates | |
| CN108614443A (zh) | Phm系统模型开发和验证平台设计方法 | |
| Zeng et al. | An analytical method for reliability analysis of hardware‐software co‐design system | |
| Cheng et al. | Model-based verification method for solving the parameter uncertainty in the train control system | |
| Zhang et al. | Approach for integrated modular avionics reconfiguration modelling and reliability analysis based on AADL | |
| Chen et al. | Performance analysis and verification of safety communication protocol in train control system | |
| Khairullah et al. | Self‐repairing hardware architecture for safety‐critical cyber‐physical‐systems | |
| CN103699762B (zh) | 一种基于统计模型检测的cps属性验证方法 | |
| Zeng et al. | A reliability modeling method for the system subject to common cause failures and competing failures | |
| Shi et al. | Study cybersecurity of cyber physical system in the virtual environment: a survey and new direction | |
| CN102768643A (zh) | 一种使用多函数契约测试JavaScript函数正确性的方法 | |
| Ali | Formal verification of SysML diagram using case studies of real-time system | |
| Hsiung et al. | Model checking safety-critical systems using safecharts | |
| CN105354137B (zh) | 一种基于iec61850协议的静态模型检测方法 | |
| CN106204326B (zh) | 一种用于配电系统的配电终端ied设备检测方法 | |
| Hecht | Use of SysML to generate failure modes and effects analyses for microgrid control systems | |
| Sklyar | Application of reliability theory to functional safety of computer control systems | |
| Verma et al. | Dependability of networked computer-based systems | |
| Guan et al. | Digital twin‐based online tools for electric power communication system training: Online digital twin power communication system | |
| Wang et al. | Logical consistency verification of state sensing in safety‐critical decision: A case study of train routing selection | |
| Fonseca et al. | A THERP/ATHEANA Analysis of the Latent Operator Error in Leaving EFW Valves Closed in the TMI‐2 Accident |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160914 |
|
| RJ01 | Rejection of invention patent application after publication |