CN107797921B - 嵌入式软件通用安全性需求的获取方法 - Google Patents
嵌入式软件通用安全性需求的获取方法 Download PDFInfo
- Publication number
- CN107797921B CN107797921B CN201710804776.2A CN201710804776A CN107797921B CN 107797921 B CN107797921 B CN 107797921B CN 201710804776 A CN201710804776 A CN 201710804776A CN 107797921 B CN107797921 B CN 107797921B
- Authority
- CN
- China
- Prior art keywords
- design
- safety
- software
- security
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000003068 static effect Effects 0.000 claims abstract description 28
- 230000007246 mechanism Effects 0.000 claims abstract description 13
- 238000013461 design Methods 0.000 claims description 146
- 230000006870 function Effects 0.000 claims description 75
- 238000012544 monitoring process Methods 0.000 claims description 36
- 231100000817 safety factor Toxicity 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 21
- 238000006243 chemical reaction Methods 0.000 claims description 18
- 230000001360 synchronised effect Effects 0.000 claims description 18
- 230000007704 transition Effects 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 12
- 238000002955 isolation Methods 0.000 claims description 12
- 238000012360 testing method Methods 0.000 claims description 10
- 230000003044 adaptive effect Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 238000011084 recovery Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000007547 defect Effects 0.000 claims description 4
- 231100001261 hazardous Toxicity 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 230000015556 catabolic process Effects 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000006731 degradation reaction Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 230000008030 elimination Effects 0.000 claims description 3
- 238000003379 elimination reaction Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 claims description 3
- 230000008713 feedback mechanism Effects 0.000 claims description 3
- 238000007667 floating Methods 0.000 claims description 3
- 238000011897 real-time detection Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 230000001629 suppression Effects 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 description 5
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000002028 premature Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3616—Software analysis for verifying properties of programs using software metrics
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种嵌入式软件通用安全性需求的获取方法,包括:根据静态建模机制和动态建模机制分别获得嵌入式软件的静态结构要素和动态运行结构要素;获取各个所述静态结构要素和动态运行结构要素的失效模式;对所述各个失效模式设置安全性措施,获得通用安全性需求;对所述通用安全性需求进行裁剪;该方法能够有效提高嵌入式软件通用需求获取的全面性和扩展性。
Description
技术领域
本发明涉及软件安全性开发技术领域,尤其涉及一种嵌入式软件通用安全性需求的获取方法。
背景技术
随着嵌入式软件在安全关键领域的普遍应用,比如军事、核能、航空、航天、医疗、汽车等领域,软件安全性问题已经成为了研究热点。大量研究表明,多数的故障和失效(特别是那些侵害安全性的故障和失效)来自于对需求的遗漏或者误解。同样,Leveson的研究表明在空间工程领域,相当数量的软件相关故障都与有缺陷的需求或错误理解软件目标有关。随着软件开发生存周期的进行,纠正软件故障和错误的费用也将显著提高。
整个软件安全性工作的开始和关键是软件安全性需求内容的确定,因为安全性需求是开展后续软件安全性概要设计、详细设计、编码以及测试的重要依据。目前,在通用安全性需求获取方面存在两类方法:相关文献分为两类,一类是参考国际上公认的安全性标准,其做法是参考现有的安全性标准或规范,再通过裁剪获得。另一类是针对某个特定领域进行建模来获取通用安全性需求。综上所述:现有通用安全性需求获取存在以下缺点:只是依靠经验教训的总结,缺乏理论上的依据;只说明了怎么做,缺乏全面性;仅仅适用于特定领域,缺乏扩展性。
发明内容
本发明的目的在于针对现有技术中通用安全性需求获取缺乏全面性和扩展性的问题,提供了一种嵌入式软件通用安全性需求的获取方法,能够有效提高嵌入式软件通用需求获取的全面性和扩展性。
一种嵌入式软件通用安全性需求的获取方法,包括:
根据静态建模机制和动态建模机制分别获得嵌入式软件的静态结构要素和动态运行结构要素;
获取各个所述静态结构要素和动态运行结构要素的失效模式;
对所述各个失效模式设置安全性措施,获得通用安全性需求;
对所述通用安全性需求进行裁剪。
进一步地,所述静态结构要素包括功能、输入、输出、接口、环境以及相互关系制约;
所述功能包括非安全关键功能和安全关键功能;
所述非安全关键功能包括通用特性和初始化,所述安全关键功能包括通用特性和中断;
所述接口包括内部接口、人机接口以及软硬件接口;
所述环境包括硬件环境和外部环境;
所述相互关系制约包括通讯设计、模块设计以及存储设计。
进一步地,所述动态运行结构要素包括事件先后顺序、状态转换、消息以及性能;
所述事件先后顺序包括处理顺序和终止顺序;
所述状态转换包括状态转换约束、状态转换路径和状态转换时序;
所述消息包括危险命令和数据;
所述危险命令包括危险命令的接收、危险命令的发送以及危险命令的执行;
所述性能包括时间约束、余量、适应性以及运行环境约束。
进一步地,获取各个所述静态结构要素和动态运行结构要素的失效模式,包括:
获取所述静态结构要素和动态运行结构要素的安全性因素;
对所述安全性因素提出失效模式。
进一步地,所述功能的安全性因素包括:初始化上电自检的结束状态、初始化完整性、初始化合理性、初始化更新情况、初始化异常处理、初始化结束状态、控制功能授权、控制功能命令、控制功能先决条件、控制功能峰值、控制功能互锁、控制功能联锁、控制功能部件、控制功能临界时间、控制功能交叉传播性、控制功能结束状态、安全关键功能执行路径、安全关键功能调用密码、安全关键功能执行条件、安全关键功能实时检测性、安全关键功能有效时间、安全关键功能反馈机制、安全关键功能检测隔离以及恢复、安全关键功能结束状态;
所述接口的安全性因素包括人机接口输入数据、人机接口显示的反馈、人机接口重写、人机接口撤销、人机接口告警、人机接口规定的条件和次数、人机接口有效时间、人机接口报警设计、人机接口自动化安全隔离或切换功能、人机接口误触发保护措施、人机界面、软硬件接口AD/DA转换一致性、软硬件接口完整性、软硬件接口可控性、软硬件接口有效时间、软硬件接口协议一致性、软硬件状态定义一致性、软硬件指令格式一致性、软硬件接口可检测性、内部接口格式、内部接口状态定义、内部接口内容、内部接口可检测性;
所述输入的安全性因素包括:输入监测变量的到达率、输入监测变量的有效时间、输入监测变量的可接受范围、输入的有无、输入响应操作、输入收取情况;
所述输出的安全性因素包括:输出到达率、输出容量、输出延迟时间值、输出有效时间、输出载荷、输出时间间隔;
所述环境的安全性因素包括:I/O端口、看门狗、CPU、内存、总线、监视定时、强电磁干扰、干扰信号、试验环境;
所述相互关系制约的安全性因素包括:模块设计隔离性、模块设计低耦合、模块设计规定时间、模块设计入口、模块设计出口、模块设计检测点应合理、模块调用、模块设计一致性、模块设计定义相同、结构化程序设计、程序结构设计规模适中、程序结构设计扇入扇出、程序结构设计圈复杂度、通讯设计数据处理能力、通讯设计正确性、通讯设计一致性、通讯设计定义、通讯设计帧头、通讯设计完整性、存储空间、存储安全性设计备份、存储位置、同步设计开机同步、同步设计及时更新、同步设计同步点的设置、同步设计等待时间间隔、同步设计禁止中断、同步设计结束状态、表决监控设计正确性、表决监控设计降级、表决监控设计持续时间、表决监控设计模式转换、监控定时器设计检测次数、监控定时器设计检测时间、监控定时器设计时钟频率、监控定时器设计定时参数、容错设计的隔离设计、容错设计收敛测试、容错设计BIT、容错设计多数表决机制、容错设计恢复块技术、无用中断屏蔽性、中断设计边缘触发、中断设计分时共用、中断设计时机、中断设计级别、中断设计保存和恢复、中断自嵌套、中断设计时序;
所述事件先后顺序的安全性因素包括:处理顺序、终止顺序;
所述状态转换的安全性因素包括:转换约束、转换路径、转换时序时限;
所述消息的安全性因素包括:数据定义、数据格式、临界数据、浮点数的等值比较、数据有效位数、数据溢出情况、数据无疑破坏或删除、数据存取、数据精度、危险命令发出、危险命令接收、危险命令执行;
所述性能的安全性因素包括运行环境约束完整性、运行环境约束容量、时间约束采样频率,时间约束字长、适应性延迟、适应性静态容量、适应性动态容量和余量。
进一步地,对所述安全性因素提出失效模式,包括:
根据Nancy Levence的控制缺陷提出失效模式;或者,
通过HAZOP的常见引导词提出失效模式;或者,
根据GJB/Z1391-2006提出失效模式;或者,
采用安全性分析方法获得失效模式。
进一步地,对所述各个失效模式设置安全性措施,获得通用安全性需求,包括:
设计安全性措施,并将所述安全性措施与所述失效模式进行组合、匹配,获得通用安全性需求。
进一步地,所述安全性措施包括故障消除、故障检测以及故障抑制。
进一步地,对所述通用安全性需求进行裁剪,包括:
识别出安全关键软件,所述安全关键软件包括直接产生或控制危险的软件以及能够对危险软件产生影响的软件;
按照软件安全性等级、需求关键性、成本以及效果对所述安全关键软件进行裁剪。
本发明提供的嵌入式软件通用安全性需求的获取方法,至少包括如下有益效果:
(1)能够有效提高嵌入式软件通用需求获取的全面性和扩展性;
(2)对于静态结构要素和动态运行结构要素的分类更加细致,使得最终获得的安全性需求更加全面;
(3)有利于工程技术人员系统高效地获取和使用通用安全性需求,从而提高嵌入式软件安全性水平。方法可用于军用领域和民用嵌入式软件的安全性需求的获取,避免和减少人员伤亡和经济财产损失。
附图说明
图1为本发明提供的嵌入式软件通用安全性需求的获取方法一种实施例的流程图。
图2为本发明提供的嵌入式软件通用安全性需求的获取方法另一种实施例的流程图。
图3为本发明提供的嵌入式软件通用安全性需求的获取方法中对所述安全性因素提出失效模式一种实施例的示意图。
图4为本发明提供的嵌入式软件通用安全性需求的获取方法中对危险命令提出失效模式一种实施例的示意图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参考图1,本实施例提供一种嵌入式软件通用安全性需求的获取方法,包括:
步骤S101,根据静态建模机制和动态建模机制分别获得嵌入式软件的静态结构要素和动态运行结构要素;
步骤S102,获取各个所述静态结构要素和动态运行结构要素的失效模式;
步骤S103,对所述各个失效模式设置安全性措施,获得通用安全性需求;
步骤S104,对所述通用安全性需求进行裁剪。
作为一种优选的实施方式,根据统一建模语言(UML,Unified ModelingLanguage)建立静态建模机制和动态建模机制。
本实施例提供的嵌入式软件通用安全性需求的获取方法,能够有效提高嵌入式软件通用需求获取的全面性和扩展性。
进一步地,参考图2,静态结构要素包括功能、输入、输出、接口、环境以及相互关系制约;
所述功能包括非安全关键功能和安全关键功能;
所述非安全关键功能包括通用特性和初始化,所述安全关键功能包括通用特性和中断;
所述接口包括内部接口、人机接口以及软硬件接口;
所述环境包括硬件环境和外部环境;
所述相互关系制约包括通讯设计、模块设计以及存储设计。
进一步地,所述动态运行结构要素包括事件先后顺序、状态转换、消息以及性能;
所述事件先后顺序包括处理顺序和终止顺序;
所述状态转换包括状态转换约束、状态转换路径和状态转换时序;
所述消息包括危险命令和数据;
所述危险命令包括危险命令的接收、危险命令的发送以及危险命令的执行;
所述性能包括时间约束、余量、适应性以及运行环境约束。
本实施例提供的嵌入式软件通用安全性需求的获取方法,对于静态结构要素和动态运行结构要素的分类更加细致,使得最终获得的安全性需求更加全面。
进一步地,获取各个所述静态结构要素和动态运行结构要素的失效模式,包括:
获取所述静态结构要素和动态运行结构要素的安全性因素;
对所述安全性因素提出失效模式。
找出各结构要素的安全性因素,需要在了解对象特点的基础上找出其安全性属性,即影响软件安全性的方面,如表1所示:
表1
功能的安全性因素包括:初始化上电自检的结束状态、初始化完整性、初始化合理性、初始化更新情况、初始化异常处理、初始化结束状态、控制功能授权、控制功能命令、控制功能先决条件、控制功能峰值、控制功能互锁、控制功能联锁、控制功能部件、控制功能临界时间、控制功能交叉传播性、控制功能结束状态、安全关键功能执行路径、安全关键功能调用密码、安全关键功能执行条件、安全关键功能实时检测性、安全关键功能有效时间、安全关键功能反馈机制、安全关键功能检测隔离以及恢复、安全关键功能结束状态;
所述接口的安全性因素包括人机接口输入数据、人机接口显示的反馈、人机接口重写、人机接口撤销、人机接口告警、人机接口规定的条件和次数、人机接口有效时间、人机接口报警设计、人机接口自动化安全隔离或切换功能、人机接口误触发保护措施、人机界面、软硬件接口AD/DA转换一致性、软硬件接口完整性、软硬件接口可控性、软硬件接口有效时间、软硬件接口协议一致性、软硬件状态定义一致性、软硬件指令格式一致性、软硬件接口可检测性、内部接口格式、内部接口状态定义、内部接口内容、内部接口可检测性;
所述输入的安全性因素包括:输入监测变量的到达率、输入监测变量的有效时间、输入监测变量的可接受范围、输入的有无、输入响应操作、输入收取情况;
所述输出的安全性因素包括:输出到达率、输出容量、输出延迟时间值、输出有效时间、输出载荷、输出时间间隔;
所述环境的安全性因素包括:I/O端口、看门狗、CPU、内存、总线、监视定时、强电磁干扰、干扰信号、试验环境;
所述相互关系制约的安全性因素包括:模块设计隔离性、模块设计低耦合、模块设计规定时间、模块设计入口、模块设计出口、模块设计检测点应合理、模块调用、模块设计一致性、模块设计定义相同、结构化程序设计、程序结构设计规模适中、程序结构设计扇入扇出、程序结构设计圈复杂度、通讯设计数据处理能力、通讯设计正确性、通讯设计一致性、通讯设计定义、通讯设计帧头、通讯设计完整性、存储空间、存储安全性设计备份、存储位置、同步设计开机同步、同步设计及时更新、同步设计同步点的设置、同步设计等待时间间隔、同步设计禁止中断、同步设计结束状态、表决监控设计正确性、表决监控设计降级、表决监控设计持续时间、表决监控设计模式转换、监控定时器设计检测次数、监控定时器设计检测时间、监控定时器设计时钟频率、监控定时器设计定时参数、容错设计的隔离设计、容错设计收敛测试、容错设计BIT、容错设计多数表决机制、容错设计恢复块技术、无用中断屏蔽性、中断设计边缘触发、中断设计分时共用、中断设计时机、中断设计级别、中断设计保存和恢复、中断自嵌套、中断设计时序;
所述事件先后顺序的安全性因素包括:处理顺序、终止顺序;
所述状态转换的安全性因素包括:转换约束、转换路径、转换时序时限;
所述消息的安全性因素包括:数据定义、数据格式、临界数据、浮点数的等值比较、数据有效位数、数据溢出情况、数据无疑破坏或删除、数据存取、数据精度、危险命令发出、危险命令接收、危险命令执行;
所述性能的安全性因素包括运行环境约束完整性、运行环境约束容量、时间约束采样频率,时间约束字长、适应性延迟、适应性静态容量、适应性动态容量和余量。
参考图3,对所述安全性因素提出失效模式,包括:
根据Nancy Levence的控制缺陷提出失效模式;或者,
通过HAZOP的常见引导词提出失效模式;或者,
根据GJB/Z1391-2006提出失效模式;或者,
采用安全性分析方法获得失效模式。
对于失效模式要覆盖现有能收集到所有相关条目。
其中,Nancy Levence的四种控制缺陷:没有提供控制行为,提供的是不安全或不正确的行为,正确的或充足的行为在错误的时间提供或提供的太晚,阻止的过早或持续的过长。
HAZOP的常见引导词:无/没有、较多、较少、以及/伴随、部分、相反、其他、之前/之后、早/晚、过快/过慢。
参考GJB/Z1391-2006给出的失效模式可以得出寻找失效模式的方面:是否符合要求,能否启动/终止,能否中断,是否有死循环,是否超时,是否发生改变,是否合理等等。
采用安全性分析的方法寻找失效模式,比如STPA、数据流分析、FMECA 等。
以危险命令为例,找出其失效模式,危险命令的安全属性包括危险命令的发出、接收和执行,基于Nancy Levence的四种控制缺陷最终得到失效模式。
表2
表2为危险命令发出的失效模式。
表3
表3为危险命令接收的失效模式。
表4
表4为危险命令执行的失效模式。
最终得到的危险命令的失效模式如图4所示。
通常,通用安全性需求是通过对失效模式提出安全性措施得到的,对所述各个失效模式设置安全性措施,获得通用安全性需求,包括:
设计安全性措施,并将所述安全性措施与所述失效模式进行组合、匹配,获得通用安全性需求。
其中,所述安全性措施包括故障消除、故障检测以及故障抑制。
具体如表5所示:
表5
将表5的安全性措施与失效模式进行组合、匹配可以得到安全性需求,对形成的安全性需求分析,发现提出的安全性需求不仅能够包含标准中已有的安全性需求,如NASA8719.13、三军手册、GJB/Z102-97、DO-178C、GJB/Z102A等标准,而且能够形成很多新的安全性需求,极大地扩展了安全性需求。
以危险命令为例,对失效模式提出的安全性需求如表6所示:
表6
通过对结构要素提失效模式,对失效模式提安全性措施,目前给出了通用安全性需求共357条。为了验证此方法的正确性,将得到的通用安全性需求与现有收集的安全性需求相对比,最终发现,这种方法得到的通用安全性需求覆盖了现收集到的所有的安全性需求,比如包含了NASA8719.13中65条安全性需求,部分嵌入式软件通用安全性需求和结构要素的条目数分别如表7和表8所示:
表7
表8
安全性措施选取原则是遵循先消除、再检测、再容错、后告警的顺序进行选择控制措施。但不是对所有的安全性措施都采纳,安全性等级不同对安全性措施的选取不同,也就是需要裁剪通用安全性需求。
具体地,对所述通用安全性需求进行裁剪,包括:
识别出安全关键软件,所述安全关键软件包括直接产生或控制危险的软件以及能够对危险软件产生影响的软件;
按照软件安全性等级、需求关键性、成本以及效果对所述安全关键软件进行裁剪。
安全关键软件一般具有以下特征:
控制危险和安全关键性的硬件;
检测安全关键性的硬件;
产生重要数据提供其它软件使用;
对危险操作提供决策信息;
阻止安全关键性硬件恢复正常。
按照软件安全性等级、需求关键性、经济成本和效果四个方面进行裁剪。裁剪推荐如表9所示:
表9
从中可以看出对A级软件和B级软件中的安全关键需求强制采用所有的安全性措施,其他软件可以视情况结合工程经验进行选择。
以飞控系统为例,飞控系统在航电系统中属于A级安全关键软件,飞控系统中有很多功能比如俯冲、爬升,其中俯冲属于飞控系统中安全关键需求,对俯冲功能应该强制性地采用所有的安全性措施。
通过研究,共给出了通用软件安全性需求357条,覆盖了NASA标准中已提到的65条通用需求。获得的通用安全性需求有理论上的依据,因而在类别上较为全面性,为进一步收集提供扩展思路。该方法和研究成果有利于工程技术人员系统高效地获取和使用通用安全性需求,从而提高嵌入式软件安全性水平。方法可用于军用领域和民用嵌入式软件的安全性需求的获取,避免和减少人员伤亡和经济财产损失。
综上,本发明提供的嵌入式软件通用安全性需求的获取方法,至少包括如下有益效果:
(1)能够有效提高嵌入式软件通用需求获取的全面性和扩展性;
(2)对于静态结构要素和动态运行结构要素的分类更加细致,使得最终获得的安全性需求更加全面;
(3)有利于工程技术人员系统高效地获取和使用通用安全性需求,从而提高嵌入式软件安全性水平。方法可用于军用领域和民用嵌入式软件的安全性需求的获取,避免和减少人员伤亡和经济财产损失。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明附权利要求的保护范围。
Claims (5)
1.一种嵌入式软件通用安全性需求的获取方法,其特征在于,包括:
根据静态建模机制和动态建模机制分别获得嵌入式软件的静态结构要素和动态运行结构要素;
获取各个所述静态结构要素和动态运行结构要素的失效模式;
对所述各个失效模式设置安全性措施,获得通用安全性需求;
对所述通用安全性需求进行裁剪,
所述静态结构要素包括功能、输入、输出、接口、环境以及相互关系制约;
所述功能包括非安全关键功能和安全关键功能;
所述非安全关键功能包括通用特性和初始化,所述安全关键功能包括通用特性和中断;
所述接口包括内部接口、人机接口以及软硬件接口;
所述环境包括硬件环境和外部环境;
所述相互关系制约包括通讯设计、模块设计以及存储设计,
所述动态运行结构要素包括事件先后顺序、状态转换、消息以及性能;
所述事件先后顺序包括处理顺序和终止顺序;
所述状态转换包括状态转换约束、状态转换路径和状态转换时序;
所述消息包括危险命令和数据;
所述危险命令包括危险命令的接收、危险命令的发送以及危险命令的执行;
所述性能包括时间约束、余量、适应性以及运行环境约束,
所述功能的安全性因素包括:初始化上电自检的结束状态、初始化完整性、初始化合理性、初始化更新情况、初始化异常处理、初始化结束状态、控制功能授权、控制功能命令、控制功能先决条件、控制功能峰值、控制功能互锁、控制功能联锁、控制功能部件、控制功能临界时间、控制功能交叉传播性、控制功能结束状态、安全关键功能执行路径、安全关键功能调用密码、安全关键功能执行条件、安全关键功能实时检测性、安全关键功能有效时间、安全关键功能反馈机制、安全关键功能检测隔离以及恢复、安全关键功能结束状态;
所述接口的安全性因素包括人机接口输入数据、人机接口显示的反馈、人机接口重写、人机接口撤销、人机接口告警、人机接口规定的条件和次数、人机接口有效时间、人机接口报警设计、人机接口自动化安全隔离或切换功能、人机接口误触发保护措施、人机界面、软硬件接口AD/DA 转换一致性、软硬件接口完整性、软硬件接口可控性、软硬件接口有效时间、软硬件接口协议一致性、软硬件状态定义一致性、软硬件指令格式一致性、软硬件接口可检测性、内部接口格式、内部接口状态定义、内部接口内容、内部接口可检测性;
所述输入的安全性因素包括:输入监测变量的到达率、输入监测变量的有效时间、输入监测变量的可接受范围、输入的有无、输入响应操作、输入收取情况;
所述输出的安全性因素包括:输出到达率、输出容量、输出延迟时间值、输出有效时间、输出载荷、输出时间间隔;
所述环境的安全性因素包括:I/O 端口、看门狗、CPU、内存、总线、监视定时、强电磁干扰、干扰信号、试验环境;
所述相互关系制约的安全性因素包括:模块设计隔离性、模块设计低耦合、模块设计规定时间、模块设计入口、模块设计出口、模块设计检测点应合理、模块调用、模块设计一致性、模块设计定义相同、结构化程序设计、程序结构设计规模适中、程序结构设计扇入扇出、程序结构设计圈复杂度、通讯设计数据处理能力、通讯设计正确性、通讯设计一致性、通讯设计定义、通讯设计帧头、通讯设计完整性、存储空间、存储安全性设计备份、存储位置、同步设计开机同步、同步设计及时更新、同步设计同步点的设置、同步设计等待时间间隔、同步设计禁止中断、同步设计结束状态、表决监控设计正确性、表决监控设计降级、表决
监控设计持续时间、表决监控设计模式转换、监控定时器设计检测次数、监控定时器设计检测时间、监控定时器设计时钟频率、监控定时器设计定时参数、容错设计的隔离设计、容错设计收敛测试、容错设计BIT、容错设计多数表决机制、容错设计恢复块技术、无用中断屏蔽性、中断设计边缘触发、中断设计分时共用、中断设计时机、中断设计级别、中断设计保存和恢复、中断自嵌套、中断设计时序;
所述事件先后顺序的安全性因素包括:处理顺序、终止顺序;
所述状态转换的安全性因素包括:转换约束、转换路径、转换时序时限;
所述消息的安全性因素包括:数据定义、数据格式、临界数据、浮点数的等值比较、数据有效位数、数据溢出情况、数据无疑破坏或删除、数据存取、数据精度、危险命令发出、危险命令接收、危险命令执行;
所述性能的安全性因素包括运行环境约束完整性、运行环境约束容量、时间约束采样频率,时间约束字长、适应性延迟、适应性静态容量、适应性动态容量和余量,
其中,获取各个所述静态结构要素和动态运行结构要素的失效模式,包括:
获取所述静态结构要素和动态运行结构要素的安全性因素;
对所述安全性因素提出失效模式。
2.根据权利要求1 所述的嵌入式软件通用安全性需求的获取方法,其特征在于,对所述安全性因素提出失效模式,包括:
根据 Nancy Levence 的控制缺陷提出失效模式;或者,
通过 HAZOP 的常见引导词提出失效模式;或者,
根据 GJB/Z1391-2006 提出失效模式;或者,
采用安全性分析方法获得失效模式。
3.根据权利要求1 所述的嵌入式软件通用安全性需求的获取方法,其特征在于,对所述各个失效模式设置安全性措施,获得通用安全性需求,包括:
设计安全性措施,并将所述安全性措施与所述失效模式进行组合、匹配,获得通用安全性需求。
4.根据权利要求3所述的嵌入式软件通用安全性需求的获取方法,其特征在于,所述安全性措施包括故障消除、故障检测以及故障抑制。
5.根据权利要求1 所述的嵌入式软件通用安全性需求的获取方法,其特征在于,对所述通用安全性需求进行裁剪,包括:
识别出安全关键软件,所述安全关键软件包括直接产生或控制危险的软件以及能够对危险软件产生影响的软件;
按照软件安全性等级、需求关键性、成本以及效果对所述安全关键软件进行裁剪。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710804776.2A CN107797921B (zh) | 2017-09-07 | 2017-09-07 | 嵌入式软件通用安全性需求的获取方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710804776.2A CN107797921B (zh) | 2017-09-07 | 2017-09-07 | 嵌入式软件通用安全性需求的获取方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107797921A CN107797921A (zh) | 2018-03-13 |
CN107797921B true CN107797921B (zh) | 2020-08-04 |
Family
ID=61531604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710804776.2A Active CN107797921B (zh) | 2017-09-07 | 2017-09-07 | 嵌入式软件通用安全性需求的获取方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107797921B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109800393B (zh) * | 2019-01-18 | 2021-04-27 | 南京航空航天大学 | 支持stpa方法分析uca的电子表格工具的实现方法 |
CN110008607B (zh) * | 2019-04-11 | 2023-01-17 | 上海工业控制安全创新科技有限公司 | 一种基于stpa模型的功能安全危害和信息安全威胁分析方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103383722A (zh) * | 2013-05-30 | 2013-11-06 | 北京航空航天大学 | 一种结合产品和过程的软件安全性举证开发方法 |
CN103605608A (zh) * | 2013-12-04 | 2014-02-26 | 中国航空综合技术研究所 | 一种嵌入式软件安全性分析充分性检查方法 |
CN106528407A (zh) * | 2016-10-19 | 2017-03-22 | 中国航空综合技术研究所 | 一种嵌入式软件安全性自动化验证系统及其验证方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10180995B2 (en) * | 2013-07-15 | 2019-01-15 | The Boeing Company | System and method for assessing cumulative effects of a failure |
-
2017
- 2017-09-07 CN CN201710804776.2A patent/CN107797921B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103383722A (zh) * | 2013-05-30 | 2013-11-06 | 北京航空航天大学 | 一种结合产品和过程的软件安全性举证开发方法 |
CN103605608A (zh) * | 2013-12-04 | 2014-02-26 | 中国航空综合技术研究所 | 一种嵌入式软件安全性分析充分性检查方法 |
CN106528407A (zh) * | 2016-10-19 | 2017-03-22 | 中国航空综合技术研究所 | 一种嵌入式软件安全性自动化验证系统及其验证方法 |
Non-Patent Citations (2)
Title |
---|
"Generic Safety Requirements Description Templates for the Embedded Software";Rongrong Fu,Xiaohong Bao,Tingdi Zhao;《International Conference on Communication Software and Networks》;20170506;第1478页第2栏1-4段、表1,第1479页第1栏第1-2段、第2栏倒数第1段,第1480页第1栏倒数第1段、图1 * |
Rongrong Fu,Xiaohong Bao,Tingdi Zhao."Generic Safety Requirements Description Templates for the Embedded Software".《International Conference on Communication Software and Networks》.2017,1477-1481. * |
Also Published As
Publication number | Publication date |
---|---|
CN107797921A (zh) | 2018-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Goddard | Software FMEA techniques | |
CN108255728B (zh) | 软件的失效模式的识别方法及装置 | |
CN108376221A (zh) | 一种基于aadl模型扩展的软件系统安全性验证与评估方法 | |
CN107797921B (zh) | 嵌入式软件通用安全性需求的获取方法 | |
CN103473156A (zh) | 一种基于实时操作系统的星载计算机三机热备份容错方法 | |
CN103257913B (zh) | 一种运行时软件故障检测排除系统和方法 | |
CN101216792B (zh) | 实时操作系统的任务管理方法、装置 | |
WO2020221097A1 (zh) | 一种基于有限状态机的操作系统需求层形式化建模方法及装置 | |
CN110489932A (zh) | 单事件条件约束门模型及仿真方法 | |
Li et al. | Safety analysis of software requirements: model and process | |
Johnson et al. | Design for validation | |
CN106598766B (zh) | 一种针对ima资源共享机制的状态关联动态分析方法 | |
Hsiung et al. | Model checking safety-critical systems using safecharts | |
Koh et al. | SMV model-based safety analysis of software requirements | |
Gergeleit et al. | Checking timing constraints in distributed object-oriented programs | |
CN113051581A (zh) | 一种高度综合化复杂软件安全性分析方法 | |
Kan et al. | Detecting safety‐related components in statecharts through traceability and model slicing | |
CN114706755A (zh) | 软件测试案例生成方法、电子设备以及可读存储介质 | |
US20220036669A1 (en) | Flight management system and method for reporting an intermitted error | |
CN110084528B (zh) | 核电厂人因失误数据收集方法、装置、设备及介质 | |
Huang et al. | Investigating time properties of interrupt-driven programs | |
Zhou et al. | A workload model based approach to evaluate the robustness of real-time operating system | |
Jharko | Safety functions in the software quality assurance of NPP safety important systems | |
Rong et al. | Model Based Interaction Hazards Analysis of Integrated Modular Avionics System | |
Zhang | Software security testing model based on data mining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |