CN108595959A - 基于确定性随机Petri网的AADL模型安全性评估方法 - Google Patents

Abstract

本发明提供了一种基于确定性随机Petri网的AADL模型安全性评估方法。首先，构建层次化结构的AADL架构模型；然后，制定新的模型转换方法，将AADL安全性模型转换为DSPN模型，其中，为AADL安全性模型增加了新的语义，包括复合构件中可操作状态分别与失效状态和危险之间的关系，以及恢复事件和修复事件与错误检测之间的关系，新的模型转换方法简化了构件之间错误传播的转换方法和危险行为的转换方法，使安全性模型转换为状态数量更少的DSPN模型，用于计算危险发生的概率；最后，结合危险的严酷度等级计算危险发生的风险，做安全性评估。

Description

基于确定性随机Petri网的AADL模型安全性评估方法

技术领域

本发明涉及一种AADL模型安全性评估方法，特别是一种基于确定性随机Petri网的AADL模型安全性评估方法。

背景技术

文献“Architecture-Level Hazard Analysis using AADL，Journal of Systemsand Software，2018，Vol 137，p580-604”公开了一种基于架构分析与设计语言(Architecture Analysis and Design Language，AADL)的危险分析方法。该方法利用AADL架构模型、错误模型和危险模型建立AADL安全性模型，并采用确定性随机Petri网(Deterministic Stochastic Petri Net，DSPN)作为系统架构模型的安全性计算模型，制定了模型转换方法，将AADL安全性模型转换为DSPN模型，使用现有的DSPN模型计算工具，对生成的DSPN模型进行仿真计算，得到系统失效的发生概率，较好的解决了基于架构模型计算系统失效发生概率的问题，实现了基于AADL的危险分析。模型转换是实现基于模型的评估方法的一个关键技术。模型元素转换的全面性和语义的完整性，直接影响评估结果的正确性和有效性。文献所述方法虽然制定了一系列的模型转换方式将AADL安全性模型对应到DSPN模型，但是安全性模型和语义不完整。首先，对于复合构件中的复合错误行为和危险变迁行为的转换方法，没有将复合构件的可操作状态(operational)分别与失效状态(failed)和危险(hazard)联系起来。其次，系统在检测到失效状态后才会恢复或者被修复，没有考虑恢复事件(recovery event)和修复事件(repair event)与错误模型中的错误检测(detections)之间的语义关系，没有在AADL安全性模型描述它们之间的关系，进而导致转换得到的DSPN模型不能全面的刻画系统行为。另外，文献所述的模型转换方法太复杂，生成的DSPN模型很容易因为状态太多而导致状态空间爆炸的问题，其中对逻辑操作(and和or)的转换方法使模型复杂度增加最为严重，而且对构件之间的错误传播的转换需要增加一个位置(place)和一个迁移(transition)，以及对危险变迁(hazard transition)的转换需要增加一个位置和一个迁移。因此，有必要改进逻辑操作、构件之间错误传播和危险变迁的转换方法，从而降低DSPN模型的复杂度。

发明内容

为了克服现有的基于AADL的安全性分析方法中安全性模型不完整以及生成的DSPN模型状态太多的问题，本发明提供一种基于确定性随机Petri网的AADL模型安全性评估方法，基于层次化结构的AADL架构模型，建立完整的AADL安全性模型，制定新的从AADL安全性模型到DSPN模型的模型转换方法。首先，基于AADL建立架构模型，用错误模型附录和危险模型附录为架构模型建立附录模型，构成系统的AADL安全性模型；然后，制定新的模型转换方法，其中，为AADL安全性模型增加了新的语义，包括复合构件中可操作状态分别与失效状态和危险之间的关系，以及恢复事件和修复事件与错误检测之间的关系，新的模型转换方法简化了构件之间错误传播的转换方法和危险行为的转换方法，使安全性模型转换为状态数量更少的DSPN模型，用于计算危险发生的概率；最后结合危险的严酷度等级计算危险发生的风险，做安全性评估。

一种基于确定性随机Petri网的AADL模型安全性评估方法，其特征在于包括以下步骤：

步骤一：根据系统规格说明书为系统建立AADL架构模型，根据安全性需求为架构模型建立错误模型和危险模型，得到层次化结构的AADL安全性模型。

步骤二：将AADL安全性模型中最低层次的构件所包含的错误模型和危险模型转换为DSPN模型，转换方法以及转换顺序如下：

步骤1：将错误状态转换为DSPN模型中的位置，其中，将初始错误状态转换为DSPN模型中带一个标识的位置。

步骤2：对于使用发生分布属性定义发生分布的错误事件、恢复事件和修复事件，将服从固定概率分布和泊松分布的错误事件、恢复事件和修复事件，转换为指数迁移；将服从确定时间延迟分布的错误事件、恢复事件和修复事件，转换为确定时间迁移；其中，错误事件的发生率转换为迁移的分布参数。

步骤3：将使用延迟分布属性定义发生属性的恢复事件和修复事件，转换为确定时间迁移，其中，延迟时间转换为确定时间迁移的参数；当延迟时间的单位不是秒时，将其转换为秒；当延迟时间是一个区间范围时，取最大值。

步骤4：对于所有变迁，如果目标错误状态是关键字same state，用源错误状态代替目标错误状态，如果源错误状态是关键字all，用构件内所有错误状态代替源错误状态；然后，将不包含分支概率分布且与错误检测没有关联的从源错误状态到错误事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；

步骤5：如果恢复事件或修复事件分别是错误检测的恢复动作或者修复动作，那么将源错误状态到恢复事件或修复事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；

步骤6：如果目标错误状态是分支概率分布，添加一个位置作为中间错误状态，将从源错误状态到错误事件再到中间错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；然后，将每个分支概率看做一个服从指数分布的错误事件，并将错误事件转换为指数迁移，参数为分支概率值，接着，将从中间错误状态到各个错误事件再到目标错误状态的变迁，分别转换为位置到迁移的弧和迁移到位置的弧，其中，变迁的数量与分支概率的数量相同。

步骤7：以前面步骤得到的位置或迁移来表示危险源。

步骤8：对于与逻辑组合，如果各组合元素是位置，添加一个瞬时迁移，然后分别添加从各组合元素到这个瞬时迁移的弧和从这个瞬时迁移到各组合元素的弧；如果各组合元素是迁移，添加一个位置和一个瞬时迁移，将逻辑组合转换为从各组合元素到新添加的位置的弧，以及新添加的位置到新添加的迁移的弧，并且将后面这条弧的弧权函数设置为：新添加的位置上的标识总数等于组合元素的个数；所述的与逻辑组合是指带有逻辑操作与的逻辑组合。

对于或逻辑组合，如果组合元素是位置，那么为每个组合元素添加一个瞬时迁移，并分别添加各组合元素到其对应的瞬时迁移的弧和从各个瞬时迁移到其对应的组合元素的弧；如果组合元素是迁移，直接使用这些迁移；所述的或逻辑组合是指带有逻辑操作或的逻辑组合。

对于带有逻辑原语“或者多于”和“或者少于”的逻辑组合，先将其转换为与逻辑组合和或逻辑组合的组合，再分别按照上述方法进行转换。

步骤9：将危险转换为DSPN模型中的位置。

步骤10：将服从固定概率分布和泊松分布的危险触发器，转换为指数迁移；将服从确定时间延迟分布的危险触发器，转换为确定时间迁移；其中，危险触发器的发生率转换为迁移的分布参数。

步骤11：将从危险源到触发器再到危险的危险传播，转换为危险源位置到迁移的弧、迁移到危险源位置的弧和迁移到危险位置的弧。

步骤12：将从危险到危险触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧，然后，添加一个瞬时迁移，将从危险到这个瞬时迁移再到可操作状态的变迁，转换为位置到迁移的弧和迁移到位置的弧，其中，瞬时迁移的使能函数设置为：可操作状态位置有大于0个标识。

步骤三：将AADL安全性模型中子构件均已经完成错误模型和危险模型转换的高一层次构件转换为DSPN模型，转换方法以及转换顺序，如下：

步骤a：按照步骤二中的步骤1至步骤10将构件所包含的错误模型和危险模型转换为DSPN模型。

步骤b：对于构件之间的错误传播，如果定义了错误传播点，但是没有在错误传播和错误变迁中使用它们，则跳过此步骤；否则，进行如下转换：

首先，如果向内的错误传播点与错误事件、恢复事件或修复事件构成触发条件且用于触发错误变迁或错误传播，以错误事件、恢复事件或修复事件为迁移，否则，添加一个瞬时迁移。然后，如果向内的错误传播点用作触发条件且用于触发错误变迁，将构件之间的错误传播转换为从源错误状态位置到迁移的弧和迁移到源错误状态位置的弧，接着，将被触发的错误变迁转换为从源错误状态位置到迁移的弧和从迁移到目标错误状态位置的弧；如果向内的错误传播点用作触发条件且用于触发错误传播，将构件之间的错误传播转换为源错误状态位置到迁移的弧和迁移到源错误状态位置的弧，接着，添加一个位置，将目标构件内的错误传播转换为从源错误状态位置到迁移的弧和从迁移到所添加的位置的弧，并以新添加的位置作为目标构件内错误传播的新的源错误状态位置。所述的错误变迁或错误传播的触发条件是逻辑组合时，先根据步骤二中的步骤8转换逻辑组合，再转换错误变迁或错误传播。

步骤c：对于复合错误行为，先将子构件错误状态的逻辑组合按照步骤二中的步骤8进行转换得到瞬时迁移，然后将复合错误行为转换为从瞬时迁移到目标错误状态的弧；其中，若目标错误状态是可操作状态，瞬时迁移的使能函数设置为：可操作状态上的标识数小于1，若目标错误状态是失效状态，瞬时迁移的使能函数设置为：除可操作状态之外的所有状态上的标识总数小于1；

将从可操作状态到失效状态的变迁，转换为从可操作状态位置到瞬时迁移的弧，此瞬时迁移是通过转换目标错误状态是失效状态的复合错误行为得到的，弧上的弧权函数设置为：可操作状态位置上的所有标识；

对于从失效状态到可操作状态的变迁，添加一个瞬时迁移，将变迁转换为从失效状态位置到新添加的瞬时迁移的弧和从新添加的瞬时迁移到可操作状态的弧，这个新添加的瞬时迁移的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，具体为：如果为带有逻辑原语“或者多于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于逻辑原语组合中给定的数值；如果为带有逻辑原语“或者少于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和小于等于逻辑原语组合中给定的数值；如果为与逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和等于子构件错误状态总数；如果为或逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于1。

步骤d：将从危险源到触发器再到危险的危险传播，转换为位置到迁移的弧和迁移到位置的弧；将从危险到触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧；

对于从各个危险到可操作状态的变迁，为每个危险添加一个瞬时迁移，然后，将从每个危险到其瞬时迁移再到可操作状态的变迁，转换为从每个危险位置到其瞬时迁移的弧和从瞬时迁移到可操作状态位置的弧，其中，瞬时迁移的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，具体为：如果为带有逻辑原语“或者多于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于逻辑原语组合中给定的数值；如果为带有逻辑原语“或者少于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和小于等于逻辑原语组合中给定的数值；如果为与逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和等于子构件错误状态总数；如果为或逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于1。

步骤四：如果前面已经完成模型转换的构件有高一层次构件，那么重复步骤三；否则，此时已经完成了所有的模型转换，得到一个与AADL安全性模型对应的完整的DSPN模型。

步骤五：按照P{#hazard>＝1}生成危险的概率公式，并将其加入到DSPN模型文件中，得到最终的DSPN模型。其中，P代表概率，hazard表示危险的名字，#hazard表示危险对应的位置中拥有的标识数量。

步骤六：利用计算工具TimeNET对最终的DSPN模型进行仿真计算，得到每个危险的发生概率。

步骤七：根据严酷度等级为AADL安全性模型中的危险进行赋值，得到每个危险的严酷度值，其中，严酷度值与严酷度等级一一对应，严酷度等级越高，其严酷度值越高，严酷度值的取值范围为[0,1]。

步骤八：将危险的发生概率和严酷度值的乘积作为危险发生的风险，并按照风险值由大到小进行排序，风险值越高的危险对应的构件，安全性越低。

本发明的有益效果是：由于采用了新的模型转换方法，考虑了更为完整的安全性模型和语义，使得转换得到的DSPN模型更为完整、更为全面，也使计算得到的危险发生概率更符合实际系统；由于模型转换方法可转换的模型成分包含了复合构件中可操作状态到失效状态的变迁、复合构件中失效状态和危险到可操作状态的变迁、恢复事件和修复事件以及它们引起的变迁、和目标错误状态是分支概率分布的变迁，使得安全性模型语义更为完整；转换错误传播时只添加少量的位置和迁移，转换危险变迁时没有添加新的位置和迁移，转换逻辑组合时添加更少的瞬时迁移和位置，简化了DSPN模型转换方法，降低了模型复杂度，使得基于AADL模型的安全性分析方法能够支持复杂度更高、规模更大的系统模型。此外，由于制定了危险发生概率公式，可以实现自动风险评估，通过对危险进行排序，为系统分析人员提供直观的、便于使用的安全性评估结果。

附图说明

图1是本发明方法实施流程图；

图2是本发明实施例的飞行控制系统架构图；

图3是本发明实施例系统中最低层次构件中错误状态转换得到的位置；

图4是本发明实施例系统中最低层次构件中由OccurrenceDistribution定义发生分布属性的事件转换得到的迁移；

图5是本发明实施例系统中最低层次构件中由DurationDistribution定义发生分布属性的事件转换得到的迁移；

图6是本发明实施例系统中最低层次构件中的变迁转换得到的DSPN模型；

图7是本发明实施例系统中最低层次构件中与错误检测相关的变迁转换得到的DSPN模型；

图8是本发明实施例系统中包含分支概率分布的变迁转换得到的DSPN模型；

图9是本发明实施例系统中最低层次构件中危险源对应的位置；

图10是本发明实施例系统中最低层次构件中危险转换得到的位置；

图11是本发明实施例系统中最低层次构件中危险触发器转换得到的迁移；

图12是本发明实施例系统中构件Actuator中的危险传播转换得到的DSPN模型；

图13是本发明实施例系统中构件Actuator中危险与可操作状态之间的关系转换得到的DSPN模型；

图14是本发明实施例系统中构件FCSystem中的错误状态、危险和触发器转换得到的位置和迁移；

图15是本发明实施例系统中构件Sensor与Channel1之间以及Sensor与Channel2之间的错误传播转换得到的DSPN模型；

图16是本发明实施例系统中构件Monitor与Channel之间以及Monitor与Channel2之间的错误传播转换得到的DSPN模型；

图17是本发明实施例系统中构件Channel1与Actuator之间以及Channel2与Actuator之间的错误传播转换得到的DSPN模型；

图18是本发明实施例系统中构件FCSystem中复合错误行为转换得到的DSPN模型；

图19是本发明实施例系统中构件FCSystem中的危险传播和危险行为转换得到的DSPN模型；

图20是本发明实施例系统中构件FCSystem中危险到可操作状态的变迁转换得到的DSPN模型；

图21是本发明实施例系统的AADL安全性模型转换得到的完整的DSPN模型和由危险生成的概率计算公式。

具体实施方式

下面结合附图和实施例对本发明进一步说明，本发明包括但不仅限于下述实施例。

如图1所示，本发明提供了一种基于确定性随机Petri网的AADL模型安全性评估方法，基于层次化结构的AADL架构模型，建立完整的AADL安全性模型，制定新的从AADL安全性模型到DSPN模型的模型转换方法。首先，基于AADL建立架构模型，用错误模型附录和危险模型附录为架构模型建立附录模型，构成系统的AADL安全性模型；然后，制定新的模型转换方法，其中，为AADL安全性模型增加了新的语义，包括复合构件中可操作状态分别与失效状态和危险之间的关系，以及恢复事件和修复事件与错误检测之间的关系，新的模型转换方法简化了构件之间错误传播的转换方法和危险行为的转换方法，使安全性模型转换为状态数量更少的DSPN模型，用于计算危险发生的概率；最后结合危险的严酷度等级计算危险发生的风险，做安全性评估。

1、参照图2，实施例描述了一个双通道飞行控制系统FCSystem，它是根据飞行控制系统规格说明书建立的AADL架构模型，系统中有5个子构件，分别是传感器(Sensor)、监控器(Monitor)、通道1(Channel1)、通道2(Channel2)和作动器(Actuator)，其中，Sensor和Actuator是设备(device)构件，Monitor、Channel1和Channel2是进程(process)构件。每个进程包含了一个线程(thread)构件。构件之间通过连接(connection)传输数据和事件。Sensor通过数据端口SensorOut将采集到的数据传输给Monitor、Channel1和Channel2，然后Channel1和Channel2分别进行控制率计算，接着将结果经过ChannelOut传输给Actuator。然后，根据安全性需求为架构模型建立错误模型和危险模型。当Actuator接收到任意一条通道传输来的错误数据(Data_Fault)，Actuator就会进入Failed状态。如果Actuator处于Failed的状态，那么飞机就有可能错过安全的飞行高度(MissSafeAltitude)，飞机下降太快，进入危险状态(LowAltitude)。Monitor对两个通道进行监控，如果通道失效(Failed)了，Monitor处于正常的可操作(Operational)状态，那么Monitor会通过事件数据端口MonitorOut1和MonitorOut2传输命令数据给通道，使通道重启并且恢复到正常的Operational状态。当两个通道同时处于Failed状态时，飞行控制系统会处于Failed状态，此时，如果系统需要从通道传输(transfer)数据给Actuator，那么系统只能产生错误的命令(ErrCommand)，因为两条通道都不能提供数据。如果系统进一步使用(execute)这条错误的命令，那么可能就会导致坠机(FlightCrash)的危险。最后由AADL架构模型、错误模型和危险模型构成飞行控制系统的层次化结构的AADL安全性模型。

2、飞行控制系统AADL安全性模型中最低层次的构件有：Sensor、ChannelThread1、ChannelThread2、MonitorThread和Actuator，将这些最低层次构件包含的错误模型和危险模型转换为DSPN模型，转换方法以及转换顺序如下：

2.1：参照图3，将这些构件中的错误状态转换到DSPN模型中的位置，其中，初始状态对应带有一个标识的位置。

2.2：参照图4，构件Sensor、ChannelThread1、ChannelThread2、MonitorThread和Actuator中，对于使用发生分布(OccurrenceDistribution)属性定义发生分布的事件，包括错误事件(error event)、恢复事件(recovery event)和修复事件(repair event)，将服从固定概率分布和泊松分布的事件，转换为指数迁移；将服从确定时间延迟分布的事件转换为确定时间迁移其中，事件的发生率转换为迁移分布的参数。

2.3：参照图5，构件Sensor和Actuator中由延迟分布(DurationDistribution)属性定义发生属性的修复事件和恢复事件转换为DSPN模型中的确定性时间迁移，其中，延迟时间转换为确定时间迁移的参数。Sensor中的错误模型定义RestoreEvent的延迟范围是[4ms,100ms]，Actuator中的错误模型定义RestoreEvent的延迟范围是[4ms,200ms]。DSPN模型中的时间精度为1秒，将时间单位转换为秒，并且取区间的最大值，代表最坏的情况。所以，这两个事件对应的迁移(SensorRestore和ActuatorRepairEvent)的参数分别是0.1和0.2。

2.4：参照图6，在位置和迁移的基础上，将不包含分支概率分布且与错误检测没有关联的从源错误状态到错误事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧。其中，对于所有变迁，如果目标状态是关键字same state，那么先用源错误状态代替目标错误状态，然后再转换变迁；如果源错误状态是关键字all，那么先将用构件内所有错误状态代替源错误状态，然后再转换变迁。

2.5：参照图7，构件Sensor和Actuator中定义了错误检测，恢复事件或修复事件分别作为错误检测的恢复动作或修复动作，将从源错误状态到恢复事件或者修复事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧。

2.6：参照图8，对于构件MonitorThread中从失效状态到可操作状态的变迁，它的目标错误状态是分支概率分布，增加一个位置P0作为中间错误状态。从Failed状态到RecoverEvent事件再到P0状态构成一个变迁，转换为位置到迁移的弧和迁移到位置的弧。将分支概率0.6和0.4看做两个服从指数分布的错误事件，然后，两个错误事件转换为指数迁移(T18和T24)，参数分别为0.6和0.4，接着，将分支概率分布看作两个从P0状态到错误事件再到Operational状态的变迁，每个变迁转换为位置到迁移的弧和迁移到位置的弧，其中，变迁的数量和总共两个分支概率是对应的。

2.7：参照图9，以前面步骤得到的位置或迁移来表示危险源，不使用额外的位置或者迁移来刻画危险源。构件Actuator中定义了危险源hs_Failed，直接使用错误状态Failed对应的位置ActuatorFailed来表示。

2.8：本实施例的最低层次的构件中没有逻辑组合。

对于带有与(and)逻辑操作的与逻辑组合，如果各组合元素是位置，添加一个瞬时迁移，然后分别添加从各组合元素到这个新添加的瞬时迁移的弧和从这个瞬时迁移到各组合元素的弧；如果各组合元素是迁移，添加一个位置和一个瞬时迁移，将逻辑组合转换为从各组合元素到新添加的位置的弧，以及新添加的位置到新添加的迁移的弧，并且将后面这条弧的弧权函数设置为：新添加的位置上的标识总数等于组合元素的个数。对于带有或(or)逻辑操作的或逻辑组合，如果组合元素是位置，那么为每个组合元素添加一个瞬时迁移，并分别为组合元素到各自对应的瞬时迁移添加弧和从各个瞬时迁移到对应的组合元素的弧；如果组合元素是迁移，直接使用这些迁移。对于带有逻辑原语“或者多于”(ormore)和“或者少于”(orless)的逻辑组合，先将逻辑原语转换为与逻辑组合和或逻辑组合的组合，然后再将分别按照上述方法进行转换。

2.9：参照图10，构件Actuator中定义了危险LowAltitude，转换为位置。

2.10：参照图11，构件Actuator中定义了触发器MissSafeAltifude，服从固定概率分布，参数为2.0，转换为指数迁移，参数为2.0。另外，对于服从泊松分布或者确定时间延迟分布的危险触发器，分别转换为指数迁移和确定时间迁移，其中，危险触发器的发生率转换为迁移的分布参数

2.11：参照图12，构件Actuator中从危险源hs_Failed到触发器MissSafeAltifude再到危险LowAltitude的危险传播，转换为危险源位置到迁移的弧、迁移到危险源位置的弧和迁移到危险位置的弧。

2.12：参照图13，危险到危险触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧，本实例最低层次的构件中没有从危险到危险触发器再到危险的变迁。对于从危险LowAltitude到可操作状态ActuatorOperational的变迁，先添加一个瞬时迁移T19，并将其使能函数设置为可操作状态对应的位置有大于0个标识，即#ActuatorOperational>0，然后，将从LowAltitude到T19再到ActuatorOperational的变迁，转换为位置LowAltitude到T19的弧和T19到位置ActuatorOperational的弧。

3、将模型中子构件均已经完成错误模型和危险模型转换的高一层次构件转换为DSPN模型。前面已完成模型转换的构件Sensor、ChannelThread1、ChannelThread2、MonitorThread和Actuator的高一层次构件是：FCSystem、Channel1、Channel2和Monitor。因为FCSystem的子构件Channel1、Channel2和Monitor没有完成模型转换，所以此步骤不对FCSystem进行模型转换，只要对Channel1、Channel2和Monitor进行模型转换。

3.1：按照步骤2.1至2.10将构件所包含的错误模型和危险模型转换为DSPN模型。Channel1、Channel2和Monitor中不包含步骤2.1至2.10所转换的错误模型和危险模型，所以跳过此步骤。

3.2：Channel1、Channel2和Monitor内定义了错误传播点，但是没有在错误传播和错误变迁中使用它们，所以，跳过此步骤。

3.3：Channel1、Channel2和Monitor中没有复合错误行为，跳过此步骤。

3.4：Channel1、Channel2和Monitor中没有危险传播，跳过此步骤。

4、Channel1、Channel2和Monitor有高一层次的构件FCSystem，重复步骤3。

构件FCSystem中的所有子构件都已经完成模型转换，所以对其进行模型转换，如下：

4.1：参照图14，按照步骤2.1至2.10将构件所包含错误状态SystemOperational和SystemFailed转换为位置，将危险ErrCommand和FlightCrash转换为位置，以及将触发器Transfer和Execute转换为迁移，参数分别是2.0和3.0。

4.2：参照图2，构件Sensor与ChannelThread1之间存在错误传播，向内的错误传播点ChannelIn触发错误变迁，然后，参照图15，添加瞬时迁移T0，将构件之间的错误传播转换为从源错误状态位置SensorFailed到迁移T0的弧和从迁移T0到位置SensorFailed的弧，接着，将被触发的错误变迁转换为从源错误状态位置Channel1Operational到迁移T0的弧和迁移T0到目标错误状态位置Channel1Failed的弧。

参照图2，构件Sensor与ChannelThread2之间存在错误传播，向内的错误传播点ChannelIn触发错误变迁，然后，参照图15，添加瞬时迁移T1，将构件之间的错误传播转换为从源错误状态位置SensorFailed到迁移T1的弧和从迁移T1到位置SensorFailed的弧，接着，将被触发的错误变迁转换为从源错误状态位置Channel2Operational到迁移T1的弧和迁移T1到目标错误状态位置Channel2Failed的弧。

参照图2，构件Monitor和ChannelThread1之间存在错误传播，向内的错误传播点ChannelInfromMonitor与恢复事件Restore构成触发条件且用于触发错误变迁，然后，参照图16，将构件之间的错误传播转换为从源错误状态位置MonitorOperational到恢复事件迁移Channel1Restore的弧和迁移Channel1Restore到位置MonitorOperational的弧，接着，将被触发的错误变迁转换为从源错误状态位置Channel1Failed到迁移Channel1Restore的弧和迁移Channel1Restore到位置Channel1Operational的弧。

参照图2，构件Monitor和ChannelThread2之间存在错误传播，向内的错误传播点ChannelInfromMonitor与恢复事件Restore构成触发条件且用于触发错误变迁，然后，参照图16，将构件之间的错误传播转换为从源错误状态位置MonitorOperational到恢复事件迁移Channel2Restore的弧和迁移Channel2Restore到位置MonitorOperational的弧，接着，将被触发的错误变迁转换为从源错误状态位置Channel2Failed到迁移Channel2Restore的弧和迁移Channel2Restore到位置Channel2Operational的弧。

参照图2，构件ChannelThread1和Actuator之间以及ChannelThread2和Actuator之间存在错误传播，两个向内错误传播点构成逻辑或组合触发错误变迁，然后，参照图17，分别添加瞬时迁移T13和T14作为向内的错误传播点，将构件ChannelThread1和Actuator之间的错误传播转换为从源错误状态位置Channel1Failed到迁移T13的弧和迁移T13到位置Channel1Failed的弧，将构件ChannelThread2和Actuator之间的错误传播转换为从源错误状态位置Channel2Failed到迁移T14的弧和迁移T14到位置Channel2Failed的弧，接着，根据步骤2.8对或逻辑组合进行转换，结果是迁移T13和T14本身，然后，将错误变迁转换为从位置ActuatorOperational到迁移T13的弧、从迁移T13到位置ActuatorFailed的弧、从位置ActuatorOperational到迁移T14的弧和从迁移T14到位置ActuatorFailed的弧。

4.3：参照图18，对于目标状态为SystemOperational的复合错误行为，子构件错误状态的“或者多于”逻辑组合按照步骤2.8中的方法进行模型转换，添加了瞬时迁移T6和T7，将逻辑组合转换为从位置Channel1Operational到迁移T6的弧和从迁移T6到位置Channel1Operational的弧，以及从位置Channel2Operational到迁移T7的弧和从迁移T7到位置Channel2Operational的弧，接着，将复合错误行为分别转换为从迁移T6到SystemOperational的弧和从迁移T7到SystemOperational的弧。其中，将T6和T7的使能函数设置为：#SystemOperational<1。

参照图18，对于目标状态为SystemFailed的复合错误行为，先按照步骤2.8中的方法转换子构件错误状态的与逻辑组合，添加瞬时迁移T16，然后将逻辑组合转换为从错误状态位置Channel1Failed到迁移T16的弧和从迁移T16到错误状态位置Channel1Failed的弧、以及从错误状态位置Channel2Failed到迁移T16的弧和从迁移T16到错误状态位置Channel2Failed的弧，然后将复合错误行为转换为从迁移T16到位置SystemFailed的弧。其中，将T16的使能函数设置为：(#SystemFailed+#ErrCommand+#FlightCrash)<1。

将从可操作状态SystemOperational到失效状态SystemFailed的变迁，转换为从位置SystemOperational到迁移T16的弧，弧权函数设置为：#SystemOperational，表示SystemOperational位置上的所有标识。

对于从失效状态SystemFailed到SystemOperational的变迁，添加一个瞬时迁移T5，将变迁转换为从位置SystemFailed到迁移T5的弧和从迁移T5到位置SystemOperational的弧，瞬时迁移T5的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，使能函数设置为：(#Channel1perational+#Channel2Operational)>＝1。

4.4：参照图19，将从危险源到触发器再到危险的危险传播，转换为从位置SystemFailed到迁移Transfer的弧和Transfer到ErrCommand的弧，将从危险到触发器再到危险的危险变迁转换为位置ErrCommand到迁移Execute的弧和迁移Execute到位置FlightCrash的弧。

对于从危险和可操作状态的变迁，参照图20，为危险ErrCommand和FlightCrash分别添加瞬时迁移T9和T12，然后，将危险ErrCommand到迁移T9再到可操作状态SystemOperational的变迁，转换为从位置ErrCommand到迁移T9的弧和迁移T9到位置SystemOperational的弧，将危险FlightCrash到迁移T12再到可操作状态SystemOperational的变迁，转换为从位置FlightCrash到迁移T12的弧和迁移T12到位置SystemOperational的弧。其中，迁移T9和T12的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，迁移T9和T12的使能函数都设置为：(#Channel1perational+#Channel2Operational)>＝1。

5、参照图21，前面已经完成模型转换的构件没有高一层次构件，所以，不需要重复步骤3，此时已经完成了所有的模型转换，得到了一个与AADL安全性模型对应的完整的DSPN模型。

6、参照图21，为构件Actuator中的危险LowAltitude，以及系统构件FCSystem中的危险ErrCommand和FlightCrash制定概率计算公式，如下：

P{#LowAltitude>＝1}，

P{#ErrCommand>＝1}，

P{#FlightCrash>＝1}，

根据模型中定义的危险，可以实现自动生成以上计算公式，并且加入到DSPN模型文件中。

7、使用DSPN计算工具TimeNET对完整的DSPN模型进行计算，得到危险LowAltitude、ErrCommand和FlightCrash的发生概率分别是0.194705、0.1254809和0.05509281。

8、AADL安全性模型中的危险分为5个严酷度等级：A、B、C、D和E，等级A是最高等级，等级E是最低等级，它们分别与数值0.9、0.75、0.5、0.25和0.01对应，取值范围是[0,1]。危险LowAltitude、ErrCommand和FlightCrash的严酷度等级分别是B、C和A，它们对应的严酷度值分别是0.75、0.5和0.9。

9、将危险的发生概率和严酷度值相乘，得到的危险发生的风险值分别是0.14602875、0.06274045和0.049583529。根据危险发生的风险，从大到小对危险进行排序，即LowAltitude，ErrCommand和FlightCrash。其中，LowAltitude的风险值最高，它所在的构件Actuator安全性最低。

Claims (1)

1.一种基于确定性随机Petri网的AADL模型安全性评估方法，其特征在于包括以下步骤：

步骤一：根据系统规格说明书为系统建立AADL架构模型，根据安全性需求为架构模型建立错误模型和危险模型，得到层次化结构的AADL安全性模型；

步骤二：将AADL安全性模型中最低层次的构件所包含的错误模型和危险模型转换为DSPN模型，转换方法以及转换顺序如下：

步骤1：将错误状态转换为DSPN模型中的位置，其中，将初始错误状态转换为DSPN模型中带一个标识的位置；

步骤2：对于使用发生分布属性定义发生分布的错误事件、恢复事件和修复事件，将服从固定概率分布和泊松分布的错误事件、恢复事件和修复事件，转换为指数迁移；将服从确定时间延迟分布的错误事件、恢复事件和修复事件，转换为确定时间迁移；其中，错误事件的发生率转换为迁移的分布参数；

步骤3：将使用延迟分布属性定义发生属性的恢复事件和修复事件，转换为确定时间迁移，其中，延迟时间转换为确定时间迁移的参数；当延迟时间的单位不是秒时，将其转换为秒；当延迟时间是一个区间范围时，取最大值；

步骤4：对于所有变迁，如果目标错误状态是关键字same state，用源错误状态代替目标错误状态，如果源错误状态是关键字all，用构件内所有错误状态代替源错误状态；然后，将不包含分支概率分布且与错误检测没有关联的从源错误状态到错误事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；

步骤5：如果恢复事件或修复事件分别是错误检测的恢复动作或者修复动作，那么将源错误状态到恢复事件或修复事件再到目标错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；

步骤6：如果目标错误状态是分支概率分布，添加一个位置作为中间错误状态，将从源错误状态到错误事件再到中间错误状态的变迁，转换为位置到迁移的弧和迁移到位置的弧；然后，将每个分支概率看做一个服从指数分布的错误事件，并将错误事件转换为指数迁移，参数为分支概率值，接着，将从中间错误状态到各个错误事件再到目标错误状态的变迁，分别转换为位置到迁移的弧和迁移到位置的弧，其中，变迁的数量与分支概率的数量相同；

步骤7：以前面步骤得到的位置或迁移来表示危险源；

步骤8：对于与逻辑组合，如果各组合元素是位置，添加一个瞬时迁移，然后分别添加从各组合元素到这个瞬时迁移的弧和从这个瞬时迁移到各组合元素的弧；如果各组合元素是迁移，添加一个位置和一个瞬时迁移，将逻辑组合转换为从各组合元素到新添加的位置的弧，以及新添加的位置到新添加的迁移的弧，并且将后面这条弧的弧权函数设置为：新添加的位置上的标识总数等于组合元素的个数；所述的与逻辑组合是指带有逻辑操作与的逻辑组合；

对于或逻辑组合，如果组合元素是位置，那么为每个组合元素添加一个瞬时迁移，并分别添加各组合元素到其对应的瞬时迁移的弧和从各个瞬时迁移到其对应的组合元素的弧；如果组合元素是迁移，直接使用这些迁移；所述的或逻辑组合是指带有逻辑操作或的逻辑组合；

对于带有逻辑原语“或者多于”和“或者少于”的逻辑组合，先将其转换为与逻辑组合和或逻辑组合的组合，再分别按照上述方法进行转换；

步骤9：将危险转换为DSPN模型中的位置；

步骤10：将服从固定概率分布和泊松分布的危险触发器，转换为指数迁移；将服从确定时间延迟分布的危险触发器，转换为确定时间迁移；其中，危险触发器的发生率转换为迁移的分布参数；

步骤11：将从危险源到触发器再到危险的危险传播，转换为危险源位置到迁移的弧、迁移到危险源位置的弧和迁移到危险位置的弧；

步骤12：将从危险到危险触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧，然后，添加一个瞬时迁移，将从危险到这个瞬时迁移再到可操作状态的变迁，转换为位置到迁移的弧和迁移到位置的弧，其中，瞬时迁移的使能函数设置为：可操作状态位置有大于0个标识；

步骤三：将AADL安全性模型中子构件均已经完成错误模型和危险模型转换的高一层次构件转换为DSPN模型，转换方法以及转换顺序，如下：

步骤a：按照步骤二中的步骤1至步骤10将构件所包含的错误模型和危险模型转换为DSPN模型；

步骤b：对于构件之间的错误传播，如果定义了错误传播点，但是没有在错误传播和错误变迁中使用它们，则跳过此步骤；否则，进行如下转换：

首先，如果向内的错误传播点与错误事件、恢复事件或修复事件构成触发条件且用于触发错误变迁或错误传播，以错误事件、恢复事件或修复事件为迁移，否则，添加一个瞬时迁移。然后，如果向内的错误传播点用作触发条件且用于触发错误变迁，将构件之间的错误传播转换为从源错误状态位置到迁移的弧和迁移到源错误状态位置的弧，接着，将被触发的错误变迁转换为从源错误状态位置到迁移的弧和从迁移到目标错误状态位置的弧；如果向内的错误传播点用作触发条件且用于触发错误传播，将构件之间的错误传播转换为源错误状态位置到迁移的弧和迁移到源错误状态位置的弧，接着，添加一个位置，将目标构件内的错误传播转换为从源错误状态位置到迁移的弧和从迁移到所添加的位置的弧，并以新添加的位置作为目标构件内错误传播的新的源错误状态位置。所述的错误变迁或错误传播的触发条件是逻辑组合时，先根据步骤二中的步骤8转换逻辑组合，再转换错误变迁或错误传播；

步骤c：对于复合错误行为，先将子构件错误状态的逻辑组合按照步骤二中的步骤8进行转换得到瞬时迁移，然后将复合错误行为转换为从瞬时迁移到目标错误状态的弧；其中，若目标错误状态是可操作状态，瞬时迁移的使能函数设置为：可操作状态上的标识数小于1，若目标错误状态是失效状态，瞬时迁移的使能函数设置为：除可操作状态之外的所有状态上的标识总数小于1；

将从可操作状态到失效状态的变迁，转换为从可操作状态位置到瞬时迁移的弧，此瞬时迁移是通过转换目标错误状态是失效状态的复合错误行为得到的，弧上的弧权函数设置为：可操作状态位置上的所有标识；

对于从失效状态到可操作状态的变迁，添加一个瞬时迁移，将变迁转换为从失效状态位置到新添加的瞬时迁移的弧和从新添加的瞬时迁移到可操作状态的弧，这个新添加的瞬时迁移的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，具体为：如果为带有逻辑原语“或者多于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于逻辑原语组合中给定的数值；如果为带有逻辑原语“或者少于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和小于等于逻辑原语组合中给定的数值；如果为与逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和等于子构件错误状态总数；如果为或逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于1。

步骤d：将从危险源到触发器再到危险的危险传播，转换为位置到迁移的弧和迁移到位置的弧；将从危险到触发器再到危险的危险变迁，转换为位置到迁移的弧和迁移到位置的弧；

对于从各个危险到可操作状态的变迁，为每个危险添加一个瞬时迁移，然后，将从每个危险到其瞬时迁移再到可操作状态的变迁，转换为从每个危险位置到其瞬时迁移的弧和从瞬时迁移到可操作状态位置的弧，其中，瞬时迁移的使能函数依据复合错误行为中子构件错误状态的逻辑组合来设定，此复合错误行为的目标错误状态是可操作状态，具体为：如果为带有逻辑原语“或者多于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于逻辑原语组合中给定的数值；如果为带有逻辑原语“或者少于”的逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和小于等于逻辑原语组合中给定的数值；如果为与逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和等于子构件错误状态总数；如果为或逻辑组合，使能函数设置为：子构件错误状态位置上的标识数总和大于等于1；

步骤四：如果前面已经完成模型转换的构件有高一层次构件，那么重复步骤三；否则，此时已经完成了所有的模型转换，得到一个与AADL安全性模型对应的完整的DSPN模型；

步骤五：按照P{#hazard>＝1}生成危险的概率公式，并将其加入到DSPN模型文件中，得到最终的DSPN模型；其中，P代表概率，hazard表示危险的名字，#hazard表示危险对应的位置中拥有的标识数量；

步骤六：利用计算工具TimeNET对最终的DSPN模型进行仿真计算，得到每个危险的发生概率；

步骤七：根据严酷度等级为AADL安全性模型中的危险进行赋值，得到每个危险的严酷度值，其中，严酷度值与严酷度等级一一对应，严酷度等级越高，其严酷度值越高，严酷度值的取值范围为[0,1]；

步骤八：将危险的发生概率和严酷度值的乘积作为危险发生的风险，并按照风险值由大到小进行排序，风险值越高的危险对应的构件，安全性越低。