CN108897676B - 基于形式化规则的飞行引导控制软件可靠性分析系统与方法 - Google Patents

Abstract

本发明涉及一种基于形式化规则的飞行引导控制软件可靠性分析系统，它包括飞行引导控制软件需求建模模块、飞行引导控制软件可靠性分析规则管理模块、飞行引导控制软件可靠性分析规则形式化描述模块和基于形式化规则的飞行引导控制软件可靠性自动分析模块，本发明围绕需求模型进行自动化遍历失效模式分析，充分识别需求中尚未明确或考虑的潜在逻辑分支，分析存在的安全隐患。提升软件可靠性分析工作的效率和质量，确保需求质量与完整性，保障软件可靠性水平满足飞行引导控制系统的研制要求。

Description

基于形式化规则的飞行引导控制软件可靠性分析系统与方法

技术领域

本发明涉及软件可靠性分析技术领域，具体涉及一种基于形式化规则的飞行引导控制软件可靠性分析系统与方法。

背景技术

随着计算机技术的迅速发展，软件已成为飞行引导控制系统的核心部件，完成数据解算、目标跟踪、指挥控制等重要功能。随之带来的问题是，软件失效成为导致系统危险的主要原因。因此，如何确保飞行引导控制软件的高可靠性与高安全性就显得十分重要。软件可靠性是指在规定条件下，规定时间内，软件运行不引起系统故障的能力，已经成为飞行引导控制系统质量核心要素之一。

飞行引导控制系统是包括网络、电子、软件的复杂混合体，主要使用无线电、光电等技术手段，生成目标引导指令，引导飞机按预定航迹飞行的专项技术。飞行引导控制系统要求在极短的时间内处理大量的信息并做出正确的决策与控制，一旦发生软件错误，会造成机毁人亡的严重事故，具有很高的安全风险。因此，飞行引导过程非常复杂。若软件可靠性工作不足，将导致飞行引导任务失败，飞机坠毁等事故、造成经济与资源重大损失，甚至人员伤亡。

软件可靠性分析通过对软件失效模式的识别与控制，提高系统可靠性水平，保证系统质量。美国麻省理工学院项目组对大量外场事故进行统计分析表明，绝大部分系统事故的原因都涉及到软件需求问题。高质量的软件需求应该是“分析出来的、设计出来的、管理出来的”，软件可靠性分析可确保软件正常需求与异常处理需求的充分性及准确性，是确保需求分析、设计实现、测试验证等工作效率和质量的重要途径。因此，软件可靠性分析对于飞行引导控制系统任务完成与运行安全具有重要影响。

飞行引导控制软件具有如下特点：1)实时性与控制精度要求高。飞行引导需要在短时间内对高速运动对象进行精准控制，稍许误差都将导致严重的后果，因此对数据传输实时性、算法解算精度要求较高；2)参与控制的交联设备多。与系统间信息交互关系复杂，数据量大且模式多样；3)对设备故障容错处理要求高。飞行引导控制过程的安全关键特性对软件容错设计提出更高要求，软件实时监视并响应飞行引导控制系统各设备的状态，确保飞行引导任务顺利完成；4)系统运行外部环境复杂多变。包括气象、白天黑夜、电磁干扰环境等，对飞行引导控制系统的运行安全带来重要影响。

由于飞行引导控制软件具有如上特点，其失效机理较为复杂。而传统软件可靠性分析技术(例如失效模式及其影响分析FMEA、故障树分析FTA等)偏重于对功能接口的静态遍历性分析，无法有效支撑研制人员识别具有动态特征的复杂失效模式，软件需求存在大量安全隐患。而软件测试技术侧重于验证需求的实现情况，不易发现需求不充分或不准确所引发的问题。传统分析验证技术的局限性，难以充分覆盖飞行引导控制软件外部异常输入激励，软件运行时会频繁出现失效，影响系统稳定运行，以及引导任务完成。

发明内容

本发明的目的在于针对现有技术中存在的问题，提出一种基于形式化规则的飞行引导控制软件可靠性分析系统与方法，该新系统和方法可以围绕需求模型进行自动化遍历失效模式分析，充分识别需求中尚未明确或考虑的潜在逻辑分支，分析存在的安全隐患。提升软件可靠性分析工作的效率和质量，确保需求质量与完整性，保障软件可靠性水平满足飞行引导控制系统的研制要求。

为解决上述技术问题，本发明公开的一种基于形式化规则的飞行引导控制软件可靠性分析系统，它包括飞行引导控制软件需求建模模块、飞行引导控制软件可靠性分析规则管理模块、飞行引导控制软件可靠性分析规则形式化描述模块和基于形式化规则的飞行引导控制软件可靠性自动分析模块，其中，飞行引导控制软件需求建模模块用于向飞行引导控制软件可靠性分析规则管理模块、飞行引导控制软件可靠性分析规则形式化描述模块和基于形式化规则的飞行引导控制软件可靠性自动分析模块输出飞行引导控制软件需求模型文件；

飞行引导控制软件可靠性分析规则管理模块用于从飞行引导控制软件需求建模模块接收飞行引导控制软件需求模型文件，并根据飞行引导控制软件需求模型文件结合选定的可靠性标准要求与飞行引导控制软件的指挥协同运行特征、任务场景运行特征、人机交互运行特征、网络架构运行特征和设备状态运行特征向飞行引导控制软件可靠性分析规则形式化描述模块输出飞行引导控制软件可靠性分析规则；

飞行引导控制软件可靠性分析规则形式化描述模块用于从飞行引导控制软件需求建模模块接收飞行引导控制软件需求模型文件，同时，从飞行引导控制软件可靠性分析规则管理模块接收飞行引导控制软件可靠性分析规则，并根据飞行引导控制软件需求模型文件和飞行引导控制软件可靠性分析规则运用集合论与谓词逻辑，以伪代码算法的方式，向基于形式化规则的飞行引导控制软件可靠性自动分析模块输出形式化飞行引导控制软件可靠性分析规则；

基于形式化规则的飞行引导控制软件可靠性自动分析模块用于从飞行引导控制软件需求建模模块接收飞行引导控制软件需求模型文件，同时，从飞行引导控制软件可靠性分析规则形式化描述模块接收形式化飞行引导控制软件可靠性分析规则，并利用飞行引导控制软件可靠性自动分析算法，输出飞行引导控制软件可靠性自动分析数据。

一种基于上述系统的飞行引导控制软件可靠性分析方法，它包括如下步骤：

步骤1：飞行引导控制软件需求建模模块根据飞行引导控制软件外部接口需求、飞行引导控制软件功能逻辑需求、飞行引导控制软件状态转移需求和飞行引导控制软件人机界面需求，依据UML图形建模方法进行需求建模，形成外部接口模型、独立功能模型、功能组合模型以及状态转移模型；

步骤2：飞行引导控制软件可靠性分析规则管理模块，将选定的可靠性标准要求与飞行引导控制软件的指挥协同运行特征、任务场景运行特征、人机交互运行特征、网络架构运行特征、设备状态运行特征，以及外部接口模型、独立功能模型、功能组合模型以及状态转移模型相结合，形成飞行引导控制软件可靠性分析规则；

步骤3：所述飞行引导控制软件可靠性分析规则形式化描述模块，接收飞行引导控制软件可靠性分析规则管理模块产生的各类飞行引导控制软件可靠性分析规则，并基于飞行引导控制软件需求建模模块输出的软件需求模型，运用集合论与谓词逻辑，以伪代码算法的方式，将各类飞行引导控制软件可靠性分析规则进行形式化描述，得到形式化飞行引导控制软件可靠性分析规则；

步骤4：基于形式化规则的飞行引导控制软件可靠性自动分析模块根据飞行引导控制软件需求建模模块输出的软件需求模型和飞行引导控制软件可靠性分析规则形式化描述模块输出的形式化飞行引导控制软件可靠性分析规则利用飞行引导控制软件可靠性自动分析算法得到飞行引导控制软件可靠性自动分析数据。

本发明的有益效果：

与现有技术相比，本发明具有以下有益效果：

步骤1中建立的外部接口模型、独立功能模型、功能组合模型以及状态转移模型提供图形化方法，直观简洁地描述复杂功能逻辑。飞行引导控制软件具有复杂的功能逻辑，例如接口数据流动、运行场景转移、人机操作交互等。自然语言无法直观描述这些复杂逻辑，且具有二义性，不利于用户与研制人员之间高效沟通。步骤1可将功能逻辑分解为一系列不同层次的模型，降低需求逻辑复杂度，利于软件研制人员深入理解需求要素。将用户和软件研制人员对需求的认识以统一方式加以展现，为高效沟通铺垫桥梁。

步骤2和步骤3中建立的软件可靠性分析规则可辅助分析人员在飞行引导控制软件需求模型基础上，对软件需求要素进行遍历分析，从不同角度识别需求中尚未明确或考虑的潜在逻辑分支，分析是否存在安全隐患，进而形成软件可靠性/安全性需求，再反馈至已有需求中。将软件可靠性分析与需求分析过程紧密结合，从可靠性/安全性角度识别现有需求尚未覆盖的功能逻辑，确保需求的完整性。提升可靠性分析质量，保障分析过程的规范性、充分性以及有效性。

步骤4中建立的基于形式化规则的软件可靠性自动化分析算法可围绕软件需求模型中的各项要素进行检查分析，高效识别软件需求中潜在的失效模式，实现飞行引导控制软件失效模式自动分析、显著降低人工分析成本，提高分析工作效率。

附图说明

图1为本发明的结构示意图。

其中，1—飞行引导控制软件需求建模模块、2—飞行引导控制软件可靠性分析规则管理模块、3—飞行引导控制软件可靠性分析规则形式化描述模块、4—基于形式化规则的飞行引导控制软件可靠性自动分析模块。

具体实施方式

以下结合附图和具体实施例对本发明作进一步的详细说明：

本发明的一种基于形式化规则的飞行引导控制软件可靠性分析系统，如图1所示，它包括飞行引导控制软件需求建模模块1、飞行引导控制软件可靠性分析规则管理模块2、飞行引导控制软件可靠性分析规则形式化描述模块3和基于形式化规则的飞行引导控制软件可靠性自动分析模块4，其中，飞行引导控制软件需求建模模块1用于向飞行引导控制软件可靠性分析规则管理模块2、飞行引导控制软件可靠性分析规则形式化描述模块3和基于形式化规则的飞行引导控制软件可靠性自动分析模块4输出飞行引导控制软件需求模型文件；

飞行引导控制软件可靠性分析规则管理模块2用于从飞行引导控制软件需求建模模块1接收飞行引导控制软件需求模型文件，并根据飞行引导控制软件需求模型文件结合选定的可靠性标准要求(GJB 900A、GJB/Z 102)与飞行引导控制软件的指挥协同运行特征、任务场景运行特征、人机交互运行特征、网络架构运行特征和设备状态运行特征向飞行引导控制软件可靠性分析规则形式化描述模块3输出飞行引导控制软件可靠性分析规则；

飞行引导控制软件可靠性分析规则形式化描述模块3用于从飞行引导控制软件需求建模模块1接收飞行引导控制软件需求模型文件，同时，从飞行引导控制软件可靠性分析规则管理模块2接收飞行引导控制软件可靠性分析规则，并根据飞行引导控制软件需求模型文件和飞行引导控制软件可靠性分析规则运用集合论与谓词逻辑，以伪代码算法的方式，向基于形式化规则的飞行引导控制软件可靠性自动分析模块4输出形式化飞行引导控制软件可靠性分析规则；

基于形式化规则的飞行引导控制软件可靠性自动分析模块4用于从飞行引导控制软件需求建模模块1接收飞行引导控制软件需求模型文件，同时，从飞行引导控制软件可靠性分析规则形式化描述模块3接收形式化飞行引导控制软件可靠性分析规则，并利用飞行引导控制软件可靠性自动分析算法，输出飞行引导控制软件可靠性自动分析数据。

上述技术方案中，飞行引导控制软件需求模型文件包括外部接口模型、独立功能模型、功能组合模型、状态转移模型；

外部接口模型用于描述飞行引导控制软件的外部输入接口、外部输出接口数据信息；独立功能模型用于描述飞行引导控制软件控制过程和控制逻辑；功能组合模型用于描述飞行引导控制软件功能之间的并发、顺序、调用关系；状态转移模型用于描述飞行引导软件所处的不同工作状态、状态之间的转移条件和转移路径。

上述技术方案中，所述飞行引导控制软件可靠性分析规则包括输入接口分析规则、功能处理分析规则、功能组合分析规则、状态转移分析规则以及输出接口分析规则。

一种基于上述系统的飞行引导控制软件可靠性分析方法，它包括如下步骤：

步骤1：飞行引导控制软件需求建模模块1根据飞行引导控制软件外部接口需求、飞行引导控制软件功能逻辑需求、飞行引导控制软件状态转移需求和飞行引导控制软件人机界面需求，依据UML图形建模方法进行需求建模，形成外部接口模型、独立功能模型、功能组合模型以及状态转移模型；

步骤2：飞行引导控制软件可靠性分析规则管理模块2，将选定的可靠性标准要求(GJB 900A、GJB/Z 102)与飞行引导控制软件的指挥协同运行特征、任务场景运行特征、人机交互运行特征、网络架构运行特征、设备状态运行特征，以及外部接口模型、独立功能模型、功能组合模型以及状态转移模型相结合，形成飞行引导控制软件可靠性分析规则；

步骤3：所述飞行引导控制软件可靠性分析规则形式化描述模块3，接收飞行引导控制软件可靠性分析规则管理模块2产生的各类飞行引导控制软件可靠性分析规则，并基于飞行引导控制软件需求建模模块1输出的软件需求模型(外部接口模型、独立功能模型、功能组合模型以及状态转移模型)，运用集合论与谓词逻辑，以伪代码算法的方式，将各类飞行引导控制软件可靠性分析规则进行形式化描述，得到形式化飞行引导控制软件可靠性分析规则；

步骤4：基于形式化规则的飞行引导控制软件可靠性自动分析模块4根据飞行引导控制软件需求建模模块1输出的软件需求模型(外部接口模型、独立功能模型、功能组合模型以及状态转移模型)和飞行引导控制软件可靠性分析规则形式化描述模块3输出的形式化飞行引导控制软件可靠性分析规则利用飞行引导控制软件可靠性自动分析算法得到飞行引导控制软件可靠性自动分析数据。

上述技术方案的步骤4中，利用飞行引导控制软件可靠性自动分析算法得到飞行引导控制软件可靠性自动分析数据的具体方法为：

首先，遍历软件外部输入接口数据，分析控制软件需求模型是否针对外部输入接口数据定义有效值域区间；调用输入接口分析规则，确定失效模式，失效模式包括外部输入接口数据大于值域上限、外部输入接口数据取值小于值域上限、外部输入接口数据为值域外的非法值和分析外部输入接口数据取值发生跳变；

分析控制软件需求模型是否针对外部输入接口数据明确时序约束关系，调用输入接口分析规则，进行外部输入接口时序约束关系失效模式确定，外部输入接口时序约束关系失效模式包括：外部输入接口数据采集周期大于规定周期，外部输入接口数据采集周期小于规定周期，外部输入接口数据取值持续时间大于规定时间、外部输入接口数据取值持续时间小于规定时间，外部输入接口数据采集时刻早于规定时刻、外部输入接口数据采集时刻晚于规定时刻；

分析需求模型是否针对总线外部输入接口数据明确通讯格式，调用输入接口分析规则，进行通讯格式失效模式确定，通讯格式失效模式包括：数据帧长度小于规定长度，数据帧帧头错误；

分析需求模型是否明确外部输入接口数据余度信息，调用输入接口分析规则，进行数据余度失效模式确定，数据余度失效模式包括：接口数据未进行多余度取值表决，全部余度的接口数据均为无效取值；

然后，遍历软件外部输出接口数据，分析需求模型是否针对外部输出接口数据定义有效值域区间，则调用输出接口分析规则，进行软件外部输出接口数据失效模式确定，包括：软件外部输出接口数据取值大于值域上限、软件外部输出接口数据取值小于值域上限、软件外部输出接口数据为值域外的非法值、软件外部输出接口数据取值发生跳变；

分析需求模型是否针对外部输出接口数据定义时序约束关系则调用输出接口分析规则，进行外部输出接口时序约束关系失效模式确定，外部输入接口时序约束关系失效模式包括：外部输出接口数据发送周期大于规定周期，外部输出接口数据发送周期小于规定周期，外部输出接口数据输出持续时间大于规定时间、外部输出接口数据输出持续时间小于规定时间、部输出接口数据输出时刻早于规定时刻、部输出接口数据输出时刻晚于规定时刻；

确定在软件需求模型中，是否针对外部输出接口明确通讯格式，调用输出接口分析规则，进行通讯格式失效模式确定，通讯格式失效模式包括：外部输出接口数据帧长度小于规定长度、外部输出接口数据帧帧头错误；

确定软件需求模型是否明确外部输出接口数据的余度信息，调用输出接口分析规则，进行外部输出接口数据的余度信息失效模式确定，外部输出接口数据的余度信息失效模式包括：外部输出接口数据未进行多余度输出表决，全部余度的外部输出接口数据均为无效输出值；

最后，遍历软件功能处理过程，分析软件需求模型是否明确定义功能处理过程中所有外部交联设备信息，调用功能处理分析规则，进行功能处理失效模式确定，功能处理失效模式包括：执行机构运动速度超过设定速度阈值，执行机构运动位置超出物理极限位置，传感器处于故障状态，无法提供准确的接口数据；

当功能控制过程出现超时，确定软件需求模型是否为功能之间的组合关系或者状态转移关系，调用功能组合分析规则与状态转移分析规则，进行组合关系或者状态转移关系失效模式确定，组合关系或者状态转移关系失效模式包括：多个功能同时对同一输出接口数据进行取值出现冲突，同一状态向多个状态的转移条件同时成立。

上述技术方案的步骤2中，所述飞行引导控制软件可靠性分析规则包括输入接口分析规则、功能处理分析规则、功能组合分析规则、状态转移分析规则以及输出接口分析规则；

上述技术方案的步骤2中，依据外部接口模型，针对飞行引导控制软件外部输入接口的数据取值、取值周期、通讯协议、余度设计需求，制定如下输入接口分析规则：

输入接口数据取值分析规则，数据取值分析规则用于将飞行引导控制软件中模拟量、以太网、串口类别接口的数据取值与对应的设定阈值进行比较，并对各个大于值域上限或小于值域下限的异常情况，给出对应处理策略，即软件将输入接口数据取值置为边界值；

输入接口取值周期分析规则，输入接口取值周期分析规则用于将飞行引导控制软件中输入接口数据取值周期与预设的规定周期进行比较，并对大于规定周期或小于规定周期的异常情况，给出对应处理策略，即软件输出告警提示；

输入接口通讯协议分析规则，输入接口通讯协议分析规则用于将飞行引导控制软件中输入接口数据帧的帧头、帧尾、校验位与预设的规定通讯协议进行比较，同时对不一致的异常情况，给出对应处理策略，即软件对输入接口数据帧不处理；

输入接口余度设计分析规则，输入接口余度设计分析规则用于分析飞行引导控制软件中多个余度输入接口数据取值不一致的异常情况，并给出对应处理策略，即软件输出告警提示；

上述技术方案的步骤2中，依据外部接口模型，针对飞行引导控制软件外部输出接口的数据取值、取值周期、通讯协议、余度设计需求，制定如下的输出接口分析规则：

输出接口数据取值分析规则，输出接口数据取值分析规则用于将飞行引导控制软件中模拟量、以太网、串口类别接口的数据取值与对应的设定阈值进行比较，并对各个大于值域上限或小于值域下限的异常情况，给出对应处理策略，即软件将输入接口数据取值置为边界值；

输出接口取值周期分析规则，输出接口取值周期分析规则用于将飞行引导控制软件中输出接口数据取值周期与预设的规定周期进行比较，并对大于规定周期或小于规定周期的异常情况，给出对应处理策略，即软件输出告警提示；

输出接口通讯协议分析规则，输出接口通讯协议分析规则用于将飞行引导控制软件中输出接口数据帧的帧头、帧尾、校验位与预设的规定通讯协议进行比较，同时对不一致的异常情况，给出对应处理策略，即软件对输入接口数据帧不处理；

输出接口余度设计分析规则，输出接口余度设计分析规则用于分析飞行引导控制软件中多个余度输出接口数据取值不一致的异常情况，并给出对应处理策略，即软件输出告警提示；

上述技术方案的步骤2中，依据独立功能模型，针对软件功能的数据处理、逻辑条件、余度切换的处理过程需求，制定如下的功能处理分析规则：

数据处理分析规则，数据处理分析规则用于将飞行引导控制软件中功能数据处理时间与预设的规定处理时间进行对比，并对大于规定处理时间的异常情况，给出对应处理策略，即软件输出告警提示；

逻辑条件分析规则，逻辑条件分析规则用于分析飞行引导控制软件中功能逻辑条件重复满足的异常情况，并给出对应处理策略，即软件功能不再重复执行；

余度切换分析规则，余度切换分析规则用于分析飞行引导控制软件中功能余度切换无效(即未从主控功能成功切换至备份功能)的异常情况，并给出对应处理策略，即软件输出告警提示。

上述技术方案的步骤2中，依据功能组合模型，针对飞行引导控制软件功能之间的并发执行、顺序执行等组合需求，制定如下的功能组合分析规则：

并发执行分析规则，所述并发执行分析规则用于分析多项功能同时对同一输出接口数据进行取值操作的异常情况，并给出对应处理策略，即软件输出告警提示；

顺序执行分析规则，顺序执行分析规则用于分析多项功能顺序执行，并对前序功能输出取值超出值域范围的数据作为后序功能输入数据的异常情况，给出对应处理策略，即软件输出告警提示。

上述技术方案的步骤2中，依据状态转移模型，针对飞行引导控制软件工作状态的转移条件、转移路径这些状态转移需求，制定如下的状态转移分析规则：

转移条件分析规则，转移条件分析规则用于分析飞行引导控制软件中当前工作状态与多个工作状态之间的转移条件同时满足，使得由当前状态同时向多个工作状态转移的异常情况，并给出对应处理策略，即软件输出告警提示；

转移路径分析规则，转移路径分析规则用于分析飞行引导控制软件中当前工作状态向其他工作状态转移过程中，正在执行的功能被异常中断的异常情况，并给出对应处理策略，即软件输出告警提示。

本发明可围绕飞行引导控制软件需求模型进行自动化遍历失效模式分析，充分识别需求中尚未明确或考虑的潜在逻辑分支，分析存在的安全隐患。可显著提升软件可靠性分析工作的效率和质量，将软件可靠性分析与需求分析过程紧密结合，从可靠性/安全性角度识别现有需求尚未覆盖的功能逻辑，确保需求质量，保障软件可靠性水平满足飞行引导控制系统的研制要求。

本发明将依据相关标准与软件特点，提出一种基于形式化规则的飞行引导控制系统软件可靠性自动分析技术。包括飞行引导控制系统软件需求建模方法、飞行引导控制系统软件可靠性分析规则获取与形式化描述、基于形式化规则的软件可靠性自动分析算法等内容。首先，提供图形化需求建模方法，直观简洁地描述外部接口数据、功能处理逻辑、运行场景转移等需求元素。在此基础上，借助集合论、谓词逻辑等形式化语义，实现需求形式化建模；然后，将标准要求与飞行引导控制系统软件的指挥协同、任务场景、人机界面、网络架构、设备状态等典型运行特征相融合，提出面向飞行引导控制系统软件的可靠性分析规则，充分揭示飞行引导控制系统软件复杂失效机理。基于形式化需求模型，对分析规则进行形式化描述，为可靠性自动分析提供支撑；最后，基于形式化需求模型与可靠性分析规则，提出软件可靠性自动分析算法。可围绕需求模型进行自动化遍历失效模式分析，充分识别需求中尚未明确或考虑的潜在逻辑分支，分析存在的安全隐患。显著提升软件可靠性分析工作的效率和质量，确保需求质量与完整性，保障软件可靠性水平满足飞行引导控制系统的研制要求。

本说明书未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (10)

1.一种基于形式化规则的飞行引导控制软件可靠性分析系统，其特征在于：它包括飞行引导控制软件需求建模模块(1)、飞行引导控制软件可靠性分析规则管理模块(2)、飞行引导控制软件可靠性分析规则形式化描述模块(3)和基于形式化规则的飞行引导控制软件可靠性自动分析模块(4)，其中，飞行引导控制软件需求建模模块(1)用于向飞行引导控制软件可靠性分析规则管理模块(2)、飞行引导控制软件可靠性分析规则形式化描述模块(3)和基于形式化规则的飞行引导控制软件可靠性自动分析模块(4)输出飞行引导控制软件需求模型文件；

飞行引导控制软件可靠性分析规则管理模块(2)用于从飞行引导控制软件需求建模模块(1)接收飞行引导控制软件需求模型文件，并根据飞行引导控制软件需求模型文件结合选定的可靠性标准要求与飞行引导控制软件的指挥协同运行特征、任务场景运行特征、人机交互运行特征、网络架构运行特征和设备状态运行特征向飞行引导控制软件可靠性分析规则形式化描述模块(3)输出飞行引导控制软件可靠性分析规则；

飞行引导控制软件可靠性分析规则形式化描述模块(3)用于从飞行引导控制软件需求建模模块(1)接收飞行引导控制软件需求模型文件，同时，从飞行引导控制软件可靠性分析规则管理模块(2)接收飞行引导控制软件可靠性分析规则，并根据飞行引导控制软件需求模型文件和飞行引导控制软件可靠性分析规则运用集合论与谓词逻辑，以伪代码算法的方式，向基于形式化规则的飞行引导控制软件可靠性自动分析模块(4)输出形式化飞行引导控制软件可靠性分析规则；

基于形式化规则的飞行引导控制软件可靠性自动分析模块(4)用于从飞行引导控制软件需求建模模块(1)接收飞行引导控制软件需求模型文件，同时，从飞行引导控制软件可靠性分析规则形式化描述模块(3)接收形式化飞行引导控制软件可靠性分析规则，并利用飞行引导控制软件可靠性自动分析算法，输出飞行引导控制软件可靠性自动分析数据。

2.根据权利要求1所述的基于形式化规则的飞行引导控制软件可靠性分析系统，其特征在于：飞行引导控制软件需求模型文件包括外部接口模型、独立功能模型、功能组合模型、状态转移模型；

外部接口模型用于描述飞行引导控制软件的外部输入接口、外部输出接口数据信息；独立功能模型用于描述飞行引导控制软件控制过程和控制逻辑；功能组合模型用于描述飞行引导控制软件功能之间的并发、顺序、调用关系；状态转移模型用于描述飞行引导软件所处的不同工作状态、状态之间的转移条件和转移路径。

3.根据权利要求1所述的基于形式化规则的飞行引导控制软件可靠性分析系统，其特征在于：所述飞行引导控制软件可靠性分析规则包括输入接口分析规则、功能处理分析规则、功能组合分析规则、状态转移分析规则以及输出接口分析规则。

4.一种权利要求1所述系统的飞行引导控制软件可靠性分析方法，其特征在于，它包括如下步骤：

步骤1：飞行引导控制软件需求建模模块(1)根据飞行引导控制软件外部接口需求、飞行引导控制软件功能逻辑需求、飞行引导控制软件状态转移需求和飞行引导控制软件人机界面需求，依据UML图形建模方法进行需求建模，形成外部接口模型、独立功能模型、功能组合模型以及状态转移模型；

步骤2：飞行引导控制软件可靠性分析规则管理模块(2)，将选定的可靠性标准要求与飞行引导控制软件的指挥协同运行特征、任务场景运行特征、人机交互运行特征、网络架构运行特征、设备状态运行特征，以及外部接口模型、独立功能模型、功能组合模型以及状态转移模型相结合，形成飞行引导控制软件可靠性分析规则；

步骤3：所述飞行引导控制软件可靠性分析规则形式化描述模块(3)，接收飞行引导控制软件可靠性分析规则管理模块(2)产生的各类飞行引导控制软件可靠性分析规则，并基于飞行引导控制软件需求建模模块(1)输出的软件需求模型，运用集合论与谓词逻辑，以伪代码算法的方式，将各类飞行引导控制软件可靠性分析规则进行形式化描述，得到形式化飞行引导控制软件可靠性分析规则；

步骤4：基于形式化规则的飞行引导控制软件可靠性自动分析模块(4)根据飞行引导控制软件需求建模模块(1)输出的软件需求模型和飞行引导控制软件可靠性分析规则形式化描述模块(3)输出的形式化飞行引导控制软件可靠性分析规则利用飞行引导控制软件可靠性自动分析算法得到飞行引导控制软件可靠性自动分析数据。

5.根据权利要求4所述的飞行引导控制软件可靠性分析方法，其特征在于：所述步骤4中，利用飞行引导控制软件可靠性自动分析算法得到飞行引导控制软件可靠性自动分析数据的具体方法为：

首先，遍历软件外部输入接口数据，分析控制软件需求模型是否针对外部输入接口数据定义有效值域区间；调用输入接口分析规则，确定失效模式，失效模式包括外部输入接口数据大于值域上限、外部输入接口数据取值小于值域上限、外部输入接口数据为值域外的非法值和分析外部输入接口数据取值发生跳变；

分析控制软件需求模型是否针对外部输入接口数据明确时序约束关系，调用输入接口分析规则，进行外部输入接口时序约束关系失效模式确定，外部输入接口时序约束关系失效模式包括：外部输入接口数据采集周期大于规定周期，外部输入接口数据采集周期小于规定周期，外部输入接口数据取值持续时间大于规定时间、外部输入接口数据取值持续时间小于规定时间，外部输入接口数据采集时刻早于规定时刻、外部输入接口数据采集时刻晚于规定时刻；

分析需求模型是否针对总线外部输入接口数据明确通讯格式，调用输入接口分析规则，进行通讯格式失效模式确定，通讯格式失效模式包括：数据帧长度小于规定长度，数据帧帧头错误；

分析需求模型是否明确外部输入接口数据余度信息，调用输入接口分析规则，进行数据余度失效模式确定，数据余度失效模式包括：接口数据未进行多余度取值表决，全部余度的接口数据均为无效取值；

然后，遍历软件外部输出接口数据，分析需求模型是否针对外部输出接口数据定义有效值域区间，则调用输出接口分析规则，进行软件外部输出接口数据失效模式确定，包括：软件外部输出接口数据取值大于值域上限、软件外部输出接口数据取值小于值域上限、软件外部输出接口数据为值域外的非法值、软件外部输出接口数据取值发生跳变；

分析需求模型是否针对外部输出接口数据定义时序约束关系则调用输出接口分析规则，进行外部输出接口时序约束关系失效模式确定，外部输入接口时序约束关系失效模式包括：外部输出接口数据发送周期大于规定周期，外部输出接口数据发送周期小于规定周期，外部输出接口数据输出持续时间大于规定时间、外部输出接口数据输出持续时间小于规定时间、部输出接口数据输出时刻早于规定时刻、部输出接口数据输出时刻晚于规定时刻；

确定在软件需求模型中，是否针对外部输出接口明确通讯格式，调用输出接口分析规则，进行通讯格式失效模式确定，通讯格式失效模式包括：外部输出接口数据帧长度小于规定长度、外部输出接口数据帧帧头错误；

确定软件需求模型是否明确外部输出接口数据的余度信息，调用输出接口分析规则，进行外部输出接口数据的余度信息失效模式确定，外部输出接口数据的余度信息失效模式包括：外部输出接口数据未进行多余度输出表决，全部余度的外部输出接口数据均为无效输出值；

最后，遍历软件功能处理过程；

确定软件需求模型是否明确定义功能处理过程中所有外部交联设备信息，调用功能处理分析规则，进行功能处理失效模式确定，功能处理失效模式包括：执行机构运动速度超过设定速度阈值，执行机构运动位置超出物理极限位置，传感器处于故障状态，无法提供准确的接口数据；

当功能控制过程出现超时，确定软件需求模型是否为功能之间的组合关系或者状态转移关系，调用功能组合分析规则与状态转移分析规则，进行组合关系或者状态转移关系失效模式确定，组合关系或者状态转移关系失效模式包括：多个功能同时对同一输出接口数据进行取值出现冲突，同一状态向多个状态的转移条件同时成立。

6.根据权利要求4所述的飞行引导控制软件可靠性分析方法，其特征在于：所述步骤2中，所述飞行引导控制软件可靠性分析规则包括输入接口分析规则、功能处理分析规则、功能组合分析规则、状态转移分析规则以及输出接口分析规则。

7.根据权利要求6所述的飞行引导控制软件可靠性分析方法，其特征在于：步骤2中，依据外部接口模型，针对飞行引导控制软件外部输入接口的数据取值、取值周期、通讯协议、余度设计需求，制定如下输入接口分析规则：

输入接口数据取值分析规则，数据取值分析规则用于将飞行引导控制软件中模拟量、以太网、串口类别接口的数据取值与对应的设定阈值进行比较，并对各个大于值域上限或小于值域下限的异常情况，给出对应处理策略，即软件将输入接口数据取值置为边界值；

输入接口取值周期分析规则，输入接口取值周期分析规则用于将飞行引导控制软件中输入接口数据取值周期与预设的规定周期进行比较，并对大于规定周期或小于规定周期的异常情况，给出对应处理策略，即软件输出告警提示；

输入接口通讯协议分析规则，输入接口通讯协议分析规则用于将飞行引导控制软件中输入接口数据帧的帧头、帧尾、校验位与预设的规定通讯协议进行比较，同时对不一致的异常情况，给出对应处理策略，即软件对输入接口数据帧不处理；

输入接口余度设计分析规则，输入接口余度设计分析规则用于分析飞行引导控制软件中多个余度输入接口数据取值不一致的异常情况，并给出对应处理策略，即软件输出告警提示；

步骤2中，依据外部接口模型，针对飞行引导控制软件外部输出接口的数据取值、取值周期、通讯协议、余度设计需求，制定如下的输出接口分析规则：

输出接口数据取值分析规则，输出接口数据取值分析规则用于将飞行引导控制软件中模拟量、以太网、串口类别接口的数据取值与对应的设定阈值进行比较，并对各个大于值域上限或小于值域下限的异常情况，给出对应处理策略，即软件将输入接口数据取值置为边界值；

输出接口取值周期分析规则，输出接口取值周期分析规则用于将飞行引导控制软件中输出接口数据取值周期与预设的规定周期进行比较，并对大于规定周期或小于规定周期的异常情况，给出对应处理策略，即软件输出告警提示；

输出接口通讯协议分析规则，输出接口通讯协议分析规则用于将飞行引导控制软件中输出接口数据帧的帧头、帧尾、校验位与预设的规定通讯协议进行比较，同时对不一致的异常情况，给出对应处理策略，即软件对输入接口数据帧不处理；

输出接口余度设计分析规则，输出接口余度设计分析规则用于分析飞行引导控制软件中多个余度输出接口数据取值不一致的异常情况，并给出对应处理策略，即软件输出告警提示。

8.根据权利要求6所述的飞行引导控制软件可靠性分析方法，其特征在于：步骤2中，依据独立功能模型，针对软件功能的数据处理、逻辑条件、余度切换的处理过程需求，制定如下的功能处理分析规则：

数据处理分析规则，数据处理分析规则用于将飞行引导控制软件中功能数据处理时间与预设的规定处理时间进行对比，并对大于规定处理时间的异常情况，给出对应处理策略，即软件输出告警提示；

逻辑条件分析规则，逻辑条件分析规则用于分析飞行引导控制软件中功能逻辑条件重复满足的异常情况，并给出对应处理策略，即软件功能不再重复执行；

余度切换分析规则，余度切换分析规则用于分析飞行引导控制软件中功能余度切换无效的异常情况，并给出对应处理策略，即软件输出告警提示。

9.根据权利要求6所述的飞行引导控制软件可靠性分析方法，其特征在于：步骤2中，依据功能组合模型，针对飞行引导控制软件功能之间的并发执行、顺序执行的组合需求，制定如下的功能组合分析规则：

并发执行分析规则，所述并发执行分析规则用于分析多项功能同时对同一输出接口数据进行取值操作的异常情况，并给出对应处理策略，即软件输出告警提示；

顺序执行分析规则，顺序执行分析规则用于分析多项功能顺序执行，并对前序功能输出取值超出值域范围的数据作为后序功能输入数据的异常情况，给出对应处理策略，即软件输出告警提示。

10.根据权利要求6所述的飞行引导控制软件可靠性分析方法，其特征在于：步骤2中，依据状态转移模型，针对飞行引导控制软件工作状态的转移条件、转移路径这些状态转移需求，制定如下的状态转移分析规则：

转移条件分析规则，转移条件分析规则用于分析飞行引导控制软件中当前工作状态与多个工作状态之间的转移条件同时满足，使得由当前状态同时向多个工作状态转移的异常情况，并给出对应处理策略，即软件输出告警提示；

转移路径分析规则，转移路径分析规则用于分析飞行引导控制软件中当前工作状态向其他工作状态转移过程中，正在执行的功能被异常中断的异常情况，并给出对应处理策略，即软件输出告警提示。

Images