CN113283008A - 基于模型转换的民用飞机系统行为状态安全性验证方法 - Google Patents

基于模型转换的民用飞机系统行为状态安全性验证方法 Download PDF

Info

Publication number
CN113283008A
CN113283008A CN202110570192.XA CN202110570192A CN113283008A CN 113283008 A CN113283008 A CN 113283008A CN 202110570192 A CN202110570192 A CN 202110570192A CN 113283008 A CN113283008 A CN 113283008A
Authority
CN
China
Prior art keywords
model
nusmv
gts
state
altarica
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110570192.XA
Other languages
English (en)
Other versions
CN113283008B (zh
Inventor
荣灏
张福凯
李娜
周元辉
张茂帝
林谢贵
陈龙
杨亮
姜轶
周海燕
谷青范
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Aeronautical Radio Electronics Research Institute
Original Assignee
China Aeronautical Radio Electronics Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Aeronautical Radio Electronics Research Institute filed Critical China Aeronautical Radio Electronics Research Institute
Priority to CN202110570192.XA priority Critical patent/CN113283008B/zh
Publication of CN113283008A publication Critical patent/CN113283008A/zh
Application granted granted Critical
Publication of CN113283008B publication Critical patent/CN113283008B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/10Geometric CAD
    • G06F30/15Vehicle, aircraft or watercraft design
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Geometry (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明公开了一种基于模型转换的民用飞机系统行为状态安全性验证方法,包含以下步骤:根据民用飞机系统中各组件之间的功能交互关系构建AltaRicaGTS模型;以验证民用飞机系统的行为状态为目标,确定GTS模型与NuSMV模型之间的映射规则,将GTS模型转换为NuSMV模型;利用NuSMV工具对转换后的NuSMV模型开展系统行为状态的安全性验证。本发明解决了基于AltaRica模型开展安全性分析时无法开展行为转状态安全性验证的缺点,对民用飞机安全关键系统的分析有重要的意义。

Description

基于模型转换的民用飞机系统行为状态安全性验证方法
技术领域
本发明涉及民用飞机系统行为状态安全性验证领域,具体涉及一种基于模型转换的民用飞机系统行为状态安全性验证方法。
背景技术
安全性是民用飞机系统开发各方关注的焦点,是产品适航和商业成功的关键,目前,基于形式化模型的系统安全性分析方法解决了民用飞机系统开展失效事件致因分析(如故障树分析)时系统模型与安全性模型的一致性问题,即安全性分析和系统设计均基于统一的形式化模型,安全性分析结果能够真实反映系统的安全性能力。除了表明系统安全性能力达到适航要求,另外,在民用飞机系统开发过程中还需保证系统的全部行为状态都通过了安全性验证,即所有的行为状态都在开发过程中进行了设计考虑。AltaRica是一种民用飞机系统广泛应用的形式化建模语言,然而AltaRica仅支持构建系统致因关系开展失效事件致因分析,不支持穷尽状态空间的系统行为验证。因此,为了开展基于统一模型的安全性分析和验证,就需要对模型进行等价转换,借助NuSMV模型验证工具,提出一种基于模型转换的民用飞机系统行为状态安全性验证方法。
发明内容
本发明的发明目的在于提供了一种基于模型转换的民用飞机系统行为状态安全性验证方法,航电系统开发者在构建系统的AltaRica模型后,利用此方法开展AltaRica模型向NuSMV模型的转换,即可实现基于模型转换的民用飞机系统行为状态安全性验证。
本发明的发明目的通过以下技术方案实现:
一种基于模型转换的民用飞机系统行为状态安全性验证方法,包含以下步骤:
步骤1、根据民用飞机系统中各组件之间的功能交互关系构建AltaRica GTS模型;
步骤2、以验证民用飞机系统的行为状态为目标,确定GTS模型与NuSMV模型之间的映射规则,将GTS模型转换为NuSMV模型;
步骤3、利用NuSMV工具对转换后的NuSMV模型开展系统行为状态的安全性验证。
依据上述特征,所述步骤1包含以下步骤:
步骤1-1,从系统架构交联关系的角度,梳理待进行验证的民用飞机系统中的各组件之间的功能交互关系,功能交互关系包括各组件的名称、输入接口、输出接口和故障模式;
步骤1-2、根据AltaRica GTS模型定义规则,将梳理的功能交互关系转换为AltaRica GTS模型;AltaRica GTS模型定义规则为:node下定义的组件名称,flow下定义的组件的输入接口、输出接口,assert下定义组件的故障逻辑表达式。
所述步骤2包含以下步骤:
步骤2-1:GTS模型向NuSMV正常模块转换:首先将AltaRica GTS模型中的各组件的名称和flow中定义的输入接口转换为NuSMV正常模块的定义信息;然后,通过固定的正常和故障的两种值定义status状态,并将AltaRica GTS模型中的flow中定义的输出接口转换为NuSMV正常模块的状态变量所属的组件输出名称;最后,在NuSMV中定义转移关系和条件时,默认组件初始状态为正常值nominal,接下来根据AltaRica GTS模型中的assert定义的故障逻辑表达式转换过NuSMV正常模块的组件输出与组件状态及其输入之间的致因关系;
步骤2-2:GTS模型向NuSMV故障模块转换:首先将AltaRica GTS模型中的各组件的名称和flow中定义的输入接口转换为NuSMV故障模块的故障模块定义信息;然后,将AltaRica GTS模型中的各组件的名称和flow中定义的输出接口转换为故障模块的声明,定义组件故障时的状态变量取值。
所述步骤3包含以下步骤:
步骤3-1:将转换后的NuSMV模型导入NuSMV工具中,确定系统的安全属性规约,定义计算树逻辑;
步骤3-2:利用NuSMV工具开展模型检查,自动地验证所转换后的系统模型是否满足系统的安全属性规约;如果不满足则会给出反例执行序列,示意其中未覆盖的系统行为状态;通过分析反例序列中变化的状态量,确定导致不期望事件发生的状态或状态组合,针对不期望事件开展安全性设计。
本发明的有益效果在于:
本发明解决了基于AltaRica模型开展安全性分析时无法开展行为转状态安全性验证的缺点,对民用飞机安全关键系统的分析有重要的意义,对于民用飞机系统安全性工作具有较强的使用价值。
附图说明
图1为作为举例说明的民用飞机系统典型功能的架构框图。
图2为基于模型转换的民用飞机系统行为状态安全性验证方法的流程示意图。
图3为AltaRica GTS模型定义规则示意图。
图4为AltaRica模型示意图。
图5为NuSMV模型示意图。
图6为反例序列示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。
本实施例以图1所示的民用飞机系统中一类典型功能为例进行举例说明,由于民用飞机系统对高安全性的要求,因此民用飞机系统中多个功能通常由备份的两个设备完成。图1中,处理功能设备接收来自传感器的源数据信息,进行数据处理和加工,直接与飞行员进行交互,实现人机接口信息(显示画面、声音、灯光、力反馈等)输出功能。正常工作时,PFU1接收S1的源数据,作为主处理设备向飞行员提供人机接口信息输出功能;PFU2在PFU1设备失效或S1无数据时作为备份处理设备继续承担输出功能;民用飞机系统从PFU1切换到PFU2的过程由XU实现,XU接收到PFU1的设备状态后,发送功能接管的切换指令给PFU2。
参见图2所示,本实施例所示的一种基于模型转换的民用飞机系统行为状态安全性验证方法包含以下三个步骤。
步骤1、根据民用飞机系统中各组件之间的功能交互关系构建AltaRica GTS模型,AltaRica GTS模型的格式为:node下定义的组件名称,flow下定义的组件的输入接口、输出接口,assert下定义组件的故障逻辑表达式。本步骤包括以下内容:
步骤1-1,从系统架构交联关系的角度,梳理待进行验证的民用飞机系统中的各组件之间的功能交互关系,功能交互关系包括各组件的名称、输入接口、输出接口和故障模式,如表1所示。
表1系统架构功能交互关系
Figure BDA0003082369680000051
步骤1-2、根据图3所示的AltaRica GTS模型定义规则,将梳理的功能交互关系转换为AltaRica GTS模型代码。图3中通过对各组件的定义方式进行了约束,确保了不同的设计人员针对相同的研究对象,能够构建出一致的AltaRica GTS模型。
以组件XU为例说明AltaRica GTS模型定义的过程,如下所示。
node XU/组件名称为XU
state
status:enumerate{nominal,Loss_of_XU};/故障模式为Loss_of_XU,代表切换功能故障
init
status:=nominal;
flow
XU.output:enumerate{nominal,loss_of_XU output}:out;
PFU1.output2:enumerate{nominal,loss_of_PFU1 health output}:in;/输入组件1即PFU1的输出故障模式,代表PFU1输出故障
PFU2.output2:enumerate{nominal,loss_of_PFU2 health output}:in;/输入组件2即PFU2的输出故障模式,代表PFU2输出故障
event
loss_failure;
trans
(status=nominal)|-loss_failure->status:=Loss_of_XU;
assert
XU.output=if(status=Loss_of_XU)or(PFU1.output2=loss_of_PFU1 healthoutput)or(PFU2.output2=loss_of_PFU2 health output)then(loss_of_XU output)else nominal/该逻辑表达式表达了:当输入组件1输出故障或输入组件2输出故障或组件自身故障时,组件输出故障,实际工程含义为当XU自身失效或无法接收到PFU1或PFU2组件的状态信息时,均无法正常实施切换功能。
edon
类似得,构建民用飞机系统的整体AltaRica GTS模型代码如图4所示。
步骤2、以验证民用飞机系统的行为状态为目标,确定GTS模型与NuSMV模型之间的映射规则,将GTS模型转换为NuSMV模型。针对系统行为状态安全性关注的正常状态和故障状态的状态初始化、状态转移和状态结果,确定开展两个步骤的模型转换。此步骤中限定了每一步转换的固定规则和模式,确保了针对相同的研究对象,能够利用人工或软件的方式转换出一致的NuSMV模型,包括以下步骤:
步骤2-1:GTS模型向NuSMV正常模块转换。
首先将AltaRica GTS模型中的各组件的名称和flow中定义的输入接口转换为NuSMV正常模块的定义信息(如表2中第2行);然后,由于系统状态变化分析时只关注系统的正常或故障状态且并不需要关注系统以何种模式故障,因此,在状态变量VAR转换时,通过固定的nominal(正常)和failure(故障)的两种值定义status状态,并将AltaRica GTS模型中的flow中定义的输出接口转换为NuSMV正常模块的状态变量所属的组件输出名称(如表2中第3行);最后,如表2中第4行,在NuSMV中定义转移关系和条件时,默认组件初始状态为正常值nominal,接下来根据AltaRica GTS模型中的assert定义的故障逻辑表达式转换过NuSMV正常模块的组件输出与组件状态及其输入之间的致因关系,逻辑表达式中的逻辑连接符按照“or”与“|”、“and”与“&”的对应关系转换,另外定义故障的规则即“正常时输出结果为1,故障时输出结果为0”,组件0或1输出状态代表的系统状态含义。转换对应关系如表2所示:
表2 GTS模型向NuSMV正常模块转换的对应关系
Figure BDA0003082369680000061
Figure BDA0003082369680000071
以组件XU为例转换过程如下所示:
MODULE XU_Nominal_Type(PFU1_iutput2,PFU2_output2)/XU来自于XU的GTS的node名称,PFU1、PFU2来自于flow节点中定义的输出接口,为XU输入的两个组件
VAR
status:{nominal,failure};
XU_output:{0,1}/XU来自于XU的GTS的node名称
ASSIGN
init(status):=nominal;
next(status):=case
XU_status=nominal&PFU1_output2=1&PFU2_output2=1:{nominal,failure};TRUE:failure;/该逻辑表达式转换自XU的GTS的assert逻辑表达式,代表当XU组件自身、输入组件PFU1的输出和输入组件PFU2的输出均为正常状态时,XU状态正常。
esac;
next(XU_output):=case/XU来自于XU的GTS的node名称
status=nominal:1;
status=failure:0;
esac;
步骤2-2:GTS模型向NuSMV故障模块转换。
首先将AltaRica GTS模型中的各组件的名称和flow中定义的输入接口转换为NuSMV故障模块的故障模块定义信息(如表3中第2行);然后,将AltaRica GTS模型中的各组件的名称和flow中定义的输出接口转换为故障模块的声明,定义组件故障时的状态变量取值(如表中第3行)。转换对应关系如表3所示:
表3 GTS模型向NuSMV故障模块转换的对应关系
Figure BDA0003082369680000081
以组件XU为例转换过程如下所示:
MODULE XU_Failure_Type(PFU1_output2,PFU2_output2)/XU来自于XU的GTS的node名称,PFU1、PFU2来自于flow节点中定义的输出接口,为XU输入的两个组件
DEFINE
status:=failure;
XU_output:=0;/XU来自于XU的GTS的node名称
类似得,构建系统的完整的NuSMV模块代码如图5所示。
步骤3、利用NuSMV工具对转换后的NuSMV模型开展系统行为状态的安全性验证。包括以下步骤:
步骤3-1:将转换后的NuSMV模型导入NuSMV工具(可选用商用或开源的NuSMV工具)中,确定系统的安全属性规约,即保证系统始终处于安全状态,定义计算树逻辑(CTL),如CTLSPEC SYSTEM.status!=fail。
步骤3-2:利用NuSMV工具开展模型检查,自动地验证所转换后的系统模型是否满足系统的安全属性规约。如果不满足则会给出反例执行序列,示意其中未覆盖的系统行为状态。通过分析反例序列中变化的状态量,可以确定导致不期望事件发生的状态或状态组合,针对其开展安全性设计。
本实施例的最终目标是提供给飞行员有效的人机接口信息,因此,确定民用飞机系统的安全属性规约的逻辑公式为:
CTLSPEC!(PFU1_output=1|PFU2_output=1)is false
利用NuSMV工具开展模型检查,图6给出了工具检测到的一个反例,通过状态的仿真演变,展示了故障传播路径。图6中表达了,当S1、XU失效发生时,将系统功能失效。该类信息将用于针对失效序列设计规避措施,切断故障传播路径。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims (4)

1.一种基于模型转换的民用飞机系统行为状态安全性验证方法,其特征在于包含以下步骤:
步骤1、根据民用飞机系统中各组件之间的功能交互关系构建AltaRica GTS模型;
步骤2、以验证民用飞机系统的行为状态为目标,确定GTS模型与NuSMV模型之间的映射规则,将GTS模型转换为NuSMV模型;
步骤3、利用NuSMV工具对转换后的NuSMV模型开展系统行为状态的安全性验证。
2.根据权利要求1所述的一种基于模型转换的民用飞机系统行为状态安全性验证方法,其特征在于所述步骤1包含以下步骤:
步骤1-1,从系统架构交联关系的角度,梳理待进行验证的民用飞机系统中的各组件之间的功能交互关系,功能交互关系包括各组件的名称、输入接口、输出接口和故障模式;
步骤1-2、根据AltaRica GTS模型定义规则,将梳理的功能交互关系转换为AltaRicaGTS模型;AltaRica GTS模型定义规则为:node下定义的组件名称,flow下定义的组件的输入接口、输出接口,assert下定义组件的故障逻辑表达式。
3.根据权利要求2所述的一种基于模型转换的民用飞机系统行为状态安全性验证方法,其特征在于所述步骤2包含以下步骤:
步骤2-1:GTS模型向NuSMV正常模块转换:首先将AltaRica GTS模型中的各组件的名称和flow中定义的输入接口转换为NuSMV正常模块的定义信息;然后,通过固定的正常和故障的两种值定义status状态,并将AltaRica GTS模型中的flow中定义的输出接口转换为NuSMV正常模块的状态变量所属的组件输出名称;最后,在NuSMV中定义转移关系和条件时,默认组件初始状态为正常值nominal,接下来根据AltaRica GTS模型中的assert定义的故障逻辑表达式转换过NuSMV正常模块的组件输出与组件状态及其输入之间的致因关系;
步骤2-2:GTS模型向NuSMV故障模块转换:首先将AltaRica GTS模型中的各组件的名称和flow中定义的输入接口转换为NuSMV故障模块的故障模块定义信息;然后,将AltaRicaGTS模型中的各组件的名称和flow中定义的输出接口转换为故障模块的声明,定义组件故障时的状态变量取值。
4.根据权利要求1所述的一种基于模型转换的民用飞机系统行为状态安全性验证方法,其特征在于所述步骤3包含以下步骤:
步骤3-1:将转换后的NuSMV模型导入NuSMV工具中,确定系统的安全属性规约,定义计算树逻辑;
步骤3-2:利用NuSMV工具开展模型检查,自动地验证所转换后的系统模型是否满足系统的安全属性规约;如果不满足则会给出反例执行序列,示意其中未覆盖的系统行为状态;通过分析反例序列中变化的状态量,确定导致不期望事件发生的状态或状态组合,针对不期望事件开展安全性设计。
CN202110570192.XA 2021-05-25 2021-05-25 基于模型转换的民用飞机系统行为状态安全性验证方法 Active CN113283008B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110570192.XA CN113283008B (zh) 2021-05-25 2021-05-25 基于模型转换的民用飞机系统行为状态安全性验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110570192.XA CN113283008B (zh) 2021-05-25 2021-05-25 基于模型转换的民用飞机系统行为状态安全性验证方法

Publications (2)

Publication Number Publication Date
CN113283008A true CN113283008A (zh) 2021-08-20
CN113283008B CN113283008B (zh) 2024-03-15

Family

ID=77281429

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110570192.XA Active CN113283008B (zh) 2021-05-25 2021-05-25 基于模型转换的民用飞机系统行为状态安全性验证方法

Country Status (1)

Country Link
CN (1) CN113283008B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115186475A (zh) * 2022-07-06 2022-10-14 中国航空综合技术研究所 基于运行场景的民用飞机功能识别方法
CN116679934A (zh) * 2023-05-29 2023-09-01 中国人民解放军军事科学院系统工程研究院 一种模型转换方法与系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105938502A (zh) * 2016-03-17 2016-09-14 南京航空航天大学 面向AltaRica模型的系统安全性设计验证方法
CN112487711A (zh) * 2020-11-25 2021-03-12 江苏科技大学 一种基于概率分布的AltaRica故障树生成方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105938502A (zh) * 2016-03-17 2016-09-14 南京航空航天大学 面向AltaRica模型的系统安全性设计验证方法
CN112487711A (zh) * 2020-11-25 2021-03-12 江苏科技大学 一种基于概率分布的AltaRica故障树生成方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
JUN HU ET AL: "model-based safety analysis for an aviation software specification", 《INTERNATIONAL JOURNAL OF PERFORMABILITY ENGINEERING》, pages 238 - 254 *
展万里等: "基于模型的故障树自动生成方法", 《 计算机科学》, pages 159 - 169 *
胡军;陈松;王明明;: "AltaRica 3.0模型到Promela模型转换与验证方法研究", 计算机工程与科学, pages 708 - 716 *
陈朔: "基于ANTLR的AltaRica 3.0模型分析方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, pages 138 - 123 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115186475A (zh) * 2022-07-06 2022-10-14 中国航空综合技术研究所 基于运行场景的民用飞机功能识别方法
CN115186475B (zh) * 2022-07-06 2024-05-28 中国航空综合技术研究所 基于运行场景的民用飞机功能识别方法
CN116679934A (zh) * 2023-05-29 2023-09-01 中国人民解放军军事科学院系统工程研究院 一种模型转换方法与系统

Also Published As

Publication number Publication date
CN113283008B (zh) 2024-03-15

Similar Documents

Publication Publication Date Title
CN107341294B (zh) 基于Modelica语言的航天器信息系统建模仿真方法
CN113283008A (zh) 基于模型转换的民用飞机系统行为状态安全性验证方法
CN111209203B (zh) 一种基于源代码的模型验证方法
Bergner et al. A Formal Model for Componentware.
CN105701277A (zh) 一种基于aadl建模的航电系统架构实时性分析方法
CN112527256A (zh) 一种集成化水电站模型开发系统及方法
CN105303004A (zh) 一种元对象机制驱动的复杂系统顶层设计方法
Zhao et al. Safety assessment of the reconfigurable integrated modular avionics based on STPA
CN114896755A (zh) 一种支持模型属性量化评估的指标验证技术
US20140157216A1 (en) Managing model checks of sequential designs
Oliveira et al. Model-based safety analysis of software product lines
CN110389871B (zh) 一种具备系统完整性确认功能的安全计算机平台
CN103049602B (zh) 基于模型驱动工程的将aadl组件转换到接口自动机模型方法
CN115758789B (zh) 一种复杂实时嵌入式系统的软件架构设计与架构传递方法
US20170372237A1 (en) System and method for producing models for asset management from requirements
Boniol et al. Modelling and analyzing multi-core COTS processors
CN112988145B (zh) 生成航空发动机软件架构的方法及航空发动机控制装置
CN111240972B (zh) 一种基于源代码的模型验证装置
Basagiannis Software certification of airborne cyber-physical systems under DO-178C
KR101125365B1 (ko) Sdl?opnet 코-시뮬레이션 기법을 이용한 통신 프로토콜의 단일 모델 기반 통합 설계 방법
CN114860388B (zh) FMU模型转换为Modelica模型的联合仿真方法
CN113901643B (zh) 一种飞机机电管理系统的软件需求设计验证架构及方法
Wang et al. A safety simulation analysis algorithm for Altarica language
CN113127344B (zh) 一种ros底层通讯机制的形式化建模与验证方法
CN114115847B (zh) 一种基于模型的机载航电系统架构集成及验证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant