CN115933485A

CN115933485A - 基于控制结构层次划分的安全攸关系统控制方法及装置

Info

Publication number: CN115933485A
Application number: CN202211646028.3A
Authority: CN
Inventors: 牛传军; 陈祖希; 梅萌; 骆翔宇; 郑黎晓; 周长利; 徐中伟
Original assignee: Shubairui Xiamen Information Technology Co ltd; Huaqiao University
Current assignee: Shubairui Xiamen Information Technology Co ltd; Huaqiao University
Priority date: 2022-12-21
Filing date: 2022-12-21
Publication date: 2023-04-07

Abstract

本发明涉及一种基于控制结构层次划分的安全攸关系统控制方法及装置，属于工业控制领域。方法包括：对安全攸关系统进行需求提取，提取出系统需求描述并梳理出系统组件之间的关系；根据系统组件之间的关系建立控制结构图；基于STPA方法对控制结构图进行组件层次划分，划分出多层嵌套控制结构；基于STPA方法对多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束；基于安全约束，利用Event‑B方法对多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型；采用验证模型对安全攸关系统进行安全控制。本发明方法能够保证安全攸关系统验证模型的正确性和系统控制的安全性，有效避免危险事件的发生。

Description

基于控制结构层次划分的安全攸关系统控制方法及装置

技术领域

本发明涉及工业控制技术领域，特别是涉及一种基于控制结构层次划分的安全攸关系统控制方法及装置。

背景技术

目前许多安全攸关系统(Safety-Critical System)在社会上被广泛使用，在日常生活中起着非常重要的作用，这样的安全攸关系统(例如轨道交通系统、自动驾驶汽车系统)一旦发生错误就可能导致灾难性的事故发生。安全攸关系统是一种复杂且又要求高安全的大型工业控制系统。随着安全攸关系统不断发展，其自动化水平已经在逐步提高，人工干预的部分已经越来越少，降低了人为操作失误或其他人为操作所带来的运行风险，在提升了运营效率的同时，又改善了运行中的舒适度。但在效率和舒适度提升的同时，安全攸关系统其功能的复杂化带来系统的复杂度也在不断上升。随着计算机、通信以及控制技术的不断发展，其功能复杂、交互频率高以及装置时序性要求等特点都融入到安全攸关系统之内，系统出现复杂冗余的非线性特性。通常情况下，安全攸关系统中的计算机一般作为控制器使用，所以有必要验证安全攸关系统的控制行为是否正确。

形式化验证技术是一种强有力的方法，它不仅能够在项目开发的前期对需求进行规范，减少需求上的错误，在项目开发的后期能够通过安全约束来验证系统是否正确，从而保证完整系统的正确性。形式化方法以严密的数学理论和相关的数学推理为基础，通过保证项目开发中一致性的精化关系达到安全系统的核心目标，是一种系统的开发方法。在形式化验证领域有两个著名的验证方法，分别是模型检测和定理证明，模型检测是一种模型自动状态的探索方式，通过遍历系统中的所有状态来验证系统的属性是否成立，如果违反系统的安全属性，模型检测器会生成反例来帮助调试。定理证明建立在证明论的基础上，将系统的模型和期望性质表示成公理系统中的定理，通过证明该定理在该公理系统中是有效的来证明模型满足性质。使用定理证明方法时，通常需要先构建某个逻辑下的公理系统。定理证明具有通用性，既适用于有穷状态系统，也适用于无穷状态系统。

但是，对于现实世界中的大型工业控制系统，尤其是近年来快速发展的安全攸关系统，由于其复杂性的原因，模型检测和定理证明等形式化验证方法依然面临着许多困难。安全攸关系统多数是由并发运行的组件或子系统组成，并发运行会导致状态空间快速增长，导致状态空间爆炸，从而使像模型检测这样的状态探索方法变得十分困难。同时，许多安全攸关系统在本质上是混成系统，即离散状态和连续状态共同存在于系统中，这也使得状态探索的方法十分困难。对于定理证明，因为大规模的安全攸关系统逻辑十分复杂，过度抽象系统中的属性会导致系统的正确性验证不完全，过度具体系统中的属性会大量增加证明的难度。因此，现有的形式化验证技术已经无法适用于当前安全攸关系统的验证及控制。

发明内容

本发明的目的是提供一种基于控制结构层次划分的安全攸关系统控制方法及装置，以保证安全攸关系统模型的正确性和系统控制的安全性。

为实现上述目的，本发明提供了如下方案：

一种基于控制结构层次划分的安全攸关系统控制方法，包括：

从自动控制器和人工操作两方面对安全攸关系统进行需求提取，提取出对应的系统需求描述；所述安全攸关系统包括轨道交通系统和自动驾驶汽车系统；所述需求包括功能需求和非功能需求；

根据所述系统需求描述梳理出所述安全攸关系统中系统组件之间的关系；

根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图；所述控制结构图中包括控制器、被控对象、控制命令以及变量信息；

基于STPA方法对所述控制结构图进行组件层次划分，划分出多层嵌套控制结构；

基于STPA方法对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束；

基于所述安全约束，利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型；

采用所述验证模型对所述安全攸关系统进行安全控制。

可选地，所述根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图，具体包括：

根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图，所述控制结构图中的控制器包含过程模型和控制算法，根据被控对象的反馈信息进行变量信息的更新，控制器发送控制命令达到控制被控对象的目的。

可选地，所述基于STPA方法对所述控制结构图进行组件层次划分，划分出多层嵌套控制结构，具体包括：

基于STPA方法，对所述控制结构图按照按照自底向上的方式进行组件层次划分，将所述安全攸关系统划分出多层嵌套控制结构。

可选地，所述基于STPA方法对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束，具体包括：

基于STPA方法中四种不恰当的控制的原因并结合所述控制结构图中的控制命令和变量信息，对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束。

可选地，所述利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型，具体包括：

利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，在建模过程中将STPA方法分析得到的安全约束转化为Event-B方法中的不变式，并在每一层控制结构对应的控制器包含的过程模型中验证不变式的正确性，得到能够保证安全攸关系统控制行为正确性的验证模型。

一种基于控制结构层次划分的安全攸关系统安全控制装置，包括：

需求提取模块，用于从自动控制器和人工操作两方面对安全攸关系统进行需求提取，提取出对应的系统需求描述；所述安全攸关系统包括轨道交通系统和自动驾驶汽车系统；所述需求包括功能需求和非功能需求；

组件关系梳理模块，用于根据所述系统需求描述梳理出所述安全攸关系统中系统组件之间的关系；

控制结构图建立模块，用于根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图；所述控制结构图中包括控制器、被控对象、控制命令以及变量信息；

层次划分模块，用于基于STPA方法对所述控制结构图进行组件层次划分，划分出多层嵌套控制结构；

安全约束建立模块，用于基于STPA方法对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束；

Event-B建模验证模块，用于基于所述安全约束，利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型；

安全控制模块，用于采用所述验证模型对所述安全攸关系统进行安全控制。

可选地，所述控制结构图建立模块具体包括：

控制结构图建立单元，用于根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图，所述控制结构图中的控制器包含过程模型和控制算法，根据被控对象的反馈信息进行变量信息的更新，控制器发送控制命令达到控制被控对象的目的。

可选地，所述层次划分模块具体包括：

层次划分单元，用于基于STPA方法，对所述控制结构图按照按照自底向上的方式进行组件层次划分，将所述安全攸关系统划分出多层嵌套控制结构。

可选地，所述安全约束建立模块具体包括：

安全约束建立单元，用于基于STPA方法中四种不恰当的控制的原因并结合所述控制结构图中的控制命令和变量信息，对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束。

可选地，所述Event-B建模验证模块具体包括：

Event-B建模验证单元，用于利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，在建模过程中将STPA方法分析得到的安全约束转化为Event-B方法中的不变式，并在每一层控制结构对应的控制器包含的过程模型中验证不变式的正确性，得到能够保证安全攸关系统控制行为正确性的验证模型。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提供了一种基于控制结构层次划分的安全攸关系统控制方法及装置，所述方法包括：从自动控制器和人工操作两方面对安全攸关系统进行需求提取，提取出对应的系统需求描述；根据所述系统需求描述梳理出所述安全攸关系统中系统组件之间的关系；根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图；基于STPA方法对所述控制结构图进行组件层次划分，划分出多层嵌套控制结构；基于STPA方法对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束；基于所述安全约束，利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型；采用所述验证模型对所述安全攸关系统进行安全控制。本发明方法能够保证安全攸关系统验证模型的正确性和系统控制的安全性，有效避免危险事件的发生。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于控制结构层次划分的安全攸关系统控制方法的流程图；

图2为本发明一种基于控制结构层次划分的安全攸关系统控制方法的技术路线图；

图3为本发明实施例提供的CBTC系统的控制结构图；

图4为本发明实施例提供的CBTC系统的控制结构简化示意图；

图5为本发明实施例提供的CBTC系统的多层嵌套控制结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明一种基于控制结构层次划分的安全攸关系统控制方法的流程图。参见图1，本发明一种基于控制结构层次划分的安全攸关系统控制方法包括：

步骤1：从自动控制器和人工操作两方面对安全攸关系统进行需求提取，提取出对应的系统需求描述。

本发明研究的安全攸关系统包括但不限于轨道交通系统和自动驾驶汽车系统。图2为本发明一种基于控制结构层次划分的安全攸关系统控制方法的技术路线图。参见图2，本发明需求提取阶段主要目的是确定在设计系统控制结构时需要考虑的不同方面。通常情况下，复杂的控制系统都是由半自动化系统组件进行交互。这一阶段主要包括两个方面:

A-1)自动控制器方面：在安全攸关系统中，由于其频繁交互的特性，所以大部分组件都需要自动化地运行，而不需要人工操作去干涉。例如自动驾驶汽车系统(Self-DrivingVehicle Systems，SDVS)，SDVS需要感知、决策和控制模块执行动态驾驶任务(Dynamic Driving Tasks，DDT)。因此，在SDVS中的自主控制器方面是感知数据、感知环境特征、驾驶决策和驾驶行为。在感知模块中通过传感器观察驾驶环境来执行对象和事件检测与响应任务(Object and Event Detection and Response，ODER)，将感知到的环境特征视为感知模块的输出值，以展示自主控制器如何实现OEDR任务。决策模块旨在完成规划任务，决策模块的输入值主要依赖于感知模块的输出值，决策模块需要感知模块的输出值做出正确地判断。而驾驶决策可以被认为是决策模块的输出值，以显示自主控制器如何解释感知的环境特征并实现系统的目标。最后，控制模块负责在驾驶环境中驱动车辆并完成驾驶决策。

A-2)人工操作方面：作为半自动系统的另一组成部分，人工操作要比自动控制器占比小。通常情况下人工操作为控制系统的备用选项，当系统出现危险事件或未能按预期情况运行时，可以通过人工控制系统进行干涉。例如SDVS中使用驾驶员监控系统(DriverMonitoring System，DMS)来确保人类驾驶员的意识水平，提醒人类驾驶员关于SDVS的当前状态，当有危险发生时，通过DMS干涉汽车的自动驾驶。因此，人工操作方面通常是干涉或中断自动控制器的运行。

本发明从自动控制器和人工操作两方面对安全攸关系统进行需求提取，提取出对应的系统需求描述，主要包含的是系统的功能需求以及非功能需求。例如轨道交通系统中的基于通信的列车自动控制系统(Communication Based Train Control System，CBTC)系统，其功能需求主要包括自动列车防护(Automatic TrainProtection，ATP)、自动列车控制(Automatic Train Operation，ATO)以及列车自动监督(Automatic Train Supervision，ATS)的功能需求，而CBTC系统中的非功能需求通常是对安全性的要求，例如列车无碰撞和无出轨事件的发生。

步骤2：根据所述系统需求描述梳理出所述安全攸关系统中系统组件之间的关系。

本发明需求提取阶段是以自动控制器和人工操作两方面去进行划分提取的，而提取的结果主要划分为软件控制器部分以及人力操作部分的系统需求描述。大型复杂的工控系统通常是包含软件控制器与人工操作两个部分的，有些全自动的系统可以不需要人工操作。而对于系统中的软件控制器通常不是是单一存在，通常是多个软件协同工作，当以自动控制器和人工操作两方面去划分组件就可得到系统组件之间的关系。因此，本发明步骤2将关于系统的需求描述作为输入，输出是系统的组件之间的关系，简称系统组件关系。例如CBTC系统中组件主要包括区域控制器(Zone Controller，ZC)、联锁系统(Computer BasedInterlocking，CI)、车载控制器(Vehicle On-Board Controller，VOBC)以及列车，而这些组件之间往往存在一些关系，例如：

2-1)列车控制器VOBC与列车之间的关系；列车控制器VOBC作为控制器，列车作为被控过程，列车控制器VOBC通过执行器向列车发送加速/减速的命令，列车通过传感器向列车控制器VOBC反馈速度、位置等。

2-2)区域控制器ZC与列车控制器VOBC之间的关系；区域控制器ZC作为控制器，列车控制器作为被控过程，区域控制器ZC通过执行器向列车控制器VOBC发送MA(MovementAuthority，移动授权)以及临时限速(Temporary Speed Restriction，TSR)等，列车控制器VOBC向区域控制器ZC反馈列车位置、MA请求等。

2-3)区域控制器ZC与计算机联锁CI之间的关系；区域控制器ZC作为控制器、计算机联锁作为被控过程，区域控制器通过控制器向计算机联CI下发列车信息以及进路信息，计算机联锁CI向区域控制器ZC反馈进路状态等。

步骤3：根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图。

该步骤3根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图，所述控制结构图中包括控制器、被控对象、控制命令以及变量信息。所述控制结构图中的控制器包含过程模型和控制算法，根据被控对象的反馈信息进行变量信息的更新，控制器发送控制命令达到控制被控对象的目的。其中过程模型表示某个状态下相关变量的取值，或者某个时刻系统的控制方式。控制算法是指由工程师编写的控制器的代码。被控对象是指由控制器向系统中的某个组件发出控制命令，则这个组件被称为被控对象。变量信息是指系统中的某些属性可以用变量进行表示，而此变量包含一些信息，其主要包括在过程模型中。控制命令是指由控制器发出的命令，能够控制被控对象做出相应变化。

根据系统组件之间的关系进行控制结构图的建立，即建立控制对象与被控对象之间的关系，例如根据CBTC系统中组件VOBC与列车、ZC与VOBC以及ZC与联锁CI系统之间的关系，可以构建出CBTC系统的控制结构图，如图3所示。该图3中的向下箭头为控制对象向被控对象下发的控制命令，向上箭头为被控对象向控制器反馈信息，而图中控制器中的方框为过程模型，其主要包括与当前控制结构相关的变量信息，通过被控对象反馈的信息进行更新，控制算法为每个控制器进行控制命令的算法代码，在图中未示出。参见图3，控制结构图中的控制器和被控对象包括区域控制器ZC、联锁系统CI、车载控制器VOBC以及列车；控制器所发出的控制命令包括临时限速、MA发送、区段控制命令、道岔控制命令、信号控制命令、加速命令、减速命令等；变量信息包括进路信息、列车信息、列车位置、临时限速、MA发送、区段状态、道岔状态、信号状态、列车速度、列车位置等。

建立控制结构图后就可以清晰地看到系统的具体控制结构、控制行为以及变量信息。在后续步骤的分层控制结构中可以根据当前系统的整体系统控制结构图按照自底向上的方式进行层次划分，而控制行为和变量信息主要用于后续的不安全控制行为的识别以及安全约束的形成。

步骤4：基于STPA方法对所述控制结构图进行组件层次划分，划分出多层嵌套控制结构。

具体地，基于STPA方法，对所述控制结构图按照按照自底向上的方式进行组件层次划分，将所述安全攸关系统划分出多层嵌套控制结构。

例如CBTC系统的大型复杂控制系统的控制结构可以简化为图4所示的控制结构，图4中包含N层控制器，自顶向下部分控制器既作为控制器又可作为上层控制器的被控对象。每层控制器都会向被控对象发送控制命令，控制命令的条数大于等于1，同时，被控对象会向上层控制器发送反馈信息，控制器接收反馈信息用来更新内部的过程模型，最底层的控制器和被控对象一般是通过执行器和传感器传递信息，高层的控制器和被控对象可直接传递信息。例如CBTC系统中的执行器可以为道岔的转撤机，主要用来接收联锁CI系统发来的道岔控制命令来搬动道岔；而传感器包括位置定位传感器，用来定位其列车所处轨道网络中的位置。

基于STPA方法，将系统的控制结构根据组件之间的关系构建形成闭环的控制结构复杂的控制系统，可以将其安全控制结构划分为N层，形成N层嵌套的安全控制结构，将安全约束根据嵌套的层次结构进行拆分，其安全约束只与当前嵌套层次有关，与其它层次的控制结构无关。在控制过程中，第一层控制器、执行器、传感器和被控对象构成了一个反馈控制的控制回路。如果将该控制回路看作一个整体，那么第二层控制器与该控制回路又构成了另一个特殊的控制回路，在该控制回路中，被控对象是第一层的控制回路。将这样的控制回路进行抽象，可以将一个分层的安全控制结构划分为若干嵌套的反馈控制回路。如图5所示给出的系统分层控制结构中，安全攸关系统根据其控制结构被分为N层嵌套控制结构，也称为多层嵌套控制结构。

步骤5：基于STPA方法对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束。

根据控制器所发送的控制命令进行不安全控制行为识别，并形成对应的安全约束。当系统控制结构足够简单时，系统的变量信息和不安全控制行为就相对较少，形成的安全约束也相对较少。

本发明基于STPA方法中四种不恰当的控制的原因并结合所述控制结构图中的控制命令和变量信息，对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束。

具体地，根据控制器所发出的控制命令进行不安全控制行为的识别，主要基于STPA方法中四种不恰当的控制的原因并结合当前系统中的变量信息进行识别。STPA方法中四种不恰当的控制的原因包括：

a)未提供或者没有遵守安全所要求的控制；

b)提供一个不安全的控制；

c)过早或过晚提供可能安全的控制，即错误的时机或时序；

d)安全的控制结束的太快或作用时间太长。

识别出不安全的控制行为后，可以通过不安全的控制行为加以约束得到安全约束。以上述图3中的加速命令进行不安全控制行为并生成安全约束为例，得到其不安全的控制行为如下表1所示。

表1

安全约束是指对不安全控制行为的约束。如上述加速控制命令中的不安全控制行为对应的安全约束分别是是：b)超过防护速度时不应加速；c)在列车还未驶出限速区时，VOBC不能过早的向列车提供加速命令；以及d)需要加速时，VOBC向列车提供的加速命令作用时间不得过长。

例如安全攸关系统的大型复杂控制系统一旦发生危险，可能就会造成巨大的人员伤亡以及财产流失，而安全约束的作用是为了防止系统发生不安全的行为，阻止危险事件的发生。此处的安全约束可以为后续Event-B方法建模过程中使用不变式表达并验证在模型中的正确性提供基础，只要能够在过程模型中验证其表达式的正确性，就能保证系统的安全性。

步骤6：基于所述安全约束，利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型。

但当系统控制结构足够复杂时，系统的变量信息和不安全控制行为非常繁多，安全约束也会相对较多。根据STPA方法，可以识别不安全的控制行为，并形成相应的安全约束，例如图4中的安全约束S，安全约束S是由所有不安全行为对应安全约束的合集。在系统所形成的控制环路中，必须维持安全约束的正确性，否则会引起危险事件，而安全约束的数量是与系统控制行为呈正比关系，所以当控制行为越多时，安全约束则越多。

本发明利用Event-B方法对所述多层(N层)嵌套控制结构中的每一层控制结构进行建模验证，在建模过程中将STPA方法分析得到的安全约束转化为Event-B方法中的不变式，并在每一层控制结构对应的控制器包含的过程模型中验证不变式的正确性，得到能够保证安全攸关系统控制行为正确性的验证模型。

具体地，如图5所示，第一层控制结构中控制器向执行器发送控制命令以达到控制被控对象的目的，而被控对象通过传感器向控制器发送其反馈信息。第二层控制结构将第一层控制器作为被控对象，与第二层控制结构构成控制环路，第二层控制器向第一层控制器发送控制命令，第一层控制器将信息反馈至第二层控制器。以此类推，第N层控制结构将第N-1层控制器作为被控对象，与第N层控制结构形成控制结构，第N层控制器向第N-1层控制器发送控制命令，第N-1层控制器将信息反馈至第N层控制器。在每层的控制环路中都包含当前层次的控制行为，根据STPA方法，可以识别出不安全的控制行为并形成相应的安全约束，例如图5所示的安全约束S₁，S₂，…，S_N，而这些安全不变式是对图4中安全约束S的拆分，其表达式为S＝S₁∧S₂∧…∧S_N，对于每一层控制结构的安全约束都要维持，否则会发生危险事件。

在建模方面，本发明利用Event-B方法对图5所示的多层嵌套控制结构中的每一层控制结构进行建模验证。Event-B方法支持精化策略，可以从抽象模型逐层细化到精化模型，在逐层细化的过程中将需求逐步引入到模型中。这一过程与本发明提出的多层嵌套控制结构的分层框架相契合，将系统的控制结构进行分层，与Event-B方法中的机器对应，每一分层控制回路对应一个或多个机器。即，每一层控制结构与Event-B方法中的一个或连续的几个机器进行对应。根据分层控制结构，依次对每层控制结构进行建模，直至最后一层控制结构为建模过程的结束。

同时，将多层嵌套控制结构中每一层控制结构对应的安全约束作为建模过程中的输入，安全约束使用Event-B方法中的不变式表示，在建模过程中，每一层次所对应的安全约束都应该被满足，保证每一层次过程模型的正确性，从而确保整体模型的正确性。

每一层过程模型输入应该是两个部分，一个就是当前层次控制结构的变量信息和上述进行不安全控制行为识别后的安全约束，输出则是当前层次控制结构的安全模型。将控制结构用模型来表述，其安全控制结构输出的安全约束就是用来验证当前模型的安全性。最终输出的验证模型是在上述建模过程中所有层次的基础上一层一层精化得到的过程模型，或称为安全模型。

可见，本发明方法在分析和建模阶段将系统组件关系作为输入，输出的是建立并验证完成的模型。基于STPA方法的安全控制结构分层框架与Event-B方法的精化策略进行结合，使得分析与建模相对应，在简化建模过程降低证明的复杂度的同时保证系统的安全性。

步骤7：采用所述验证模型对所述安全攸关系统进行安全控制。

得到验证模型主要的作用是能够验证安全攸关系统的功能以及非功能属性的正确性，确保系统能够不会有危害事件的发生。本发明是将STPA与Event-B方法相结合的大型复杂控制系统(例如安全攸关系统)的安全控制方法，而验证模型也是此方法的产物，它在能够得到系统模型的同时又能保证系统的安全性。

可见，本发明基于STPA方法对诸如安全攸关系统的大型复杂系统进行危害分析，将复杂的控制系统根据其组件层次划分出多层嵌套控制结构，并对每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束，从而得到系统的安全需求。本发明利用Event-B方法对分层的嵌套控制结构进行建模验证，Event-B方法的精化策略与分层嵌套控制结构相对应，每一层或多层模型对应一层控制结构。在建模的过程中将STPA分析得到的安全约束转化为Event-B方法中的不变式，并在模型中验证不变式的正确性，保证系统模型的正确性，从而避免危险事件的发生。本发明通过对复杂系统进行分层，能够在一定程度上简化使用Event-B方法建模过程，从而减少证明的复杂性，进而提高了安全攸关系统控制效率。

基于本发明提供的方法，本发明还提供一种基于控制结构层次划分的安全攸关系统安全控制装置，包括：

其中，所述控制结构图建立模块具体包括：

所述层次划分模块具体包括：

所述安全约束建立模块具体包括：

所述Event-B建模验证模块具体包括：

本发明提出的一种基于控制结构层次划分的安全攸关系统安全控制方法及装置，将危险分析方法STPA(Systems-Theoretic ProcessAnalysis，系统理论过程分析)与需求精化策略相结合，进行大型复杂系统的Event-B建模和验证。基于STPA的方法能够支持自顶向下对目标系统进行危害分析生成安全约束，并将控制系统拆分成多层控制结构，由底层到高层的嵌套控制结构，同时通过安全约束保证每一层控制结构的安全性。而Event-B方法能够通过预定义的精化策略逐步将需求引入模型，以自顶向下的方式构建一系列逐步精化模型，这一过程能够与上述STPA方法的分层控制结构策略完美契合，在精化过程中将安全约束通过Event-B方法中的不变式进行表示并通过Rodin工具集验证这些安全约束，能够避免出现不安全的系统状态。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本发明中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种基于控制结构层次划分的安全攸关系统控制方法，其特征在于，包括：

采用所述验证模型对所述安全攸关系统进行安全控制。

2.根据权利要求1所述的安全攸关系统控制方法，其特征在于，所述根据所述系统组件之间的关系建立所述安全攸关系统的控制结构图，具体包括：

3.根据权利要求2所述的安全攸关系统控制方法，其特征在于，所述基于STPA方法对所述控制结构图进行组件层次划分，划分出多层嵌套控制结构，具体包括：

4.根据权利要求3所述的安全攸关系统控制方法，其特征在于，所述基于STPA方法对所述多层嵌套控制结构中每一层控制结构的控制行为进行不安全控制行为识别，得到相应的安全约束，具体包括：

5.根据权利要求4所述的安全攸关系统控制方法，其特征在于，所述利用Event-B方法对所述多层嵌套控制结构中的每一层控制结构进行建模验证，得到安全攸关系统的验证模型，具体包括：

6.一种基于控制结构层次划分的安全攸关系统安全控制装置，其特征在于，包括：

7.根据权利要求6所述的安全攸关系统控制系统，其特征在于，所述控制结构图建立模块具体包括：

8.根据权利要求7所述的安全攸关系统控制系统，其特征在于，所述层次划分模块具体包括：

9.根据权利要求8所述的安全攸关系统控制系统，其特征在于，所述安全约束建立模块具体包括：

10.根据权利要求9所述的安全攸关系统控制系统，其特征在于，所述Event-B建模验证模块具体包括：