CN117369238A - 一种基于stpa的防护救生软件不安全控制行为识别方法 - Google Patents

Abstract

本发明公开了一种基于STPA的防护救生软件不安全控制行为识别方法，包括以下步骤：根据软件特点，识别得到对应的软件危险；根据识别得到的软件危险，确定软件设计的安全性约束；结合软件特点，对软件的控制关系进行分层构建得到控制结构图；根据STPA分析方法对不安全控制行为的类型进行划分，结合安全性约束以及软件的控制关系，得到软件的所有控制行为并表示出其中的不安全控制行为，根据控制结构图分析得到不安全控制行为的产生原因；将不安全控制行为及其原因进行关联并纳入数据库；根据输入信息自动识别得到数据库中对应的不安全控制行为。本发明可实现防护救生系统安全苛刻性软件不安全控制行为自动识别，完成软件安全性需求分析和提取。

Description

一种基于STPA的防护救生软件不安全控制行为识别方法

技术领域

本发明属于航空技术领域，具体涉及一种基于STPA的防护救生软件不安全控制行为识别方法。

背景技术

新一代防护救生系统软件需要根据不同工作场景(倒飞、横滚、高空、高速等)下的速度、高度、三向角度、三向角速度等因素，选择不同的模态控制多路机构工作，完成弹射救生功能；并能够在模态执行时根据多因素数据源降级情况实时进行模态降级转换，确保最大化发挥弹射救生系统的救生性能。新一代防护救生系统软件具有安全性高(软件失效将导致灾难事故)、控制精度高(时间精度都在毫秒级)、逻辑较复杂(速度、三向角速度、三向角度、高度多因素组合控制)的特点，需要充分识别软件的不安全控制行为，分析导致不安全控制行为产生的原因，采取有效的应对措施并充分验证，才能实现对防护救生系统的高安全性和高可靠性控制。现有技术中鲜有对软件不安全控制行为的自动识别方法。

发明内容

本发明的目的在于，提供一种基于STPA的防护救生软件不安全控制行为识别方法，可实现防护救生系统安全苛刻性软件不安全控制行为自动识别，完成软件安全性需求分析和提取。

为解决上述技术问题，本发明的技术方案为：一种基于STPA的防护救生软件不安全控制行为识别方法，包括以下步骤：

根据软件特点，识别得到对应的软件危险；软件特点至少包括软件的功能、性能以及软件开发的约束条件；

根据识别得到的软件危险，确定软件设计的安全性约束；

结合软件特点，对软件的控制关系进行分层构建得到控制结构图；其中，控制结构图至少包括输入信号、数据处理、控制判断及输出和执行机构的分层信息；

根据STPA分析方法对不安全控制行为的类型进行划分，结合安全性约束以及软件的控制关系，得到软件的所有控制行为并表示出其中的不安全控制行为，根据控制结构图分析得到不安全控制行为的产生原因；

将不安全控制行为及其原因进行关联并纳入数据库；

根据输入信息自动识别得到数据库中对应的不安全控制行为。

还包括以下步骤：根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

输入信息需按照特定的语法格式进行描述，语法格式表示为<Controller,Environment,Operation>，其中，Controller表示控制器的名称，Environment表示控制器工作的环境，可以是多个条件C1、C2、C3……的逻辑组合，即Environment＝f(C1,C2,C3……)，Operation表示操作名称。从Environment中分别针对每个条件提取当前控制器的输入变量(如：高度)和传感器变量(如：传感器采集的气压值)，从Operation中提取控制器的输出变量(如：点火电平)和控制变量(如：PWM电路)。输入变量与传感器变量的区别是输入变量作为控制器的直接输入，传感器变量影响输入变量。后续分析故障原因时，可以具体分析是输入变量出错，还是传感器本身异常。同理，从Operation中提取输出变量和控制变量。根据识别出的系统安全性约束，构建初步的系统控制结构图，以满足系统安全性要求。

根据STPA分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。根据STPA分析方法划分的四种不安全控制类型，与得到的安全性约束组合，每一个安全性约束可以得到4个不安全的控制行为，分析软件不安全控制行为产生的原因，建立不安全控制行为及原因数据库，根据输入信息(包含控制器、环境和控制行为)自动提取不安全控制行为。

还提供一种基于STPA的防护救生软件不安全控制行为查询系统，包括控制器及显示器，其控制器中存储有如上述所述的一种基于STPA的防护救生软件不安全控制行为识别方法，其在查询具体控制器的控制行为时调用该防护救生软件不安全控制行为识别方法。

还包括：该系统根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

输入信息需按照特定的语法格式进行描述，语法格式表示为<Controller,Environment,Operation>，其中，Controller表示控制器的名称，Environment表示控制器工作的环境，Operation表示操作名称。

根据STPA分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。

还提供一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一项所述方法的步骤。

还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述方法的步骤。

与现有技术相比，本发明的有益效果为：

本发明可实现防护救生系统安全苛刻性软件不安全控制行为自动识别，完成软件安全性需求分析和提取。

附图说明

图1为本发明实施例的流程示意图；

图2为本发明实施例中控制结构图的示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

下面通过具体实施方式对本发明作进一步的详细说明：

如图1所示，本实施例中选取电子式程序控制器监控运行软件进行不安全控制行为的自动识别，其步骤包括：

步骤1、对电子式程序控制器监控运行软件系统需求进行分析，提取出分配给软件的功能、性能和软件开发的各种约束条件，指明软件在整个系统中的地位和作用，软件要完成的主要任务、以及硬件、软件、数据库和人机接口和软件的输入/输出数据和控制信息等，并对软件的需求进行分析和研究，明确软件总体的需求、要求的状态和工作方式、软件的性能需求、功能需求、输入、输出、故障处理，设计和实现约束等，将需求精确化、完全化，最终形成《电子式程序控制器监控运行软件需求规格说明》。

步骤2、识别软件危险，电子式程序控制器监控运行软件的危险主要表现在信号采集、数据接收失效、控制模态选择或点火控制输出失效导致火箭弹射座椅救生失败，软件危险见表1。

表1

步骤3、根据识别出的电子式程序控制器监控运行软件危险，为了避免软件危险的发生，需要明确软件安全性约束。通过对软件的功能、性能等设计指标进行分析，识别出软件需要具备的安全性约束。

步骤4、定义控制结构图；其中，控制结构图划分为4层，第一层为输入信号，第二层为数据处理，第三层为控制判断及输出，第四层为执行机构。

步骤5、自动识别不安全的控制行为。

根据图2，与电子式程序控制器系统有关的控制行为主要包括中央拉环、热电池激活器、行程开关、座椅浮动插头对电子式程序控制器的信号输入控制、飞机PIU对电子式程序控制器的导航数据输入控制、电子式程序控制器对中央燃爆机构、弹射筒、稳定杆阻断机构、大/小重量调节器、导流板、变推力火箭发动机阻断机构、变推力火箭发动机点火机构、姿态火箭、分离燃爆机构、射伞枪的点火输出控制。

根据STPA分析理论，不安全的控制分为四种类型：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。根据经典STPA划分的四种不安全控制类型，结合识别出的电子式程序控制器系统安全性约束和定义的系统控制结构图中的控制关系，对系统的控制需求和控制逻辑进行分析，识别出火箭弹射座椅和电子式程序控制器系统的所有控制行为，并标识出不安全控制行为。

步骤6、根据软件控制结构图和已识别的软件不安全控制行为，找到软件不安全控制行为产生的原因。

步骤7、将不安全控制行为及原因纳入数据库。

步骤8、根据输入信息自动提取电子式程序控制器监控运行软件不安全控制行为。

步骤9、确定防止不安全控制行为发生的软件安全性需求。

根据确定的电子式程序控制器监控运行软件不安全控制发生的原因，分析出软件安全性需求如下：

a)对弹射启动开关信号进行真实性判断。为防止电子式程序控制器误工作，对于引发电子式程序控制器进入弹射程序的重要输入弹射启动信号在软件中需采用滤波的方式去抖，再根据弹射启动开关信号的启动时间确定其真实性。

b)对接收到的数据进行验证。对接收到的数据采取包头、命令字和包长度检测、奇校验、数据合理性检测和比对，保证数据的正确性；在信号源发生异常时能够切换到其他数据源，接收、存储、使用其他数据源数据进行弹射控制。

c)禁用死循环。除弹射前的主循环外，软件运行过程中所有需要等待、判断的功能都设置时限，防止因死循环引起的弹射救生功能失效。

d)对点火控制流程的安全性设计。进行点火控制时关闭全局中断，完成该功能后再使能全局中断，消除全局中断对点火控制流程的干扰和影响。

e)合理设置点火输出控制的持续时间。设置足够的点火输出控制时间，防止由于点火输出控制时间不足导致点火电路无法正常工作。

f)设置初始安全值。在点火输出控制时，若未接收到任何输入或程序异常，判断、执行模式时读取的数值，有可能影响弹射救生功能，因此需要在系统初始化时将时间变量、高度变量、速度变量、各类计数值、状态值设一个初值，使系统在程序异常时能够保证在故障下的安全状态。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于STPA的防护救生软件不安全控制行为识别方法，其特征在于，包括以下步骤：

根据软件特点，识别得到对应的软件危险；软件特点至少包括软件的功能、性能以及软件开发的约束条件；

根据识别得到的软件危险，确定软件设计的安全性约束；

结合软件特点，对软件的控制关系进行分层构建得到控制结构图；其中，控制结构图至少包括输入信号、数据处理、控制判断及输出和执行机构的分层信息；

根据STPA分析方法对不安全控制行为的类型进行划分，结合安全性约束以及软件的控制关系，得到软件的所有控制行为并表示出其中的不安全控制行为，根据控制结构图分析得到不安全控制行为的产生原因；

将不安全控制行为及其原因进行关联并纳入数据库；

根据输入信息自动识别得到数据库中对应的不安全控制行为。

2.根据权利要求1所述的一种基于STPA的防护救生软件不安全控制行为识别方法，其特征在于，还包括以下步骤：根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

3.根据权利要求1所述的一种基于STPA的防护救生软件不安全控制行为识别方法，其特征在于，输入信息需按照特定的语法格式进行描述，语法格式表示为<Controller,Environment,Operation>，其中，Controller表示控制器的名称，Environment表示控制器工作的环境，Operation表示操作名称。

4.根据权利要求1所述的一种基于STPA的防护救生软件不安全控制行为识别方法，其特征在于，根据STPA分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。

5.一种基于STPA的防护救生软件不安全控制行为查询系统，其特征在于，包括控制器及显示器，其控制器中存储有如权利要求1所述的一种基于STPA的防护救生软件不安全控制行为识别方法，其在查询具体控制器的控制行为时调用该防护救生软件不安全控制行为识别方法。

6.根据权利要求5所述的一种基于STPA的防护救生软件不安全控制行为查询系统，其特征在于，还包括：该系统根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

7.根据权利要求5所述的一种基于STPA的防护救生软件不安全控制行为查询系统，其特征在于，输入信息需按照特定的语法格式进行描述，语法格式表示为<Controller,Environment,Operation>，其中，Controller表示控制器的名称，Environment表示控制器工作的环境，Operation表示操作名称。

8.根据权利要求1所述的一种基于STPA的防护救生软件不安全控制行为查询系统，其特征在于，根据STPA分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。

9.一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-4任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-4任一项所述方法的步骤。