魏曉敏 , 董澤乾 , 肖明睿 , 田 聰

1(西北工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院,陜西 西安 710072)2(西安電子科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,陜西 西安 710071)

信息物理融合系統(tǒng)(cyber-physical system,簡稱CPS)[1]融合了物理過程和計(jì)算過程,能夠感知環(huán)境信息,可以響應(yīng)真實(shí)世界的動(dòng)態(tài)變化.CPS 已經(jīng)廣泛應(yīng)用到航空、汽車、醫(yī)療衛(wèi)生和物流等多個(gè)領(lǐng)域,其安全性問題受到越來越多的關(guān)注[2,3].當(dāng)代航空系統(tǒng)是復(fù)雜的安全關(guān)鍵CPS,在設(shè)計(jì)過程中,需要非常注重系統(tǒng)安全性.ARP 4754A[4]標(biāo)準(zhǔn)將安全性評(píng)估過程作為飛機(jī)和系統(tǒng)研制過程的一部分,以確保實(shí)現(xiàn)的飛機(jī)滿足安全性需求.ARP 4754A 標(biāo)準(zhǔn)指出:依據(jù)ARP 4761[5]標(biāo)準(zhǔn)在開發(fā)階段實(shí)施安全性評(píng)估,將ARP 4761 標(biāo)準(zhǔn)作為安全性評(píng)估的指南和方法.因?yàn)槊裼蔑w機(jī)的研制過程必須嚴(yán)格遵循ARP 4754A 標(biāo)準(zhǔn)規(guī)定的流程才能取得美國和歐洲的適航認(rèn)證,所以研究航空系統(tǒng)的安全性評(píng)估方法非常必要,可以為完成規(guī)定的安全性評(píng)估過程提供經(jīng)驗(yàn)和技術(shù).

航空領(lǐng)域常用的安全性分析方法有故障樹分析(fault tree analysis,簡稱FTA)、故障模式和影響分析(failure mode and effects analysis,簡稱FMEA)、依賴圖(dependence diagram,簡稱DD)和馬爾可夫分析(Markov analysis,簡稱MA)等.ARP 4761 標(biāo)準(zhǔn)將這些方法運(yùn)用到民用航空系統(tǒng)及設(shè)備安全性評(píng)估過程中,并給出系統(tǒng)安全性評(píng)估的 3 個(gè)過程,依次為功能危險(xiǎn)性評(píng)估(function hazard assessment,簡稱 FHA)過程、初步系統(tǒng)安全性評(píng)估(preliminary system safety assessment,簡稱PSSA)過程和系統(tǒng)安全性評(píng)估(system safety assessment,簡稱SSA)過程.PSSA 的主要目的是確認(rèn)系統(tǒng)架構(gòu)滿足FHA 過程得到的安全性目標(biāo),并將安全性目標(biāo)分解為子系統(tǒng)/項(xiàng)目(item)的安全性需求.

AADL(architecture analysis and design language)[6,7]是一種支持航空系統(tǒng)設(shè)計(jì)、可信屬性分析、功能驗(yàn)證和實(shí)現(xiàn)的架構(gòu)模型設(shè)計(jì)語言,可用于CPS 建模、分析與驗(yàn)證[8,9],也可用于系統(tǒng)架構(gòu)虛擬集成[10],以識(shí)別系統(tǒng)各部分設(shè)計(jì)模型之間的一致性問題.AADL 已受到空客、波音、Honeywell、歐洲航天局和卡耐基梅隆大學(xué)等科研和工業(yè)機(jī)構(gòu)的廣泛關(guān)注[11].基于AADL 模型的設(shè)計(jì)和開發(fā)方法可以降低大規(guī)模航空系統(tǒng)設(shè)計(jì)的復(fù)雜度,提高從系統(tǒng)設(shè)計(jì)到實(shí)現(xiàn)的可追蹤性.本文主要針對(duì)ARP 4761 標(biāo)準(zhǔn)中PSSA 過程的不足:它僅給出了基于FTA,DD 和MA的PSSA 過程,但是沒有給出從失效概率分配到評(píng)估的完整的安全性評(píng)估過程,也沒有明確的建議以何種方式將系統(tǒng)失效概率分配給子系統(tǒng)/項(xiàng)目.同時(shí),它未提供基于Petri 網(wǎng)的評(píng)估方法,FTA 和DD 很難刻畫多種失效模式之間的依賴關(guān)系,而MA 和確定性隨機(jī)Petri 網(wǎng)(deterministic stochastic Petri-net,簡稱DSPN)可以自然地刻畫順序依賴事件.DSPN 比連續(xù)時(shí)間馬爾可夫鏈(continuous-time Markov chain,簡稱CTMC)具有更強(qiáng)的建模和分析能力,因此,本文針對(duì)安全關(guān)鍵系統(tǒng)AADL 模型提出失效概率分配方法,并且研究基于DSPN 的安全性評(píng)估方法.當(dāng)前,盡管FTA 很難刻畫出一個(gè)完整的系統(tǒng)(例如可修復(fù)系統(tǒng)),但是工業(yè)界仍然主要采用基于FTA 的安全性評(píng)估過程,因?yàn)镕TA 是一種結(jié)構(gòu)化的、易于理解的分析工具,而MA 和DSPN 分析對(duì)工程人員的理論要求較高且沒有明確的文獻(xiàn)指導(dǎo)說明.但是,Petri 網(wǎng)既有嚴(yán)格的數(shù)學(xué)表達(dá)形式,也有直觀的圖形化表達(dá)形式,能夠描述依賴行為、并發(fā)行為等,可用于系統(tǒng)設(shè)計(jì)和可信屬性分析.本文將明確給出基于DSPN 的安全性評(píng)估流程,并實(shí)現(xiàn)該方法,以便于工程人員參考和使用DSPN 理論評(píng)估系統(tǒng)的安全性.

目前,關(guān)于失效概率分配的研究文獻(xiàn)比較少,尤其針對(duì)航空CPS 領(lǐng)域,但是與其相關(guān)的可靠性分配領(lǐng)域有許多成熟的方法[12]可供參考,如等同分配法、模糊分配法和AGREE(advisory group of reliability of electronic equipment)分配方法等.等同分配法操作簡單,但是航空子系統(tǒng)可靠性水平差異較大,不適合直接使用此方法對(duì)整個(gè)系統(tǒng)進(jìn)行分配.模糊分配法主要依賴于已有經(jīng)驗(yàn),對(duì)設(shè)計(jì)人員要求較高.文獻(xiàn)[13]針對(duì)串聯(lián)系統(tǒng)提出了基于模糊數(shù)學(xué)的可靠性分配方法.AGREE 分配方法是美國國防部電子設(shè)備可靠性顧問團(tuán)提出,用于串聯(lián)系統(tǒng)可靠度分配.盡管AGREE 方法考慮了子系統(tǒng)復(fù)雜度和系統(tǒng)對(duì)整機(jī)的重要程度,但是它僅僅用子系統(tǒng)包含的單元數(shù)刻畫復(fù)雜度,不能直接應(yīng)用于同時(shí)包含子構(gòu)件和構(gòu)件之間的交互連接的AADL 模型.此外,因?yàn)閺?fù)雜的航電系統(tǒng)內(nèi)部是串聯(lián)結(jié)構(gòu)和并聯(lián)結(jié)構(gòu)的混合體,只考慮串聯(lián)或者并聯(lián)無法滿足實(shí)際需求,并且本文需要的失效概率分配方法要能夠適用于層次化的AADL 模型結(jié)構(gòu).已有相關(guān)研究人員對(duì)AGREE 分配方法進(jìn)行擴(kuò)展.文獻(xiàn)[14]對(duì)AGREE 方法進(jìn)行改進(jìn),結(jié)合復(fù)雜度和重要度,但是在復(fù)雜度方面只考慮構(gòu)件數(shù)量,不適用于具有復(fù)雜交互連接關(guān)系的AADL 模型.文獻(xiàn)[15]也對(duì)AGREE 方法進(jìn)行改進(jìn),以技術(shù)成熟度作為復(fù)雜度,以構(gòu)件在電路循環(huán)中的重要性和相鄰構(gòu)件的重要性進(jìn)行確定構(gòu)件自身的重要度.這種可靠性分配方法是針對(duì)電源轉(zhuǎn)換器的特征而提出,不適用于AADL 模型.此外,文獻(xiàn)[16]對(duì)主要的可靠性分配方法進(jìn)行綜述,包括ARINC(aeronautical radio,Inc.)、AGREE、目標(biāo)可行性法(feasibility-of-objectives)、Bracha、平均加權(quán)分配法(average weighting allocation method)和最大熵有序加權(quán)平均(maximal entropy ordered weighted averaging)等方法,其中,ARINC 和AGREE 方法不能適用于并行系統(tǒng).文獻(xiàn)[17]提出基于廣義伯恩鮑姆重要測度(generalized birnbaum importance measure)的系統(tǒng)可靠性分配方法,綜合考慮了可靠性范圍、制造復(fù)雜度和技術(shù)可行性,可以應(yīng)用于串聯(lián)和并聯(lián)系統(tǒng).但是該方法不適用于層次化的AADL 模型,也不適用于包含大量軟件系統(tǒng)的安全關(guān)鍵系統(tǒng).

在基于AADL 的安全性分析和評(píng)估方面的研究,文獻(xiàn)[18,19]提出了基于AADL 的危險(xiǎn)分析方法,制定出從AADL 模型到DSPN[20]模型的轉(zhuǎn)換規(guī)則,并實(shí)現(xiàn)了自動(dòng)的模型轉(zhuǎn)換工具,然后對(duì)DSPN 模型進(jìn)行仿真計(jì)算,得到危險(xiǎn)的發(fā)生概率.文獻(xiàn)[21]為可重構(gòu)系統(tǒng)建立AADL 模型,提出了基于系統(tǒng)安全性的動(dòng)態(tài)重構(gòu)方法,并將AADL動(dòng)態(tài)重構(gòu)模型轉(zhuǎn)換為DSPN 模型,利用DSPN 模型對(duì)系統(tǒng)進(jìn)行仿真,分析系統(tǒng)的安全性.針對(duì)電網(wǎng)CPS 的安全性,文獻(xiàn)[9]將系統(tǒng)的正常運(yùn)行與外部環(huán)境威脅刻畫為相互博弈的過程,提出了基于AADL 建模技術(shù)和雙人博弈理論的安全性分析方法.文獻(xiàn)[22]將概率模型檢驗(yàn)方法結(jié)合到安全性分析方法中,通過制定模型轉(zhuǎn)換規(guī)則,將AADL 模型轉(zhuǎn)換為CTMC,并且能自動(dòng)生成屬性公式,然后基于概率模型的檢驗(yàn)結(jié)果分析系統(tǒng)安全性.文獻(xiàn)[23]基于AADL 模型和概率模型檢驗(yàn),提出了自動(dòng)的系統(tǒng)安全性分析方法,將AADL 模型轉(zhuǎn)換為概率模型,通過模型檢驗(yàn)評(píng)估系統(tǒng)的安全性,最后生成代碼支持軟件仿真,對(duì)安全性評(píng)估進(jìn)行確認(rèn).該方法覆蓋了從高級(jí)建模到代碼生成的整個(gè)設(shè)計(jì)過程,從平臺(tái)獨(dú)立模型到平臺(tái)描述模型,再到平臺(tái)相關(guān)模型,其中:平臺(tái)獨(dú)立模型由AADL 軟件構(gòu)件刻畫,平臺(tái)描述模型由AADL 硬件構(gòu)件和AADL 錯(cuò)誤模型刻畫,平臺(tái)相關(guān)模型由AADL 綁定屬性刻畫.文獻(xiàn)[24]針對(duì)一類不確定性敏感(uncertainty-aware)的混成AADL 模型,提出了一種基于統(tǒng)計(jì)模型檢驗(yàn)的定量性能評(píng)估方法,擴(kuò)展了AADL 混成模型語義,制定了規(guī)則,將AADL 模型轉(zhuǎn)為NPTA(network of priced timed automata)模型.文獻(xiàn)[25]利用基于廣義隨機(jī)Petri 網(wǎng)(generalized stochastic Petri net,簡稱GSPN),提出了AADL 模型可靠性分析評(píng)估工具.文獻(xiàn)[26]擴(kuò)展了AADL 屬性,提出了基于AADL 的FMECA(failure modes,effects and criticality analysis)方法,可以定性地分析系統(tǒng)安全性.文獻(xiàn)[27]對(duì)FMEA 進(jìn)行了擴(kuò)展,提出了基于AADL 的安全關(guān)鍵嵌入式系統(tǒng)定量分析方法.COMPASS(correctness,modeling and performance of AeroSpace systems)是安全關(guān)鍵系統(tǒng)分析驗(yàn)證工具集[28,29],針對(duì)AADL 語言的子集,在安全性分析方面支持FTA 和FMEA 分析方法.以上這些方法都不是針對(duì)PSSA 過程而提出的.文獻(xiàn)[30]依據(jù)ARP 4761 標(biāo)準(zhǔn)提出了基于AADL 的安全性評(píng)估方法,包括基于AADL 的FTA,FMEA,CTMC 和離散時(shí)間馬爾可夫鏈(discrete-time Markov chain,簡稱DTMC)等,但是沒有考慮如何將系統(tǒng)失效概率分配給子構(gòu)件.本文對(duì)此提出了解決方案,并進(jìn)一步提出了基于Petri 網(wǎng)的AADL 模型安全性評(píng)估方法.

本文針對(duì)安全關(guān)鍵系統(tǒng),提出了基于AADL 的失效概率分配方法.該方法綜合考慮AADL 架構(gòu)的層次化設(shè)計(jì)、模型復(fù)雜度和構(gòu)件失效造成影響的嚴(yán)重程度,解決了安全性評(píng)估過程中如何分配失效概率的問題.結(jié)合失效概率分配方法,又提出了基于DSPN 的AADL 模型安全性評(píng)估方法,可以有效地評(píng)估系統(tǒng)安全性,將FHA 過程得到的安全性目標(biāo)分解為具體的子構(gòu)件(包括子系統(tǒng)類型)安全性需求,也為ARP 4761 標(biāo)準(zhǔn)補(bǔ)充了基于Petri網(wǎng)的安全性評(píng)估過程方法,為系統(tǒng)安全性評(píng)估的實(shí)際運(yùn)用提供指導(dǎo)和參考案例.

本文第1 節(jié)介紹AADL 和經(jīng)典的AGREE 可靠性分配方法.第2 節(jié)給出基于AADL 失效概率分配方法及安全性評(píng)估方法的框架.第3 節(jié)對(duì)本文提出的面向AADL 模型的失效概率分配方法進(jìn)行詳細(xì)論述,包括串聯(lián)結(jié)構(gòu)和并聯(lián)結(jié)構(gòu)的失效概率分配方法.第4 節(jié)首先給出本文所提方法的實(shí)現(xiàn)算法和工具實(shí)現(xiàn)結(jié)構(gòu)圖,然后以簡單的飛行控制系統(tǒng)為典型的CPS 應(yīng)用案例解釋說明失效概率分配和安全性評(píng)估方法,并與ARP 4761 標(biāo)準(zhǔn)給出的安全性評(píng)估方法進(jìn)行比較分析,再對(duì)一個(gè)復(fù)雜的飛行控制系統(tǒng)進(jìn)行安全性評(píng)估,進(jìn)一步說明方法的可用性.最后,在第5 節(jié)總結(jié)全文和展望未來研究工作.

1 AADL 和AGREE 分配方法

1.1 AADL

AADL[6,7]是架構(gòu)分析與設(shè)計(jì)語言,可以將系統(tǒng)刻畫為一種層次化的架構(gòu)模型.下層構(gòu)件(子構(gòu)件)嵌套于上層構(gòu)件(復(fù)合構(gòu)件)內(nèi).AADL 模型中包含子構(gòu)件的構(gòu)件稱為復(fù)合構(gòu)件,復(fù)合構(gòu)件可以包含的子構(gòu)件有系統(tǒng)構(gòu)件、硬件構(gòu)件和軟件構(gòu)件.硬件構(gòu)件也稱為執(zhí)行平臺(tái)構(gòu)件,包括設(shè)備、處理器、總線和存儲(chǔ)器等.軟件構(gòu)件包括系統(tǒng)、進(jìn)程、線程、數(shù)據(jù)和子程序等.子構(gòu)件也可以包含子構(gòu)件,AADL 允許構(gòu)件之間層層嵌套.構(gòu)件交互連接方式包括端口連接(connection)、數(shù)據(jù)訪問、總線訪問和子程序調(diào)用等.

錯(cuò)誤模型附錄(error model annex)[31]是AADL 語言的一個(gè)補(bǔ)充,用于支持基于AADL 模型的安全性、可靠性和可用性等可信分析.錯(cuò)誤模型附錄能夠?yàn)榧軜?gòu)模型刻畫非功能屬性信息:(1) 通過構(gòu)件錯(cuò)誤行為(component error behavior)語句,可以描述構(gòu)件內(nèi)的錯(cuò)誤行為狀態(tài)機(jī),包括錯(cuò)誤、錯(cuò)誤事件和錯(cuò)誤變遷;(2) 通過錯(cuò)誤傳播語句,基于構(gòu)件之間的連接,可以描述構(gòu)件之間的錯(cuò)誤傳播關(guān)系;(3) 通過復(fù)合錯(cuò)誤行為(composite error behavior)語句,可以為復(fù)合構(gòu)件建立復(fù)合錯(cuò)誤行為,描述子構(gòu)件的錯(cuò)誤狀態(tài)對(duì)復(fù)合構(gòu)件錯(cuò)誤狀態(tài)的影響;(4) 通過錯(cuò)誤模型屬性描述語句,可以為錯(cuò)誤行為描述屬性信息,例如描述錯(cuò)誤事件發(fā)生服從的概率分布類型和參數(shù),以支持隨機(jī)錯(cuò)誤行為的刻畫.通過在AADL 架構(gòu)模型的構(gòu)件中建立錯(cuò)誤模型,從而支持在早期設(shè)計(jì)階段分析系統(tǒng)的可信屬性.

1.2 AGREE分配方法

AGREE 分配方法是系統(tǒng)單元壽命服從指數(shù)分布的經(jīng)典可靠性分配方法,提出該方法的目的是解決電子設(shè)備的可靠性分配問題,可以表示為

其中,R表示系統(tǒng)可靠度,ωi表示子系統(tǒng)i的重要度,θi表示子系統(tǒng)i的平均無故障時(shí)間,ti表示系統(tǒng)要求子系統(tǒng)i的工作時(shí)間,ni表示子系統(tǒng)i所包含的單元數(shù),N表示系統(tǒng)所包含的單元數(shù).

根據(jù)公式(1)可以發(fā)現(xiàn):AGREE 方法是按照各子系統(tǒng)的復(fù)雜性和重要性進(jìn)行可靠度分配,不僅考慮了子系統(tǒng)的復(fù)雜性和重要性,而且考慮了它們與系統(tǒng)之間的失效關(guān)系.

2 基于AADL 的失效概率分配及安全性評(píng)估方法

本文提出的基于AADL 的安全性評(píng)估方法框架如圖1 所示,針對(duì)FHA 給系統(tǒng)指定的安全性目標(biāo),將目標(biāo)分解為具體的安全性需求,并評(píng)估子構(gòu)件是否能夠滿足安全性需求,確認(rèn)系統(tǒng)滿足安全性目標(biāo):

第①步,為系統(tǒng)建立架構(gòu)模型,包含子構(gòu)件以及子構(gòu)件之間的交互連接.再為子構(gòu)件建立錯(cuò)誤模型,為每個(gè)子構(gòu)件描述正常狀態(tài)、失效狀態(tài)和狀態(tài)之間的變遷關(guān)系以及變遷發(fā)生服從的分布與參數(shù).同時(shí),要根據(jù)ARP 4754A 標(biāo)準(zhǔn)為失效狀態(tài)定義嚴(yán)酷度等級(jí),并刻畫于模型中;還要為復(fù)合構(gòu)件建立復(fù)合錯(cuò)誤行為,描述上層構(gòu)件失效與子構(gòu)件失效之間的關(guān)系,由此建立系統(tǒng)的AADL 模型.

第②步,為了分配失效概率,以系統(tǒng)的AADL 模型作為輸入,利用面向AADL 模型的失效概率分配方法,根據(jù)模型的復(fù)雜度,為下一層構(gòu)件生成失效概率分配表,作為子構(gòu)件的安全性需求,詳細(xì)的失效率概率分配方法將在第3 節(jié)介紹.

第③步,借助文獻(xiàn)[18,19]實(shí)現(xiàn)的從AADL 模型到DSPN 模型的轉(zhuǎn)換工具,將AADL 模型轉(zhuǎn)換為DSPN 模型,包括子構(gòu)件內(nèi)的錯(cuò)誤行為狀態(tài)機(jī)、子構(gòu)件之間的錯(cuò)誤傳播、復(fù)合錯(cuò)誤行為和觸發(fā)條件中的邏輯表達(dá)式等,生成系統(tǒng)的DSPN 模型.利用TimeNet[32]工具對(duì)DSPN 模型仿真計(jì)算,得到系統(tǒng)和子構(gòu)件失效狀態(tài)的發(fā)生概率.

第④步,生成安全性評(píng)估列表,包括失效狀態(tài)、分配的失效概率Pa、計(jì)算得到的失效概率Pc和這兩類概率值的比較結(jié)果,由此判斷系統(tǒng)的架構(gòu)設(shè)計(jì)是否能夠滿足安全性需求.

· 如果Pa

· 如果Pa≥Pc,即,AADL 模型能夠滿足安全性需求,那么此時(shí)既保證系統(tǒng)設(shè)計(jì)模型能夠滿足系統(tǒng)安全性需求,也完成將系統(tǒng)失效概率分配到各個(gè)子構(gòu)件的目的.分配給子構(gòu)件的失效概率將作為更低層級(jí)模型(子構(gòu)件)安全性評(píng)估過程需要滿足的安全性目標(biāo).

Fig.1 Framework of AADL-based safety assessment approach圖1 基于AADL 的安全評(píng)估方法框架

3 面向AADL 模型的失效概率分配方法

假設(shè)AADL 模型中各構(gòu)件的可靠性服從指數(shù)分布,本文提出了面向AADL 模型的綜合的失效概率分配方法,其中,改進(jìn)AGREE 分配方法提出了AADL 串聯(lián)構(gòu)件分配失效概率,還基于等同分配思想提出了AADL 并聯(lián)構(gòu)件失效概率分配方法.

3.1 AADL模型失效概率分配方法

AADL 系統(tǒng)模型中,復(fù)合構(gòu)件的復(fù)合錯(cuò)誤行為能夠描述復(fù)合構(gòu)件失效狀態(tài)與其直接子構(gòu)件失效狀態(tài)之間的關(guān)系.本文提出的失效概率分配方法基于系統(tǒng)的復(fù)合錯(cuò)誤行為.如果子構(gòu)件的失效狀態(tài)沒有在復(fù)合錯(cuò)誤行為中出現(xiàn),那么不需要為其分配失效概率,因?yàn)樗粫?huì)對(duì)復(fù)合構(gòu)件失效狀態(tài)造成影響.在復(fù)合錯(cuò)誤行為中,子構(gòu)件的狀態(tài)組合(復(fù)合錯(cuò)誤行為的發(fā)生條件)對(duì)復(fù)合構(gòu)件狀態(tài)的影響既可以通過邏輯連接詞AND(與)和OR(或),也可以通過邏輯原語ORMORE(或者多于)和ORLESS(或者少于),其中,邏輯原語可以轉(zhuǎn)換為邏輯連接詞AND 和OR 的組合[18].因此,在失效概率分配過程中,只需要考慮復(fù)合錯(cuò)誤行為包含AND 和OR 的情況.本文提出的AADL 模型失效概率分配方法主要包括以下3 步.

1)首先,為了分配失效概率,對(duì)復(fù)合錯(cuò)誤行為的觸發(fā)條件進(jìn)行拆分,每個(gè)AND 部分作為一個(gè)整體,將發(fā)生條件改寫為只包含OR 的邏輯表達(dá)式,即析取式.錯(cuò)誤行為的觸發(fā)條件tc可以表示為析取式tc=es1ORes2OR…OResm,其中,es可以是子構(gòu)件的失效狀態(tài),也可以是子構(gòu)件失效狀態(tài)的AND 組合.通過將tc轉(zhuǎn)換為析取式,實(shí)現(xiàn)子構(gòu)件之間串聯(lián)和并聯(lián)關(guān)系的重新劃分;

2)其次,從復(fù)合構(gòu)件的角度來看,OR 邏輯表達(dá)式的各個(gè)組成部分是串聯(lián)的關(guān)系,即復(fù)合構(gòu)件由子構(gòu)件串聯(lián)而成.復(fù)合構(gòu)件失效的發(fā)生概率受串聯(lián)的子構(gòu)件的發(fā)生概率影響.因此,對(duì)于OR 邏輯表達(dá)式中的各個(gè)子構(gòu)件,利用第3.2 節(jié)提出的針對(duì)AADL 串聯(lián)構(gòu)件的改進(jìn)過的AGREE 分配方法分配失效概率,運(yùn)用后文公式(9)將失效概率分配給子構(gòu)件的失效狀態(tài)esi(0

3)最后,對(duì)于每個(gè)AND 組合,其相當(dāng)于多個(gè)子構(gòu)件并聯(lián)而成.當(dāng)AND 組合內(nèi)各個(gè)組成部分都失效時(shí),AND 組合失效,所以各組成部分的失效概率的累積等于AND 組合的失效概率.利用第3.3 節(jié)提出的針對(duì)AADL 并聯(lián)構(gòu)件的失效概率分配方法分配失效概率,運(yùn)用后文公式(13)為AND 組成的各個(gè)組成部分分配失效概率.

在AADL 模型的復(fù)合錯(cuò)誤行為中,OR 邏輯表達(dá)式的多個(gè)組成部分可能都包含同一個(gè)子構(gòu)件的失效狀態(tài),即同一個(gè)子構(gòu)件的失效狀態(tài)出現(xiàn)了多次.對(duì)于這種情況,上述面向AADL 的失效概率分配方法會(huì)為同一個(gè)子構(gòu)件分配多個(gè)失效概率.系統(tǒng)安全性是安全關(guān)鍵系統(tǒng)必須要保證的屬性,所以當(dāng)子構(gòu)件被分配了多個(gè)失效概率時(shí),選取最小的失效概率值作為子構(gòu)件的安全性需求,也就是以最高的安全性要求約束子構(gòu)件.

由此,通過結(jié)合面向AADL 串聯(lián)結(jié)構(gòu)的改進(jìn)過的AGREE 失效概率分配方法和面向AADL 并聯(lián)結(jié)構(gòu)的失效概率分配方法,可對(duì)AADL 模型進(jìn)行失效概率分配.

3.2 AGREE分配方法的改進(jìn)

FHA 分配給系統(tǒng)的失效概率,作為PSSA 過程的輸入,由此可以進(jìn)一步得到復(fù)合構(gòu)件的可靠度.可靠度與失效概率的關(guān)系可以表示為[5]

其中,R表示構(gòu)件可靠度,FP表示構(gòu)件失效概率.

子構(gòu)件i的失效率fi與其平均無故障時(shí)間θi之間的關(guān)系表示為

將公式(2)和公式(3)帶入公式(1),子構(gòu)件i的失效率fi可以表示為

AADL 模型是一種層次化結(jié)構(gòu)模型,構(gòu)件之間存在交互連接,本文主要考慮端口連接(數(shù)據(jù)端口、事件端口和事件數(shù)據(jù)端口連接)、數(shù)據(jù)訪問、總線訪問和子程序調(diào)用.子構(gòu)件之間以及子構(gòu)件內(nèi)部的交互連接數(shù)之和(ci)以及子構(gòu)件包含的子構(gòu)件數(shù)(si)都是由架構(gòu)設(shè)計(jì)決定,這里用ci和si代表架構(gòu)模型的復(fù)雜度,將架構(gòu)的設(shè)計(jì)和復(fù)雜度結(jié)合到失效概率分配方法中.為了將ci和si結(jié)合到失效概率分配公式,公式(1)中的N和ni修改為

公式(5)中,ci表示子構(gòu)件i與其他子構(gòu)件的交互連接數(shù)和子構(gòu)件內(nèi)部的交互連接數(shù)之和,si表示子構(gòu)件i自身構(gòu)件及其所包含的子構(gòu)件數(shù)之和.公式(6)中,m表示復(fù)合構(gòu)件所包含m個(gè)子構(gòu)件.

對(duì)于安全關(guān)鍵系統(tǒng),系統(tǒng)的安全性極為重要,因此,本文根據(jù)失效狀態(tài)的嚴(yán)酷度等級(jí)定義子構(gòu)件的重要程度.失效發(fā)生所造成的影響分為5 個(gè)等級(jí):catastrophic(致命性的)、hazardous(災(zāi)難性的)、major(嚴(yán)重的)、minor(輕度的)和no effect(沒有影響),catastrophic 表示最嚴(yán)重,往后依次降低.本文制定了嚴(yán)酷度等級(jí)與重要度ωi的對(duì)應(yīng)關(guān)系,它們分別對(duì)應(yīng)重要度值0.9,0.7,0.5,0.2 和0.001,嚴(yán)酷度等級(jí)越高,重要程度越高.重要度值可以針對(duì)不同的系統(tǒng),根據(jù)專家的經(jīng)驗(yàn)進(jìn)行重新調(diào)整和設(shè)定.當(dāng)子構(gòu)件失效狀態(tài)的嚴(yán)酷度等級(jí)是no effect 時(shí),不需要考慮其失效概率,因?yàn)樗粫?huì)對(duì)系統(tǒng)造成影響,在計(jì)算過程中直接忽略此子構(gòu)件.此外,OR 邏輯表達(dá)式中AND 組合的ωi值,取AND 組合的各組成部分的重要度平均值.

將公式(5)和公式(6)帶入公式(4),新的失效率計(jì)算公式表示為

已知子構(gòu)件失效率fi與可靠度Ri的關(guān)系為

將公式(8)帶入公式(2),子構(gòu)件失效概率計(jì)算方法是

其中,FPi表示子構(gòu)件i的失效概率,Ri表示子構(gòu)件i的可靠度.

由此,通過計(jì)算架構(gòu)模型的復(fù)雜度(子構(gòu)件數(shù)和交互連接數(shù))和子構(gòu)件的重要度(失效狀態(tài)發(fā)生的嚴(yán)酷度等級(jí)),進(jìn)而根據(jù)公式(9)可以將失效概率分配給子構(gòu)件.這也符合ARP 4761 標(biāo)準(zhǔn)提出的:PSSA 的實(shí)施依賴于架構(gòu)設(shè)計(jì)、復(fù)雜度和失效狀態(tài)的嚴(yán)酷度等級(jí)等.傳統(tǒng)的方法考慮了復(fù)雜度和重要度等因素,主要用于可靠性分配,目前沒有文獻(xiàn)針對(duì)AADL 提出失效概率分配方法.經(jīng)典的AGREE 方法僅僅以子系統(tǒng)包含的單元數(shù)作為復(fù)雜度,不能充分反映架構(gòu)設(shè)計(jì).本節(jié)針對(duì)AADL 串聯(lián)構(gòu)件提出的改進(jìn)的AGREE 分配方法,綜合考慮子構(gòu)件數(shù)和交互連接數(shù),用它們衡量AADL 模型復(fù)雜度,更符合AADL 模型層次化、構(gòu)件互連的特征.為了對(duì)整個(gè)AADL 模型分配失效概率,后文還提出了AADL 并聯(lián)構(gòu)件失效概率分配方法.

本文提出改進(jìn)的AGREE 分配方法的前提是:各構(gòu)件的可靠性要服從指數(shù)分布.然而,AADL 模型中可能存在服從確定性時(shí)間分布的錯(cuò)誤事件,使得從AADL 模型轉(zhuǎn)換得到的DSPN 模型可能包含確定性時(shí)間遷移(非指數(shù)遷移).這也是合理的,因?yàn)樵谟?jì)算穩(wěn)態(tài)(steady-state)概率時(shí),可用指數(shù)遷移替代確定性時(shí)間遷移,即通過對(duì)確定性時(shí)間遷移的延遲時(shí)間參數(shù),即發(fā)生率(firing rate)取倒數(shù)作為對(duì)應(yīng)的指數(shù)分布的率參數(shù)(rate parameter)[20].

3.3 AADL并聯(lián)構(gòu)件失效概率分配方法

OR 邏輯表達(dá)式中的AND 組合相當(dāng)于一組并聯(lián)構(gòu)件.改進(jìn)的AGREE 分配方法能夠?qū)Υ?lián)的子構(gòu)件分配失效概率,不適用于并聯(lián)的子構(gòu)件.等同分配法適用于并聯(lián)結(jié)構(gòu),但是其假設(shè)各個(gè)子模塊的失效概率相同,沒有考慮子模塊之間的可靠度差異,不適用于復(fù)雜安全關(guān)鍵CPS.因此,本節(jié)基于等同分配思想提出了AADL 并聯(lián)構(gòu)件失效概率分配方法,并聯(lián)結(jié)構(gòu)的整體失效概率計(jì)算公式為

其中,FPp表示第p個(gè)AND 組合的失效概率,h表示第p個(gè)AND 組合有h個(gè)組成部分,FPp,t表示分配給第p個(gè)AND 組合的第t個(gè)組成部分的失效概率.

實(shí)際的子構(gòu)件之間的可靠度差異較大,所以本文將架構(gòu)模型的設(shè)計(jì)和復(fù)雜度結(jié)合到并聯(lián)構(gòu)件分配方法中,子構(gòu)件的復(fù)雜度越高,其失效概率越大,同時(shí)要將構(gòu)件的重要性考慮在內(nèi),重要性越高,其失效概率越小.利用公式(5)的ni(ci與si之和)表示模型設(shè)計(jì)和復(fù)雜度,AND 組合中子構(gòu)件失效概率之間的關(guān)系表示為

其中,np,t表示第p個(gè)AND 組合的第t個(gè)組成部分的復(fù)雜度,而wp,t是其重要度值.

將公式(11)帶入公式(10),得到公式(12):

根據(jù)公式(5)和公式(12),得到第p個(gè)AND 組合的第k個(gè)組成部分的失效概率計(jì)算公式為

由此,按照公式(13),依據(jù)AND 組合(合取式)中子構(gòu)件的復(fù)雜度差異,將失效概率分配給AADL 并聯(lián)子構(gòu)件.

4 工具實(shí)現(xiàn)與案例分析

本文提出的失效概率分配方法和AADL 模型安全性評(píng)估方法已實(shí)現(xiàn)為Eclipse 插件,第4.1 節(jié)介紹實(shí)現(xiàn)算法以及工具實(shí)現(xiàn)結(jié)構(gòu)圖.然后,以簡單的飛行控制系統(tǒng)[33]為典型CPS 案例,在第4.2 節(jié)～第4.4 節(jié)對(duì)提出的基于AADL 的失效概率分配及安全性評(píng)估方法進(jìn)行解釋說明,第4.5 節(jié)將所提方法與ARP 4761 標(biāo)準(zhǔn)中的安全性評(píng)估方法進(jìn)行對(duì)比分析.最后,第4.6 節(jié)對(duì)一個(gè)復(fù)雜飛行控制系統(tǒng)進(jìn)行分析與驗(yàn)證,進(jìn)一步說明所提方法的可用性.

4.1 工具實(shí)現(xiàn)

基于AADL 的失效概率分配及安全性評(píng)估方法的實(shí)現(xiàn)算法如圖2 所示.

Fig.2 Algorithm of the AADL-based safety assessment approach圖2 基于AADL 的安全性評(píng)估方法實(shí)現(xiàn)算法

首先,在第1 行將系統(tǒng)復(fù)雜錯(cuò)誤行為的觸發(fā)條件改寫為析取式,由此進(jìn)一步實(shí)施失效概率分配和安全性評(píng)估.第4 行～第27 行,利用本文提出的基于AADL 的失效概率分配方法,將失效概率分配給子構(gòu)件,作為安全性需求.其中:第4 行～第8 行計(jì)算每個(gè)子構(gòu)件的ci,si和ωi,以支持后續(xù)的失效概率分配;第9 行～第17 行利用面向AADL 串聯(lián)構(gòu)件失效概率分配方法,將失效概率分配給析取式中的每個(gè)部分;第18 行～第27 行利用AADL 并聯(lián)構(gòu)件失效概率分配方法,將概率值分配給AND 組合中的子構(gòu)件.第28 行、第29 行利用DSPN 轉(zhuǎn)換工具[18]生成DSPN 模型,并計(jì)算得到子構(gòu)件的失效概率.第30 行對(duì)比分配的失效概率和計(jì)算得到的失效概率,生成安全性評(píng)估列表,結(jié)束一次安全性評(píng)估.

依據(jù)安全性評(píng)估列表,如果AADL 模型不能滿足安全性需求,那么修改AADL 模型,然后按照?qǐng)D2 給出的算法重新對(duì)系統(tǒng)模型進(jìn)行評(píng)估.以這種方式不斷重復(fù)模型修改過程和安全性評(píng)估過程,直到建立的AADL 模型能夠滿足安全性需求.

本文提出的基于AADL 的安全性評(píng)估方法工具實(shí)現(xiàn)結(jié)構(gòu)圖,分為4 個(gè)層次,如圖3 所示:工具在Eclipse 集成開發(fā)環(huán)境(第1 層)上開發(fā);基于AADL 開源工具OSATE(open source AADL tool environment)[34]進(jìn)行擴(kuò)充,OSATE 提供了基本的模型設(shè)計(jì)功能(第2 層),支持第3 層的AADL 建模和模型實(shí)例化;第4 層的AADL 模型安全性評(píng)估功能,以AADL 實(shí)例模型為輸入,能夠?yàn)樽訕?gòu)件自動(dòng)分配失效概率,能夠?qū)ADL 實(shí)例化模型轉(zhuǎn)換為DSPN[18],CTMC[22],DTMC 和隨機(jī)多人博弈(stochastic multi-players game,簡稱SMG)[9]等模型.本文主要關(guān)注DSPN 轉(zhuǎn)換.為了計(jì)算AADL 模型中子構(gòu)件的失效概率,可以利用現(xiàn)有的計(jì)算工具,如TimeNet、概率模型檢驗(yàn)工具和SMG 驗(yàn)證工具等.由此,在第4 層的失效概率分配、模型轉(zhuǎn)換和失效概率計(jì)算等功能的基礎(chǔ)上,可以進(jìn)一步實(shí)施AADL 模型安全性評(píng)估.

Fig.3 Structure of the tool for the proposed approach圖3 本文提出方法的工具結(jié)構(gòu)圖

4.2 建立飛行控制系統(tǒng)的AADL模型

作為CPS 系統(tǒng),飛行控制系統(tǒng)(flight control system,簡稱FCS)的AADL 架構(gòu)模型如圖4 所示.系統(tǒng)包含了兩個(gè)通道(channel1 和channel2)、一個(gè)數(shù)據(jù)采集系統(tǒng)(DataCollect)和一個(gè)數(shù)據(jù)輸出系統(tǒng)(output),每個(gè)通道包含3個(gè)子構(gòu)件,數(shù)據(jù)采集系統(tǒng)包含一個(gè)子構(gòu)件,數(shù)據(jù)輸出系統(tǒng)包含兩個(gè)子構(gòu)件.飛行控制CPS 通過數(shù)據(jù)采集系統(tǒng)從外界采集數(shù)據(jù),并將數(shù)據(jù)傳輸給兩個(gè)通道;兩個(gè)通道分別處理數(shù)據(jù),然后將處理結(jié)果傳給輸出系統(tǒng);飛控CPS 通過輸出系統(tǒng)將控制數(shù)據(jù)發(fā)送給作動(dòng)設(shè)備.FCS 內(nèi)部構(gòu)件之間的連接如圖4 所示.

本文采用的一次飛行時(shí)間是參照ARP 4761 標(biāo)準(zhǔn)的案例,平均飛行時(shí)長為5 小時(shí),按一次飛行對(duì)飛行控制系統(tǒng)進(jìn)行失效概率分配.假設(shè)從FHA 得到飛行控制系統(tǒng)的一次飛行的失效概率是1.0E-4.

為飛行控制系統(tǒng)的每個(gè)子構(gòu)件建立錯(cuò)誤模型,每個(gè)構(gòu)件包含3 個(gè)狀態(tài):正常狀態(tài)(operational,簡寫為O)、瞬時(shí)錯(cuò)誤狀態(tài)(transient,簡寫為T)和失效狀態(tài)(failed,簡寫為F).正常狀態(tài)由一個(gè)錯(cuò)誤事件(ee1)觸發(fā)到達(dá)瞬時(shí)錯(cuò)誤狀態(tài),瞬時(shí)錯(cuò)誤狀態(tài)由一個(gè)恢復(fù)事件(re1)回到正常狀態(tài);瞬時(shí)錯(cuò)誤狀態(tài)可能會(huì)由一個(gè)錯(cuò)誤事件(ee2)觸發(fā)到達(dá)失效狀態(tài),失效狀態(tài)由一個(gè)修復(fù)事件(re2)回到正常狀態(tài).各個(gè)子構(gòu)件中的ee1,re1,ee2 和re2 服從的概率分布、發(fā)生概率和事件發(fā)生需要的時(shí)間,如表1 的第3 列～第5 列所示.其中,兩個(gè)通道發(fā)生瞬時(shí)錯(cuò)誤或失效的概率不一樣.因?yàn)閷?shí)際應(yīng)用過程中,為了防止兩個(gè)通道因?yàn)橄嗤脑蚴?通常以不同的方式實(shí)現(xiàn)相互冗余的系統(tǒng).此外,按確定性時(shí)間延遲分布發(fā)生的事件是在一定時(shí)間之后必然發(fā)生的,所以發(fā)生概率是1.0.

Fig.4 AADL architecture model of FCS圖4 飛行控制系統(tǒng)AADL 架構(gòu)模型

已知指數(shù)分布的發(fā)生概率和發(fā)生需要的時(shí)間,根據(jù)指數(shù)分布公式可以計(jì)算出DSPN 模型中遷移(指數(shù)遷移和確定性時(shí)間延遲遷移)的參數(shù)值.要先計(jì)算出各個(gè)遷移的指數(shù)分布率參數(shù)λ,由指數(shù)分布概率公式(14)可以計(jì)算出,如下:

其中,t是時(shí)間,F(t)是發(fā)生概率.

根據(jù)公式(15)可以計(jì)算出率參數(shù)λ,見表1 第6 列.因?yàn)镈SPN 計(jì)算工具TimeNet 把所有類型的遷移發(fā)生時(shí)間統(tǒng)一描述為延遲時(shí)間,所以要將指數(shù)分布遷移的率參數(shù)要取倒數(shù),作為延遲時(shí)間.對(duì)于確定性時(shí)間延遲分布遷移的參數(shù),遷移的延遲時(shí)間就是其延遲參數(shù)[20].依據(jù)ARP 4754A[4]標(biāo)準(zhǔn),為每個(gè)子構(gòu)件失效狀態(tài)發(fā)生的影響確定嚴(yán)酷度等級(jí),兩個(gè)通道的嚴(yán)酷度等級(jí)都是hazardous,另外兩個(gè)子系統(tǒng)的嚴(yán)酷等級(jí)都是major,見表2 第5 列.飛行控制系統(tǒng)發(fā)生失效的復(fù)合錯(cuò)誤行為是:當(dāng)數(shù)據(jù)采集系統(tǒng)失效、數(shù)據(jù)輸出系統(tǒng)失效或者兩個(gè)通道同時(shí)失效時(shí),飛行控制系統(tǒng)失效,即:

[DataCollect.DF1 OR channel.C1F1 AND channel2.C2F1 OR Output.OF1]→FCS.SF.

Table 2 List of failure probabilities allocation (one flight time)表2 失效概率分配列表 (一次飛行時(shí)間)

由此構(gòu)建出AADL 模型如圖5 所示.

Fig.5 AADL model of FCS圖5 飛行控制系統(tǒng)AADL 模型

各個(gè)圓圈(〇)表示錯(cuò)誤狀態(tài),中間有一個(gè)黑點(diǎn)的圓圈(·)是初始錯(cuò)誤狀態(tài),錯(cuò)誤狀態(tài)之間帶實(shí)心箭頭(→)的連線表示錯(cuò)誤變遷,連線上的事件表示觸發(fā)錯(cuò)誤變遷的條件,邏輯AND 組合表示通道1 和通道2 的失效狀態(tài)的“與”關(guān)系,邏輯OR 組合表示數(shù)據(jù)采集系統(tǒng)的失效狀態(tài)、AND 組合的結(jié)果以及輸出系統(tǒng)的失效狀態(tài)三者的“或”關(guān)系并得到系統(tǒng)失效狀態(tài)(SF).這里,系統(tǒng)的復(fù)合錯(cuò)誤行為使用邏輯AND 組合和OR 組合表示.

4.3 分配系統(tǒng)失效概率

根據(jù)第3 節(jié)提出的基于AADL 的失效概率分配方法,將系統(tǒng)失效概率分配給子構(gòu)件.依據(jù)飛行控制系統(tǒng)的復(fù)合錯(cuò)誤行為,因?yàn)閮蓚€(gè)通道構(gòu)成了一個(gè)AND 組合,所以看作一個(gè)整體,使得復(fù)合錯(cuò)誤行為由3 部分的OR 組合,即DataCollect.DF1 OR (channel1.C1F1 AND channel2.C2F1) OR Output.OF1.對(duì)第4.2 節(jié)構(gòu)建的AADL 架構(gòu)模型和錯(cuò)誤模型進(jìn)行分析,可以得到公式(9)和公式(13)所需的參數(shù)(ci,si和ωi)如表2 所示.進(jìn)而根據(jù)第3.2 節(jié)的公式(9),利用本文在第3.2 節(jié)改進(jìn)過的AGREE 分配方法,為數(shù)據(jù)采集子系統(tǒng)、由兩通道的AND 組合和數(shù)據(jù)輸出子系統(tǒng)分配失效概率,分配的失效概率值(FPi)如表2 前3 行的倒數(shù)第2 列所示.然后,對(duì)于兩個(gè)通道的AND 組合,根據(jù)第3.3 節(jié)的公式(13),利用AADL 并聯(lián)構(gòu)件失效概率分配法為兩個(gè)通道分配失效概率,見表2 第4 行、第5行的倒數(shù)第2 列所示,兩個(gè)通道在一次飛行時(shí)間內(nèi)的失效概率都是9.45E-3.表2 中,構(gòu)件每秒的失效概率FPi(見最后一列)根據(jù)一次飛行的失效概率計(jì)算得到.

4.4 生成DSPN模型和安全性評(píng)估列表

將飛行控制系統(tǒng)的AADL 模型轉(zhuǎn)換為DSPN 模型如圖6 所示.

Fig.6 DSPN model transformed from the AADL model of FCS圖6 從飛行控制系統(tǒng)AADL 模型轉(zhuǎn)換得到的DSPN 模型

子系統(tǒng)的錯(cuò)誤模型對(duì)應(yīng)到長方形方框中的DSPN 模型,系統(tǒng)的復(fù)合錯(cuò)誤行為由兩個(gè)圓角長方形圈出,一個(gè)對(duì)應(yīng)兩個(gè)通道失效的AND 組合,一個(gè)對(duì)應(yīng)數(shù)據(jù)采集系統(tǒng)失效、AND 組合的結(jié)果和輸出系統(tǒng)失效三者構(gòu)成的OR 組合.

模型轉(zhuǎn)換功能依據(jù)文獻(xiàn)[18]給出的規(guī)則,錯(cuò)誤狀態(tài)轉(zhuǎn)換為DSPN 的位置(place),初始錯(cuò)誤狀態(tài)對(duì)應(yīng)到帶一個(gè)標(biāo)記(token)的位置;錯(cuò)誤事件轉(zhuǎn)換為一個(gè)遷移(transition),可以是瞬時(shí)遷移(黑色細(xì)實(shí)心矩形)、指數(shù)遷移(寬空心矩形)和確定性時(shí)間遷移(黑色寬實(shí)心矩形),并且每個(gè)遷移可以帶有一個(gè)延遲參數(shù)(見表1 第6 列);錯(cuò)誤狀態(tài)的邏輯AND 組合按照一個(gè)模板進(jìn)行轉(zhuǎn)換,如圖6 中對(duì)應(yīng)兩通道失效AND 組合的DSPN 模型,為其添加一個(gè)帶單個(gè)標(biāo)記的位置(P4)、3 個(gè)瞬時(shí)遷移(T7～T9)和一個(gè)表示AND 組合結(jié)果的位置C1C2F,然后使用弧(空心箭頭和圓圈箭頭)作為它們的連接;同樣的,錯(cuò)誤狀態(tài)邏輯OR 組合也可以按照一個(gè)模板進(jìn)行轉(zhuǎn)換,最后得到與圖5 的錯(cuò)誤狀態(tài)OR 組合對(duì)應(yīng)的DSPN 模型,詳細(xì)的規(guī)則請(qǐng)參照文獻(xiàn)[18].

采用TimeNet 的穩(wěn)態(tài)仿真(stationary simulation)功能的標(biāo)準(zhǔn)(standard)模式[35],通過仿真DSPN 模型的穩(wěn)態(tài)行為進(jìn)行仿真計(jì)算.仿真計(jì)算工具配置為:置信度(confidence level)為99%,最大相對(duì)誤差(maximal relative error)為5%,概率測度的允許差異(permitted difference for probability measures)為5%,其他參數(shù)采用默認(rèn)值.實(shí)驗(yàn)運(yùn)行的環(huán)境是在Intel(R)Core(TM)i7-3770 CPU@3.40GHz 和16G 內(nèi)存的平臺(tái)上.通過對(duì)轉(zhuǎn)換得到的DSPN 模型進(jìn)行仿真計(jì)算,得到系統(tǒng)和各個(gè)子系統(tǒng)的失效概率,見表3 第3 列.

系統(tǒng)的失效概率以及第4.3 節(jié)分配的失效概率是一次飛行時(shí)間的失效概率,即5 小時(shí)內(nèi)的失效概率,轉(zhuǎn)換為每秒的失效概率,見表2 的最后一列.計(jì)算值與分配值進(jìn)行比較,所有計(jì)算值都小于對(duì)應(yīng)的分配值,因此,架構(gòu)設(shè)計(jì)滿足安全性需求,安全性評(píng)估列表見表3.

Table 3 List of safety assessment(s)表3 安全性評(píng)估列表(秒)

從上述分析可以看出:本文提出的基于AADL 的安全性評(píng)估方法可以對(duì)系統(tǒng)有效地實(shí)施評(píng)估,其中的失效概率分配方法也是可行的;同時(shí),能夠通過安全性評(píng)估的AADL 模型是滿足系統(tǒng)安全性的系統(tǒng)設(shè)計(jì)模型,在設(shè)計(jì)階段保證了系統(tǒng)安全性.在實(shí)際運(yùn)用過程中,可能要多次重復(fù)失效概率分配和安全性評(píng)估過程,才能最終完成安全性需求分解的過程和獲得一個(gè)滿足安全性需求的AADL 模型.

4.5 安全性評(píng)估方法對(duì)比分析

本節(jié)主要將本文所提方法與ARP 4761 標(biāo)準(zhǔn)中的安全性評(píng)估方法進(jìn)行對(duì)比分析.ARP 4761 標(biāo)準(zhǔn)描述了利用FTA,DD 和MA 實(shí)施PSSA 的過程,但是沒有提供明確的方法指導(dǎo)工程人員如何將上層系統(tǒng)的失效概率分配給子系統(tǒng)或者項(xiàng)目,FTA,DD 和MA 只是被用于驗(yàn)證分配的失效概率是否能夠滿足安全性需求.本文提出的基于AADL 的安全性評(píng)估方法在兩個(gè)方面優(yōu)于ARP 4761 給出的方法:(1) 本文提出了基于AADL 的失效概率分配方法,綜合考慮了模型的復(fù)雜度和系統(tǒng)架構(gòu)模型特性,而ARP 4761 標(biāo)準(zhǔn)沒有給出失效概率分配方法;(2) 提供了詳細(xì)的AADL 模型安全性評(píng)估實(shí)施流程,能夠指導(dǎo)實(shí)際的評(píng)估過程,實(shí)現(xiàn)了安全性評(píng)估工具,能夠降低工程人員的DSPN 理論學(xué)習(xí)要求,并且能夠輔助評(píng)估過程.此外,通過結(jié)合DSPN 計(jì)算方法,使得本文提出的安全性評(píng)估方法具備足夠的安全性評(píng)估能力,與ARP 4761 標(biāo)準(zhǔn)提出的方法具有相同的評(píng)估能力,詳細(xì)的原因如下.

ARP 4761 標(biāo)準(zhǔn)明確說明了FTA,DD 和MA3 種方法可以相互替代,同時(shí)也說明了FTA 和DD 存在一些不足:FTA 和DD 很難刻畫多種失效模式之間的依賴關(guān)系;FTA 只能評(píng)估單個(gè)頂事件的原因和發(fā)生概率;FTA 很難刻畫出一個(gè)完整的系統(tǒng),例如可修復(fù)系統(tǒng),因?yàn)檫@種系統(tǒng)的失效率和修復(fù)率是狀態(tài)依賴的.而MA 沒有這些問題,可以很自然地刻畫順序依賴事件,具有更強(qiáng)的建模和分析能力.因此,這里主要將本文使用的DSPN 分析方法與MA 方法進(jìn)行比較.

隨機(jī)Petri 網(wǎng)(stochastic Petri-net,簡稱SPN)是狀態(tài)之間變遷的發(fā)生滿足指數(shù)分布延遲時(shí)間的Petri 網(wǎng),SPN與連續(xù)時(shí)間馬爾可夫鏈(CTMC)同構(gòu)[36].廣義隨機(jī)Petri 網(wǎng)(GSPN)[37]由SPN 擴(kuò)展而來,位置(place)狀態(tài)之間遷移的發(fā)生既可以滿足指數(shù)分布延遲時(shí)間的時(shí)間遷移(timed transition),也可以是立即發(fā)生的立即遷移(immediate transition).立即遷移的發(fā)生需要的時(shí)間為0,它的優(yōu)先級(jí)高于時(shí)間遷移.同樣,可以將GSPN 轉(zhuǎn)換為一個(gè)等價(jià)的CTMC,而且轉(zhuǎn)換難度會(huì)比將SPN 轉(zhuǎn)換為CTMC 更簡單[36].DSPN 由GSPN 擴(kuò)展而來,在GSPN 的基礎(chǔ)上增加了一種時(shí)間遷移,遷移發(fā)生前的延遲時(shí)間是一個(gè)常量,即確定性時(shí)間延遲.本文使用的DSPN,同一個(gè)位置狀態(tài)上只能有一個(gè)確定性時(shí)間延遲分布的遷移.由此,基于DSPN 與半馬爾可夫鏈(semi-Markov chain)同構(gòu)[36]的理論,可以將DSPN 轉(zhuǎn)換為等價(jià)的半馬爾可夫鏈.半馬爾可夫鏈?zhǔn)菭顟B(tài)之間變遷的發(fā)生可以服從一般概率分布(general distribution)的時(shí)間延遲,即狀態(tài)逗留時(shí)間可以是一般概率分布.當(dāng)半馬爾可夫鏈中狀態(tài)變遷之間的時(shí)間分布是指數(shù)分布分布時(shí),這個(gè)半馬爾可夫鏈?zhǔn)且粋€(gè)CTMC.當(dāng)半馬爾可夫鏈中狀態(tài)變遷之間的時(shí)間分布只是一個(gè)時(shí)間點(diǎn)時(shí),這個(gè)半馬爾可夫鏈?zhǔn)且粋€(gè)DTMC.

由上述內(nèi)容可知:DSPN 的描述能力比GSPN 強(qiáng),GSPN 與CTMC 同構(gòu),所以DSPN 的描述能力比CTMC 強(qiáng).此外,在分析DSPN 模型時(shí),許多計(jì)算工具需要將DSPN 轉(zhuǎn)換為同構(gòu)的半馬爾可夫鏈,而不是CTMC.所以基于現(xiàn)有的DSPN 分析工具,本文提出的利用DSPN 模型的安全性評(píng)估方法也能比利用CTMC 的方法好.從整體方法的角度來看,本文提出的安全性評(píng)估方法比ARP 4761 中的方法更為明確,包含了失效概率分配和驗(yàn)證失效概率是否滿足安全性需求,實(shí)施過程更為具體、清晰.

4.6 復(fù)雜飛行控制系統(tǒng)分析

為了更好地驗(yàn)證本文所提方法可用于復(fù)雜系統(tǒng),本節(jié)依據(jù)文獻(xiàn)[18]給出的復(fù)雜飛行控制系統(tǒng)(FCS),對(duì)該復(fù)雜系統(tǒng)進(jìn)行安全性評(píng)估,系統(tǒng)內(nèi)部可以不是子系統(tǒng),可以是進(jìn)程和設(shè)備等,符合ARP 4761 標(biāo)準(zhǔn)的要求,對(duì)子系統(tǒng)/項(xiàng)目分配失效概率并評(píng)估安全性.為系統(tǒng)建立AADL 模型,如圖7 所示,包括架構(gòu)模型和錯(cuò)誤模型.

Fig.7 AADL model of the complex FCS圖7 復(fù)雜飛行控制系統(tǒng)AADL 模型

FCS 架構(gòu)模型包括9 個(gè)設(shè)備和11 個(gè)進(jìn)程,設(shè)備包括空氣數(shù)據(jù)系統(tǒng)(ADS)、姿態(tài)和航向參考系統(tǒng)(AHRS)、慣導(dǎo)系統(tǒng)(INS)、無線電測高儀(RA)、電子飛行信息系統(tǒng)(EFIS)和伺服作動(dòng)器(SA),進(jìn)程包括輸入同步、輸入表決、控制率計(jì)算、輸出同步、輸出表決、機(jī)內(nèi)測試(BIT)和輸出(OP).錯(cuò)誤模型由圖中的圓圈、方框和帶箭頭的連線構(gòu)成,圓圈表示錯(cuò)誤狀態(tài)(O 表示正常狀態(tài),F 表示失效狀態(tài)),方框表示錯(cuò)誤事件(IE 表示構(gòu)件內(nèi)導(dǎo)致失效的錯(cuò)誤事件,R 是恢復(fù)事件,IP 是錯(cuò)誤傳播導(dǎo)致的向內(nèi)傳播點(diǎn)),黑線表示錯(cuò)誤變遷,紅線表示錯(cuò)誤傳播.為了使圖7更為清晰,直接用線程的失效狀態(tài)表示進(jìn)程的失效狀態(tài).依據(jù)文獻(xiàn)[18]使用的參數(shù),錯(cuò)誤事件的分布類型和參數(shù)(Exp 表示指數(shù)分布),如圖中所示.各個(gè)構(gòu)件的嚴(yán)酷度等級(jí)見表4 第5 列.FCS 的復(fù)合錯(cuò)誤行為是:[AHRS.F and RA.F and INS1.F and INS2.F or ADS1.F and ADS2.F and EFIS1.F and EFIS2.F or CLC1.F and CLC2.F or ISn1.F and ISn2.F and IV1.F and IV2.F or OSn1.F and OSn2.F and OV1.F and OV2.F or BIT1.F and BIT2.F and OP.F and SA.F]→FCS_F.

Table 4 List of failure probabilities allocation (one flight time)表4 失效概率分配列表 (一次飛行時(shí)間)

與第4.2 節(jié)相同,假設(shè)從FHA 得到飛行控制系統(tǒng)的一次飛行的失效概率是1.0E-4.依據(jù)第3 節(jié)提出的失效概率分配方法,分配的一次飛行時(shí)間失效概率見表4,進(jìn)一步計(jì)算得到每秒的失效概率.再將AADL 模型轉(zhuǎn)換為DSPN 模型,包括108 個(gè)位置、141 個(gè)遷移和413 條弧.通過使用TimeNet 仿真計(jì)算得到各失效狀態(tài)的發(fā)生概率(運(yùn)行環(huán)境和工具配置與第4.4 節(jié)相同),見表5,耗時(shí)4'16".

由表5 的第9 行、第10 行、第13 行、第14 行和第22 行可見,CLC1,CLC2,IV1,IV2 和SA 不能滿足安全性需求.

為了使系統(tǒng)AADL 模型滿足安全性要求,需要修改模型,通過調(diào)節(jié)參數(shù)值的形式來改進(jìn)模型設(shè)計(jì).降低IV1和IV2 構(gòu)件的錯(cuò)誤事件IE 的率參數(shù),增加恢復(fù)事件R 的率參數(shù),提高它們的質(zhì)量要求,即,要求在設(shè)計(jì)和開發(fā)過程中使IE 發(fā)生的可能性足夠低和R 發(fā)生的可能性足夠高.在詳細(xì)設(shè)計(jì)IV1 和IV2 時(shí),可以采用的方式有添加冗余構(gòu)件或者增加防護(hù)措施等.對(duì)于CLC1,CLC2 和SA,也采用同樣的方式.因此,通過將IV1 和IV2 的IE 事件參數(shù)值調(diào)整為5.0E-6,R 事件的參數(shù)調(diào)整為30.0;CLC1 和CLC2 的R 事件的參數(shù)調(diào)整為30.0;SA 的IE 參數(shù)值調(diào)整為1.0E-5,R 事件參數(shù)調(diào)整為30.0.AADL 模型的其余部分不變,所以分配的失效概率也保持不變.最后進(jìn)行仿真計(jì)算,CLC1.F,CLC2.F,IV1.F,IV2.F 和 SA.F 的發(fā)生概率分別是 1.656396E-7,1.657927E-7,3.322293E-7,3.327276E-7 和3.353078E-7,系統(tǒng)及其子構(gòu)件都滿足安全性需求.為節(jié)省空間,不再列出新的安全性評(píng)估列表.

5 總結(jié)與展望

本文提出一種面向安全關(guān)鍵CPS 的AADL 模型失效概率分配方法,同時(shí),利用失效概率分配方法和DSPN計(jì)算方法進(jìn)一步提出基于AADL 的安全性評(píng)估方法.分析AADL 模型的特性,針對(duì)串聯(lián)構(gòu)件改進(jìn)經(jīng)典的AGREE分配方法,基于等同分配思想,提出AADL 并聯(lián)構(gòu)件失效概率分配方法.結(jié)合這兩種方法提出針對(duì)AADL 模型的失效概率分配方法,在失效概率分配過程中綜合考慮AADL 模型的架構(gòu)設(shè)計(jì)和復(fù)雜度,將子構(gòu)件的交互連接數(shù)量和子構(gòu)件數(shù)量綜合到失效概率分配公式中.以此為基礎(chǔ),本文提出AADL 模型安全性評(píng)估方法,能夠先為子構(gòu)件分配失效概率作為安全性需求,再將AADL 模型轉(zhuǎn)換為DSPN 模型,然后計(jì)算每個(gè)子構(gòu)件的失效概率,進(jìn)而將計(jì)算的失效概率與分配的安全性需求進(jìn)行比較,判斷架構(gòu)模型是否滿足安全性需求.若不滿足,修改AADL 模型,重復(fù)進(jìn)行面向AADL 模型的失效概率分配和利用DSPN 模型的失效概率計(jì)算,直到AADL 模型滿足安全性需求,完成對(duì)系統(tǒng)的安全性評(píng)估,將FHA 過程得到的安全性目標(biāo)分解為具體的子構(gòu)件安全性需求.案例分析表明:本文提出的方法能夠應(yīng)用于失效概率分配,提出的AADL 模型安全性評(píng)估方法結(jié)合了失效概率分配方法和DSPN 計(jì)算模型,可以有效地運(yùn)用到飛行控制系統(tǒng)安全性評(píng)估過程中,可作為ARP 4761 標(biāo)準(zhǔn)中失效概率分配和基于Petri 網(wǎng)的PSSA 過程的參考方法.

Table 5 List of safety assessment (s)表5 安全性評(píng)估列表 (秒)

下一步,我們計(jì)劃將本文提出的方法應(yīng)用到更多類別的安全關(guān)鍵CPS 系統(tǒng)中,為研究人員和工程人員提供更多的分析和評(píng)估案例.我們也將把更多的安全性分析方法結(jié)合到安全性評(píng)估過程中,例如基于隨機(jī)多人博弈理論的安全性分析方法[9],在早期設(shè)計(jì)階段將外部威脅考慮在內(nèi).另外,當(dāng)通過模型計(jì)算得到的失效概率不能滿足分配的失效概率時(shí),如何重新設(shè)計(jì)和優(yōu)化AADL 模型結(jié)構(gòu)以滿足安全性需求,是我們需要進(jìn)一步研究的工作.此外,隨著系統(tǒng)開發(fā)過程的推進(jìn),AADL 模型被不斷細(xì)化,模型包含的信息越來越多,如參數(shù)連接等,針對(duì)系統(tǒng)開發(fā)后期更為詳細(xì)的AADL 模型,需要改進(jìn)AADL 模型失效概率分配方法.