基于stpa的安全攸关系统形式化开发方法、系统及存储介质
阅读说明:本技术 基于stpa的安全攸关系统形式化开发方法、系统及存储介质 (STPA-based security critical system formalization development method, system and storage medium ) 是由 梅萌 于 2021-06-30 设计创作,主要内容包括:本发明涉及一种基于STPA的安全攸关系统形式化开发方法、系统及存储介质,其中安全攸关系统形式化开发方法包括:步骤1:基于STPA安全分析方法确定各项不安全操作UCA所对应的约束条件;步骤2:使用形式化方法为安全攸关系统建模,并在相应层级中增加步骤1获取的各项约束条件;步骤3:完成安全攸关模型的证明;步骤4:生成可执行代码,完成安全攸关系统的开发。与现有技术相比,本发明具有可信度高、可靠性好等优点。(The invention relates to a security critical system formalization development method, a system and a storage medium based on STPA, wherein the security critical system formalization development method comprises the following steps: step 1: determining constraint conditions corresponding to each unsafe operation UCA based on an STPA safety analysis method; step 2: modeling a safety-critical system by using a formal method, and adding each constraint condition obtained in the step 1 in a corresponding level; and step 3: the certification of the safety vital model is completed; and 4, step 4: and generating executable codes to complete the development of the safety critical system. Compared with the prior art, the method has the advantages of high reliability, good reliability and the like.)
技术领域
本发明涉及安全攸关系统的开发
技术领域
,尤其是涉及一种基于STPA的安全攸关系统形式化开发方法、系统及存储介质。背景技术
在安全攸关系统中,危害识别和安全分析是发现系统中存在的固有危害,对危害所导致事故的严重层级进行分析,最终对系统存在风险进行有效管控的主要技术手段。传统的安全分析技术如FTA、FMEA能对引起系统危险的组件失效进行分析,并将系统的失效概率与组件的失效建立联系,但随着系统复杂度的提高,传统的安全分析技术对复杂系统中组件之间的交互分析能力不足。STPA (System-Theoretic Processing Analysis)基于大型系统事故分析模型STAMP,将安全问题视作控制问题,重视不当控制及组件间的不安全交互所引起的系统危害,与传统的安全分析技术相比,可以使引起系统危险的因素得到更加全面的梳理,增加系统的安全性。
现有技术中,在对安全攸关系统进行建模时大都是人为设置安全性约束条件,均未使用相关的安全分析技术,约束条件的设置较为自由,导致系统的安全性较差,并且采用仿真的验证方式会耗费大量的时间和人力物力,不能够及时发现系统存在的问题,影响系统构建速度。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种可信度高、可靠性好的基于STPA的安全攸关系统形式化开发方法、系统及存储介质。
本发明的目的可以通过以下技术方案来实现:
一种基于STPA的安全攸关系统形式化开发方法,所述的开发方法包括:
步骤1:基于STPA安全分析方法确定各项不安全操作UCA所对应的约束条件;
步骤2:使用形式化方法为安全攸关系统建模,并在相应层级中增加步骤1获取的各项约束条件;
步骤3:完成安全攸关模型的证明;
步骤4:生成可执行代码,完成安全攸关系统的开发。
优选地,所述的步骤1具体为:
步骤1-1:确定安全攸关系统中的事故与危害;
步骤1-2:获取控制结构图;
步骤1-3:整理系统需求,确定模型精化策略;
步骤1-4:识别不安全控制操作UCA;
步骤1-5:获取各项UCA的约束条件,并使用自然语言描述约束。
更加优选地,所述的步骤1-1具体为:
确定安全攸关系统的目的、系统的边界、系统不可接受的事故以及存在与每个事故相关的危害事件。
更加优选地,所述的步骤1-2具体为:
确定安全攸关系统中各组件之间的控制关系与信息交流情况,然后绘制控制结构图,明确控制关于与控制操作。
更加优选地,所述的步骤1-4中不安全控制操作UCA包括:
未执行控制操作;
执行了会导致危险的不安全控制操作;
执行了控制操作,但该操作执行过早、过迟或以错误的顺序被执行;
执行了控制操作,但是操作过早停止或持续时间过长。
优选地,所述的步骤2中的形式化方法为:Event-B方法。
优选地,所述的步骤3还包括:在完成安全攸关模型的证明后判断是否满足代码生成条件,若是,则执行步骤4,否则,则查找系统需求中的不足或错误,继续完成对安全攸关模型的证明。
更加优选地,所述的代码生成条件为:系统模型已完成所有证明,并且所有需求无相互冲突。
一种用于如上述基于STPA的安全攸关系统形式化开发方法的安全攸关系统形式化开发系统,所述的开发系统包括:
STPA安全分析模块,用于分析安全攸关系统的不安全控制操作UCA并生成对应的约束条件;
形式化建模模块,用于对安全攸关系统进行形式化建模,并采用STPA安全分析模块生成的不安全控制操作UCA约束条件;
模型证明模块,用于实现对安全攸关系统形式化模型的证明;
代码生成模块,用于根据完成证明的形式化模型生成可执行代码。
一种存储介质,所述的存储介质内存储有如上述任一项所述的基于STPA的安全攸关系统形式化开发方法。
与现有技术相比,本发明具有以下有益效果:
本发明中的安全攸关系统形式化开发方法将STPA安全分析技术与Event-B方法结合起来,集合STPA在安全分析中较为全面的优点与Event-B对性质的严格证明的特性,形成了基于安全分析的形式化开发方法;通过系统地分析安全攸关系统中存在的危害和系统中可能的所有不当操作,导出系统的安全性约束;在开发过程中将安全需求嵌入系统,能够较早地发现系统需求的不准确和不一致;在模型中使用数学证明确保安全需求的始终遵守,从而达成构建安全系统的目的,构建的安全攸关系统可信度和可靠性更高。
附图说明
图1为本发明中安全攸关系统形式化开发方法的流程示意图;
图2为本发明实施例中以铁路联锁系统绘制的控制结构图;
图3为本发明实施例中系统的需求迭代更新示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
一种基于STPA的安全攸关系统形式化开发方法,其流程如图1所示,包括:
步骤1:基于STPA安全分析方法确定各项不安全操作UCA所对应的约束条件;
步骤1-1:确定安全攸关系统中的事故与危害,具体为:
确定安全攸关系统的目的、系统的边界、系统不可接受的事故以及存在与每个事故相关的危害事件;
步骤1-2:获取控制结构图,具体为:
确定安全攸关系统中各组件之间的控制关系与信息交流情况,然后绘制控制结构图,明确控制关于与控制操作;
步骤1-3:整理系统需求,确定模型精化策略;
步骤1-4:识别不安全控制操作UCA,包括:
未执行控制操作;
执行了会导致危险的不安全控制操作;
执行了控制操作,但该操作执行过早、过迟或以错误的顺序被执行;
执行了控制操作,但是操作过早停止或持续时间过长;
步骤1-5:获取各项UCA的约束条件,并使用自然语言描述约束;
步骤2:使用形式化方法为安全攸关系统建模,并在相应层级中增加步骤1获取的各项约束条件;
本实施例采用Event-B形式化方法为安全攸关系统建模;
步骤3:完成安全攸关模型的证明,并判断是否满足代码生成条件,若是,则执行步骤4,否则,则查找系统需求中的不足或错误,继续完成对安全攸关模型的证明;
代码生成条件为:系统模型已完成所有证明,并且所有需求无相互冲突;
步骤4:生成可执行代码,完成安全攸关系统的开发。
下面以铁路联锁系统为例:
步骤1:基于STPA安全分析方法确定各项不安全操作UCA所对应的约束条件;
步骤1-1:确定安全攸关系统中的事故与危害,具体为:
确定安全攸关系统的目的、系统的边界、系统不可接受的事故以及存在与每个事故相关的危害事件;
表1示出了与该系统有关的事故及每个事故相关的危害事件。
表1联锁系统有关的事故及每个事故相关的危害事件
步骤1-2:获取控制结构图,如图2所示;
步骤1-3:整理系统需求,确定模型精化策略;
联锁系统需求如表2所示。
表2联锁系统需求
步骤1-4:识别不安全控制操作UCA,有如下几种情形:(1)未执行控制操作; (2)执行了不安全的控制操作,会导致危险;(3)执行了控制操作,但是操作执行得过早、过迟或以错误的顺序被执行;(4)执行了控制操作,但是操作过早停止或持续时间过长。对于系统中的每一个控制操作,都必须识别出所有可能导致危害的潜在不安全控制操作,以联锁系统为例,根据图2的控制结构图和不安全控制操作的四种分类,可分析得出以下不安全控制操作UCA表,如表3所示。
表3不安全控制操作UCA表
步骤1-5:获取各项UCA的约束条件,并使用自然语言描述约束,如表4所示。
表4安全约束条件
安全约束
SC1列车占用的道岔均锁闭在正确方向。
SC2道岔所在区段未释放时,道岔不得解锁。
SC3道岔转换结束后,才进行锁闭操作。
SC4锁闭完成后,该进路方可通行。
SC5信号灯符合故障-安全原则。
SC6只有进路建立好且无列车驶入,信号灯开放。
SC7只有敌对进路的列车离开该道岔一段距离,才可发放该进路的通行许可。
步骤2:使用形式化方法为安全攸关系统建模,并在相应层级中增加步骤1获取的各项约束条件;
模型以不断精化的方式逐步建立完善,在模型建立的过程中,将包括安全约束在内的各类需求以合适的方式映射于模型的对应位置,模型的建立将伴随着对模型的证明,证明过程将能够对需求表进行完善和优化。
联锁系统建模的精化步骤具体为:
初始模型:包括区段和进路概念,最基本的进路建立与释放等事件。
第一次精化:增加物理轨道概念,道岔转换事件,SC1。
第二次精化:增加进路就绪概念
第三次精化:增加道岔概念
第四次精化:增加锁闭概念和事件,SC2、SC3、SC4、SC5。
第五次精化:增加列车概念,目的地请求事件。
第六次精化:增加行车许可概念
第七次精化:增加信号灯概念,SC6。
第八次精化:增加接触极限概念,SC7。
图3示出了系统需求迭代更新示意图,该图显示了系统需求从建立到更新的过程,在本方法的步骤三中,第一次建立系统需求表;在步骤1-5中,使用安全约束对系统需求中的安全需求进行完善补充;步骤2~4是建模过程,在模型的构建和完善中,可能发现原先系统需求的不完善或互相冲突的情况,此时,需要修改模型和系统需求表,将其重写为不冲突的版本。
步骤3:完成安全攸关模型的证明,并判断是否满足代码生成条件,若是,则执行步骤4,否则,则查找系统需求中的不足或错误,继续完成对安全攸关模型的证明;
代码生成条件为:系统模型已完成所有证明,并且所有需求无相互冲突;
步骤4:生成可执行代码,完成安全攸关系统的开发。
形式化方法是一种系统方法,用来确定程序是否具有某些期望的属性。传统的软件开发方法以功能性需求为中心,往往在开发结束之后,才对安全性需求进行验证。在软件的生命周期中,错误发现得越早,则纠错越简单,纠错成本也越小。而形式化方法在软件生命周期中使用得越早,也能使错误发生的可能性越小。在开发过程中运用形式化方法,与传统的开发与验证相比,能够有效且及时地发现需求的不一致,尽早对系统进行修改。Event-B方法是基于定理证明的形式化方法,该方法通过不断精化的方式构建和完善模型,使模型完成从抽象到具体,从需求到实现的过程;在不同精化层级间,Event-B方法使用严格的数学证明保证各层级间的一致性,在较低层级验证过的性质将不会被较高层级违背。
本实施例系统理论过程分析STPA方法确定危害事件、建立列车安全约束、控制结构,以此为根据进一步识别出不安全控制操作,并据此为系统设置安全约束。在前期了解系统时对系统需求进行充分的分析,随后将安全分析得到的安全约束作为补充完善系统的安全需求,这是系统需求的第一次补充修改。在模型的建立和精化中,将各需求映射于模型的对应层级,同时对产生的证明义务进行证明;在建模与证明过程中能发现先前需求分析不完善的方面,这是对系统需求的第二次补充修改。当模型建立完毕,且得到完全的证明后,可以选择生成目标代码,完成系统的开发。整个过程中我们较为全面地分析了危害系统的不安全问题,将安全需求融入系统的建立中,在软件开发周期的较早期对系统运用了形式化方法证明其安全性质,构建了一种低风险的开发方法。
将STPA安全分析技术与Event-B方法结合起来,集合STPA在安全分析中较为全面的优点与Event-B对性质的严格证明的特性,形成了基于安全分析的形式化开发方法。本发明通过捕获更加全面的危害因素和安全约束(安全需求),将安全约束映射于模型的对应层级中,并由数学证明保证性质不被违背;精化完成后,可自动生成可执行代码,完成系统的安全开发过程。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。