[发明专利]基于需求的IMA安全验证分析方法

说明书

本发明公开了一种基于需求的IMA安全验证分析方法，包含以下步骤：步骤一：确定系统级危害和安全约束；步骤二：构建出系统的控制结构图，通过控制结构图找出不安全的控制行为，进而得到系统的安全需求；步骤三：用SCR模型对安全需求进行建模，对描述不准确的需求进行修改，并用形式化的方法验证需求的可靠性和准确性。本发明能有效分析系统的控制结构，找到组件交互产生的潜在危害，得到系统的安全需求。

技术领域

本发明涉及一种安全验证分析方法，特别是一种基于需求的IMA安全验证分析方法。

背景技术

综合模块化航空电子(IMA)是航电系统架构发展新的阶段，IMA架构给航电开发带来了更多的灵活性，显著地提升了开发效率。IMA架构一个重要益处就是允许应用系统独立地开发，然后集成到统一的IMA平台之上共享硬件资源。系统开发与安全性评估的隔离，加上不同开发人员对于系统安全性认知的不同使得IMA的安全性分析变得十分复杂。传统的基于事件链模型的危害分析方法将硬件与软件放在一起考虑且主要考虑组件失效，这些传统危害分析方法适用于联合式航电系统，并不适用于IMA这种软件密集型系统。相比于组件失效，IMA中存在大量潜在的危害是由组件交互引起的，目前关于IMA系统安全性的分析与验证的研究较少，且还没有很好地解决这方面的问题。

发明内容

本发明所要解决的技术问题是提供一种基于需求的IMA安全验证分析方法，找到组件交互产生的潜在危害，得到系统的安全需求。

为解决上述技术问题，本发明所采用的技术方案是：

一种基于需求的IMA安全验证分析方法，其特征在于包含以下步骤：

步骤一：确定系统级危害和安全约束；

步骤二：构建出系统的控制结构图，通过控制结构图找出不安全的控制行为，进而得到系统的安全需求；

步骤三：用SCR模型对安全需求进行建模，对描述不准确的需求进行修改，并用形式化的方法验证需求的可靠性和准确性。

进一步地，所述步骤一具体为，从IMA系统提供的服务出发，找到IMA提供的与分区通信相关的服务，然后找到会导致相关服务失效的危险，确定分区通信的系统级危险，若IMA的分区间通信服务失效，则会导致分区通信系统的系统级危险。

进一步地，所述分区通信的系统级危险包含，

H1通道没有正确获取发送进程发送的消息；

H2接收进程没有正确接收通道的消息；

H3分区通信初始化过程出现错误；

进而产生系统级的安全约束：

SC1通道必须要正确获取发送进程发送的消息；

SC2接收进程必须正确接收通道的消息；

SC3分区通信初始化过程不能出错。

进一步地，所述步骤二包含，

2.1熟悉系统，了解整个系统的工作方式和系统结构，找出系统的所有独立的组件，分析每个组件在系统中的作用，提取控制动作和反馈动作，构建出控制结构图；

2.2从控制结构图中提取控制动作，从“没有提供所需的安全控制行为”，“提供了不正确的控制行为”，“不正确的时间/顺序”，“停止过快/过慢”四类控制不力的情况出发，分析每个控制动作可能会导致的系统危险，得到不安全的控制行为，并根据不安全的控制动作得出安全约束；

2.3分析不安全控制行为产生原因，原因包含系统缺陷、组件失效、算法缺陷和外界环境干扰；

2.4把提取出的安全约束作为系统的安全需求，提取需求中的变量。