[发明专利]基于确定性随机Petri网的AADL模型安全性评估方法

说明书

本发明提供了一种基于确定性随机Petri网的AADL模型安全性评估方法。首先，构建层次化结构的AADL架构模型；然后，制定新的模型转换方法，将AADL安全性模型转换为DSPN模型，其中，为AADL安全性模型增加了新的语义，包括复合构件中可操作状态分别与失效状态和危险之间的关系，以及恢复事件和修复事件与错误检测之间的关系，新的模型转换方法简化了构件之间错误传播的转换方法和危险行为的转换方法，使安全性模型转换为状态数量更少的DSPN模型，用于计算危险发生的概率；最后，结合危险的严酷度等级计算危险发生的风险，做安全性评估。

技术领域

本发明涉及一种AADL模型安全性评估方法，特别是一种基于确定性随机Petri网的AADL模型安全性评估方法。

背景技术

文献“Architecture-Level Hazard Analysis using AADL，Journal of Systemsand Software，2018，Vol 137，p580-604”公开了一种基于架构分析与设计语言(Architecture Analysis and Design Language，AADL)的危险分析方法。该方法利用AADL架构模型、错误模型和危险模型建立AADL安全性模型，并采用确定性随机Petri网(Deterministic Stochastic Petri Net，DSPN)作为系统架构模型的安全性计算模型，制定了模型转换方法，将AADL安全性模型转换为DSPN模型，使用现有的DSPN模型计算工具，对生成的DSPN模型进行仿真计算，得到系统失效的发生概率，较好的解决了基于架构模型计算系统失效发生概率的问题，实现了基于AADL的危险分析。模型转换是实现基于模型的评估方法的一个关键技术。模型元素转换的全面性和语义的完整性，直接影响评估结果的正确性和有效性。文献所述方法虽然制定了一系列的模型转换方式将AADL安全性模型对应到DSPN模型，但是安全性模型和语义不完整。首先，对于复合构件中的复合错误行为和危险变迁行为的转换方法，没有将复合构件的可操作状态(operational)分别与失效状态(failed)和危险(hazard)联系起来。其次，系统在检测到失效状态后才会恢复或者被修复，没有考虑恢复事件(recovery event)和修复事件(repair event)与错误模型中的错误检测(detections)之间的语义关系，没有在AADL安全性模型描述它们之间的关系，进而导致转换得到的DSPN模型不能全面的刻画系统行为。另外，文献所述的模型转换方法太复杂，生成的DSPN模型很容易因为状态太多而导致状态空间爆炸的问题，其中对逻辑操作(and和or)的转换方法使模型复杂度增加最为严重，而且对构件之间的错误传播的转换需要增加一个位置(place)和一个迁移(transition)，以及对危险变迁(hazard transition)的转换需要增加一个位置和一个迁移。因此，有必要改进逻辑操作、构件之间错误传播和危险变迁的转换方法，从而降低DSPN模型的复杂度。

发明内容

为了克服现有的基于AADL的安全性分析方法中安全性模型不完整以及生成的DSPN模型状态太多的问题，本发明提供一种基于确定性随机Petri网的AADL模型安全性评估方法，基于层次化结构的AADL架构模型，建立完整的AADL安全性模型，制定新的从AADL安全性模型到DSPN模型的模型转换方法。首先，基于AADL建立架构模型，用错误模型附录和危险模型附录为架构模型建立附录模型，构成系统的AADL安全性模型；然后，制定新的模型转换方法，其中，为AADL安全性模型增加了新的语义，包括复合构件中可操作状态分别与失效状态和危险之间的关系，以及恢复事件和修复事件与错误检测之间的关系，新的模型转换方法简化了构件之间错误传播的转换方法和危险行为的转换方法，使安全性模型转换为状态数量更少的DSPN模型，用于计算危险发生的概率；最后结合危险的严酷度等级计算危险发生的风险，做安全性评估。

一种基于确定性随机Petri网的AADL模型安全性评估方法，其特征在于包括以下步骤：

步骤一：根据系统规格说明书为系统建立AADL架构模型，根据安全性需求为架构模型建立错误模型和危险模型，得到层次化结构的AADL安全性模型。