[发明专利]一种基于形式化验证的人机交互风险场景识别方法

权利要求书

1.一种基于形式化验证的人机交互风险场景识别方法，其特征在于：该方法包括如下步骤：

步骤一：采用形式化方法对复杂人机交互推演过程进行建模，形成通用的人机交互形式化推演模型，包括考虑人误的任务形式化建模，考虑异常态的系统、人机界面、环境形式化建模和人机交互形式化推演建模；

步骤二：将人机交互形式化推演模型映射为复数种场景下能执行的人机交互自动推演模板，建立考虑人误的任务形式化模型自动推演模板，考虑异常态的系统、人机界面和环境形式化模型自动推演模板；

步骤三：描述人机系统安全属性，确定人机系统安全属性表达式，得到人机系统安全规约；

步骤四：借助模型检查工具简单协议元语言解释器即SPIN完成风险场景路径的排查工作；

步骤五：采用定性比对方法对演化路径的可能性进行评价，识别发生可能性相对高的风险场景路径；

在步骤一中所述的“考虑人误的任务形式化建模，考虑异常态的系统、人机界面、环境形式化建模和人机交互形式化推演建模”，其内容说明如下：

(1)考虑人误的任务形式化建模

基于任务模型的层次化结构，定义适用于描述任务执行过程的形式化语法和语义，支持任务模型的形式化描述；

A.定义任务形式化模型语法

定义1：人机交互任务模型是一个四元组HTA＝(T,O,R,t₀)，其中

T＝{t₁,t₂,…,t_n,…}是顶任务和子任务的集合；

O＝{o₁,o₂,…,o_n,…}是底层操作的集合；

R＝T→T∪O是任务分解，即父任务分解为子任务及操作；

t₀∈T是顶层任务，即人机交互所要实现的目标；

不失一般性，记人机交互任务模型一中间任务t的子任务集合为subtask(t)＝{t₁,…,t_i-1,t_i,t_i+1,…,t_n}，则t是的父任务，记为parent(t_i)＝t，i＝1,…,n；对有限串行任务序列T＝{t₁,…,t_i-1,t_i,t_i+1,…,t_n}，记任务序列中第一个任务和最后一个任务分别为first(T)＝t₁，last(T)＝t_n；同时，对任务序列中一任务t_i，记其前一个任务为若i＝1，则记

定义2：顶任务/子任务是一个五元组T＝(ID_tsk,S_tsk,G_tsk,I_tsk,R_tsk)，其中，

ID_tsk是顶任务/子任务的唯一标示；

S_tsk＝{Ready,Executing,Done}是任务的执行状态，含义分别为就绪、执行、完成；

G_tsk＝(precondition,postcondition,repeatcondition)是一个三元组，表示顶任务/子任务执行状态转移的执行条件，含义分别为前置条件、后置条件和重复条件；

I_tsk＝(startcondition,endcondition,resetcondition)是一个三元组，表示顶任务/子任务执行状态转移的触发条件，含义分别为开始条件、结束条件和重置条件；

R_tsk＝S_tsk×G_tsk×I_tsk→S_tsk是顶任务/子任务的执行状态转移函数，定义为R_tsk(s_tsk,g_tsk,i_tsk)＝s′_tsk，当且仅当g_tsk∈G_tsk和i_tsk∈I_tsk为真时，s_tsk∈S_tsk转移到下一个状态s′_tsk∈S_tsk；

定义3：操作是一个六元组O＝(ID_op,S_op,I_op,R_op,HE,R_e)，其中，

ID_op是操作的唯一标示；

S_op＝{Ready,Executing,Done}是操作的执行状态，含义分别为就绪、执行、完成；

I_op＝(startcondition,resetcondition)是一个二元组，表示操作执行状态转移的触发条件，含义分别为开始条件、重置条件；

R_op＝S_op×I_op→S_op是操作的执行状态转移关系，定义为R_op(s_op,g_op,i_op)＝s′_op，当且仅当g_op∈G_op和i_op∈I_op为真时，s_op∈S_op转移到下一个状态s′_op∈S_op；

是操作变量，包含空输出，正常输出和n种人误模式；R_e＝S_op×HE→HE是操作变量函数，定义为R_e(s_op,h)＝h′，当且仅当s_op∈S_op满足时，h∈HE转移到h′∈HE；

R_e表示，当操作处于执行Executing状态时，该操作输出正常态及各种异常操作；当操作处于就绪Ready及完成Done状态时，该操作无输出；

根据层次任务分析，任务/操作间的转移关系定义为顺序、并行、决策、自由组合顺序、自由组合并行、重复六种；其中，顺序、并行、决策、自由组合顺序、自由组合并行五种关系直接描述上级父任务与下级子任务的关系，因此又称为任务分解算子；重复关系描述任务的循环执行情况，与任务层次性关系不大，因此定义为执行条件；任务操作分解的详细规则定义如下：顺序任务分解算子的符号为ord，含义为按顺序依次执行；并行任务分解算子的符号为par，含义为同时执行；决策任务分解算子的符号为xor，含义为选择其中一项执行；自由组合顺序任务分解算子的符号为opt_seq，含义为无顺序执行满足前提条件的所有任务；自由组合并行任务分解算子的符号为opt_par，含义为同时执行满足前提条件的所有任务；

因此，任务分解能表示为：

B.定义任务形式化模型语义

任务形式化模型的语义是触发条件的形式化语义，其描述任务如何执行；由于触发条件的本质是控制局部的任务执行时序，而任务分解算子的本质是控制全局的任务执行时序，因此二者有着天然的耦合关系；为了理清不同任务的执行时序关系，需要从触发条件和任务分解算子两个维度严格进行定义任务/操作的状态迁移关系；

(2)考虑异常态的系统形式化建模

系统形式化建模的任务是描述系统各种状态，包括正常运行模式和故障模式之间的切换关系；

系统运行模式是指根据任务要求和技术文档，将系统可能的运行状态进行归纳并解耦成一系列离散状态，每种状态称为一个运行模式；模式之间既能通过人的控制进行切换，也能发生自动切换；切换发生时可能需要满足预定的切换条件，包括触发条件和前提条件；系统运行模式分析的结果能用“系统运行模式切换关系分析表”进行记录，具体为：当系统处于运行模式1且满足预定切换条件时，系统的运行状态能切换至运行模式2及运行模式3；当系统处于运行模式2且满足预定切换条件时，系统的运行状态能切换至运行模式1及运行模式3；当系统处于运行模式3且满足预定切换条件时，系统的运行状态能切换至运行模式1及运行模式2；当系统在某运行模式运行且不满足所有的切换条件时，认为系统在该运行模式停留；

系统故障模式分析从功能角度出发，重点关注与具体任务场景相关的功能；系统功能分析采用树状层级结构，从系统层出发，逐层进行功能分解，分解颗粒度以和系统运行模式相洽为止；所谓“相洽”指功能故障模式能够不歧义地引发系统运行模式切换；系统故障模式分析的结果能用“系统运行模式与故障模式耦合分析表”进行记录，具体为：首先将系统功能逐层分解为功能1、功能2，然后分析每种功能包含的故障模式，即故障模式1、故障模式2，这些功能故障模式能够引发系统运行模式切换，此外，故障模式需要和特定的信息即告警及反映故障特征的任务信息相关联；

系统形式化建模包括三个步骤，具体如下：

A.构建正常情况下系统运行模式状态迁移模型

该步骤的思路是将“系统运行模式切换关系分析表”中记录的状态迁移关系直接映射为扩展状态迁移系统即ETS；下面给出几个定义；

定义1：一个状态迁移系统即TS是一个四元组TS＝(S,s₀,A,Δ)，其中，

S＝{s₁,s₂,…,s_n,…}表示系统所有可能的状态集合；

s₀∈S是S的初始状态；

A＝{a₁,a₂,a₃,…}表示迁移动作集；

Δ∈S×A×S称为状态迁移关系，它描述了状态在动作集的触发下由一个状态转移到另一个状态的行为，采用符号表示迁移关系(s,a,s′)∈A；

定义2：给定一个TS，对其中一个状态s和操作a，状态s在执行操作a的后继状态定义为：

式中，Post(s,a)包含了在状态s时执行操作a的所能到达的所有状态；

Post(s)包含了在状态s时执行任何操作所能到达的所有状态；

定义3：一个TS被认为是确定的，当且仅当

a.|s₀|＝1，即仅有一个初始状态；

b.对所有操作和状态，其后继状态不超过一个；

否则，该TS被认为是非确定的；

定义4：一个ETS是一个五元组ETS＝(S,s₀,A,Δ,G)，其中，

S＝{s₁,s₂,…,s_n,…}表示系统所有可能的状态集合；

s₀∈S是S的初始状态；

A＝{a₁,a₂,a₃,…}表示迁移动作集；

G＝{g₁,g₂,…,g_n,…}表示系统状态迁移的前提条件；

Δ∈S×A×S称为状态迁移关系，对一个迁移δ＝(s,g,a,s′)∈Δ，称s∈S为源状态，g∈G为前提条件，a∈A为迁移动作，s′∈S为目标状态；用符号表示δ；

定义5：令C＝{ETS¹,ETS²,…,ETSⁿ}表示由复数个ETS构成的迁移系统网络，且令对某个迁移动作定义

则C的复合ETS¹×ETS²×…×ETSⁿ定义为一个

ETS＝(S,s₀,A,Δ,G)，其中，

S＝S¹×S²×…×Sⁿ；

A＝A¹∪A²∪…∪Aⁿ；

定义为δ＝((s₁,…s_n),g,a,(s′₁,…s′_n))∈Δ，当且仅当有s_i＝s′_i；且始终存在一个状态迁移关系(s_i,g_i,a,s′_i)使得g＝∧_i∈E(a)g_i；

G＝G¹∪G²∪…∪Gⁿ；

状态迁移图是一个带节点和有向边的有向图，有向边表示迁移，迁移动作和前提条件作为迁移条件出现在有向边的标记上，用a:[g]格式进行标记；ETS能采用状态迁移图表达；

根据以上定义，假定分析人员识别出系统共n种运行模式，将其依次编号为s₁,s₂,…,s_n；系统运行模式状态迁移有两种基本触发方法：人的操作/环境扰动触发，系统自动触发；不失一般性，当系统运行模式从s_i迁移到s_j,1≤i＜j≤n，记状态迁移关系为δ_ij＝(s_i,g_ij,a_ij,s_j)；当代表人的操作触发，能用通过任务形式化模型的共享变量获得；当代表系统自动触发；则生成正常情况下系统运行模式状态迁移模型为

B.构建系统诸功能的故障模型

假设系统诸功能故障的发生是随机、互斥、不可逆的，且能在人机交互过程的任何时刻发生；模型构建的基本思路是将“系统运行模式与故障模式耦合分析表”中诸功能故障模式映射为非确定性扩展状态迁移系统即ETS；假定分析人员识别出系统共m个功能，每个功能对应有m_i种可能故障模式；不失一般性，将系统的功能故障模式编号为且记系统功能正常态为f_i,0,1≤i≤m；系统故障模型就是系统从功能正常态f_i,0随机迁移到一个故障模式f_i,j,1≤j≤m_i；则生成第i个功能对应的系统故障状态迁移模型为

C.构建系统形式化模型

将系统故障所导致的系统运行模式状态迁移关系扩展到正常情况下系统运行模式状态迁移模型中，系统故障所导致的系统运行模式状态迁移模型的本质是以故障模式f_k,l作为迁移动作对M⁰的迁移关系Δ⁰进行补充；当系统运行模式因为故障f_k,l从s_i迁移到s_j,1≤i＜j≤n,1≤k≤m，1≤l≤m_k，记状态迁移关系为δ_ij,kl＝(s_i,f_k,l,s_j)时，将该迁移关系增添至M⁰中，并称M⁰更新后得到的状态迁移模型为考虑故障的系统运行模式状态迁移模型；

对考虑故障的系统运行模式状态迁移模型和系统故障状态迁移模型进行复合操作，即能得到系统状态迁移模型M＝(S,s₀,A,Δ,G)，即

式中，满足δ＝((s₁,s₂,…,s_m+1),g,a,(s′₁,s′₂,…,s′_m+1))∈Δ，使得当且仅当时，有s_i＝s′_i，且当且仅当时，总存在迁移(s_i,g_i,a,s′_i)满足g＝∧_i∈E(a)g_i；其中，

(3)考虑异常态的人机界面形式化建模

人机界面形式化建模的任务是描述人能否能及时、正常地接收信息及对系统的控制是否被阻止；人机界面模型相当于对提供给人的正常信息进行过滤和“拉偏”，即分析考虑可能出现的虚警、漏警、任务信息错误、任务信息不完整、任务信息不及时、通信信息错误、通信信息不完整、通信信息不及时的异常信息模式；系统提供给人的任务信息、告警信息以及通信信息均可能出现异常态，但是这样可能会导致模型状态规模膨胀；因此，根据实际情况，针对性地考虑某些故障相关的异常信息模式，这些异常信息模式需要同任务模型接洽；人机界面模型的分析结果能通过“人机界面信息异常态分析表”进行记录，具体为：人机界面信息包含任务信息、告警信息、通信信息三种类别，每种类别的信息又包含诸条具体信息，需要分析可能出现的异常信息模式，包括：虚警、漏警、任务信息错误、任务信息不完整、任务信息不及时、通信信息错误、通信信息不完整、通信信息不及时的异常信息模式；

人机界面建模首先将“人机界面信息异常态分析表”中的任务信息、告警信息及通信信息分别映射为系统形式化模型中的状态量，与其对应的信息异常模式等价于系统模型中的故障模式，因此其建模方法等同于系统各功能的故障模型；不失一般性，将“人机界面信息异常态分析表”所涉及的信息依次编号为其中I_i对应的信息异常模式编号为Iv₁,Iv₂,Iv₃，对应信息不正确、不完整、不及时；显然，I_i∈S，其中S是M＝(S,s₀,A,Δ,G)中的状态集合；设第i个信息对应的异常状态迁移模型为则MIⁱ的生成算法与系统故障模型类似，显然，该迁移系统的迁移动作集合和前提条件集合均为空集；

令即得到基于ETS描述的人机界面形式化模型；

(4)考虑异常态的环境形式化建模

环境形式化建模的目的是描述在任务执行过程中可能影响系统运行及诱发人为失误的环境变量的状态变化；环境对人机系统的影响包括影响系统运行模式切换、影响任务执行条件、影响人的绩效形成因子；环境模型的状态量需要同系统模型、任务模型和PSFs相匹配；环境模型分析结果能通过“环境扰动分析表”进行记录，具体为：环境扰动分析需要对复数个环境扰动因素的状态变化进行描述，此外，还需分析复数个环境扰动因素对系统运行模式切换、任务执行条件、人的绩效形成因子的影响；

环境形式化模型有两种形式，其一是直接设定环境状态，在人机交互过程中不再发生变化；其二是类似系统运行模式状态迁移模型，将环境的复数种扰动模式及正常情况抽象为离散状态量，然后建立这些状态量之间的转移关系；

设环境模型为Env＝(E,e₀,A_E,Δ_E,G_E)，其中E是环境的各种扰动状态与正常状态的集合；e₀为初始状态；A_E为环境状态迁移动作集，即环境状态迁移的触发状态，由于从扰动的角度构建环境模型，所以认为A_E为空；Δ_E是环境状态迁移关系，是随机迁移，即δ_e＝(e_i,e_j)∈Δ_E，相应的，G_E为空；

Env＝(E,e₀,A_E,Δ_E,G_E)与系统故障状态迁移模型类似，该模型即是基于ETS描述的环境形式化模型；

(5)人机交互形式化推演建模

上述过程根据任务模型和系统/人机界面/环境模型的特点分别构建了形式化模型，但是这两种形式化描述不尽相同；考虑到任务形式化模型本质上是任务/操作执行状态变化的描述，所以能将其映射为ETS；其基本思想是将任务或操作的状态等价为ETS的状态，将任务或操作的状态迁移的触发条件等价为ETS的迁移动作集，将任务的执行条件等价为ETS的前提条件；则生成基于ETS的任务模型为

因此，通过状态迁移系统，能得到一致的任务、系统、人机界面和环境模型形式化描述；进一步地，令MMI＝(S,s₀,A,Δ,G)＝T×M×MI×Env，MMI是基于ETS构建的形式化模型，通过严格定义的状态迁移关系实现人机交互行为的推演，因此将MMI称为人机交互形式化推演模型；

如果直接采用ETS的形式描述人机交互行为，会导致模型抽象程度高，可读性差，不易理解；而根据可读性强、易于理解的可视化任务分析和状态迁移图能无歧义地得到人机交互形式化推演模型，因此能采用可视化任务分析和状态迁移图的方式对人机系统进行形式化建模。