[发明专利]一种准确识别损失场景的STPA方法和装置

权利要求书

1.一种准确识别损失场景的STPA方法，包括：

确定分析目标，包括确定损失；

利用有限状态机生成系统状态机；

利用确定的损失和生成的系统状态机，识别不安全控制动作；

利用模型检测技术以及识别出的不安全控制动作识别损失场景。

2.根据权利要求1所述的方法，其特征在于，所述系统状态机包括控制器状态机、被控过程状态机，以及控制器状态机和被控过程状态机之间的交互关系。

3.根据权利要求2所述的方法，其特征在于，所述系统状态机包括识别不安全控制动作所需要的控制器全部行为、被控过程全部行为，以及控制器和被控过程之间的全部交互行为。

4.根据权利要求1所述的方法，其特征在于，所述不安全控制动作是控制动作、类型以及上下文之间的组合。

5.根据权利要求4所述的方法，其特征在于，所述不安全控制动作包括时间无关不安全控制动作和时间相关不安全控制动作，时间无关不安全控制动作的类型包括：不提供控制动作和提供控制动作；时间相关不安全控制动作的类型包括：过早、过晚或以错误顺序提供控制动作、控制动作持续太长或结束太快。

6.根据权利要求4所述的方法，其特征在于，所述控制动作是被控过程接收到的控制动作，所述不安全控制动作是系统级危险。

7.根据权利要求4所述的方法，其特征在于，利用确定的损失和生成的系统状态机，识别不安全控制动作包括：

利用所述系统状态机，确定控制动作和上下文；

根据所述控制动作和上下文，确定控制动作、上下文和类型之间的组合的实例；

根据所述实例识别所述不安全控制动作。

8.根据权利要求1所述的方法，其特征在于，利用模型检测技术以及识别出的不安全控制动作识别损失场景包括:

更新所述系统状态机，经更新的系统状态机包括控制器状态机、被控过程状态机、传感器状态机、作动器状态机以及它们之间的交互关系；

利用所述经更新的系统状态机，生成模型检测模型；

利用所述不安全控制动作和模型检测模型识别损失场景。

9.根据权利要求8所述的方法，其特征在于，所述经更新的系统状态机包括识别损失场景所需要的控制器全部行为、被控过程全部行为、传感器全部行为、作动器全部行为，以及控制器、被控过程、传感器和作动器之间的全部交互行为。

10.根据权利要求8所述的方法，其特征在于，所述系统状态机是使用SysML、AADL或AltaRica构建的，所述模型检测模型是使用NuSMV或UPPALL构建的。

11.根据权利要求8所述的方法，其特征在于，所述系统状态机包括时间信息。

12.根据权利要求8所述的方法，其特征在于，所述时间信息是通过MARTE元素描述的。

13.根据权利要求11所述的方法，其特征在于，所述模型检测模型是使用NuSMV构建的，其中通过构造时钟变量描述时间信息。

14.根据权利要求8所述的方法，其特征在于，利用所述不安全控制动作和模型检测模型识别损失场景包括：

根据所述不安全控制动作，确定系统的安全性约束；

利用模型检测逻辑语言对所述系统安全性约束进行描述，形成待检验性质；

利用模型检测模型对所述待检测性质进行模型检测，识别损失场景。