一种基于STPA的防护救生软件不安全控制行为识别方法与流程

本发明属于航空，具体涉及一种基于stpa的防护救生软件不安全控制行为识别方法。

背景技术：

1、新一代防护救生系统软件需要根据不同工作场景(倒飞、横滚、高空、高速等)下的速度、高度、三向角度、三向角速度等因素，选择不同的模态控制多路机构工作，完成弹射救生功能；并能够在模态执行时根据多因素数据源降级情况实时进行模态降级转换，确保最大化发挥弹射救生系统的救生性能。新一代防护救生系统软件具有安全性高(软件失效将导致灾难事故)、控制精度高(时间精度都在毫秒级)、逻辑较复杂(速度、三向角速度、三向角度、高度多因素组合控制)的特点，需要充分识别软件的不安全控制行为，分析导致不安全控制行为产生的原因，采取有效的应对措施并充分验证，才能实现对防护救生系统的高安全性和高可靠性控制。现有技术中鲜有对软件不安全控制行为的自动识别方法。

技术实现思路

1、本发明的目的在于，提供一种基于stpa的防护救生软件不安全控制行为识别方法，可实现防护救生系统安全苛刻性软件不安全控制行为自动识别，完成软件安全性需求分析和提取。

2、为解决上述技术问题，本发明的技术方案为：一种基于stpa的防护救生软件不安全控制行为识别方法，包括以下步骤：

3、根据软件特点，识别得到对应的软件危险；软件特点至少包括软件的功能、性能以及软件开发的约束条件；

4、根据识别得到的软件危险，确定软件设计的安全性约束；

5、结合软件特点，对软件的控制关系进行分层构建得到控制结构图；其中，控制结构图至少包括输入信号、数据处理、控制判断及输出和执行机构的分层信息；

6、根据stpa分析方法对不安全控制行为的类型进行划分，结合安全性约束以及软件的控制关系，得到软件的所有控制行为并表示出其中的不安全控制行为，根据控制结构图分析得到不安全控制行为的产生原因；

7、将不安全控制行为及其原因进行关联并纳入数据库；

8、根据输入信息自动识别得到数据库中对应的不安全控制行为。

9、还包括以下步骤：根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

10、输入信息需按照特定的语法格式进行描述，语法格式表示为<controller,environment,operation>，其中，controller表示控制器的名称，environment表示控制器工作的环境，可以是多个条件c1、c2、c3……的逻辑组合，即environment＝f(c1,c2,c3……)，operation表示操作名称。从environment中分别针对每个条件提取当前控制器的输入变量(如：高度)和传感器变量(如：传感器采集的气压值)，从operation中提取控制器的输出变量(如：点火电平)和控制变量(如：pwm电路)。输入变量与传感器变量的区别是输入变量作为控制器的直接输入，传感器变量影响输入变量。后续分析故障原因时，可以具体分析是输入变量出错，还是传感器本身异常。同理，从operation中提取输出变量和控制变量。根据识别出的系统安全性约束，构建初步的系统控制结构图，以满足系统安全性要求。

11、根据stpa分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。根据stpa分析方法划分的四种不安全控制类型，与得到的安全性约束组合，每一个安全性约束可以得到4个不安全的控制行为，分析软件不安全控制行为产生的原因，建立不安全控制行为及原因数据库，根据输入信息(包含控制器、环境和控制行为)自动提取不安全控制行为。

12、还提供一种基于stpa的防护救生软件不安全控制行为查询系统，包括控制器及显示器，其控制器中存储有如上述所述的一种基于stpa的防护救生软件不安全控制行为识别方法，其在查询具体控制器的控制行为时调用该防护救生软件不安全控制行为识别方法。

13、还包括：该系统根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

14、输入信息需按照特定的语法格式进行描述，语法格式表示为<controller,environment,operation>，其中，controller表示控制器的名称，environment表示控制器工作的环境，operation表示操作名称。

15、根据stpa分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。

16、还提供一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一项所述方法的步骤。

17、还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述方法的步骤。

18、与现有技术相比，本发明的有益效果为：

19、本发明可实现防护救生系统安全苛刻性软件不安全控制行为自动识别，完成软件安全性需求分析和提取。

技术特征：

1.一种基于stpa的防护救生软件不安全控制行为识别方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于stpa的防护救生软件不安全控制行为识别方法，其特征在于，还包括以下步骤：根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

3.根据权利要求1所述的一种基于stpa的防护救生软件不安全控制行为识别方法，其特征在于，输入信息需按照特定的语法格式进行描述，语法格式表示为<controller,environment,operation>，其中，controller表示控制器的名称，environment表示控制器工作的环境，operation表示操作名称。

4.根据权利要求1所述的一种基于stpa的防护救生软件不安全控制行为识别方法，其特征在于，根据stpa分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。

5.一种基于stpa的防护救生软件不安全控制行为查询系统，其特征在于，包括控制器及显示器，其控制器中存储有如权利要求1所述的一种基于stpa的防护救生软件不安全控制行为识别方法，其在查询具体控制器的控制行为时调用该防护救生软件不安全控制行为识别方法。

6.根据权利要求5所述的一种基于stpa的防护救生软件不安全控制行为查询系统，其特征在于，还包括：该系统根据不安全控制行为的产生原因，确定防止不安全控制行为发生的软件安全性需求。

7.根据权利要求5所述的一种基于stpa的防护救生软件不安全控制行为查询系统，其特征在于，输入信息需按照特定的语法格式进行描述，语法格式表示为<controller,environment,operation>，其中，controller表示控制器的名称，environment表示控制器工作的环境，operation表示操作名称。

8.根据权利要求1所述的一种基于stpa的防护救生软件不安全控制行为查询系统，其特征在于，根据stpa分析方法对不安全控制行为的类型进行划分的具体类型为4种，包括：(1)没有提供控制导致的危害；(2)提供了错误控制导致的危害；(3)提供的控制过早或过晚导致的危害；(4)提供控制的持续时间过长或太短导致的危害。

9.一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-4任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-4任一项所述方法的步骤。

技术总结
本发明公开了一种基于STPA的防护救生软件不安全控制行为识别方法，包括以下步骤：根据软件特点，识别得到对应的软件危险；根据识别得到的软件危险，确定软件设计的安全性约束；结合软件特点，对软件的控制关系进行分层构建得到控制结构图；根据STPA分析方法对不安全控制行为的类型进行划分，结合安全性约束以及软件的控制关系，得到软件的所有控制行为并表示出其中的不安全控制行为，根据控制结构图分析得到不安全控制行为的产生原因；将不安全控制行为及其原因进行关联并纳入数据库；根据输入信息自动识别得到数据库中对应的不安全控制行为。本发明可实现防护救生系统安全苛刻性软件不安全控制行为自动识别，完成软件安全性需求分析和提取。

技术研发人员：冯友权,李英武,李维
受保护的技术使用者：航宇救生装备有限公司
技术研发日：
技术公布日：2024/1/15