一种复杂软件系统安全性分析方法与流程

本发明属于软件系统安全性研究，特别涉及一种复杂软件系统安全性分析方法。

背景技术：

1、由于软件技术的快速创新，许多复杂的系统正在向软件密集型系统转变，随着软件规模和复杂度的增加，系统呈现出功能复杂、集成度高、系统结构层次多、部组件、元器件多，系统具有众多的状态变量，反馈结构复杂，输入与输出呈现非线性特征，即高阶次、多回路、非线性，在结构、功能、行为、演化等方面具有十分复杂的特性。软件系统中不可预见的行为可能会导致灾难性的后果，如功能失效、系统事故、人员伤亡等。为了进一步提高软件系统的安全性，减少由于软件引起事故的发生率，需要对软件的控制行为进行系统的分析，避免软件的错误导致事故发生。

2、传统的安全性分析方法如fta、fmea等对于由失效引起的事故的分析能够起到很好的作用，但目前大多数事故是由于部件间异常的交互引起的，应用传统的分析方法不能满足这样的需求。传统的事故链等模型在描述结构、交互关系复杂的系统事故时存在较大局限性，难以准确描述系统的缺陷及事故机理。对于已发生的事故，可通过建立事故模型准确描述事故发生机理与过程，系统总结安全性设计与管理等方面的缺陷，形成针对性的设计准则或管理措施，以避免类似事故再次发生。针对当前软件系统的复杂特性，只有深入理解事故机理，全面掌握系统整体结构，才能在设计新的系统时避免出现类似问题，提升系统的安全性。

技术实现思路

1、本发明解决的技术问题是：克服现有技术的不足，提供了一种复杂软件系统安全性分析方法，用于对由一组软件配置项构成的复杂的软件系统进行安全性分析，获取软件系统的安全性需求，具有简单易实现、适用范围广、安全性分析准确率高的特点，可以有效保障软件系统的安全性。

2、本发明的技术解决方案是：

3、一种复杂软件系统安全性分析方法，所述复杂软件系统应用于飞行器测控系统，包括以下步骤：

4、(1)根据与复杂软件系统控制行为相关的系统级事故，确定系统级危险事件；

5、(2)采用多层次控制结构方法构建复杂软件系统安全控制结构模型；

6、(3)基于系统级危险事件和复杂软件系统安全控制结构模型，识别复杂软件系统的不安全控制行为；

7、(4)根据复杂软件系统的不安全控制行为和安全控制结构模型，以及系统级危险事件，得到与复杂软件系统控制行为相关的系统级事故的致因场景；

8、(5)根据致因场景确定复杂软件系统的系统级安全性需求；

9、(6)基于系统级安全性需求，对复杂软件系统配置项安全性需求进行分析，形成复杂软件系统的配置项安全性需求。

10、优选的，所述步骤(2)中，构建的安全控制结构模型用于表征测控系统组件之间控制关系，所述安全控制结构模型的上层为控制器，控制器内置有过程模型，过程模型通过控制算法、当前状态和状态转变来产生控制指令，控制下层被控制过程的活动，下层为执行器；传感器向上层反馈执行信息，上层的过程模型根据反馈信息修正内部状态，通过内部状态与反馈信息来保持控制器与执行器之间的动态平衡。

11、优选的，所述步骤(3)中，识别复杂软件系统的不安全控制行为，具体为：

12、不安全控制行为即为控制行为可能存在的安全隐患，包括四种：未提供控制行为导致危险，提供控制行为后导致危险，提供可能安全的控制行为但提供节点过早、过晚或顺序错误，控制行为持续太久或停止过早。

13、优选的，所述步骤(4)中，得出的与复杂软件系统控制行为相关的系统级事故的致因场景具体包括：

14、与控制器的不安全控制行为相关的致因场景，不适当的反馈和信息相关的致因场景，涉及控制路径的致因场景，与受控过程相关的致因场景。

15、优选的，所述与控制器的不安全控制行为相关的致因场景，包括：

16、与控制器相关的故障，不适当的控制算法，来自其他控制器的不安全的控制输入，不适当的过程模型。

17、优选的，所述不适当的反馈和信息相关的致因场景，包括：

18、控制器未接收到通过传感器发送的反馈信息，传感器未发送反馈信息但反馈信息已被传感器接收或应用，反馈信息未被接收或应用于传感器，控制结构中不存在反馈信息，传感器合理地响应但控制器接收到的是不适当的反馈信息，传感器对已被接收或应用于传感器的反馈信息进行了适当的响应，传感器无法提供必要反馈信息或不具备提供必要反馈信息的功能。

19、优选的，所述涉及控制路径的致因场景，包括：

20、控制行为已通过控制器发送但未被执行器接收，控制行为已被执行器接收但执行器未响应，执行器做出响应但控制行为未被应用到受控过程或未被受控过程接收，控制行为已通过控制器发送但执行器接收不当，控制行为已被执行器正常接收但执行器响应不适当，执行器做出适当的响应但控制行为未被应用到受控过程或未被受控过程正确接收，控制器未发送控制行为但执行器或其他元件仍做出了响应。

21、优选的，所述与受控过程相关的致因场景，包括：

22、控制行为被应用或被受控过程接收但受控过程未响应，控制行为被应用或被受控过程接收但受控过程响应不当，控制行为未被应用或被受控过程接收但受控过程仍做出了响应。

23、优选的，所述步骤(7)中，基于系统级安全性需求，对复杂软件系统配置项安全性需求进行分析，形成复杂软件系统的配置项安全性需求，具体包括：

24、(71)将系统级安全性需求和复杂软件系统的配置项设计需求作为输入，对配置项设计需求中的所有数据和功能项进行sfmea分析，确定影响可靠性与安全性的关键数据、功能项及其失效模式；

25、(72)对sfmea分析结果进行sfta分析，判断各失效模式是否可能发生，若可能发生则确定失效模式所对应的底层失效事件并反馈值sfmea分析；

26、(73)通过反复迭代分析，得到复杂软件系统的配置项安全性需求。

27、本发明与现有技术相比的优点在于：

28、本发明利用系统和配置项相结合的方式进行安全性分析，在系统级安全性分析中，将安全性被看作一个控制性问题：即当部件失效、外部干扰和/或系统部件间的异常交互没有被充分处理时，事故将会发生。事故发生的根本原因不是部件失效，而是由于在系统运行过程中，没有实施恰当的控制对系统的行为进行约束；结合系统事故模型的优越性，开展系统级安全性分析，得出系统层的危险事件，为软件的安全性分析提供更加有效的危险事件输入，获取系统级安全需求。在配置项级，利用bda软件安全性双向分析技术与sfta软件故障树分析技术进行安全性分析。综合两个层面的分析可以得到更为完备的系统安全性需求，从而弥补传统的安全性分析方法不能分析由于部件间异常的交互引起的系统事故这一缺陷，有效提高软件系统的安全性。

技术特征：

1.一种复杂软件系统安全性分析方法，其特征在于，所述复杂软件系统应用于飞行器测控系统，包括以下步骤：

2.根据权利要求1所述的一种复杂软件系统安全性分析方法，其特征在5于，所述步骤(2)中，构建的安全控制结构模型用于表征测控系统组件之间控制关系，所述安全控制结构模型的上层为控制器，控制器内置有过程模型，过程模型通过控制算法、当前状态和状态转变来产生控制指令，控制下层被控制过程的活动，下层为执行器；传感器向上层反馈执行信息，上层的过程模型根据反馈信息修正内部状态，通过内部状态与反馈信息来保持控制器与执行器之0间的动态平衡。

3.根据权利要求2所述的一种复杂软件系统安全性分析方法，其特征在于，所述步骤(3)中，识别复杂软件系统的不安全控制行为，具体为：

4.根据权利要求3所述的一种复杂软件系统安全性分析方法，其特征在于，所述步骤(4)中，得出的与复杂软件系统控制行为相关的系统级事故的致因场景具体包括：

5.根据权利要求4所述的一种复杂软件系统安全性分析方法，其特征在于，所述与控制器的不安全控制行为相关的致因场景，包括：

6.根据权利要求4所述的一种复杂软件系统安全性分析方法，其特征在于，所述不适当的反馈和信息相关的致因场景，包括：

7.根据权利要求4所述的一种复杂软件系统安全性分析方法，其特征在于，所述涉及控制路径的致因场景，包括：

8.根据权利要求4所述的一种复杂软件系统安全性分析方法，其特征在于，所述与受控过程相关的致因场景，包括：

9.根据权利要求1～8之一所述的一种复杂软件系统安全性分析方法，其特征在于，所述步骤(7)中，基于系统级安全性需求，对复杂软件系统配置项安全性需求进行分析，形成复杂软件系统的配置项安全性需求，具体包括：

技术总结
本发明提供了一种复杂软件系统安全性分析方法，利用自顶向下、从系统到配置项的分级研究方法开展复杂软件系统安全性分析，包括软件系统事故产生机理分析、系统级安全性分析和配置项级安全性分析。在系统级安全性分析阶段，通过确定系统危险、构建软件系统控制结构模型、识别不安全控制行为及控制器约束、识别致因场景，得到系统级安全性需求及系统危险事件；在配置项级安全性分析阶段，利用信息流传递技术与故障树分析技术将系统级输出的安全需求与危险事件转化为配置项级的安全性需求与危险事件，结合系统级安全性分析结果，利用双向安全性分析和软件故障树分析进行软件系统配置项级安全性分析，得到较为正确完备的复杂软件系统安全性需求。

技术研发人员：闫陈静,张伟,薛琼,董子铭,高金梁,赵迪
受保护的技术使用者：中国航天系统科学与工程研究院
技术研发日：
技术公布日：2024/1/12