本文转载自公众号思睿咨询
1、背景
系统安全思想及分析评价技术起源于20世纪50到60年代美国研制民兵洲际导弹的过程中。系统安全的思想及相关的技术在解决诸如战略战术武器、航天飞机、核电站等高可靠、高安全要求的复杂系统时具有明显的优势[1, 2]。1969年美国国防部颁布的武器系统研制、生产及使用安全性标准——MIL-STD-882标准,为产品设计中的安全性分析评估工作确立了一套完整有效的工作流程,该标准至今已经发展到MIL-STD-882E,其对应的国内标准GJB-900A也已经在国内武器装备研制中广泛开展。随着现代工业系统规模的不断增长,复杂性不断提高,软件在系统中所占的份额日益增多,系统设计过程也随之不断复杂化,从而向传统的以工程规范为基础的设计过程及传统的安全分析技术提出了挑战。传统的安全性分析方法(基于MIL-STD-882E或ARP4754A、ARP4761)在安全性分析中出现了诸多的缺点[3]。对于大部分技术而言,具有主观性且严重依赖于操作者的技术。大部分的传统安全性分析,因为缺少系统结构的精确模型和失效模式,安全性分析人员往往被迫投入很大的精力从各种渠道去收集系统行为结构细节,以此为依据嵌入安全性分析工具中(如故障树)。由于传统的安全性分析大多数基于一个非正规的系统模型,其有可能不完整、不连续、甚至经常出现错误。
目前国内外各行业开展安全性分析的主要方法仍然是基于系统安全理论的传统安全分析流程,遵循诸如MIL-STD-882E、ARP4754A、ARP4761、GJB900A等分析标准与指南。而国外军工、航空航天、汽车、医疗等行业均已开始探索基于模型的安全性分析(Model-Based Safety Analysis,MBSA)方法,并取得了一定的进展。特别在欧洲安全性领域研究已成为热点[4]。基于模型的安全性分析相比于传统的安全性分析过程,存在以下优点:
(1)系统设计人员与安全分析人员能够使用相同的系统模型,从而避免了由于系统理解不一致而产生的设计分析协调问题,有助于提高安全分析的完整性、连续性与可追溯性[5]。
(2)基于模型开展安全性分析,可以利用现有的自动分析算法(例如故障树、FMEA表格生成算法、形式化方法)通过计算机实现自动的安全性分析,从而尽可能地减少安全分析人员的重复性工作,降低设计成本,同时也提高安全分析的质量。
2、MBSA与传统安全性分析方法的对比
本节所用缩略语如下汇总如下:
1.Functional Hazard Analysis (FHA):功能风险分析
2.Aircraft-level Functional Hazard Analysis(AFHA):飞机层面的功能风险分析
3.System-level Functional Hazard Analysis (SFHA):系统层面的功能风险分析
4.Preliminary System Safety Assessment (PSSA):初步系统安全评估
5.Fault Tree Analysis:故障树分析
6.System Safety Assessment (SSA):系统安全性评估
7.Failure Modes and Effects Analysis (FMEA):故障模式及影响分析
2.1 传统的安全性分析
现有的系统安全标准主要包括美国的MIL-STD-882E,英国Def Stan 00-56,国内标准GJB900,以及各类行业标准,包括电气/电子/可编程电子安全系统标准IEC61508,机载航电设备安全性标准ARP4754A/4761,轨道交通功能安全标准ISO26262。分别定义了各自的安全性分析流程,其基本思想是通过系统工程的手段,将安全性评估工作融入产品研发设计流程中,并逐步迭代完成安全性分析。本文依据ARP4754A/4761标准所定义的航空电子领域安全性分析过程为例,对传统的安全性分析流程进行讨论[6],其具体流程图如图1所示:
图1传统安全性分析的“V”型过程
功能危险评估(FHA)是针对功能进行系统全面的审查,确定功能的失效状态并按照严重程度分类的工作;FHA初步完成后,需要结合系统架构,开展初步系统安全性评估(PSSA)。PSSA是安全性评估的关键环节,也是系统顶层安全性工作、系统安全性工作、软硬件安全性工作的连接纽带;之后对系统开展系统安全性评估(SSA),SSA评估所有重要失效状态及对飞机的影响,其分析过程类似与PSSA。PSSA自上而下地分配系统安全性需求,而SSA则是自下而上地验证目标设计是否已满足FHA和PSSA中所定义的定性与定量安全性需求。
2.2 MBSA的安全性分析
基于模型的研发过程主要聚焦于系统软件部分的建模。为了开展系统级别的安全性分析,我们必须考虑系统运行的环境,通常会包含机械部件。幸运的是基于模型的工具及技术也可用于物理部件的建模。基于模型的研发过程通过将包含数字部件(软件与硬件)的模型与机械部件(泵,阀门等)模型加以组合,构建一个名义系统行为模型。该模型通过加入数字与机械部件的故障模型,可以构造扩展系统模型。扩展系统模型能够用于描述系统在面对一个或多个故障时的系统行为。扩展的系统模型可以被用于多种仿真与分析过程如图2所示。
图2 机械化的基于模型的安全性分析
首先,它可以通过加入故障以后的仿真支持细致的事故场景分析。为了开展更严格的分析,可以使用静态分析工具,例如模型检查器或者定理证明器,自动证明(反证)系统是否满足特定的安全性需求。这些工具可以进一步扩展生成传统的安全性分析产品(例如故障树)。综上所述,MBSA的基本流程总结如图3所示。
图3MBSA的“V”型过程
2.2.1名义系统建模
名义系统建模是基于模型的研发过程与安全性分析过程结合的第一步,通过构建被研制系统的形式化模型,描述系统在正常功能状态下的行为过程。系统研发工程师和安全性工程师使用相同且明确的系统模型,从而将系统和安全性工程紧密联系起来。
2.2.2 形式化衍生的安全性需求
衍生的安全性需求的确定与传统的“V”型方法是一样的,为了支持系统MBSA的自动分析评估,目前采用将安全特性转化为特定形式化符号的形式。常用的形式化描述语言包括线性时态逻辑(Linear Temporal Logic, LTL)、计算树时态逻辑(Computing Tree Logic,CTL)[7]以及更多的高阶谓词逻辑语言。除此以外,还可以在建模语言内部嵌入安全性需求来实现对系统需求的定义。
2.2.3 故障模式建模
失效模式建模是形式化建模的另一重要组成,主要描述目标系统各个层级部件的失效模式,构建不同部件失效模式的影响关系,从而确定故障暴露下的系统真实状态。
2.2.4 模型扩展
为了实现MBSA方法,故障模型与系统模型结合在一起以描述系统在出现故障时的行为。将这个成为扩展的系统模型。有两种形式:第一,可以将故障行为直接嵌入到系统模型当中;第二,单独建立故障模型,在分析需要时将其与系统模型自动融合到一起。
2.2.5 安全性分析
一旦拥有了扩展的系统模型,安全性分析就包括了验证在故障模型中定义的故障出现时是否还能满足安全需求,系统安全性工程师可以通过模拟不同部件的故障并观察系统的行为而进行大量分析。对于更为严格的分析,可以通过采用正式的验证工具来确定是否某些感兴趣的安全性属性被保持。安全性分析大致包含以下条目内容。
(1)仿真,其为安全工程师通过模型对应工具开展早期失效场景仿真,以图形化方式控制模型内失效状态的激活,从而展现不同故障对系统功能的影响。或通过系统静态分析(例如模型检查与定理证明)所得到的系统失效场景,可以进一步开展约束系统条件的仿真,得到反例过程中的系统行为细节,从而帮助系统设计人员详细了解系统存在的缺陷;(2)安全属性证明,采用形式化的验证工具,例如模型检查器和定理证明器,可以用于证明系统的安全性属性在扩展系统模型内能否保持[8];(3)采用合适的工具支持,正式的验证结果可以通过一些熟悉的安全性分析方法(如故障树)所表现出来。
3、MBSA的实现
MBSA是以系统模型的建立为基础来实现自动化安全分析过程的,根据MBSA所建立的安全分析模型与系统设计模型之间的关系,可以将MBSA所建立的模型分为两类[9]:
3.1 基于ESM的实现过程
通过对系统研发过程中所建立的系统模型进行故障注入扩展得到安全分析所需要的系统扩展模型(Extended System Model,ESM),其流程图如图4所示。这种方法直接使用系统设计模型,通过加入失效模式/失效行为库后构建扩展系统模型。
图4 基于ESM的MBSA实现过程
3.2 基于FLM的实现过程
以故障逻辑建模技术(Failure Logic Modelling, FLM)为基础,由安全工程师对系统的认识手动得到系统的安全分析专用模型,此类模型与系统研发模型并不完全一致。是相对第一种方法而言独立于系统设计模型的,以安全分析为特定目的的专用模型。此模型中组件接口的丰富程度以及模型的细致程度完全由安全分析人员决定,这样可以在保证模型能足够满足分析需要的同时,又可以在一定程度上避免模型过于复杂。安全模型与系统设计模型之间的对应关系通过拥有相同概念的组件(或模块)及系统层次结构来实现。很多MBSA的先驱理论如HiP-HOPS,FPTN,FTPC[10]以及AltaRica等都属于这个范畴。其以部件为核心,描述名义模型中,输入偏差与内部异常状态如何共同造成输出偏差。核心思想是在构建独立部件模型时,不会对系统级失效逻辑造成本质的影响[11]。
4、MBSA的工程应用
航空、航天、轨道交通、医疗器械等安全关键系统的设计越来越融入嵌入式软件控制的模式,基于模型的安全性分析在国内外安全关键系统设计研发中越来越得到重视与应用。由于MBSA仍属于系统安全领域新兴的研究方向,主要还是集中在建模工具和语言的开发,故障模式的描述,系统模型作为模型检测工具输入的转换方法,以及自动化安全分析的实现和分析效率的提高这几方面内容。存在以下几亟待解决的问题[12,13]:
(1)MBSA方法来源于计算机科学,恰当得阐述计算机领域的相关概念与安全性相关概念的联系,仍然是MBSA领域需要解决的问题;
(2)MBSA以“统一”与“自动化”为前提,几乎所有的研究趋向都在力求解决安全性分析与设计模型的高度集成性;
(3)现存的模型分析工具(如model checkers)有许多局限性,其会随着系统模型逐渐复杂和系统规模逐渐增大而导致分析效率随之降低;
参考文献
[1]陈宝智, 隋鹏程. 安全原理[M]. 化学工业出版社, 2005.
[2] 赵廷弟. 安全性设计分析与验证[M]. 国防工业出版社, 2011.
[3] 范基坪,MBSA框架下的安全性建模与分析技术研究[D].北京航空航天大学,2016
[4] 冯臻. 一种新兴的基于模型的民机安全性分析方法[J]. 科技创新导报, 2012(27):44-45.
[5]Wei Q, Jiao J, Zhou S, et al. Research on accident process meta-modeling based on SysML[C]// First International Conference on Reliability Systems Engineering. IEEE, 2016:1-6.
[6] ARP 4761. Guidelines and Methods for Conducting the Safety Assessment Process on CivilAirborne Systems and Equipment. SAE International, December 1996.
[7] E. M. Clarke, O. Grumberg, and D. A. Peled. Model Checking, The MIT Press, ambridge, MA,
[8] 周佳铭. 基于PVS对SCADE开发轨交控制系统的形式化建模与验证[D]. 华东师范大学, 2011.
[9]陈磊, 焦健, 赵廷弟. 基于模型的复杂系统安全分析综述[J]. 系统工程与电子技术, 2017(6):1287-1291.
[10] Wallce M. Modular architectural represent- tation and analysis of fault propagation[J]. Electronic Notes in Theoretical Computer Science, 2005, 141(3): 53–71
[11]魏钱锌,基于模型检验的系统安全性形式化验证技术研究[D].北京航空航天大学,2017
[12] Chen L, Jiao J, Wei Q, et al. An improved formal failure analysis approach for safety-critical system based on MBSA[J]. Engineering Failure Analysis, 2017.
[13]Joshi A, Whalen M, Heimdahl M P E. ModelBased Safety Analysis: Final Report[J]. 2005.
长按二维码识别关注我们