一种状态事件故障树的定量分析方法
第8期2013年8月
电 子 学 报Vol.41 No.8
一种状态事件故障树的定量分析方法
23
徐丙凤1,黄志球1,胡 军1,,魏 欧1,肖芳雄1,(1.南京航空航天大学计算机科学与技术学院,江苏南京210016;2.南京大学计算机软件新技术国家重点实验室,江苏南京210093;
3.广西财经学院信息与统计学院,广西南宁530003)
摘 要: 状态事件故障树是一种适合于描述复杂系统中失效因果链的建模技术,对系统失效结果的概率特性进
行定量分析是获得系统安全性参数的一种重要途径.由于状态事件故障树是半形式化模型,需先精确描述其语义才能进行定量分析.为此,本文提出一种基于交互马尔可夫链的状态事件故障树定量分析方法.首先,通过将交互马尔可夫链的交互动作精化为输入和输出动作,提出接口交互马尔可夫链模型用于状态事件故障树的形式语义描述.然后,在此形式语义的基础上设计了一种状态事件故障树定量分析方法.最后给出了一个飞机起落架收放系统的状态事件故障树建模及概率特性定量分析的实例研究.
关键词: 安全性分析;状态事件故障树;交互马尔可夫链;定量分析;形式化方法
中图分类号: TP311 文献标识码: A 文章编号: 0372-2112(2013)08-1480-07电子学报URL:http://www.ejournal.org.cn DOI:10.3969/j.issn.0372-2112.2013.08.005
AMethodforQuantitativeAnalysisofState/EventFaultTree
(1.CollegeofComputerScienceandTechnology,NanjingUniversityofAeronauticsandAstronautics,Nanjing,Jiangsu210016,China;
2.StateKeyLaboratoryforNovelSoftwareTechnology,NanjingUniversity,Nanjing,Jiangsu210093,China;3.SchoolofInformationandStatistics,GuangxiUniversityofFinanceandEconomics,Nanning,Guangxi530003,China)
23
XUBing-feng1,HUANGZhi-qiu1,HUJun1,,WEIOu1,XIAOFang-xiong1,
Abstract: State/EventFaultTree(SEFT)isamodelingtechniquefordescribingthecausalchainswhichleadtofailurein
complexsystems.Oneimportantwayforcapturingthesafetyparametersofsystemsisquantitativelyanalyzingtheprobabilisticchar-acteristicofsystemfailures.Aslackofprecisesemantics,SEFTcanonlybequantitativelyanalyzedafteritssemanticsbeingprecise-lydescribed.Inthispaper,wepresentaquantitativeanalysismethodofSEFTbasedonInteractiveMarkovChain(IMC).Firstly,In-terfaceInteractiveMarkovChain(Interface-IMC)isproposedbasedonrefiningtheinteractiveactionofIMCintoinputandoutputactions.Secondly,theprecisesemanticsofSEFTisdescribedbasedonInterface-IMC.Thirdly,aquantitativeanalysismethodispre-sentedbasedonformalsemanticmodelofSEFT.Finally,themethodinthispaperisillustratedbymodelingandquantitativelyana-lyzingSEFTofaircraftlandinggearsystem.
Keywords: safetyanalysis;state/eventfaulttree;interactiveMarkovchain;quantitativeanalysis;formalmethod
1 引言
嵌入式系统在航空、汽车以及工业控制等安全关键
领域的广泛应用使得对其进行安全性分析成为系统开
[1]
发过程中的重要部分.随着嵌入式软件系统功能和复杂度的增加,目前嵌入式系统多为组件化分布式架[2]构.为对组件化分布式架构的嵌入式系统进行安全性分析,研究人员提出了一系列相关的安全性建模分析方[3~5]法.其中,状态事件故障树(State/EventFaultTree,
收稿日期:2012-11-19;修回日期:2013-01-17;责任编辑:蓝红杰
SEFT)是一种表达系统失效因果链的建模方法,顶层
事件表示失效的发生,通过逻辑门和基本构件表达失效发生的因果链.SEFT中包含了软件系统的行为模型,以及系统中构件的失效与系统失效结果之间的因果关系链,适合于对组件化嵌入式系统进行安全性分析.
对SEFT顶层事件发生的概率特性进行定量分析是获得系统安全性参数的一种有效途径.但目前SEFT模型尚缺乏精确的语义描述,使得难以直接对其进行定量分析.由于SEFT既具有构件化特征又包含了系统的动
[5]
基金项目:江苏省研究生培养创新工程(No.CXZZ11-0218);中央高校基本科研业务费专项资金(No.CXZZ11-0218,No.NS2012129);国家自然科学基金(No.61272083,No.61170043,No.61100034,No.61262002);回国留学人员科研启动基金(2012)
态行为语义,也难以使用诸如二叉决策图(BinaryDeci-
[6]
sionDiagrams,BDD)等之类的方法对其精确描述和分析.已有分析方法采用PetriNet对SEFT进行精确的语
[5]
义描述,但PetriNet缺少精确描述SEFT构件之间消息交互的语义,使得在对SEFT中的模型元素进行语义描述之后仍需要专业人员手动修改才能够形成分析模型,难以快速有效地得到整个SEFT的形式语义模型.为此,本文工作提出了一种基于交互马尔可夫链(Inter-
[7]
activeMarkovChain,IMC)的SEFT分析方法,能够给出符合SEFT模型特征的形式语义模型并进行SEFT的自动定量分析.
2 状态事件故障树
本节介绍状态事件故障树的基本建模元素,并给出一个状态事件故障树的应用实例.
状态事件故障树(SEFT)模型结合了基于状态的模型元素和故障树元素,在基于状态转换的基础上表达失效事件发生的因果链.其基本建模元素如图1所示,包括构件、状态、事件等,各
建模元素的具体含义见文献[5].
利用SEFT可以对组件化嵌入式系统失效的因果关系链进行描述.图2给出飞机起落架收放系统中“起落架放不下来”这个失效结果的状态事件故障树.系统包含三个构件control,分别是起落架操作手柄(Landinggear起落架信号灯handle)、起落架控制器(Landinggearsemaphore(Landing)gear.起落架操作手controller)和柄由飞行员操作,用于控制发送起落架收起或者放下的信号;起落架控制器在接收到收起或者放下信号之后对起落架进行控制;起落架信号灯用于监控起落架控制器,在出现故障的时候发出预警.图2中SEFT顶层事件是“起落架放不下来”失效的发生,通过两个AND逻辑门连接三个构件自底向上描述了该失效发生的因果链.即飞机的起落架在收起的情况下,需要放下起落架,但起落架控制器出现故障并且信号灯没有正常预警从而导致起落架放不下来的失效发生.此外,各构件的内部行为通过有限状态机进行描述,该有限状态机
同时描述构件的动作与概率行为.
3 接口交互马尔可夫链
本节中将IMC的交互动作精化为输入、输出动作,
提出接口交互马尔可夫链模型,并定义其并行组合操作用于描述构件系统中的组合行为语义.
3畅1 Interface-IMC模型
接口交互马尔可夫链(Interface-IMC)对交互马尔可
夫链(IMC)[7]
的交互动作语义进行了精化,将动作分为输入abled、输出和内部动作且取消了输入使能(input-en是不可接受的)特性,明确地表示出在当前状态上哪些输入动作-.Interface-IMC形式定义如下:
定义1 一个接口交互马尔可夫链P是一个五元
组(S,s0,A,→,→M),其中:(1)S是状态集合;(2)s0
是
初始状态;(3)A是动作集,其中A=(AI,Ao,Aint),AI
为
输入动作集,AO为输出动作集,Aint
为内部动作集;(4)
Interface→是交互转换集合R-IMC为非输入使能.通常将((noninputs,a,s′)-enabled∈→记作a
);(5)s→M
s′,
彻S×>0×S是马尔可夫转换集合.通常将(s,λ,s′)∈→
M
记作sλ
M
s′.
根据以上定义,图3(a)中Interface-IMCP状态集为
S={S1,S2,S3,S4};初始状态为S1;动作集A中AI
={a},AO
={b},Aint
=矱;交互转换集→={(S2,a?,S3),(M
InterfaceS3,b!,-IMCS4)}的直观语义描述为系统在初始状态;马尔可夫转换集→={(S1,λ,S2)}.该λ的指数分布的随机转换S1经过一个停留时间服从参数为后转换到S2状态,然后接收动作a转换到S3状态,最后通过输出动作3畅2 Interface-IMCb转换到的并行组合
S4状态.
构件化系统往往由多个子构件组成,并行组合操作使得可以使用子构件的本地行为模型构建整个系统
的全局行为模型[8]
.下面给出Interface-IMC的并行组合
定义.
定义2 可组合.当两个接口交互马尔可夫链P和
描述且同时描述功能和概率特性,使用Interface-IMC可对其进行精确语义描述.SEFT中含有两种转换边:一种是时序转换边;一种是因果转换边.对于时序转换边,其描述的是构件内部状态转换关系,可以使用Interface-IMC中的交互转换对其进行表示.对于概率延时的时序转换边,由于表达系统经过一个指数时间的概率延迟转换到下一状态,可使用Interface-IMC中的马尔可夫转换进行表示.对于表示构件之间事件触发关系的因果转换边,存在触发事件与被触发事件之间的关系.而在Interface-IMC中存在输入/输出动作的同步关系,所以能Q满足AOP∩AOQ=AIP∩AIQ=AintP∩AQ=AP∩Aint
Q=矱时,则sharedP(和PQ,Q可)=组(A合.同时记P和Q的共享动作集
OP∩AIQ)∪(AIP∩AO
Q).
Interface 定义3 Interface-IMC的并行组合.P和Q为两个P‖Q为-IMC(SP,×如S果QP0和Q0可以组合,I则组合的O
结果
int
,(SP,SQ),((P‖Q),(P‖Q),(P‖Q)),→
P‖Q
,→PM
‖Q)其中:
瞯(P‖Q)I=(AI
P∪AI
Q)\(AO
P∪AQO
);瞯(P‖Q)O
=(AO
P∪AO
Q)\(AI
P∪AQI
)瞯(P‖Q)int
=Aint
P∪Aint
;
Q∪((AI
P∪AIQ)∩(APO∪AQO
));瞯→
P‖Q
={(s,ta
‖Q
(ss
a
P
sZa∈AP\AQ}
∪{(s,ta
′,t)|P‖Q
(s,tta∈AQ\AP}∪{(s,t)
a
′)|t
a
′∧P‖Q
(s′,t′)|s
a
P
s′∧t
a
′∧t′∧a∈AQ∩AP};
瞯→Ms′,t)|s
λ
M
P‖Q={(s,
tλ
M
(Ps′}∪{(s,
tλ
M
(s,t′)|tλ
M
t
′}.根据以上并行组合规则,图3中的P和Q并行组合结果为P‖Q,如图3(c)所示.
在Interface-IMC并行组合的过程中可能会出现这样一种情况:在某一个组合状态上的一个Interface-IMC相对于另一个Interface-IMC有输出动作时,后者并没有
相应的输入动作作为接收[8]
,这类组合状态称之为非法状态.在组合的过程中,需要去掉组合状态集中的非法状态.此外,在Interface-IMC并行组合的过程中可能会出现状态空间爆炸的情况.此时,可以采用状态约简技术化简所生成的状态空间.
4 状态事件故障树(SEFT)的语义描述
对SEFT进行形式语义描述[9]
是对其进行分析的基础.本节使用上节中所建立的接口交互马尔可夫链(Interface-IMC)对SEFT的构件与逻辑门语义进行精确描述4畅1 .
SEFT构件的语义
由于SEFT构件的内部行为使用有限状态机进行
够使用输入/输出动作的同步对因果转换边进行描述.
综上,采用Interface-IMC来描述SEFT构件语义的原则如下:
(1)使用Interface-IMC状态描述SEFT构件的状态.(2)使用Interface-IMC动作描述SEFT构件的事件.(3)使用Interface-IMC中的交互转换对SEFT构件内部时序边语义进行描述.
(4)使用Interface-IMC之间输出与输入动作发送与接收的同步对因果边语义进行描述.
4SEFT(畅2 状态和事件端口的语义进行描述5)使用Interface-IMC中消息的输入输出类型对SEFT逻辑门的语义
.
下面使用Interface-IMC对SEFT逻辑门进行精确的语义描述.其中,每一种逻辑门的语义(记为[…]ELT)是一个函数face-IMC图4(模型,以若干动作作为输入,输出为相应的Inter-a)给出了两输入.
AND门(AND,2)的语义,即
函数[(AND,2)]ELT:A3
→Interface-IMC,以AND门的输出和两个输入信号作为参数.当AND门接收到两个输入信号时才会被触发.
图4(b)给出了两输入OR门(OR,2)的语义,即函
第 8 期
3
徐丙凤:一种状态事件故障树的定量分析方法1483
数[(OR,2)]ELT:A→Interface-IMC,以OR门的输出和
两个输入信号为参数.当OR门接收到其中一个输入信号时OR门被触发.
图4(c)中给出了两输入PAND门(PAND,2)的语
3
义,即函数[(PAND,2)]ELT:A→Interface-IMC,以PAND门的输出和两个输入作为参数.当PAND门接收到以从左到右的顺序发生的两个输入信号时被触发.
图4(d)给出了2/3VOTING门(VOTING,3,2)的语
4
义,即函数[(VOTING,3,2)]ELT:A→Interface-IMC,以VOTING门的输出和三个输入信号为参数.当VOTINGOOIIintint
AOAintR=(AP∪AQ)\(AP∪AQ);R=AP∪AQ∪sharedaction;
s0R=(s0P,s0Q);SR←SR∪S0R;
unprocessed-SR←SR,saveunprocessedelementofSR;
temp←s0R,saveapairofelements,whichrespectivelyrepresentsstateof repeat
Interface-IMCPandQ;
pickoneunprocessedelementtempfromSR;
srepresentsthefirstelementoftemp,trepresentsthesecondelementoftemp; ifs
λ
MP
s′thenadd(s′,t)toSRand(s,tRiftheydonotexist
λ
λ
M
(s′,t)in→
M
of
λ
M
M
门接收到三个输入信号中的两个时VOTING门被触发.
5 SEFT的定量分析
本节介绍SEFT的定量分析方法.这里,SEFT模型
应为“合法模型”(判断SEFT是否合法的具体步骤见文献[5]).对SEFT的逻辑门与构件都采用Interface-IMC进行了精确的语义描述之后SEFT,可通过并行组合得到到的模型进行定量分析的完整语义模型,再利用概率分析工具对最终得.以下对Interface-IMC并行组合以及5畅1 MRMCInterface定量计算进行详细介绍-IMC并行组合
.
如前文所述,在进行Interface-IMC的并行组合过程中,可能存在两个构件接口之间交互不同步所形成的非法状态,在进行并行组合的过程中需要去掉这些非法状态face.本文并行组合算法思想为:状态-IMC.然后根据定义的初始状态3,构造组合后首先组合两个Inter-的并行组合规则组合生成下一状Interface-IMC的初始态,在这里交替处理马尔可夫转换和动作转换,并在组合状态生成之后判断是否属于非法状态,若属于则去掉状态及相应转换IMCR.该算法的时间复杂度为P和Q,通过并行组合得到,如算法1所示,给定两个Interface-O(mP×和n)Q,其中的并行组合结果m和n分别是P和Q的状态数.
在进行多个Interface-IMC的并行组合过程中,可能会出现状态空间爆炸的问题.为解决该问题,可进一步采用弱互模拟技术对组合结果Interface-IMC进行等价状态合并,得到一个与原Interface-IMC弱互摸拟的模型,然后再与其余的Interface-IMC进行并行组合.
算法1 ComputingparallelcompositionoftwoInterface-IMCsInput:P=(SP,s0P,AP,→,→
M
)andQ=(SQ,s0Q,
AQ,→,→M
).
Output:ParallelcompositionresultR=P‖Q.Function:ParallelcomposingtwoInterface-IMCs
ifAOP∩AOQ=AintP∩AQ=AP∩AintQ=AIP∩AIQ=矱
thenbegin
sharedaction=AP∩AQ;AIR=(AIP∪AIQ)\(AOP∪AOQ);
ift
t′thenadd(s,
t′)toSRand(s,t(s,t′)in→
M
tempisnotillegaliftheystatedonotexist
ofR
if thenbegin ifs
a
P
s′∧a∈AP\AQthenadd(s′,t)toSRa
and(s,t)
P‖Q(s′
,t)to→ofR
ift
a
t′∧a∈AQ\APthenadd(s,t′)toSRa
and(s,t)
‖Q(s
,t′)to→ofR
ifs
a
P
s′∧t
a
t′∧a∈AQ∩APthenadd(s′,t′)toSR
a
P‖Q(s′
→ofR
endand(s,t,t′)to elsebegin
removetransitiontotempfrom→ofR; iftempdoesnotappearin→M
end
ofRthenremovetempfromSR
updateunprocessed-SR; untilunprocessed-SR=矱 endreturnRelsereturnfalse
5畅2 SEFT的概率特性计算
对SEFT的定量分析即计算顶层事件发生的概率特性SEFT.在采用Interface-IMC描述SEFT的语义模型之后,作,而的顶层事件在构件中输出动作的发生通常认为没有时间延迟Interface-IMC中表示为一个输出动.因此,计算SEFT顶层事件发生的概率就等同于计算在给定时间区间内,从SEFT的形式语义模型的初始状态到达该输出动作的出发状态的概率是否在可接受的范围内.
从SEFT构件和逻辑门的形式语义模型的并行组合过程中可以看出,除了描述SEFT顶层事件的输出动作未形成内部动作,其他所有的输入输出动作都经过同步成为内部动作.因此在最终用于定量计算的SEFT语义模型中,只有表示顶层事件语义的一个输出动作.注意到该输出动作的出发状态即为分析的目标状态,
1484 电 子 学 报2013年
因而在分析模型中并不需要包含表示顶层事件语义的输出动作.此时从初始状态到目标状态之间所有的转换都为马尔可夫转换.因此,最后分析的模型实际上是一个不包含交互动作的连续时间马尔可夫链(Continu-
[10]
ousTimeMarkovChain,CTMC)模型.
[11]
本文利用MRMC对所得到的CTMC模型进行特定时间区间内从初始状态到目标状态的概率计算.具体包括:采用组合结果的初始状态作为进行分析的初始状态;根据SEFT中顶层事件所对应的输出动作确定在SEFT的语义模型中该输出动作的出发状态,作为目执行,无需人工参与手动修改.
6 实例研究
本节针对图2中给出的飞机起落架收放系统的
SEFT,利用文章所提出的方法对其进行定量分析.为表述清晰,根据本文方法的处理流程给出完整的执行过程描述.
首先对于图2中的SEFT采用Interface-IMC给出其精确语义.该SEFT中一共包含3个构件与2个逻辑门,利用Interface-IMC精确描述3个构件与2个逻辑门的语标状态;给定需要分析的时间区间以及概率范围;编写符合MRMCMRMC示在给定的时间内得到概率计算的结果输入文件规范的,顶层事件发生的概率是否在可接.在CTMCSEFT模中该概率特性表型文件,使用受的范围内.该定量计算结果可以为评估系统安全性提供参考.
综上所述,图5中给出了本文所提出的SEFT定量分析方法的具体处理流程.首先得到状态事件故障树的XML形式的模型文件,通过解析模型文件,提取建立各构件和逻辑门的Interface-IMC模型所需要的信息.然后,对各构件的Interface-IMC模型进行并行组合以及状态约简terface,得到最终的SEFT语义模型.在得到SEFT的In-具对其进行计算-IMC语义模型之后,得到计算结果,调用已有的概率模型分析工,即SEFT中顶层事件的概率特性.可以看出,在该处理流程中,得到SEFT模型的XML文件之后,整个过程可以完全通过程序自动
义如图6所示.论文根据SEFT中的构件与逻辑门的层次从下到上对得到的Interface-IMC进行编号.可以看出,对该SEFT的顶层事件发生概率的计算对应到其形式语义模型中即计算C5中S3状态的概率特性.在得到SEFT中各个元素的Interface-IMC形式语义模型之后SEFT,通(((C的完过对这些整语义Interface‖C模型-.IMCs本实进行并行组合操作得到例设定的组合顺序为:2‖C1)4)‖C5)‖C3,每进行一步组合利用弱互模拟操作对组合之后的Interface-IMC进行约简,将约简的结果再进行下一次组合,以此类推,形成最终组合结果.整个并行组合以及约简过程如图7所示.由于在该实例中,f5!是顶层逻辑门的输出,计算SEFT的顶层事件概率即计算图7(8)中S3状态的概率特性.下面采用MRMC对图7(8)
进行定量计算.
IMC参数是在给定的时间区间内目标状态发生的概率是否语义模型中目标状态发生的概率SEFT中顶层事件发生的概率即SEFT,可以得到的概率的Interface-在预期的范围内.例如:图7(8)中λ和μ的取值分别为0畅02和0畅01.分析在[0,10000]时间区间内,从初始状态到达目标状态的概率是否小于0畅0001.利用MRMC分析的结果如图tra单位内中的1,从初始状态状态为符合要求的状态8所示.由图8中的结果可以看出1到达目标状态.即在[04的概率小于,10000],时间algs.0畅0001.因此,对应到SEFT中,即在[0,10000]时间区间内,顶层事件发生的概率小于0畅0001.其物理含义为起
因而在分析模型中并不需要包含表示顶层事件语义的输出动作.此时从初始状态到目标状态之间所有的转换都为马尔可夫转换.因此,最后分析的模型实际上是一个不包含交互动作的连续时间马尔可夫链(Continu-
[10]
ousTimeMarkovChain,CTMC)模型.
[11]
本文利用MRMC对所得到的CTMC模型进行特定时间区间内从初始状态到目标状态的概率计算.具体包括:采用组合结果的初始状态作为进行分析的初始状态;根据SEFT中顶层事件所对应的输出动作确定在SEFT的语义模型中该输出动作的出发状态,作为目执行,无需人工参与手动修改.
6 实例研究
本节针对图2中给出的飞机起落架收放系统的
SEFT,利用文章所提出的方法对其进行定量分析.为表述清晰,根据本文方法的处理流程给出完整的执行过程描述.
首先对于图2中的SEFT采用Interface-IMC给出其精确语义.该SEFT中一共包含3个构件与2个逻辑门,利用Interface-IMC精确描述3个构件与2个逻辑门的语标状态;给定需要分析的时间区间以及概率范围;编写符合MRMCMRMC示在给定的时间内得到概率计算的结果输入文件规范的,顶层事件发生的概率是否在可接.在CTMCSEFT模中该概率特性表型文件,使用受的范围内.该定量计算结果可以为评估系统安全性提供参考.
综上所述,图5中给出了本文所提出的SEFT定量分析方法的具体处理流程.首先得到状态事件故障树的XML形式的模型文件,通过解析模型文件,提取建立各构件和逻辑门的Interface-IMC模型所需要的信息.然后,对各构件的Interface-IMC模型进行并行组合以及状态约简terface,得到最终的SEFT语义模型.在得到SEFT的In-具对其进行计算-IMC语义模型之后,得到计算结果,调用已有的概率模型分析工,即SEFT中顶层事件的概率特性.可以看出,在该处理流程中,得到SEFT模型的XML文件之后,整个过程可以完全通过程序自动
义如图6所示.论文根据SEFT中的构件与逻辑门的层次从下到上对得到的Interface-IMC进行编号.可以看出,对该SEFT的顶层事件发生概率的计算对应到其形式语义模型中即计算C5中S3状态的概率特性.在得到SEFT中各个元素的Interface-IMC形式语义模型之后SEFT,通(((C的完过对这些整语义Interface‖C模型-.IMCs本实进行并行组合操作得到例设定的组合顺序为:2‖C1)4)‖C5)‖C3,每进行一步组合利用弱互模拟操作对组合之后的Interface-IMC进行约简,将约简的结果再进行下一次组合,以此类推,形成最终组合结果.整个并行组合以及约简过程如图7所示.由于在该实例中,f5!是顶层逻辑门的输出,计算SEFT的顶层事件概率即计算图7(8)中S3状态的概率特性.下面采用MRMC对图7(8)
进行定量计算.
IMC参数是在给定的时间区间内目标状态发生的概率是否语义模型中目标状态发生的概率SEFT中顶层事件发生的概率即SEFT,可以得到的概率的Interface-在预期的范围内.例如:图7(8)中λ和μ的取值分别为0畅02和0畅01.分析在[0,10000]时间区间内,从初始状态到达目标状态的概率是否小于0畅0001.利用MRMC分析的结果如图tra单位内中的1,从初始状态状态为符合要求的状态8所示.由图8中的结果可以看出1到达目标状态.即在[04的概率小于,10000],时间algs.0畅0001.因此,对应到SEFT中,即在[0,10000]时间区间内,顶层事件发生的概率小于0畅0001.其物理含义为起
状态事件故障树(State/EventFaultTree,SEFT)将传统故
障树中的元素与基于状态的模型元素结合起来,同时描述构件化系统的行为模型和失效因果链.
在定量分析方面,由于FT、DFT以及SEFT都缺乏形式语义,难以直接对它们进行定量分析,通常采用具
[12,13]
精确描述其语义再进行有精确语义的形式化模型
分析.如:文献[3]基于BDD分析FT的概率特征;文献[14]基于马尔可夫链分析DFT的概率特征.而对于SEFT的定量分析文献[5]采用PetriNet对其进行定量分析,在对SEFT中的构件和逻辑门进行语义描述之落架收放系统不发生“起落架放不下来”失效的概率高于99畅99%,该参数可以为评估该系统的安全性提供参
考.
7 相关工作
对嵌入式软件进行安全性分析是软件开发过程中
的重要步骤.故障树(FaultTree,FT)[3]
是当前工业界安全性分析过程中应用最广泛的技术,但由于故障树在动态系统以及构件化系统方面的表达能力不足,已存在一系列基于故障树的安全性建模分析技术,包括:动态故障树(DynamicFaultTree,DFT)[4]、构件故障树
(ComponentFaultTree,CFT)[5]
等.但以上方法仍缺乏描述构件化系统中建模事件顺序以及状态依赖的能力.
后,仍需对所得到的PetriNet构件进行手动修改并且手动合并生成完整SEFT语义模型,整个过程难以自动有效地进行.与已有的工作相比,本文根据SEFT的特点设计接口交互马尔可夫链对其语义进行描述并设计相应的定量分析方法对其进行定量分析,且整个过程可由程序自动完成,无需人工参与手动修改与合并.
8 总结
本文针对状态事件故障树的定量分析提出了一种新的解决方法.首先通过对交互马尔可夫链的交互动作进行精化,提出了接口交互马尔可夫链模型;其次采用接口交互马尔可夫链对SEFT构件与逻辑门的语义进行精确描述,并通过并行组合得到整个SEFT的语义模型;再利用概率模型分析工具MRMC对SEFT的语义模型进行定量分析,完成对SEFT顶层事件在给定时间内发生的概率进行分析;最终以一个系统实例讨论该方法的可行性.
参考文献
[1]陈火旺,王戟,董威.高可信软件工程技术[J].电子学报,
2003,31(12A):1933-1938.ChenHuo-wang,WangJi,DongWei.Highconfidencesoftwareengineeringtechnologies[J].ActaElectronicaSinica,2003,31(12A):1933-1938.(inChinese)[2]MahmoodS,LaiR,SooKimY,etal.Asurveyofcomponent
basedsystemqualityassuranceandassessment[J].InformationandSoftwareTechnology,2005,47(10):693-707.[3]ReayKA,AndrewsJD.Afaulttreeanalysisstrategyusingbi-
narydecisiondiagrams[J].ReliabilityEngineering&SystemSafety,2002,78(1):45-56.[4]ˇCepinM,MavkoB.Adynamicfaulttree[J].ReliabilityEngi-neering&SystemSafety,2002,75(1):83-91.[5]KaiserB.StateEventtrees:Asafetyandreliabiityanalysis
techniqureforsoftwarecontrolledsystems[D].Kaiser-slautern:Universit惫tKaiserslautern,2007.[6]BryantRE.Graph-basedalgorithmsforBooleanfunctionma-
nipulation[J].IEEETransactionsonComputers,1986,100
(8):677-691.[7]HersmansH.InteractiveMarkovChains[M].Berlin:Springer-
Verlag,2002.57-88.[8]DeAlfaroL,HenzingerTA.Interfaceautomata[A].Proceed-
ingsoftheJoint8thEuropeanSoftwareEngineeringConferenceand9thACMSIGSOFTInternationalSymposiumontheFoun-dationsofSoftwareEngineering(ESEC/FSE01)[C].NewYork:ACMPress,2001,109-120.[9]周颖,郑国梁,李宣东.面向模型检验的UML状态机语义
[J].JournalofComputerResearchandDevelopment,2008,45(10):1638-1645.(inChinese)[14]BoudaliH,CrouzenP,StoelingaM.Arigorous,composition-
al,andextensibleframeworkfordynamicfaulttreeanalysis[J].IEEETransactionsonDependableandSecureComput-ing,2010,7(2):128-143
.作者简介
徐丙凤 女,1986年生于安徽安庆市.现为[J].电子学报,2003,31(12A):2091-2095.ZhouYing,ZhengGuo-liang,LiXuan-dong.Anoperationalse-manticsforUMLstatemachinesinmodelcheckingcontext[J].ActaElectronicaSinica,2003,31(12A):2091-2095.(inChinese)[10]BaierC,HaverkortB,HermannsH,etal.Model-checkingal-
gorithmsforcontinuous-timeMarkovchains[J].IEEETrans-actionsonSoftwareEngineering,2003,29(6):524-541.[11]KatoenJP,KhattriM,ZapreevtI.AMarkovrewardmodel
checker[A].ProceedingsoftheSecondInternationalConfer-enceontheQuantitativeEvaluationofSystems(QEST’05)[C].Torino:IEEEComputerSociety,2005.243-244.[12]张广泉,戎玫,朱雪阳,何亚丽,石慧娟.基于XYZ/ADL
的Web服务组合描述与验证[J].电子学报,2011,39(3A):86-93.
ZhangGuang-quan,RongMei,ZhuXue-ya,HeYa-li,ShiHui-juan.Specificationandverificationofwebservicecompo-sitionbasedonXYZ/ADL[J].ActaElectronicaSinica,2011,39(3A):86-93.(inChinese)[13]张君华,黄志球,曹子宁.模型检测基于概率时间自动机
的反例产生研究[J].计算机研究与发展,2008,45(10):1638-1645.ZhangJun-hua,HuangZhi-qiu,CaoZi-ning.Counterexamplegenerationforprobabilistictimedautomatamodelchecking
南京航空航天大学计算机科学与技术学院在读博士生.研究方向为软件工程,软件安全性分析与验证.
E-mail:xubingfeng@nuaa.edu
.
cn黄志球 男,1965年生于江苏南京人.在国防科学技术大学获工学学士和工学硕士学位,现为南京航空航天大学教授,博士生导师.主要研究方向为软件工程,服务计算,形式化方法,嵌入
式软件分析与验证.
胡 军(通信作者) 男,1973年生于湖北黄冈.南京大学计算机科学与技术系获计算机软件与理论博士学位,现为南京航空航天大学副教授,硕士生导师.主要研究方向为软件工程.软件分析与验证和嵌入式系统设计与分析.E-mail:hujun@nuaa.edu.cn
一种状态事件故障树的定量分析方法
作者:作者单位:
徐丙凤, 黄志球, 胡军, 魏欧, 肖芳雄, XU Bing-feng, HUANG Zhi-qiu, HU Jun,WEI Ou, XIAO Fang-xiong
徐丙凤,黄志球,魏欧,XU Bing-feng,HUANG Zhi-qiu,WEI Ou(南京航空航天大学计算机科学与技术学院,江苏南京,210016), 胡军,HU Jun(南京航空航天大学计算机科学与技术学院,江苏南京210016; 南京大学计算机软件新技术国家重点实验室,江苏南京 210093), 肖芳雄,XIAO Fang-xiong(南京航空航天大学计算机科学与技术学院,江苏南京210016; 广西财经学院信息与统计学院,广西南宁530003)电子学报
Acta Electronica Sinica2013(8)
刊名:英文刊名:年,卷(期):
参考文献(14条)
1.陈火旺,王戟,董威 高可信软件工程技术[期刊论文]-电子学报 2003(z1)
2.Sajjad Mahmood;Richard Lai;Yong Soo Kim;Ji Hong Kim;Seok Cheon Park;Hae Suk Oh A survey ofcomponent based system quality assurance and assessment[外文期刊] 2005(10)
3.Reay KA;Andrews JD A fault tree analysis strategy using bi-nary decision diagrams 2002(01)4.Marko Cepin;Borut Mavko A dynamic fault tree[外文期刊] 2002(1)
5.Kaiser B State Event trees:A safety and reliabiity analysis techniqure for software controlledsystems 2007
6.Bryant R E Graph-based algorithms for Boolean function ma-nipulation 1986(08)7.Hersmans H Interactive Markov Chains 20028.De Alfaro L;Henzinger T A Interface automata 2001
9.周颖,郑国梁,李宣东 面向模型检验的UML状态机语义[期刊论文]-电子学报 2003(z1)
10.Baier C;Haverkort B;Hermanns H Model-checking al-gorithms for continuous-time Markov chains2003(06)
11.Katoen JP;Khattri M;Zapreevt I A Markov reward model checker 2005
12.张广泉,戎玫,朱雪阳,何亚丽,石慧娟 基于XYZ/ADL的Web服务组合描述与验证[期刊论文]-电子学报 2011(z1)13.张君华,黄志球,曹子宁 模型检测基于概率时间自动机的反例产生研究[期刊论文]-计算机研究与发展 2008(10)14.Boudali H;Crouzen P;Stoelinga M A rigorous,composition-al,and extensible framework for dynamicfault tree analysis 2010(02)
引证文献(2条)
1.罗燕,刘庆华,谢跃雷 故障树分析法在列车数据展示中心的应用[期刊论文]-桂林电子科技大学学报 2014(02)2.崔铁军,马云东 空间故障树的径集域与割集域的定义与认识[期刊论文]-中国安全科学学报 2014(04)
引用本文格式:徐丙凤.黄志球.胡军.魏欧.肖芳雄.XU Bing-feng.HUANG Zhi-qiu.HU Jun.WEI Ou.XIAO Fang-xiong
一种状态事件故障树的定量分析方法[期刊论文]-电子学报 2013(8)