研究文章|开放获取
李郝,Changxiao赵,Lei盾,彭, ”安全评估的可重构基于STPA综合模块化航空电子设备”,国际航空航天工程杂志》上, 卷。2021年, 文章的ID8875872, 14 页面, 2021年。 https://doi.org/10.1155/2021/8875872
安全评估的可重构基于STPA综合模块化航空电子设备
文摘
重构技术,新设计的重要特征综合模块化航空电子系统(IMA),使失败的航空电子设备功能模块转移到剩余正常的模块,从而提高整个系统的鲁棒性。IMA重构的基本目标是确保安全飞行和正确执行任务。解决问题缺乏有效的管理机制的IMA系统开发和安全评估、安全分析方法基于邮票/ STPA和UPPAAL IMA重新配置。方法主要关注系统特点和多方交互。这种方法的基础上,进行了一些研究和分析。首先,邮票/ STPA原理研究和用于识别不安全的控制行为的重新配置过程。其次,IMA的正式模型重构开发利用UPPAAL。最后,正式的可访问性分析模型用于分析UCAs场景和相应的损失。之间的相互作用的方法使详细描述系统的组件和一个严格的数学分析,从而稀释人为因素的影响,同时保证信息的准确性和可靠性的安全约束。
1。介绍
综合航空电子设备,飞机制造业的三个标志性的技术之一,是“大脑”和“神经中枢”的飞机和一个至关重要的系统,以确保飞行安全。自1970年以来,航空电子技术的发展经历了三个阶段1]。在1970年代,联邦航空电子设备被广泛用于波音B737和空客A320。在联邦航空电子系统,每个子系统相对独立,不同子系统之间的信息交换。每个设备的外壳形成一个天然断层传播障碍,这样一个子系统的内部失败显然区别于其他子系统。航空电子设备日益增长的需求,一些弱点逐渐暴露,如低集成、昂贵的系统升级,容错不足,大量的闲置资源,维护困难。1980年代后,综合模块化航空电子设备(IMA)逐步发展和广泛应用于飞机如空客A380,波音B787,商用飞机。IMA系统是一个分布式实时共享的计算机网络组成的一套灵活、可重用和可互操作的硬件和软件。每个计算模块可以同时运行多个应用程序在不同的关键安全级别为多个飞机功能和单独的每个应用程序基于一个健壮的分区机制,确保功能独立(2]。IMA的核心概念是硬件共享,它可以有效地降低成本,重量,体积,和航空电子系统的能源消耗。目前,航空电子技术进一步发展走向一个新的IMA系统的分布综合模块化航空电子设备(迪玛)3]。IMA重新配置,下一代迪玛系统的重要技术,不仅有效地减少了硬件冗余,而且也大大增强了系统的灵活性和能力来应对不同的任务和资源失败(4,5]。IMA的安全要求的重新配置,以确保飞行安全非常重要和适当的任务执行。
在缺乏一个合适的管理机制适合IMA系统开发和安全评估,它借鉴传统联邦航空电子设备的管理机制。SAE ARP4754A,例如“民用航空器和系统开发指南”,描述了完整的生命周期流程的发展民用航空器系统,和ARP4761”指导方针和方法进行安全评估过程在民用航空系统和设备,”定义了飞机和系统级安全评估过程。ARP的主要方法是传统的安全分析方法,如故障树分析(FTA)和故障模式及影响分析(FMEA),其中大部分是基于事件链模型,将可靠性的安全问题。相信系统组件的可靠性可以确保系统安全。它发现的根源(组件失败),直接导致事故基于顶层事件。一方面,根本原因是预防,和相关的事故都是可以避免的。另一方面,事件传播期间添加的障碍减少失败的影响。传统的事件链模型过于简化了事故的因果关系和过程,和许多灾害都被忽视,如非线性系统组件之间的交互。系统理论模型着重于组件的约束,包括约束和组件。危害以来IMA系统产生主要是由于组件之间的交互,系统理论模型更合适的事件模型的IMA系统的安全分析。 However, there are few studies applying system theory to the safety analysis of IMA systems. In this paper, an STPA-based analysis method is put forward to apply system theory to IMA safety analysis. Moreover, the STPA method is combined with the formal model detection method based on Time Automata to dilute the effect of human factors.
2。文献综述
新的安全问题造成的飞机航空电子系统的集成已经吸引了广泛关注从航空、空间机构和学者从不同的国家。那里,泰利斯公司,思嘉和空客共同实施项目6),提出了一个替代航空电子系统。一直十分注重动态重新配置系统的安全,但是一个可行的安全评估理论尚未恢复。NASA兰利研究中心提出了一个解决方案,一个独立的决策模块添加到IMA系统监控的应用程序之间共享的独立航空电子资源(7];论文(8)提出了一个分析方法中断使用AADL模型相关性的影响。论文(9)反向重复序列的风险累积AFDX协议的传输;进行了分析,通过限制传输长度,减轻这一风险的方法。一些学者通过研究显示[10),传统的安全评价方法基于事件链模型只考虑不适用IMA组件失败,这是一个软件密集型系统。大量的潜在危险在IMA是由组件交互,而不是组件故障。
南希·莱韦森事故提出了系统理论模型和过程(邮票),系统可以被描述为分层控制的基于自适应反馈机制,和失败安全约束是事故的主要原因11]。系统理论过程分析(STPA)是一种基于邮票的风险分析方法。它可以应用在系统的生命周期的任何阶段,都有相同的目标和其他风险分析技术,如识别系统安全控制行为(UCAs)和分析每个控制组件的潜在危险,哪个更适合复杂系统。然而,它很大程度上依赖分析师和受完整的经验以及结果的客观性。
STPA已成功应用于多个安全的分析,要求系统在各个领域。自2000年代初以来,已经有23方法,37个方法,8工具,和大约176个案例研究应用程序,其中大多数是在和新兴领域的航空、医学、汽车、航天工业。工作的Khawaji et al。12),邮票的动态相关性属性被用来提供一种新的化学过程的安全分析方法。另一个类似的努力从Rejzek Hilbes [13)利用邮票理论提供新的支持关键系统和设备的安全分析核电站的安全运行。另外两个作品发表,邮票是用来对列车控制系统,执行功能安全分析及相关因素引发的风险进行了分析14),安全系统工程过程STAMP-based海事安全管理体系设计(15]。工作的Yousefi和罗德里格斯埃尔南德斯(16),STPA加工厂作为工业应用案例研究,和建议由STPA与HAZOP研究比较。
在民用航空,STPA [17)是用来模拟车轮制动系统和分析不安全控制系统的行为和原因。此外,开发一种新的STPA方法处理闭环操作连续控制系统,有效地用于分析收集的数据在侧风飞行测试活动(18]。施密德的工作等。19]扩展STPA驾驶员行为研究这些基因敲除事件在整个系统中,可能会碰到和防止危险驾驶行为引起的医疗无能力和homicidal-suicidal行为在不同级别的系统。虽然STPA方法已广泛用于大型复杂系统的风险分析在航空航天,很少用于IMA系统。弗莱明et al。20.)首先应用STPA IMA系统安全分析,关注应用程序交互和数据耦合造成的伤害。与此同时,王et al。21)使用STPA模型和分析IMA的通信安全要求分区。然而,这些分析没有提供安全分析的总体框架,而是专注于IMA的危险截面的互动。
正式的方法是有效的在稀释的影响,人为因素建模系统通过严格的语义和使用严格的数学方法来分析和验证系统的相关特征。因此,许多学者研究了STPA和正式的验证。太阳和中22认为STPA与技术相结合,将自然语言转换为自动机交通灯作为一个例子。Abdulkhaleq和瓦格纳23)提出了一个可扩展的邮票平台称为XSTAMPP作为特定的设计工具支持的广泛应用和使用STPA在各种领域,促进STPA应用不同的系统,很容易扩展以满足多样化的需求和特性。与此同时,Adbulkhaleq和瓦格纳(23]SAHRA提议,一个软件工具,集成STPA UML / SysML环境,软件工具进行了分类,并进行风险评估。Dakwat和同时24)提出了一个方法结合STPA和模型检查为了表示STPA发现的系统的威胁。这些研究提供了方法来验证在STPA安全控制行动,支持邮票形式化。
解决上述问题,我们分析了IMA系统通过结合STPA形式化和提供全面安全分析框架。
3所示。预赛
3.1。综合模块化航空电子设备
IMA由一组共享硬件和软件资源。其平台分为几个分区可以举办一个或多个功能。不同的分区隔离的虚拟系统边界空间或暂时。平台管理的所有资源提供通信、计算能力,为不同的功能和接口。这个架构限定IMA和高度可配置资源的能力,这表示,可以很容易地分配资源以满足不同需求的不同的功能和重新分配的任何函数的失败。所以,IMA分区机制的可靠性分析应该考虑IMA体系结构的容错。系统模型如图1。
IMA系统,不同的IMA系统功能配置不同类型的核心处理模块。如表所示1A380飞机分配的大多数功能7种类型的22 CPIOMs驻留函数的支持系统的需求。
|
||||||||||||||||||||||||||||||||||||
3.2。重新配置过程
动态重新配置功能的核心技术是新的IMA系统,这不仅降低了硬件冗余和意想不到的维护成本,而且还提高了资源利用率,增加系统的灵活性,提高了航空电子系统的反应能力不同的任务和资源的失败。此外,它可以提高飞机的可靠性操作,同时保持当前的安全水平。
ASAAC标准提出了一种新的架构IMA体系结构的重构特性,如图2。它包含一共有三层。应用程序层(AL)的顶层三层结构,用来执行各种飞机的功能。每个功能应用程序分解成多个并行处理单元。操作系统层(OSL)是中间层,主要负责管理在资源和为上层应用程序提供一个执行平台软件;它的主要组件包括通用系统管理(GSM)和操作系统(OS)。模块支持层(韩剧)包含所有底层硬件的细节,包括服务加载、沟通、时间和自测。ASAAC标准,重新配置行为的IMA系统由通用控制系统管理。重新配置时由于触发模块失败,通用系统管理获得配置信息从蓝图系统实现系统的重构。
在托管应用程序的起落架系统表1为例分析IMA重构过程中,有4个常见的功能模块(cfm) IMA由AFDX网络互联提供通用应用程序的处理能力。CFM可以支持一个或多个过程和独立运行它们。这个应用程序包含10过程,过程中有5个来源。P1和P2 CFM1上运行。P6 CFM2上运行,P4上运行CFM3, P10 CFM4上运行,如图3(一个)。IMA CFM2失败时,系统将分配任务运行在其他可用CFM模块失败。图3 (b)CFM2失败后显示正确的重新配置。
(一)
(b)
3.3。邮票/ STPA
Systems-Theoretic事故模型和过程,称为邮票,是一种新的基于系统理论和控制理论的因果模型。它假设造成的损失是安全约束未能得到有效实施和变化的焦点从防止故障实现安全约束系统安全。邮票的关键特性是邮票控制模型。它是一个系统模型,由反馈控制回路,其中包含至少5种元素:控制器,控制行动,反馈,其他的输入和输出系统/组件(控制和反馈),和控制流程,如图4。
系统理论过程分析(STPA)是一个基于印章的安全分析方法。它包括四个步骤:(我)第一步是定义分析的目的(2)第二步是建立一个模型系统的控制结构,捕捉功能关系和交互的建模系统的反馈控制循环。这种控制结构是基于邮票控制模型(3)第三步是分析控制结构的控制行动,检查他们如何可能导致的损失中定义的第一步(iv)第四步确定安全控制系统中可能发生的原因
4所示。IMA系统的安全评估
4.1。STPA-UPPAAL模型
STPA的优势是提供一个基于控制回路的系统模型和一个框架,用于识别和分析风险。STPA描述了通过分层控制结构系统基于一种自适应反馈机制,而不是事件链模型。它可以更好地描述的多方交互系统和非线性系统组件之间的交互,而不是盲目过度简化事故的因果关系和过程,以便更好地识别和分析风险。STPA非常适合复杂系统,特别是社会技术系统。而在处理复杂的航空电子系统,它将面临一些限制,如沉重的工作量和容易人为错误。解决这些问题,形式验证UPPAAL基于时间自动机介绍考虑到IMA系统是一个实时系统有严格的时间限制。UPPAAL可以为STPA提供一个正式的建模方法和自动分析,使分析的效率和精度,减少了工作量和人为因素对分析结果的影响。同时,STPA提供正式的建模和分析的建模和分析框架。结合上述两个弥补彼此的缺点,更适合复杂的航空电子系统。
UPPAAL是一个实时系统验证工具基于时间自动机理论由丹麦、瑞典乌普萨拉大学和Aalborg大学组成的一个编辑,一个模拟器,和一个验证器。时间自动机(TA)是一个有限状态机与时钟变量扩展,使用稠密时间模型的时钟变量计算为实数。所有的时钟同步的进步(25]。UPPAAL,几个这样的系统被建模为一个网络并行时间自动机。模型进一步扩展有限离散变量的状态。这些变量是用于编程语言:读,写,并受常见的算术运算。系统的状态被定义为位置的自动机,时钟约束和离散变量的值。每一个自动机可能触发一个边缘单独或与另一个自动机同步器,导致一个新的状态。UPPAAL不仅可以描述系统的连续时间特征也反映多方互动的特点。Backus-Naur形式(BNF)语法的可访问性分析模型,广泛应用于许多工业领域(26- - - - - -28]。
基于邮票的IMA重构的新方法和时间自动机,STPA-UPPAAL提议。结合这两个和转换方法的过程进行了研究,并给出详细的分析框架。如图5总共有4个步骤。为了阐明这个问题,提供了以下三个方面。
首先,可能的事故和系统级危害识别分析系统应用场景。然后,系统层次安全控制结构构造。控制结构捕获系统的功能关系和交互通过一组反馈控制循环。控制结构通常开始在更抽象的级别和迭代调整捕捉更多系统的细节。一旦安全控制结构构造,STPA用于识别的潜在UCAs系统和分类可能导致的损失和危害。
接下来,系统建模UPPAAL基于系统层次安全控制结构。UPPAAL模型主要包括以下元素:(我)模板。它代表了时间自动机模型,它是由几个地点,共有四种类型:最初的,传统的,紧急的,和承诺,后者两个位置没有时间延迟。(2)同步。它可以通过同步信息传输的通道。”!”是指发送和”?”意味着接受。(3)更新。它可以在位置传递给变量赋值。(iv)选择。它是用来约束整数变量的值范围。(v)警卫。它是一个条件触发的位置转移。(vi)时钟。它是用来约束位置和触发转移的时间。
STPA-UPPAAL建模规则如下:(1)创建和申报系统级UPPAAL模型(2)创建一个相应的模板根据STPA安全控制结构;每个组件对应于一个模板(3)根据组件的功能,创建相应的位置定义位置变量,处理功能,并声明它们(4)定义位置转换和边界通过使用同步,更新、选择、和警惕(5)确定每个组件的失效模式,宣布失效模式,注入到模型的时钟
建模后,潜在UCAs STPA转化为一个确定的BNF声明中,国家可以验证的可访问性分析的时间自动机网络模型。验证通过UCAs,需要一个详细的根源分析。
最后,一些适当的上下文是构造解释不正确的反馈,需求不足,设计错误,组件失败,等等,导致台湾以及如何遵守或执行所提供的安全控制不当可能导致危险。基于建立正式的规范,严格的算法是用来描述和验证系统的相关特性来确定系统是否满足所需的详细特征和找到UCAs的场景,从而稀释了人为因素对分析结果的影响。
接下来,把简单的IMA系统假定节3.2为例进行案例分析。以下假设是由接下来的分析:(1)飞机操作方法阶段,(2)默认应用程序的初始配置过程是正确的,和(3)重新配置场景CFM2 IMA失败,需要重新配置。
4.2。定义事故和危害
系统级事故,可能造成IMA重构方法中包括以下阶段:(我)(a - 1)人身伤害(2)(a)飞机损伤(3)(a - 3)地面设施的破坏
系统级的危害,可以获得基于系统级事故的定义和应用场景包括以下:(我)(h)飞机碰撞与障碍,相关事故:a - 1, a, a - 3(2)(2)飞机失控,相关事故:a - 1, a, a - 3(3)(H-3)冲出跑道,相关事故:a - 1 a
4.3。建模控制结构
安全控制结构有两层:控制器和控制的过程,通过控制命令和反馈信息交互。定义的安全托管应用程序的控制结构是基于IMA技术文档和STPA手册,如图6。
托管应用程序“起落架系统”,安全控制结构由IMA、液压线路,起落架和传感器。IMA的控制器。液压线路驱动器。起落架的控制过程。传感器的反馈。试点启动应用程序并发送操作命令IMA通过操作面板。应用程序启动后,IMA从其他系统和传感器收集数据,处理它,并将其发送给液压管路。然后,使用液压驱动起落架。同时,起落架上的传感器将实时监控其状态并返回IMA的数据。IMA还将把收集到的数据和处理数据的一部分主飞行显示器(PFD)试点的观点。
IMA的重新配置过程也可以subsafety所描述的控制结构。它包括4部分:应用程序层(AL),操作系统层(OSL),模块支持层(韩剧)和硬件。艾尔和OSL控制器;韩剧是致动器和反馈。硬件控制的过程。IMA的IMA subsafety控制结构显示在图的一部分6。
包括应用程序和应用程序管理(AM)。OSL包括通用系统管理(GSM)、操作系统(OS)和一个实时操作系统分区。应用程序启动后,操作系统分区分配给应用程序,执行统一管理。与此同时,从GSM系统将请求配置。GSM包括四个部分:健康监测(HM),故障管理(FM)、配置管理(CM),安全管理(SM)。
HM负责评估健康状况。其主要目的是过滤故障/错误和传递任何信息关于确认故障/错误的故障管理功能进一步诊断和纠正措施可以采取。基地、实验室和操作系统都有HM服务和可以与HM GMS的通信。调频负责识别、屏蔽、封闭和本地化的缺点,以防止全部或部分系统故障,并确保系统可以保持操作所需时间的缺点。CM负责建立最初的系统配置,任何后续重构由于试点模式变更请求或故障/错误处理,并最终系统的关闭。所有配置类型行为应当与RTBPs被包含的信息。SM是负责实现系统安全策略。
GMS接收请求后,CM配置信息返回给操作系统。操作系统配置相应的硬件处理模块的软件通过模块支持层根据接收到的配置信息。此外,硬件和软件将反馈的状态信息操作系统,操作系统将反馈收集HM的状态信息综合管理系统。HM调频认识到错误并发送信息。调频分析后,如果故障可以通过重新配置来解决,它将请求重新配置从CM, CM将重新配置信息来重新配置的操作系统。
4.4。识别不安全的控制作用
STPA分析期间,台湾是一个控制行动,在一个特定的上下文或最坏的情况下,会导致风险。控制动作可以在以下方面不安全:(我)不提供控制作用导致的风险(2)提供控制作用导致的风险(3)提供一个潜在的安全控制动作但太早,太晚,或在错误的订单(iv)的控制作用持续太长或过早停止
由于本文的重点是分析IMA的重新配置过程,UCA识别和随后的分析主要是基于IMA subsafety控制结构。
这里,场景“CFM2失败和IMA需要重新配置”为例,“IMA重构”被作为分析的控制动作识别UCAs IMA重新配置的安全。结果如表所示2。
|
||||||||||||||||||||||||||||||||
4.5。UPPAAL建模
对于UCAs被STPA,进一步验证来确定实际发生的危害是必不可少的在系统操作。严格的语义和严格的数学逻辑用于模型和分析系统,可以有效地降低人为因素的影响,降低系统开发成本。由于IMA的实时特性,正式建模tool-UPPAAL-is用于执行详细的建模。
基于IMA体系结构、系统功能和STPA安全控制结构、托管应用程序的时间自动机网络模型构造“起落架系统”。由于本文的重点是IMA重新配置的过程,只有时间自动机网络模型的IMA重新配置,如图7IMA的完成时间自动机网络模型的一部分。
IMA的时间自动机网络模型重构包括8 UPPAAL模板:铝、操作系统、GSM、韩剧,CFM1, CFM2, CFM3 CFM4, CFM的模型都是相同的。
IMA重新配置如下:在火星科学实验室的主要健康管理(HM)服务接收错误或错误报告,它基于当前配置过滤器故障和故障系统的滤波算法。一旦一个错误被证实,它将发送一个消息到操作系统的HM服务通知故障和诊断数据的信息。GSM的HM获取故障信息过滤和报告的错误GSM的故障管理(FM)。调频决定通过查询数据库的故障解决方案。如果有一个可行的解决故障,一个消息将被发送到GSM的配置管理(CM)请求改变当前的系统配置。在收到消息时,它进入RTBP,获得操作的列表,并实现它们。
完全的安全分析,系统的失效模式通过FMEA需要注入模型。UPPAAL可以使用时钟变量来区分的功能状态操作系统层和模块支持层。变量代表的最大时间限制组件操作。当时钟变量小于或等于 ,函数被认为是处于执行状态,它包含两种类型: ;当大于时钟变量 ,这个函数被认为是在一个未实行的状态: 。硬件层(CFM1-4)的状态检测功能包括以下三种类型: 。
为了保证分析的正确性,必须首先检查模型的有效性。测试内容包括两个方面:系统逻辑和时序。UPPAAL检查模型通过使用BNF语法(25]。描述如下:(我)E < > p意味着,如果一个国家在一个过渡序列满足 ,E < > p是正确的(2)[]p等于(E) < >(非p)。(3)E [] p意味着如果有一个过渡序列满足在所有国家,然后是真的(iv)< > p等于(v) ⟶意味着,如果是真的,那么也是如此
特定逻辑验证语句和时序验证语句表所示3。结果表明,所有属性都被满足。正式的模型是有效的,会议系统的作战需求。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
4.6。验证不安全的控制作用
状态的可访问性分析网络模型的时间自动机用于验证STPA发现的不安全的控制行为。BNF语句(即“E < >台湾”。,the presence or absence of a transfer path to make the unsafe control action occur) should be used to verify the presence of a UCA. If the statement “E<>UCA” is met, it means that the unsafe control actions will occur, and the corresponding safety will not be met. Table3显示了BNF验证语句UCA-1 UCA-4。的结果表明,该属性UCA-1 UCA-4是满意的自然的表4。
|
||||||||||||||||||||||||||||||||
4.7。识别和验证的损失情况
一旦控制不安全行为导致的危害已经被识别和确认,需要分析其发生的原因。基于反馈控制模型和通用类别为情景分析总结,一个场景分析框架,如图8。有四大类:(我)控制器不安全行为(2)反馈信息不足的原因(3)场景涉及控制路径(iv)场景控制相关的过程
每个人都可以根据系统架构进一步细化并被转换成相应的BNF声明。
在那之后,分析了UCA-2为例。(我)操作系统层,UCA-2有三个原因,不适当的控制算法、不安全的从其他控制器,控制输入和过程模型的不足。场景涉及操作系统层如下:(一)SCENARIO-01。操作系统接收故障反馈信息在一个特定的时刻,而事实上,CFM运行正常。(b)SCENARIO-02。操作系统错误地假定CFM2 CFM之外就没有别的失败和失败。(c)SCENARIO-03。GSM的控制算法是有缺陷的。(d)SCENARIO-04。GMS错误地假定CFM2 CFM之外就没有别的失败和失败。(e)SCENARIO-05。不安全的控制输入来自其他控制器。(2)模块支持层,控制动作的执行不当和不恰当的反馈将导致UCA-2的发生。一般来说,火星科学实验室场景涉及可能包括以下几点:(一)SCENARIO-06。重新配置操作系统发送的信息但韩剧反应不足。(b)SCENARIO-07。重新配置信息发送的不是韩剧,但实验室或其他元素反应,好像他们已经发送。(c)SCENARIO-08。CFM传感器不发送反馈信息,但收到的反馈信息或由实验室应用。(d)SCENARIO-09。CFM传感器工作正常,但是韩剧收到不正确的反馈信息。(3)硬件层,当CFM传感器反馈错误的状态信息,它将导致OSL执行一个不正确的重新配置。此外,即使CFM收到重新配置信息,它可能是无效或被其他控制器,从而导致UCA-2的发生。有关情况如下:(一)场景10。CFM传感器反馈错误的状态信息。(b)SCENARIO-11。重新配置CFM所收到的信息,但CFM使一个错误响应。
接下来,如表所示5,从上面的分析获得的场景转化成BNF UPPAAL和验证。从验证结果,发现不正确的传输或接收CFM状态信息和重新配置信息是UCA-2的主要原因。通常,这些问题是由于通信故障如传输错误、数据丢失和通信延迟。因此,有必要对它们进行分析和给予相应的安全约束。
|
|||||||||||||||||||||||||||||||||||||||||||||
5。安全约束分析
减少数据传输损耗,沟通源之间的分配过程上运行的和目标的过程上运行的进行了分析。源过程定期发送一条消息执行结束前,生成的消息之前,必须阅读目标的过程得到下一个处理时间片。在这里,是用来表示消息在虚拟链接。
在交流:有一些延迟(我)源延迟(SD)。传感器产生的消息必须首先存储在缓冲区内存。当源程序模块连接到传感器获得处理时间片,从缓冲存储器读取的消息。(2)源处理延迟(SPD)。所需的处理时间源的过程。(3)网络延迟(ND)。每个消息消耗一段时间的通信通道。这段时间被称为网络延迟。网络延迟和间隔(ND之间的假设最小值,ND马克斯),和最小值网络延迟是在最好的情况下和ND吗马克斯在最坏的情况下网络延迟。(iv)目的地延迟(DD)。当消息到达时,它可能需要一段时间的过程中获得的信息,才能阅读。之间的这段时期的到来,数据和采集数据的过程称为目标延迟。(v)目的地执行延迟(d)。所需的处理时间目的地的过程。
有两个原因的消息:(我)端到端通信延迟消费的信息大于刷新参数值射频,如图9(一个)(2)的消息覆盖的口信吗之前读到目的地的过程 ,如图9 (b)
(一)
(b)
为了减少信息的损失,有必要调整时期的使约束这两个场景中不发生损失。
约束:
证明:
为了满足channel-related刷新参数约束,延误的消息发送到被收购的过程不能超过 。在最坏的情况下,最大的网络延迟和目标延迟等于的 ,所以:
为防止被覆盖的 ,这段时间的必须减少,避免了吗同时收到两条消息。假设发送一条消息在时刻和 ,分别给:
如果收到这两个消息序列,需要满足:
因为这段时间的是固定的,不能改变,的最小值必须小于右侧为了使不平等总是正确的,因此:
最后,结合上面的两个约束条件中,最大的时期的定义如下:
6。结论
本文包括两个方面的贡献。论文的第一个贡献是提出STPA-UPPAAL的分析框架。它识别不安全的控制(UCAs)使用STPA IMA和UCAs使用UPPAAL国家验证的可访问性分析。拟议的框架结合了两种方法的优点。然后,框架应用于可重构IMA就是一个典型的复杂系统。主要的研究结论可以总结如下:(1)STPA和UPPAAL的结合过程和转换方法进行了研究,提出了STPA-UPPAAL和详细的分析框架来支持IMA的安全分析重构(2)以一个简单的IMA系统为例,进行了案例分析。STPA安全控制结构,建立了IMA的正式模型重构。潜在的场景被STPA UCA和潜在的原因。他们通过UPPAAL验证和验证。所确定的IMA危险的“数据传输损耗”成因进行了分析,和安全约束(3)结果显示STPA-UPPAAL复杂的航空电子系统的可行性。与传统方法相比,它描述了通过分层控制系统基于自适应反馈机制,使用自动化分析来提高分析的效率和精度,减少了工作量,和人类因素对分析结果的影响
数据可用性
使用的数据来支持本研究的发现可以从相应的作者。
的利益冲突
作者宣称没有利益冲突。
确认
这个项目得到了国家自然科学基金资助的中国民航联合研究基金的中国民用航空总局(U1933106)、航空科学基金(20185167017)和基础研究基金中央大学的中国民航大学(3122019167)。
引用
- 王h和w .妞妞,“回顾分布式综合模块化航空电子系统的关键技术,”国际期刊的无线信息网络,25卷,不。3、358 - 369年,2018页。视图:出版商的网站|谷歌学术搜索
- m . Garcia-Valls j . Dominguez-Poblete Touahria、和c,“集成的数据分布服务和分布式分区系统,”《系统架构卷。83年,23-31,2018页。视图:出版商的网站|谷歌学术搜索
- 赵c、p . Wang和f .严”可靠性分析的可重构综合模块化航空电子设备使用连续时间马尔可夫链,”国际航空航天工程杂志》上卷,2018篇文章ID 5213249、8页,2018。视图:出版商的网站|谷歌学术搜索
- 周x h . Xiong, f .他,“混合分区级和网络级调度设计分布式综合模块化航空电子系统,”中国航空杂志,33卷,不。1,第323 - 308页,2020。视图:出版商的网站|谷歌学术搜索
- t·r·汉s . Wang b . Liu赵,z你们,”一个新颖的基于模型的动态分析方法对于IMA故障恢复的状态相关,”IEEE访问》第六卷,第22107 - 22094页,2018年。视图:出版商的网站|谷歌学术搜索
- r . Fuchsen“IMA NextGen:斯佳丽的新技术项目,“IEEE航空航天和电子系统杂志,25卷,不。10、10到16,2010页。视图:出版商的网站|谷歌学术搜索
- g . Montano安全至上的系统的动态重配置:自动化和人工参与,纽约大学,2011。
- k·库什、美国南达和j . Jayanthi“架构级别安全分析安全至上的系统中,”国际航空航天工程杂志》上卷,2017篇文章ID 6143727、9页,2017。视图:出版商的网站|谷歌学术搜索
- m·李·g·朱、y Savaria和m .劳尔”可靠性增强AFDX网络、冗余管理”IEEE工业信息,13卷,不。5,2118 - 2129年,2017页。视图:出版商的网站|谷歌学术搜索
- 吴j . d .锁,j ., j .朱”填充IMA的差距通过safety-driven基于模型的系统工程开发和安全评估,”张仁2012 IEEE / 31日数字航空电子系统会议(DASC),p。6 c6-1,威廉斯堡,弗吉尼亚州,美国,2012年10月。视图:出版商的网站|谷歌学术搜索
- n g·莱韦森,工程提供一个更为安全的世界:系统思维应用到安全的地方,麻省理工学院出版社,2012年。视图:出版商的网站
- 中情局Khawaji,开发一个积极的风险管理系统的指标在化学加工工业美国马,麻省理工学院,2012。
- m . Rejzek和c . Hilbes STPA作为不同的优化和设计验证的分析方法在核电站数字化仪表和控制系统”核电工程和设计卷,331年,第135 - 125页,2018年。视图:出版商的网站|谷歌学术搜索
- y张和s .刘”STPA基于安全分析区域数据中心在CTCS-1列车控制系统中,”2018年IEEE国际会议的安全生产信息化(IICSPI)重庆,页240 - 245年,中国,2018年12月。视图:出版商的网站|谷歌学术搜索
- o·A·瓦尔迪兹班达和f . Goerlandt STAMP-based方法设计海事安全管理系统”安全科学卷,109年,第129 - 109页,2018年。视图:出版商的网站|谷歌学术搜索
- a . Yousefi和m·罗德里格斯埃尔南德斯”,使用一个基于系统理论方法(邮票)在流程工业危害分析,“流程工业的损失预防》杂志上卷,61年,第324 - 305页,2019年。视图:出版商的网站|谷歌学术搜索
- 郑l . j .胡,“安全分析基于邮票的车轮制动系统/ STPA,”香港学报/航空公司等宇航学报学报,38卷,不。1,第1339 - 1327页,2017。视图:谷歌学术搜索
- d . s . Castilho l . m . s .乌尔比纳和d·德安德拉德,“STPA连续控制:飞机的飞行试验研究侧风起飞,”安全科学卷,108年,第139 - 129页,2018年。视图:出版商的网站|谷歌学术搜索
- d·施密德m . Vollrath也指出,n·a·斯坦顿,“事故系统理论建模和过程(邮票)医疗试点淘汰赛事件:飞行员无能力和homicide-suicide,”安全科学卷。110年,58 - 71、2018页。视图:出版商的网站|谷歌学术搜索
- c·弗莱明和n . g .莱韦森,“提高综合模块化航空电子设备的危害分析和认证,“航空信息系统杂志》上11卷,第411 - 397页,2014年。视图:出版商的网站|谷歌学术搜索
- j·l . y . Wang Wang胡,y,“建模和分析基于STPA IMA分区间通信安全要求,”2017年第八届IEEE软件工程和服务科学国际会议(ICSESS),,第287 - 284页,北京,中国,2018年11月。视图:出版商的网站|谷歌学术搜索
- r .太阳和d中,“使用STPA思维帮助自然语言转换成有限自动机,”http://psas.scripts.mit.edu/home/wpcontent/uploads/2013/04/01_Sun_Zhong_Using_STPA_convert_natural_language_finite_automaton.pdf。视图:谷歌学术搜索
- a . Abdulkhaleq和s·瓦格纳XSTAMPP:一个可扩展的邮票平台作为安全工程的工具支持,”2015年邮票车间、麻省理工学院、波士顿,美国,2015年。视图:出版商的网站|谷歌学术搜索
- a . l . Dakwat大肠的同时,“系统安全评估基于STPA和模型检查,”安全科学卷,109年,第143 - 130页,2018年。视图:出版商的网站|谷歌学术搜索
- a·大卫·k·拉森,a . Legay m . Mikučionis d·保尔森,“Uppaal SMC教程,”国际期刊《技术转让的软件工具,17卷,不。4、397 - 415年,2015页。视图:出版商的网站|谷歌学术搜索
- l . Nigro和p . f . Sciammarella分布式实时演员系统统计模型检查”2017年IEEE / ACM 21分布式实时仿真和应用国际研讨会(DS-RT),页1 - 8,罗马,意大利,2017年1月。视图:出版商的网站|谷歌学术搜索
- y Lu和m .太阳”的建模和验证IEEE 802.11我在UPPAAL的物联网安全协议,“软件工程和知识工程的国际期刊28卷,第1636 - 1619页,2018年。视图:出版商的网站|谷歌学术搜索
- b .徐问:李、郭t和d·杜”正式建模和基于场景的方法来验证自动驾驶的安全属性”IEEE访问7卷,第140587 - 140566页,2019年。视图:出版商的网站|谷歌学术搜索
版权
版权©2021 Changxiao赵等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。