本發明公開了一種基于嵌入式系統軟件多視圖事故模型的評價分析方法，包括頂層事故發生過程模型和深層問題產生模型，頂層事故發生過程模型從軟件失效以及軟件與系統內其他組成之間的交互錯誤分析事故發生過程，述深層問題產生模型包括建立軟件層和系統層的開發視圖、組成視圖、邏輯視圖、環境視圖；軟件層從軟件失效的機理出發對引發事故的問題進行分析；系統層次從軟件和系統內其他組成之間發生交互錯誤的機理出發對引發事故的問題進行分析，本發明針對軟件失效事故和軟件交互事故，提出了分層次多視圖的描述方法，更加符合嵌入式系統的特點，從根本上闡述事故發生的原因，更詳細和充分地描述嵌入式系統軟件事故的過程和機理。

技術領域

本方法涉及嵌入式系統領域，特別是以嵌入式軟件作為控制系統、具有較高可靠性和安全性要求的領域。具體的說，涉及一種基于嵌入式系統軟件多視圖事故模型及其建模方法。

背景技術

嵌入式系統在先進工業領域，特別是航空航天領域已得到了廣泛的使用。嵌入式系統軟件在這些領域中充當著重要的控制作用，通常是系統內保證安全關鍵任務成功進行的重要組成部分。由于硬件資源有限、運行環境惡劣、時序邏輯嚴格、運行時間長、安全關鍵等級高等特點，嵌入式系統軟件一旦運行錯誤，就有可能引發事故，造成損失。

對于已發生的事故,可通過建立事故模型準確描述事故發生機理與過程，系統總結安全性設計與管理等方面的缺陷，形成針對性的設計準則或管理措施，以避免類似事故再次發生。

傳統事故模型主要以事故鏈為主，將事故描述為人的不安全行為和物的不安全狀態導致的事件鏈結果，如海因里希的多米諾骨牌原理、能量意外釋放理論以及FTA、ETA、FMEA等。除事件鏈模型以外，還有一類事故模型認為，系統對于危險具有多層防護，防護層可能存在漏洞，一旦危險通過這些防護層漏洞進行發展就會演變成事故，如同人感染流行病的過程，所以被稱為流行病學理論，比較典型的應屬瑞士奶酪模型。

現代事故模型主要從系統角度出發，把事故的發生看作系統內部單元及單元相互之間交互作用的結果，如STAMP、AcciMap、FRAM以及一些形式化工具和動態連續模型。就目前而言，不管是傳統的還是現代的事故模型，其關注點大多集中于科學技術系統，即工業生產領域安全事故。表1給出了現有的各類事故模型特點，及其在嵌入式領域應用。

表1各類事故模型特點及其在嵌入式領域應用比較

但傳統的事故模型并不適用于描述具有眾多交互的嵌入式系統軟件事故，而現代基于系統論的事故模型雖然能夠描述復雜系統的交互過程，但對于嵌入式系統軟件問題的具體機理的描述不夠全面和深入，同時對產生事故的系統以及事故發生原因缺乏有效的評價和分析。

發明內容

為解決以上技術問題，本發明公開了一種全面描述嵌入式系統軟件事故的事故模型和描述嵌入式系統的方法，并以事故模型和系統描述為基礎來對安全控制進行指導，提高系統的安全性。

本發明完整的技術方案包括：一種基于嵌入式系統軟件多視圖事故模型，其建模方法，以及利用該模型對嵌入式系統的事故發生原因進行評價分析的方法

其特征在于，包括：

所述的嵌入式系統軟件多視圖事故模型包括：

(1)頂層事故發生過程模型；

(2)深層問題產生模型；

所述頂層事故發生過程模型從嵌入式系統軟件失效，以及嵌入式軟件與系統內其他組成之間的交互錯誤兩方面分析事故發生的原因；嵌入式系統內的安全控制包括內部安全控制和實時危險控制，當軟件失效或交互錯誤造成內部安全控制失效時，系統進入危險狀態；如果實時危險控制發生失效，危險則蔓延形成事故；