1.一種人機物融合系統的特定風險建模與分析方法，其特征在于，包括以下步驟：

步驟1：根據系統規格說明書，為HCPS系統建立AADL計算系統架構模型；

步驟2：根據HCPS中存在的特定風險，依據行為和特征分類分別建立人因模型和物理環境模型；

步驟2-1：將人因模型定義為一個七元組HM＝{A，IM，IP，OI，RP，II，ISQ}，其中A表示執行者集合，IM表示交互模式集合，IP表示交互接口集合，OI表示操作接口，RP表示角色權限集合，II表示交互意圖，ISQ表示交互序列集合，具體為：

步驟2-1-1：將與系統直接交互的單個個體定義為執行者，建立系統運行時的執行者集合A＝{a₁，a₂，...，a_i，...，a_n}，a_i表示第i個執行者；對每個執行者a_i定義角色類型，并在安全攸關嵌入式系統中賦予不同的操作權限；

步驟2-1-2：將系統運行過程中執行者與系統進行交互的訪問操作定義為交互模式集合IM＝{im₁，im₂，...，im_i，...，im_n}，im_i表示第i個交互模式，其中交互模式分為讀操作和寫操作；執行者通過執行交互模式與系統進行交互完成任務，交互模式im_i定義為同一時刻只由一個執行者來執行；

對每個交互模式定義屬性集，包括交互類型、交互名稱、標稱人為差錯概率、差錯誘發因子EPC、差錯誘發因子EPC的實際影響值APOA；

步驟2-1-3：將系統運行過程中提供給外部的接口定義為交互接口集合IP＝{ip₁，ip₂，...，ip_i，...ip_n}，ip_i表示第i個交互接口，執行者通過交互接口與系統進行交互；

步驟2-1-4：將交互接口與交互模式之間的關系定義為操作接口OI＝R_r∪R_w，其中R_r是寫操作與交互接口的關系，R_w是讀操作和交互接口的關系，

步驟2-1-5：根據HCPS系統運行規章，為角色類型建立角色權限集合RP＝{rp₁，rp₂，...rp_n}，在角色權限rp_i中定義該角色類型包含的執行操作接口；

步驟2-1-6：定義交互主體集合IS＝{is₁，is₂，...is_n}，每個交互主體is_i由有限的執行者組成is_i＝{a₁，a₂，...a_m}，將交互主體與操作接口之間的關系定義為系統中存在的交互意圖II＝{ii₁，ii₂，...，ii_i，...，ii_n}，ii_i表示第i個交互意圖；交互意圖表示系統運行過程中交互主體能夠通過執行操作接口完成的意圖；定義邏輯運算符“*”，運算符“*”代表其兩邊都是可選的返回值，則第i個交互意圖ii_i＝({a₁，a₂，...a_m}，oi_i)＝(a₁，oi_i)*(a₂，oi_i)*...*(a_m，oi_i)；

步驟2-1-7：定義交互序列集合ISQ＝{isq₁，isq₂，...，isq_i，...，isq_n}，交互序列isq_i定義為一個按照時間順序的交互意圖序列描述在系統運行過程中多個交互意圖ii_i執行的順序關系；

步驟2-2：將物理環境模型定義為一個七元組PM＝{BS，BS₀，PV，CV，CB，CD，T}，其中BS表示離散行為狀態集合，BS₀表示初始狀態集合，PV表示變量集合，CV表示時鐘變量集合，CB表示連續行為集合，CD表示變遷機制集合，T表示狀態變遷集合，具體為：

步驟2-2-1：物理環境模型中有限的離散行為狀態集合定義為BS＝{bs₁，bs₂，...bs_n}，表示物理環境模型中存在的不同的行為狀態；

步驟2-2-2：定義物理環境模型中的初始狀態集合表示物理構件在開始時的初始狀態；

步驟2-2-3：定義物理環境模型中存在的變量集合PV＝{pv₁，pv₂，...pv_n}，變量是離散變量或定義在實數集上的連續變量，通過變量來刻畫物理構件的運行狀態；

步驟2-2-4：定義物理環境模型中時鐘變量的集合CV＝{cv₁，cv₂，...cv_n}，時鐘變量是物理環境模型中的時鐘；

步驟2-2-5：將行為狀態上的連續行為定義為CB＝{cb₁，cb₂，...cb_n}，用以描述物理環境模型在狀態bs_i時，外界物理變量變化的情況；

步驟2-2-6：定義物理環境模型中存在的變遷機制集合CD＝{cd₁，cd₂，...cd_n}，用以描述物理構件行為狀態的動態變化過程，分為以下三個步驟：

1)定義物理環境模型中包括的觸發行為集合TB＝{tb₁，tb₂，...tb_n}，用來描述外界環境中物理變量的約束條件，當該約束條件不滿足時，物理構件所處的行為狀態會發生變化；

2)定義物理環境模型中包括的時鐘約束集合CS＝{cs₁，cs₂，...cs_n}；根據時鐘變量定義相應的時鐘約束cs_i，即時鐘和時間常量之間的比較；當物理環境模型接收到觸發行為t_i，且此時時鐘約束表達式cs_i為真時，行為狀態發生變遷，否則不能變遷；

3)定義物理環境模型中包括的時鐘重置集合CR＝{cr₁，cr₂，...cr_n}，當物理構件狀態變遷后，部分時鐘需要重新設置；

步驟2-2-7：根據行為狀態和變遷機制描述物理環境模型中包括的狀態變遷集合T＝{t₁，t₂，...t_n}，用以表示物理構件的目前動態行為信息；

步驟3：采用AADL定義特定風險模型語義，擴展出兩種語義：人為因素構件和物理環境構件；

步驟3-1：在人為因素構件中定義類型type和實現implementation，在類型type中定義features和執行者與計算系統交互的接口inport和outport，然后根據擴展的人因模型附錄定義接口的屬性信息，利用錯誤模型將接口聲明為錯誤傳播點；

步驟3-2：在物理環境構件定義類型type和實現implementation，在類型type中定義features，用來描述物理環境和計算系統之間的交互接口；在implementation中利用擴展的物理環境模型定義物理環境中的混成特性，同時利用錯誤模型描述物理環境模型中存在的風險事件；

步驟4：基于AADL核心語法為人因模型和物理環境模型擴展AADL附錄：

步驟4-1：定義人因模型附錄的語法規則，人因模型附錄包括附錄庫和附錄子句；在附錄庫中定義復用信息，包括執行者actor、角色類型role type和交互模式interactivemodes；在附錄子句中先聲明對附錄庫的引用，然后定義操作接口operation interface、角色權限role permission、交互意圖interaction intention和交互序列interactionsequence；

步驟4-2：定義物理環境模型附錄的語法規則，物理環境模型附錄包括附錄庫和附錄子句；在附錄庫中定義復用信息，包括行為狀態behavior state、物理變量physicalvariable和時鐘變量clock variable；在附錄子句中先聲明對附錄庫的引用，然后定義行為狀態上的連續行為continuous behavior、物理環境中的觸發機制trigger condition和行為狀態之間的變遷關系transitions；

步驟5：根據系統安全性需求為系統建立錯誤模型，具體為：

步驟5-1：根據執行者遵守的執行規章，建立人因模型的錯誤模型，其中錯誤事件的概率由交互模式的屬性集決定，錯誤事件發生概率由下面公式計算；

其中為每個EPC分配的權重值；APOA_i為每個EPC的影響程度，通過專家打分的方式確定每個EPC的實際影響值；NHEP為該領域內該類錯誤事件的標稱人為差錯概率；HEP為計算得到的人因失誤概率；

步驟5-2：根據HCPS系統運行標準中定義的使用限制，為物理環境模型建立相應的錯誤模型，其中錯誤事件的發生概率通過物理模型中的嚴酷度等級來定義，制定嚴酷度等級和發生概率之間的對應關系；

步驟5-3：在錯誤模型中通過定義錯誤傳播點error propagation point描述構件之間的風險傳播，從而將計算系統架構模型、人因模型和物理環境模型組合形成完整的特定風險分析模型；

步驟6：完成特定風險分析建模后，通過模型檢驗和模型轉換的方式完成特定風險分析，具體如下：

步驟6-1：模型檢驗為從特定風險分析模型中提取出特定的風險、失效狀態和操作要求，風險傳播路徑通過錯誤模型中定義的錯誤傳播機制來確定；

步驟6-2：根據AADL到DSPN的映射規則，將AADL特定風險分析模型轉換為DSPN模型，將錯誤模型中的錯誤狀態機轉換到DSPN模型中對應的庫所place、托肯token，遷移transition，然后通過調用Petri網工具TimeNet對轉換后的錯誤自動機自動化計算，得到系統構件處于失效狀態的發生概率，最終完成人機物融合系統的特定風險分析。