安全关键系统

摘要： 在需求层级进行建模分析与验证是复杂安全关键软件开发过程中的核心关注点.本论文工作面向航空领域中典型安全关键软件的需求层级,提出了一种基于形式化模型检验技术的需求模型验证方法.首先分析了形式化需求模型(SCR)的建模工具(T-VEC)中所定义的递归结构形式的模型语法与语义,提出了一种对模型变量关系进行平展化的方法,将SCR表格关系模型转换为自动机状态迁移图,然后设计了从SCR模型到模型检验工具(nuXmv)的模型自动转换框架,并对模型转换规则给出了严格的定义证明;最后通过一个航空软件系统的需求实例展示了方法的有效性.

摘要： 随着安全关键系统的规模和复杂性不断增长,单一建模语言无法完全覆盖该类异构系统的建模要求.近年来,多范式建模方法逐渐成为表达复杂异构系统的有力手段,而安全性分析则是保证安全关键系统质量的重要步骤.本文提出一种面向安全关键系统的多范式建模及安全性分析方法.首先,使用SysML和AADL两种建模语言对安全关键系统进行多范式建模,SysML定义系统需求和逻辑架构,AADL则用于表达系统实现的物理架构、执行平台和应用软件运行时.其次,面向航空适航安全分析标准ARP4761的要求,对多范式模型进行安全性分析,即,为支持SysML系统定义层的安全性分析,提出安全性扩展附件SafetyProfile用于表达安全性信息,并将安全模型和SysML系统模型进行链接,自动生成功能危害评估报告和故障树;提出SysML系统模型和安全模型到AADL架构模型和错误附件模型的自动转换方法,并对AADL模型进行系统实现层的安全性分析.最后,设计实现了原型工具,并以航空领域的飞机空气增压系统(Airplane Air Compressor System)这一安全关键系统为案例,验证本文所提方法和工具的有效性.

摘要： 安全关键系统广泛应用于航空、航天、核能、交通等领域,对安全性有着很高的要求.保障需求可追踪性是安全关键系统开发过程中的基本要求,也是各项安全性分析的重要前提.致力于建立需求与设计制品间的纵向追踪关系,采用模型驱动的方法来实现追踪模型的自动生成并实现追踪信息的图形化表达.首先通过配置文件的机制对SysML模型进行扩展,使用该扩展的SysML模型对需求以及设计制品进行建模用于捕获追踪信息.接着设计了一个追踪元模型用于表达以及存储追踪信息可供后期安全性分析使用,并使用模型转换技术实现从扩展的SysML模型到追踪模型的自动化生成.最后通过襟缝翼控制系统的案例来说明该方法的有效性.

摘要： 在安全关键系统中,针对多核处理器共享硬件资源竞争带来的执行时间波动性问题,提出了基于性能计数器PMR和RSB的通用测试方法,通过捕捉执行时间波动性相关的硬件事件来分析硬件资源的共享性、执行时间的波动性和硬件平台的黑盒或灰盒行为.此方法可用于硬件平台的性能评估,也可用于应用任务的资源消耗评估,从而为WCET预测提供指导.

摘要： 安全关键系统是指系统功能一旦失效将引起生命、财产等重大损失以及环境可能遭到严重破坏的系统.航空电子系统就是一个典型的安全关键系统,最新航空电子系统的目标是综合模块化航空电子IMA系统.为保证IMA系统的安全可靠,必须做到系统运行可确定、故障可自愈、以及可以处理IMA综合化所带来的问题.该问题的解决方法是在系统设计阶段用"蓝图"来描述系统.针对国内航电系统的实际需求,设计并实现面向安全关键系统的蓝图,介绍华东计算技术研究所自主研发的高可靠实时嵌入式操作系统ReWorks653、开发平台ReDe653及其蓝图的实现.

摘要： 基于抢占门限的调度具有许多优点,比如减少上下文切换、降低内存空间的需求等.本文探讨了如何把抢占门限应用于具有优先级提升和内存受限的安全关键系统,主要贡献在于提出了相应的互不抢占分组的构造算法和每个任务最大抢占门限的计算算法.最后以一个实例说明了所提出算法的有效性.

摘要： 防危核是提高安全关键系统可信性的一种重要保障方案,防危策略的正确性直接决定了防危核技术的有效性.本文深入研究了防危核与防危策略分类的关系、强类防危策略的特性以及实现方法.从系统防危需求分析入手,提出了以形式化语言为桥梁,用数学证明来解决防危核与强防危策略之间一致性证明的方法,从而为防危核与强防危策略一致性问题的解决探索出一条新路子.并以十字路口的交通控制为例全过程的实现和验证了所提出的思想和算法及其正确性.

摘要： 本文首先回答了什么是形式方法的问题,对在安全-关键系统使用的形式方法作了概括介绍,并通过介绍应用形式方法的安全-关键系统的实例,论述使用形式方法的必要性.

摘要： 本文概述了安全传输系统在发达国家已达到的技术水平.包括产品的实用化、通信协议的标准化、设计和确认的形式化等.作者建议我国应该重视并尽快加强安全传输系统的产品开发、技术标准化和理论研究方面的工作.

摘要： 本文概述了安全传输系统在发达国家已达到的技术水平.包括产品的实用化、通信协议的标准化、设计和确认的形式化等.作者建议我国应该重视并尽快加强安全传输系统的产品开发、技术标准化和理论研究方面的工作.

摘要： 本文概述了安全传输系统在发达国家已达到的技术水平.包括产品的实用化、通信协议的标准化、设计和确认的形式化等.作者建议我国应该重视并尽快加强安全传输系统的产品开发、技术标准化和理论研究方面的工作.

摘要： 本文概述了安全传输系统在发达国家已达到的技术水平.包括产品的实用化、通信协议的标准化、设计和确认的形式化等.作者建议我国应该重视并尽快加强安全传输系统的产品开发、技术标准化和理论研究方面的工作.

摘要： 本文概述了安全传输系统在发达国家已达到的技术水平.包括产品的实用化、通信协议的标准化、设计和确认的形式化等.作者建议我国应该重视并尽快加强安全传输系统的产品开发、技术标准化和理论研究方面的工作.

摘要： 软件的大量应用使大型分布式控制系统面临严峻的安全考验,迫切需要新的防危技术.防危核(safety kernel)就是应运而生的一种防危新技术.本文从起源、原理、实现方案和优势等重要方面深入地分析了防危核,并在此基础上探讨把防危核现有实现方案直接移用于大型分布式控制系统存在的困难以及要解决这些困难还需进行的研究.

摘要： 本发明涉及一种控制系统，用于控制多个安全关键及非安全关键的进程和/或设备组件，所述控制系统优选模块化构架，该控制系统包括：至少一个第一控制单元（1），其设置用于控制非安全关键的进程和/或非安全关键的设备组件；至少一个输入/输出单元（11、21），其通过一条内部输入/输出总线（B2）与第一控制单元（1）连接；以及至少一个通讯联接器（5、6），其通过一条内部联接器总线（B1）与第一控制单元（1）连接和/或通过一条现场总线（FB）与其他的分散的单元（7、8）连接。在根据本发明的控制系统中设有至少一个第二控制单元（2），用于控制安全关键的进程和/或安全关键的设备组件。第二控制单元（2）为提供安全设置功能具有至少两个处理单元（22a、22b）以及一个第一双端口内存（DPR1），其中仅两个处理单元（22a、22b）中的一个处理单元与第一双端口内存（DPR1）连接，并且第二控制单元（2）通过第一双端口内存（DPR1）和内部联接器总线（B1）与第一控制单元（1）进行通讯，并且，第一控制单元（1）将数据从第二控制单元（2）经由内部联接器总线（B1）和另一个集成在通讯联接器（5）中的双端口内存（DPR2）传递至所述通讯联接器（5）。

摘要： 本发明涉及一种用于运行安全关键的系统的方法，所述系统具有至少一个第一数据装置(1)和至少一个参考数据装置(4)，所述第一数据装置具有已许可的安全相关的软件(2)，所述参考数据装置具有相同的已许可的安全相关的软件(2)。在所述方法中，在对系统进行类型检查之后给至少一个第一数据装置(1)配设至少一个非安全相关的附加软件(8，9，10)并且禁止至少一个参考数据装置(4)的软件修改。在输出安全技术方面的数据信息(D)之前，借助于比较装置(7)检查至少一个第一数据装置(1)的和至少一个参考数据装置(4)的输出信息(A1，Ar)的关于安全相关的软件(2)的一致性，以及在一致的情况下输出安全技术方面的数据信息(D)。

摘要： 本发明涉及具有故障安全状况监测的特别是用于控制安全关键和非安全关键过程或工厂组件的控制系统(100)。控制系统(100)包括：非安全控制器模块，所述非安全控制器模块配置成控制非安全关键过程；至少一个安全控制器模块，所述至少一个安全控制器模块配置成控制安全关键过程，并且执行安全通信；以及至少一个状况监测模块(105、220)，所述至少一个状况监测模块(105、220)用于执行故障安全状况监测，并且收集监测数据。非安全控制器模块(104、220)配置成从状况监测模块(105、220)来接收所收集监测数据，并且向安全控制器模块传递所收集监测数据；以及安全控制器模块配置成基于安全状况来评估监测数据。

摘要： 提供用于控制安全关键和非安全关键的过程和/或设备组件的控制系统（100、101）。它包括至少一个控制单元（1），该至少一个控制单元（1）被设计用于控制非安全关键的过程和/或非安全关键的设备组件；至少一个安全控制单元（2），该至少一个安全控制单元（2）用于控制安全关键的过程和/或安全关键的设备组件；至少一个输入/输出单元（11）、（21），所述至少一个输入/输出单元（11）、（21）经由内部输入/输出总线（B2）与第一控制单元（1）连接；其中，控制系统（100、101）被设计在经由现场总线（FB）连接的具有其他装置的连接器中充当通信主导装置或通信从属装置或者充当两者，并且为此包括：主导通信耦合器（5）和从属通信耦合器（6）。

摘要： 本发明涉及一种控制系统，用于控制多个安全关键及非安全关键的进程和/或设备组件，所述控制系统优选模块化构架，该控制系统包括：至少一个第一控制单元（1），其设置用于控制非安全关键的进程和/或非安全关键的设备组件；至少一个输入/输出单元（11、21），其通过一条内部输入/输出总线（B2）与第一控制单元（1）连接；以及至少一个通讯联接器（5、6），其通过一条内部联接器总线（B1）与第一控制单元（1）连接和/或通过一条现场总线（FB）与其他的分散的单元（7、8）连接。在根据本发明的控制系统中设有至少一个第二控制单元（2），用于控制安全关键的进程和/或安全关键的设备组件。第二控制单元（2）为提供安全设置功能具有至少两个处理单元（22a、22b）以及一个第一双端口内存（DPR1），其中仅两个处理单元（22a、22b）中的一个处理单元与第一双端口内存（DPR1）连接，并且第二控制单元（2）通过第一双端口内存（DPR1）和内部联接器总线（B1）与第一控制单元（1）进行通讯，并且，第一控制单元（1）将数据从第二控制单元（2）经由内部联接器总线（B1）和另一个集成在通讯联接器（5）中的双端口内存（DPR2）传递至所述通讯联接器（5）。

摘要： 本发明涉及一种用于运行安全关键的系统的方法，所述系统具有至少一个第一数据装置(1)和至少一个参考数据装置(4)，所述第一数据装置具有已许可的安全相关的软件(2)，所述参考数据装置具有相同的已许可的安全相关的软件(2)。在所述方法中，在对系统进行类型检查之后给至少一个第一数据装置(1)配设至少一个非安全相关的附加软件(8，9，10)并且禁止至少一个参考数据装置(4)的软件修改。在输出安全技术方面的数据信息(D)之前，借助于比较装置(7)检查至少一个第一数据装置(1)的和至少一个参考数据装置(4)的输出信息(A1，Ar)的关于安全相关的软件(2)的一致性，以及在一致的情况下输出安全技术方面的数据信息(D)。

摘要： 本实用新型涉及一种控制系统，用于控制多个安全关键及非安全关键的进程和/或设备组件，该控制系统包括：第一控制单元(1)；输入/输出单元；以及通讯联接器(5、6)，在控制系统中设有至少一个第二控制单元(2)，第二控制单元(2)具有至少两个处理器(22a、22b)以及一个第一双端口内存(DPR1)，其中仅两个处理器(22a、22b)中的一个处理器与第一双端口内存(DPR1)连接，并且第二控制单元(2)通过第一双端口内存(DPR1)和内部联接器总线(B1)通过第一控制单元(1)与另一个集成在通讯联接器(5)中的双端口内存(DPR2)进行通讯。

摘要： 本发明涉及一种用于在安全关键系统（SCS）内提供子系统的安全操作的方法，其中，SCS的故障子系统将故障信号发送到SCS的其他子系统，该故障信号包括对于故障子系统唯一的一次性密码密钥，该密码密钥然后由其他子系统解密，并且在密码密钥有效时发起集体安全管理。本发明特别地涉及交通控制系统、自主驾驶系统或汽车驾驶员辅助系统。然而，本概念不限于这些应用，并且也可以应用于各种其他应用。本发明的解决方案有利地将集体地对紧急情形做出反应的子系统的像群体的行为与一次性密码认证和/或授权过程进行组合，从而防止由同一犯罪者对该系统的重复操纵。

摘要： 本发明公开了一种安全关键系统的系统内核安全判断方法，包括：多版本系统同时运行多个独立的同一程序，每个版本的系统运行多次程序；选举器收集每个版本的系统的执行路径、执行时间以及内核调用函数；选举器比较每个版本的系统每次运行程序时的执行路径、执行时间以及内核调用函数以得出比较结果；将多版本系统其中一个版本设定为基础版本，其它版本设定为待比较版本，选举器将全部待比较版本的比较结果分别与基础版本的比较结果进行比较，并输出判断结果。该方法通过多版本系统同时运行多个独立的同一程序，利用选举器收集和比较系统的执行路径、执行时间以及内核调用函数，来确定不同版本的系统内核升级的安全性。

摘要： 公开了一种用于在安全关键系统SCS内提供子系统(2)安全操作的安全设备(1)，该安全设备(1)包括：系统通信接口SCI(3)，用于与所述子系统(2)的组件(c)和所述安全关键系统SCS的其它子系统进行通信；后端通信接口BCI(5)，用于与安全云后端进行通信；集成标识符存储器(6)，存储所述子系统(2)的独特的标识符；以及授权控制单元ACU(7)，被适配为经由所述系统通信接口SCI(3)执行与所述安全关键系统SCS的另一目标子系统的握手授权过程，以及经由所述后端通信接口BCI(5)执行与所述安全云后端的握手授权过程，以针对所述子系统(2)获得授权以基于两个子系统的独特的标识符在所述安全关键系统SCS的目标子系统上执行安全关键功能SCF。