(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111502857.X (22)申请日 2021.12.10 (71)申请人 中国航空综合 技术研究所 地址 100028 北京市朝阳区东 直门外京顺 路7号 (72)发明人 张雅妮　贾博　王满玉　杜熠　 张睿明　 (74)专利代理 机构 北京孚睿湾知识产权代理事 务所(普通 合伙) 11474 代理人 韩燕 (51)Int.Cl. G06F 30/20(2020.01) G06F 119/02(2020.01) (54)发明名称 一种基于使用场景的飞控系统安全性需求 分析方法 (57)摘要 本发明提供一种基于使用场景的飞控系统 安全性需求分析方法， 通过Capella平台构建飞 控系统使用场景模型和功能模型， 解析获得表达 同样内容的模型架构元素， 基于XMI模型映射过 程生成AltaRica飞控系统安全 性需求分析模型， 并增加飞行事故/任务失败判据、 功能故障逻辑， 形成系统功能故障对任务影 响模型， 生成功能失 效状态对使用安全传递关系链， 确定影 响飞机安 全及任务的功能失 效状态组合， 提出控制措施形 成飞控系统安全性需求。 本发明针对使用场景复 杂、 高安全性要求的飞控系统， 建立系统功能失 效到飞机任务成败的传播模型， 精确分析飞控系 统潜在的功能失效状态对飞行安全和任务的影 响， 提出控制措施形成 飞控系统安全性需求。 权利要求书3页 说明书10页 附图3页 CN 114218783 A 2022.03.22 CN 114218783 A 1.一种基于使用场景的飞控系统安全性需求分析 方法， 其特 征在于， 其包括以下步骤： 步骤1、 通过Capel la平台构建飞控系统使用场景模型， 具体步骤如下： 步骤11、 使用Capella的使用能力图OCB定义与飞控系统相关的使用实体和使用任务， 并描述使用实体执 行任务的情况； 所述使用实体包括但不限于飞行员、 操纵杆、 油门、 升降舵、 方向舵； 所述使用任务包括 但不限于起飞、 爬 升、 巡航、 进近、 着陆； 步骤12、 针对每一个使用任务， 用Capella的过程图OPD构建飞控系统使用任务包含的 使用活动流； 步骤13、 针对每一个使用任务的活动流， 用Capella的实体场景 图OES来构建执行活动 的实体及相互间的信息交 互关系； 步骤14、 依据步骤13确定 的实体信息交互， 用Capella的使用架构图OAB来构建飞控系 统使用架构， 描述分配给实体的活动、 活动之间的信息交 互； 步骤15、 依据步骤13确定 的实体信息交互， 采用Capella的模式与状态图M&S来构建飞 控系统的状态及触发响应； 步骤2、 通过Capella平台构建飞控系统功能模型， 定义飞控系统为满足使用必须具备 的功能， 对功能数据流和动态行为进行建模， 具体步骤如下： 步骤21、 根据使用场景， 用Cap ella的系统上下文系统参与 者图CSA， 定义飞控系统的参 与者， 并将使用活动转 化分解为系统功能； 步骤22、 针对使用场景的每个使用活动， 采用Capella的系统架构图SAB构建完成使用 活动的功能流， 并将系统功能分配到参与者； 步骤23、 采用Capella的交互场景 图ES， 构建各参与者的功能顺序， 以及功能之间的交 互， 交互场景图中定义的功能交 互关系同步更新到系统架构图； 步骤3、 对所述飞控系统使用场景模型及功能模型进行解析， 获得构 建AltaRica飞控系 统安全性需求分析模型所需的模型架构和架构数据， 对架构数据开展形式化定义解析， 确 定架构数据所在的元素及其属性； 并遍历其XML树， 解析模型数据， 获得表达同样内容的模 型架构元 素； 步骤4、 提取模型架构元素， 基于XMI的模型映射过程， 生成AltaRica飞控系统安全性 需 求分析模型； 步骤5、 在AltaRica飞控系统安全性 需求分析模型上增加飞行事故或任务失败判据、 功 能故障逻辑， 将系统功能失效与飞行事故或任务失败通过端口信息流建立联系， 从而形成 飞控系统功能失效影响传播模型； 步骤6、 通过飞控系统功能失效影响传播模型， 生成飞控系统功能失效状态对使用安全 的传递关系链， 从而确定出影响飞机安全及任务的功能失效状态组合； 步骤7、 针对影响飞机安全及任务的功能失效状态 组合提出相应的控制措施， 形成飞控 系统安全性需求。 2.根据权利要求1所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤3中的模型架构包括模 型的各层次架构模块、 各层次架构模块的输入输出端口、 各 端口连接 关系以及各端口的数据类型； 所述层次架构模块包括实体 ‑使用任务层 模块、 使用 活动模块、 系统功能及子功能模块。权　利　要　求　书 1/3 页 2 CN 114218783 A 23.根据权利要求1所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤4具体为： 步骤41、 构建目标模型的安全性需求分析模型 所需的层次架构； 步骤42、 构建目标模型的安全性需求分析模型 所需的模块输入输出端口； 步骤43、 构建目标模型的安全性需求分析模型 所需的端口连接关系； 步骤44、 构建目标模型的安全性需求分析模型 所需的端口 的数据类型； 步骤45、 生成飞控系统安全性需求分析模型， 实现与使用场景模型及系统功能模型之 间的系统设计数据共享和模型集成。 4.根据权利要求3所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤41具体步骤为： 步骤411、 生成实体 ‑使用任务层的模块； 步骤412、 生成使用活动层模块； 步骤413、 生成系统功能层 及子功能层模块。 5.根据权利要求3所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤42具体步骤为： 步骤421、 生成实体模块的输入输出端口； 步骤422、 生成使用活动模块的输入输出端口； 步骤423、 生成功能失效判据的输入端口； 步骤424、 生成系统功能模块的输入输出端口； 步骤425、 生成系统顶层功能对使用活动的输出端口。 6.根据权利要求5所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤421为： 对使用分析架构的使用分析元素进 行解析， 提取场景元素下的消息元素的 接收端及发送端的属 性， 提取该属 性对应的交互元素 的实例属 性， 再与实例属 性同名的实 体模块类生成输入输出端口； 提取对应的消息元素的名字属性， 作为端口名称； 接收端属性 对应的实例实体上生成输入端口输入数据流， 发送端属性对应的实例实体上生成输出端口 的输出数据流。 7.根据权利要求5所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤422 为： 提取使用活动的功能交互的目标和源属性， 以及与目标和源对应的功能元 素的名字属性， 在同名的使用活动模块类生成输入/输出端口； 目标属性对应的活动模块上 生成输入端口输入数据流， 源属性对应的活动模块上生成输出端口输出 数据流。 8.根据权利要求5所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤423为： 依 次检索实体模块下的使用活动模块的输出端口所在的消息元素所属的 使用能力， 在与该使用能力同名的功能失效判据模块生成输入端口， 端口名称与使用活动 模块的输出端口相同。 9.根据权利要求5所述的基于使用场景的飞控系统安全性需求分析方法， 其特征在于， 所述步骤42 4为:对系统分析架构系统元素进 行解析， 提取每个功能元素下的输入和输出元 素， 分别生成对应的功能模块的输入端口和输出端口； 检索系统功能下 的功能交互元素 的 目标及源属 性， 作为对应的功能模块的输出和输入端口； 对于目标及源所对应的功 能分别 属于不同的实体、 父功能或功能层次的， 在该功能模块之外分别增加同名的外部输入和输权　利　要　求　书 2/3 页 3 CN 114218783 A 3