基于故障樹(shù)的道閘管理系統(tǒng)軟件安全性分析

黃一帆，李海峰

(1.南京市第一中學(xué)，南京 210000； 2.北京航空航天大學(xué)，北京 100191)

0 概述

在停車場(chǎng)、小區(qū)、寫字樓等場(chǎng)所，都設(shè)有道閘管理系統(tǒng).通過(guò)軟硬件設(shè)備，綜合運(yùn)用紅外線檢測(cè)、地感檢測(cè)、車牌拍照識(shí)別、智能卡識(shí)別、壓力波檢測(cè)等技術(shù)，實(shí)現(xiàn)道閘上升/下降控制、計(jì)時(shí)收費(fèi)等功能.其中，最核心的組成部分就是道閘管理系統(tǒng)軟件，是系統(tǒng)的控制中樞，決定道閘上升/下降控制功能邏輯、計(jì)時(shí)收費(fèi)功能邏輯的正確執(zhí)行.因此，道閘管理系統(tǒng)軟件的安全性能否得到有效保障，對(duì)于車輛財(cái)產(chǎn)甚至人身安全具有非常直接的影響[1-2].

經(jīng)過(guò)多年的發(fā)展，國(guó)內(nèi)外道閘管理系統(tǒng)都已經(jīng)融入智能化功能，包括車牌智能識(shí)別、車輛進(jìn)入智能感知與引導(dǎo)、自動(dòng)計(jì)費(fèi)定位等[3].現(xiàn)有關(guān)于道閘管理系統(tǒng)的技術(shù)研究，也多借助先進(jìn)的智能化技術(shù)方法，進(jìn)行系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).例如IC卡技術(shù)、RFID射頻識(shí)別技術(shù)，多項(xiàng)傳感器融合技術(shù)等[4],但關(guān)于道閘管理系統(tǒng)安全性分析改進(jìn)的研究則相對(duì)較少.

車輛或行人穿越道閘時(shí)，道閘意外下降、道閘無(wú)法上升，阻礙車輛進(jìn)入等系統(tǒng)事故常有發(fā)生.但很少有人會(huì)去思考，為什么道閘管理系統(tǒng)軟件會(huì)引發(fā)這些安全事故.事實(shí)上，因?yàn)闆](méi)有對(duì)道閘管理系統(tǒng)軟件進(jìn)行深入安全性分析，對(duì)于各類異常的任務(wù)場(chǎng)景或外部激勵(lì)的考慮不足，導(dǎo)致軟件失效，進(jìn)而引發(fā)系統(tǒng)事故，造成不必要的財(cái)產(chǎn)損失甚至人身傷害.因此，本文將依據(jù)道閘管理系統(tǒng)軟件的工作原理，基于故障樹(shù)技術(shù)，針對(duì)“車輛或行人穿越道閘時(shí)，道閘意外下降”這一典型事故進(jìn)行分析，識(shí)別導(dǎo)致事故發(fā)生的各類原因，為預(yù)防或避免類似危險(xiǎn)事件發(fā)生提供參考依據(jù).

1 道閘管理系統(tǒng)工作原理與典型事故

1.1 道閘管理系統(tǒng)工作原理

圖1是一種采用“車牌拍照識(shí)別”與“地感檢測(cè)”技術(shù)的典型道閘管理系統(tǒng)[5].

依據(jù)圖1，安裝于控制機(jī)的“道閘管理系統(tǒng)軟件”從攝像機(jī)、地感設(shè)備、自動(dòng)道閘等設(shè)備中接收車牌圖像、地感信號(hào)、道閘角度等輸入信號(hào)，經(jīng)過(guò)自動(dòng)道閘控制或人工道閘控制等功能邏輯處理后，向自動(dòng)道閘輸出道閘上升電流與道閘下降電流.因此，道閘管理系統(tǒng)軟件工作原理也是一種輸入(Input)—處理(Process)—輸出(Output)的典型黑盒控制過(guò)程[4].基于這一系統(tǒng)工作原理，針對(duì)道閘管理系統(tǒng)軟件兩項(xiàng)典型功能邏輯介紹如下.

1.1.1 自動(dòng)道閘控制功能

輸入數(shù)據(jù)：“車牌圖像”“地感信號(hào)”“道閘角度”.

處理流程如圖圖2所示.

圖2 “自動(dòng)道閘控制功能”處理流程

由圖2，道閘管理系統(tǒng)軟件接收到攝像機(jī)拍攝的車牌圖像后，進(jìn)行車牌模式識(shí)別.若為有效的車牌圖像，輸出道閘上升電流，驅(qū)動(dòng)道閘上升，直至道閘角度取值為90°，即完全打開(kāi)，停止輸出道閘上升電流；若為無(wú)效的車牌圖像，則不做任何處理.

待道閘角度取值為90°后，道閘管理系統(tǒng)軟件周期性(20 ms)判斷地感信號(hào)取值是否有效.若取值為有效，表明車輛正在穿越道閘，則道閘管理系統(tǒng)軟件不做任何處理，保持道閘打開(kāi)；若取值為無(wú)效，則道閘管理系統(tǒng)軟件輸出道閘下降電流，驅(qū)動(dòng)道閘下降，直至道閘角度取值為0°，即關(guān)閉完全，停止輸出道閘下降電流.

輸出數(shù)據(jù)：道閘上升電流、道閘下降電流.

1.1.2 人工道閘控制功能

輸入數(shù)據(jù)：道閘上升指令、道閘下降指令.

處理流程如圖3所示.

由圖3，若軟件接收到的道閘上升指令取值為有效，則輸出道閘上升電流；否則，停止輸出.若軟件接收到道閘下降指令取值為有效，則輸出道閘下降電流；否則，停止輸出.

輸出數(shù)據(jù)：道閘上升電流、道閘下降電流.

1.2 道閘管理系統(tǒng)典型事故

圖3 “人工道閘控制功能”處理流程

道閘管理系統(tǒng)是人們?nèi)粘Ｉ钪薪?jīng)常遇到的公共設(shè)施，由于系統(tǒng)軟件設(shè)計(jì)存在缺陷或者考慮不足，會(huì)出現(xiàn)各類事故場(chǎng)景，對(duì)社會(huì)財(cái)產(chǎn)或人身安全造成嚴(yán)重影響.本小節(jié)對(duì)道閘管理系統(tǒng)可能的典型事故進(jìn)行分類總結(jié)，為基于故障樹(shù)的安全性分析工作提供輸入.

道閘管理系統(tǒng)典型事故，可從控制車輛進(jìn)入、以及計(jì)費(fèi)管理2大方面進(jìn)行分類.

1.2.1 控制車輛進(jìn)入方面典型事故

①不應(yīng)下降時(shí)下降，應(yīng)下降時(shí)未下降

?車輛穿越道閘時(shí)，道閘下降

?車輛駛離道閘后，道閘未下降

?行人穿越道閘時(shí)，道閘下降

?道閘始終保持下降狀態(tài)

?……

②應(yīng)上升時(shí)未上升、不應(yīng)上升時(shí)上升

?識(shí)別出有效車牌，道閘未上升

?車牌識(shí)別未通過(guò)，道閘上升

?道閘兩側(cè)同時(shí)有車輛駛?cè)耄篱l上升

?道閘始終保持為上升狀態(tài)

?沒(méi)有車輛駛?cè)?，道閘卻上升

?……

控制車輛進(jìn)入方面的典型事故對(duì)人身安全、車輛或者道閘設(shè)備有直接影響，因此是本文重點(diǎn)分析對(duì)象.

1.2.2 計(jì)費(fèi)管理方面典型事故

①未進(jìn)行有效計(jì)費(fèi)

?識(shí)別有效車牌后，未進(jìn)行計(jì)費(fèi)

?車輛停留過(guò)夜后，計(jì)費(fèi)重新開(kāi)始

?……

②超時(shí)計(jì)費(fèi)

?車輛已經(jīng)離開(kāi)，卻未停止計(jì)費(fèi)

?將小車識(shí)別為大車，進(jìn)行額外計(jì)費(fèi)

?……

計(jì)費(fèi)管理屬于財(cái)產(chǎn)損失的范疇，對(duì)安全性的影響相對(duì)較弱，故不是本文重點(diǎn)分析的對(duì)象.

2 基于故障樹(shù)的道閘管理系統(tǒng)安全性分析

2.1 道閘管理系統(tǒng)軟件故障樹(shù)分析模型建立

故障樹(shù)分析技術(shù)(Fault Tree Analysis，F(xiàn)TA)以一個(gè)不希望的系統(tǒng)故障事件(或?yàn)?zāi)難性的系統(tǒng)危險(xiǎn))，即頂事件作為分析的目標(biāo)，通過(guò)自上而下的嚴(yán)格按層次的故障因果邏輯分析，逐層識(shí)別導(dǎo)致故障事件的直接原因，最終找出導(dǎo)致頂事件發(fā)生的所有原因及其組合[6-8].在本章節(jié)中將借助故障樹(shù)分析技術(shù)，針對(duì)車輛或行人穿越道閘時(shí)，道閘意外下降這一典型系統(tǒng)事故展開(kāi)分析，即將該事故作為頂事件，結(jié)合道閘管理系統(tǒng)軟件工作原理，自頂向下建立故障樹(shù)分析模型，逐層識(shí)別導(dǎo)致這一事故產(chǎn)生的各種可能原因，進(jìn)而針對(duì)原因分析結(jié)果，對(duì)道閘管理系統(tǒng)軟件功能進(jìn)行設(shè)計(jì)改進(jìn)，預(yù)防或控制此事故的發(fā)生.

結(jié)合道閘管理系統(tǒng)軟件工作原理可知，觸發(fā)道閘管理系統(tǒng)軟件輸出道閘下降電流的主要事件有2個(gè)，即地感信號(hào)取值變?yōu)闊o(wú)效，以及道閘下降指令取值變?yōu)橛行?基于這兩個(gè)事件，所建立的軟件故障樹(shù)分析模型如圖4所示.

2.2 基于故障樹(shù)模型的軟件安全性分析

2.2.1 分析過(guò)程

基于故障樹(shù)模型的軟件安全性分析過(guò)程是自上而下的，主要內(nèi)容如下：首先定義要分析的頂事件(即道閘管理系統(tǒng)典型事故)作為故障樹(shù)的“根”；然后分析導(dǎo)致頂事件發(fā)生的直接原因(即中間事件)，并用適當(dāng)?shù)倪壿嬮T與頂事件相連，作為故障樹(shù)的“節(jié)”；重復(fù)上述步驟，一直追溯到導(dǎo)致頂事件發(fā)生的全部最小獨(dú)立原因(即底事件)為止，這些底事件構(gòu)成故障樹(shù)的“葉”.

圖4 道閘管理系統(tǒng)軟件故障樹(shù)分析模型

2.2.2 故障樹(shù)最小割集計(jì)算

1)基于下行法的最小割集計(jì)算

下行法的基本原理是：從頂事件開(kāi)始，逐級(jí)向下尋查.遇到“與門”就將其輸入事件排在同一行(只增加割集的階數(shù)，不增加割集的個(gè)數(shù))；遇到“或門”就將其輸入事件各自排成一行(只增加割集的個(gè)數(shù)，不增加割集的階數(shù)).重復(fù)上述步驟，直到全部換成底事件為止，這樣得到的割集借助布爾代數(shù)中的運(yùn)算律，去重合并，剩下的即為故障樹(shù)的全部最小割集.

2)基于上行法的最小割集計(jì)算

上行法的基本原理是：從故障樹(shù)底事件開(kāi)始，自下而上逐層進(jìn)行事件集合運(yùn)行.將“或門”輸出事件用輸入事件的并(布爾和)代替，將“與門”輸出事件用輸入事件的交(布爾積)代替.在逐層帶入過(guò)程中，按照布爾代數(shù)吸收律和等冪律來(lái)化簡(jiǎn)，最后將頂事件表示成底事件積之和的最簡(jiǎn)式.其中每一積項(xiàng)對(duì)應(yīng)于故障樹(shù)的一個(gè)最小割集.

2.2.3 頂事件發(fā)生概率計(jì)算

在全部最小割集的基礎(chǔ)上，將故障樹(shù)頂事件表示為最小割集中底事件積之和的最簡(jiǎn)布爾表達(dá)式，即可對(duì)頂事件發(fā)生概率進(jìn)行定量評(píng)估計(jì)算.

用最小割集表示故障樹(shù)頂事件.在求得全部最小割集C1，C2，Cr的基礎(chǔ)上，可將故障樹(shù)的頂事件表示為式(1)：

(1)

式中，Xi為屬于第Cj個(gè)(j=1,…,r)最小割集的第i個(gè)底事件.則故障樹(shù)頂事件T的發(fā)生概率是各個(gè)最小割集中底事件X發(fā)生概率的函數(shù)，如式(2)：

P(T)=Q(q1,q2,…,qn)

(2)

2.2.4 分析結(jié)果

依據(jù)圖4所示的故障樹(shù)分析模型，識(shí)別出如表1所示的原因事件.

表1 基于故障樹(shù)的原因事件分析

上表所示的4個(gè)原因事件由“或門”相連接，即每個(gè)原因事件都可以獨(dú)立地導(dǎo)致頂事件發(fā)生，因此是都可以獨(dú)立作為故障樹(shù)的最小割集事件，即導(dǎo)致頂事件事故發(fā)生的最直接原因[9-10].

鈉表測(cè)量所需的pH值，pH計(jì)測(cè)量樣水所需的溫度值，都可以作為狀態(tài)值，用來(lái)輔助判斷當(dāng)前的樣水是否符合測(cè)量要求。

這4個(gè)事件中，前3個(gè)原因事件與道閘管理系統(tǒng)軟件直接相關(guān)，即由于軟件功能邏輯出現(xiàn)故障而導(dǎo)致的；最后一個(gè)原因事件則與軟件無(wú)關(guān)，是由硬件設(shè)備故障導(dǎo)致的.因此，本文將重點(diǎn)針對(duì)前3個(gè)原因事件展開(kāi)分析，將其映射為生活中常見(jiàn)的事故場(chǎng)景，分別描述事故場(chǎng)景、事故原因、軟件故障、事故影響、軟件設(shè)計(jì)改進(jìn)等分析內(nèi)容，在增強(qiáng)人們對(duì)道閘管理系統(tǒng)軟件安全性分析直觀認(rèn)識(shí)的同時(shí)，為避免或控制此類事故發(fā)生提供參考建議.

2.3 事故場(chǎng)景分析及軟件改進(jìn)

2.3.1 典型事故場(chǎng)景一

前車正在穿過(guò)道閘，后車緊隨進(jìn)入，地感設(shè)備受到干擾，傳輸信號(hào)產(chǎn)生跳變，系統(tǒng)意外驅(qū)動(dòng)道閘下降，碰到行駛車輛.

事故原因(原因事件X1)：前車正在穿過(guò)道閘，輸入數(shù)據(jù)地感信號(hào)取值為有效.此時(shí)后車緊隨進(jìn)入，由于兩車距離過(guò)近，車輛震動(dòng)頻率重疊，地感設(shè)備受到干擾，使得地感信號(hào)取值發(fā)生跳變，即由有效變?yōu)闊o(wú)效.

軟件故障：由于地感信號(hào)取值跳變?yōu)闊o(wú)效，自動(dòng)道閘控制功能將自動(dòng)輸出道閘下降電流，意外驅(qū)動(dòng)道閘下降.

事故影響：系統(tǒng)驅(qū)動(dòng)道閘下降，砸到正在行駛的汽車頂部，造成財(cái)產(chǎn)損失.

分析說(shuō)明：這種場(chǎng)景在生活中很常見(jiàn).很多車輛為節(jié)省時(shí)間，等不及道閘完全放下，就緊隨前車一起穿越道閘.一旦地感設(shè)備設(shè)計(jì)不夠精密，易受到外界信號(hào)干擾，那么就可能會(huì)導(dǎo)致地感信號(hào)跳變，使得道閘意外下降，造成財(cái)產(chǎn)損失.

基于安全性分析的軟件設(shè)計(jì)改進(jìn).

針對(duì)事故原因事件X1，在自動(dòng)道閘控制功能邏輯中，增加對(duì)輸入數(shù)據(jù)地感信號(hào)的濾波處理.即當(dāng)?shù)馗行盘?hào)取值由有效變?yōu)闊o(wú)效時(shí)，軟件需對(duì)地感信號(hào)取值進(jìn)行判斷，連續(xù)5個(gè)周期地感信號(hào)取值均為無(wú)效時(shí)，軟件才輸出道閘下降電流.改進(jìn)后的處理邏輯如圖5.

圖5 基于事故原因X1的軟件設(shè)計(jì)改進(jìn)

本論文之所以推薦5個(gè)周期的檢測(cè)時(shí)間，是因?yàn)椋喝魴z測(cè)時(shí)間設(shè)置過(guò)長(zhǎng)(例如大于10個(gè)周期)，則將降低軟件執(zhí)行效率，即軟件需要連續(xù)采集10個(gè)周期以上的數(shù)據(jù)，才能執(zhí)行1次處理邏輯.這對(duì)于有一定實(shí)時(shí)性和靈敏度要求的道閘系統(tǒng)來(lái)說(shuō)，不容易接受；若檢測(cè)時(shí)間設(shè)置過(guò)短(例如2、3個(gè)周期)，軟件會(huì)頻繁連續(xù)地進(jìn)行濾波處理，增加軟件運(yùn)行負(fù)擔(dān).因此，綜合考慮運(yùn)行負(fù)擔(dān)與執(zhí)行效率，并參考其他類似工業(yè)設(shè)備的設(shè)計(jì)方法，本論文推薦檢測(cè)時(shí)間設(shè)置為5個(gè)周期，也可依據(jù)具體系統(tǒng)進(jìn)行設(shè)定.

此外，還可考慮借助車牌圖像數(shù)據(jù)，輔助道閘管理系統(tǒng)識(shí)別兩個(gè)車輛緊跟進(jìn)入這種異常情況.即若系統(tǒng)接收兩個(gè)車牌圖像的時(shí)間間隔較短(例如小于1 s)，則軟件判斷此時(shí)可能出現(xiàn)兩輛車緊隨進(jìn)入或者兩輛車同時(shí)進(jìn)入等狀況，此時(shí)將持續(xù)保持道閘上升電流的輸出.

2.3.2 典型事故場(chǎng)景二

車輛穿過(guò)道閘后，道閘開(kāi)始下降.此時(shí)，有行人或非機(jī)動(dòng)車輛跟隨進(jìn)入.而道閘繼續(xù)下降，行人或非機(jī)動(dòng)車輛被道閘碰到.

事故原因(原因事件X2)：車輛穿過(guò)道閘后，道閘準(zhǔn)備開(kāi)始下降.此時(shí)，有行人或非機(jī)動(dòng)車輛(電動(dòng)車、摩托車等)跟隨進(jìn)入.由于行人或非機(jī)動(dòng)車輛的震動(dòng)頻率與汽車不一樣，地感設(shè)備無(wú)法對(duì)其進(jìn)行有效檢測(cè)和感知，輸入地感信號(hào)取值將保持為無(wú)效.

軟件故障：行人或非機(jī)動(dòng)車輛穿越導(dǎo)致道閘過(guò)程中，地感信號(hào)取值保持為無(wú)效，自動(dòng)道閘控制功能將輸出道閘下降電流，驅(qū)動(dòng)道閘快速下降.

事故影響：系統(tǒng)驅(qū)動(dòng)道閘快速下降，砸到正在進(jìn)入的行人或非機(jī)動(dòng)車輛，導(dǎo)致車輛損壞或人員傷亡.

分析說(shuō)明：這種場(chǎng)景在生活中也很常見(jiàn)，很多電動(dòng)車或行人不清楚道閘管理系統(tǒng)的工作原理，以為道閘會(huì)感知自己而不會(huì)下降，心存僥幸緊隨車輛進(jìn)入小區(qū)，意外引發(fā)嚴(yán)重的安全性事故.

基于安全性分析的軟件設(shè)計(jì)改進(jìn)：針對(duì)事故原因事件X2，在自動(dòng)道閘控制功能邏輯中，增加道閘下降電流延時(shí)處理.即當(dāng)?shù)馗行盘?hào)變?yōu)闊o(wú)效后，軟件開(kāi)始計(jì)時(shí)，計(jì)時(shí)5 s后，輸出道閘下降電流.改進(jìn)處理邏輯如圖6.

圖6 基于事故原因X2的軟件設(shè)計(jì)改進(jìn)

需要說(shuō)明的是，本論文之所以推薦5 s的延時(shí)時(shí)間是因?yàn)椋喝粞訒r(shí)時(shí)間設(shè)置過(guò)短，則地感信號(hào)變?yōu)闊o(wú)效后，道閘立刻就會(huì)變?yōu)橄陆禒顟B(tài).正在穿越的人群或非機(jī)動(dòng)車輛來(lái)不及響應(yīng)；若延時(shí)時(shí)間設(shè)置過(guò)長(zhǎng)，則道閘又將長(zhǎng)時(shí)間保持停滯狀態(tài)，影響后面車輛的正常進(jìn)入.因此，綜合考慮反應(yīng)時(shí)間與正常運(yùn)行，并參考其他類似工業(yè)設(shè)備的設(shè)計(jì)方法，本論文推薦5 s的延時(shí)時(shí)間，也可依據(jù)具體系統(tǒng)進(jìn)行設(shè)定.

此外，還可考慮借助紅外裝置，輔助道閘管理系統(tǒng)識(shí)別行人或非機(jī)動(dòng)車輛.即紅外裝置接收正在進(jìn)入道閘的物體所輻射的紅外線信號(hào)，并反饋至道閘管理系統(tǒng)軟件.軟件對(duì)反饋的紅外線信號(hào)進(jìn)行判斷，若識(shí)別為機(jī)動(dòng)車輛、行人、或非機(jī)動(dòng)車輛等物體，則需要繼續(xù)保持道閘上升電流的輸出.

圖7 基于事故原因X3的軟件設(shè)計(jì)改進(jìn)

2.3.3 典型事故場(chǎng)景三

車輛正在穿過(guò)道閘，道閘保持上升狀態(tài).此時(shí)，管理員誤操作，通過(guò)“人工道閘控制”功能驅(qū)動(dòng)道閘下降，砸到行駛中的車輛.

事故原因(原因事件X3)：車輛正在穿過(guò)道閘，輸入數(shù)據(jù)地感信號(hào)取值為有效.此時(shí)，管理員誤操作，按壓道閘下降按鈕，輸入數(shù)據(jù)道閘下降指令取值變?yōu)橛行?

軟件故障：輸入數(shù)據(jù)地感信號(hào)取值為有效，自動(dòng)道閘控制功能將不輸出道閘下降電流.但此時(shí)，輸入數(shù)據(jù)道閘下降指令取值變?yōu)橛行В斯さ篱l控制功能將輸出道閘下降電流，驅(qū)動(dòng)道閘快速下降.

事故影響：系統(tǒng)驅(qū)動(dòng)道閘下降，砸到正在行駛的汽車頂部，造成財(cái)產(chǎn)損失.

分析說(shuō)明：這個(gè)問(wèn)題是由于管理員誤輸入道閘下降指令，使得自動(dòng)道閘控制功能與人工道閘控制功能并發(fā)，產(chǎn)生沖突導(dǎo)致的事故.現(xiàn)實(shí)中，管理員由于視線受阻，很可能會(huì)在車輛未穿越道閘的情況下，執(zhí)行誤操作輸入，干擾自動(dòng)控制功能實(shí)現(xiàn)，錯(cuò)誤驅(qū)動(dòng)道閘下降.

基于安全性分析的軟件設(shè)計(jì)改進(jìn).

針對(duì)事故原因事件X3，在人工道閘控制功能邏輯中，增加地感信號(hào)的判斷.當(dāng)輸入數(shù)據(jù)道閘下降指令取值變?yōu)橛行Ш?，軟件判斷輸入?shù)據(jù)地感信號(hào)取值.若“地感信號(hào)”取值為“有效”，則輸出“告警提示”，待管理員確認(rèn)后，才輸出“道閘下降電流”.改進(jìn)后處理邏輯如圖7所示.

2.4 軟件改進(jìn)前后對(duì)比

綜上分析，針對(duì)各種事故原因進(jìn)行軟件設(shè)計(jì)改進(jìn)后，可有效地避免相應(yīng)事故的發(fā)生.對(duì)比說(shuō)明如下.

2.4.1 事故原因事件X1

增加輸入數(shù)據(jù)地感信號(hào)的濾波設(shè)計(jì)之后，可有效判別由于兩車距離過(guò)近，車輛震動(dòng)頻率重疊所導(dǎo)致的地感信號(hào)取值跳變現(xiàn)象.從而避免前車正在穿過(guò)道閘，后車緊隨進(jìn)入，系統(tǒng)意外驅(qū)動(dòng)道閘下降，碰到行駛車輛事故的發(fā)生.

2.4.2 事故原因事件X2

增加道閘下降電流延時(shí)設(shè)計(jì)之后，可提升道閘下降時(shí)對(duì)突發(fā)事件的處理能力.即當(dāng)車輛穿過(guò)道閘后，此時(shí)若有行人或非機(jī)動(dòng)車輛跟隨進(jìn)入，則給予行人或非機(jī)動(dòng)車充足的穿越時(shí)間，避免誤傷.

2.4.3 事故原因事件X3

增加地感信號(hào)的判斷設(shè)計(jì)之后，可防止由于管理員誤操作而引發(fā)的意外道閘下降事件.即若管理員誤輸入道閘下降指令后，可根據(jù)地感信號(hào)是否有效，對(duì)管理員進(jìn)行提示，待其確認(rèn)后才運(yùn)行下降.

2.5 設(shè)計(jì)改進(jìn)方案的優(yōu)化原則

基于多個(gè)失效原因分別進(jìn)行軟件設(shè)計(jì)改進(jìn)時(shí)，可能會(huì)對(duì)同一個(gè)輸入輸出接口數(shù)據(jù)進(jìn)行修改，或者同一個(gè)時(shí)序約束進(jìn)行修改，導(dǎo)致取值或時(shí)序沖突.針對(duì)此問(wèn)題，本論文提出如下流程優(yōu)化原則，確保改進(jìn)之間相互兼容并滿足已有需求.

2.5.1 優(yōu)先級(jí)原則

根據(jù)失效原因?qū)е碌氖鹿蕠?yán)重程度，對(duì)各類設(shè)計(jì)改進(jìn)方案進(jìn)行優(yōu)先級(jí)劃分.即多個(gè)設(shè)計(jì)改進(jìn)方案出現(xiàn)沖突時(shí)，以導(dǎo)致事故最為嚴(yán)重的設(shè)計(jì)方案為準(zhǔn)，進(jìn)行改進(jìn)方案合并或優(yōu)化.

2.5.2 統(tǒng)一化原則

如果多個(gè)失效原因的事故嚴(yán)重程度相同，此時(shí)可從設(shè)計(jì)成本、可行性等角度進(jìn)行綜合考慮，針對(duì)多個(gè)改進(jìn)方案進(jìn)行統(tǒng)一化處理，確保多個(gè)改進(jìn)方案采用相同的處理策略.

3 結(jié)束語(yǔ)

本文針對(duì)道閘管理系統(tǒng)軟件，借助故障樹(shù)分析技術(shù)，識(shí)別導(dǎo)致車輛或行人穿越道閘時(shí)，道閘意外下降這一安全性問(wèn)題的3類典型原因事件，這些原因事件均可映射為各類常見(jiàn)的生活場(chǎng)景.這說(shuō)明，導(dǎo)致道閘智能管理系統(tǒng)軟件安全性問(wèn)題的原因是與道閘的使用方式密切相關(guān)的.事實(shí)上，借助故障樹(shù)技術(shù)，結(jié)合更多的生活使用場(chǎng)景，還可以識(shí)別其他各類原因事件：例如，道閘還未上升到90°(即未全部打開(kāi))，汽車就開(kāi)始駛?cè)耄幌到y(tǒng)識(shí)別出有效車牌信息后，車輛卻沒(méi)有及時(shí)駛?cè)?；兩輛車同時(shí)從道閘兩側(cè)駛?cè)?；系統(tǒng)同時(shí)識(shí)別出2個(gè)有效的車牌信息等等.這些原因事件可能會(huì)導(dǎo)致道閘控制異?；蛘哂?jì)時(shí)收費(fèi)錯(cuò)誤等危險(xiǎn)事故的產(chǎn)生，造成不必要的財(cái)產(chǎn)損失甚至人身傷亡.

綜上，安全性問(wèn)題并不只存在于航空航天等高科技領(lǐng)域，在日常生活中也是隨處可見(jiàn)，例如商場(chǎng)電梯、地鐵出入閘機(jī)、地鐵車門等生活設(shè)施.借助故障樹(shù)技術(shù)，可以針對(duì)這些生活設(shè)施中的控制軟件進(jìn)行安全性分析，有效識(shí)別身邊的各種安全隱患，從而有效規(guī)避或預(yù)防財(cái)產(chǎn)損失、環(huán)境污染、人身傷亡等危險(xiǎn)事故的發(fā)生.

[1] GJB/Z 102A軍用軟件安全性設(shè)計(jì)指南[S].北京: 總裝備部軍標(biāo)出版發(fā)行部，2012.

[2] Huang Z Q，Xu B F，Kan S L，et al.Survey on embedded software analysis standards，methods and tools for airborne system[J].Journal of Software，2014，25(2): 200-218.

[3] Oentaryo.Self-trained automated parking system [C].Control Automation，Robotics and Vision Conference，2004.ICARCV 2004，2: 1005-1010.

[4] 李揚(yáng)威，焦鵬鵬.城市智能停車管理系統(tǒng)研究[J].交通信息與安全，2014，32(4): 160-164.

[5] https: //www.zhihu.com/question/33818269/answer/108820828.

[6] Liu J，Dehlinger J，Lutz R.Safety analysis of software product lines using state-based modeling [J].Journal of System and Software.2007，80(11): 1879-1892.

[7] GJB/Z 768A故障樹(shù)分析指南[S].北京: 總裝備部軍標(biāo)出版發(fā)行部，2012.

[8] 周薇，劉慶生.嵌入式火控系統(tǒng)軟件故障樹(shù)分析研究[J].現(xiàn)代電子技術(shù)，2015，38(8): 105-108.

[9] Ma L，Huang ZQ，Xu BF，Chen Z.A fault tree analysis method supporting model checking.[J].Computer & Digital Engineering，2013，41(2): 257-260.

[10] 章雪梅，李文靜.軟件系統(tǒng)的故障樹(shù)分析(FTA)[J].無(wú)線電通信技術(shù)，2003，29(1): 39-42.