目標(biāo)符合性論證中成本優(yōu)化的證據(jù)收集方法*

李 璇，吳 際，劉 超，楊海燕

北京航空航天大學(xué) 計(jì)算機(jī)學(xué)院，北京 100191

1 引言

證據(jù)定義為用于符合性論證的數(shù)據(jù)[1]，即論證過程的輸入。證據(jù)收集成本用于描述將該證據(jù)“能證明目標(biāo)滿足符合性要求”的置信度從x提升到x+?x所花費(fèi)的絕對成本。其中，?x理解為證據(jù)收集力度。

在實(shí)際案例中，證據(jù)信息主要通過申請者從大量文檔、源文件和測試日志等收集獲得。依賴人主觀判斷的證據(jù)收集通常是耗時(shí)和易出錯(cuò)的[2-3]，這主要?dú)w因于以下兩方面：（1）收集者對目標(biāo)的證據(jù)需求沒有建立準(zhǔn)確的認(rèn)知，而收集大量無效的信息作為證據(jù)。（2）論證結(jié)構(gòu)中復(fù)雜的論證關(guān)系和論證方法使得收集者難以判斷證據(jù)效力，可能消耗大量成本在低效力證據(jù)收集上或在同效力證據(jù)項(xiàng)中錯(cuò)誤選擇了高收集成本的證據(jù)。

在避免收集無效證據(jù)的問題上，Panesar-Walawege等人提出了一種基于UML的模型驅(qū)動(dòng)方法[4-5]以獲得安全標(biāo)準(zhǔn)下所需要的證據(jù)；文獻(xiàn)[6]提出了一種基于systematic literature review（SLR）的安全證據(jù)收集、組織和論證的方法。但對于如何從已知有效的證據(jù)集中確定下一步待收集的證據(jù)和收集力度，以保證高效低成本地完成目標(biāo)符合性從不滿足期望值到滿足期望值的提升，尤其對采用定量評估方法的目標(biāo)符合性論證來說，仍缺少有效的方法。

結(jié)合上述問題，本文的目標(biāo)是結(jié)合目標(biāo)符合性論證結(jié)構(gòu)和過程信息，為證據(jù)收集者提供一種成本優(yōu)化的證據(jù)收集方法，以保證目標(biāo)符合性能夠從不滿足期望值提升到滿足期望值。結(jié)合上述目標(biāo)，本文基于動(dòng)態(tài)規(guī)劃[7]的思想，提出了一種基于成本分配模型的證據(jù)收集方案?？紤]到論證方法中定量評估[8]較定性評估[9]引入了置信度的概念和復(fù)雜計(jì)算，以及定量評估中 BBN（Bayesian belief network）[10]和D-S證據(jù)理論[11]方法在數(shù)學(xué)層次上的關(guān)系，本文針對采用D-S證據(jù)理論和事件概率論證方法的目標(biāo)符合性論證展開，更具有實(shí)際意義和拓展性。

本文第2章介紹了相關(guān)背景知識(shí)。第3章介紹了基于成本分配模型的證據(jù)收集方案的相關(guān)細(xì)節(jié)。第4章以案例的形式描述方案的實(shí)際應(yīng)用過程，說明本文方案的有效性。第5章介紹了相關(guān)研究工作。第6章對本文工作進(jìn)行總結(jié)并指出進(jìn)一步的研究方向。

2 背景

2.1 論證模式

論證模式描述了證據(jù)對目標(biāo)的向上論證關(guān)系，特別指出，子目標(biāo)在用于論證父目標(biāo)符合性時(shí)，被視為具有依賴的證據(jù)，這類證據(jù)不同于普通證據(jù)能夠直接論證目標(biāo)符合性，它們需要同其他子目標(biāo)以“與”、“或”的方式來聯(lián)合論證目標(biāo)符合性。

在適航認(rèn)證領(lǐng)域，目標(biāo)或直接受普通證據(jù)論證，或至少存在兩個(gè)子目標(biāo)，存在子目標(biāo)的目標(biāo)不受普通證據(jù)直接論證，因?yàn)槠胀ㄗC據(jù)總能對應(yīng)論證到該父目標(biāo)的某一子目標(biāo)項(xiàng)上。結(jié)合上述分析，論證結(jié)構(gòu)主要包括4種基本論證模式，如圖1所示。

Fig.1 4 basic demonstration modes圖1 4種基本論證模式

其中，“單證據(jù)支持”表示目標(biāo)符合性僅受單一普通證據(jù)論證，體現(xiàn)為1∶1的論證關(guān)系；“多證據(jù)支持”表示目標(biāo)符合性受多條普通證據(jù)論證，體現(xiàn)為1∶n的論證關(guān)系；“與邏輯”定性描述為任意子目標(biāo)符合性均滿足是目標(biāo)符合性滿足的充要條件，體現(xiàn)為A&B→C的論證關(guān)系；“或邏輯”定性描述為存在子目標(biāo)符合性滿足是目標(biāo)符合性滿足的充要條件，體現(xiàn)為A|B→C的論證關(guān)系。文中將上述4種論證模式用一組統(tǒng)一描述規(guī)則定義如下：

其中，Object表示被論證的目標(biāo)；ESet表示論證目標(biāo)Object的證據(jù)集合；ArguType表示ESet對Object的向上論證關(guān)系，null表示ESet為普通證據(jù)集合，依據(jù)ESet中證據(jù)數(shù)量表現(xiàn)為單證據(jù)支持或多證據(jù)支持，and/or表示ESet為Object的子目標(biāo)集，論證模式分別表現(xiàn)為“與邏輯”和“或邏輯”。

無法用上述4種論證模式直觀表達(dá)的論證關(guān)系稱為復(fù)雜論證模式。

2.2 D-S證據(jù)理論

D-S證據(jù)理論作為一種不確定推理方法，主要特點(diǎn)是：滿足比貝葉斯概率論更弱的條件；具有直接表達(dá)“不確定”的能力。本文對于“單證據(jù)支持”和“多證據(jù)支持”論證模式采用了D-S證據(jù)理論論證上級(jí)目標(biāo)的符合性，主要涉及的領(lǐng)域概念如下：

（1）識(shí)別框架Θ

對于識(shí)別框架Θ，總存在以下假設(shè)，就是在框架Θ中存在且僅存在一種可能性是該判決問題的答案，即在Θ中存在著唯一的真值。

（2）mass函數(shù)（也稱為基本可信度分配）

（3）信度函數(shù)Bel

（4）m個(gè)mass函數(shù)的Dempster合成規(guī)則

對于?A?Θ，識(shí)別框架Θ的有限個(gè)mass函數(shù)m1，m2,…,mn的Dempster合成規(guī)則為：

2.3 事件概率

對于相互獨(dú)立事件A和B，A與B均發(fā)生A∩B的概率為P(AB)=P(A)×P(B)，A與B至少一件事件發(fā)生A∪B概率為P(A+B)=P(A)+P(B)-P(A)×P(B)=1-

本文對于“與邏輯”和“或邏輯”論證模式分別采用了交事件和合事件論證上級(jí)目標(biāo)的符合性。

2.4 證據(jù)收集成本

依據(jù)工程經(jīng)驗(yàn)可知，證據(jù)收集成本與置信度的相關(guān)性可描述為同類證據(jù)同樣將置信度提升差值?t時(shí)，起始基準(zhǔn)較小的證據(jù)所花費(fèi)的成本會(huì)低于另一項(xiàng)，即置信度v從0提升到0.3花費(fèi)的成本必定小于/等于v從0.6到0.9花費(fèi)的成本，甚至有可能隨著起始基準(zhǔn)的增加使得成本指數(shù)性增長。考慮到證據(jù)優(yōu)化方案于提升證據(jù)置信度所花費(fèi)的絕對成本，故而成本分布應(yīng)依據(jù)證據(jù)置信度從當(dāng)前值v提升?t所需的絕對成本f(?t,v)給出，實(shí)際使用中可借助Matlab等依據(jù)實(shí)際工程數(shù)據(jù)擬合獲得成本分布函數(shù)。

3 基于成本分配模型的證據(jù)收集方案

成本分配模型描述了提升頂級(jí)父目標(biāo)符合性到期望值時(shí)所花費(fèi)的最低證據(jù)收集總成本及對應(yīng)的證據(jù)收集方案。

其中，MinCost表示頂級(jí)父目標(biāo)從HisValue提升到ReqValue花費(fèi)的最小成本；TraceList表示最小成本下的證據(jù)收集鏈集合。

成本分配模型的構(gòu)建過程涉及到兩個(gè)模型、一項(xiàng)指南和3個(gè)規(guī)則?！皟蓚€(gè)模型”分別為目標(biāo)符合性論證模型和目標(biāo)符合性與成本關(guān)聯(lián)模型，“一項(xiàng)指南”為原生復(fù)雜論證模式轉(zhuǎn)換指南，“3個(gè)規(guī)則”為目標(biāo)符合性提升范圍劃定規(guī)則、關(guān)聯(lián)模型遍歷規(guī)則和證據(jù)收集鏈構(gòu)建規(guī)則。

目標(biāo)符合性論證模型分別對適航領(lǐng)域存在的4種基本論證模式構(gòu)建了對應(yīng)的目標(biāo)符合性論證公式，是目標(biāo)符合性與成本關(guān)聯(lián)模型構(gòu)建要素之一。

目標(biāo)符合性與成本關(guān)聯(lián)模型定位于描述深度為2的論證結(jié)構(gòu)下的頂級(jí)目標(biāo)符合性成本關(guān)聯(lián)關(guān)系，是成本分配模型實(shí)施過程的基本要素。

復(fù)雜論證模式轉(zhuǎn)換指南能夠保證上述兩個(gè)面向4種基本論證模式的模型即使在復(fù)雜論證模式的情況下也能成功構(gòu)建。

目標(biāo)符合性提升范圍劃定規(guī)則用于為目標(biāo)符合性與成本關(guān)聯(lián)模型建立過程規(guī)避掉無效用的計(jì)算。

關(guān)聯(lián)模型遍歷規(guī)則描述了為論證結(jié)構(gòu)中各目標(biāo)建立關(guān)聯(lián)模型時(shí)應(yīng)遵循的構(gòu)建順序。

證據(jù)收集鏈構(gòu)建規(guī)則描述了如何從頂級(jí)目標(biāo)的關(guān)聯(lián)模型中回溯獲得最終的證據(jù)收集方案。

上述各模型與規(guī)則的作用關(guān)系如圖2所示。

3.1 目標(biāo)符合性論證模型

目標(biāo)符合性論證模型的定義如下：

其中，CPSet為證據(jù)“能證明目標(biāo)滿足符合性要求”的置信度；ArguType為目標(biāo)符合性論證方法。

當(dāng)論證方法ArguType為D-S證據(jù)理論時(shí)，構(gòu)建識(shí)別框架Θ={valid,unvalid,uncertain}，其中valid表示目標(biāo)通過符合性認(rèn)證這一斷言成立的可信度，unvalid表示目標(biāo)通過符合性認(rèn)證這一斷言不成立的可信度，uncertain表示不確定程度，則有：

Fig.2 Relationship between model and rule圖2 模型與規(guī)則作用關(guān)系圖

當(dāng)論證方法ArguType為事件概率中的交事件時(shí)，目標(biāo)通過符合性認(rèn)證這一斷言成立的充分條件是各證據(jù)項(xiàng)均通過符合性認(rèn)證，則有：

當(dāng)論證方法ArguType為事件概率中的合事件時(shí)，目標(biāo)通過符合性認(rèn)證這一斷言成立的充分條件是存在證據(jù)項(xiàng)通過符合性認(rèn)證，則有：

3.2 目標(biāo)符合性與成本關(guān)聯(lián)模型

關(guān)聯(lián)模型以成本為目標(biāo)函數(shù)，表示目標(biāo)符合性程度每提升x所花費(fèi)的證據(jù)收集成本。

其中，DP表示一種動(dòng)態(tài)規(guī)劃方案，是形成該關(guān)聯(lián)模型的核心組件；HisValue表示目標(biāo)符合性當(dāng)前值；ReqValue表示目標(biāo)符合性期望值；MinCost表示將目標(biāo)符合性從HisValue提升到ReqValue的最小成本；ETuple表示收集成本為MinCost時(shí)的直接證據(jù)的收集方案，如下方式：

DP是以成本最低為目標(biāo)的動(dòng)態(tài)規(guī)劃方案，其規(guī)劃過程需要論證模式、論證方法、證據(jù)成本、目標(biāo)符合性當(dāng)前值和目標(biāo)符合性期望值的支持。

其中，AM表示目標(biāo)的論證模式；AU表示目標(biāo)符合性論證函數(shù)；FSet表示證據(jù)成本集合；CPSet表示證據(jù)符合性程度當(dāng)前值集合。

假設(shè)對目標(biāo)g建立符合性與成本的關(guān)聯(lián)模型，其中目標(biāo)g符合性受n個(gè)證據(jù)e1,e2,…,en論證，每個(gè)證據(jù)的初始符合性程度記為ci,i=1,2,…,n,則DP動(dòng)態(tài)規(guī)劃方案執(zhí)行步驟描述如下：

輸入：AM，AU，F(xiàn)set，CPSet，HistValue，ReqValue。

輸出：C(g,k,k′)表示目標(biāo)g符合性從k′提升到k所產(chǎn)生的最小成本；ETuple表示最小成本下的證據(jù)提升分配方案。

約束條件：

1.k=ReqValue,k′=HisValue

2.若AM.ArguType=null,n=1,即論證模式為“單證據(jù)支持”，則:

3.若AM.ArguType=null或AM.ArguType=and，即論證模式為“多證據(jù)支持”或“與邏輯”，則:

其中，Eg[k][i]表示最多提升目標(biāo)g的前i個(gè)證據(jù)使得A符合性達(dá)到k的最低成本；pg(t1,t2,…,ti)表示目標(biāo)g的前i個(gè)證據(jù)提升到ti所花費(fèi)的成本。

4.若AM.ArguType=or即論證模式為“或邏輯”：

上述動(dòng)態(tài)規(guī)劃方案，依據(jù)論證模型作為優(yōu)化過程中的約束條件，使得輸出結(jié)果總能保證目標(biāo)符合性達(dá)到期望值。該關(guān)聯(lián)模型的建立，將論證結(jié)構(gòu)中各目標(biāo)符合性的提升成本從未知轉(zhuǎn)為已知，使得后續(xù)成本分配模型得以展開。

3.3 復(fù)雜論證模式轉(zhuǎn)換指南

目標(biāo)符合性與成本關(guān)聯(lián)模型應(yīng)用場景建立在圖1所描述的4種基本論證模式上。在論證結(jié)構(gòu)中，可能會(huì)存在復(fù)雜論證模式，這類論證模式無法直接支持目標(biāo)符合性與成本關(guān)聯(lián)模型的建立。因此，本節(jié)給出一種轉(zhuǎn)換指南指導(dǎo)復(fù)雜論證模式到基本論證模式的轉(zhuǎn)換。轉(zhuǎn)換的前提是保證論證結(jié)構(gòu)轉(zhuǎn)換前后的一致性，轉(zhuǎn)換后論證模式應(yīng)為4種基本論證模式的簡單相加。

這里復(fù)雜論證模式指具有以下3種任意一種的表現(xiàn)形式：

（3）在同一目標(biāo)→目標(biāo)的論證維度下，無法用單一的“與邏輯”或“或邏輯”表示論證關(guān)系，表現(xiàn)為A&(B|C)→D或者A|(B&C)→D。

針對上述3種表現(xiàn)形式，建立轉(zhuǎn)換指南如圖3所示。

3.4 目標(biāo)符合性提升范圍劃定規(guī)則

目標(biāo)符合性提升范圍Ug=[a,b]定義了頂級(jí)父目標(biāo)符合性達(dá)到期望值時(shí)目標(biāo)g自身符合性允許的取值區(qū)間。其中，a表示目標(biāo)g的符合性至少要提升到a才使得頂級(jí)父目標(biāo)符合性可能達(dá)到期望值，b表示目標(biāo)g的符合性提升到b時(shí)使得頂級(jí)父目標(biāo)符合性必定達(dá)到期望值。

通過為目標(biāo)g設(shè)定提升范圍，可以為后續(xù)目標(biāo)符合性與成本關(guān)聯(lián)模型建立過程規(guī)避掉無效用的計(jì)算，因?yàn)樘嵘繕?biāo)g的置信度到b肯定比b+ε的成本要低，而目標(biāo)g的置信度小于a時(shí)獲得的搜索組合無法使頂級(jí)目標(biāo)置信度達(dá)到期望值。

Fig.3 Conversion guide圖3 轉(zhuǎn)換指南

目標(biāo)符合性提升范圍由父目標(biāo)符合性的提升范圍、目標(biāo)符合性當(dāng)前值及目標(biāo)與父目標(biāo)間的論證模式確定。依據(jù)上述要素，將影響性質(zhì)劃分為3類：

第一類目標(biāo)：該類目標(biāo)必使得頂級(jí)目標(biāo)“通過符合性審查”的置信度小于期望值。

第二類目標(biāo)：非第一類和第三類的目標(biāo)。

第三類目標(biāo)：該類目標(biāo)必使得頂級(jí)目標(biāo)“通過符合性審查”的置信度大于期望值。

設(shè)目標(biāo)g的符合性當(dāng)前取值為HV，其父目標(biāo)r的提升范圍為Up=[L,H]，則目標(biāo)符合性提升范圍Ug的劃定規(guī)則如表1所示。

Table 1 Lifting rangeUg=[a,b]delineation rules表1 提升范圍Ug=[a,b]劃定規(guī)則

3.5 關(guān)聯(lián)模型遍歷規(guī)則

建立父目標(biāo)的符合性與成本關(guān)聯(lián)模型的前提是其1級(jí)子目標(biāo)均建立了成本關(guān)聯(lián)模型。在面向完整論證結(jié)構(gòu)時(shí)，只有位于論證結(jié)構(gòu)最底層的普通證據(jù)的成本分布是給定的，各級(jí)目標(biāo)的成本均需要通過建立目標(biāo)符合性與成本關(guān)聯(lián)模型獲得。

結(jié)合上述分析，將論證結(jié)構(gòu)看作一棵論證樹，其中頂級(jí)父目標(biāo)為樹的根節(jié)點(diǎn)，各級(jí)子目標(biāo)按照論證層次作為樹中的各級(jí)節(jié)點(diǎn)，普通證據(jù)為樹的葉節(jié)點(diǎn)，定義關(guān)聯(lián)模型遍歷規(guī)則如下：

（1）后根遍歷論證樹的各目標(biāo)子樹。

（2）訪問根節(jié)點(diǎn)，即頂級(jí)目標(biāo)。

3.6 證據(jù)收集鏈構(gòu)建規(guī)則

證據(jù)收集鏈?zhǔn)墙M成證據(jù)收集方案的基本單位，其具有以下性質(zhì)：

（1）假設(shè)以父目標(biāo)構(gòu)建一棵樹，則其證據(jù)收集鏈即為以鏈?zhǔn)诪楦?jié)點(diǎn)的n棵子樹，子樹葉節(jié)點(diǎn)構(gòu)成該鏈?zhǔn)醉?xiàng)的證據(jù)收集集合，所有子樹的葉節(jié)點(diǎn)構(gòu)成該父目標(biāo)的證據(jù)收集集合。

（2）證據(jù)收集鏈的總數(shù)表示了所需要提升的1級(jí)子目標(biāo)數(shù)。

證據(jù)收集鏈的構(gòu)建過程，即是基于廣度遍歷的關(guān)聯(lián)模型搜索過程。定義證據(jù)收集鏈構(gòu)建規(guī)則如下：

（1）初始化n條證據(jù)收集鏈，n表示頂級(jí)父目標(biāo)關(guān)聯(lián)模型下ETuple集中提升力度>0的項(xiàng)的總數(shù)，上述n項(xiàng)即為鏈?zhǔn)住?/p>

（2）建立一棵以頂級(jí)父目標(biāo)為根節(jié)點(diǎn)的樹，其子節(jié)點(diǎn)即為上述n項(xiàng)目標(biāo)。

（3）廣度遍歷樹，若節(jié)點(diǎn)為目標(biāo)，則獲得該目標(biāo)關(guān)聯(lián)模型下ETuple集中提升力度>0的m項(xiàng)，拓展為該節(jié)點(diǎn)的子節(jié)點(diǎn)；若節(jié)點(diǎn)為普通證據(jù)，不進(jìn)行處理。

（4）當(dāng)遍歷結(jié)束時(shí)，證據(jù)提升鏈構(gòu)建完成。

4 案例分析

為了說明方案的有效性，案例全覆蓋了文中提到的各分支情況，包括4種基本論證模式、復(fù)雜論證模式、不同類別的目標(biāo)，能夠很好地詮釋本文提出的方案在案例中的實(shí)施過程。案例分析的目標(biāo)是說明方案的有效性：（1）方案能夠覆蓋標(biāo)準(zhǔn)符合性審查中的普遍論證模式；（2）依據(jù)方案能夠獲得滿足約束條件的證據(jù)收集建議。

選取RTCA DO-178C[12]中的目標(biāo)“High-level requirements comply with system requirements.”作為頂級(jí)目標(biāo)，其對應(yīng)的目標(biāo)符合性論證結(jié)構(gòu)如圖4所示，數(shù)據(jù)信息如表2所示。

Fig.4 Argument structure圖4 論證結(jié)構(gòu)關(guān)系圖

Table 2 Basic data information表2 基本數(shù)據(jù)信息表

A:High-level requirements comply with system requirements.

o1:All system requirements are satisfied by the high level requirements.

o2:Derived requirements and the reason for their existence are correctly defined.

o3:There is no derived requirements at all.

e1:Software verification results about the functional requirements compliance.

e2:Software verification results about the performance requirements compliance.

e3:Software verification results about the safety-related requirements compliance.

e4:Software verification results about the derived requirements compliance.

e5:Software verification results about the derived requirements recorded.

e6:Software verification results about the derived requirements recorded.

其中證據(jù)e1、e2、e3、e4到目標(biāo)o1表現(xiàn)為多證據(jù)支持論證模式；證據(jù)e5到目標(biāo)o2表現(xiàn)為單證據(jù)支持論證模式；證據(jù)e6到目標(biāo)o3表現(xiàn)為單證據(jù)支持論證模式；目標(biāo)o1、o2、o3到目標(biāo)A表現(xiàn)為復(fù)雜論證模式。

其中，證據(jù)置信度與證據(jù)成本分布由申請人或?qū)＜姨峁繕?biāo)置信度通過上文中的目標(biāo)符合性論證模型獲得。在這里，本文問題重心定位為“目標(biāo)符合性論證中成本優(yōu)化的證據(jù)收集方法”,故前提條件中的證據(jù)置信度和證據(jù)成本分布均為仿真數(shù)據(jù)，真實(shí)數(shù)據(jù)由申請人或?qū)＜姨峁?/p>

通過建立目標(biāo)符合性與成本關(guān)聯(lián)模型，獲得目標(biāo)o1、o2和o3的目標(biāo)符合性與最小成本的對應(yīng)關(guān)系如圖5所示，其中x軸表示目標(biāo)符合性取值，y軸表示最小成本，(x,y)表示將目標(biāo)符合性從當(dāng)前值提升到x所需的最小成本，數(shù)據(jù)標(biāo)注描述了最小成本下的證據(jù)收集方案ETuple。

最后，對頂級(jí)父目標(biāo)A建立關(guān)聯(lián)模型，獲得目標(biāo)A符合性從0.89提升到0.94的最小成本為19.67，對應(yīng)的直接收集方案為：提升目標(biāo)o1符合性到0.97，提升目標(biāo)o2符合性到0.95，提升目標(biāo)o3符合性到0.40。依據(jù)證據(jù)收集鏈構(gòu)建規(guī)則，獲得最終的證據(jù)收集方案為表3所示。

Fig.5 Relationship between object conformance and minimum cost圖5 目標(biāo)符合性與最小成本對應(yīng)關(guān)系圖

Table 3 Evidence collection表3 證據(jù)收集方案

在實(shí)際收集過程中，可圍繞提高證據(jù)的完備率或證據(jù)可信度展開。其中，證據(jù)的完備率表明了其支持目標(biāo)通過符合性審查的能力，而證據(jù)收集方式的差異將會(huì)影響證據(jù)的可信度。舉例來說，支持軟件版本質(zhì)量滿足目標(biāo)“最新版本的測試失效數(shù)大于5”的要求的證據(jù)是”最新版本的測試失效數(shù)為2”，假設(shè)該證據(jù)的置信度（0.7,0.1,0.2），若要提升置信度到（0.9,0,0.1），則可以考慮從（1）測試覆蓋率；（2）RTOS4A復(fù)雜度；（3）測試成本；（4）測試方法等方面加以提升。

案例中覆蓋了“基于證據(jù)的目標(biāo)符合性評審”中會(huì)涉及到的4種論證模式，能夠適用于符合性論證中的大多論證結(jié)構(gòu)。同時(shí)，針對復(fù)雜的論證模式，給出了轉(zhuǎn)換指南以指導(dǎo)完成復(fù)雜論證模式到基本論證模式的轉(zhuǎn)換。說明目標(biāo)符合性提升方案能夠適用于多種論證場景。

將案例返回的證據(jù)優(yōu)化方案作為驗(yàn)證信息，代入e1=(0.68,0.30,0.02)，e2=(0.50,0.20,0.30)，e3=(0.50,0.20,0.30)，e5=(0.70,0.10,0.20)，e6=(0.40,0.60,0)到目標(biāo)A的符合性論證中獲得A(0.941,0.052,0.007)，由于0.941>0.940，說明目標(biāo)符合性提升方案能夠保證目標(biāo)A的符合性達(dá)到期望值0.940。

為驗(yàn)證證據(jù)收集方案劃定的證據(jù)項(xiàng)是否滿足高效低成本的要求，對目標(biāo)o1的證據(jù)e1、e2、e3、e4在收集力度?t=0.08下的效力和成本進(jìn)行分析，得到表4。

Table 4 Effectiveness of evidence and cost under the same collection effort表4 同收集力度下的證據(jù)效力和成本

依據(jù)表4可知，在同等收集力度，證據(jù)e1不僅效力不低于其他證據(jù)，且成本最低，說明了證據(jù)收集方案結(jié)果的合理性。

依據(jù)案例中提供的各證據(jù)絕對成本分布函數(shù)繪制成本分布趨勢如圖6所示。

Fig.6 Evidence cost distribution圖6 證據(jù)成本分布圖

依據(jù)表3中的證據(jù)收集方案，觀察圖6可知，各證據(jù)的收集力度?t均控制在絕對成本f(?t,v)呈較低成本階段，說明本文提出的以最低成本為目標(biāo)提升方案是有效的。

5 相關(guān)工作

雖然目前存在與證據(jù)收集相關(guān)的研究和方法，但主要集中在如何避免收集無效證據(jù)和如何簡化人工證據(jù)收集過程。

OMG（Object Management Group）在 2008年提出的SVBR（semantic business vocabulary and rules）[13]和在2011年提出的SACM（structured assurance case model）[14]，前者主要解決安全目標(biāo)描述時(shí)自然語言表達(dá)的不一致性和二義性來描述安全目標(biāo),后者主要幫助構(gòu)建和管理證據(jù)，但兩者均缺少對證據(jù)收集過程的描述。

文獻(xiàn)[5]提出了一種基于SLRs的安全證據(jù)收集、管理與評估的方法，但并未展開如何合理地組織證據(jù)來提高論證過程的相關(guān)研究。文獻(xiàn)[15-16]設(shè)計(jì)了用于證據(jù)收集的工具。

基于上述相關(guān)研究，能夠有效地幫助收集者收集與目標(biāo)符合論證相關(guān)的有效證據(jù)，但忽略了有效證據(jù)間也存在論證效力和收集成本的差異。

本文從證據(jù)論證效力和收集成本出發(fā)，提出了一種新的證據(jù)收集角度來提升目標(biāo)符合性論證結(jié)果，解決當(dāng)前證據(jù)收集研究領(lǐng)域的局限性。

6 結(jié)束語

本文針對D-S證據(jù)理論和事件概率的目標(biāo)符合性論證，提出了一種基于成本分配模型的證據(jù)收集方案，指導(dǎo)提升目標(biāo)符合性到期望值的過程，以保證證據(jù)收集的成本較低。分析目標(biāo)符合性論證結(jié)構(gòu)，針對4種基本論證模式建立目標(biāo)符合性關(guān)聯(lián)模型，并為復(fù)雜論證模式建立轉(zhuǎn)換指南以拓寬模型的適用性。在關(guān)聯(lián)模型建立階段，約束了目標(biāo)符合性取值范圍，有效地規(guī)避了無效用計(jì)算。在以后的研究中，將在關(guān)聯(lián)模型的目標(biāo)遍歷規(guī)則中依據(jù)劃分的目標(biāo)類別構(gòu)造遍歷優(yōu)先級(jí)，來代替當(dāng)前平等的后根遍歷算法以提高計(jì)算效率。此外，針對BNNs條件概率和主觀邏輯與本文方案采用論證方法具有相通性，可拓展方案到適用于上述兩種論證方法中。