衛(wèi)星導(dǎo)航系統(tǒng)的體系安全性分析方法*

?

衛(wèi)星導(dǎo)航系統(tǒng)的體系安全性分析方法*

張旺勛，李群，侯洪濤，王維平

(國防科技大學(xué) 信息系統(tǒng)與管理學(xué)院，湖南 長沙410073)

摘要：為了應(yīng)對衛(wèi)星導(dǎo)航系統(tǒng)內(nèi)部復(fù)雜關(guān)系等體系特征為其安全分析帶來的挑戰(zhàn)、全面識別和分析衛(wèi)星導(dǎo)航系統(tǒng)面臨的體系安全威脅、提高系統(tǒng)的安全性和服務(wù)能力，基于功能依賴網(wǎng)絡(luò)分析理論提出了從體系角度研究衛(wèi)星導(dǎo)航系統(tǒng)安全性的建模方法，重點對導(dǎo)航系統(tǒng)內(nèi)組件系統(tǒng)之間交互關(guān)系導(dǎo)致的危險傳播、任意失效組合進行了后果分析和原因調(diào)查。仿真結(jié)果表明該方法能清晰地描述危險傳播和失效組合的過程以及進行正逆向的推理分析，也證明了該方法在衛(wèi)星導(dǎo)航系統(tǒng)安全分析問題上的潛力和適用性。

關(guān)鍵詞：衛(wèi)星導(dǎo)航系統(tǒng)；體系；安全性分析；功能依賴網(wǎng)絡(luò)分析

全球衛(wèi)星導(dǎo)航系統(tǒng)(Global Navigation Satellite Systems, GNSS)作為信息化時代的指南針，在經(jīng)濟建設(shè)各個領(lǐng)域應(yīng)用越來越廣泛[1]，然而由于子系統(tǒng)眾多、交互關(guān)系復(fù)雜、空間分布廣等特點，系統(tǒng)自身存在一定的脆弱性和安全風(fēng)險。導(dǎo)航系統(tǒng)脆弱性和安全性研究已經(jīng)引起了廣泛的關(guān)注[2-4]。

根據(jù)已有文獻的研究，衛(wèi)星導(dǎo)航系統(tǒng)的脆弱性和安全工作研究內(nèi)容主要集中在三個方面[5-6]：1)定性列舉衛(wèi)星導(dǎo)航系統(tǒng)可能面臨的各種威脅手段及相應(yīng)安全措施；2)信號鏈路的干擾和抗干擾研究；3)全系統(tǒng)角度研究導(dǎo)航系統(tǒng)的脆弱性和防護問題。通過文獻查閱和對比不難看出，已有研究大多偏重于對某個具體威脅或安全防護措施進行分析，而且大多僅從信號質(zhì)量或鏈路本身出發(fā)，而從全系統(tǒng)或體系角度研究導(dǎo)航系統(tǒng)的安全和防護問題的文獻較少，仍處于探索階段。

GNSS由空間段、地面控制段和用戶段三大系統(tǒng)及其鏈路組成，各大系統(tǒng)又包括若干子系統(tǒng)，系統(tǒng)之間存在復(fù)雜的交互和依賴關(guān)系，僅從局部組件或單獨鏈路分析已經(jīng)不能滿足其安全防護的需求，因此需要從體系(System of Systems，SoS)的角度研究其安全性，即通過對GNSS體系組成、系統(tǒng)接口、交互關(guān)系、體系網(wǎng)絡(luò)結(jié)構(gòu)、工作模式等進行分析，重點關(guān)注并解決體系內(nèi)系統(tǒng)間相互作用關(guān)系和涌現(xiàn)行為可能產(chǎn)生的安全風(fēng)險。

體系間相互作用產(chǎn)生的危險大致可分為四類：一是組件系統(tǒng)失效或故障通過系統(tǒng)間相互關(guān)系在體系中傳播；二是多個組件失效或故障的組合效應(yīng)；三是系統(tǒng)間接口或關(guān)系異常導(dǎo)致的危險；四是體系演化過程中產(chǎn)生的危險。以衛(wèi)星導(dǎo)航系統(tǒng)為對象，提出了一種能對上述四類體系危險進行建模分析的方法。

1研究現(xiàn)狀

針對上述四類體系危險，傳統(tǒng)安全性可靠性建模分析方法都具有一定的局限性。故障模式和影響分析[7]是把系統(tǒng)分割成子系統(tǒng)或元件，逐個分析元件可能發(fā)生的故障和故障模式，不能分析多個子系統(tǒng)組合失效引起的故障；故障樹[8]從單個事故出發(fā)，分析可能引發(fā)該事故的所有事件組合，對于具有多種故障模式的系統(tǒng)，則需要建立多棵故障樹；事件樹[9]則是從單個事件出發(fā)，分析該事件的發(fā)生可能導(dǎo)致哪些后果，同樣對于復(fù)雜系統(tǒng)它需要建立多棵樹，另外，事件樹只能分析單獨事件而不能分析組合事件的影響。Petri網(wǎng)[10]對大型復(fù)雜系統(tǒng)分析時，由于系統(tǒng)規(guī)模較大，可達圖難以獲取，導(dǎo)致定性定量分析難以進行。貝葉斯網(wǎng)絡(luò)[11]分析要求給出事件的先驗概率和條件概率，而這些數(shù)據(jù)又是不容易獲得的，所以其應(yīng)用受到了限制。因此，需要探索開發(fā)新的適應(yīng)于體系安全分析的方法技術(shù)。

當(dāng)前關(guān)于體系安全性的研究已經(jīng)引起了學(xué)術(shù)界和工程界的強烈關(guān)注，并提出了相關(guān)模型和技術(shù)，幾種典型的方法包括：Perrow早在1984就提出了正常事故理論(Normal Accident Theory，NAT)，用來研究由多個系統(tǒng)或組件的相互作用而可能產(chǎn)生的“正?！笔鹿蔥12]；Leveson根據(jù)系統(tǒng)理論和控制科學(xué)提出了系統(tǒng)理論的事故模型和過程(Systems Theoretic Accident Modeling and Process，STAMP)，將安全問題看作是一類控制問題，事故被看作是由組件間交互而導(dǎo)致系統(tǒng)安全約束的違背的結(jié)果[13]；Alexander等結(jié)合國防部體系架構(gòu)，提出了基于Agent的仿真分析方法(Simulation-based Hazard Analysis，SimHAZAN)來研究軍事體系的威脅分析[14]；Redmond提出了分析接口類危險的輸入輸出事故(Input/Output Mishap，IOM)方法[15]。

作為一個新興領(lǐng)域，盡管體系安全性已經(jīng)引起了一定的關(guān)注，但是仍然缺乏普適的方法論，通過表1可以看出上述方法都各有側(cè)重或針對特定領(lǐng)域。借鑒前人理論，提出一種基于功能依賴網(wǎng)絡(luò)的導(dǎo)航系統(tǒng)的體系安全性建模分析方法。

表1　4種體系安全性分析方法比較

2基于功能依賴網(wǎng)絡(luò)分析的安全性分析

2.1　方法介紹

Garvey和Pinto等最早提出功能依賴網(wǎng)絡(luò)分析[16](Functional Dependency Network Analysis , FDNA)方法，用來分析某個系統(tǒng)性能的失效對其他依賴的性能引起的連鎖反應(yīng)。該方法提供了評估拓撲結(jié)構(gòu)和單個或多個系統(tǒng)功能退化對體系中各節(jié)點的影響的能力[17-18]。目前，該方法已經(jīng)被應(yīng)用到多個領(lǐng)域：Drabble將其用于分析協(xié)作網(wǎng)絡(luò)中的信息轉(zhuǎn)移問題[19]；Guariniello和DeLaurentis對其進行了適當(dāng)擴展，并進行了較為廣泛的應(yīng)用，將其用于航空體系的維修問題、體系架構(gòu)分析、體系信息和賽博安全問題[20]；王玥和張旺勛等對其在衛(wèi)星導(dǎo)航系統(tǒng)的安全性分析領(lǐng)域進行了探索[21-22]并正在開展更深入具體的研究。

從依賴的角度將系統(tǒng)中的實體分為提供者和接受者兩類，簡稱為供點和受點。受點的性能水平受到兩個屬性的影響，即依賴強度(Strength of Dependency, SOD)和依賴關(guān)鍵度(Criticality of Dependency, COD)。SOD描述依賴關(guān)系對基本運行水平的貢獻；而COD描述依賴關(guān)系對基本運行水平的制約或牽制。

圖1　FDNA示例圖Fig.1　An example of FDNA

如圖1所示，在節(jié)點vi作用下節(jié)點vj的性能Pj如式(1)所示：

Pj=f(αij,βij,Pi)

(1)

式中，αij和βij分別表示節(jié)點vj對節(jié)點vi的依賴強度參數(shù)(SOD)和依賴關(guān)鍵度參數(shù)(COD)。

更一般的情況，對于有k個提供者的情況，則接受者節(jié)點vj的性能Pj可以表示為：

Pj=F(α1j, β1j, P1, α2j, β2j, P2, …，αkj, βkj, Pk)

(2)

2.2　建模和分析步驟

FDNA具有網(wǎng)絡(luò)化的表現(xiàn)形式、可視化強、計算原理清晰易懂、能夠描述組合失效等諸多優(yōu)勢，因此對于描述導(dǎo)航體系安全評價和分析問題同樣具有很好的適用性?；贔DNA的導(dǎo)航系統(tǒng)的體系安全性建模和分析步驟如下：

1)建立系統(tǒng)的基本依賴網(wǎng)絡(luò)模型。用G={V,E}表示整個網(wǎng)絡(luò)，節(jié)點vi∈V表示導(dǎo)航系統(tǒng)中的各實體，如衛(wèi)星、地面站等；節(jié)點間的依賴關(guān)系ei,j∈E用來描述各站點或衛(wèi)星之間的相互作用、協(xié)作等依賴關(guān)系。在節(jié)點選擇和關(guān)系建立時，要借鑒設(shè)計文檔、歷史經(jīng)驗、專家意見等。

2)描述和確定依賴參數(shù)。用αij和βij分別表示節(jié)點vj對節(jié)點vi的依賴強度參數(shù)和依賴關(guān)鍵度參數(shù)。αij可以通過式(3)計算：

100(1-αij)=x

(3)

式中，x是在沒有提供者的情況下，接受節(jié)點的基本性能水平。如在沒有提供者的情況下，節(jié)點vj的性能水平為50，則αij=0.5。αij越小表示節(jié)點vj對節(jié)點vi的依賴越弱，0≤αij≤1。

COD表示提供者對接受者的制約限制情況，即使其他提供者都正常工作，或者允許接受者有更高的性能，但是某個節(jié)點的COD限制了其性能。節(jié)點vj的性能不能超過Pi+βij，Pi是提供者的性能水平，且0≤Pi≤100。即有式(4)成立：

Pj≤Pi+βij， 0≤βij≤100

(4)

3)定義體系事故。體系中各系統(tǒng)的狀態(tài)或性能異常并不一定會導(dǎo)致整個體系發(fā)生事故。這一步需要定義哪些情況可能導(dǎo)致體系事故。這里根據(jù)危險與可操作性分析(HazardandOperabilityAnalysis,HAZOP)或故障樹分析(FaultTreeAnalysis,FTA)等傳統(tǒng)安全性分析方法，或者專家經(jīng)驗、歷史數(shù)據(jù)等列出可能導(dǎo)致系統(tǒng)事故的條件或狀態(tài)。設(shè)體系中共有N種可能事故Ω={M1,M2,…,MN}，用Si={si1,si2,…,sim}表示可能導(dǎo)致體系中第i種事故的最小狀態(tài)集合，其中Si≠?且Si?S，si表示某個子系統(tǒng)的狀態(tài)，S表示所有子系統(tǒng)狀態(tài)的集合。

4)危險后果分析。分析單個系統(tǒng)或多個系統(tǒng)的性能參數(shù)或狀態(tài)發(fā)生變化對其他節(jié)點以及對整個系統(tǒng)的影響。

根據(jù)木桶原理將式(1)定義為式(5)：

Pj=min[g(αij,Pi),h(βij,Pi)]

(5)

其中，

(6)

更一般的情況，對于有多個提供節(jié)點的情況，則節(jié)點vj的性能，即式(2)可以表示為式(7)：

0≤Pj=min(SODPj,CODPj)≤100

(7)

其中，

SODPj=avg(SODPj1,SODPj2,…,SODPjh)

(8)

SODPji=αijPi+100(1-αij)

(9)

CODPj=min(CODPj1,CODPj2,…,CODPjh)

(10)

CODPji=Pi+βij

(11)

根據(jù)式(5)~(11)，則可以計算網(wǎng)絡(luò)中單個或多個節(jié)點的性能參數(shù)發(fā)生變化對相鄰接受節(jié)點的影響，進而獲得對整個網(wǎng)絡(luò)所有節(jié)點的影響。

5)事故原因分析。針對不同的事故，分析可能導(dǎo)致事故發(fā)生的原因。對異常狀態(tài)集SN={s1,s2,…,sn}，分析每個狀態(tài)異常的根原因，最終的根原因集合表示為R={r1,r2,…,rk}。事故原因分析實際就是依賴關(guān)系的逆向分析，根據(jù)功能依賴網(wǎng)絡(luò)中的依賴關(guān)系，有受點逆向的需找其供點，并分析其性能變化。

3應(yīng)用示例

3.1　背景和假設(shè)

假設(shè)某部門UR需要在某特定區(qū)域完成某項任務(wù)，該區(qū)域在任務(wù)時間可見的導(dǎo)航衛(wèi)星有6顆，分別記為STL1~STL6。6顆衛(wèi)星與地面監(jiān)測站SVL1~SVL3和上行注入天線ATN1~ATN3進行交互，完成衛(wèi)星健康診斷、更新星歷和時鐘等活動。主控站MCS負責(zé)數(shù)據(jù)收集和處理，它由各監(jiān)測站提供數(shù)據(jù)，然后將處理過的數(shù)據(jù)通過上注天線上載給衛(wèi)星。示意圖如圖2所示。

圖2　導(dǎo)航系統(tǒng)示例圖Fig.2　Demonstration of a GNSS

3.2　分析過程

下面根據(jù)上一節(jié)的方法和具體步驟，對上述應(yīng)用問題開展安全性分析。

1)建立系統(tǒng)的基本依賴網(wǎng)絡(luò)模型。本例中的節(jié)點包括6顆衛(wèi)星、3個監(jiān)測站、3個天線、1個主控站和1個用戶，共14個節(jié)點。構(gòu)建的基本依賴網(wǎng)絡(luò)如圖3所示。

圖3　基本依賴網(wǎng)絡(luò)模型Fig.3　Basic dependency network model

2)描述和確定依賴參數(shù)。根據(jù)系統(tǒng)運行原理、相關(guān)專家知識，網(wǎng)絡(luò)中各節(jié)點的依賴參數(shù)值如表2所示。

3)定義體系事故。通過HAZOP、FTA等經(jīng)典方法，確定的GNSS體系中的幾類體系事故如表3所示。

表2　αij和βij取值表

表3　GNSS體系事故列表

單顆衛(wèi)星明顯下降的定義：

監(jiān)測站或上注天線性能嚴(yán)重下降的定義：

4)危險后果分析。根據(jù)上述模型、參數(shù)和定義的事故類型，分析不同的異常狀態(tài)對系統(tǒng)中各節(jié)點的影響，并判斷是否會引起體系事故。

a.確定性分析

以天線v4性能降低為40為例進行確定性分析，研究其對其他節(jié)點和系統(tǒng)的影響。

首先根據(jù)式(5)、式(6)以及表1中的數(shù)據(jù)對受點衛(wèi)星v8，v9和v10的參數(shù)狀態(tài)進行計算。v8的計算如下所示：

P8=min[g(α48,P4),h(β48,P8)]=85

同理，P9=88，P10=79。

然后對v8，v9和v10的受點v13和v14的性能進行計算，這兩點都有多個受點，需要根據(jù)式(7)~(11)計算，v13的計算如下所示：

P13=min(SODP13,CODP13)=94.9

同理，P14=98.03。

進一步，對v13的受點v1性能計算得到P1=99.02。將系統(tǒng)各節(jié)點的狀態(tài)參數(shù)與表3的事故表對比，最終，網(wǎng)絡(luò)中各節(jié)點的性能如表4所示。

表4　v4性能降為40對各節(jié)點的影響

表4數(shù)據(jù)顯示v4性能降低為40對衛(wèi)星v8，v9和v10影響較大，其他節(jié)點的影響不大。對比體系事故表，因為有三顆衛(wèi)星性能明顯下降，出現(xiàn)了Ⅱ類事故。

b.隨機性分析

確定性分析是v4取固定值對其他節(jié)點的影響分析，隨機分析則通過仿真，在v4取較低值(μ=20，σ=5的正態(tài)分布)和較高值(μ=80，σ=5的正態(tài)分布)時各仿真1萬次，如圖4所示，得到其他節(jié)點性能的概率密度曲線變化情況如圖5所示，從而分析v4對其他節(jié)點的影響。

圖4　v4性能概率密度曲線Fig.4　Probability distribution curves of v4performance

圖5　觀察節(jié)點概率密度曲線Fig.5　Effects of v4performance change on other nodes

根據(jù)圖5，v4由低值變?yōu)楦咧档倪^程中，對直接接受點v8的影響最大(均值由80變化到了95)；其次是間接受點v13(93.2到98.3)和v14(97.4到99.3)；影響最小的是v1(98.7到99.7)。

同時仿真過程中統(tǒng)計的各類體系事故出現(xiàn)的次數(shù)表明，在v4取較低值時必然導(dǎo)致事故Ⅱ發(fā)生，其他事故未發(fā)生；取較高值時沒有任何體系事故發(fā)生。

下面分析組合失效作用下對體系的影響。假設(shè)v4故障(μ=20，σ=5的正態(tài)分布)與衛(wèi)星v7故障(μ=20，σ=5的正態(tài)分布)同時發(fā)生。仿真1萬次， 6類事故的出現(xiàn)頻率如表5所示。

表5　v4和v7組合失效事故結(jié)果

表5表明：較之僅有v4故障的情況，v4和v7同時故障，體系事故類型明顯增多：僅v4故障時只出現(xiàn)了Ⅱ類事故；而v4和v7同時故障時，除事故Ⅴ之外，其他5類事故均有發(fā)生。各觀察節(jié)點的性能如圖6所示。

圖6　v4和v7組合失效事故結(jié)果Fig.6　Effects of combined faults of v4and v7on other nodes

由圖6可以看出，較之單點異常，v4和v7同時故障時，v8和v13變化不大；v14變化較大，而v1變化最大，均值到了75左右，而由于上注天線對v1具有很強的依賴性，所以其性能下降也很明顯，從而Ⅳ和Ⅵ事故都有很高的發(fā)生頻率。這是因為v8和v13與v7沒有較近的依賴關(guān)系；而v14和v1對v4和v7都有較強的依賴關(guān)系。

另外，可以根據(jù)導(dǎo)航服務(wù)性能的降階和不同事故發(fā)生的頻次，將威脅等級分為非常嚴(yán)重、嚴(yán)重、一般、較輕四個等級。

表6　威脅等級

根據(jù)上述威脅等級，v4性能降低為40的威脅等級一般；而v4和v7同時故障的威脅等級為非常嚴(yán)重。

5)事故原因分析。以前面組合失效的第5次仿真為例，此次仿真中發(fā)生了Ⅱ、Ⅲ、Ⅳ和Ⅵ類事故，事故原因調(diào)查即是由事故到原因的逆向過程，以查找Ⅳ類事故原因為例。

Ⅳ類事故的定義是“2號上注天線v3性能嚴(yán)重下降”，首先，根據(jù)節(jié)點信息I3={v1}以及圖3的網(wǎng)絡(luò)和表2中的依賴關(guān)系強度可以看出，2號上注天線v3的性能完全依賴于節(jié)點v1(α13=1)。在上例中，v1性能為72.94。

而v1自身沒有故障或失效，因此繼續(xù)查看v1的供點，發(fā)現(xiàn)v1的供點集合I1={v11,v12,v13}中，v11(96.5)和v13(92.8)性能有輕微退化，v12(17.9)性能則嚴(yán)重偏低。

而這幾個節(jié)點并沒有直接的故障或失效，因此繼續(xù)向上查找它們各自的供點集合。對于v12和v13，分別再進行1次和2次類似的逆推找到了v7和v4分別為各自的根原因；但對于v11，再經(jīng)過3步又回到了v1，進入了一個循環(huán)，很難再靠人工或手動繼續(xù)下去了。因此需要借助于計算機程序找到它的根原因是{v4,v7}。

至此，找到了Ⅳ事故的根源，即v4和v7性能太低。具體的分析過程如圖7所示。

圖7　事故原因分析過程Fig.7　An accident reason investigation process

找到事故原因后，則可以通過提高根源節(jié)點的防護性能或調(diào)節(jié)改善對應(yīng)鏈路的依賴關(guān)系來降低此類事故再次發(fā)生的可能性。

雖然仿真示例僅演示了方法對危險傳播、組合失效的分析過程，但對交互異常即關(guān)系和接口異常、演化過程產(chǎn)生的危險同樣適用。

4結(jié)論

當(dāng)前有關(guān)GNSS安全問題的研究絕大多數(shù)聚焦在具體攻防手段尤其是干擾抗干擾技術(shù)，很少有從系統(tǒng)全局或體系角度考慮GNSS的安全問題的。因此需要從體系的角度研究其安全性，重點關(guān)注并解決體系內(nèi)系統(tǒng)間相互作用關(guān)系和涌現(xiàn)行為可能產(chǎn)生的安全風(fēng)險，具體的包括危險傳播、組合失效、交互異常和演化危險四類新問題。

文章提出了基于FDNA方法的GNSS體系安全分析方法和詳細過程，并通過示例進行了演示，仿真示例結(jié)果證明了該方法對GNSS體系安全問題有很好的適用性：1)可以描述GNSS體系的基本信息和系統(tǒng)間的相互關(guān)系；2)能夠描述和分析危險傳播、組合失效、交互異常、演化危險等幾類體系危險；3)可以借助于計算機技術(shù)來完成主要的計算和分析工作。

雖然FDNA對于解決GNSS安全分析問題具有較好的適用性，但本文只是一個探索的開始，仍然需要進一步的研究，如GNSS網(wǎng)絡(luò)模型的進一步細化，考慮更多的節(jié)點和鏈路關(guān)系；網(wǎng)絡(luò)的敏感性和重構(gòu)分析。

參考文獻(References)

[1]KaplanE,HegartyC.UnderstandingGPS:principlesandapplications[M].Massachusetts:ArtechHouseIncPress, 2006.

[2]Thomas M, Norton J, Jones A, et al. Global navigation space systems: reliance and vulnerabilities[R]. London: The Royal Academy of Engineering, 2011.

[3]張旺勛, 侯洪濤, 王維平. 基于MATE的衛(wèi)星導(dǎo)航系統(tǒng)安全防護設(shè)計[J]. 系統(tǒng)工程與電子技術(shù), 2013, 35 (6): 1231-1235.

ZHANG Wangxun, HOU Hongtao, WANG Weiping. MATE based design for protection of GNSS[J]. System Engineering and Electronics, 2013, 35 (6): 1231-1235.(in Chinese)

[4]王東會, 徐博, 劉文祥, 等. 一種新的衛(wèi)星導(dǎo)航星間鏈路測距體制及其定軌性能分析[J]. 國防科技大學(xué)學(xué)報, 2014, 36(1): 62-66.

WANG Donghui, XU Bo, LIU Wenxiang, et al. A novel navigation inter-satellite links ranging hierarchy and its orbit determination performance[J]. Journal of National University of Defense Technology, 2014, 36(1): 62-66.(in Chinese)

[5]Zhang W X, Hou H T. Study on safety & protection ability of GNSS receiver from the view of main materiel system[J]. Applied Mechanics and Materials, 2014, 511-512: 1048-1052.

[6]嚴(yán)凱. GNSS 脆弱性仿真評估平臺技術(shù)研究[D]. 上海: 上海交通大學(xué), 2013.

YAN Kai. Research on GNSS vulnerability simulation and assessment platform technology[D]. Shanghai: Shanghai Jiaotong University,2013.(in Chinese)

[7]周經(jīng)倫, 龔時雨, 顏兆林. 系統(tǒng)安全性分析[M]. 長沙: 中南大學(xué)出版社, 2003.

ZHOU Jinglun, GONG Shiyu, YAN Zhaolin. System safety analysis[M]. Changsha: Central South University Press,2003.(in Chinese)

[8]董豆豆, 周忠寶, 馮靜, 等. 基于故障樹的系統(tǒng)安全風(fēng)險實時監(jiān)測方法[J]. 國防科技大學(xué)學(xué)報, 2006, 28 (2): 111-116.

DONG Doudou, ZHOU Zhongbao, FENG Jing, et al. Real-time monitoring method for system safety based on fault tree[J]. Journal of National University of Defense Technology, 2006, 28 (2): 111-116. (in Chinese)

[9]樊運曉, 羅云. 系統(tǒng)安全工程[M]. 北京: 化學(xué)工業(yè)出版社, 2009.

FAN Yunxiao, LUO Yun. System safety engineering[M]. Beijing: Chemical Industry Press, 2009. (in Chinese)

[10]金光. HPN基于網(wǎng)絡(luò)結(jié)構(gòu)的沖突關(guān)系[J]. 國防科技大學(xué)學(xué)報, 2002, 24 (4): 86-90.

JIN Guang. Structural conflicts in HPN[J]. Journal of National University of Defense Technology, 2002, 24 (4): 86-90. (in Chinese)

[11]董豆豆, 周經(jīng)倫, 趙炤, 等. 基于大規(guī)模貝葉斯網(wǎng)絡(luò)的安全性分析算法[J]. 國防科技大學(xué)學(xué)報, 2007, 29 (4): 130-134.

DONG Doudou, ZHOU Jinglun, ZHAO Zhao, et al. Safety analysis algorithm based on large scale bayesian networks[J]. Journal of National University of Defense Technology, 2007, 29 (4): 130-134. (in Chinese)

[12]Perrow C. Normal accidents: living with high-risk technologies[M]. New York: Basic Books, 1984.

[13]Leveson N. Engineering a safer world: systems thinking applied to safety[M]. Massachusetts: Massachusetts Institute of Technology Press, 2011.

[14]Alexander R, Kelly T. Supporting systems of systems hazard analysis using multi-agent simulation[J]. Safety Science, 2013, 51 (1): 302-318.

[15]Redmond P. A system of systems interface hazard analysis technique[D]. Monterey, California: Naval Postgraduate School, 2007.

[16]Garvey P R, Pinto C A. Advanced risk analysis in engineering enterprise systems[M]. Florida: Chemical Rubber Company Press, 2012.

[17]Guariniello C, DeLaurentis D. Integrated analysis of functional and developmental interdependencies to quantify and trade-off ilities for system-of-systems design, architecture, and evolution[J]. Procedia Computer Science, 2014, 28: 728-735.

[18]Guariniello C, DeLaurentis D. Dependency analysis of system-of-systems operational and development networks[J]. Procedia Computer Science, 2013, 16: 265-274.

[19]Drabble B. Information propagation through a dependency network model[C]//2012 International Conference on Collaboration Technologies and Systems (CTS), Denver,Colombia,IEEE, 2012:266-272.

[20]Guariniello C, DeLaurentis D. Communications, information, and cyber security in systems-of-systems: assessing the impact of attacks through interdependency analysis[J]. Procedia Computer Science, 2014, 28: 720-727.

[21]Wang Y, Zhang W X, Li Q. Functional dependency network analysis of security of navigation satellite system[J]. Applied Mechanics and Materials, 2014,522-524: 1192-1196.

[22]Zhang W X, Wang Y, Li Q. An improved functional dependency network model for SoS operability analysis[J]. Applied Mechanics and Materials, 2014, 602-605: 3355-3358.

System of systems safety analysis method for GNSS

ZHANGWangxun,LIQun,HOUHongtao,WANGWeiping

(College of Information System and Management, National University of Defense Technology, Changsha 410073, China)

Abstract：In order to address challenges of safety analysis of global navigation satellite systems (GNSS) brought by its system of systems (SoS) characteristics such as complex relationships between its component systems, to identify and study the SoS safety hazards across-the-board, and to improve its safety and enhance the service, a GNSS safety modeling method was proposed in the base of the functional dependency network analysis theory from the view of SoS. The effects and reasons of hazards promulgation and random failures combination caused by complex relationships between component systems in GNSS were analyzed and investigated with some emphasis. The simulation results show that the method is able to describe the influencing process of hazards promulgation and failures combination clearly and conduct both orthodromic and antidromic reasoning analysis. The results also demonstrate the great potential and applicability of the method to SoS safety analysis of GNSS.

Key words：global navigation satellite systems; system of systems; safety analysis; functional dependency network analysis

中圖分類號：TN967.1

文獻標(biāo)志碼：A

文章編號：1001-2486(2015)02-092-07

收稿日期：2014-08-25基金項目：國家自然科學(xué)基金資助項目(91024015)

作者簡介：張旺勛(1985—)，男，陜西韓城人，博士研究生，E-mail：zhangwangxun2010@163.com；王維平(通信作者)，男，教授，博士，博士生導(dǎo)師，E-mail：wang.wp2010@gmail.com

doi:10.11887/j.cn.201502018

http://journal.nudt.edu.cn