一种基于数据库模型的危害管理方法与流程

1.本发明涉及安全攸关系统领域，特别涉及一种基于数据库模型的危害管理方法。


背景技术：

2.安全攸关系统领域是指该系统的失效可能会导致人身安全的丧失、重要财产的损失或者环境的破坏。安全攸关系统涉及航空航天、轨道交通、核电、化工等众多领域。根据安全攸关系统领域相关标准的技术要求，高度推荐使用危害日志技术。危害日志中需要完整记录系统全生命周期中识别出的危害、风险评估等级以及危害的缓解措施，并在全生命周期内进行维护管理。当系统、子系统或部件变更时，危害日志应同步进行更新维护。以保证所有的系统风险都控制在可接受的范围内。
3.目前安全攸关系统供应商对于危害日志的管理主要使用以下两种主流工具：
4.a、基于电子表格工具进行管理：使用二维电子表格(如excel)进行危害日志管理是较为传统的方式，电子表格具有易操作、定制性高等优势，在危害日志管理领域被广泛使用。
5.b、基于需求管理工具进行管理：采用需求管理工具编写和管理危害日志，使用市场上一些常见的需求管理工具(如ibm公司的rational doors、西门子公司的polarion等工具在国内民用消费电子、汽车、航空航天以及医疗等领域均有广泛应用。)对危害日志文件进行管理，其中危害条目、缓解措施条目等按需求条目字段管理，风险指数作为条目的属性进行管理。
6.伴随着近些年国内航空航天、轨道交通等领域的飞速发展，产品的迭代频率也在不断加快。以上两种管理模式，在危害日志管理过程中都存在一定的缺点。
7.1、自动化导入缺少多样性的输入方式
8.电子表格工具需手动录入输入数据。其过程费时费力，且录入过程中没有错误检查机制，容易出现数据错误并长期隐藏在表格当中，影响确认工作的准确性。对于复杂的大型系统，管理难度更大。
9.需求管理工具的优势在于，可以在工具内部完成条目的建立、管理。但其对于外部条目导入的支持性较差，导入格式单一。导入其他工具危害分析结果的操作，系统无法很好的支持。
10.2、无法直观建立危害管理模型
11.电子表格工具为简单的二维表格结构，可以支持单层的危害管理或单层的缓解措施管理。但危害日志应包含多级危害管理。电子表格无法用一张表单覆盖危害管理模型。如果使用多张表格组合管理，既增加了工作量，也容易出现多张表格的一致性错误。
12.需求管理工具的是将危害、缓解措施进行条目化管理。一个条目可以关联多类条目。但是根据需求管理工具设计的原则，条目可以在工具内进行任意关联，无法体现危害与子危害、危害与缓解措施之间的关系，也无法直观的体现危害的构成和状态。
13.3、版本管理、变更影响管理存在短板
14.电子表格工具的版本的管理依靠手动完成，所以无法对基线进行规范管理。系统发生变更时，所有的变更影响由人工完成，容易遗漏。
15.需求管理工具的变更管理功能仅对变化的单条条目识别并高亮提醒，没有针对危害管理方法进行影响管理。管理过程中，需要人工通过变化的条目逐层追溯危害的影响。当系统较为庞大，功能较为复杂时，会增加大量的工作量完成对危害影响的追溯。
16.4、缺少危害日志的应用规则管理
17.电子表格工具自由度高，在完成危害状态管理时，可以随意完成关闭操作，无应用逻辑上的卡控，易发生人为错误。
18.需求管理工具虽然状态管理为枚举变量，但没有多层级之间的关闭逻辑卡控，当危害的缓解措施未关闭/输出的情况下，可随意关闭危害，导致对风险的控制不足。
19.综上，针对安全攸关领域的危害日志管理需要有一个系统性的专业工具进行便捷的管理，以提高安全活动的效率与质量。


技术实现要素：

20.本发明的目的是提供一种基于数据库模型的危害管理方法，通过数据库模型的约束和软件上的卡控，实现危害日志管理，提高安全活动的效率与质量。
21.为了实现以上目的，本发明通过以下技术方案实现：
22.一种基于数据库模型的危害管理方法，包括如下步骤：
23.s1，对危害日志的概念模型进行领域分析，建立危害管理模型，并根据所述危害管理模型建立数据库，将数据导入所述数据库形成条目进行管理，导入过程中自动检查数据是否符合数据库约束；
24.s2，计算各导入数据的条目状态、变更状态、确认状态，进行多状态管理；
25.s3，对已导入数据进行危害管理，对于符合项确认关闭，对于不符合项增加证据完成关闭，对于所有条目的状态进行自动管理，针对不符合项自动完成危害变更影响分析；
26.s4，对于无法关闭的危害与缓解措施，与安全相关应用条件(safety
‑
related application conditions，srac)进行关联，检查srac的来源与完整性，确保所有srac具有来源且所有未关闭危害均已有对应限制。
27.进一步的，在步骤s1中，对危害日志的概念模型进行领域分析，建立危害管理模型，包括：
28.对危害日志的概念模型进行领域分析，提取出危害日志管理的类别以及各类别之间的关系，以及各关系之间的约束性，从而建立危害管理模型。
29.进一步的，在所述数据库中，建立文档目录作为存储各类条目的容器。
30.进一步的，各文档定义条目的id前缀作为导入过程中的检查规则。
31.进一步的，步骤s1还包括将数据之间的链接关系导入所述数据库：依据所述危害管理模型中的约束关系，将数据源中条目与条目之间的链接关系导入所述数据库中。
32.进一步的，在步骤s2中，所述条目状态表示该条目的业务状态，当一个条目的条目状态发生变化时，所述数据库内引用该条目处均保持状态同步；
33.所述变更状态表示该条目本次系统版本内的变化情况，由系统自动控制，不可人为修改；
34.所述确认状态用于确保所有变更的条目均已由人工确认。
35.进一步的，在步骤s3中，对已导入数据进行危害管理，包括：
36.根据条目的父子关系创建危害树，所述危害树包括任一危害条目的危害层级关系；
37.对所述危害树的多层数据进行建模，进行自底向上的逐层管理。
38.进一步的，在步骤s3中，当下级条目未关闭时，根据所述危害树中该下级条目的危害层级关系确定对上级条目的影响，完成危害变更影响分析。
39.进一步的，在步骤s4中，当未关闭的危害与缓解措施无法被现存的srac解决时，创建一条新的srac，新创建的srac源头指向该缓解措施，其描述自动与该缓解措施描述相同，其危害源自动关联该缓解措施对应的危害；
40.当未关闭的危害与缓解措施有已存在的srac能够解决时，选择该已存在的srac，该srac源头指向该缓解措施，其危害源增加该缓解措施对应的危害。
41.进一步的，当项目完成危害管理后，输出报表，归档记录危害管理的整个过程。
42.进一步的，当项目发生迭代变更时，自动完成差异比较，提供待办任务，根据差异重新进行步骤s1～s4。
43.本发明与现有技术相比至少具有以下优点之一：
44.多样化的数据导入方式，可以针对不同的数据源进行导入操作，对于导入的数据进行约束性检查，减少数据的二义性错误、逻辑错误带来的数据混乱并提高工作效率；
45.基于危害管理模型建立数据库，数据导入后，数据库内自动建立好数据模型，可以对数据库内数据的关系树，对危害管理的危害树等模型关系快速查询、定位问题，直观的体现了危害的构成与当前管理状态；
46.增加了变更管理与版本管理方法，使用数据库工具对系统版本进行高效的管理，可以基于既有系统的工作成果进行迭代管理，避免了重复工作或错误引用，当项目发生变更时可以快速定位变更范围，自动提醒工作任务，避免了漏管理风险的发生并且减少了人工比对的工作量，提高了变更管理的效率与质量。
47.基于危害日志的管理方法建立了应用规则检查的机制，对于危害关闭的条件等应用逻辑进行自动检查，使用信息化手段提高管理效率。
附图说明
48.为了更清楚地说明本发明的技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图：
49.图1为现有的危害日志管理方法的电子表格节选示意图；
50.图2为本发明一实施例提供的基于数据库的危害管理方法的流程图；
51.图3a为本发明一实施例提供的基于数据库的危害管理方法的建模图；
52.图3b为本发明一实施例提供的基于数据库的危害管理方法的危害日志状态管理示意图；
53.图4a～图4i为本发明一实施例提供的基于数据库的危害管理方法的步骤s1中各个子过程对应的条目导入及规则检查、告警的示意图及步骤s2中各个子过程对应的状态管
理的示意图；
54.图5a～图5g为本发明一实施例提供的基于数据库的危害管理方法的步骤s3中各个子过程对应的证据管理的示意图；
55.图6a～图6b为本发明一实施例提供的基于数据库的危害管理方法的步骤s4中各个子过程对应的安全相关应用条件管理的示意图。
具体实施方式
56.以下结合附图和具体实施方式对本发明提出的方案作进一步详细说明。根据下面说明，本发明的优点和特征将更清楚。需要说明的是，附图采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施方式的目的。为了使本发明的目的、特征和优点能够更加明显易懂，请参阅附图。须知，本说明书所附图式所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。
57.如图1所示为现有的电子表格工具中表格的示意图，该表格为某安全攸关系统的危害日志(节选)，完整表格共3000多行，纯手动维护且无任何卡控的情况下易出现错误及遗漏管理的情况。且表格中同一信息可能被多处引用，但并无关联，导致某一条目的状态在表中不同位置不同，发生一致性错误。
58.鉴于此，本发明提供一种基于数据库模型的危害管理方法，如图2所示，包括如下步骤：
59.s1，对危害日志的概念模型进行领域分析，建立危害管理模型，并根据所述危害管理模型建立数据库，将数据导入所述数据库形成条目进行管理，导入过程中自动检查数据是否符合数据库约束。
60.具体的，在导入过程中工具自动检查，对于不符合数据库约束的数据禁止导入，对于应用逻辑规则不满足的数据高亮提醒。
61.s2，计算各导入数据的条目状态、变更状态、确认状态，进行多状态管理。
62.状态的计算结果可直接作为操作员的待办任务，可以根据变更状态及任务提醒机制完成对业务状态的确认。
63.s3，对已导入数据进行危害管理，对于符合项确认关闭，对于不符合项增加证据完成关闭，对于所有条目的状态进行自动管理，针对不符合项自动完成危害变更影响分析。
64.s4，对于无法关闭的危害与缓解措施，与安全相关应用条件srac进行关联，检查srac的来源与完整性，确保所有srac具有来源且所有未关闭危害均已有对应限制。
65.如图3b所示为基于数据库模型(即前述危害管理模型)建立的危害管理工具。本工具可将危害日志不同格式的输入源，如危害、缓解措施、设计、测试计划、测试方法及结果等进行导入及条目化处理，并记录上述各条目项之间的层级和所属关系进行管理，以完成危害日志的管理。
66.具体的，在步骤s1中，如图3a所示，对危害日志的概念模型进行领域分析，提取出危害日志管理的类别(类别包括危害、缓解措施、需求与设计、测试方法及结果等)以及各类
别之间的关系(关系包括：危害与子危害、危害与缓解措施、缓解措施与需求设计、需求设计与测试方法及结果的关系等)，以及各关系之间的约束性，从而建立危害管理模型。
67.然后，如图4a所示，建立文档目录作为存储各类条目的容器。各文档可定义条目的id前缀作为导入过程中的规则检查，以避免导入了错误的数据源。
68.然后，将输入数据导入到工具中，形成工具中的条目进行管理。如图4b、图4c所示为将数据导入数据库的示例(其他条目导入与本示例无差别，不再重复附图)，根据数据源格式将对应字段信息按数据库模型导入数据库中。请继续参考图4d，当导入数据的id规则、数据类型与数据库表单不符合时，将报错阻止导入。
69.相较于传统的危害管理方法的自由输入，本发明对条目的规范性进行检查。如，唯一id的规则检查；条目类别与导入表单的一致性检查(缓解措施条目不可导入设计表单)；条目与条目之间的关联需要与预设一致(如危害不可关联测试方法及结果)等。
70.然后，将数据之间的链接关系导入到工具中。请继续参考图4e、图4f(其他条目关系的导入与示例无差别，不再重复附图)，依照数据库模型中的约束关系，将数据源中条目与条目之间的链接关系导入数据库中。
71.相较于传统危害管理方法，图4e中，对两类条目的父子关联性进行检查，避免产生错误链接。图4f中，可手动选择输入源与目标源的关联性，增加了导入数据源的多样性。图4g中，当导入数据的id规则、数据类型与数据库表单不符合时，将报错阻止导入，避免脏数据进入数据库。
72.经过以上处理，正确的数据已经进入工具。相较于传统危害管理方式，工具将自动检查数据应用逻辑上的不规范性。如图4h中的序号1数据(工具自动高亮为红色)，该风险无缓解措施，不符合安全产品的设计原则，所以高亮为红色提示确认人员增加防护手段；参考图4i中，序号1数据(工具自动高亮为红色)未指明缓解措施的建立是为了缓解何种危害，不符合安全产品的设计原则，所以高亮为红色提示确认人员补充风险描述。
73.具体的，在步骤s2中，如图4i所示，一个条目包含“状态”属性，表明该条目的业务状态。业务状态值为可配置选项，操作者可根据实际需要配置状态值。工具中的状态值需人工确认后修改其状态。
74.相较于传统的危害管理方法，当条目多处引用时，非同一来源数据，需要人工多次管理状态。本发明的设计以条目管理为核心，当一个条目状态、内容发生变化时，所有数据库内引用该条目处均保持状态同步。
75.如图4i所示，一个条目包含“变更状态”属性，表明该条目本次系统版本内的变化情况，在本实施例中定义为“新建”、“未修改”及“已修改”状态。该状态为全自动化控制，人为不可进行修改。(特别的，根据危害日志管理的方法，应保留其历史记录。删除条目的变更状态将为“已修改”，通过业务状态“取消”来甄别。)
76.相较于传统方法需要人工识别条目变化状态，本发明可以使用工具全自动功能进行替代，提高了工作效率与准确性。
77.如图4i所示，一个条目包含“是否确认”属性，以确保所有变更的条目均已由人工确认。该属性将作为操作人员的待办任务，当有“待确认”项存在时本实施例禁止发布，以此确保所有变更项均已得到风险控制。该属性的计划考虑条目整个证据链的变化情况。若条目未发生变更，但其追踪链发生变化时也将变为“待确认”状态，以此保证危害日志管理的
完整性。
78.具体的，在步骤s3中，首先工具根据条目的父子关系自动创建危害树。如图5a，工具可提供某一危害条目的危害层级关系。图5b所示，工具可提供整个系统的所有危害层级关系。通过危害层级的自动关联，可以完成系统、子系统、部件之间的危害管理，迅速定位危害发生的原因及原因的控制情况。
79.然后，对危害管理的多层数据进行建模，可进行自底向上的逐层管理。如图5c所示，为单条缓解措施的条目管理界面，该界面可管理条目向上关联的危害条目，也可管理条目向下关联的设计条目。
80.优于传统管理方式的是，数据库解决方案中，每一个条目均具有唯一性，在页面中的显示为唯一数据的快照。即，当一条目发生变化时，其他引用条目处显示的数据，应为该条目的真实值，由此避免了危害管理中数据不一致的疏漏。
81.如图5d所示，当已发布的需求发生变化时，本发明可自动将变更字段高亮提醒操作者。
82.当下级条目未关闭时，本发明可快速定位对上级的影响，完成危害变更影响分析。本发明提供的分析方式，应可以在任意两级之间完成追溯。如图5e所示为设计未关闭对缓解措施的影响，当多条缓解措施的条目都依赖于此条设计时，可以快速定位风险。
83.如图5f所示，为图5e中实例的建模示意图。本发明对数据库中任意元素可定位其相关的上下级链接关系，且可完成跨级追溯。如图5g所示，传统方法中，对测试用例的影响分析，需要向上逐级查找其设计、缓解措施、危害才能找到影响的风险，人工检索过程中会发生遗漏或追溯到非关联链路导致无效工作。如，“设计a”也使用测试用例进行测试确认，但其未覆盖并不引发系统危害，在安全确认过程中可以忽略。
84.通过本发明提供的危害变更影响分析方法，可以直接定位如图5g中，测试用例未通过会影响“系统危害a”、“系统危害b”，并影响到“边界危害a”。本发明提高了危害变更影响分析的工作效率，同时避免了分析遗漏的发生。
85.具体的，在步骤s4中，在危害管理的过程中，系统未关闭的风险会通过输出srac来缓解，如图6a所示，本发明可以对未关闭的危害/缓解措施直接创建srac，并在工具中管理。
86.相较于传统管理方式中，srac与危害日志各自独立管理，管理过程较难保证一致性与完整性，可能出现应输出但未输出的情况。本发明将危害、缓解措施、srac强关联，当无对应的srac且未得到足够控制的危害由软件自动卡控，不可关闭其状态；反之，每一条srac应至少可追溯到一个危害源，当srac无源时，由软件自动高亮报警。
87.当危害/缓解措施无法被现存的srac解决时，可创建一条新的srac，如图6b所示，新创建的srac的源头指向缓解措施，其描述自动与缓解措施描述相同，其危害源自动关联缓解措施对应的危害。
88.当危害/缓解措施有已存在的srac可以解决时，如图6a所示，可以选择已有srac，该srac源头指向该缓解措施，其危害源增加缓解措施对应的危害场景。
89.以上srac的相关内容均可以由操作员手动调整，保证srac使用用户语言描述。
90.此外，工具可提供定制化报表，当项目完成危害管理后，通过输出报表，归档记录危害管理的整个过程。
91.此外，当项目发生迭代变更时，本发明可以基于既有发布项目进行复制拓展，快速
复用既有成果，新建立的项目版本发生的所有变更均会高亮提醒。变更项目后重复步骤s1至步骤s4的过程进行管理。
92.综上所述，本发明对危害日志的概念模型进行领域分析。根据分析提取出危害日志管理的类别(如危害、子危害、缓解措施等)，并根据分析提取各类别之间的关系(如父子危害，危害与缓解措施，缓解措施与设计关系)，同时提取各关系间的约束性，从而建立数据库模型，并进一步建立数据库。
93.本发明支持多种类型输入文件的导入，在导入数据过程中根据预设模板及约束规则对导入内容进行检查，如果与工具约束规则不一致，则拒绝导入，退回导入前状态，提高了导入的多样性与导入效率。
94.对所有条目的关系进行应用规则检查，对正确性、完整性进行检查。如果与应用规则检查不符，未解决前会持续高亮报警，作为待办任务提示人员进行确认。对所有条目自动创建“条目状态”、“变更状态”、“确认状态”字段完成多状态管理，可以根据变更状态及任务提醒机制完成对业务状态的确认。
95.对危害与子危害进行层级管理。导入时自动创建多级危害的关联关系，完成危害树的关系创建。危害树可以展示单个危害的所有子危害树形关系；也可展示整个项目内所有危害的树形关系。可以直观的查看危害树的构成与危害的缓解情况。
96.对于条目的管理过程，本发明提供危害变更影响分析。如，对未通过测试的设计反向查找其关联的所有危害，定位测试的失败影响哪些危害。在处理较复杂的大型项目时，可以避免对大量并不影响危害的失败测试用例进行确认。相较于传统危害管理方法，可准确定位问题，避免疏漏及提高工作效率。
97.对于无法关闭的危害与缓解措施，本方法可以生成安全相关应用条件srac，生成的srac与危害源自动关联。相较于传统的危害管理方法中，srac与危害日志独立管理，本发明中的srac管理方式更加规范化，便于追根溯源，并且确保了一致性。
98.对于项目的变更管理和版本管理，工具可以根据整个数据库的关系自动差异比较，对于变更部分进行高亮，以保证确认工作的完整性及系统变更过程中的安全性。当项目发生分支开发时，可以从既有发布基线上快速拉出分支。迭代后两个分支版本不会相互影响，可以完成各自的独立管理，避免了项目版本的管理混乱问题。
99.尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。