广泛应用于航空、航天、核能、交通等领域的安全关键系统对资源、响应时间、故障容忍,特别是可靠性和安全性有着很高的要求。如何保证安全关键系统的可靠性和安全性以及有效的控制开发的时间和成本,已成为当前学术界的热点问题。目前,一部分安全关键系统的分析工作集中在系统需求设计阶段的风险分析。然而,传统的风险分析方法一方面难以支持从体系结构层面统一描述安全关键系统中软、硬件以及系统错误行为,另一方面主要分析方法为定性分析、人工分析且缺乏工具支持。复杂嵌入式实时系统体系结构建模语言AADL,能够有效描述运行时体系结构且其错误模型附件能够形式化表示系统中的错误、错误行为以及错误传播,但难以直接对系统体系结构模型进行风险定量分析,系统潜在的危害难以被发现。基于风险的失效模式影响分析方法RFMEA是一种同时考虑严酷度和代价的风险定量分析方法,但难以从体系结构层面统一描述系统中的软硬件,系统中软硬件交互的风险难以被表达。针对以上问题,本文提出一种结合RFMEA和AADL的风险定量分析框架,采用扩展的AADL错误模型附件描述RFMEA属性,实现基于系统体系结构模型的RFMEA属性描述。在此基础上,提出一种基于错误传播图的分析方法,实现系统风险的定量分析,从而保障系统的可靠性和安全性。论文的主要研究内容如下:(1)以RFMEA分析方法和AADL模型为基础,提出了一种结合AADL和RFMEA的风险定量分析框架,用于支持安全关键系统的风险定量分析。(2)面向AADL的风险模型构建:针对AADL的错误模型附件进行扩展,描述面向风险的FMEA属性(即RFMEA属性);扩展后的错误模型关联到系统中的构件。(3)基于错误传播图的风险模型定量分析:扩展双图错误传播模型得到错误传播图,设计AADL模型元素到错误传播图元素映射表,完成从风险模型到错误传播图的转换,并基于该错误传播图实现风险模型的定量分析。最后,运用本文提出的方法设计实现了一个RFMEA插件并对婴儿保温箱控制系统进行案例分析,发现系统设计模型中温度传感器构件的一个错误会导致系统产生最大风险,有效的发现系统中的潜在的灾害和错误,减少开发的代价,从而说明了本文方法的有效性和可行性,为安全关键系统的风险分析提供一种新思路。