基于AADL模型的静态故障树的自动生成

在基于模型驱动的嵌入式软件开发中,为了避免安全问题可肯能产生的损失,需要对系统的安全性进行分析,找出可能发生错误的地方。在基于AADL系统模型的安全性分析上,我们利用AADL模型错误模型附件为系统故障和传播进行建模,通过追踪对象的可能故障源来提取系统的实例错误模型,然后将错误模型实例存储在有向图里,并根据有向图建立系统错误模型的故障树。通过故障树分析工具就可以高效的分析系统的安全问题。最后,我们讨论了一些有关故障树的优化措施,例如消除循环,共享子树等。     

基于时间Petri网的AADL模型

随着嵌入式系统设计日益复杂,对系统的描述也提出了越来越高的要求,特别是实时性能。因此如何描述实时性能逐渐受到重视。在嵌入式系统中,线程的时间属性影响着系统的实时性,因此在设计早期利用AADL描述线程,但是AADL只是一种半形式化的语言,不够精确,并可能产生二义性。因此,把AADL模型转化为时间Pe砸网,但是时间Petri网不能很好地表示AADL的时间属性。故在研究AADL模型的时间属性的基础上,针对时间Petri考虑区域值延时与固定延时,并把固定延时当作区域值时延的一种特殊情况。最后给出针对AADL模型转化为时间Petri网的相应规则。     

AADL建模工具的设计

设计一种架构分析与设计语言(AADL)建模工具,便于用户建立AADL模型.基于模型驱动体系结构思想,在Eclipse插件开发平台上开发可扩展的插件集合AADL模型设计工具.用户根据该工具建立的嵌入式系统AADL架构模型,通过XML文档保存,分析与验证工具以第三方插件的形式集成到该工具中,提取系统的AADL架构模型.通过应用实例验证了该工具的有效性.     

一种AADL系统可靠性模型转换方法

在原有构件依赖关系的基础上,提出一种架构分析与设计语言(AADL)系统可靠性模型的转换方法。该方法对AADL嵌入式系统体系结构进行可靠性建模,实现AADL可靠性模型到广义随机Petri网(GSPN)可靠性计算模型的转换。研究表明,该方法使AADL可靠性模型向GSPN模型的转换规则更加完备,能对嵌入式系统的可靠性进行准确与全面的分析与评估。     

基于时间抽象状态机的AADL模型验证

提出了一种基于时间抽象状态机(timed abstract state machine,简称TASM)的AADL(architecture analysis and design language)模型验证方法.分别给出了AADL子集和TASM的抽象语法,并基于语义函数和类ML的元语言形式定义转换规则.在此基础上,基于AADL开源建模环境OSATE(open source AADL tool environment)设计并实现了AADL模型验证与分析工具AADL2TASM,并基于航天器导航、制导与控制系统(guidance,navigation and control)进行了实例性验证.     

基于故障树分析的嵌入式系统AADL模型可靠性分析方法

采用架构分析与设计语言(AADL)建立嵌入式系统的半形式化模型,实现从AADL模型到静态故障树(Static Fault Tree,SFT)模型的转换,并根据故障树定量分析法对系统可靠性进行分析。首先结合AADL错误模型附件建立可靠性模型;然后设计了从AADL模型到SFT模型的语义映射规则,并实现了将AADL模型中的基本元素转换为静态故障树中相对应的元素;最后结合飞机车轮刹车系统实例,使用文献中提出的方法对其进行可靠性分析,从而验证 所提方法的可行性和有效性。     

系统架构描述语言AADL的功能行为建模扩展

架构分析与设计语言(AADL)是一种用于描述复杂嵌入式系统体系架构的建模语言,被广泛用于安全关键系统建模与验证。AADL通过行为附件以状态机的形式对组件的内部行为建模。工业界中的复杂系统常使用层次自动机描述组件的功能行为,而行为附件中没有表达层次自动机的机制。针对这一问题,提出了AADL行为附件的层次化扩展——HBA。首先给出了HBA的形式语法,然后定义了HBA的操作语义。提出了HBA的元模型,并在OSATE环境中实现其文本和图形化编辑器。为了便于形式化验证,给出了HBA到时间自动机(TA)的转换规则,并基于模型检测工具UPPAAL进行形式化验证。最后,给出一个案例研究来验证所提方法的有效性。     

一种面向AADL架构的模型测试方法

鉴于模型在软件系统开发中日趋重要的地位和AADL模型在嵌入式软件建模中的良好应用前景,为了在嵌入式软件系统开发前期保证AADL模型的质量,提出了一种基于模型测试的AADL架构验证方法;该方法应用马尔可夫链描述AADL架构的行为,然后根据得到的马尔可夫链模型以及系统设计要求标准生成相应的测试用例和测试预言,并通过测试用例执行输出和期望值的比较判断AADL模型的正确性,实现对系统AADL模型的测试;最后通过案例分析证明了该方法的有效性。     

软硬件综合AADL可靠性建模及分析方法

目前嵌入式系统广泛应用于航空电子、远程医疗、汽车电子等具有高可靠性要求的系统中。随着嵌入式系统的复杂度越来越高,为了保障系统的高可靠性需求,需要在系统开发的早期设计阶段对系统的可靠性进行分析评估,以提高系统的开发效率。嵌入式系统中软件、硬件功能的失效都会对系统可靠性产生影响,而AADL的可靠性模型缺乏对硬件构件错误的影响及传播机制进行刻画分析的能力。本文综合考虑软、硬件错误发生失效后对系统可靠性的影响,提出了一种面向系统架构级别的软硬件综合可靠性分析方法。该方法基于电子电路设计中事务级建模方法,扩展了AADL事务级错误模型的语法和语义,来支持AADL对硬件构件错误传播的硬件功能行为建模,在此基础上,利用AADL模型实例化机制实现对嵌入式系统可靠性建模,刻画了错误行为在硬件构件之间、软硬件构件之间的传播与影响。同时,定义了AADL硬件构件事务级错误模型到广义随机Petri网模型的映射规则,实现了系统软、硬件综合的可靠性行为仿真计算模型组合,支持嵌入式系统的软硬件综合可靠性分析。论文开发了软硬件综合可靠性建模与分析工具原型,并以某型飞机空气增压系统为例,在航空电子系统架构设计中进行尝试,验证了该方法在复杂嵌入式系统设计中进行软硬件综合可靠性分析的可行性与优越性。     

片上多核处理器容软错误执行模型

随着工艺的进步,微处理器将面临越来越严重的软错误威胁.文中提出了两种片上多核处理器容软错误执行模型:双核冗余执行模型DCR和三核冗余执行模型TCR.DCR在两个冗余的内核上以一定的时间间距运行两份相同的线程,store指令只有在进行了结果比较以后才能提交.每个内核增加了硬件实现的现场保存与恢复机制,以实现对软错误的恢复.文中选择的现场保存点有利于隐藏现场保存带来的时间开销,并且采用了特殊的机制保证恢复执行和原始执行过程中load数据的一致性.TCR执行模型通过在3个不同的内核上运行相同的线程实现对软错误的屏蔽.在检测到软错误以后,TCR可以进行动态重构,屏蔽被软错误破坏的内核.实验结果表明,与传统的软错误恢复执行模型CRTR相比,DCR和TCR对核间通信带宽的需求分别降低了57.5%和54.2%.在检测到软错误的情况下,DCR的恢复执行带来5.2%的性能开销,而TCR的重构带来的性能开销为1.3%.错误注入实验表明,DCR能够恢复99.69%的软错误,而TCR实现了对SEU(Single Event Upset)型故障的全面屏蔽.     

一种结合AADL和IMC的系统可靠性建模方法

随着嵌入式软件在安全关键领域广泛应用,系统可靠性随着其规模、复杂度和性能需求的不断提升而愈显重要。结构分析设计语言AADL是应用于嵌入式领域的体系结构建模、分析和验证的重要手段。由于AADL是一种半形式化模型,需要精确描述其语义才能进行定量分析。提出一种基于AADL的系统可靠性建模方法。首先,结合AADL模型和AADL错误模型附件,得到AADL可靠性模型;然后,提出一种模型转换方法,将AADL可靠性模型的基本元素和错误传播等特殊元素转换到交互式马尔科夫链模型IMC,进行可靠性定量分析;最后,结合法国空中交通控制系统的实例,证明该方法的可行性和有效性。     

基于AADL的失效概率分配及安全性评估方法

当代航空系统是复杂的安全关键信息物理融合系统（cyber-physical system，简称CPS）.失效概率分配是民用航空系统及设备初步系统安全性评估过程的重要工作，AADL（architecture analysis and design language）适用于航电系统的设计开发，对AADL模型实施失效概率分配和安全性评估是不可或缺的.提出了基于AADL的失效概率分配方法，可将系统失效概率分配给子构件，作为其安全性需求.该方法综合考虑系统架构设计、模型复杂度和严酷度（severity）等级.通过结合失效概率分配方法和确定性随机Petri网（deterministic stochastic Petri-net，简称DSPN），进一步提出了基于AADL的安全性评估方法，将系统的AADL模型转换为DSPN模型，以计算子构件的失效概率，并评估子构件是否满足安全性需求，直到设计出满足安全性目标的架构模型.最后给出了失效概率分配方法与安全性评估方法的实现算法和工具结构，并通过将所提出的方法应用到飞行控制系统，表明所提方法能够有效地完成失效概率分配和安全性评估.     

错误流模型:硬件故障的软件传播建模与分析

无论是可靠性工程还是软件可靠性中的可靠性模型,都难以描述硬件故障在程序中的传播问题.首先建立了计算数据流模型,并以无穷存储机器的指令集为例,说明可以为任意程序建立计算数据流图.在计算数据流模型的基础上,进一步建立了错误流模型.把计算过程中的错误分成物理错误和传播错误两种,通过分析这两种错误的本质和传播规律,给出了6条有关错误传播的规则和2条独立定律.根据这些规则和定律,能够计算出在程序运行过程中,任意时刻在任意位置上出现错误的概率.最后以一个简单的无穷存储机器程序为例,简要地展示了错误流模型描述硬件故障在     

基于SysML & AADL的IMA刹车控制系统实时性需求验证

针对设计阶段难以对刹车控制系统进行实时性分析验证的问题,提出基于SysML & AADL的实时性需求验证方法。首先论述综合模块化航电系统中刹车控制系统的组成和实时性定义,基于SysML建模语言建立系统模型,并添加MARTE描述的组件时间延迟;然后建立SysML/MARTE与AADL的模型元素映射关系,根据该关系,将SysML模型转化为符合AADL语义的模型。最后利用AADL分析工具得到实时性验证结果,验证了所提出实时性验证方法的有效性。     

基于AADL的IoP系统可靠性评估方法

人联网（IoP）系统的架构复杂且存在海量、实时变化的数据,使得基于IoP系统的可靠性分析变得十分困难,目前仍缺乏一种健全的基于IoP系统的可靠性建模及评估方法。提出一种新型的IoP系统可靠性评估方法,利用AADL及其附件语言对IoP系统进行可靠性建模,并基于该模型从定性角度评估系统故障的根本原因和风险。此外,结合Ocarina模型转换技术提出一种基于连续时间马尔科夫链（CTMC）的定量评估算法,将AADL可靠性模型转换为CTMC模型,实现对系统动态、实时等特性的评估。在此基础上,设计一个IoP系统通用模型,并以此为案例验证所提方法的可行性。实验结果表明,该方法不仅能对IoP系统建模,而且能自动、准确地对其进行可靠性分析,具有良好的应用价值。