AADL分级调度模型的分析与验证

针对嵌入式系统体系结构分析设计语言(architecture analysis and design language,AADL)分级调度模型的分析问题,提出了基于模型检验的可调度性分析和验证方法.基于时间自动机理论,将AADL分级调度模型转换为时间自动机网络,将待验证性质描述为时序逻辑公式,通过模型检验工具对可调度性进行分析和验证.研究结果表明,使用模型检验方法来分析AADL分级调度模型的可调度性是可行的.相对其他方法而言,该方法利用了形式化方法的穷举性来分析系统的性质,分析结果更加精确.     

AADL模型的形式化研究

在嵌入式系统建模领域,AADL以其软硬件协同建模的特点已经逐渐成为业界的标准。围绕AADL的形式化特点,国内外众多学者展开了热烈的讨论。为了帮助系统开发人员深入了解AADL,指导软件开发进程,提高基于AADL模型的软件开发效率,分别从AADL模型可靠性分析、可调度性分析以及AADL模型测试这三个不同角度综述了已经出现的各种AADL形式化验证理论,对比分析了它们的优点和不足。简要介绍有关AADL验证工具,研究基于AADL模型的嵌入式开发平台的构建。     

AADL模型的形式化研究

在嵌入式系统建模领域,AADL以其软硬件协同建模的特点已经逐渐成为业界的标准。围绕AADL的形式化特点,国内外众多学者展开了热烈的讨论。为了帮助系统开发人员深入了解AADL,指导软件开发进程,提高基于AADL模型的软件开发效率,分别从AADL模型可靠性分析、可调度性分析以及AADL模型测试这三个不同角度综述了已经出现的各种AADL形式化验证理论,对比分析了它们的优点和不足。简要介绍有关AADL验证工具,研究基于AADL模型的嵌入式开发平台的构建。     

基于体系结构模型的综合化航电分区可调度性验证

分区可调度性验证是影响综合模块化航电系统(IMA)可靠性与安全性的关键问题。为解决现有的模型驱动验证方法难以满足系统整体验证需求或需要繁琐的二次建模的问题,提出一种基于体系结构分析与设计语言(AADL)的IMA分区可调度性验证建模方法。在构建分区静态体系结构模型的基础上,通过AADL行为附件建模描述系统中任务的调度过程。再采用AADL Inspector工具对模型中的任务调度行为进行动态仿真,根据仿真结果即可对IMA分区可调度性进行评估。案例实验表明,该方法能够有效发现分区调度配置信息中的错误。此外,只需一次性建模即可直接完成可调度性验证。与现有方法相比,避免了对AADL模型进行繁琐的二次转化。     

系统架构描述语言AADL的功能行为建模扩展

架构分析与设计语言(AADL)是一种用于描述复杂嵌入式系统体系架构的建模语言,被广泛用于安全关键系统建模与验证。AADL通过行为附件以状态机的形式对组件的内部行为建模。工业界中的复杂系统常使用层次自动机描述组件的功能行为,而行为附件中没有表达层次自动机的机制。针对这一问题,提出了AADL行为附件的层次化扩展——HBA。首先给出了HBA的形式语法,然后定义了HBA的操作语义。提出了HBA的元模型,并在OSATE环境中实现其文本和图形化编辑器。为了便于形式化验证,给出了HBA到时间自动机(TA)的转换规则,并基于模型检测工具UPPAAL进行形式化验证。最后,给出一个案例研究来验证所提方法的有效性。     

Research on Verification Method of AADL Behavior Model Based on UPPAAL

为了实现AADL(体系结构分析与设计语言)行为模型的分析验证,基于行为附件的文法结构以及行为描述方式,提出了AADL行为模型与UPPAAL下时间自动机模型之间的模型转换规则.在转换规则的基础上,设计和实现了自动转换的原型工具.最后以航天器控制系统中制导、导航与控制计算机从陀螺取数的AADL模型为例,经自动转换得到时间自动机模型,并在UPPAAL下仿真、验证其行为正确性,同时证明了模型转换的有效性.     

基于AADL的综合航电分区系统可调度性判定

综合模块化航电(IMA)系统中的分区系统提高了其可靠性和安全性,但在系统设计和实现过程中,应采用各种分析和验证方法确保系统的时间需求得到满足。为此,针对符合ARINC653规范的IMA系统,根据分区系统层级调度的特性,提出一种基于仿真的分区任务集可调度性判定方法。借助Cheddar工具及其自定义调度策略功能,使架构分析和设计语言(AADL)具有对分区系统进行建模的能力,并利用该工具对AADL模型进行仿真以判定系统的可调度性。实例分析结果表明,该方法能自动、准确、快速地进行可调度性判定,并以甘特图的方式绘制任务调度过程,得到直观、详细的结果。     

飞行管理系统AADL建模与分析

航空电子系统软件的建模与分析是保证军用和民用飞机高可靠、高性能的重要手段,也是模型驱动软件体系结构的重要组成部分。飞行管理系统作为航空电子系统的重要组成部分,传统上,对该系统的可调度性分析是在系统设计完成后,在实现与验证阶段进行的,这使得系统无法进行的准确地软硬件需求分析。采用先进的建模方法AADL对其进行建模,为飞行管理系统的可调度性分析、可靠性分析以及通信延迟等分析提供了可能,使得在系统需求分析阶段就可以准确确定系统的软硬件需求,并能大大降低系统的更改验证成本。首先论述了建模语言AADL的基本构成以及与航空电子应用接口规范ARING653的对应关系;然后描述了飞行管理系统的功能构成,并建立了飞行管理系统的AADL模型;最后详细论述了系统调度理论,AADL工具,飞管系统AADL模型的仿真分析。通过仿真分析为飞管系统的处理器选型、系统设计、软件设计与优化提供了依据。     

飞行管理系统AADL建模与分析

航空电子系统软件的建模与分析是保证军用和民用飞机高可靠、高性能的重要手段,也是模型驱动软件体系结构的重要组成部分。飞行管理系统作为航空电子系统的重要组成部分,传统上,对该系统的可调度性分析是在系统设计完成后,在实现与验证阶段进行的,这使得系统无法进行的准确地软硬件需求分析。采用先进的建模方法AADL对其进行建模,为飞行管理系统的可调度性分析、可靠性分析以及通信延迟等分析提供了可能,使得在系统需求分析阶段就可以准确确定系统的软硬件需求,并能大大降低系统的更改验证成本。首先论述了建模语言AADL的基本构成以及与航空电子应用接口规范ARING653的对应关系;然后描述了飞行管理系统的功能构成,并建立了飞行管理系统的AADL模型;最后详细论述了系统调度理论,AADL工具,飞管系统AADL模型的仿真分析。通过仿真分析为飞管系统的处理器选型、系统设计、软件设计与优化提供了依据。     

基于AADL的中断控制设计方法

介绍了结构分析与设计语言(AADL)的应用研究和优点,以某航天器控制分系统部分中断类型为例,针对AADL语言自身直接对中断问题描述能力上的不足,提出了两种基于AADL的中断控制设计方法,并进行了详细阐述和比较,为系统设计阶段对中断控制的抽象描述提供了一种思路和方法,从而有利于实现早期阶段对模型可调度性等方面验证的途径.     

基于UPPAAL的AADL行为模型验证方法研究

Web服务(Web services)已成为当前和未来网络分布式应用的主流软件开发技术。如何确保Web服务软件的质量和可靠性是当前软件工程领域关注的焦点问题。分析了Web服务测试的层次和阶段,以及测试工具的现状,提出了Web服务自动化测试的技术框架,分析了此框架内Web服务操作、Web服务操作序列和Web服务组合WSB-PEL流程测试的关键技术,并研制了测试用例自动生成的原型系统,给出了实验结果,最后指出Web服务自动化测试技术值得进一步探讨的主题。     

多处理器实时系统可调度性分析的UPPAAL模型

随着多处理器实时系统在安全性攸关系统中的广泛应用,保证这类系统的正确性成为一项重要的工作.可调度性是实时系统正确性的一项关键性质.它表示系统必须满足的一些时间要求.传统的可调度性分析方法结论保守或者不完备,为了避免这些方法的缺陷,提出使用模型检测的方法来实现可调度性分析.提出了一个用于多处理器实时系统可调度性分析的模板,将与系统可调度性相关的部分包括实时任务、运行平台和调度管理模块都用时间自动机建模,并使用UPPAAL验证可调度的性质是否总被满足.符号化模型检测方法被用于推断可调度性,但是由于秒表触发的近似机制,符号化模型检测方法不能用于证明系统不可调度.作为补充,统计模型检测方法被用于估算系统不可调度的概率,并在系统不可调度时生成反例.此外,在系统可调度时,通过统计模型检测方法获取一些性能相关的信息.     

ARINC653实时任务可调度性验证方法

针对综合模块化航空电子系统(Integrated Modular Avionics,IMA)存在周期任务和非周期任务,以及任务间依赖关系,传统方法不能准确验证其实时任务可调度性的问题,本文提出了一种基于Stopwatch时间自动机的ARINC653实时任务可调度性验证方法,利用模型检验工具UPPAAL对IMA系统进行建模仿真,并结合统计模型检验(Statistical Model Checking,SMC)与符号模型检验(Symbolic Model Checking,MC)来验证其可调度性。实验结果表明,该方法不仅快速验证了IMA系统的可调度性,而且能够准确定位不可调度任务。     

On Schedulability Analysis of AADL Architecture with Storage Resource Constraint

Embedded systems have been widely applied in real-time automatic control systems, and most of these systems are safety-critical, for example, the engine control systems in an automobile and the avionics in an airplane. It is very important to verify the schedulability of such a real-time embedded system in its early design stages, so as to avoid unexpected loss for the debugging of architecture design problems. However, it has been proved to be a tough challenge to evaluate the schedulability of a Preemptive-Scheduling Real-Time (PSRT) system, especially when the constraints of system resources are taken into consideration. The cache memory built inside the processor is an exclusive-accessing resource shared by all the tasks deployed on the processor. In addition, the Cache-Related Preemption Delay (CRPD) caused by preemptive task scheduling will bring extra time to the execution time for all the tasks. Thus, the CRPD should be taken into consideration when the Worst-Case Execution Time (WCET) of tasks is estimated in a real-time system. A model-based evaluation and verification method of architecture schedulability, which is designed for priority-based PSRT systems, is proposed in this study to make cache resource constrained and CRPD related schedulability evaluation based on the AADL system architecture model. In the first step, the study enhances the property set of AADL storage elements to make it compatible with cache memory properties in a system architecture model. Secondly, the study proposes a set of algorithms to estimate the CRPDs of a task before it is completed; run system schedule simulation and construct the schedule sequence with the constraint of cache resources and CRPDs involved; and make WCET estimation of the tasks in such a CRPD considered, preemptive-scheduling execution sequence. Finally, the methods mentioned above are implemented within a prototype software toolkit, which is designed to make evaluation and verification of system schedulability within CRPD constraints. The toolkit is tested with a use case of aircraft airborne open-architecture intelligent information system. The result shows that, compared with the schedule sequence constructed without cache memory resource constraints, the WCET estimated for most tasks is extended, and the sequence order is changed. In some extreme cases, when CRPD is taken into consideration, some tasks are evaluated to be incompletable. The test shows that the method and algorithms proposed in this study are feasible.     

信息物理融合系统控制软件的统计模型检验

信息物理融合系统常采用嵌入式实时多任务系统作为其控制软件,这类软件的并发和非确定性给验证带来了困难.提出了一种利用统计模型检验技术分析多任务系统的功能正确性的方法.该方法构造的时间自动机模型以模块化的方式描述了实时多任务系统中的主要成分,包括实时操作系统、周期性任务、偶发任务、共享资源以及物理环境,能够展现多任务系统的细粒度的运行过程及其对物理环境的实时响应.应用该方法分析了玉兔号月球车控制软件的一个早期版本,发现了系统运行中出现的一个特殊错误,识别了实际系统出现错误的条件,再现了出现错误的场景.     

基于AADL的混合关键系统随机错误与突发错误安全性分析

许多复杂的嵌入式系统都是混合关键系统(mixed-criticality system,简称MCS).MCS通常需要在指定的关键性(criticality)等级状态下运行,但是它们可能会受到一些危害的影响,这些危害可能会导致随机错误和突发错误,进一步导致执行线程中止,甚至导致系统故障.目前的研究仅集中于对MCS的可调度性分析,未能进一步分析系统安全性,未能考虑线程之间的依赖关系.本文以随机错误和突发错误为研究对象,提出一种集成故障传播分析的基于架构的MCS安全分析方法.使用架构分析和设计语言(Architecture Analysis and Design Language,简称AADL)刻画构件依赖关系.为了弥补AADL的不足,创建新的AADL属性(AADL突发错误属性),并提出新的线程状态机(突发错误行为线程状态机)语义来描述带有突发错误的线程执行过程.为了将概率模型检查应用于安全分析,提出模型转换规则和组装方法,从AADL模型推导出PRISM模型.建立了两个公式,分别获得定量安全属性以验证故障发生的概率,以及定性安全属性以生成相应的正例来求出故障传播路径来进行故障传播分析.最后,以动力艇自动驾驶仪(power boat autopilot,简称PBA)系统为例,验证了该方法的有效性.     

面向AADL模型的存储资源约束可调度性分析

嵌入式实时系统在安全关键领域变得越来越重要,其广泛应用于航空航天、汽车电子等具有严格时间约束的实时系统中.随着嵌入式系统的复杂度越来越高,在系统开发的早期设计阶段就需要对其可调度性进行分析评估.系统中的存储资源会对可调度性产生一定影响,在抢占式实时嵌入式系统引入缓存后,任务的最坏执行时间可能发生变化.因此,分析缓存相关抢占延迟对实时嵌入式系统的可调度性影响一直以来是困扰大规模复杂系统架构设计的一个技术难题.本文提出了一种面向软件架构级别、基于抢占调度序列的缓存相关抢占延迟计算方法,用来分析缓存相关抢占延迟约束下AADL （架构分析和设计语言）模型的可调度性.论文扩展了AADL关于存储资源架构设计的模型元素,来支持对缓存属性进行建模,提出了一种基于模型构件进行抢占序列排序、缓存相关抢占延迟时间计算和被抢占任务最坏执行时间的估算方法,来对系统架构各功能构件在共享系统存储资源下系统的可调度性进行分析.论文还实现了分析缓存相关抢占延迟约束下的系统任务可调度性分析工具原型,并以某型飞机机载开放式智能信息系统为例,在航空电子系统架构设计中进行尝试,验证了该方法的在复杂系统设计中的对实时性分析的可行性.     

基于故障树分析的嵌入式系统AADL模型可靠性分析方法

采用架构分析与设计语言(AADL)建立嵌入式系统的半形式化模型,实现从AADL模型到静态故障树(Static Fault Tree,SFT)模型的转换,并根据故障树定量分析法对系统可靠性进行分析。首先结合AADL错误模型附件建立可靠性模型;然后设计了从AADL模型到SFT模型的语义映射规则,并实现了将AADL模型中的基本元素转换为静态故障树中相对应的元素;最后结合飞机车轮刹车系统实例,使用文献中提出的方法对其进行可靠性分析,从而验证 所提方法的可行性和有效性。     

嵌入式软件系统体系结构可靠性分析方法

AADL是嵌入式领域对SA进行建模、评估的常用方法,但其属于一种半形式化开发语言,无法直接对SA的可靠性进行验证。为此,提出一种基于AADL的可靠性分析框架,对SA的可靠性进行形式化验证。首先通过分析系统体系结构的元素关系,建立AADL可靠性模型;然后设计转换模型及其规则,将AADL模型转换为连续时间马尔科夫链模型;最后采用概率模型检验工具对连续时间马尔科夫链模型进行可靠性定量分析。仿真结果表明,与现有可靠性分析方法相比,该方法在计算效率和转换效率上都有明显的提高。基于AADL的可靠性分析框架实现在软件系统开发早期对SA进行可靠性定量计算,为AADL在嵌入式软件系统可靠性定量分析方面提供了一种新的验证思路。