面向无人驾驶时空同步约束制导的安全强化学习

无人驾驶系统综合了软件和硬件复杂的交互过程,在系统设计阶段,形式化方法可以保证系统满足逻辑规约和安全需求;在系统运行阶段,深度强化学习被广泛应用于无人驾驶系统决策中.然而,在面对没有经验的场景和复杂决策任务时,基于黑盒的深度强化学习系统并不能保证系统的安全性和复杂任务奖励函数设置的可解释性.为此提出了一种形式化时空同步约束制导的安全强化学习方法.首先,提出了一种形式化时空同步约束规约语言,接近自然语言的安全需求规约使奖励函数的设置更具有解释性.其次,展示了时空同步自动机和状态-动作空间迁移系统,保证强化学习的状态行为策略更加安全.然后,提出了结合形式化时空约束制导的安全强化学习方法.最后,通过无人驾驶汽车在高速场景变道超车的案例,验证所提方法的有效性.     

时空轨迹数据驱动的自动驾驶场景元建模方法

时空轨迹数据驱动的汽车自动驾驶场景建模,是当前汽车自动驾驶领域中驾驶场景建模、仿真所面临的关键问题,对于提高系统的安全性具有重要研究意义.近年来,随着时空轨迹数据建模及应用研究的快速发展,时空轨迹数据应用于特定领域建模的研究引起人们的广泛关注.但由于时空轨迹数据所反映现实世界的多元性和复杂性以及时空轨迹数据的海量、异构、动态等特点,基于时空轨迹数据驱动的安全攸关场景建模的研究仍面临着挑战,包括：统一的时空轨迹数据元模型、基于时空轨迹数据的元建模方法、基于数据分析技术的时空轨迹数据处理、数据质量评价等.针对汽车自动驾驶领域的场景建模需求,我们提出一种基于MOF元建模体系构建时空轨迹数据的元建模方法,根据时空轨迹数据的特征及自动驾驶的领域知识,构建了面向汽车自动驾驶的时空轨迹数据元模型;并基于此,提出基于时空轨迹数据元建模技术体系的自动驾驶安全场景建模方法,并使用场景建模语言ADSML实例化安全场景,构建安全场景库,旨在为此类系统的安全关键场景建模提供一种可行的方案.结合变道超车场景的案例,展示了时空轨迹数据驱动的自动驾驶安全场景元建模方法的可用性,为场景模型的构建、仿真、分析奠定了基础.     

人机一体化智能系统综合感知体系建模方法研究

在分析人机感知的不同特征基础上 ,提出人机一体化综合感知方法 ,并对人机一体化综合感知体系进行了建模研究 ,并以智能驾驶系统为例对人机一体化智能驾驶综合感知体系作了简要说明 .阐明了人机一体化综合智能感知技术的广泛应用前景 .     

面向CPS时空约束的资源建模及其安全性验证方法

信息物理融合系统CPS(Cyber Physical System)是在环境感知的基础上,集合物理与计算的系统,可以实现与环境的智能交互.CPS信息物理空间的不断变化对CPS资源安全性造成一定的挑战.因此,如何研究这一类由时空变化而导致的CPS资源安全性问题成为关键.本文针对该问题提出了面向CPS时空约束的资源建模及其安全性验证方法.首先, 在TCSP(Timed Communicating Sequential Process)的基础上扩展资源向量,提出时空资源通信顺序进程DSR-TCSP(Duration-Space Resource TCSP),使其能够描述CPS拓扑环境下的资源;其次,从时空约束的资源安全性需求中获取时间安全需求,通过DSR-TCSP的时间属性验证算法对时间安全需求进行验证;再次,将满足时间安全需求的模型转换为偶图与偶图反应,并输入到偶图检验工具BigMC中,验证其物理拓扑安全需求,对没有通过验证的反例,修改DSR-TCSP模型,直至满足所提出的安全需求;最后,通过一个驾驶场景实例,验证该方法的有效性.     

描述CPS物理实体的时空Petri网模型

时间Petri网在经典Petri网的基础上引入了时间因素,不仅能分析逻辑层次的系统性能,还能分析时间层次的系统性能,然而包含空间因素的信息物理融合系统(cyber-physical system,CPS)的产生需要对时间Petri网进行拓展。CPS集成计算系统和物理系统,不仅能够实时感知物理环境信息,并且能够通过物理实体改变物理环境。对CPS的物理层面特点进行了深入分析,研究了CPS物理实体的属性及其位置变迁过程,提出了一种CPS物理实体的形式化建模方法。在时间Petri网的基础上引入了空间因素,构造了时空Petri网模型,使其不仅能够描述物理实体逻辑及时间层次的行为,并且能够描述物理实体位置变迁所引起的状态变化。最后以机器人控制系统为例,进一步阐述了时空Petri网模型的有效性。     

自动驾驶场景下的轨迹预测技术综述

轨迹预测是自动驾驶和智能交通领域的关键技术,对于车辆和移动行人轨迹的准确预测可提升自动驾驶系统对周围环境变化的感知能力,保障自动驾驶系统的安全性。数据驱动轨迹预测方法可捕捉智能体之间的交互特征,对场景内智能体历史运动和静态环境信息进行分析,准确预测智能体的未来轨迹。介绍轨迹预测的数学模型并将其分为传统轨迹预测方法和数据驱动轨迹预测方法 2类,阐述主流数据驱动轨迹预测方法所面临的智能体交互建模、运动行为意图预测、轨迹多样性预测、场景内静态环境信息融合等4个主要挑战,从轨迹预测数据集使用、性能评价指标、模型特点等方面出发对典型数据驱动轨迹预测方法进行分析与对比,总结归纳这些典型数据驱动轨迹预测方法针对上述挑战的解决思路和应用场景,并对自动驾驶场景下轨迹预测技术的未来发展方向进行展望。     

面向制造领域人机物三元数据融合的本体自动化构建方法

当前,智能制造面临的许多问题都具有不确定性和复杂性,单纯地利用专家经验和机理模型难以有效解决.鉴于此,面向跨层跨域的复杂制造系统网络化协同控制机制,提出一种基于本体的人机物三元数据融合方法,研究复杂制造环境下的人机物三元数据融合建模.在抽取三元组时,区别于传统的流水线式抽取方式,提出一种基于实体-关系联合抽取的模型ErBERT.该模型首先经过预训练模型BERT进行词序列化,经过最大池化、全连接和Softmax等操作后,完成实体识别和关系分类任务,得到抽取完毕的人机物三元组.将抽取好的三元组按照规则映射至OWL文件,最终存储在图数据库中,实现本体模型的构建.经实验验证,经过ErBERT抽取出的三元组有较好的准确率,能够达到通过本体融合人机物三元数据的目标,并为实现制造企业人机物三元协同决策与优化提供技术支撑.     

自动驾驶交叉路口测试场景建模及验证方法

自动驾驶汽车在缓解交通拥堵和消除交通事故方面发挥着重要作用.为了保证自动驾驶系统的安全性和可靠性,在自动驾驶汽车部署到公共道路之前,必须进行全面的测试.现有的测试场景数据大多来源于交通事故和交通违法场景,而且自动驾驶系统最基本的安全需求就是遵守交通法规,这充分体现了自动驾驶汽车遵守交通规则的重要性.然而,目前严重缺少针对交通法规构建的自动驾驶测试场景.因此,本文从交通法规出发,根据自动驾驶系统安全需求,提出交叉路口测试场景的Petri网建模及形式化验证方法.首先,依据自动驾驶测试场景对交规进行分类,提取适合自动驾驶汽车的文本交规,并进行半形式化表征.其次,以覆盖道路交通安全法规以及测试场景功能测试规程为目标,融合交叉路口场景要素的交互行为,合理选择并组合测试场景要素,布设交叉路口测试场景.然后,基于交规的测试场景被建模为一个Petri网,其中,库所描述自动驾驶汽车的状态,变迁表示状态的触发条件,并选择时钟约束规范语言（CCSL）作为中间语义语言,将Petri网转换为一个可进行形式化验证的中间语义模型,提出具体的转换方法.最后,通过Tina软件分析验证交规场景模型的活性、有界性和可达性,结果表明所建模型的正确性,并基于SMT的分析工具MyCCSL来分析CCSL约束,采用LTL公式以形式化方法验证交规场景模型的一致性.     

基于限定中文自然语言需求的SysML模型自动生成方法

模型驱动开发方法逐渐成为安全关键信息物理融合系统(safety-critical cyber-physical system,SC-CPS)设计与开发的重要手段.然而,安全关键信息物理融合系统需求往往是通过自然语言描述的,如何自动化或半自动化链接自然语言需求和基于模型驱动的系统设计与开发过程是目前面临的重要挑战.面向安全关键信息物理融合系统,提出基于限定中文自然语言需求的SysML模型自动生成方法RNL2SysML.首先,为了降低自然语言需求表达的二义性,提出一种结构化的限定自然语言需求模板进行需求规约,并通过基于人工智能的(AI)安全关键信息物理融合系统术语提取和推荐方法,对系统需求中的领域术语和数据字典加以自动提取,提高限定自然语言需求规约工作的自动化程度.然后,给出限定自然语言需求规约到SysML系统设计模型的转换方法.最后,基于开源工具Papyrus对所提方法进行了原型工具实现,并通过航空领域的飞机空气增压系统(airplane air compressor system)案例验证了方法的有效性和实用性.     

基于设计演算的形式化用例分析建模框架

提出一种形式化用例分析建模框架,引入类图、用例顺序图、用例状态图、功能规约函数和系统不变式从多个角度为需求建模.通过定义这些视图的形式化语义,为需求的各个方面定义了准确的形式化描述.利用该框架,可以从方法的交互行为规约和功能规约合成描述方法全部行为的全规约;也可以定义用例模型的性质,并通过设计演算中的证明来分析验证这些性质.作为应用,研究了检查用例模型一致性的规则.给出一个实例说明建模框架的可行性.     

网络攻击下的信息物理系统安全性研究综述

随着信息物理系统在现代工业和制造业中的广泛应用,其安全性逐渐成为关系社会健康发展的重要因素.由于信息物理系统内部物理设备和通信网络的深度融合,网络攻击对系统安全的威胁日益凸显.首先,从攻击者角度总结各类网络攻击的特点,揭示系统在不同攻击下的脆弱性;其次,针对不同网络攻击的特性,从防御者角度对信息物理系统的安全状态估计、攻击检测和安全控制进行介绍,并阐述各防御策略的主要应用场景和优势;最后,对信息物理系统安全性研究面临的主要挑战进行展望.     

An event-based approach for formally verifying runtime adaptive real-time systems

Real-time and embedded systems are required to adapt their behavior and structure to runtime unpredicted changes in order to maintain their feasibility and usefulness. These systems are generally more difficult to specify and verify owning to their execution complexity. Hence, ensuring the high-level design and the early verification of system adaptation at runtime is very crucial. However, existing runtime model-based approaches for adaptive real-time and embedded systems suffer from shortcoming linked to efficiently and correctly managing the adaptive system behavior, especially that a formal verification is not allowed by modeling languages such as UML and MARTE profile. Moreover, reasoning about the correctness and the precision of high-level models is a complex task without the appropriate tool support. In this work, we propose an MDE-based framework for the specification and the verification of runtime adaptive real-time and embedded systems. Our approach stands for Event-B method to formally verify resources behavior and real-time constraints. In fact, thanks to MDE M2T transformations, our proposal translates runtime models into Event-B specifications to ensure the correctness of runtime adaptive system properties, temporal constrains and nonfunctional properties using Rodin platform. A flood prediction system case study is adopted for the validation of our proposal.

     

基于STeC-Stateflow转换系统的实时系统仿真与验证方法

物联网以及信息物理融合系统对形式化建模提出了新的挑战, 引入了实时系统规范语言STeC, 为刻画实时系统的时空一致性提供了规范语言。针对STeC语言建立STeC至Stateflow自动转换系统, 提出一种基于STeC至Stateflow转换的仿真及验证方法, 该方法使用STeC语言对实时系统进行形式化建模, 再建立实时监控的Simulink仿真模型, 并使用Checkmate对系统进行安全性验证。通过对京沪高铁运行的实例研究, 表明该方法对高铁运行系统实时仿真的有效性, 并能够验证高铁运行系统的安全性。     

Formalization and co-simulation of attacks on cyber-physical systems

Journal of Computer Virology and Hacking Techniques - This paper presents a methodology for the formal modeling of security attacks on cyber-physical systems, and the analysis of their effects on...     

A metamodel for cyber-physical systems

With the advent of the Internet of Things and Industry 4.0 concepts, cyber-physical systems in civil engineering experience an increasing impact on structural health monitoring (SHM) and control applications. Designing, optimizing, and documenting cyber-physical system on a formal basis require platform-independent and technology-independent metamodels. This study, with emphasis on communication in cyber-physical systems, presents a metamodel for describing cyber-physical systems. First, metamodeling concepts commonly used in computing in civil engineering are reviewed and possibilities and limitations of describing communication-related information are discussed. Next, communication-related properties and behavior of distributed cyber-physical systems applied for SHM and control are explained, and system components relevant to communication are specified. Then, the metamodel to formally describe cyber-physical systems is proposed and mapped into the Industry Foundation Classes (IFC), an open international standard for building information modeling (BIM). Finally, the IFC-based approach is verified using software of the official IFC certification program, and it is validated by BIM-based example modeling of a prototype cyber-physical system, which is physically implemented in the laboratory. As a result, cyber-physical systems applied for SHM and control are described and the information is stored, documented, and exchanged on the formal basis of IFC, facilitating design, optimization, and documentation of cyber-physical systems.     

Secure-by-construction synthesis of cyber-physical systems

Correct-by-construction synthesis is a cornerstone of the confluence of formal methods and control theory towards designing safety-critical systems. Instead of following the time-tested, albeit laborious (re)design-verify-validate loop, correct-by-construction methodology advocates the use of continual refinements of formal requirements – connected by chains of formal proofs – to build a system that assures the correctness by design. A remarkable progress has been made in scaling the scope of applicability of correct-by-construction synthesis – with a focus on cyber-physical systems that tie discrete-event control with continuous environment – to enlarge control systems by combining symbolic approaches with principled state-space reduction techniques.Unfortunately, in the security-critical control systems, the security properties are verified ex post facto the design process in a way that undermines the correct-by-construction paradigm. We posit that, to truly realize the dream of correct-by-construction synthesis for security-critical systems, security considerations must take center-stage with the safety considerations. Moreover, catalyzed by the recent progress on the opacity sub-classes of security properties and the notion of hyperproperties capable of combining security with safety properties, we believe that the time is ripe for the research community to holistically target the challenge of secure-by-construction synthesis. This paper details our vision by highlighting the recent progress and open challenges that may serve as bricks for providing a solid foundation for secure-by-construction synthesis of cyber-physical systems.     

Executable formal specifications of complex distributed systems with CoreASM

Formal specifications play a crucial role in the design of reliable complex software systems. Executable formal specifications allow the designer to attain early validation and verification of design using static analysis techniques and accurate simulation of the runtime behavior of the system-to-be. With increasing complexity of software-intensive computer-based systems and the challenges of validation and verification of abstract software models prior to coding, the need for interactive software tools supporting executable formal specifications is even more evident. In this paper, we discuss how CoreASM, an environment for writing and running executable specifications according to the ASM method, provides flexibility and manages the complexity by using an innovative extensible language architecture.     

A Stochastic Game Model for Evaluating the Impacts of Security Attacks Against Cyber-Physical Systems

A quantitative security evaluation in the domain of cyber-physical systems (CPS), which operate under intentional disturbances, is an important open problem. In this paper, we propose a stochastic game model for quantifying the security of CPS. The proposed model divides the security modeling process of these systems into two phases: (1) intrusion process modeling and (2) disruption process modeling. In each phase, the game theory paradigm predicts the behaviors of the attackers and the system. By viewing the security states of the system as the elements of a stochastic game, Nash equilibriums and best-response strategies for the players are computed. After parameterization, the proposed model is analytically solved to compute some quantitative security measures of CPS. Furthermore, the impact of some attack factors and defensive countermeasures on the system availability and mean time-to-shutdown is investigated. Finally, the proposed model is applied to a boiling water power plant as an illustrative example.     

面向实时数据的CPS一体化建模方法

信息物理系统（cyber-physical system，简称CPS）是一个在环境感知的基础上整合了物理和计算元素的系统，它可以智能地响应真实世界的动态变化，具有重要而广阔的应用前景.然而，CPS工作在复杂的物理环境中，周围的物理变化会对CPS的行为产生影响.因此，确保CPS在复杂环境中的安全性和可靠性至关重要.提出了一种面向实时数据的一体化建模方法，通过定义一系列的规则，将领域环境模型组合到运行时验证过程中去，从而保证CPS在不确定环境中的安全性和可靠性.该方法首先为环境建立数学模型.然后，设计合并规则将相同系统参数下仅有一个环境影响因子的数学模型合并为相同系统参数下有一个或多个环境影响因子的数学模型.之后，定义转换规则，将数学模型转换为伪代码表示的环境模型.最后，根据组合规则将环境模型组合到运行时监视模型中执行验证.该方法使得监视模型更加完整、准确，当环境发生变化时，通过动态调整参数范围使得CPS中的安全属性在复杂的物理环境中仍然得以满足.将该方法应用到移动机器人避障实验中，对影响电池容量的温度和湿度进行数学建模，然后将环境模型组合到监视模型中去，最终实现在执行任务前可以根据不同的物理环境准确地给出续航时间安全提醒.