CN102053910B

CN102053910B - 一种基于aadl模态蜕变关系的嵌入式软件测试方法

Info

Publication number: CN102053910B
Application number: CN 201010554273
Authority: CN
Inventors: 董云卫; 张凡; 孙博; 路晓丽; 周兴社
Original assignee: Northwestern Polytechnical University
Current assignee: Northwestern Polytechnical University
Priority date: 2010-11-18
Filing date: 2010-11-18
Publication date: 2013-01-16
Anticipated expiration: 2030-11-18
Also published as: CN102053910A

Abstract

本发明涉及一种基于AADL模态蜕变关系的嵌入式软件测试方法，技术特征在于：基于AADL架构模型文件中的模态信息，构造模态迁移图，根据改进的深度优先遍历算法将该图转换成蜕变测试需要的模态关系树。通过遍历该模态关系树，构造出模态蜕变关系中的源测试用例，然后借助由AADL模型中的模态蜕变关系生成后续测试用例，验证模态蜕变关系，得出蜕变测试的结论。解决了嵌入式软件测试中存在的“Oracle问题”，方便用户在软件设计的早期对嵌入式软件进行测试，在系统的架构级别保证软件的可靠性，如果模型架构不能满足相应的要求，可以在开发的早期修改软件的架构，这样不仅节约了开发成本，同时也可以缩短开发周期。

Description

一种基于AADL模态蜕变关系的嵌入式软件测试方法

技术领域

本发明涉及一种基于AADL模态蜕变关系的嵌入式软件测试方法，涉及软件测试中的蜕变测试技术。

背景技术

随着计算机技术的发展，嵌入式系统在工业领域扮演着越来越重要的角色。早期嵌入式软件的任务简单明确，同时软件的规模也比较小，因此在软件的设计和实现过程中，关注的重点是如何有效地满足软件的功能及非功能性需求，基本不考虑软件工程中控制和管理系统规模及复杂性的方法和技术。随着嵌入式软件系统复杂性不断扩大，早期的嵌入式软件开发方法已不能够完全满足嵌入式软件设计需求，这对嵌入式软件开发中的设计合理性、验证完备性，以及开发效率等方面都带来了挑战，迫切需要研究使用新的嵌入式软件开发方法。

目前，业界引入模型驱动结构方法(MDA-Model Driven Architecture)，该方法是由OMG(Object Management Group)定义的软件开发框架。在MDA的开发方法中，软件开发行为被提升到更高的级别—分析模型级，而针对特定计算平台的编码工作由机器自动完成，这样就将业务逻辑与逻辑实现技术成功分离，使软件模型成为开发过程中的核心，从而提高软件的可信性、缩短系统开发周期。另外，为了提高系统的开发效率，嵌入式软件也表现出开发工具方面的集成化趋势，以及向构件复用方面发展的趋势。在开发工具方面，需要把覆盖需求、设计、代码生成、验证等整个生命周期的工具集成起来，形成嵌入式软件开发过程的生产线。同时，采用基于构件的复用技术开发方法，可以在不同产品之间复用软件模块，有效降低开发和维护方面的成本。

基于这个思想，由美国卡内基-梅隆大学开发，美国自动化协会SAE发布了航空标准AS5506——架构分析与设计语言(Architecture Analysis & Design Language，AADL)。AADL系统建模语言拥有对各种应用系统的强大描述能力，如描述系统行为的并发、通信、时间和层次化结构以及设计约束等。AADL支持在非功能属性方面(如：时间、吞吐量和可靠性等)对嵌入式实时系统的软硬件体系进行早期和迭代分析。AADL采用了基于构件的系统分析与设计技术，把构件分为应用软件、运行平台和系统三种类型。AADL通过构件以及构件间的交互对系统架构进行描述与分析，不关心构件的具体实现，通过软件构件、硬件构件和系统构件，对实时嵌入式系统以及高可靠性系统进行了描述与分析。同时，AADL中定义了模态的概念——构件的模态是对包含构件，关联以及属性值的一个明确定义的配置，是一个系统或者构件可选的操作状态。当为一个构件声明多个模态，一个模态迁移行为声明标识了哪个事件引起模态切换和产生一个新模态，即不同的结构的一个变化。只有一个模态被认为是当前模态，当前模态决定被认为是活动的线程集合，即准备响应分派，和可行的传输数据和控制的关联。一个模态迁移是指从一个状态或条件到另一个的可能的运行时通道，这样的迁移由事件触发。通过对系统的AADL模型进行分析和测试，可以在嵌入式软件开发的早期发现问题，保证嵌入式软件的可靠性。

在嵌入式软件开发过程中，软件测试作为其中的重要组成部分，它在软件的整个生命周期内持续发挥着作用，保证着软件功能属性和非功能属性(如可靠性、安全性等)要求。由于AADL开发的软件是基于模型进行开发设计和分析的。在对应基于模型的嵌入式软件测试中，常用的模型包括：UML模型，有限状态机(FSM-Finite State Machine)，状态图(Statechart)，马尔科夫链等。但这些模型对于基于AADL的模型测试的支持较少，另外更值得注意的是在嵌入式软件测试过程中，由于构件实际运行环境的多样性和构件之间交互的复杂性，往往出现程序执行结果不能提前预知，或者为了预知结果使用人工方法需要花费较大代价的现象，这种程序的执行结果不能预知的现象在测试理论中称为“Oracle问题”。而已有的构件化软件测试模型和方法是程序在特定测试用例下的运行结果和预期运行结果比对来判断程序设计实现是否有错误，它导致测试人员只能选择一些可以预知结果的简单测试用例进行测试，而不能完整有效地揭示程序存在的错误。需要有新的测试方法来对AADL模型进行支持，并且能够解决测试过程中的“Oracle问题”。

发明内容

要解决的技术问题

为了避免现有技术的不足之处，本发明提出一种基于AADL模态蜕变关系的嵌入式软件测试方法，解决嵌入式软件测试过程中的“Oracle问题”，对AADL模型进行测试，保证AADL模型的可靠性。

本发明的思想在于：基于AADL架构模型文件中的模态信息，构造模态迁移图，根据改进的深度优先遍历算法将该图转换成蜕变测试需要的模态关系树。通过遍历该模态关系树，构造出模态蜕变关系中的源测试用例，然后借助由AADL模型中的模态蜕变关系生成后续测试用例，最后运行源测试用例和后续测试用例，验证模态蜕变关系，最后得出蜕变测试的结论。

技术方案

一种基于AADL模态蜕变关系的嵌入式软件测试方法，其特征在于步骤如下：

步骤1：通过AADL设计工具对需要测试的AADL系统架构模型进行实例化操作，将AADL文件转换为AAXL文件，从转换的AAXL文件中利用模态关键字进行识别得到系统模态之间的迁移信息；

步骤2：利用步骤1中得到的系统模态迁移信息和有限状态机的方式，将其构造成模态迁移图：MTD＝(Ω_M，E，b_o，b_e，σ)，其中，Ω_M＝{M₀，M₁...M_i，...M_n}为模态状态空间，M_i为其中某模态；E＝{e₁，e₂，...e_i，...e_n}为触发模态迁移的事件集合；b_o为初始状态；b_e为终结状态；σ为变迁函数，σ＝Ω_M×E-＞Ω_M；

所述触发模态迁移的事件集合E包括可触发模态M_i迁移的事件集合与非可触发模态M_i迁移的事件集合；所述可触发模态M_i迁移的事件集合为触发某模态M_i发生迁移的事件e_i的集合；所述非可触发模态M_i迁移的事件集合为不能触发某模态M_i发生迁移的事件e_j的集合。

步骤3：将步骤2中的模态迁移图转换成蜕变测试需要的模态关系树，树的结点表示AADL模型中的任一模态，父结点指向孩子结点的边表示触发父结点的模态迁移到孩子结点模态的事件；

转换步骤如下：

步骤a：以模态迁移图中的初始状态顶点为模态关系树的根结点，作为当前访问的顶点，并加以标记；

步骤b：依次从当前访问的顶点的未标记的边或者邻接点出发，深度优先遍历模态迁移图，遍历的过程中标记已访问的结点，标记进入该结点访问路径上的边；

步骤c：当遍历的过程中遇到如下其中之一的情况时，返回父结点，转到步骤b继续进行如下遍历：

A.遍历到初始状态顶点；

B.遍历到终结状态顶点；

C.遍历到的顶点，以该点出发的边及指向该点的边均已标记；

步骤d：当模态迁移图中的所有结点和边均已标记，模态迁移图到模态关系树的转换结束，形成模态关系树；

步骤4：从步骤3中得到的模态关系树的根结点出发，深度优先遍历模态关系树，将每条从根结点到叶子结点的路径信息作为一条记录，得到包括所有结点和边信息的路径信息记录；当叶子结点为初始状态结点时将该条路径信息放入路径集合A中，否则放在路径集合B中；

步骤5：构造模态蜕变关系：

模态蜕变关系1：f(M₀，E_oi)＝f(M₀，E_oi ⁿ)

其中f为AADL系统模型，M₀为系统的初始模态，E_oi为某最小自达状态事件集合，

n为大于等于1任意正整数，表示了集合E_oi顺序执行的次数；如果模态蜕变关系1等式不成立，则该系统的AADL架构模型不可靠；

模态蜕变关系2：f(M₀，E_ti)＝f(M₀，E_ti′)

其中，E_ti为非自达状态事件集合，E_ti′是在事件集合E_ti中插入任意数量的非可触发当前模态迁移的事件后形成的事件集合；如果模态蜕变关系2等式不成立，则该系统的AADL架构模型不可靠；

所述正确事件集合包括自达状态事件集合和非自达状态事件集合；

所述自达状态事件集合为：可触发系统由初始模态返回到初始模态的一系列有序事件的集合，它表示为E_oi＝(e_i1，....，e_in)，满足关系式f(M₀，E_oi)＝M₀，其中f为AADL系统模型，M₀为系统的初始模态；若E_oi中

e_ii≠e_ij，则该集合称为最小自达状态事件集合；不同的该类型的集合组成最小自达状态事件集合的空间，表示为Ω_E＝(E_o1，E_o2，...E_oi...，E_on)；

所述非自达状态事件集合为：可触发系统由初始模态迁移到非初始模态的一系列有序事件的集合；

步骤6：根据步骤4得到的路径信息，分别除去集合A和B中的每条路径信息记录中的模态信息，得到集合A′和B′，其中集合A′中的每个元素为最小自达状态事件集合，集合B′中的每一个元素为非自达状态事件集合；集合A′和B′中的每个元素构成了模态蜕变关系中的源测试用例；

步骤7：对每个最小自达状态事件集合E_oi进行n次的扩展形成新的有序事件集合，构成步骤5中模态蜕变关系1中的E_oi ⁿ成为后续测试用例，n为大于等于1的任意正整数；对非自达状态事件集合如E_ti，由步骤4知E_ti中每个事件前面位置上的模态，再根据步骤2中的非可触发该模态迁移的事件集合，选取其中的任意事件，在该位置插入，构成步骤5中模态蜕变关系2中的E_ti′成为后续测试用例；

步骤8：从AADL架构模型的初始模态出发，以步骤6中由最小自达状态事件集合构成的源测试用例和对应的步骤7中的后续测试用例，判断步骤5中的模态蜕变关系1中的等式是否成立；从架构模型的初始模态出发，以步骤6中的由非自达状态事件集合构成的源测试用例和对应的步骤7中的后续测试用例，判断步骤5中的模态蜕变关系2中的等式是否成立；；如果上述两组模态蜕变关系的等式均成立，说明AADL架构模型测试通过，否则报错，说明模型设计中存在缺陷模型不可靠。

有益效果

本发明提出的基于AADL模态蜕变关系的嵌入式软件测试方法，适合用来对航空、航天等大规模、复杂的嵌入式软件设计分析进行前期的验证工作，是对系统架构模型进行正确性检验的方法，解决了嵌入式软件测试中存在的“Oracle问题”，方便用户在软件设计的早期对嵌入式软件进行测试，在系统的架构级别保证软件的可靠性，如果模型架构不能满足相应的要求，可以在开发的早期修改软件的架构，这样不仅节约了开发成本，同时也可以缩短开发周期。

附图说明

图1：本发明方法流程图；

图2：本发明实施例中的系统模态迁移图；

图3：系统模态关系树；

图4：系统模态迁移图到关系树的转换流程图；

具体实施方式

现结合实施例、附图对本发明作进一步描述：

该实例描述了一个飞行控制系统，系统有两个子构件分别为飞行状态处理进程Modify和错误处理进程Error_Deal。该系统有5个系统模态，分别为初始模态Initialize、飞行员控制模态Hum_Control_Mode、飞机自动控制模态Autopilot_Control_Mode、故障模态Malfuction_Mode、待重置模态Wait_Mode。其中当系统接收来自Init_Done的事件，系统由Initialize转换到Hum_Control_Mode，此时当接收来自Back_Init的事件系统会返回Initialize。系统由Hum_Control_Mode经进程Modify中的Autopilot_Control_UP端口事件的触发会转换到Autopilot_Control_Mode，此时如果收到Hum_Control_UP端口事件的触发返回Hum_Control_Mode。另外当系统由初始模态Initialize，接收到Init_error事件的触发会转换到Malfuction_Mode，此时如果接收到错误处理进程Error_Deal中的Repaired事件，会转换到Initialize，如果接收到Unrepaired事件，系统会转换到Wait_Mode。

下面为该系统的AADL架构模型代码

process Control_Modify_Process

features

Hum_Control_UP:out event port；

Autopilot_Control_UP:out event port；

end Control_Modify_Process；

process Error_Deal_Process

features

Repaired:out event port；

Unrepaired:out event port；

end Error_Deal_Process

system Flight_System

features

Init_Done:in event port；

Init_Error:in event port；

Back_Init:in event port

end Flight_System；

system implementation Flight_System.Impl

subcomponents

Modify:process Control_Modify_Process；

Error_Deal:process Error_Deal_Process

modes

Initialize:initial mode；

Hum_Control_Mode:mode；

Autopilot_Control_Mode:mode；

Malfuction_Mode:mode；

Wait_Mode:mode；

Initialize-[Init_Done]->Hum_Control_Mode；

Initialize-[Init_Error]->Malfuction_Mode；

Hum_Control_Mode-[Back_Init]->Initialize

Hum_Control_Mode-[Modify.Autopilot_Control_UP]->

Autopilot_Control_Mode；

Autopilot_Control_Mode-[Modify.Hum_Control_UP]->

Hum_Control_Mode；

Malfuction_Mode-[Repaired]->Initialize；

Malfuction_Mode-[Unrepaired]->Wait_Mode；

end Flight_System.Generic；

按步骤1通过AADL设计工具对需要测试的AADL系统架构模型进行实例化操作，将AADL文件转换为AAXL文件，从转换的AAXL文件中利用模态关键字进行识别得到系统模态之间的迁移信息，结果如下：

Initialize-[Init_Done]->Hum_Control_Mode；

Initialize-[Init_Error]->Malfuction_Mode；

Hum_Control_Mode-[Back_Init]->Initialize

Hum_Control_Mode-[Modify.Autopilot_Control_UP]->Autopilot_Control_Mode；

Autopilot_Control_Mode-[Modify.Hum_Control_UP]->Hum_Control_Mode；

Malfuction_Mode-[Repaired]->Initialize；

Malfuction_Mode-[Unrepaired]->Wait_Mode；

按步骤2将步骤1得到的系统模态信息，构造为模态迁移图，见图2。

按步骤3将步骤2中构造的系统模态迁移图按照步骤3里的方法(方法的流程见图4)转换成模态关系树，见图3。

为方便表示将模态Initialize、Hum_Control_Mode、Autopilot_Control_Mode、Malfuction_Mode、Wait_Mode分别表示为M₀至M₄，事件Init_Done、Back_Init、Modify.Autopilot_Control_UP、Modify.Hum_Control_UP、Init_Error、Repaired、Unrepaired分别记作e₁至e₇。这些模态的可触发模态迁移的事件集合以及非可触发模态迁移的事件集合见表1。

按步骤4，深度优先遍历步骤3生成的模态关系树，得到相应的路径信息，其中得到集合A的元素分别为：

(M₀，e₁，M₁，e₃，M₂，e₄，M₁，e₂，M₀)，(M₀，e₁，M₁，e₂，M₀)，(M₀，e₅，M₃，e₆，M₀)。

集合B中的元素为：(M₀，e₅，M₃，e₇，M₄)。

按步骤5构造两个模态蜕变关系。

模态蜕变关系1：f(M₀，E_oi)＝f(M₀，E_oi ⁿ)；

模态蜕变关系2：f(M₀，E_ti)＝f(M₀，E_ti′)。

按步骤6，除去步骤4得到的集合A中的每条路径信息记录中的模态信息，得到集合A′＝{E_o1，E_o2，E_o3}，其中E_o1＝(e₁，e₃，e₄，e₂)，E_o2＝(e₁，e₂)，E_o3＝(e₅，e₆)。A′中的每个元素均为个最小自达状态事件集合，并作为测试中的源测试用例；除去步骤4得到的集合B中的每条路径信息记录中的模态信息，得到集合B′＝{E_t1}，其中E_t1＝(e₅，e₇)，E_t1为非自达状态事件集合，并作为另外一组测试中的源测试用例。

按步骤7构造后续的测试用例。

针对步骤6中最小自达状态事件集合构成的源测试用例和步骤5中的模态蜕变关系1，这里取n＝3时，对于E_o1＝(e₁，e₃，e₄，e₂)的后续测试用例为E_o1 ³＝(e₁，e₃，e₄，e₂，e₁，e₃，e₄，e₂，e₁，e₃，e₄，e₂)，相应的E_o2 ³＝(e₁，e₂，e₁，e₂，e₁，e₂)，E_o3 ³＝(e₅，e₆，e₅，e₆，e₅，e₆)。

针对步骤6中非自达状态事件集合构成的源测试用例和步骤5中的模态蜕变关系2构造后续测试用例。源测试用例E_t1＝(e₅，e₇)，它是由步骤4中的路径记录(M₀，e₅，M₃，e₇，M₄)生成的，因而可插入的事件位置有3处，即箭头所在的位置，如(↑₁ e₅，↑₂ e₇↑₃)。根据步骤2中的非可触发相应模态的事件集合(见表1)，在↑₁处对应的模态为M₀，可插入事件集合{e₂，e₃，e₄，e₆，e₇}中的任一事件，这里可取e₃；↑₂处对应的模态为M₃，插入对应的非可触发M₃迁移的事件集合{e₁，e₂，e₃，e₄，e₅}中的任一事件，这里取这里可取e₂；↑₃位置对应的是M₄，因而可以插入事件集合E中的任一事件，这里取e₄；最后可得一个后续测试用例为E_t1′＝(e₃，e₅，e₂，e₇，e₄)。

按照步骤8系统的初始模态为M₀，分别运行根据步骤6生成的源测试用例和对应的步骤7中的后续测试用例，验证模态蜕变关系是否保持。验证步骤5中的模态蜕变关系1：f(M_o，E_o1)＝f(M_o，E_o1 ³)，f(M_o，E_o2)＝f(M_o，E_o2 ³)，f(M_o，E_o3)＝f(M_o，E_o3 ³)是否成立；以及验证步骤5中的模态蜕变关系2：f(M_o，E_t1)＝f(M_o，E_t1′)是否成立；如果上述两组关系均成立则AADL架构模型测试通过，否则说明系统架构模型存在缺陷，模型不可靠，需要改进。

至此，方法已完成对系统架构模型的蜕变测试。

表1系统模态对应的可触发模态迁移和非可触发模态迁移的事件集合

Claims

1.一种基于AADL模态蜕变关系的嵌入式软件测试方法，其特征在于步骤如下：

所述触发模态迁移的事件集合E包括可触发模态M_i迁移的事件集合与非可触发模态M_i迁移的事件集合；所述可触发模态M_i迁移的事件集合为触发某模态M_i发生迁移的事件e_i的集合；所述非可触发模态M_i迁移的事件集合为不能触发某模态M_i发生迁移的事件e_i的集合；

转换步骤如下：

A.遍历到初始状态顶点；

B.遍历到终结状态顶点；

步骤5：构造模态蜕变关系：

模态蜕变关系1：f(M₀，E_oi)＝f(M₀，E_oi ⁿ)

模态蜕变关系2：f(M₀，E_ti)＝f(M₀，E_ti′)

所述事件集合包括自达状态事件集合和非自达状态事件集合；

所述自达状态事件集合为：可触发系统由初始模态返回到初始模态的一系列有序事件的集合，它表示为E_oi＝(e_i1，....，e_in)，满足关系式f(M₀，E_oi)＝M₀，其中f为AADL系统模型，M₀为系统的初始模态；若E_oi中则该集合称为最小自达状态事件集合；不同的该类型的集合组成最小自达状态事件集合的空间，表示为Ω_E＝(E_o1，E_o2，...E_oi...，E_on)；

步骤7：对每个最小自达状态事件集合E_oi进行n次的扩展形成新的有序事件集合，构成步骤5中模态蜕变关系1中的E_oi ⁿ成为后续测试用例，n为大于等于1的任意正整数；对非自达状态事件集合E_ti，由步骤4知E_ti中每个事件前面位置上的模态，再根据步骤2中的非可触发该模态迁移的事件集合，选取其中的任意事件，在该位置插入，构成步骤5中模态蜕变关系2中的E_ti′成为后续测试用例；

步骤8：从AADL架构模型的初始模态出发，以步骤6中由最小自达状态事件集合构成的源测试用例和对应的步骤7中的后续测试用例，判断步骤5中的模态蜕变关系1中的等式是否成立；从架构模型的初始模态出发，以步骤6中的由非自达状态事件集合构成的源测试用例和对应的步骤7中的后续测试用例，判断步骤5中的模态蜕变关系2中的等式是否成立；如果上述两组模态蜕变关系的等式均成立，说明AADL架构模型测试通过，否则报错，说明模型设计中存在缺陷模型不可靠。