CN103761084A - 基于扩展活性顺序图模型检测的物联网可信性评价方法 - Google Patents

Abstract

本发明公开了一种基于扩展活性顺序图对物联网进行可信性评价的方法，属于物联网技术领域。本发明提出采用概率时间活性顺序图对物联网的运行加以直观和量化的描述，采用时间活性顺序图对物联网的运行场景加以规约，采用模型检测的方法，实现对物联网可信性的评价。该方法自动化程度高，对计算空间要求不高，过程清晰明确，可操作性和可复用性强。本发明提升了业内对物联网设计与运行的理论认识水平和实际检测技术水平，对加快国内物联网产业的健康和可持续发展具有重要的促进作用。

Description

基于扩展活性顺序图模型检测的物联网可信性评价方法

技术领域

本发明涉及物联网技术领域，具体涉及一种基于扩展活性顺序图模型检测的物联网可信性评价方法。

背景技术

物联网是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化三个重要特征。互联网加物联网形成“智慧地球”，是当前世界性的热门课题。被称为下一个万亿级通信业务的物联网，已被世界各国当作应对国际金融危机、振兴经济的重点领域。抓住物联网发展的这一机遇，将不仅为中国信息产业，也为“中国制造”赢得未来巨大而广阔的发展空间。目前，我国政府十分关注和重视物联网的研究，国家发改委、工业和信息化部已出台多项重大举措，促进物联网产业的发展。

嵌入式系统是以嵌入式处理器为基础，嵌入到对象体系中的智能化电子系统。嵌入式系统作为热门领域，涵盖了微电子技术、传感技术、电子信息技术、计算机软件和硬件等多项技术的应用。可以说现在的时代是一个嵌入式的时代，从我们生活的智能化、工业的自动化到国防的现代化，嵌入式系统无处不在。嵌入式技术日趋成熟，嵌入式产品网络化需求在不断的增长，并且存在巨大的市场潜力，由此推动了物联网的诞生。可以说，物联网是嵌入式系统网络化的产物。

人们对包括嵌入式系统在内的各种计算系统的可依赖程度越来越高，用户对于计算服务的“可信性”也越来越关注，可信计算己成为当前的一个热点研究领域。目前对于可信性还没有统一的定义，本文中“可信性”指系统在规定的时间与环境内交付可信赖服务的能力，这种能力常常以概率的大小来定量表示。物联网执行的可信性问题，是物联网背后的重要科学问题之一。物联网执行的可信性问题是指，如何应对物理实体的控制要求，实现和满足系统执行过程与结果符合设计期望，达到可信控制的问题。执行的可信性是物联网实施和应用的核心和关键。

模型检测作为保证系统正确性和可靠性的一种重要手段，在最近20多年取得长足发展。通过对被研究的系统建立模型，对系统应遵循的各种性质使用适当的规约语言加以描述，通过遍历模型可检查系统是否遵循有关的性质。如果不遵循指定的性质，还能给出违背性质的反例。由于模型检测采用了严格的形式化方法对系统进行验证，因此比测试和仿真更能保证系统的正确性。

随着嵌入式系统的广泛使用，嵌入式系统的性能与可信性分析也受到人们的关注。《反应式嵌入式系统形式化性能模型的研究》(张冠华等，小型微型计算机系统，2005)基于进程代数EACSR-VP和形式化描述语言CPSL，对反应式嵌入式系统的通信信道的吞吐率、队列缓冲区的平均长度等进行了形式化建模，并开发了形式化工具PVKit来对系统进行性能分析。《策略驱动的可靠嵌入式系统建模及分析方法》(范贵生等，软件学报，2011)针对嵌入式系统的特点，提出一种策略驱动的可靠嵌入式系统建模与分析方法。基于Petri网建立嵌入式系统的形式化描述语言，并对设备、计算与物理交互、组件及通信过程等要素进行建模，并利用Petri网相关理论分析嵌入式系统可靠性保障策略的有效性。

从20世纪90年代开始，国外对嵌入式系统性能与可信性分析就引起了广泛兴趣。针对嵌入式系统中存在的实时性特点，关于实时系统的研究，是一个研究热点。针对嵌入式系统中存在的不确定性，关于概率系统的研究，也是一个研究热点。时间自动机是描述嵌入式系统实时性的基本模型，用时间自动机建立系统模型，可以验证系统满足用户实时性的正确性。UPPAAL就是这方面的典型工具。概率时间自动机是在时间自动机模型上进行概率扩展形成。概率时间自动机不仅可以描述系统的实时性，还能够进一步对系统状态跃迁的不确定性进行定量描述，是比较典型和常用的性能建模模型。可以概率时间计算树逻辑(PTCTL)来描述用户对系统的实时性和可靠性要求，以概率时间自动机来建模系统，以模型检测的方法可以来检验系统的正确性。该验证已研制出较好的实现工具PRISM。

上述研究对系统性质的描述，采用的是形式化的逻辑，其存在两个方面的问题。一是，对用户的要求较高，没有专门的数学与逻辑方面的训练，难以掌握使用这些逻辑来描述系统性质的技巧。二是，形式化的逻辑对系统性质的表达能力也存在一定的局限性。欲进行性能评估的系统，如果是比较复杂的系统，比如物联网中的许多嵌入式系统，就可能存在：1)层次性-系统由多个子系统或组件等组成；2)并行性-多个子系统同时运行；3)交互性-子系统间进行同步和通信。这类系统中行为的发生常常由来自内部或外界的事件所触发。对于这类系统，用常规的时序逻辑难以描述其性质，甚至难以用进程代数、petri网或自动机来对系统建模。

基于场景的规约(Scenario-Based Specification)用直观、可视的形式描述系统各部件之间的交互活动，在系统开发过程中扮演着重要的角色。自ITU-Z120推出以来，消息顺序图(Message Sequence Chart，MSC)逐渐被工业界接受为基于场景的规约语言。随着OMG推出的统一建模语言(Unified Modeling Language，UML)将类似于MSC的顺序图(Sequence Diagram)集成其中，类似于MSC的基于场景的规约语言被越来越多的系统开发人员认识并使用。活性顺序图(Live Sequence Chart，LSC)是MSC(或UML的顺序图)的模态扩展，能够对强制场景和可能场景加以区分，因此具有图形化的界面和更强的规约表达能力，是重要的基于场景的规约语言，在工业界逐渐得到广泛使用。

本发明认为一个物联网由多个相对独立而内部紧密耦合的嵌入式系统构成。在物联网环境下，系统运行的实时性和不确定性是影响嵌入式系统可信性的关键要素，在对嵌入式系统各个部件之间的交互活动进行建模的过程中必须要考虑时间因素和不确定性因素。本发明采用LSC及其扩展语言能够对上述复杂情况进行系统的需求描述和系统建模。可以以时间扩展的LSC(简称TLSC)来描述系统的需求，以时间扩展和概率扩展的LSC(本文中称这种扩展后的LSC为PTLSC)来对系统本身建模。可以对一个嵌入式系统的每一个重要的子系统或组件，采用一个PTLSC来描述，从而用一个PTLSC网络来对构成物联网的各个嵌入式系统进行建模。在此基础上，可通过模型检测的方法，来分析系统满足场景规约的可信度(概率)。

发明内容

本发明提供了一种基于扩展活性顺序图模型检测的物联网可信性评价方法，通过该方法以实现对物联网可信性的评价。

本发明的技术方案包括以下步骤：

一种基于扩展活性顺序图模型检测的物联网可信性评价方法，包括以下步骤：

(1)采用概率时间活性顺序图对被评价的物联网建立系统模型；

(2)采用时间活性顺序图对物联网的运行建立规约模型；

(3)将概率时间活性顺序图转换为概率时间自动机；

(4)将时间活性顺序图转换为时间自动机；

(5)调整并组合上述的概率时间自动机和时间自动机，形成新概率时间自动机；

(6)将新概率时间自动机输入到模型检测工具PRISM，进行系统的可信性评价。

实现步骤(1)的方法如下：

a、确定被评价的物联网对象，可以是一个完整的物联网，也可以是物联网的一部分；

b、确定被评价对象中的各个主要组件，以及各个主要组件之间的交互关系，包括时间约束关系和以概率来描述的可信度指标；

c、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的概率时间活性顺序图。

实现步骤(2)的方法如下：

a、针对被评价的物联网对象，分析该物联网对象中各个主要组件之间的约束关系，提出系统运行的硬性要求，包括系统运行的时间约束要求和运行的可信度要求；

b、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的时间活性顺序图。

实现步骤(3)的方法如下：

a、建立MARTE的一般元模型和概率时间自动机的一般元模型；

b、建立MARTE的一般元模型和概率时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第一转换规则；

c、将上述概率时间活性顺序图、MARTE的一般元模型、概率时间自动机的一般元模型、ATL工具的第一转换规则输入到ATL工具，经过转换得到相应的XMI格式的一组概率时间自动机；

d、建立XMI格式的概率时间自动机与XML格式的概率时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组概率时间自动机转换为XML格式的一组概率时间自动机。

实现步骤(4)的方法如下：

a、建立MARTE的一般元模型和时间自动机的一般元模型；

b、建立MARTE的一般元模型和时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第二转换规则；

c、将上述时间活性顺序图、MARTE的一般元模型、时间自动机的一般元模型、ATL工具的第二转换规则输入到ATL工具，经过转换得到相应的XML格式的一组时间自动机；

d、建立XMI格式的时间自动机与XML格式的时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组时间自动机转换为XML格式的一组时间自动机。

实现步骤(5)的方法如下：

a、概率时间自动机的调整规则：

在组成物联网系统的各个概率时间自动机中，对发送消息的迁移行为，其标记从ch改记为ch！；对接收消息的迁移行为，其标记从ch改记为ch？；

对于概率时间自动机中包含发送消息的概率分支pb＝(l₁，ch！，g，r，prob，l₂)(ch！为内部迁移行为的除外)，在l₁和l₂之间增加一个中间committed位置l′₁，l₁和l′₁之间的概率分支就是pb(除了目标位置的名称从l₂变成了l′₁)，定义l′₁和l₂之间的概率分支为pb′＝(l′₁，cho！，true，null，1，l₂)。其中，l₁、l′₁和l₂表示自动机中的位置，ch和cho表示自动机中的行为，prob＝p(l₁，r，l₂)是分支上的概率，而g和r分别表示分支上的卫士和复位时钟；

在概率时间自动机中，使用全局布尔变量MayFire来强化committed迁移的发生：在non-committed位置，设置MayFire为真，迁移可以自由发生；在committed位置，设置MayFire为假，表示只有从该位置出发的迁移可以进行，此时其它位置不能进行迁移，该迁移完成后，再重新设置MayFire为真；

b、时间自动机的调整规则：

将时间自动机每条边上行为的名字由ch修改为cho？；

c、将一组概率时间自动机组合成一个概率时间自动机的规则：

在构成系统的一组概率时间自动机中，令各个概率时间自动机W′_i＝(L′_i，l′_0i，X′_i，Act′_i，invi，pE′_i)(i∈□_≥2)，且假设

其中L′_i是位置的有限集合，l′_0i是初始位置，X′_i是时钟的有限集合，Act′_i是行为的有限集合，inv′_i是为每个位置指定一个不变式的函数，而pE′_i为基于概率的边关系。两个概率时间自动机W′₁和W′₂的并行组合，是一个新概率时间自动机W′₁□W′₂＝(L′₁×L′₂，(l′₀₁，l′₀₂)，X′₁∪X′₂，Act′₁∪Act′₂，inv′，pE′)。在2个概率时间自动机的并行组合中，MayFire仍然协调着committed行为。以此类推，将2个概率时间自动机的并行组合能够扩展到多个；

d、概率时间自动机与时间自动机的并行组合

时间自动机为概率时间自动机的简化，其中所有的概率分布都是点分布；根据c中的定义，可直接实现概率时间自动机与时间自动机的组合，得到一个新的概率时间自动机；在组合后，去掉永远不会发生的跃迁。

实现步骤(6)的方法如下：

a、使用PRISM来计算

的概率；输入到PRISM中的概率模型是来自上述组合得到的新概率时间自动机PTA；待验证的性质是l_min→l_max；其中，l_min和l_max表示经调整后的时间自动机的初始位置和最终位置；

b、使用公式P_min＝？[F target]和P_max＝？[F target]来计算

的最大概率和最小概率，其中target可设置为新概率时间自动机PTA中包含l_max分量的位置。

采用以上方法后，本发明很好地契合了我国大规模物联网开发与利用的需要。本发明在基于物联网是嵌入式系统的网络化这一理念的基础上，进一步地提出了由多个紧密耦合的嵌入式设备构成一个相对独立的嵌入式系统，一个物联网由多个这样的嵌入式系统，通过网络的连接而构成，从而为利用现有的实时嵌入式系统技术来分析物联网奠定了理论基础。

本发明提出利用概率时间活性顺序图来建模物联网，利用时间活性顺序图来描述物联网的运行场景，从而使得对物联网的描述摆脱了形式化描述的局限，描述直观、可视化程度高，便于本发明的推广利用。本发明的各个主要技术环节都有开源软件的支持，具有很高的可操作性，为本发明的实际利用创造了很好的条件。本发明利用了模型检测技术，因此既可用于已建成物联网(或其一部分)的可信性评估，也适合于物联网系统设计阶段的对系统开发模型的可信性评估，使用面十分广泛。

本发明提出的基于扩展活性顺序图模型检测的物联网评价方法，经过实验论证，效果可信。解决问题速度较快，对计算空间要求不高，节约成本。本发明专利经过充分的技术论证，具备充分的理论可行性和实践可行性。

附图说明

图1：系统的MARTE建模与自动机转换框图

图2：GQAM域模型中GQAM_Workload包的简图

图3：概率时间自动机的元模型

图4：UML交互图的元模型

图5：一个概率时间系统

图6：图5修改后的概率时间系统

图7：表示图5中概率时间系统需求规约的时间自动机O

图8：图7修改后的时间自动机O′

图9：A′||B′||O′的组合

图10：图9修改后的版本

具体实施方式

基于扩展活性顺序图模型检测的物联网可信性评价方法，充分考虑到了物联网系统内部嵌入式组件之间的交互性，和系统运行中存在的实时性和不确定性，以可视化的方式对系统自身的运行和系统的运行场景加以定量地描述与深入地分析，从而实现对物联网可信性的量化评估。

一、本评价方法的基本思路与流程

本评价方法的基本思路与流程是：一个物联网可看作一个复杂的概率时间系统。在这样的系统中，组件之间在一定的时间约束下相互交互，且行为存在不确定性。人们也常常希望系统的运行遵循一定的要求。活性顺序图是系统建模与场景描述的可视化工具。在本发明中，将活性顺序图进行了时间和概率扩展。我们将活性顺序图加以时间扩展，以描述对物联网的运行要求；将时间扩展的活性顺序图再加以概率扩展(或者直接采用概率时间自动机)，以其构成的网络描述物联网的运行；在此基础上，采用模型检测的方法，来评估物联网运行的可信性。本发明提出了一个基于MDA将扩展的活性顺序图转换为相应自动机的框架，从而将上述模型检测的问题，转换为自动机之间的模型检测问题。在后续的模型检测工作中，我们采用了“观察”的方法-让需求自动机观察系统的运行。通过修改和组合涉及的一组自动机，可获得一个标准的概率时间自动机，将之输入到概率模型检测工具PRISM，可计算出反映原始系统满足运行要求的程度(概率)。

下面给出本评价方法中主要概念的形式化定义与有关说明：

时钟与时钟赋值时钟x表示记录时间的非负实数变量。X是时钟x的有限集合。时钟赋值表示X到非负实数集合□_≥0的映射关系。设d∈□_≥0，规定υ+d表示对于所有的x∈X，将υ(x)增加值d。设

操作υ[r:＝0]表示将r中的时钟复位为0，而X\r中的时钟赋值保持为υ(x)不变。

表示时钟赋值使得所有时钟复位为0。

时钟约束与zone时钟约束是指时钟的值要满足的约束条件。在本文中，采用zone来描述这种约束条件。一个zone[11]是一组不等式的联合，这些不等式是单个时钟的值或两个时钟的差值与一个整数的比较。zone Z从语法上定义为

Z::＝x□n|x-y□n|Z∧Z|true

其中，x，y∈X，n∈□，□∈{≤，≥}，□表示非负整数。zone Z的语义是满足Z的所有时钟赋值的集合，可表示为□Z□。用Zones(X)表示X上zone的集合。

有限集合Q上的一个(离散概率)分布是一个函数μ:Q→[0，1]，且满足

对于任意的q∈Q，点分布μ_q是指q＝1的概率分布。我们使用Dist(Q)表示Q上概率分布的集合。

一个时间自动机是一个元组(L，l₀，X，inv，E)，其中L是位置的集合，l₀∈L是单个的起始位置，X是时钟的有限集合，inv:L→Zones(X)为给每个位置分配一个不变式的函数，而

表示边的关系，其中Zones(X)是边上卫士的集合，2^X是边上被复位时钟的幂集。

UPPAAL是模型检测时间自动机的典型工具。UPPAAL扩展了上述时间自动机定义中的一些概念，如：urgent位置、committed位置、urgent通道、committed通道和广播通道。如果自动机不能在一个位置延时停留，到达该位置后必须立即离开，这样的位置叫urgent位置。Committed位置是一种特殊的位置，来自committed位置的输出迁移比来自其它类型位置的输出迁移有更高的优先级。UPPAAL可以对由一个时间自动机网络构成的实时系统进行模型检测。时间自动机之间通过通道进行通信(即同步)。每个通道是自动机的一条边，伴随着一个属于集合Act的行为。Urgent(committed)通道是始于Urgent(committed)位置的通道。在UPPAAL中，整型变量和布尔变量可用于时间自动机之间共享的全局变量。

一个概率时间自动机(PTA)是一个元组W＝(L，l_init，X，inv，pE)。其中L是位置的有限集合；l_init∈L，是初始位置；X是时钟的有限集合；inv:L→Zones(X)，是为每个位置指定一个不变式的函数；而

为基于概率的边关系，表示当对于每个l′和

p(r，l′)＞0且(l，g，p)∈pE，存在

表示，将卫士g中的时钟r复位后，其值与经过边l跃迁到达的目的位置l′的不变式兼容。

对于一条基于概率的边e＝(l，g，p)∈pE，l表示源位置，g表示卫式，而p是关于r和l′的一个概率分布。一个PTA的边的集合E_W定义为：(l，g，p，r，l′)∈E_W如果(l，g，p)∈pE且p(r，l′)＞0。时间自动机可看作一种特殊的概率时间自动机，其中概率分布仅仅是点分布。

PRISM是模型检测概率时间自动机的典型工具。它是一个开源软件工具，可接收以文本建模语言编写的概率模型。PRISM包含了运行于不同符号模型检测技巧的多个引擎，例如，随机博弈引擎和数字时钟引擎。采用不同的引擎，在单个模型中可被模型检测的状态数达10^7-10^8，或10^10-10^11。

一个概率时间活性顺序图(PTLSC)可表示为一个元组L＝＜I，Loc，ML，X，pMO，G，A＞。其中I＝inst(L)表示L中实例线的集合；Loc＝loc(L)表示L中位置的集合；ML表示L中消息标记的集合；X是L中时钟的集合；表示L中卫士的集合；

是时钟复位的集合；pMO＝Loc×A×G×ML×Dist(L)是含时间约束与不确定性的消息集合，其中Dist(L)是从当前位置到下一跳位置的概率分布函数。

二、评价方法的技术细节

一种基于扩展活性顺序图模型检测的物联网可信性评价方法，包括以下步骤：

(1)采用概率时间活性顺序图对被评价的物联网建立系统模型；

(2)采用时间活性顺序图对物联网的运行建立规约模型；

(3)将概率时间活性顺序图转换为概率时间自动机；

(4)将时间活性顺序图转换为时间自动机；

(5)调整并组合上述的概率时间自动机和时间自动机，形成新概率时间自动机；

(6)将新概率时间自动机输入到模型检测工具PRISM，进行系统的可信性评价。

实现步骤(1)的方法如下：

a、确定被评价的物联网对象，可以是一个完整的物联网，也可以是物联网的一部分；

b、确定被评价对象中的各个主要组件，以及各个主要组件之间的交互关系，包括时间约束关系和以概率来描述的可信度指标；

c、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的概率时间活性顺序图。

实现步骤(2)的方法如下：

a、针对被评价的物联网对象，分析该物联网对象中各个主要组件之间的约束关系，提出系统运行的硬性要求，包括系统运行的时间约束要求和运行的可信度要求；

b、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的时间活性顺序图。

实现步骤(3)的方法如下：

a、建立MARTE的一般元模型和概率时间自动机的一般元模型；

b、建立MARTE的一般元模型和概率时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第一转换规则；

c、将上述概率时间活性顺序图、MARTE的一般元模型、概率时间自动机的一般元模型、ATL工具的第一转换规则输入到ATL工具，经过转换得到相应的XMI格式的一组概率时间自动机；

d、建立XMI格式的概率时间自动机与XML格式的概率时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组概率时间自动机转换为XML格式的一组概率时间自动机。

实现步骤(4)的方法如下：

a、建立MARTE的一般元模型和时间自动机的一般元模型；

b、建立MARTE的一般元模型和时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第二转换规则；

c、将上述时间活性顺序图、MARTE的一般元模型、时间自动机的一般元模型、ATL工具的第二转换规则输入到ATL工具，经过转换得到相应的XML格式的一组时间自动机；

d、建立XMI格式的时间自动机与XML格式的时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组时间自动机转换为XML格式的一组时间自动机。

实现步骤(5)的方法如下：

a、概率时间自动机的调整规则：

在组成物联网系统的各个概率时间自动机中，对发送消息的迁移行为，其标记从ch改记为ch！；对接收消息的迁移行为，其标记从ch改记为ch？；

对于概率时间自动机中包含发送消息的概率分支pb＝(l₁，ch！，g，r，prob，l₂)(ch！为内部迁移行为的除外)，在l₁和l₂之间增加一个中间committed位置l′₁，l₁和l′₁之间的概率分支就是pb(除了目标位置的名称从l₂变成了l′₁)，定义l′₁和l₂之间的概率分支为pb′＝(l′₁，cho！，true，null，1，l₂)。其中，l₁、l′₁和l₂表示自动机中的位置，ch和cho表示自动机中的行为，prob＝p(l₁，r，l₂)是分支上的概率，而g和r分别表示分支上的卫士和复位时钟；

在概率时间自动机中，使用全局布尔变量MayFire来强化committed迁移的发生：在non-committed位置，设置MayFire为真，迁移可以自由发生；在committed位置，设置MayFire为假，表示只有从该位置出发的迁移可以进行，此时其它位置不能进行迁移，该迁移完成后，再重新设置MayFire为真；

b、时间自动机的调整规则：

将时间自动机每条边上行为的名字由ch修改为cho？；

c、将一组概率时间自动机组合成一个概率时间自动机的规则：

在构成系统的一组概率时间自动机中，令各个概率时间自动机W′_i＝(L′_i，l′_0i，X′_i，Act′_i，inv′_i，pE′_i)(i∈□_≥2)，且假设

其中L′_i是位置的有限集合，l′_0i是初始位置，X′_i是时钟的有限集合，Act′_i是行为的有限集合，inv′_i是为每个位置指定一个不变式的函数，而pE′_i为基于概率的边关系。两个概率时间自动机W′_i和W₂的并行组合，是一个新概率时间自动机W′₁□W′₂＝(L′₁×L′₂，(l′₀₁，l′₀₂)，X′₁∪X′₂，Act′₁∪Act′₂，inv′，pE′)。在2个概率时间自动机的并行组合中，MayFire仍然协调着committed行为。以此类推，将2个概率时间自动机的并行组合能够扩展到多个；

d、概率时间自动机与时间自动机的并行组合

时间自动机为概率时间自动机的简化，其中所有的概率分布都是点分布；根据c中的定义，可直接实现概率时间自动机与时间自动机的组合，得到一个新的概率时间自动机；在组合后，去掉永远不会发生的跃迁。

实现步骤(6)的方法如下：

a、使用PRISM来计算

的概率；输入到PRISM中的概率模型是来自上述组合得到的新概率时间自动机PTA；待验证的性质是l_min→l_max；其中，l_min和l_max表示经调整后的时间自动机的初始位置和最终位置；

b、使用公式P_min＝？[F target]和P_max＝？[F target]来计算

的最大概率和最小概率，其中target可设置为新概率时间自动机PTA中包含l_max分量的位置。

以下为本发明的详细实现方法：

(1)基于模型驱动架构的活性顺序图扩展模型到自动机的转换方法

本技术方案中将概率时间活性顺序图转换为概率时间自动机方法的总体框架如图1所示。该转换方法分三步进行：

第一步，利用Papyrus软件对系统进行MARTE建模，得到一个概率时间活性顺序图。

MARTE的意思是建模和分析实时与嵌入式系统(RTES)。MARTE的UML描述文件(profile)在UML基础上，针对RTES的模型驱动的开发，增加了一些内容，以支持对RTES的规约、设计和验证/确认。MARTE己得到工具Eclipse Papyrus的支持。物联网可看作一个RTES网络，其中常常出现时间约束及不确定性。

MARTE分析模型支持基于坚实数学模型进行形式化定量分析的精确和可信的评估。模型分析可在开发生命周期的早期发现问题，从而降低成本、减小风险。MARTE分析模型可由通用定量分析建模(GQAM)包来描述。GQAM_Workload包是GQAM的一部分，用于描述系统的负载和行为。WorkloadBehaviour是一个或多个行为的容器，和请求事件流。

响应一个出发事件的行为，通过BehaviorScenario来描述。BehaviorScenario由若干称为Step的子操作组成。Step之间的前任后继关系可能是一个简单的序列，也可能是分支(一个前任Step，多个后继Steps，每个分支上伴随一个选择该分支的概率)、分叉(一个前任Step，多个后继Steps，所有后继Steps在逻辑上是并行的)。这里概率是RTES中普通的非功能性质。BehaviorScenario可由交互图、状态图或活动图来表示。图2是GQAM域模型中GQAM_Workload包的简图。

第二步，将概率时间活性顺序图的MARTE模型转换为XMI格式的概率时间自动机模型。

对上述网构软件的模型，利用基于元模型的方法，转化为自动机模型。具体内容包括：构造基于元模型的模型转换规则；将上述系统模型导入到AMMA平台，利用上述基于元模型的模型转换规则实施具体ATL转换，转换结果得到XMI格式的自动机模型。

通过第一步，得到了MARTE元模型。为了实现MARTE到PTA的转换，下面给出PTA的元模型。这个元模型与MARTE的元模型是同构的，都遵循与UML相关的KM3的元元模型。

PTA的元模型可用图3表示。一组PTA构成一个PTA网络(NPTA)。一个PTA可用一个模板来描述。PTA的一个模板由多个位置、ProbTransition和参数组成。每个ProbTransition描述从源位置到目标位置的一个迁移，伴随着一个概率值。标记表示时钟约束，可用作位置上的不变式或边上的卫士和赋值。

①两个元模型变量之间的映射关系

MARTE中的一些变量与PTA中的一些变量之间，存在着一一对应的关系。MARTE中的概率，对应于PTA中的概率。MARTE中时钟相关的变量与PTA中时钟相关的变量，其映射关系如表1所示。其中，TimedConstraint与TimedObservation是时间包TimeRelatedEntities中的变量。

MARTE	PTA	映射关系
			Clock	clock	时钟
respTime	Label	边上卫士的一部分
			blockingTime	Label	边上卫士的一部分
selfDelay	Label	边上卫士的一部分
			TimedConstraint	Label	位置上不变式的一部分(关于时钟约束的)
TimedObservation	Label	边上的时间赋值

表1

②两个元模型中元素之间的映射关系

LSC是UML顺序图的模态扩展。为简单起见，本技术方案重点讨论LSC的基本部分-UML顺序图。在执行系统功能的角色之间，存在消息交互。UML顺序图描述了这些消息之间的时间顺序关系。PTLSC可看作UML顺序图的概率和时间扩展，本技术方案将之也记为ptUMLSeq。ptUMLSeq可用MARTE来描述。UML顺序图是一种UML交互图，着重描述生命线之间按照一定时间顺序的消息交互。交互图的元模型可表示为如图4所示。其中，“交互”是一个行为单元，重点关注ConnectableElements之间基于消息的可视化信息交换，是Behavior的一个特例。一个“交互”组成部分是：

●lifeline：LifeLine[0..*]，说明本“交互”的参与者。

●message：Message[0..*]，本“交互”包含的消息。

StateInvariant是“交互”的参与者上的运行约束。其可用于指定各种各类的约束，比如：属性或变量的值，内部或外部的状态，等等。StateInvariant位于生命线之上。Constraint是指在系统运行时需要加以遵循或评估的条件。Lifeline表示在“交互”中的个体参与者。Message定义了组成“交互”的生命线之间特定的交流。

UML顺序图到PTA的映射关系，如表2所示。当我们使用MARTE来描述ptUMLSeq时，概率元素之间的映射关系如①所述。

表2

③基于ATL的模型转换

借助于ATL，我们可将由MARTE描述的模型转换为自动机模型PTA。在对ATL的输入配置中，包括的文件为：MARTE2NPTA.atl，表示MARTE元模型到PTA元模型的映射规则；UML2，表示MARTE的元模型；NPTA，表示PTA的元模型；Example_MARTE.xmi，表示(物联网)系统的源模型，由MARTE建模工具papyrus来绘制。经过ATL模型转换后，输出目标模型Example_PTA.xmi。

第三步，基于TCS文本抽取器，将XMI格式的概率时间自动机模型转换为XML格式的模型。构造TCS文本转换规则，并由提取器依据该规则从XMI格式的自动机模型产生XML格式的相应模型。

经过上述ATL的转换，我们可将PTLSC转换为概率时间自动机PTA。分析PTA的典型工具是PRISM。PRISM是由英国Birmingham大学和Oxford大学开发的著名的概率模型检测工具。这是一个开源软件工具，可接受的输入是以文本建模语言描述的概率模型，也就是说需要输入的模型是XML格式的。而上述ATL转换的结果是XMI格式的自动机。只有将这个XMI格式的自动机，转换为XML格式的自动机，才能直接输入给PRISM进行分析。

TCS作为Eclipse的一个组件，是一个通用建模工具(GMT)，可实现文本和模型双向转换。PTA的元模型可根据TCS定义的语法规则进行重新描述。准备好三个部分：XMI格式的概率时间自动机、PTA的元模型及其依据TCS的语法规则的描述，输入到TCS，经过TCS抽取器的转换，可获得XML格式的PTA，然后可将之直接输入到PRISM，以进行进一步地分析。

(2)基于活性顺序图扩展模型进行系统建模与规约的模型检测方法

在本技术方案中，我们使用PTLSC建模物联网，使用TLSC描述系统性质，通过模型检测的方式，检测系统是否在一定程度上(概率)满足性质的要求，从而评估物联网的运行质量。

使用(1)的技巧，我们可以将PTLSC转换为概率时间自动机网络。可以认为TLSC是一种特殊的PTLSC，其中概率分布都是点分布。因此，我们也可以使用上述同样的技巧，将TLSC转换为时间自动机网络。这样，PTLSC对TLSC的模型检测问题，就转换成了PTA网络对时间自动机的模型检测问题了。

查找解决类似问题的各种解决方案，本技术方案倾向于使用“观察”的方法解决自动机的模型检测问题。在以往的“观察”方法中，系统由时间自动机网络建模，时间自动机(或其它可转换为时间自动机的模型)表示系统的需求。为验证系统的运行，需要将组成系统的自动机与表示需求的自动机加以组合。在组合过程中，每个需求自动机作为一个观察者自动机。每次系统中发生一个离散迁移，就发送一条消息通知观察者自动机。通过这种方式，观察者自动机可以“观察”到系统中发生了什么。经过组合处理后的系统模型和观察者自动机，可输入到模型检测器UPPAAL进行最后的验证。

本技术方案将上述针对时间自动机建模的处理迁移到概率时间自动机上。在本技术方案中，系统需求规约仍使用时间自动机来描述，但系统自身的建模由内部交互的概率时间自动机网络构成。我们采用如上所述的方式，让规约自动机作为观察者自动机来“观察”系统的运行。这一点可通过在新的背景下定义一些规则来完成。然后，定义将组成系统的概率自动机进行组合，以及进一步与观察者时间自动机进行组合的规则。上述组合的最终结果是一个标准的概率时间自动机。我们可将之输入到概率模型检测器PRISM，获得一个最大或最小概率，以判断最初系统的满足关系。

第一步，修改UPPAAL类型的规约自动机与系统自动机

下面给出修改系统自动机S和规约自动机O的规则，使得规约自动机能观察到系统的运行。在组成系统S的PTA中，对发送消息的迁移行为，其标记从ch改记为ch！；对接收消息的迁移行为，其标记从ch改记为ch？；对于包含发送消息的概率分支pb＝(l₁，ch！，g，r，prob，l₂)(ch！为内部迁移行为的除外)，在l₁和l₂之间增加一个中间committed位置l′₁，l₁和l′₁之间的概率分支就是pb(除了目标位置的名称从l₂变成了l′₁)，定义l′₁和l₂之间的概率分支为pb′＝(l′₁，cho！，true，null，1，l₂)。其中，l₁、l′₁和l₂表示自动机中的位置，ch和cho表示自动机中的行为，prob＝p(l₁，r，l₂)是分支上的概率，而g和r分别表示分支上的卫士和复位时钟；

图5是由两个交互的概率时间自动机A和B组成的概率时间系统，其中消息的发送和接收性质已作出标记。PTA A包含一个消息发送过程。一条消息可从位置m₁发出。该条消息发送成功的概率是0.9，发送失败的概率是0.1。在消息发送成功时，系统迁移到位置m₂，迁移行为标记为SendSucc！，卫士为x＞＝1。消息发送失败时，系统迁移到位置m₃，迁移行为标记为SendFail！，时钟x复位。PTA B包含相应的消息接收过程。当接收到一条消息时，系统从位置n₁迁移到位置n₂，迁移行为标记为SendSucc？。

图6是根据上述调整规则对图5进行修改的结果。这里，我们没有对行为SendFail！做任何修改。因为该行为没有包含在PTA B的行为集中(如图5(b)所示)，也没有出现在表示需求的时间自动机O(如图7所示)中，这意味着SendFail！是PTA A的一个内部行为，不会影响到下面概率计算的最后结果。

在由时间自动机构成的O中，每条边上行为的名字由ch修改为cho？。图7是一个针对图5中概率时间系统的表示需求的时间自动机O。它要求消息的发送必须在3个时间单位内取得成功。在O的运行中，图5中的PTA A要发送给其2个同步通知消息。一个同步通知发送给O，使其时钟z复位，O进入位置t₁。当PTA A给PTA B发送消息成功时，另一个同步通知应该发送给O，相应的行为是SendSucc。如果该通知在条件z＜＝3下被O接收到，O跃迁到位置t₂。图8是根据上述修改规则对图7中的自动机进行修改后的结果。

在PTA中，我们可以使用全局布尔变量MayFire来强化committed迁移的发生。在non-committed位置，设置MayFire为真，迁移可以自由发生。在committed位置，设置MayFire为假，表示只有从该位置出发的迁移可以进行，此时其它位置不能进行迁移。(该迁移完成后，再重新设置MayFire为真。)在图6(a)中，MayFire在位置m′₂设置为假，而在其它位置处保持为真。

第二步，组合上述自动机

①概率时间自动机网络的组合

在构成系统的一组概率时间自动机中，令各个概率时间自动机W′_i＝(L′_i，l′_0i，X′_i，Act′_i，inv′_i，pE′_i)(i∈□_≥2)，且假设其中L′_i是位置的有限集合，l′_0i是初始位置，X′_i是时钟的有限集合，Act′_i是行为的有限集合，inv′_i是为每个位置指定一个不变式的函数，而pE′_i为基于概率的边关系。对于发送消息的行为a，以a！表示；对于接收消息的行为a，以a？表示。τ是概率时间自动机中的内部行为集合，这样的内部行为不影响其它概率时间自动机的运行。两个概率时间自动机W′₁和W′₂的并行组合

W′₁□W′₂＝(L′₁×L′₂，(l′₀₁，l′₀₂)，X′₁∪X′₂，Act′₁∪Act′₂，inv′，pE′)，是一个新概率时间自动机W′＝(L′l′₀，X′，Act′，inv′，pE′)，其中

1)定义为committed，当且仅当其中一个行为是committed；

2)对于所有的(l，l′)∈L′₁×L′₂，inv′(l，l′)＝inv′₁(l)∧inv′₂(l′)；

3)((l₁，l₂)，g，a，p)∈pE′，当且仅当下列条件之一成立：

I.a∈□_≥0，存在inv′_i(l_i)+a∈inv(l_i，·)，使得g＝g_i，p＝p_i×μ(φ，l_j)；

II.a∈Act′，存在(l_i，g_i，a！，p_i)∈pE′_i且(l_j，g_j，a？，p_j)∈pE′_j，使得g＝g₁∧g₂，

III.a∈Act′∪τ₁∪τ₂，存在(l_i，g_i，a，p_i)∈pE′_i，使得g＝g_i且p＝p_i×μ(φ，l_j)，但不属于上述情况I或II。

在上述情形下，i，j＝{1，2}，i≠j，对任意的l₁∈L′₁，l₂∈L′₂，

$p_1\⊗p_2({\mathrm{\χ}}_1\∪{\mathrm{\χ}}_2,(l_1,l_2))=p_1({\mathrm{\χ}}_1,l_1)\·p_2({\mathrm{\χ}}_2,l_2).$

在2个PTA的并行组合中，MayFire仍然协调着committed行为。依此思路，可以将参与并行组合的PTA的数目，从2个扩展到多个。

②概率时间自动机网络与时间自动机的并行组合

从前面的定义可知，时间自动机可看作概率时间自动机的简化，其中所有的概率分布都是点分布。因此，根据前面的定义，我们直接可以实现概率时间自动机网络与时间自动机的组合。组合后的结果是一个标准的PTA。当然，在组合前需要遵循有关程序，对自动机进行必要的调整。

图9是图6和图8组合的结果A′||B′||O′。在图9中，存在一些跃迁。这些跃迁只有在同步通知收到后在会发生。由于图9是组合的最终结果，这些同步通知永远不会收到，因此这些跃迁永远不会发生。为此，可以对图9作一些简化，去掉这些跃迁。图10是简化后的结果。由于组合已经完成，我们还忽略了消息的传输方向，将SendFail！简记为SendFail。

第三步，PRISM的使用

PRISM是英国伯明翰大学和剑桥大学开发的一个知名的概率模型检测器。我们使用PRISM来计算

的概率。输入到PRISM中的概率模型是来自S′□O′组合的典型概率时间自动机。待验证的性质是l_min→l_max。在本例中，S′＝A′||B′，l_min和l_max表示O′的初始位置和最终位置。从图7可见，l_min＝t₁，且l_max＝t₂。我们假设S′的初始位置矢量包含的元素是唯一的，则S′□O′的初始位置矢量包含的元素也是唯一的，且其中包含成分l_min。S′的最终位置矢量

往往包含多个元素，因此是包含成分l_max(也记为

)的一个有限集合。在图10中，初始位置是(m₁，n₁，t₁)，最终位置是{(m₂，n₂，t₂)}，都以粗黑圈标识出来。由于待验证的性质不包含时间约束，我们对PRISM的引擎没有限制。

我们可以使用公式P_min＝？[F target]和P_max＝？[F target]来计算

的最大概率和最小概率，其中目标(target)可设置为

以上仅就本发明的实施例作了说明，但不能理解为是对权利要求的限制。本发明不仅限于以上实施例，其具体情况允许有变化。但凡在本发明独立权利要求的保护范围内所作的各种变化均在本发明的保护范围内。

Claims (7)

1.一种基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：包括以下步骤：

(1)采用概率时间活性顺序图对被评价的物联网建立系统模型；

(2)采用时间活性顺序图对物联网的运行建立规约模型；

(3)将概率时间活性顺序图转换为概率时间自动机；

(4)将时间活性顺序图转换为时间自动机；

(5)调整并组合上述的概率时间自动机和时间自动机，形成新概率时间自动机；

(6)将新概率时间自动机输入到模型检测工具PRISM，进行系统的可信性评价。

2.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：实现步骤(1)的方法如下：

a、确定被评价的物联网对象，可以是一个完整的物联网，也可以是物联网的一部分；

b、确定被评价对象中的各个主要组件，以及各个主要组件之间的交互关系，包括时间约束关系和以概率来描述的可信度指标；

c、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的概率时间活性顺序图。

3.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：实现步骤(2)的方法如下：

a、针对被评价的物联网对象，分析该物联网对象中各个主要组件之间的约束关系，提出系统运行的硬性要求，包括系统运行的时间约束要求和运行的可信度要求；

b、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的时间活性顺序图。

4.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：实现步骤(3)的方法如下：

a、建立MARTE的一般元模型和概率时间自动机的一般元模型；

b、建立MARTE的一般元模型和概率时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第一转换规则；

c、将上述概率时间活性顺序图、MARTE的一般元模型、概率时间自动机的一般元模型、ATL工具的第一转换规则输入到ATL工具，经过转换得到相应的XMI格式的一组概率时间自动机；

d、建立XMI格式的概率时间自动机与XML格式的概率时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组概率时间自动机转换为XML格式的一组概率时间自动机。

5.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：实现步骤(4)的方法如下：

a、建立MARTE的一般元模型和时间自动机的一般元模型；

b、建立MARTE的一般元模型和时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第二转换规则；

c、将上述时间活性顺序图、MARTE的一般元模型、时间自动机的一般元模型、ATL工具的第二转换规则输入到ATL工具，经过转换得到相应的XML格式的一组时间自动机；

d、建立XMI格式的时间自动机与XML格式的时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组时间自动机转换为XML格式的一组时间自动机。

6.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：实现步骤(5)的方法如下：

a、概率时间自动机的调整规则：

在组成物联网系统的各个概率时间自动机中，对发送消息的迁移行为，其标记从ch改记为ch！；对接收消息的迁移行为，其标记从ch改记为ch？；

对于概率时间自动机中包含发送消息的概率分支pb＝(l₁，ch！，g，r，prob，l₂)(ch！为内部迁移行为的除外)，在l₁和l₂之间增加一个中间committed位置l′₁，l₁和l′₁之间的概率分支就是pb(除了目标位置的名称从l₂变成了l′₁)，定义l′₁和l₂之间的概率分支为pb′＝(l′₁，cho！，true，null，1，l₂)。其中，l₁、l′₁和l₂表示自动机中的位置，ch和cho表示自动机中的行为，prob＝p(l₁，r，l₂)是分支上的概率，而g和r分别表示分支上的卫士和复位时钟；

在概率时间自动机中，使用全局布尔变量MayFire来强化committed迁移的发生：在non-committed位置，设置MayFire为真，迁移可以自由发生；在committed位置，设置MayFire为假，表示只有从该位置出发的迁移可以进行，此时其它位置不能进行迁移，该迁移完成后，再重新设置MayFire为真；

b、时间自动机的调整规则：

将时间自动机每条边上行为的名字由ch修改为cho？；

c、将一组概率时间自动机组合成一个概率时间自动机的规则：

在构成系统的一组概率时间自动机中，令各个概率时间自动机W′_i＝(L′₁，l′_0i，X′_i，Act′_i，inv′_i，pE′_i)(i∈□_≥2)，且假设

其中L′_i是位置的有限集合，l′_0i是初始位置，X′_i是时钟的有限集合，Act′_i是行为的有限集合，inv′_i是为每个位置指定一个不变式的函数，而pE′_i为基于概率的边关系。两个概率时间自动机W′₁和W′₂的并行组合，是一个新概率时间自动机W′₁□W′₂＝(L′₁×L′₂，(l′₀₁，l′₀₂)，X′₁∪X′₂，Act′₁∪Act′₂，inv′，pE′)。在2个概率时间自动机的并行组合中，MayFire仍然协调着committed行为。以此类推，将2个概率时间自动机的并行组合能够扩展到多个；

d、概率时间自动机与时间自动机的并行组合：

时间自动机为概率时间自动机的简化，其中所有的概率分布都是点分布；根据c中的定义，可直接实现概率时间自动机与时间自动机的组合，得到一个新的概率时间自动机；在组合后，去掉永远不会发生的跃迁。

7.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于：实现步骤(6)的方法如下：

a、使用PRISM来计算

的概率；输入到PRISM中的概率模型是来自上述组合得到的新概率时间自动机PTA；待验证的性质是l_min→l_max；其中，l_min和l_max表示经调整后的时间自动机的初始位置和最终位置；

b、使用公式P_min＝？[F target]和P_max＝？[F target]来计算

的最大概率和最小概率，其中target可设置为新概率时间自动机PTA中包含l_max分量的位置。

Images