CN103823748A - 一种基于随机Petri网的分区软件可靠性分析方法 - Google Patents

Abstract

本发明公开了一种采用随机Petri网（SPN）对综合模块化航空电子系统（IMA）中分区软件的可靠性分析方法。该方法首先参考ARINC653中的分区状态定义，分析并确定分区软件的Petri网的位所和迁移，将“故障状态”作为位所之一，建立IMA分区软件的Petri网模型，进而分析分区软件的可达状态树，确定失效状态集，对变迁的实施速度进行分析，利用SPN的可达状态树可以推导其同构的马尔科夫链（MC），求出稳态分布，系统处于故障状态的稳态概率也就软件发生故障的概率，确定分区软件处在故障状态的稳态概率与内核操作系统的可靠性指标、分区调度周期、系统恢复时间之间的函数关系，从而定量的分析IMA分区软件的可靠性。

Description

一种基于随机Petri网的分区软件可靠性分析方法

技术领域

本发明属于航空电子软件可靠性设计领域，是一种基于随机Petri网的IMA分区软件可靠性分析方法。

背景技术

随着计算机系统使用的日益广泛,信息技术在生活中无处不在,应用软件所提供的服务使的人们越来越依赖它,目前在航空航天、核电技术等许多重要的特殊工程领域中，软件的使用越来越频繁，在这些领域里，软件的故障可能造成巨大的损失，同时目前软件系统的结构越发复杂，功能越来越多，因此软件使用者对可靠性的要求也愈加迫切。

软件可靠性是指在规定条件下，在规定的时间内，软件不引起系统失效的概率。

Petri网模型就是一种形式化描述模型，着眼于系统中可能发生的各种状态变化及变化之间的关系。Petri网模型由位所（Place）、变迁（Transition）、弧（Arc）构成。位所用于描述可能的状态，变迁用于描述修改系统状态的事件，弧通过其指向规定了局部状态和事件之间的关系。在Petri网模型中，令牌（Token）包含在位所中，它们在位所中的动态变化表示系统的不同状态。

一个Petri网是一个5元的数学模型，即PN=(P，T，F，W，M₀)，其中：

P={p₁，p₂，…，p_m}是有限的位所集合，

T={t₁，t₂，…，t_m}是有限个变迁的集合，

$F\⊆(P\×T)\∪(T\×P)$ 是有向弧的集合，

W：F→{1，2，3，…}是权重的标识，

M₀：P→{0，1，2，3，…}是有限的令牌标识，

并且

P和T非空并且公共元素。

标准的Petri网N=（P，T，F，W)可以简写为N，给定初始状态的令牌标识的Petri网可以表示为（N，M₀）。随机Petri网（StochasticPetriNet,SPN）中，与变迁关联的实施速率是服从指数分布的随机变量，表示从变迁触发到开始执行的“延时”，被称为实施速率（fire rate）。如果多个变迁同时触发，系统将执行实施速率最短的变迁。这个与变迁相关的延时，实际上也隐含该变迁相对于其他变迁发生概率。

现代航空电子系统采用了综合模块化航空电子系统（Integrated ModularAvionics,IMA）架构，IMA可以看作是嵌入式系统环境下的集中式分时共用系统，各种驻留功能应用（Hosted Applications,HA）运行在公共计算资源（CommonComputing Resources,CCR）板卡上，其基本特点表现为高性能公共处理资源、高速通用数据网络和开放式的软硬件体系结构。按照相关航空电子的行业规范，IMA中的应用软件需要进行空间和时间隔离，通过采用两级调度和内存管理的“分区技术”（Partitioning）来防止软件之间的相互干扰，从而提供系统的容错能力。分区技术在给系统设计和实现带来方便的同时，也使得软件系统设计工作变得更加复杂。目前与IMA相关的软件可靠性分析主要存在以下几个问题：

1)IMA软件组成部分和状态复杂。按照ARINC653规范的定义，IMA软件包括分区软件、内核操作系统、应用程序执行（APEX）接口以及特定系统功能，操作系统、分区软件和应用程序本身均有自己的状态定义。

2)影响软件可靠性的设计因素繁多。IMA中的软件设计除了软件自身的可靠性问题，还涉及到周期、主时间框架、持续时间、操作系统、故障恢复等众多因素，这些都会直接影响IMA中分区软件可靠性。

3)软件相互作用过程复杂。IMA中的时间和空间隔离由内核操作系统完成，分区软件的创建和初始化需要内核操作系统调度，正常运行后只有在得到处理器资源后才开始执行，这些调度和切换过程可能会发生故障，此外分区软件在发生故障后可以由内核操作系统重新启动进入正常运行状态。这些过程也使得软件的可靠性分析复杂化。

发明内容

本发明针对IMA软件组成部和状态复杂、相互作用过程复杂的问题，提供了一种基于随机Petri网的分区软件可靠性分析方法，主要采用随机Petri网对分区软件进行建模和分析，使其克服现有技术的缺陷，可以准确反映操作系统调度等外部事件对分区软件的影响，并定量分析分区软件的可靠性指标与IMA其他组成部分可靠性指标和设计考虑因素之间的关系。

为了实现上述发明目的，本发明采用以下所述的技术方案：

一种基于随机Petri网的分区软件可靠性分析步骤，特征包括以下步骤：

步骤一：确定Petri网模型的位所集M=｛M₁,M₂,M₃...M_i｝和变迁集T=｛T₁,T₂,T₃....T_n｝，i为位所数量，n变迁数量；

步骤二：根据步骤一变迁集T获得各个相关联的实施速率；

步骤三：结合子系统的SPN模型的可达树，确定子系统的失效状态集；

步骤四：根据所述可达树构造出随机Petri网同构的马尔可夫链（MC）；

步骤五：计算稳态下分区软件处于故障状态的概率；

5-1：构造MC的n阶的转移矩阵Q=[q_ij](1<=i，j<=n)，具体地：在同构的MC中，从状态M_i到状态M_j的转移率q_ij，也就是从状态M_i到状态M_j的执行比例。如果没有从状态M_i到状态M_j的弧，则q_ij=0；如果有从状态M_i到状态M_j的弧，则q_ij取值等于从状态M_i输出的各条弧上标注实施速率

之和的负值；

5-2：根据分区软件Petri网模型结合航空电子领域的设计规范和可靠性指标，确定平均无故障工作时间（MTBF）以及相应的实施速率。具体地：操作系统的故障概率与运行操作系统的硬件模块故障率相同，且概率分布服从指数分布：

平均的延时既平均无故障时间（MTBF）为：

其中的

也就是变迁T_i对应的实施速率。

步骤六：根据步骤五的各项指标以及公式，根据稳态概率由以下线性方程组：

$\left\{\begin{array}{c}\mathrm{XQ}=0\\ {\mathrm{\&Sigma;x}}_i-\mathrm{1,1}\&le;i\&le;n\end{array}\right.$

得出每个可达状态的稳态概率为P[M_i]=x_i，从而得出系统处于失效状态M₃的稳态概率。

基于随机Petri网的分区软件可靠性分析方法：所述步骤四中构造Petri网MC的方法为：将可达树中相同的标识合并，计算每条弧上标注的实施变迁用该变迁的平均实施速率并替换，即得到同构想的有限状态MC，MC的状态空间就是SPN（N，M₀）可达树的状态集合R（M₀）。

基于随机Petri网的分区软件可靠性分析方法，其特征为定义IMA中分区在Petri网的位所包含：初始（initial）、空闲（idle）、正常（normal）、等待（waiting）和故障（error）；变迁包含：T1:初始变迁为空闲，T2:空闲变迁为正常，T3:正常变迁为故障，T4:正常变迁为等待，T5:等待变迁为正常，T6:故障变迁为等待，T7:等待变迁为故障，T8:错误变迁到空闲；所述失效状态集为M₃。

所述基于随机Petri网的分区软件可靠性分析方法，其特征在分区软件的Petri网模型以及同构的MC，结合航空电子系统中现场可更换单元（LRU）的典型可靠性指标（10^-5/飞行小时），确定相关变迁的实施速率，具体地：

分区的周期：t秒，实施速率是加载、初始化和启动某个分区的时间时随机变量平均时间：T，相关联的实施速率是:

根据稳态概率公式可得到各可达状态的稳态概率：

其中所述失效状态集M₃的稳态概率为P[M₃]-x₃。

使用的Petri网的位所和变迁均来在相关标准和规范，贴近真实的IMA分区软件的实际运行情况；过Petri网建模，将原本复杂的IMA中软件相互作用过程清晰化、简单化，使得与分区软件可靠性相关的因素及其作用更加清晰；算分区软件可靠性的相关输入数值均来自实际系统和经验数据，易于获得，并且计算简便；

附图说明

图1为一种基于随机Petri网的分区软件可靠性分析方法流程；

图2为分区软件状态（即Petri网对应位所）；

图3为分区软件的Petri网模型；

图4为分区软件的可达状态树；

图5同构的马尔科夫链；

图6为用方程组求出稳态分布及软件发生故障的概率。

具体实施方法

所述的一种基于随机Petri网的分区软件可靠性分析方法，采用随机Petri网对分区软件进行建模和分析，可以准确反映操作系统调度等外部事件对分区软件的影响，并定量分析分区软件的可靠性指标与IMA其他组成部分可靠性指标和设计考虑因素之间的关系，具体步骤如下：

1）分析IMA分区软件确定Petri网模型的位所和迁移

在ARINC653定义的分区环境中，驻留应用程序的分区状态包括空闲（IDLE）、正常（NORMAL）、冷启动（COLD_START）、热启动（WARM_START）。其中，空闲状态表示分区的时间和空间资源已经分配，但是驻留的应用程序并不运行；正常状态表示分区资源被占用并且驻留应用程序正常运行；冷启动状态是正在初始化分区和应用程序，分区正在启动；热启动状态表示分区初始化已经完成，应用程序正在启动。

为了对方便可靠性分析建模，参考以上的状态，定义IMA中分区软件在Petri网中的位所，如图2。为了区分驻留应用启动前后的空闲状态，引入了等待（waiting）位所，则分区在Petri网中的位所分别为初始（initial）、空闲（idle）、正常（normal）、等待（waiting）和故障（error），增加了故障（error）位所。其中，初始状态对应于ARINC653规范中的冷启动状态，即资源还未分配，分区还未启动；空闲对应于热启动状态和空闲，分区已经启动，但应用程序没有运行；正常状态对应于ARINC653规范中的空闲状态；等待状态是在运行过程中分区未获得处理器的时间片，才处于等待；故障状态是运行过程中发生故障而失效。

为了更加真实的体现实际软件设计，同时简化Petri网模型，对IMA中分区的位所的转移路径做了一些假设和限制，如下：

1)分区与操作系统内核、系统特定功能相互独立，分区之间相互独立，各种故障模式相互独立；

2)分区从初始状态开始，经过资源分配和初始化，只能进入空闲状态；

3)空闲状态的分区只能通过驻留应用程序加载和启动进入正常状态；

4)正常状态下的分区不会直接进入空闲状态，只有在故障后才会重新启动分区；

5)在分区发生故障后，只能进入空闲状态重新启动驻留功能软件，进行故障恢复，即故障不会在分区内部自动恢复；

6)不区分冷启动和热启动状态下的分区空闲状态，即驻留应用都要重新初始化。

2）建立IMA分区软件的Petri网模型

按照以上假设条件，可以给出IMA中单个分区软件Petri网的模型，如图3所示。

分区变迁和变迁的功能描述如表1所示。表中同时说明了执行该变迁的主体，即在ARINC653规范中参与变迁的组件，这些组件直接决定了SPN网络中与变迁T_i相关联的实施速率

表1IMA中分区变迁表

3）分析分区软件的状态可达树

结合子系统的SPN模型的可达树，确定子系统的失效状态集。对于单个分区，可以认为在IMA分区Petri网的令牌为1。此时可以得出其对应的系统可达树，如下图4示。在此可达状态树中，状态M3表示系统发生故障，即分区软件的失效状态。

4）推导与分区软件Petri网模型可达状态树同构的马尔科夫链

将可达树中相同的标识合并，然后将每条弧上标注的实施变迁用该变迁的平均实施速率替换，即可得到同构的有限状态MC，MC的状态空间就是SPN（N，M₀）可达树的状态集合R（M₀）。分区软件Petri网同构的MC如图5所示。

5）确定转移矩阵求解稳态下分区软件处于故障状态的概率

从状态M_i到状态M_j的转移率如图中q_ij，也就是从状态M_i到状态M_j的执行比例，

相应的该MC的转移矩阵如下所示。

令每个可达状态的稳态概率为P[M_i]=x_i，稳态概率可以由以下线性方程组确定：

$\left\{\begin{array}{c}\mathrm{XQ}=0\\ {\mathrm{\&Sigma;x}}_i-\mathrm{1,1}\&le;i\&le;n\end{array}\right.$

要求解各可达状态的稳态概率，必须确定转移矩阵Q中与各变迁相关的实施速率。

根据航空领域的设计规范和目前航空电子领域的LRU可靠性指标，平均无故障工作时间（MTBF）是100,000小时，即出现故障的概率是10^-5/飞行小时。假设操作系统的故障概率与运行操作系统的硬件模块相同，并且概率分布服从指数分布：

平均的延时，既平均无故障时间MTBF可以表示为：

其中的

也就是变迁T_i对应的实施速率。

按照航空电子相关的工业规范和当前航空电子设备的可靠性指标，平均无故障时间大约是100,000小时，即发生故障的概率是10^-5/飞行小时，假设操作系统内核以及驻留应用的故障概率与LRU的可靠性指标相同则T₃和T₇对应的实施速率为：

尽管分区的周期是一个相对固定的值，但是这个值依旧是与硬件执行和上下文相关的随机变量，假设这个事件是t秒，，则与T₄和T₅相关的实施速率是1/t即:

显然，加载、初始化和启动某个分区的时间时随机变量，假定这个事件也符合指数分布，平均时间是T，则T₂和T_g相关联的实施速率是:

根据以上条件解方程组（1）可得各可达状态的稳态概率为：

由此可以计算出不同的初始化时间、不同的周期以及不同的LRU可靠性指标下的稳态故障概率x₂，图6所示。

Claims (3)

1.一种基于随机Petri网的分区软件可靠性分析方法，包括以下步骤：

步骤一：确定Petri网模型的位所集M=｛M₁,M₂,M₃...M_i｝和变迁集T=｛T₁,T₂,T₃....T_n｝，i为位所数量，n变迁数量；

步骤二：根据步骤一变迁集T获得各个相关联的实施速率

步骤三：结合子系统的SPN模型的可达树，确定子系统的失效状态集；

步骤四：根据所述可达树构造出随机Petri网同构的马尔可夫链（MC）；

步骤五：计算稳态下分区软件处于故障状态的概率；

5-1：构造MC的n阶的转移矩阵Q=[q_ij](1<=i，j<=n)，具体地：在同构的MC中，从状态M_i到状态M_j的转移率q_ij，也就是从状态M_i到状态M_j的执行比例,如果没有从状态M_i到状态M_j的弧，则q_ij=0；如果有从状态M_i到状态M_j的弧，则q_ij取值等于从状态M_i输出的各条弧上标注实施速率之和的负值；

5-2：根据分区软件Petri网模型结合航空电子领域的设计规范和可靠性指标，确定平均无故障工作时间（MTBF）以及相应的实施速率,具体地：操作系统的故障概率与运行操作系统的硬件模块故障率相同，且概率分布服从指数分布：

平均的延时既平均无故障时间（MTBF）为：

其中的

也就是变迁T_i对应的实施速率;

步骤六：根据步骤五的各项指标以及公式，根据稳态概率由以下线性方程组：

$\left\{\begin{array}{c}\mathrm{XQ}=0\\ {\mathrm{\&Sigma;x}}_i-\mathrm{1,1}\&le;i\&le;n\end{array}\right.$

得出每个可达状态的稳态概率为P[M_i]=x_i，从而得出系统处于失效状态的稳态概率。

2.根据权利要求1所述基于随机Petri网的分区软件可靠性分析方法，其特征为面向综合模块化航空电子系统中的分区软件，定义IMA中分区在Petri网的位所包含：初始（initial）、空闲（idle）、正常（normal）、等待（waiting）和故障（error）；变迁包含：T1:初始变迁为空闲，T2:空闲变迁为正常，T3:正常变迁为故障，T4:正常变迁为等待，T5:等待变迁为正常，T6:故障变迁为等待，T7:等待变迁为故障，T8:错误变迁到空闲，并建立了分区软件的Petri网模型。

3.根据权利要求2所述基于随机Petri网的分区软件可靠性分析方法，其特征在于：根据分区软件的Petri网模型确定系统的失效状态为M₃，根据同构的MC结合航空电子系统中现场可更换单元（LRU）的典型可靠性指标（10^-5/飞行小时），确定相关变迁的实施速率，具体地：

分区的周期：t秒，实施速率是加载、初始化和启动某个分区的时间时随机变量平均时间：T，相关联的实施速率是:

根据稳态概率公式可得到各可达状态的稳态概率：

其中所述失效状态集M₂的稳态概率为P[M₃]-x₃。

Images