CN104639396B - 一种ima系统综合中分区间通信的联合验证方法 - Google Patents

一种ima系统综合中分区间通信的联合验证方法 Download PDF

Info

Publication number
CN104639396B
CN104639396B CN201510007666.4A CN201510007666A CN104639396B CN 104639396 B CN104639396 B CN 104639396B CN 201510007666 A CN201510007666 A CN 201510007666A CN 104639396 B CN104639396 B CN 104639396B
Authority
CN
China
Prior art keywords
subregion
test
application program
communication
inter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510007666.4A
Other languages
English (en)
Other versions
CN104639396A (zh
Inventor
赵鸿盛
张国全
熊智勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Aeronautical Radio Electronics Research Institute
Original Assignee
China Aeronautical Radio Electronics Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Aeronautical Radio Electronics Research Institute filed Critical China Aeronautical Radio Electronics Research Institute
Priority to CN201510007666.4A priority Critical patent/CN104639396B/zh
Publication of CN104639396A publication Critical patent/CN104639396A/zh
Application granted granted Critical
Publication of CN104639396B publication Critical patent/CN104639396B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明一种IMA系统综合中分区间通信的联合验证方法,1、根据各分区中应用程序之间的通信类型完成系统配置,同时,获得与应用程序的通信相关处理任务的信息;2、根据形式化验证定理,令其中一个分区为被测分区,在其它各分区中设计具有与所在分区的应用程序相同的外部通信行为的测试用例;3、通信对象置换,完成对被测分区的应用程序的测试,并记录测试结果;4,对各分区中的应用程序依次采取第2、3步的操作,完成所有分区的测试。本发明不仅实现了在不改变实际运行配置的情况下完成IMA系统综合中的通信测试,验证分区间通信的正确性、时间约束符合性、分区间通信的鲁棒性,且当系统分区个数大于5时,比传统测试方法有更高的效率。

Description

一种IMA系统综合中分区间通信的联合验证方法
技术领域
本发明属于航空电子系统综合技术领域,特别是采用综合模块化架构的航空电子系统技术领域。
背景技术
随着航空电子系统的功能日趋完善和复杂,以传统的联合式航电系统实现将无法满足飞行器的体积和重量限制。如图1所示,综合模块化航电(Integrated ModularAvionics,IMA)架构的应用,可基于资源的时间、空间调度实现资源共享,从而大幅提高航电系统效率并降低其重量、体积和功耗。然而联合式航电由于资源的专用可保证功能的相互独立,限制故障传播的特性,在采用IMA架构的航电系统中因资源共享而打破。为了仍能实现这种对航空安全至关重要的特性,IMA采用了将功能应用分配并隔离在逻辑域分区(Partition)内的方法,每一个分区都通过系统配置,从时间和空间两个维度获得分配的专属资源。然而,为了能够共享某些处理结果或由于功能之间信息接口的固有关联性,处于不同分区间的应用需要进行通信以交互数据,这为错误的传播提供了渠道,错误是导致功能故障最终升级为系统失效的基础元素。如何阻断分区间通信时的错误传播是具挑战性的核心难题之一,而分区间通信的验证是保证IMA系统有效性的关键。
在IMA航电系统分区间通信的验证中,由于适航条例和标准对于航电系统安全性的要求,在改变了实际运行配置的情况下进行的测试,不能保证其有效性。因为在分区间应用通信发生的实际运行环境中,对其通信进行动态测试,都必然改变其配置。
发明内容
针对综合模块化航空电子系统综合中传统验证方法无法在不改变实际运行配置的情况下完成测试的难题,本发明的发明目的在于提供一种IMA系统综合中分区间通信的联合验证方法,通过综合使用动态测试与A-G (Assume-Guarantee)形式化验证定理,提出基于通信对象置换的联合验证方法,可完成有效的IMA系统综合中分区间通信有效性的验证。为我国军民航采用 IMA架构的航空电子系统的开发与验证提供有力的支撑。
本发明的发明目的通过以下技术方案实现:
一种IMA系统综合中分区间通信的联合验证方法,包含以下步骤:
第一步,根据各分区中应用程序之间的通信类型完成系统配置,同时,从应用程序的供应商处分别获得与通信相关处理任务的信息;
第二步,根据获得的与通信相关处理任务的信息,应用形式化验证A-G定理与动态测试联合的验证方法,令其中一个分区为被测分区,在其它各分区中设计具有与所在分区的应用程序相同的外部通信行为的测试用例;
第三步,通信对象置换,即用各测试用例替换所在分区的应用程序并运行,完成对被测分区的应用程序的测试,并记录测试结果;
第四步,对各分区中的应用程序依次采取第二步、第三步的操作,完成所有分区的测试。
依据上述特征,所述与通信相关处理任务的信息包含有最佳情况执行时间和最差情况执行时间。
依据上述特征,所述测试用例包含以下测试目标:
a.数据的正确性;
b.时间约束符合性;
c.分区间通信的鲁棒性。
依据上述特征,所述测试目标通过以下步骤实现:
步骤1)、测试用例在接收到被测分区的应用程序的处理结果后,可与该测试用例的Test Oracle的比对来验证数据的正确性;
步骤2)、测试用例在接收到被测分区的应用程序的处理结果后,可与被测分区的应用程序应接收的消息的Deadline比对,以测试被测分区的应用程序的实时系统时间约束符合性;
步骤3)、假设已知被测分区的应用程序的最佳情况执行时间和最差情况执行时间,并令其时间差为tBW,通过测试用例在t时刻发送调用消息,来验证被测分区的应用程序在具有时间不确定性时的分区间通信的鲁棒性,其中 t=BCET+Δt,Δt≤tBW,BCET代表最佳情况执行时间。
本发明与现有技术相比的优点如下:
1)解决IMA系统综合中通信验证,须在不改变实际运行配置的情况下进行动态测试的问题:由于IMA系统的特性,在改变了实际运行配置的情况下进行的测试,不能保证其有效性。传统测试方法无法在满足此约束的条件下,完成验证。而本发明由于基于形式化验证A-G定理,采用了通信对象置换的方法,从而可以在不改变实际运行配置的情况下进行动态测试,解决IMA系统综合中通信验证的难题。
2)解决IMA系统综合中通信中,当需综合的应用数量多时引发组合状态空间骤增,从而无法用传统测试方法达到所期望覆盖率的问题:由于IMA系统综合种,组合状态空间随应用数量的指数增长,当需综合的IMA应用数量多时,传统基于覆盖率的测试方法即无法在可接受的时间范围内达到状态或接口的测试覆盖率。而本发明由于联合运用了形式化验证A-G定理和动态测试方法,通过采用了通信对象置换的方法可完成对IMA系统综合中通信的验证。
3)在测试用例的开发数量上,当需综合的应用个数大于5时,将比传统综合验证中的测试用例开发数量少,具有效率优势。在IMA分区间通信验证中,当分区个数大于5时(即需综合的应用大于5个时),将会比传统测试方法更有效率。因为传统验证方法验证n个分区间综合时通常需开发个测试用例,而本发明中的分区间通信的联合验证方法当进行n个分区间通信的验证时,则需开发n(n-1)个测试用例。且有如下不等式成立:
由式(2)和(3)可见本发明中的联合验证方法在效率上的优越性。
附图说明
图1是实施例IMA模块上分区间通信示意图;
其中:菱形表示通信端口(port):基于分区定义的通过某通道发送或接收信息的资源,端口的属性定义了控制传递所需的所传递信息的需求和特征,有两种模式的端口:queuing mode和sampling mode;虚线表示通过内存传输的分区间通信。底部的系统执行事实上是通过内存区的拷贝操作来实现分区间的通信。
图2是N个分区中应用综合的验证次序示意图。每一行对应针对某个分区间应用的验证所需开发的测试用例。第一行为针对应用App1开发的测试用例,分别是TC12、TC13…TC1N共N-1个用例,针对其它应用的以此类推。
图3是运行时App1和App2两个应用分区间通信消息顺序图。
图4是TC1的分区间通信测试消息顺序图。
图5是TC2的分区间通信测试消息顺序图
图6系统XML配置文件(节选)。
图7App1速度显示应用代码(节选)。
图8App2快速速度转换应用代码(节选)。
图9TC1测试用例代码(节选)。
图10TC2测试用例代码(节选)。
具体实施方式
下面结合附图对本发明的技术方案进行详细说明:
本发明涉及一种综合模块化航空电子(Integrated Modular Avionics,IMA) 系统综合中分区间通信的验证方法。发明针对综合模块化航空电子系统综合中传统验证方法无法在不改变实际运行配置的情况下完成测试的难题。综合模块化航空电子系统综合中分区间通信的验证方法包括以下步骤:首先分别依据系统综合需求和需综合的应用程序分别获取综合中需进行通信的正确数据、时间约束及每次通信的最佳情况执行时间(Best-CaseExecution Time,BCET)和最差情况执行时间(Worst-Case Execution Time,WCET);然后依据A-G定理,设计与原应用有相同外部行为的测试用例,并将其在系统综合平台上替换原应用,以测试与之通信的应用程序。该方法不仅可实现在不改变实际运行配置的情况下完成IMA系统综合中的通信测试,验证分区间通信的正确性、时间约束符合性、分区间通信的鲁棒性,且当系统分区个数大于5时,将会比传统测试方法有更高的效率。本方法可应用于IMA航空电子系统的综合验证,也可应用于采用IMA电子系统架构的航天或汽车电子系统的综合验证。
本发明是联合应用形式化验证A-G定理及动态测试,基于通信对象置换的 IMA系统综合中通信的联合验证方法。首先给出A-G定理和通信对象置换的定义:
定理:A-G定理,当对象X1,在对象X2能够提供特定行为P2的前提假设下,保证实现特定行为P1,且X2在对象X1能够提供特定行为P1的前提假设下,保证实现特定行为P2,则称X1和X2的组合(i.e.共同的互动运行)无条件的保证行为P1和P2。此定理可简明地用霍尔逻辑表示为:
John Rushby利用形式化验证系统PVS证明了A-G定理的非循环正确性,且指出对于多个对象A-G定理同样成立。Namjoshi证明了A-G定理组合推理的完备性。
定义:通信对象置换,是指将IMA系统综合中需进行分区间通信的其中一个应用,用与被置换的应用具有完全相同的外部交互行为的测试用例进行替换,来针对另一应用开展分区间通信测试的方法。该测试用例不必具有与被替换应用相同的白盒行为。
如图3、图4、图5所示,针对2个应用程序综合的情况:
第一步,根据系统综合验证需求,根据二个分区中的应用程序App1和App2之间的通信类型(如:事件触发或周期性通信),完成系统配置。同时,从应用 App1和App2的供应商处分别获得与通信相关处理任务(Task)的最佳情况执行时间(Best-Case Execution Time,BCET)和最差情况执行时间(Worst-Case Execution Time,WCET)。
第二步,令应用程序App2所在的分区为被测分区,根据App1在第一步中的通信行为,设计针对应用程序App2的测试用例,记为TC1。TC1须具有与 App1完全相同的外部通信行为,从而根据A-G定理TC1对App2提供A-G定理中所述的假设。同时,TC1根据系统综合验证需求,包含针对App2的如下测试目标:
a.数据的正确性;
b.时间约束符合性;
c.分区间通信的鲁棒性。
第三步,在IMA系统平台中,应用通信对象置换的方法,用TC1替换App1并运行,完成对App2的测试,并记录测试结果。当App2通过测试,则App2保证其能够提供应有行为的保证。
第四步,令应用程序App1所在的分区为被测分区,根据App2在第一步中的通信行为,设计针对App1的测试用例,记为TC2。TC2须具有与App2完全相同的外部通信行为,从而根据A-G定理TC2对App1提供A-G定理中所述的假设。同时,TC1根据系统综合验证需求,包含针对App2的如下测试目标:
a.数据的正确性;
b.时间约束符合性;
c.分区间通信的鲁棒性。
第五步,在IMA系统平台中,应用通信对象置换的方法,用TC2替换App2并运行,完成对App1的测试,并记录测试结果。当App1通过测试,则App1保证其能够提供应有行为的保证。
至此,根据A-G定理,即完成了IMA系统综合中分区间通信的验证。
如图2所示,针对N个应用软件综合的情况:
第一步,根据系统综合验证需求,根据应用程序App1、App2、…AppN之间的通信类型(如:事件触发或周期性通信),完成系统配置。同时,从应用程序 App1、App2、…AppN的供应商处分别获得与通信相关处理任务(Task)的最佳情况执行时间(Best-Case ExecutionTime,BCET)和最差情况执行时间 (Worst-Case Execution Time,WCET)。
第二步,令应用程序App1所在的分区为被测分区,根据Appi(i=2,3,…N) 在第一步中的通信行为,设计针对App1的测试用例,记为TC21、TC31、…TCN1。 TCi1(i=2,3,…N)须具有与Appi(i=2,3,…N)完全相同的外部通信行为,从而根据A-G定理TCi1(i=2,3,…N)对App1提供A-G定理中所述的假设。同时,TCi1(i=2,3,…N)根据系统综合验证需求,包含针对App1的如下测试目标:
a.数据的正确性;
b.时间约束符合性;
c.分区间通信的鲁棒性。
第三步,在IMA系统平台中,应用通信对象置换的方法,用TCi1(i=2,3,…N)替换Appi(i=2,3,…N)并运行,完成对App1的测试,并记录测试结果。当App1通过测试,则App1保证其能够提供应有行为的保证。
第四步,依次针对Appi(i=2,3,…N)进行类似对App1的第二步和第三步中所描述的步骤。当全部完成时,Appi(i=1,2,3,…N)之间的综合通信即通过验证,则App1保证其能够提供应有行为的保证。
至此,根据A-G定理,即完成了IMA系统综合中分区间通信的验证。
下面再通过一个具体实验过程来进一步说明本发明。
本实施例针对“速度显示应用”和“速度转换应用”两个分区中应用之间的通信来实施本专利提出的IMA系统综合中分区间通信的联合验证方法,具体包括以下步骤:
第一步,IMA平台上两个分区中的应用速度显示应用(App1)和速度转换应用(App2)综合时的通信需求如图3所示,根据需求配置系统,生成在运行时 (run-time)的XML配置文件,参见图6,主要是对分区间通信的发送端口和接收端口的定义,以及对分区中应用的文件名的定义。当App2接收到App1发来的触发消息时,开始执行Task21,App1完成Task11后它需要获得Partition2中App2的Task21的结果,因此它发送消息调用该结果数据,进行第二次分区间通信, Partition2在完成必要的准备工作后,发送包含Task21结果的消息,完成第三次分区间通信;App1在获得了Task21的结果数据后,开始执行需要利用该数据的 Task12。本实施例开发的App1程序见图7所示,App2程序见图8所示,
第二步,基于本发明的方法,依据形式化验证A-G定理,面向如下测试目标设计针对App2的测试用例TC1
测试目标
a.数据的正确性;
b.时间约束符合性;
c.分区间通信的鲁棒性。
根据基于通信对象置换的联合验证方法,对于App2来说,TC1需要与App1相同的交互行为(如图4所示)。比较图3和图4可见,对于App2来说,TC1与App1所发生的3次通信完全相同,因此它们具有相同的交互行为。接下来阐述如何设计TC1的内部行为来实现上述测试目标。
步骤1)、TC1在接收到包含Task21处理结果的消息后,可与该任务的Test Oracle的比对来验证数据的正确性(如图9中的78行所示),Task21的Test Oracle应当在开发App2时得知,在进行分区间通信验证时已知;
步骤2)、TC1在接收到包含Task21处理结果的消息时,可与App1应接收到该消息的Deadline比对,以测试其实时系统时间约束符合性(如图9中的 80行所示);
步骤3)、假设已知App1的Task11最佳情况执行时间(Best-Case Execution Time,BCET)和最差情况执行时间(Worst-Case Execution Time,WCET) 已知,并令其时间差为tBW,通过在TC1中在t时刻发送调用消息(图4中第二次通信),
t=BCET+Δt,Δt≤tBW
可以验证App2在具有时间不确定性时的分区间通信的鲁棒性。在实施例中的具体实施方式是多次运行不同TAS发送时间设置的TC1来验证分区间通信的鲁棒性。
第三步,运行针对的App2测试用例,并记录测试结果(如图9中81行printf 指令中的内容所示)。
第四步,同样基于本发明的方法,依据A-G形式化验证定理,面向如下测试目标设计针对App1的测试用例TC2(如图5所示),且TC2须与App2有相同的外部交互行为:
由于本方法主要针对分区间的通信,且App1主要的传输,测试目标主要是数据的正确性(如图10中63行所示);
第五步,运行针对的App1测试用例,并记录测试结果(如图10中64行cout 命令中的内容所示)。
第六步,当第三步和弟六步中结果都符合测试目标的要求,则应用本发明的联合验证方法,完成了对IMA系统综合中两个分区间应用的验证。

Claims (4)

1.一种IMA系统综合中分区间通信的联合验证方法,其特征在于包含以下步骤:
第一步,根据各分区中应用程序之间的通信类型完成系统配置,同时,从应用程序的供应商处分别获得与通信相关处理任务的信息;
第二步,根据获得的与通信相关处理任务的信息,应用形式化验证A-G定理与动态测试联合的验证方法,令其中一个分区为被测分区,在其它各分区中设计具有与所在分区的应用程序相同的外部通信行为的测试用例;
第三步,通信对象置换,即用各测试用例替换所在分区的应用程序并运行,完成对被测分区的应用程序的测试,并记录测试结果;
第四步,对其余各分区中的应用程序依次采取第二步、第三步的操作,完成所有分区的测试。
2.根据权利要求1所述的联合验证方法,其特征在于所述与通信相关处理任务的信息包含有最佳情况执行时间和最差情况执行时间。
3.根据权利要求1所述的联合验证方法,其特征在于所述测试用例包含以下测试目标:
a.数据的正确性;
b.时间约束符合性;
c.分区间通信的鲁棒性。
4.根据权利要求3所述的联合验证方法,其特征在于所述测试目标通过以下步骤实现:
步骤1)、测试用例在接收到被测分区的应用程序的处理结果后,可与该测试用例的Test Oracle进行比对来验证数据的正确性;
步骤2)、测试用例在接收到被测分区的应用程序的处理结果后,可与被测分区的应用程序应接收的消息的Deadline比对,以测试被测分区的应用程序的实时系统时间约束符合性;
步骤3)、假设已知被测分区的应用程序的最佳情况执行时间和最差情况执行时间,并令其时间差为tBW,通过测试用例在t时刻发送调用消息,来验证被测分区的应用程序在具有时间不确定性时的分区间通信的鲁棒性,其中t=BCET+Δt,Δt≤tBW,BCET代表最佳情况执行时间。
CN201510007666.4A 2015-01-08 2015-01-08 一种ima系统综合中分区间通信的联合验证方法 Active CN104639396B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510007666.4A CN104639396B (zh) 2015-01-08 2015-01-08 一种ima系统综合中分区间通信的联合验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510007666.4A CN104639396B (zh) 2015-01-08 2015-01-08 一种ima系统综合中分区间通信的联合验证方法

Publications (2)

Publication Number Publication Date
CN104639396A CN104639396A (zh) 2015-05-20
CN104639396B true CN104639396B (zh) 2018-01-16

Family

ID=53217739

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510007666.4A Active CN104639396B (zh) 2015-01-08 2015-01-08 一种ima系统综合中分区间通信的联合验证方法

Country Status (1)

Country Link
CN (1) CN104639396B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101847123A (zh) * 2010-05-26 2010-09-29 北京航空航天大学 一种机载计算机软件测试通用体系的构建方法
CN104133734A (zh) * 2014-07-29 2014-11-05 中国航空无线电电子研究所 分布式综合模块化航空电子系统混合式动态重构系统与方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101847123A (zh) * 2010-05-26 2010-09-29 北京航空航天大学 一种机载计算机软件测试通用体系的构建方法
CN104133734A (zh) * 2014-07-29 2014-11-05 中国航空无线电电子研究所 分布式综合模块化航空电子系统混合式动态重构系统与方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Assume-Guarantee Testing;Colin Blundell;《Conference on specificaiton & verification of Component-based systems》;20051230;全文 *
一种基于AADL的IMA系统配置信息的正确性检测方法;胡军,马金晶,袁翔,刘雪;《南京航空航天大学学报》;20141230;全文 *
基于分区调度模型的IMA时间分区测试设计;郑磊,高晓光,张国全;《电光与控制》;20121130;全文 *

Also Published As

Publication number Publication date
CN104639396A (zh) 2015-05-20

Similar Documents

Publication Publication Date Title
CN103235756B (zh) 一种面向嵌入式系统分区应用程序软件的仿真测试方法
CN102929781B (zh) 基于上下文定界的队列通信并发递归程序验证方法
Wang et al. Multivalued decision diagram-based common cause failure analysis in phased-mission systems
Vestal MetaH support for real-time multi-processor avionics
Zhang et al. Approach for integrated modular avionics reconfiguration modelling and reliability analysis based on AADL
Huang et al. A simulation-based optimization approach for reliability-aware service composition in edge computing
CN108108329A (zh) Ima系统动态重构策略多特性分析方法
US11138100B2 (en) Scenario based method for testing software
Zhou et al. A decentralized compositional framework for dependable decision process in self-managed cyber physical systems
Zhao et al. Safety assessment of the reconfigurable integrated modular avionics based on STPA
Urbina et al. Simulation environment based on systemc and veos for multi-core processors with virtual autosar ecus
CN104639396B (zh) 一种ima系统综合中分区间通信的联合验证方法
Fant et al. Architectural design patterns for flight software
Hissam et al. High assurance for distributed cyber physical systems
Levinson et al. Development and testing of a vehicle management system for autonomous spacecraft habitat operations
Shin et al. Model‐based integration of test and evaluation process and system safety process for development of safety‐critical weapon systems
Dong et al. A prototype architecture for assembly-oriented cyber-physical systems
Vassev et al. The ASSL approach to specifying self‐managing embedded systems
de la Puente et al. Model-driven design of real-time software for an experimental satellite
Khan et al. Model-based verification and validation of the SMAP uplink processes
Sánchez et al. HW/SW co-design of the instrument control unit for the energetic particle detector on-board solar orbiter
Bensalem et al. Time-predictable and composable architectures for dependable embedded systems
Zhao et al. A New Method to Detect Useless Service Failure Model in SPN.
Rong et al. Model Based Interaction Hazards Analysis of Integrated Modular Avionics System
Ding et al. The Method of D-Case Development Using HAZOP Analysis on UML Models

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant