CN105138457A - 汽车开放系统架构操作系统的分析和验证装置及其方法 - Google Patents

Abstract

本发明公开了一种基于AUTOSAR规范的汽车开放系统架构的操作系统分析和验证装置，包括：代码的timed-CSP定义单元，其运用时间进程代数，形成汽车开放系统架构的操作系统代码的timed-CSP形式化定义，生成代码的timed-CSP模型；规范的时态逻辑定义单元，其运用AUTOSAR规范，对汽车开放系统架构的操作系统规范进行时态逻辑形式化定义，生成规范的时态逻辑形式化模型；及功能验证单元，其根据规范的时态逻辑形式化模型对代码的timed-CSP模型进行分析与验证。本发明还公开了一种汽车开放系统架构的操作系统的分析和验证方法。

Description

汽车开放系统架构操作系统的分析和验证装置及其方法

技术领域

本发明属于汽车电子的基础软件验证技术领域，尤其涉及一种基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置及其方法。

背景技术

汽车电子是实时嵌入式系统应用的一个富有挑战性的领域，它是汽车车载电子控制系统和汽车车体电子控制系统的总称。现代汽车快速发展的显著标志是智能化、电子化和网络化，汽车的功能和性能也变得更为强大。汽车电子中的很多应用都具有实时性和高安全性等特点。为了确保其正确性、安全性、稳定性等，研究人员寻求更精确的方法来保证软件产品的质量。

AUTOSAR是汽车开放系统架构，建立了汽车基础软件架构的开放式标准，已成为汽车电子基础软件的工业标准。目前也被广泛的用于汽车电子控制系统中，以承载日益复杂的汽车应用。而AUTOSAR的OS模块的正确性对于整个汽车控制系统的安全性、正确性至关重要。

汽车开放系统架构的操作系统(AUTOSAROS)在加载至芯片中投入使用之前，都需对其功能与性能等进行测试，以确保开发的产品适合需求，以及能够正常运行与使用。对于这类安全攸关的基础软件，仅仅依靠测试是不够的，需要将各种方法引入到对软件系统的验证中，以提高软件产品的质量。

现有技术中测试工具包括AutoRunner、TestCenter、TAR、LoadRunner、TestDirector等等。虽然这类测试工具的测试流程、方法等技术已经相当成熟，但其测试的内容和方法都是由人工设计，且测试方案只能检测某一方面的内容，即测试方案中没有涉及的内容在测试过程中不会被检测。所以，对于AUTOSAROS这一类安全系数特别高的系统来说，单纯的软件测试无法满足其对高安全系数的要求。

发明内容

本发明克服了现有技术中无法检测遗漏路径等缺陷，提出了一种汽车开放系统架构的操作系统的分析和验证装置及其方法。

本发明提出了一种基于AUTOSAR规范的汽车开放系统架构的操作系统分析和验证装置，包括：代码的timed-CSP定义单元，其运用时间进程代数，形成汽车开放系统架构的操作系统代码的timed-CSP形式化定义，生成操作系统代码的timed-CSP模型；规范的时态逻辑定义单元，其运用AUTOSAR规范，对汽车开放系统架构的操作系统规范进行时态逻辑形式化定义，生成规范的时态逻辑形式化模型；及功能验证单元，其输入与所述代码的timed-CSP定义单元及所述规范的时态逻辑定义单元的输出连接，根据所述规范的时态逻辑形式化模型对所述代码的timed-CSP模型进行分析与验证。

本发明所述基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置中，所述代码的timed-CSP定义单元包括：分析源代码模块，其对所述汽车开放系统架构的操作系统代码进行分析，获得操作系统的基本特性，抽取代码中的控制结构代码；提取关注模块，其输入端与所述分析源代码模块的输出端连接，用于针对所述控制结构代码，提取关注的模块，包括任务模块、资源模块、事件模块和调度表模块；抽取API模块，其输入端与所述提取关注模块的输出端连接，用于对所述关注的模块，抽取基于AUTOSAR的应用程序编程接口；模块代码建模模块，其输入端与所述抽取API模块的输出端连接，用于对所述关注的模块的代码，运用timed-CSP进行形式化建模，生成各模块的具有时间特性的timed-CSP模型；API代码建模模块，其输入端与所述模块代码建模模块的输出端连接，用于对所述应用程序编程接口建立所述操作系统代码的timed-CSP模型。

本发明所述基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置中，所述规范的时态逻辑定义单元包括：规范提取模块，其用于提取ATUOSAR规范中关于操作系统的关注的模块的规范说明；提取API规范模块，其输入端与所述规范提取模块的输出端连接，用于提取AUTOSAR规范中关于操作系统的规范说明；时态逻辑数学建模模块，其输入端与所述提取API规范模块的输出端连接，用于对所述相关规范说明进行时态逻辑数学建模描述，形成规范的时态逻辑形式化模型。

本发明所述基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置中，所述功能验证单元包括：模型仿真模块，其用于逐条对所述规范的时态逻辑形式化模型进行仿真，以判断所述汽车开放系统架构的操作系统代码的time-CSP模型是否符合所述规范的时态逻辑形式化模型；形式化验证方法引入模块，其用于针对所述代码的timed-CSP模型，逐条分析所述规范的时态逻辑形式化模型，分析并确定采用的形式化验证的方法及相应的形式化验证工具；模型验证模块，其输入端与所述形式化验证方法引入模块的输出端连接，用于逐条形式化验证所述代码的timed-CSP模型是否满足所述规范的时态逻辑形式化模型。

本发明还提出了一种基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证方法，包括以下步骤：

步骤一：对基于AUTOSAR规范的汽车开放系统架构的操作系统的代码执行基于具有时间特性的timed-CSP形式化定义，生成代码的timed-CSP模型；

步骤二：对所述汽车开放系统架构的操作系统的AUTOSAR规范执行时态逻辑形式化定义，生成规范的时态逻辑形式化模型；

步骤三：根据所述规范的时态逻辑形式化模型对所述代码的timed-CSP模型进行分析与验证。

本发明所述基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证方法中，所述步骤一中对代码执行基于timed-CSP的形式化定义的过程包括以下步骤：

步骤A1：对操作系统的代码进行分析，获得此操作系统的基本特性，抽取所述代码中的控制结构代码；

步骤A2：针对所述控制结构代码，提取关注的模块，包括任务模块、资源模块、事件模块和调度表模块；

步骤A3：针对所述代码抽取符合AUTOSAR规范的API；

步骤A4：对所述的关注的模块的代码，运用timed-CSP进行形式化建模，形成各模块的具有时间特性的timed-CSP模型；

步骤A5：对从操作系统中抽取的符合AUTOSAR的应用程序编程接口建立操作系统代码的timed-CSP模型。

本发明所述基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证方法中，所述步骤二中对规范执行形式化定义的过程包括以下步骤：

步骤B1：提取ATUOSAR规范中关于操作系统的关注的模块的规范说明；

步骤B2：提取AUTOSAR规范中关于操作系统的应用程序编程接口的规范说明；

步骤B3：对所述规范说明进行时态逻辑数学建模描述，形成规范的时态逻辑形式化模型。

本发明所述基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证方法中，所述步骤三验证正确性与安全性要求包括以下步骤：

步骤C1：逐条对所述规范的时态逻辑形式化模型进行仿真，以判断汽车开放系统架构的操作系统代码是否符合AUTOSAR的规范的时态逻辑形式化模型；

步骤C2：针对操作系统的timed-CSP模型，逐条分析所述规范的时态逻辑形式化模型，分析并确定采用的形式化验证的方法及相应的形式化验证工具；

步骤C3：通过相应的形式化验证技术，逐条验证所述代码的timed-CSP模型是否满足所述规范的时态逻辑形式化模型。

本发明的有益效果包括：本发明汽车开放系统架构的操作系统的分析和验证装置及其方法对于提高汽车电子操作系统及其操作系统对任务调度、资源分配等的正确性和安全性得到了很大的提高，并提出了针对嵌入式系统的实时操作系统的一种形式化验证与分析的方法。本发明将形式化验证应用于汽车开放系统架构的操作系统的验证中，使汽车系统的安全性能得到更大的保障。

附图说明

图1表示汽车开放系统架构的操作系统的分析和验证装置的结构示意图；

图2表示汽车开放系统架构的操作系统的分析和验证方法的流程图；

图3表示代码的timed-CSP定义单元的机构图。

图4表示规范的时态逻辑定义单元的机构图。

图5表示功能验证单元的机构图。

图6表示操作系统对具体应用的管理示意图。

图7表示实施例中针对发动机管理系统管理的AUTOSAR操作系统的建模、验证的整体过程。

具体实施方式

结合以下具体实施例和附图，对本发明作进一步的详细说明。实施本发明的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本发明没有特别限制内容。

图1显示的是汽车开放系统架构的操作系统的分析和验证装置的结构示意图。汽车开放系统架构的操作系统的分析和验证装置包括代码的timed-CSP定义单元1、规范的时态逻辑(LinearTemporalLogic，LTL)定义单元2与功能验证单元3。timed-CSP定义单元1对操作系统的代码运用时间进程代数，形成汽车开放系统架构的操作系统代码的timed-CSP形式化定义，生成代码的timed-CSP模型。规范的时态逻辑定义单元2运用AUTOSAR规范，对汽车开放系统架构的操作系统规范进行时态逻辑形式化定义，生成规范的时态逻辑形式化模型。功能验证单元3的输入端分别与timed-CSP定义单元1及规范的时态逻辑定义单元2的输出端连接，根据规范的时态逻辑形式化模型对代码的timed-CSP模型进行分析与验证。

如图3所示，代码的timed-CSP定义单元1中包括分析源代码模块11、提取关注模块12、抽取API模块13、代码建模模块14和API代码建模模块15。分析源代码模块11将抽取代码中的控制结构代码。提取关注模块12与分析源代码模块11连接，对其针对该操作系统的控制结构代码，提取关注的模块，主要包括任务、资源、事件和调度表等相关模块代码。抽取API模块13与提取关注模块12连接，将对该操作系统所关注的模块代码，抽取基于AUTOSAR的应用程序编程接口(ApplicationProgrammingInterface，API)。代码建模模块14与抽取API模块13、提取关注模块12连接，对所关注的任务、资源、事件和调度表等模块，运用timed-CSP形式化建模，形成timed-CSP模型；API代码建模模块15的输入端与所述模块代码建模模块14的输出端连接，用于对所述应用程序编程接口建立所述操作系统代码的timed-CSP模型。

如图4所示，规范的时态逻辑定义单元2包括规范提取模块21、提取API规范模块22和时态逻辑数学建模模块23。规范提取模块21提取ATUOSAR规范中关于操作系统的关注的模块的规范说明，包括任务模块、资源模块、事件模块和调度表模块的规范说明。提取API规范模块22和规范提取模块21连接，提取AUTOSAR规范中关于操作系统的相关API的规范说明。时态逻辑数学建模模块23与提取API规范模块22、规范提取模块21连接，对规范进行时态逻辑数学建模描述，形成规范的时态逻辑形式化模型。

如图5所示，功能验证单元3包括模型仿真模块31、形式化验证方法引入模块32和模型验证模块33。模型仿真模块31将逐条对AUTOSAR的相关的规范的时态逻辑形式化模型进行仿真，以判断汽车开放系统架构的操作系统代码是否符合AUTOSAR的规范的时态逻辑形式化模型；形式化验证方法引入模块32，将对操作系统的timed-CSP模型，分析每条AUTOSAR规范中提取的时态逻辑形式化模型，分析并确定采用的形式化验证的方法及相应的形式化验证工具。若该规范的时态逻辑形式化模型中只包含逻辑算子，不包含时态算子，则形成断言，建议采用仿真的方法；若规范的时态逻辑形式化模型中，包含这两类算子，则建议使用模型检测的方法。模型验证模块33与形式化验证方法引入模块32连接，将逐条形式化验证汽车开放系统架构的操作系统代码的timed-CSP模型是否满足AUTOSAR规范中提取出的时态逻辑形式化模型。最后由模型仿真模块31和模型验证模块33的验证结果生成验证报告。

如图2所示，本发明汽车开放系统架构的操作系统的分析和验证方法包括：

步骤一：对汽车开放系统架构的操作系统的代码执行形式化定义，生成代码的timed-CSP模型。其对操作系统源代码进行分析，抽取代码中的控制结构代码；针对该操作系统的控制结构代码，提取关注的模块，主要包括任务、资源、事件和调度表等相关模块；对该操作系统所关注的模块，抽取基于AUTOSAR的应用程序编程接口(API)；对所述的任务、资源、事件和调度表等相关模块的代码以及API代码，运用timed-CSP进行形式化建模，形成各模块的具有时间特性的timed-CSP模型。

步骤二：对汽车开放系统架构的操作系统的规范执行形式化定义，生成规范的时态逻辑形式化模型。其提取ATUOSAR规范中关于操作系统的任务、资源、事件和调度表的规范说明；同时，提取AUTOSAR规范中关于操作系统的相关API的规范说明；对相关规范说明进行时态逻辑数学建模描述，形成规范的时态逻辑形式化模型。

步骤三：根据规范的形式化模型对代码的形式化模型进行分析与验证，检测代码的形式化模型是否满足规范的形式化模型约束的正确性与安全性要求，得到验证结果。其中，首先对AUTOSAR的相关的规范的时态逻辑形式化模型进行仿真，以判断汽车开放系统架构的操作系统代码是否符合AUTOSAR的规范的时态逻辑形式化模型；同时，针对操作系统的timed-CSP模型，分析每条AUTOSAR规范中提取的时态逻辑形式化模型，确定采用的形式化验证的方法及相应的形式化验证工具；最后逐条形式化验证汽车开放系统架构的操作系统代码的timed-CSP模型是否满足AUTOSAR规范中提取出的时态逻辑形式化模型。

本实施例中将本发明的汽车开放系统架构的操作系统的分析和验证装置及其方法应用于AUTOSAROS3.1.1操作系统中。

其中，代码的timed-CSP定义单元1对AUTOSAROS代码例如AUTOSAROS3.1.1操作系统的C语言实现代码对进行精确的数学化定义，采用Timed-CSP对其生成代码的形式化模型，代码的形式化模型中包括汽车开放系统架构操作系统对任务调度、资源分配和事件处理等的形式化定义，并模拟出操作系统对任务关于资源调度的请求及时间设置的请求的处理。

规范的时态逻辑定义单元2是对AUTOSAROS规范例如AUTOSAROS3.1.1操作系统的规范进行精确的数学化定义，生成规范的时态逻辑形式化模型。规范的时态逻辑形式化模型为采用数学逻辑表达式表示的诸如任务调度的互斥性、操作系统调度优先级队列中优先级最高任务请求、资源的调度按照天花板协议执行等规范要求。

功能验证单元3为利用相应的形式化验证技术及工具验证AUTOSAROS代码形式化模型是否满足AUTOSAROS规范形式化模型的约束。

实施例1

本实施例中将汽车开放系统架构的操作系统的分析和验证方法运用于基于汽车开放系统架构的操作系统的一个具体应用——汽车发动机管理系统EMS中。

运用本发明的分析和验证方法，将汽车电子操作系统对发动机管理系统的管理相结合，完成操作系统对发动机管理系统从数模转换、获取发动机转速、计算喷油脉宽、计算气缸蓄能角度以及进行喷油点火的整个过程中各个任务的管理，进行建模、分析并验证。如图6所示，针对具体应用，形成具体应用下的各个任务，操作系统对该应用下的各个任务进行管理、调度。

图7表示针对发动机管理系统管理的AUTOSAR操作系统的建模、验证的整体过程。本实施例中，针对发动机管理系统管理的AUTOSAR操作系统的分析和验证方法包括以下步骤：

步骤一：此步骤主要做两大类工作：分别对AUTOSAROS的代码以及对应用进行分析。在AUTOSAROS的建模分析阶段，重点关注与任务、资源、事件和调度表相关的部分，并对OS提供的11种API进行分析，并分析给出OS任务和调度表的定义，以及OS对这些API调用的响应的定义。在应用的建模分析阶段，由于汽车发动机管理系统都是基于AUTOSAROS的，必须结合具体的实时特性，划分出具体的任务，根据具体情况分析确定是否需要建立调度表，并分析出应用的哪些行为是应用本身的，哪些行为需要调用AUTOSAROS提供的API。对AUTOSAROS以及应用的验证部分，此阶段重点分析并抽取出AUTOSAROS需求以及两个应用需求中关于任务、调度表、调度算法或系统本身的安全性、可靠性的重要描述。

步骤二：此步骤分别对AUTOSAROS中任务的属性((即扩展类型、优先级、状态，以及调度策略等)及操作(对资源的分配和对事件的控制)以及调度表的属性(即周期类型、初始偏移量、状态，以及调度策略等)及操作(激活任务和设置事件)建立全局性的形式化模型；以及从AUTOSAROS规范和汽车发动机管理系统应用需求中抽取性质的过程。

抽取AUTOSAROS规范和任务，资源和调度表有关的属性，如，防止优先级反转，资源调度无死锁，任务的互斥性、调度表的互斥性和天花板优先级协议等性质。

在汽车发动机管理系统应用程序也需要提取所关注的性质，如多个气缸必须按照固定的顺序启动、一个气缸重复四个冲程(四个冲程按严格的顺序往复)等性质。

步骤三：在该步骤，采用模型检测工具PAT实现对在第一步骤中的基于汽车发动机管理系统应用的操作系统的Timed-CSP的形式化模型的验证。在第二步骤中形成的对AUTOSAROS、汽车发动机管理系统的相关性质建立的基于线性时态逻辑(LTL)或断言(Assertion)的性质，运用PAT工具的仿真、验证方法对其进行逐条验证，得到验证结果，形成验证报告。

本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以所附的权利要求书为保护范围。

Claims (8)

1.一种基于AUTOSAR规范的汽车开放系统架构的操作系统分析和验证装置，其特征在于，包括：

代码的timed-CSP定义单元(1)，其运用时间进程代数，形成汽车开放系统架构的操作系统代码的timed-CSP形式化定义，生成操作系统代码的timed-CSP模型；

规范的时态逻辑定义单元(2)，其运用AUTOSAR规范，对汽车开放系统架构的操作系统规范进行时态逻辑形式化定义，生成规范的时态逻辑形式化模型；及

功能验证单元(3)，其输入与所述代码的timed-CSP定义单元(1)及所述规范的时态逻辑定义单元(2)的输出连接，根据所述规范的时态逻辑形式化模型对所述代码的timed-CSP模型进行分析与验证。

2.如权利要求1所述的基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置，其特征在于，所述代码的timed-CSP定义单元(1)包括：

分析源代码模块(11)，其对所述汽车开放系统架构的操作系统代码进行分析，获得操作系统的基本特性，抽取代码中的控制结构代码；

提取关注模块(12)，其输入端与所述分析源代码模块(11)的输出端连接，用于针对所述控制结构代码，提取关注的模块，包括任务模块、资源模块、事件模块和调度表模块；

抽取API模块(13)，其输入端与所述提取关注模块(12)的输出端连接，用于对所述关注的模块，抽取基于AUTOSAR的应用程序编程接口；

模块代码建模模块(14)，其输入端与所述抽取API模块(13)的输出端连接，用于对所述关注的模块的代码，运用timed-CSP进行形式化建模，生成各模块的具有时间特性的timed-CSP模型；

API代码建模模块(15)，其输入端与所述模块代码建模模块(14)的输出端连接，用于对所述应用程序编程接口建立所述操作系统代码的timed-CSP模型。

3.如权利要求1所述的基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置，其特征在于，所述规范的时态逻辑定义单元包括：

规范提取模块(21)，其用于提取ATUOSAR规范中关于操作系统的关注的模块的规范说明；

提取API规范模块(22)，其输入端与所述规范提取模块(21)的输出端连接，用于提取AUTOSAR规范中关于操作系统的规范说明；

时态逻辑数学建模模块(23)，其输入端与所述提取API规范模块(22)的输出端连接，用于对所述相关规范说明进行时态逻辑数学建模描述，形成规范的时态逻辑形式化模型。

4.如权利要求1所述的基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证装置，其特征在于，所述功能验证单元(3)包括：

模型仿真模块(31)，其用于逐条对所述规范的时态逻辑形式化模型进行仿真，以判断所述汽车开放系统架构的操作系统代码的time-CSP模型是否符合所述规范的时态逻辑形式化模型；

形式化验证方法引入模块(32)，其用于针对所述代码的timed-CSP模型，逐条分析所述规范的时态逻辑形式化模型，分析并确定采用的形式化验证的方法及相应的形式化验证工具；

模型验证模块(33)，其输入端与所述形式化验证方法引入模块(32)的输出端连接，用于逐条形式化验证所述代码的timed-CSP模型是否满足所述规范的时态逻辑形式化模型。

5.一种基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证方法，其特征在于，包括以下步骤：

步骤一：对基于AUTOSAR规范的汽车开放系统架构的操作系统的代码执行基于具有时间特性的timed-CSP形式化定义，生成代码的timed-CSP模型；

步骤二：对所述汽车开放系统架构的操作系统的AUTOSAR规范执行时态逻辑形式化定义，生成规范的时态逻辑形式化模型；

步骤三：根据所述规范的时态逻辑形式化模型对所述代码的timed-CSP模型进行分析与验证。

6.如权利要求5所述的基于AUTOSAR规范的汽车开放系统架构的操作系统的分析和验证方法，其特征在于，所述步骤一中对代码执行基于timed-CSP的形式化定义的过程包括以下步骤：

步骤A1：对操作系统的代码进行分析，获得此操作系统的基本特性，抽取所述代码中的控制结构代码；

步骤A2：针对所述控制结构代码，提取关注的模块，包括任务模块、资源模块、事件模块和调度表模块；

步骤A3：针对所述代码抽取符合AUTOSAR规范的API；

步骤A4：对所述的关注的模块的代码，运用timed-CSP进行形式化建模，形成各模块的具有时间特性的timed-CSP模型；

步骤A5：对从操作系统中抽取的符合AUTOSAR的应用程序编程接口建立操作系统代码的timed-CSP模型。

7.如权利要求5所述的汽车开放系统架构的操作系统的分析和验证方法，其特征在于，所述步骤二中对规范执行形式化定义的过程包括以下步骤：

步骤B1：提取ATUOSAR规范中关于操作系统的关注的模块的规范说明；

步骤B2：提取AUTOSAR规范中关于操作系统的应用程序编程接口的规范说明；

步骤B3：对所述规范说明进行时态逻辑数学建模描述，形成规范的时态逻辑形式化模型。

8.如权利要求5所述的汽车开放系统架构的操作系统的分析和验证方法，其特征在于，所述步骤三验证正确性与安全性要求包括以下步骤：

步骤C1：逐条对所述规范的时态逻辑形式化模型进行仿真，以判断汽车开放系统架构的操作系统代码是否符合AUTOSAR的规范的时态逻辑形式化模型；

步骤C2：针对操作系统的timed-CSP模型，逐条分析所述规范的时态逻辑形式化模型，分析并确定采用的形式化验证的方法及相应的形式化验证工具；

步骤C3：通过相应的形式化验证技术，逐条验证所述代码的timed-CSP模型是否满足所述规范的时态逻辑形式化模型。