CN106598766B - 一种针对ima资源共享机制的状态关联动态分析方法 - Google Patents

一种针对ima资源共享机制的状态关联动态分析方法 Download PDF

Info

Publication number
CN106598766B
CN106598766B CN201611049009.7A CN201611049009A CN106598766B CN 106598766 B CN106598766 B CN 106598766B CN 201611049009 A CN201611049009 A CN 201611049009A CN 106598766 B CN106598766 B CN 106598766B
Authority
CN
China
Prior art keywords
resource
model
subregion
transition
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611049009.7A
Other languages
English (en)
Other versions
CN106598766A (zh
Inventor
韩荣宾
王世海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN201611049009.7A priority Critical patent/CN106598766B/zh
Publication of CN106598766A publication Critical patent/CN106598766A/zh
Application granted granted Critical
Publication of CN106598766B publication Critical patent/CN106598766B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0715Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种针对IMA资源共享机制的状态关联动态分析方法,包括以下步骤:一:确定IMA系统对象,并利用AADL对IMA系统共享机制进行建模;二:通过模型转化,将AADL模型转化为CGSPN模型;三:将系统设计约束加入到CGSPN模型中;四:针对CGSPN模型进行模型仿真分析;通过以上步骤,达到了IMA系统状态关联分析的目的,所建的CGSPN模型仿真充分考虑到了系统状态关联的动态行为:1.能够分析资源故障后恢复是否会影响系统故障状态关联,即分析资源故障后恢复是否会导致系统其它部件进入故障状态;2.能够分析系统设计是否满足动态约束。

Description

一种针对IMA资源共享机制的状态关联动态分析方法
技术领域
本发明提供一种针对IMA资源共享机制的状态关联动态分析方法,它涉及一种IMA系统(简称系统)设计分析中的状态关联动态分析方法,具体涉及一种基于状态关联模型的多约束分析方法。属于IMA系统设计分析领域。
背景技术
航空电子的发展经历了分立式、联合式、综合式以及先进综合式几个阶段,旨在增强航空电子系统功能、性能,降低飞机生命周期费用的同时,解决系统软硬件的升级移植问题。针对传统航空电子系统中存在的问题,美国航电委员会在90年提出了综合模块化航空电子(IMA)的概念,并被航空工业组织采纳,在空客380、波音777、F-22、F-35等项目上进行实施,取得了良好的效果。综合化航空电子系统本质上是一个开放的分布式实时计算环境,通过综合,达到硬件通用化,功能软件化,软件运行环境标准化,最终实现系统的高度综合以及信息的高度共享。
现代航空电子系统与综合中提到:IMA系统平台的资源可以共享,如可以通过获取时间的方法来共享处理资源和硬件。由于每一种共享的资源都有可能造成单点失效,这种失效会影响所有应用使用该资源。因此,需要针对IMA资源共享需要进行系统设计分析。同时IMA系统基于分区操作系统,IMA系统平台针对高度资源综合的问题提供了共享资源的健壮分区隔离:当需要时,IMA平台能够提供共享资源的健壮分区隔离的特性,能确保驻留的应用获得共享的平台资源,且这些资源是受保护的。IMA平台资源管理确保只有已规定的、有预期用途、规定交互和接口等的资源可由平台和应用共享,可见IMA分区交互是不可避免的。IMA系统通过分区操作系统实现其共享机制,时间与空间的分区特性赋予了故障状态复杂的关联关系,而IMA系统的故障状态是系统动态反应的输入,针对故障状态系统可以做出一系列的反应满足任务要求,例如降级、关机、重启、再配置等。
状态关联指的是,在IMA系统中,各部件在运行过程中均有不同的状态,例如分区有初始化、运行和故障等状态,而共享资源有正常和故障的状态,当某分区与共享资源进行交互时,它们的状态存在关联关系,例如:分区对故障的共享资源操作时有可能导致该分区也进入故障状态;由于系统设计错误,分区对正常的共享资源误操作,也可能导致该分区进入故障状态。
目前针对IMA系统的分析研究均是从可靠性、安全性、实时性以及可调度性等角度出发对IMA系统进行评估,然而,对于IMA系统的故障状态关联,至今仍没有适用的分析方法,本发明提出一种基于模型的分析方法解决此问题,其中涉及针对IMA共享机制进行的AADL建模、模型转化、以及CGSPN模型分析。
模型驱动开发(model driven development,简称MDD)能够在早期阶段对系统进行分析与验证,有助于保证系统的质量属性、控制开发时间和降低成本,从而正确无误地、且快速高质量地完成一个软件开发过程。而质量属性是由系统体系结构确定的,因此,基于体系结构模型驱动(model-based architecture-driven)的设计与开发方法成为复杂嵌入式系统领域的重要研究内容。常用的体系结构描述语言有UML,ADL和AADL,其中AADL(architecture analysis &design language)是美国汽车工程师协会SAE(society ofautomaotive engineers)在建模语言MetaH、ADL以及商业建模语言UML和HOOD(hierarchical object-oriented design)的基础上于2004年提出嵌入式实时系统体系结构分析与设计语言(AADL),该语言提供了一种标准而又足够精确的方式,设计与分析嵌入式实时系统的软、硬件体系结构及功能与非功能性质,采用单一模型支持多种分析的方式,将系统设计、分析、验证、自动代码生成等关键环节融合于统一框架之下。为扩展AADL的描述能力,SAE也发布了一系列附件,如图形附件、错误附件、数据附件、ARINC653附件和行为附件等,分别扩展了对AADL的图形化表示、错误传播、数据结构、综合模块化航空电子和系统行为的描述。
Petri网最早出现在1962年德国人Carl Adam Petri的博士论文"Communicationwith Automata"(用自动机通讯)中,并因此而得名。Petri网是一种网状结构的信息流模型,具有并行性、不确定性,同时具有异步和分布描述能力及分析能力,为复杂系统的分析提供了一种以图形和数学为基础的形式化建模方法。通过在各个领域的广泛应用,Petri网已经被证明是一种行之有效的图形化、数学化建模与分析工具。作为一种图形化工具,Petri网可以用作一种与数据流图和网络相似的辅助方法;而作为一种数学化工具,Petri网也可以用来建立状态方程、代数方程和其它描述系统行为的数学模型。为了丰富Petri网的建模和分析能力,人们对经典Petri网进行了多种方式的扩展,提出了一系列高级Petri网,其中最具代表性的分别是:着色Petri网、时间Petri网、层次Petri网、着色广义随机Petri网。
发明内容
(1)发明目的
目前的针对IMA系统的状态关联研究相对缺乏,本发明的目的是为了解决IMA系统状态关联的分析问题,利用本发明提出的基于模型的多约束分析方法,可以分析共享资源故障引起的故障状态关联情况,通过加入系统设计多约束条件,可以对IMA系统设计进行验证。
(2)技术方案
为了解决IMA系统状态关联的分析问题,本发明提出一种针对IMA资源共享机制的状态关联动态分析方法,其总体技术方案如图1所示,具体包括以下几个步骤:
步骤一:确定IMA系统对象,并利用AADL对IMA系统共享机制进行建模
AADL标准包括文本、图形、XML交换格式和附件库;在AADL模型中,建模元素和他们之间的关系如图2所示;AADL组件分为三类:应用软件、硬件和系统组件,可执行二进制代码和数据通过软件组件来描述,它包括:进程、线程、线程组、数据和子程序;硬件组件描述了处理资源和软件和硬件的绑定关系;处理器、存储器、总线和设备构成了可执行平台组件;在AADL附件中,ARINC653附件提供了针对符合ARINC653标准及相似分区的系统架构的建模方法;
其中,本步骤中所述的“确定IMA系统对象,并利用AADL对IMA系统共享机制进行建模”的具体作法如下:
下表1给出了本发明的IMA系统元素与AADL建模元素的映射规则,表中AADL建模元素属于AADL语法规范;此建模映射规则结合AADL规范中ARINC653附件,适合于本发明的状态关联模型构建;其中,利用AADL的进程(Process)来表示IMA系统的分区(Partition),利用AADL的连接(Connection)表示IMA系统的通道(Channel),对IMA中的分区间通信(Queuing port、Sampling port),通过AADL的事件数据端口(Event data port)、数据端口(Data port)和数据访问来描述,IMA系统的数据(Data)、存储(Memory)与AADL中的组件Data、Memory分别对应,IMA系统内的事件(Event)则利用AADL中错误附件的错误事件(Error event)来表示,IMA系统内状态(Component/System states)用错误附件中状态(State)来表示;详细内容见下表;
表1 AADL与IMA元素的映射规则
步骤二:通过模型转化,将AADL模型转化为CGSPN模型
首先引入着色的广义随机Petri网(GCSPN),GCSPN是一个9元组:
其中:
P:有限库所集;
T:变迁集,包括时间变迁和瞬时变迁,
C:颜色集,C={C1,...,Cn}且
:变迁优先级函数。
I(.),O(.),H(.):输入弧函数,输出弧函数,抑制弧函数。
W(.):变迁上的权函数,定义了变迁触发概率分布。
M0:系统初始化状态标记。
Y:变迁上依赖标记的权函数。
对GCSPN进行模型适应改进,得到改进的着色广义随机petri网(CGSPN)模型:
1.定义库所表示为系统组件状态。
2.定义特定颜色集表示系统组件属性。分区颜色集定义形式为:colsetpartition=product P*partition_property*STATE*REAL timed;共享资源颜色集定义形式为:colset RESOURCE=product R*resource_property*STATE*P timed。其中colset为颜色集标识符,product为笛卡尔乘积,partition和RESOURCE为颜色集名,P为分区标识符,R为资源标识符,partition_property和resource_property为分区和资源属性,STATE为状态标识符,REAL为时间记录。
3.定义时间变迁为有时间延迟的系统事件,瞬时变迁为瞬时事件。扩展时间变迁上的时间延迟分布函数类型,包括指数分布、正态分布等。
其中,本步骤中所述的“通过模型转化,将AADL模型转化为CGSPN模型”的具体作法如下:
将基于AADL的资源共享模型转化为改进的着色广义随机petri网(CGSPN)模型,定义了相应的模型转化规则,符号->左边为AADL模型元素,右边为改进的CGSPN模型元素。
规则1:分区(partition),处理器(processor),虚拟处理器(virtualprocessor),共享资源(shared resources),故障状态(error state)->库所(place)
分区包括以下几个状态:初始化状态、请求资源状态、获取资源状态、运行状态、故障状态、计算完毕状态。每个分区与一个虚处理器(virtual processor)进行绑定,对于IMA单核系统,分区运行时独占一个处理器(processor)。共享资源有如下状态:正常状态、故障状态。另外可以将AADL中的错误状态直接定义为place。
规则2:通信行为(communicate behavior),分区调度(partition scheduling),数据访问(access to data),错误行为(error behavior)->变迁(transition)
将分区间通信转化为CGSPN中的变迁,每个变迁表示一个通信行为,表示分区间的交互关系。
将分区调度转化为调度变迁,控制每个分区在特定的时间点开始运行,这里将分区调度机制加入特定的变迁与库所结构,并辅以分区调度的颜色集,对分区调度进行控制。具体实现为定义schedule()函数加入到模型,函数(pi为分区i,ti为分区i的时间窗)形式为:
fun schedule(par)=case par of
p1=>t1
|p2=>t2
|p3=>t3;
以上函数意为:给分区pi分配ti的时间窗。
当系统对共享数据资源进行操作时,需要在CGSPN模型中以变迁来控制系统行为,因此将AADL中access to data的元素转化为对于共享数据进行操作的变迁。
AADL的错误附件中定义了错误行为,包括故障事件触发系统或其部件发生故障,recovery事件触发系统或其部件故障恢复,此处将AADL中的错误行为转化为变迁,并加入错误行为事件的发生概率。
另外分区状态转化在CGSPN模型中也被定义为变迁。
规则3:分区属性(property of partitions),数据属性(property of data),开始时间(start time),系统时间(system time),分区状态(state of partitions)->托肯(token)
将分区和共享数据的属性,分区运行的开始时间以及系统时间,转化为当前系统状态的托肯。同时系统中分区状态也作为一个托肯作为分区状态的标记,记录分区是否故障。
规则4:故障事件的发生概率分布(occurrence distribution of error event)->变迁的概率函数(function of transition)
错误模型中错误事件的发生概率分布转化为时间变迁的随机时延函数或者瞬时变迁的发生概率函数。
规则5:系统的多约束(multiple constraint in system)->守卫函数(guardfunction)
将针对共享资源设计的多约束条件转化为守卫函数,加入到CGSPN模型中;
步骤三:将系统设计约束加入到CGSPN模型中
在多约束分析方面,将约束限定为IMA共享机制下存在的约束集合,包括:
1 功能约束,功能指的是系统任务,功能可由一个或多个软件完成,它的实现需要通过对一系列的资源进行组织和操作,功能约束与功能需求、非功能需求紧密联系,功能约束可以通过以下方法构建,将功能约束映射到资源约束:
1)确定系统的功能;
2)确定实现系统功能所需要的系统组件或者系统软件;
3)确定每个系统组件或者系统软件的资源使用要求,即资源约束;
典型的功能约束包括实时性需求、任务执行顺序、分区应用执行频率等。
2 资源约束,该资源主要针对IMA系统中被共享的软硬件资源,资源约束包括存储能力,数据传输带宽,资源的时效性等。
3 动态约束,IMA系统运行时,存在某些系统事件,使得约束动态变化。动态约束为系统事件发生时动态改变的资源约束。例如,某IMA存储单元正常工作时,存储空间大小约束为100M,某时刻该存储单元被传感器检测到故障,可用存储空间大小降低到60M,存储空间约束即从(≤100M)变化为(≤60M)。这种动态约束由故障事件触发,影响约束集合下系统的故障分析。
基于上述提出的系统约束,本发明将资源约束和动态约束以守卫函数的形式加入到CGSPN模型。资源约束的约束表达式表示为守卫函数;动态约束的实现是通过手工修改CGSPN模型中定义的相关属性值或者约束表达式;而功能约束的实现是通过仿真结果与预定义的功能约束进行比较。
步骤四:针对CGSPN模型进行模型仿真分析
通过CGSPN模型仿真,可以得出共享资源故障会关联到的系统组件;验证系统设计是否正确;
通过以上步骤,达到了IMA系统状态关联分析的目的,所建的CGSPN模型仿真充分考虑到了系统状态关联的动态行为:1.能够分析资源故障后恢复是否会影响系统故障状态关联,即分析资源故障后恢复是否会导致系统其它部件进入故障状态;2.能够分析系统设计是否满足动态约束。
(3)优点和功效
与当前已有的IMA系统设计分析方法相比,本发明具有以下优点和功效:
从资源和功能两方面分析系统是否满足设计约束,并加入动态约束的概念。既考虑系统的静态体系架构设计,又考虑系统的动态行为影响,能够全面确定系统设计的可行性。
在一个IMA模块内,能够确定系统组件的故障状态关联到的分区状态,即部件故障后所导致的分区故障。同时,由于考虑了部件故障后有可能恢复,更加完善了这种状态关联的分析方法,全面的确定系统组件故障状态关联影响。
附图说明
图1是本发明所述方法流程图。
图2是---AADL建模元素关系图。
图3是---AADL模型实例图。
图4是---CGSPN模型。
图5是---仿真结果1。
图6是---仿真结果2。
图7是---仿真结果3。
图8是---仿真结果4。
图9是---仿真结果5。
图3中序号、符号、代号说明如下:
代号 说明
mem 存储资源
cpu 计算资源
obstacle_radar 雷达
distance_estimate 雷达输出数据端口
partition1_pr/partition2_pr/partition3_pr 分区1/分区2/分区3
input_distance、p2_in、p4_in、p5_in 分区输入数据端口
p3_out、p4_out 分区输出数据端口
shared_datain/shared_dataout 数据访问连接输入/输出端口
图5-9中序号、符号、代号说明如下:
具体实施方式
案例背景:
本案例中,示例IMA系统利用设备radar传来信号,5个分区要对该信号进行处理和共享,每个分区有一个应用,分区间交互关系如图3所示,同时,该图为AADL建模的架构图。
由于篇幅限制,本发明仅对该IMA系统进行简要介绍。分区1内有一个共享数据区,案例中分区1内应用产生的数据,被存放在共享数据区内,分区2和分区3共享该数据区,该共享数据区数据错误事件的发生时间服从指数分布。由于分区1对该数据区执行写操作,因此规定该共享数据区操作错误会影响分区1内应用正常运行。分区3内应用在运行过程中有可能失效,失效时间服从指数分布,且分区3自身的故障恢复机制会使其在规定时间延迟内恢复正常。
AADL模型的关键参数如下表所示:
表2 AADL模型关键参数
P1 write_size(分区1写空间大小) 20kb
P3 failure distribution(分区3失效分布) Exponential(0.01)
P3 recovery time(分区3故障恢复时间) 3.0
Shared data size1(共享数据区大小) 30kb
Shared data size2(共享数据区大小) 10kb
Shared data error event distribution(共享数据区故障事件分布) Exponential(0.05)
Shared data error fail distribution(共享数据区失效分布) Exponential(0.05)
其中P1write_size指的是分区P1要对共享数据写数据的数据大小;P3failuredistribution指的是分区P3失效的时间分布,服从参数为0.01的指数分布;P3recoverytime指分区P3失效后故障恢复时间为3.0ms;Shared data size1为共享数据区正常情况下的存储容量;Shared data size2为该共享数据区被Shared data error event事件触发后,存储容量缩减后,可用的存储容量;Shared data error event distribution和Shareddata error fail distribution分别为Shared data error event和Shared data errorfail事件的发生时间分布。
本发明一种针对IMA资源共享机制的状态关联动态分析方法,如图1所示,具体包括以下几个步骤:
步骤一:确定IMA系统对象,并利用AADL对IMA系统共享机制进行建模。
AADL标准包括文本、图形、XML交换格式和附件库;在AADL模型中,建模元素和他们之间的关系如图2所示;
利用IMA共享机制与AADL的映射规则,可以构建该案例的AADL模型。模型如图3所示,由于篇幅限制,且该步骤不为本发明重点,本发明不对AADL文本模型描述。
步骤二:通过模型转化,将AADL模型转化为CGSPN模型。
将基于AADL的资源共享模型转化为改进的着色广义随机petri网(CGSPN)模型,利用定义的相应的模型转化规则,进行模型转化。具体转化元素对照如下:
表3 模型转换元素对照表
在表3中,分区被转化为带颜色集的库所,代表分区不同的状态的库所有:initial,require_resource,get_resource,running,error,complete,分别代表分区的初始化、请求资源、获取资源、运行、故障以及完成6种状态;共享资源同样被转化为带有颜色集的库所,代表共享资源的不同状态:resource_normal,resource_error,分别表示共享资源正常和故障两种状态;处理器和虚处理器被转化为cpu和schedule两个库所;AADL元素错误附件中的错误状态,是分区和共享资源所转化的库所子集;分区间通信被转化为瞬时变迁,施加在瞬时变迁上的守卫函数用来唯一确定通信方向;错误行为具体指AADL错误附件中定义的错误事件,通过将其转化为时间变迁,用来表示错误事件触发时间;分区调度同样用时间变迁来限定分区运行时间;另外,分区和共享资源的属性被转化为CGSPN模型中的颜色集,该案例中分区和共享资源的颜色集为colset partition=product P*property*STATE*REAL timed和colset RESOURCE=product R*resource_size*STATE*P timed,关键属性为property和resource_size,分别表示P1 write_size和Shared data size1、Shareddata size2,即分区1写需求空间大小和共享数据区大小,共享数据区大小分为:Shareddata error event事件未发生时,共享数据区大小(Shared data size1);Shared dataerror event事件发生后,共享数据区大小(Shared data size2)。
步骤三:将系统设计约束加入到CGSPN模型中。
本案例在资源约束、功能约束以及动态约束中分别选取一个简单约束:
资源约束:P1 write_size≤Shared data size1,转化为在CGSPN模型中的约束为pro≤s(P1 write_size=pro,Shared data size1=s)。
该资源约束意义为:系统运行正常情况下,分区1的写操作产生的数据要小于等于共享数据区最大可用存储空间。
功能约束:案例中任务在主时间框架内分区应用执行顺序为seq(P1,noseq(P2,P3),noseq(P4,P5),P2)。其中seq()表示分区执行为顺序关系,noseq(Pi,Pj)=seq(Pi,Pj)or seq(Pj,Pi),or表示或关系。
动态约束:Shared data error event事件发生时,会触发动态约束:P1 write_size≤Shared data size2,转化为在CGSPN模型中的约束为pro≤s(P1 write_size=pro,Shared data size2=s)。
通过模型转化以及多约束的加入,得到CGSPN模型,为了便于理解,本发明将CGSPN模型进行简化,如图4所示:
图中,CGSPN模型中系统状态主要分为三类:共享资源状态、分区状态以及分区状态标记。这三类系统状态中:步骤二对共享资源状态和分区状态进行了描述;分区标记状态用来显示分区故障与否(通过定义颜色集STATE来显示,如果分区出现故障,分区状态标记对应的分区库所出现一个托肯)。此外,CGSPN模型还对资源约束、动态约束触发事件、分区故障与恢复以及分区间通信进行了描述,具体参照图示。
步骤四:针对CGSPN模型进行模型仿真分析。
1.验证系统是否满足功能约束:
功能约束为seq(P1,noseq(P2,P3),noseq(P4,P5),P2)。在分区执行顺序方面,CGSPN模型仿真结果为:seq(P1,P2,P3,P4,P5,P2),且seq(P1,P2,P3,P4,P5,P2)∈seq(P1,noseq(P2,P3),noseq(P4,P5),P2),系统设计满足功能约束。
2.验证系统是否满足资源约束和动态约束,确定系统状态关联情况。
从三方面进行区分:系统Shared data error event事件是否发生、共享资源正常与故障、分区3正常与故障,共8种情况:
1)系统Shared data error event事件未发生,共享资源正常,分区正常时。
2)系统Shared data error event事件未发生,共享资源故障,分区正常时。
3)系统Shared data error event事件未发生,共享资源正常,分区3故障且未恢复。
4)系统Shared data error event事件未发生,共享资源正常,分区3故障且恢复。
5)系统Shared data error event事件发生,共享资源正常,分区正常时。
6)系统Shared data error event事件发生,共享资源故障,分区正常时。
7)系统Shared data error event事件发生,共享资源正常,分区3故障且未恢复。
8)系统Shared data error event事件发生,共享资源正常,分区3故障且恢复。
仿真结果及其动态过程:
a)系统运行正常:1)、4)(如图5所示);
动态过程:情况4)中分区3故障后恢复。
b)分区3、4、5故障:3)(如图6所示);
动态过程:分区3首先进入故障状态,由于状态关联,通过通信的方式,分区4和分区5也进入故障状态。
c)分区1、2、3、4、5故障:2)(如图7所示)、5)、7)、8)(如图8所示)、6)(如图9所示);
动态过程:
情况2)中共享资源故障,由于状态关联,依次使得分区1、2、3、4、5故障;
情况5)中系统Shared data error event事件触发动态约束,对应的资源约束从pro≤s(P1 write_size=pro,Shared data size1=s)转变为pro≤s(P1 write_size=pro,Shared data size2=s),系统设计违反动态约束,分区1立即进入故障状态,由于状态关联,依次使得分区2、3、4、5故障;
情况6)综合了2)和5)的动态过程,既发生共享资源故障,又发生了系统Shareddata error event事件,触发了动态约束,且该系统设计不满足动态约束,最终导致分区1、2、3、4、5故障;
情况7)中,综合了3)和5)的动态过程,既发生了分区3故障,又发生了系统Shareddata error event事件,最终导致分区1、2、3、4、5故障;
情况8)综合了4)和5)的动态过程,既发生了分区3故障且恢复的事件,又发生了系统Shared data error event事件。这种情况下,虽然分区2、3、4、5均能运行,但由于接收的数据错误,这些分区的数据处理结果也是错误的,从系统任务实现角度来看,所有分区处在故障状态。
综上所述,该系统设计存在问题:
1.共享资源故障后缺少故障恢复;
2.动态约束方面,共享数据区与分区1写操作存储空间配置不合理。
对应的设计建议:
1.需要制定共享资源故障恢复策略,使系统在一定时间内及时对共享资源故障进行处理;
2.合理配置共享数据区可用存储空间与分区1写操作存储空间,使其同时满足资源约束和动态约束。

Claims (1)

1.一种针对IMA资源共享机制的状态关联动态分析方法,其特征在于:它包括以下几个步骤:
步骤一:确定综合模块化航空电子IMA系统对象,并利用嵌入式实时系统体系结构分析与设计语言AADL对IMA系统共享机制进行建模:
AADL标准包括文本、图形、XML交换格式和附件库;AADL组件分为三类:应用软件、硬件和系统组件,可执行二进制代码和数据通过软件组件来描述,它包括:进程、线程、线程组、数据和子程序;硬件组件描述了处理资源和软件的绑定关系,也描述了处理资源和硬件的绑定关系;处理器、存储器、总线和设备构成了系统组件;在AADL附件中,ARINC653附件提供了针对符合ARINC653标准及相似分区的系统架构的建模方法;
步骤二:通过模型转化,将AADL模型转化为CGSPN模型:
首先引入着色的广义随机Petri网即GCSPN,该GCSPN是一个9元组:
GCSPN=(P,T,C,Π(.),I(.),O(.),H(.),W(.),M0,Y) (1)
其中:
P:有限库所集;
T:变迁集,包括时间变迁和瞬时变迁,
C:颜色集,C={C1,...,Cn}且
Π(.):变迁优先级函数;
I(.),O(.),H(.):输入弧函数,输出弧函数,抑制弧函数;
W(.):变迁上的权函数,定义了变迁触发概率分布;
M0:系统初始化状态标记;
Y:变迁上依赖标记的权函数;
对GCSPN进行模型适应改进,得到改进的着色广义随机petri网即CGSPN模型:
1.定义库所表示为系统组件状态;
2.定义颜色集表示系统组件属性;分区颜色集定义形式为:colset partition=product P*partition_property*STATE*REAL timed;共享资源颜色集定义形式为:colsetRESOURCE=product R*resource_property*STATE*P timed;
其中:colset为颜色集标识符,product为笛卡尔乘积,partition和RESOURCE为颜色集名,P为分区标识符,R为资源标识符,partition_property和resource_property为分区和资源属性,STATE为状态标识符,REAL为时间记录;
3.定义时间变迁为有时间延迟的系统事件,瞬时变迁为瞬时事件;扩展时间变迁上的时间延迟分布函数类型,包括指数分布、正态分布;
步骤三:将系统设计约束加入到CGSPN模型中:
在多约束分析方面,将约束限定为IMA系统共享机制下存在的约束集合,包括:
1 功能约束,功能指的是系统任务,功能由一个及多个软件完成,它的实现需要通过对一系列的资源进行组织和操作,功能约束与功能需求、非功能需求紧密联系,功能约束通过以下方法构建,将功能约束映射到资源约束:
1)确定系统的功能;
2)确定实现系统功能所需要的系统组件或者系统软件;
3)确定每个系统组件或者系统软件的资源使用要求,即资源约束;
典型的功能约束包括实时性需求、任务执行顺序、分区应用执行频率;
2 资源约束,该资源约束主要针对IMA系统中被共享的软硬件资源,资源约束包括存储能力,数据传输带宽,资源的时效性;
3 动态约束,IMA系统运行时,存在系统事件,使得约束动态变化;动态约束为系统事件发生时动态改变的资源约束;基于上述提出的功能约束、资源约束及动态约束,将资源约束和动态约束以守卫函数的形式加入到CGSPN模型;资源约束的约束表达式表示为守卫函数;动态约束的实现是通过手工修改CGSPN模型中定义的相关属性值及约束表达式;而功能约束的实现是通过仿真结果与预定义的功能约束进行比较;
步骤四:针对CGSPN模型进行模型仿真分析:
通过CGSPN模型仿真,得出共享资源故障会关联到的系统组件;验证系统设计是否正确;
通过以上步骤,达到了IMA系统状态关联分析的目的,所建的CGSPN模型仿真充分考虑到了系统状态关联的动态行为:1.能够分析资源故障后恢复是否会影响系统故障状态关联,即分析资源故障后恢复是否会导致系统其它部件进入故障状态;2.能够分析系统设计是否满足动态约束;
在步骤二中所述的“通过模型转化,将AADL模型转化为CGSPN模型”的具体作法如下:
将基于AADL的资源共享模型转化为改进的着色广义随机petri网即CGSPN模型,定义了相应的模型转化规则,符号->左边为AADL模型元素,右边为改进的CGSPN模型元素;
规则1:分区即partition,处理器即processor,虚拟处理器即virtual processor,共享资源即shared resources,故障状态即error state,->库所即place;
分区包括以下几个状态:初始化状态、请求资源状态、获取资源状态、运行状态、故障状态、计算完毕状态;每个分区与一个虚处理器即virtual processor进行绑定,对于IMA单核系统,分区运行时独占一个处理器即processor;共享资源有如下状态:正常状态和故障状态;另外将AADL中的错误状态直接定义为place;
规则2:通信行为即communicate behavior,分区调度即partition scheduling,数据访问即access to data,错误行为即error behavior,->变迁即transition;
将分区间通信转化为CGSPN中的变迁,每个变迁表示一个通信行为,表示分区间的交互关系;
将分区调度转化为调度变迁,控制每个分区开始运行的时间点,这里将分区调度机制加入变迁与库所结构,并辅以分区调度的颜色集,对分区调度进行控制;具体实现为定义schedule()函数加入到模型,函数以pi为分区i,ti为分区i的时间窗,其形式为:
fun schedule(par)=case par of
p1=>t1
|p2=>t2
|p3=>t3;
以上函数意为:给分区pi分配ti的时间窗;
当系统对共享数据资源进行操作时,需要在CGSPN模型中以变迁来控制系统行为,因此将AADL中access to data的元素转化为对于共享数据进行操作的变迁;
AADL的错误附件中定义了错误行为,包括故障事件触发系统及其部件发生故障,恢复模式recovery事件触发系统及其部件故障恢复,此处将AADL中的错误行为转化为变迁,并加入错误行为事件的发生概率;
另外分区状态转化在CGSPN模型中也被定义为变迁;
规则3:分区属性即property of partitions,数据属性即property of data,开始时间即start time,系统时间即system time,分区状态即state of partitions,->托肯即token;
将分区和共享数据的属性,分区运行的开始时间以及系统时间,转化为当前系统状态的托肯;同时系统中分区状态也作为一个托肯作为分区状态的标记,记录分区是否故障;
规则4:故障事件的发生概率分布即occurrence distribution of error event,->变迁的概率函数即function of transition;
错误模型中错误事件的发生概率分布转化为时间变迁的随机时延函数及瞬时变迁的发生概率函数;
规则5:系统的多约束即multiple constraint in system,->守卫函数即guardfunction;
将针对共享资源设计的多约束条件转化为守卫函数,加入到CGSPN模型中。
CN201611049009.7A 2016-11-23 2016-11-23 一种针对ima资源共享机制的状态关联动态分析方法 Active CN106598766B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611049009.7A CN106598766B (zh) 2016-11-23 2016-11-23 一种针对ima资源共享机制的状态关联动态分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611049009.7A CN106598766B (zh) 2016-11-23 2016-11-23 一种针对ima资源共享机制的状态关联动态分析方法

Publications (2)

Publication Number Publication Date
CN106598766A CN106598766A (zh) 2017-04-26
CN106598766B true CN106598766B (zh) 2019-08-06

Family

ID=58593197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611049009.7A Active CN106598766B (zh) 2016-11-23 2016-11-23 一种针对ima资源共享机制的状态关联动态分析方法

Country Status (1)

Country Link
CN (1) CN106598766B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110263371B (zh) * 2019-05-13 2020-10-02 北京航空航天大学 基于aadl的ima动态重构过程配置路径生成方法
CN112115022B (zh) * 2020-08-27 2022-03-08 北京航空航天大学 基于aadl的ima系统健康监控的测试方法
CN113011052B (zh) * 2021-03-26 2022-07-05 山东建筑大学 基于带抑制弧pres+网的移动通信系统仿真方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010009127A (ja) * 2008-06-24 2010-01-14 Toshiba Corp 管理プログラムおよび管理装置
CN103268273A (zh) * 2013-05-24 2013-08-28 北京航空航天大学 一种功能解析和机理分析的故障判据确定方法
CN105608247A (zh) * 2015-11-11 2016-05-25 北京航空航天大学 面向ima资源安全性分析的aadl到ecpn模型转换方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010009127A (ja) * 2008-06-24 2010-01-14 Toshiba Corp 管理プログラムおよび管理装置
CN103268273A (zh) * 2013-05-24 2013-08-28 北京航空航天大学 一种功能解析和机理分析的故障判据确定方法
CN105608247A (zh) * 2015-11-11 2016-05-25 北京航空航天大学 面向ima资源安全性分析的aadl到ecpn模型转换方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Transformation rules from AADL to improved colored GSPN for integrated modular avionics;Rongbin Han等;《2016 11th International Conference on Reliability,Maintainability and Safety(ICRMS)》;20161028;全文

Also Published As

Publication number Publication date
CN106598766A (zh) 2017-04-26

Similar Documents

Publication Publication Date Title
CN108376221B (zh) 一种基于aadl模型扩展的软件系统安全性验证与评估方法
CN108737187A (zh) 一种can总线故障模拟系统及故障模拟方法
CN105701277B (zh) 一种基于aadl建模的航电系统架构实时性分析方法
CN102523030B (zh) 通信卫星有效载荷测试系统仿真平台
CN108108329B (zh) Ima系统动态重构策略多特性分析方法
CN106598766B (zh) 一种针对ima资源共享机制的状态关联动态分析方法
CN103823748B (zh) 一种基于随机Petri网的分区软件可靠性分析方法
CN108536972B (zh) 基于自适应智能体的复杂系统可靠性仿真方法及系统
Feiler Model-based validation of safety-critical embedded systems
Stewart et al. Safety annex for the architecture analysis and design language
Höfig et al. ALFRED: a methodology to enable component fault trees for layered architectures
Zhao et al. Safety assessment of the reconfigurable integrated modular avionics based on STPA
Ammar et al. A methodology for risk assessment of functional specification of software systems using colored Petri nets
Edifor et al. Using simulation to evaluate dynamic systems with weibull or lognormal distributions
Mian et al. Model transformation for analyzing dependability of AADL model by using HiP-HOPS
Wang et al. Integrated modular avionics system safety analysis based on model checking
Han et al. A novel model-based dynamic analysis method for state correlation with IMA fault recovery
Barbuti et al. A notion of non-interference for timed automata
Wei et al. QaSten: Integrating quantitative verification with safety analysis for AADL model
CN107038086A (zh) 安全计算机平台热备控制逻辑安全分析方法
Debbi et al. Causal analysis of probabilistic counterexamples
CN106650945A (zh) 一种基于证据合成理论的软件体系结构安全性评估方法
da Fontoura et al. Timing assurance of avionic reconfiguration schemes using formal analysis
Zhang et al. A TFPG-Based Method of Fault Modeling and Diagnosis for IMA Systems
Salomon et al. Automatic safety computation for IMA systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant