CN107526865A

CN107526865A - 基于aadl的面向cps的建模方法

Info

Publication number: CN107526865A
Application number: CN201710514114.1A
Authority: CN
Inventors: 曹雪岳; 李揭阳; 张福高
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2017-06-29
Filing date: 2017-06-29
Publication date: 2017-12-29
Anticipated expiration: 2037-06-29
Also published as: CN107526865B

Abstract

本发明公开基于AADL的面向CPS的建模方法，首先，对AADL的基本建模元素、建模流程进行梳理，对CPS系统特点、建模需求进行分析，得到AADL对CPS中数据和并发、不确定关系缺乏形式化描述的不足；接着，基于形式化规格说明语言Z对AADL行为附件进行补充，为AADL添加对变量约束的Z模式，对数据进行形式化的描述来对其进行约束，实现对CPS中大量数据变量的约束；最后，基于进程演算对AADL进行扩充，为AADL添加并发、不确定以及动作约束算子的形式化描述，对动态并发、不确定的因素进行建模，提出体系结构建模规范。该方法提出的建模规范为后续模型的形式化验证，获得高可靠性的系统模型打下坚实的基础。

Description

基于AADL的面向CPS的建模方法

技术领域

本发明属于一种面向信息物理融合系统的建模方法，尤其是一种基于AADL 的面向CPS的建模方法。

背景技术

作为物联网的演进，信息物理融合系统(Cyber Physical System,CPS)自提出以来就得到国内外的广泛关注，与传统的复杂嵌入式实时系统及混成系统相比， CPS更加注重计算过程与物理过程的实时有效交互，子系统之间的交互日益紧密，并且CPS在信息系统与物理系统交互过程中产生大量的数据、动态和不确定因素。随着对CPS研究的深入，基于形式化方法对CPS进行建模和验证正在成为热门的研究方向，对于CPS的建模主要关注系统的安全性、可靠性以及并发性等方面，但目前针对CPS的建模都只是关注在CPS的某些特性进行建模描述，因此找到一种适合CPS系统模型的建模方法十分迫切。

发明内容

本发明旨在克服现有技术的不足，提供一种基于AADL的面向CPS的建模方法，本发明结合CPS系统的特点，提出一种基于AADL的面向CPS的形式化建模方法。

本发明提供的一种基于AADL的面向CPS的建模方法，该方法包括以下步骤：

步骤一，首先，对航空标准AS5506即AADL的基本建模元素、建模流程进行梳理，并对信息物理融合系统CPS系统特点、建模需求进行研究分析，归纳得到AADL对CPS中大量数据和并发、不确定关系缺乏形式化描述的不足；

步骤二，接着，基于形式化规格说明语言Z对AADL行为附件进行补充，为AADL添加对变量约束的Z模式，对数据进行形式化的描述来对其进行约束，实现对CPS中大量数据变量的约束；

步骤三，最后，基于进程演算对AADL进行扩充，为AADL添加并发、不确定以及动作约束算子的形式化描述，对动态并发、不确定的因素进行建模，提出一种能够描述CPS系统行为的体系结构建模规范CPS-AADL。

所述CPS的建模需求具体包括：

1)系统结构建模需求，CPS的架构级建模主要系统的硬件架构和软件架构两个方面对系统进行设计，架构级设计是整个系统设计的基础；

2)数据约束建模需求，CPS以数据为中心，CPS计算系统和物理系统交互过程中产生大量数据，各个层级的构件与子系统都围绕数据融合向上提供服务，最终得到全面精确的事件信息；对应AADL建模规范中没有对数据约束形式化描述的部分；

3)并发行为建模需求，CPS不同子系统之间存在较多并发及不确定选择行为，对CPS建模时关注事件间的同步与异步关系。

所述AADL的基本建模元素定义了3类构件，包括软件构件、执行平台构件以及系统构件。

所述对数据进行形式化规格说明语言Z的描述具体为：首先对行为附件的状态空间进行描述，接下来运用Z模式的操作模式对行为附件的状态迁移进行描述。

所述基于进程演算对AADL进行扩充，为AADL添加并发、不确定以及动作约束算子的形式化描述具体为：定义并发算子、标号迁移系统、并发算子的操作语义、动作约束算子、动作约束算子的操作语义、不确定选择算子、动作约束算子的操作语义。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

本发明结合CPS中具体的实例对提出的建模方法进行说明和可行性分析。面向CPS对AADL建模元素进行扩充，提出一种面向CPS的建模规范—— CPS-AADL，为后续模型的形式化验证，获得高可靠性的系统模型，开发大规模复杂、安全可靠的CPS系统打下坚实的基础。

附图说明

以下将结合附图对本发明作进一步说明：

图1为本发明基于AADL的面向CPS的建模方法流程图；

图2为飞行导航系统示意图；

图3为飞行导航系统的模式逻辑图；

图4为飞行导航系统的顶层CPS-AADL模型图；

图5为FGS系统构件的CPS-AADL模型。

具体实施方式

本发明的实施提供一种基于AADL的面向CPS的建模方法，为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和具体实施方式对本发明作进一步详细描述。通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本发明结合CPS系统的特点，提出一种基于AADL的面向CPS的形式化建模方法。

一、建模与验证框架

首先，对AADL的基本建模元素、建模流程及CPS系统特点、建模需求进行研究分析，总结AADL对CPS软硬件体系结构建模的优点，以及对CPS中大量数据和并发、不确定关系缺乏形式化描述的不足。

接着，基于形式化规格说明语言Z对AADL行为附件进行扩充，为AADL 添加对变量约束的Z模式，对数据进行形式化的描述来对其进行约束，从而实现对CPS中大量数据变量的约束。

最后，基于进程演算对AADL进行扩充，为AADL添加并发、不确定以及动作约束算子的形式化描述，对动态并发、不确定的因素进行建模，提出一种能够描述CPS系统行为的体系结构建模规范CPS-AADL。首先给出基于AADL的 CPS建模流程，如图1所示。

二、建立模型

1.CPS建模需求

CPS将计算、通信与具体的物理实体联系起来，实现计算与物理世界的紧密融合，由异构的计算系统、控制系统和物理实体以及通信网络有机融合而成，因此CPS对系统的安全性和可靠性有着极高的要求。对CPS建模时既需要满足对物理系统的建模需求还需要满足对信息系统的建模需求，这就需要一个既支持物理系统建模、信息系统建模，又支持两者之间交互的建模规范。CPS的具体建模需求如下：

(1)系统结构建模需求。CPS的架构级建模主要系统的硬件架构和软件架构两个方面对系统进行设计，架构级设计是整个系统设计的基础。

(2)数据约束建模需求。CPS以数据为中心，CPS计算系统和物理系统交互过程中产生大量数据，各个层级的构件与子系统都围绕数据融合向上提供服务，最终得到全面精确的事件信息。对应AADL建模规范中没有对数据约束形式化描述的部分。

(3)并发行为建模需求。CPS不同子系统之间存在较多并发及不确定选择行为，因此对CPS建模时，应注意事件间的同步与异步关系，当共享资源的多个不同优先级的任务并发执行时，可能会造成优先级倒置和死锁，使整个系统崩溃。

因此，根据CPS的建模需求，AADL原有规范对CPS系统中数据约束和并发行为方面缺乏形式化描述，因此对AADL建模规范进行扩充，加入Z语言和进程代数的思想，从而建立起特定的针对CPS的建模规范CPS-AADL对CPS进行建模。

2.AADL建模元素

AADL语法简单、功能强大，且支持良好的可扩展性，并且能够对嵌入式实时系统的软、硬件体系结构进行设计与分析，对系统的功能与非功能性质添加描述，将系统设计、分析、验证、自动代码生成等关键环节融合于统一框架之下。由于在嵌入式实时系统建模与分析方面的出色表现以及在各个领域广阔的应用前景，AADL迅速得到了学术界、工业界的支持和研究。AADL通过构件、连接等概念描述系统的软、硬件体系结构；通过特征、属性描述系统功能与非功能性质；通过模式变换描述运行时体系结构演化；通过用户定义属性和附件支持可扩展。AADL定义了3类构件：软件构件、执行平台构件以及系统构件。AADL 中构件汇总如表1所示。

表1 AADL建模元素

3.形式化规格说明语言Z

20世纪80年代，英国牛津大学程序研究组的Jean Raymond Abrial等人提出了Z语言，软件形式规格说明语言Z是基于一阶谓词逻辑和集合论的形式化语言，用于数据结构、状态空间和整体转换的规范，后来Z语言不仅应用在学术研究中，在具体工程实践项目中也得到广泛的应用。

Z语言的核心是Z模式，Z模式用于指定系统数学建模的状态空间和操作，使用Z模式让规范说明变得结构化和模块化。一个模式由一些变量的声明和限制这些变量值的谓词两部分组成。例如，下面的模式A中包含一个符号x，x是集合S中的一个元素，并且满足谓词p。

Z模式有垂直和水平两种形式，垂直模式更加简洁明了，垂直型的模式通用式定义如下：

其中S为模式名称，D₁,...,D_m为声明部分，P₁,...,P_n为谓词部分，对应的水平模式表为：

4.带数据约束的AADL建模规范

CPS以数据为中心，计算系统和物理系统在交互过程中产生大量数据，通过数据融合将数据从物理世界向上层用户传递信息服务，数据沿着体系结构的物理世界接口到用户的路径上不断提升抽象级，为最终用户提供精确的信息描述。因此通过对数据的形式化描述来实现数据约束很有必要，基于Z语言的形式化规格说明，对AADL建模规范进行扩充，将Z语言引入AADL对模型中的变量添加形式化描述。在基于Z语言对AADL进行数据约束的扩充描述时，我们选取 AADL的子集作为研究对象，AADL中行为附件中包括状态和状态变迁等，适合于用形式化规格说明Z语言进行形式化描述。

首先对行为附件的状态空间进行描述。

该模式用来描述AADL中构件的一个状态空间，其中，x₁,...x_n表示行为附件中状态空间包含的所有变量，指示某个唯一状态，S₁,...,S_n表示x₁,...x_n所取数据类型的可能值，在状态模式中，一个类型是一个给定的集合，任何一个新变量在被使用之前必须以一个类型来进行说明，约束变量的取值范围。Inv(x₁,...,x_n)描述当前状态空间的状态不变量，它将系统生命周期中所有状态可能出现的的变量关联起来。

接下来运用Z模式的操作模式对行为附件的状态迁移进行描述。

该模式用来描述AADL构件行为附件的状态迁移，其中，i₁？,...,i_m？表示状态转换的输入变量，对条件guard的变量输入来描述，o₁！,...,o_p！为状态转换结束时的输出变量，对输出

action的变量来描述，前置条件是Pre(i₁？,...,i_m？,x₁,...,x_n)。从状态Inv(x₁,...,x_n)到 Inv(x₁',...,x'_n)的状态转换用谓词Op(i₁？,...,i_m？,x₁,...,x_n,x₁',...,x'_n,o₁！,...,o_p！)描述。

通过用Z模式对AADL行为附件中状态空间和状态迁移进行描述，实现 AADL基于Z模式的扩充，能够对系统交互中产生的大量数据添加数据约束关系，得到匹配CPS建模需求的带数据约束的AADL建模规范。带数据约束的 AADL对系统交互过程中产生大量数据进行形式化的描述，能够更形式化地描述模型中的状态集合、状态变迁、数据约束的性质。

5.带并发的AADL建模规范

在构件的形式化语义研究的基础上，结合AADL软件构件的特点，引入进程代数中进程并发的概念来描述构件之间的并发，基于进程演算给出了并发、动作约束以及不确定选择算子的语法和操作语义定义，并给出复合构件及其接口行为的行为语义，通过引入并发算子来灵活简便地集成软件构件，通过动作约束算子的定义生成功能更强和抽象级别更高的外部接口。下面给出AADL行为附件中并发算子以及变量约束算子的具体定义。

定义1并发算子||

P＝P₁||P₂

其中，P₁,P₂为软件构件，也就是AADL中的线程、线程组、进程、进程组以及系统构件。并发算子描述P₁||P₂表示P₁和P₂并发执行，基于进程代数中进程的思想，两个并发的构件动作集合中的一般动作a与其补动作同步执行，同步后产生内部动作τ，而两个构件的其它动作则各自异步执行。

定义2在给出操作语义之前，给出标号迁移系统的定义

标号迁移系统是一个三元组，其中S代表状态集合，Γ代表迁移标号集合，二元关系集合表示状态之间的迁移。

进程是进程代数中最基本的概念，进程代数中定义二元关系集合来描述进程的迁移。如若进程代数中存在迁移且α动作是属于进程P的动作集合Act_P，则表示进程P能够执行动作α演变为进程P'。

类似地，在AADL模型中用二元关系集合描述构件行为附件中状态迁移的集合。如线程构件pro1行为附件中的描述，当构件处于state₀状态时能够执行动作a迁移到state₁状态，此时状态迁移其中a∈Γ且state₀,state₁∈S。

基于进程代数中对并发进程的处理思想，对应AADL中线程以及进程构件行为附件中迁移系统的定义与进程代数中进程迁移的定义类似。有了迁移系统的定义就可以对并发算子的操作语义进行定义，如下：

定义3并发算子的操作语义为：

引入了并发的概念，即可在AADL中添加抽象语法描述构件之间的并发：

引入了并发算子，即可对AADL中存在交错并发关系的构件进行描述。如若两个线程构件thr1和thr2的并发组成进程构件pro1可以表示为

pro1＝thr1||thr2

同样的，存在并发关系的进程构件组合成系统构件可以用并发算子描述为

sys1＝pro1||pro2

存在并发关系的系统子构件组合成系统构件可以用并发算子描述为

sys＝sys1||sys12

定义了并发算子即可对CPS中并发关系添加描述。

定义4动作约束算子\

P＝P₁\L

其中P₁代表软件构件，P₁\L表示动作集合L中的动作为构件P的内部动作，即外部不可见动作。两个构件之间交互动作，在外部构件看来不可见，可以实现动作隐藏，生成功能更强和抽象级别更高的外部接口。

定义5动作约束算子\的操作语义为：

引入了动作算子，即可实现AADL中组合构件的内部动作的隐藏。如上述两个线程构件thr1和thr2的并发组成进程构件pro1，其中互补动作a和为线程构件thr1和thr2的交互动作，生成内部动作τ，此时可以将构件pro1实现动作隐藏，用动作约束算子表示为

pro＝pro\{a}

实现动作a对外部的隐藏，成为构件pro1的内部动作，实现以黑盒的角度观察构件的行为，生成功能更强和抽象级别更高的外部接口。同样的，针对上节的实例中可以用动作约束算子对组合构件实现动作隐藏。

引入了内部动作约束的概念，在AADL中添加抽象语法描述构件中的内部约束动作：

pro＝pro\{a}

定义6不确定选择算子+

其中P_i代表软件构件，表示不确定组合，即

定义7动作约束算子+的操作语义为：

引入了不确定选择算子的概念，在AADL中添加抽象语法描述构件中的不确定选择关系：

引入了复合的不确定选择算子，即可实现AADL中存在不确定选择关系的构件进行描述。如若两个进程构件pro1和pro2之间是通过不确定选择组合成系统构件sys1，此时可以构件sys1用不确定选择算子表示为

sys1＝pro1+pro2

实现构件之间的不确定组合。同样的，在下面的实例中可以看到用不确定组合算对构件进行组合。

用Z规格说明语言对AADL行为附件中的数据约束实现形式化的描述，来对CPS中大量的数据进行描述，将进程代数的思想引入AADL，对AADL进行并发、动作约束以及不确定选择算子的扩充，实现对CPS中构件之间并发行为的建模，将进程代数的思想和Z语言引入AADL，从而建立起针对CPS的建模规范CPS-AADL。

实施例

本实施例选择典型的喷气飞机的航电系统作为具体实例进行研究，用提出的基于AADL的建模与验证框架对飞行导航系统进行建模验证。

1.飞行导航系统

喷气式飞机的航电系统安全性至关重要且其本身固有的复杂性，飞行导航系统(Flight Guidance System,FGS)是整个飞行控制系统的一部分，是一个典型的 CPS系统，飞行导航系统将飞机的当前状态(位置、速度、高度等)与期望状态相比较，从而产生俯仰和侧滚的导航命令来减少当前状态与期望状态两者之间的差距。飞行导航系统是负责从各类传感器获取飞行状态、飞行环境的数据，并产生用于飞行控制系统的侧滚和俯仰引导值的软件核心功能，飞行导航系统有两个物理通道，其中一个作为另一个的热备份，每一通道都可以分为模式选择和控制律两部分。图2给出了飞行导航系统一个通道及其接口的抽象描述，另一个通道与图示相同，作为热备份同时工作，保证系统安全。

飞行导航系统最核心的部分是模式控制逻辑，系统根据传感器发送而来的数据、飞行管理系统传送的命令以及飞行员发送的需求而选择进入合适的模式，模式选择模块决定飞机飞行所处的横向与侧向模式以及附加的飞行引导、自动飞行模式。而对于指定模式，控制律产生相应的飞行导航的俯仰与侧滚动作，向各个执行部件发送不同的操作命令以调整飞机的飞行状态。因此，飞行导航系统的研究建模核心就是对模式控制逻辑部分的建模。

附加模式Flight Director为飞行指引模式，飞行员按下飞行控制面板(PFD) 上的FD按钮时，且各个传感器传送数据达到进入该模式要求时，进入飞行指引模式，该模式处于激活状态。Auto Pilot为自动飞行模式，当飞行员按下PFD上的AP按钮，飞机进入自动飞行模式，此时飞行导航系统安装既定的飞行标准指导飞机飞行，自动驾驶接管飞机，无需飞行员介入，当需要调整飞行数据时，再次按下AP按钮，取消该模式。图4给出了飞机飞行中所有可能处于的模式。

横向模式包括侧滚保持(Roll Hold,ROLL)、航向保持(Heading Hold,HDG)、导航(Navigation,NAV)、侧向进近(Lateral Approach,APPR)、侧向复飞(Lateral Go Around,GA)。侧滚保持指飞机保持特定的横向飞行倾斜角作为默认的操作模式。当FGS处于工作状态，且没有其他的横向模式被激活，则侧滚保持模式作为默认的横向模式且处于激活状态；航向保持指飞机将沿着PFD上显示的航向飞行。通过按下FCP上的HDG按钮以手动的选择该模式；导航模式指在飞行途中和非准确的进近中使用。飞机将获得并沿着PFD上显示的航向飞行。通过按下FCP上的NAV按钮以手动的选择该模式；进近模式指当飞机尝试捕捉特定的导航源，该模式被用来精确的进近。该模式需要手动的按下FCP上的APPR按钮以选定；复飞模式指飞机将保持预定的基准航向。飞行机组人员通过受到按下控制杆上的GA按钮以选择。这些模式控制了水平轴或侧滚有关的引导信息。垂直模式包括俯仰(Pitch,PTCH)、垂直速度(Vertical Speed,VS)、高度选择(Altitude Select,ALT)、垂直进近(VerticalApproach,APPR)和垂直复飞(Vertical Go Around, GA)，与横向模式类似，这些模式控制了竖直轴或俯仰有关的引导信息。以上提到的模式都与一个或多个控制律有关。

飞行导航系统中模式逻辑和飞行控制律模块之间，以及各个飞行模式之间存在着附加的交互关系，信息系统和物理系统在交互过程中大量的数据约束，接收传感器的输入数据，经过处理将操作命令传送给执行部件。飞行导航系统是一个典型的CPS系统，因此在明确了飞行导航系统的功能和建模需求之后，运用 CPS-AADL模型对其进行建模，并通过模型转换对飞行导航系统进行验证和分析，下面其给出建模、模型转换及模型检测的具体过程。

2建立CPS-AADL模型

对飞行导航系统用扩充后的AADL建模规范进行建模，将输入输出模块进行简化，原飞行导航系统的输入接口有姿态航向参考系统(AHRS)、大气数据系统(Air Data)、飞行管理系统(FMS)、导航无线电(NavRadio)等，现将输入模块抽象为Sensor构件，给出飞行导航系统所需的飞行状态相关的所有输入。飞行导航系统的输出调整飞机各个部件的动作，现将所有导航部件抽象为 Actuator构件，接收飞行导航系统的输出动作。飞行导航系统的顶层AADL图形化模型如图4所示。模型对飞行导航系统的硬件设备进行了抽象，将传感器执行器均抽象为一个设备构件。

飞行导航系统的系统构件FGS包含模式选择(mode_logic)和控制律 (control_law)两个子进程构件，以及构件之间的端口连接组成，两者同步动作互补，其余动作交错并发执行，用引入的并发算子进行描述，可以看出发送和接收mode_data数据的动作是FGS构件的内部动作，用引入的动作约束算子描述，飞行导航系统的系统构件FGS可以描述为：

FGS＝(mode_logic||control_law)\L

其中，L为发送mode_data的动作，及其接收的补动作组成的内部动作。

如图5示，系统构件FGS包含模式选择(mode_logic)和控制律(control_law) 两个子进程构件，图中可以看出两者之间的交互并发关系及FGS的内部约束变量。

飞行导航系统包含十几种模式，对应存在较多的线程构件，以FD线程构件为例子对FGS中线程构件的CPS-AADL建模进行说明，FD线程构件CPS-AADL 的文本模型为：

线程进程构件FD从获得的current_data参数，以及FD按钮状态FD_button 作为输入参数传入，并将选择的模式FD输出显示。对线程构件FD进行分析，线程中的行为附件引入的变量用Z语言对其状态及状态进行规格化描述如下：

状态s0:

状态s1:

状态迁移Op1：

状态迁移Op2：

其中，MODE代表所有模式的集合。

以上对飞行导航系统用扩充了进程代数的AADL建模规范进行描述，由于系统的复杂性，列举FGS系统构件、mode_logic系统构件、LM进程构件以及 FD线程构件作为系统建模的例子进行阐述，并用规格说明语言Z对构件的状态及变迁给出形式化的说明，为后续模型检测及验证工作打下基础。

本技术领域技术人员可以理解的是，除非另外定义，这里使用的所有术语包含技术术语和科学术语具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

Claims

1.基于AADL的面向CPS的建模方法，其特征在于，该方法包括以下步骤：

2.根据权利要求1所述的基于AADL的面向CPS的建模方法，其特征在于，所述CPS的建模需求具体包括：

3)并发行为建模需求，CPS不同子系统之间存在并发及不确定选择行为，根据事件间的同步与异步关系对CPS建模。

3.根据权利要求1所述的基于AADL的面向CPS的建模方法，其特征在于，所述AADL的基本建模元素定义了3类构件，包括软件构件、执行平台构件以及系统构件。

4.根据权利要求1所述的基于AADL的面向CPS的建模方法，其特征在于，所述对数据进行形式化规格说明语言Z的描述具体为：首先对行为附件的状态空间进行描述，接下来运用Z模式的操作模式对行为附件的状态迁移进行描述。

5.根据权利要求3所述的基于AADL的面向CPS的建模方法，其特征在于，所述基于进程演算对AADL进行扩充，为AADL添加并发、不确定以及动作约束算子的形式化描述具体为：定义并发算子、标号迁移系统、并发算子的操作语义、动作约束算子、动作约束算子的操作语义、不确定选择算子、动作约束算子的操作语义。