CN108363631A - 一种从RSML-e模型转换到NuSMV模型的转换方法 - Google Patents

Abstract

本发明提供了一种从RSML^‑e模型转换到NuSMV模型的转换方法包括如下步骤：一、对待评估系统进行需求形式化分析，并构建RSML^‑e模型；二、根据转换方法，将所述RSML^–e模型转换为NuSMV模型。本发明的有益效果是：在从RSML^‑e模型转换到NuSMV模型的转换方法中，根据RSML^–e模型与NuSMV模型的各自的语法特征，将RSML^–e模型中定义的类型、变量、宏、时态等转换成NuSMV语言格式，即将RSML^‑e模型转换成NuSMV模型，从而将需求状态分析和符号模型检测器结合起来，使得可使用NuSMV工具对系统的安全性属性进行验证，找出需求中不正确或者二义性的需求，提高系统的安全性。

Description

一种从RSML-e模型转换到NuSMV模型的转换方法

技术领域

本发明属于系统安全可靠性技术领域，具体为一种从RSML-e模型转换到NuSMV模型的转换方法。

背景技术

模型检测是一种形式验证技术，它允许通过穷尽探索状态空间检测模型的属性，例如安全性、活性、功能性等。这使得属性的检测高度自动化和简单化。然而，状态空间爆炸限制了可分析模型的规模。显式状态模型检测器，如SPIN，表示访问过的状态，模拟的状态数量也按比例的同时增长。符号模型检测器以符号表示状态空间，常采用二元决策图(BDD)。这两种方法是由状态空间的大小限制的，但符号模型检测器通常比显式状态模型探索空间更大。在模型检测过程中，若模型的状态空间有限，搜索可终止时，检测工具会根据属性的正确性给出相应结果，若属性经验证是正确的，那么检测结果会提示正确，否则会给出一个反例路径，以表示该属性错误。

形式化分析的起点是形式化的规范语言。RSML(需求状态机语言)是一种基于状态的规范语言，为过程控制系统的行为进行建模，由南希Leveson的小组在加州大学欧文分校开发。RSML的主要设计目的是对于非计算机专业人员的可读性和可理解性，如最终用户，涉及该领域的工程师，管理者和监管机构的代表等。RSML曾被用来指定TCAS-II需求，它的规范最终通过了美国联邦航空局审核并，并作为TCAS-II的官方规范。而且，RSML^–e是基于RSML语言开发出来的，其与RSML语言的不同之处主要在于RSML^–e支持环境和控制软件交互的严格规范。

NuSMV是一种符号模型检测器，其从卡内基梅隆大学(CMU)版本的SMV模型检测器演变而来，是基于BDDS重新实现的SMV的扩展。因此，其基本执行思路是将模型状态空间用符号化的形式和二元决策图(BBD)来存储和处理。NuSMV能够对分层法所描述的需求进行建模，同时也定义了可重用组件。该符号模型检测器能够验证利用时序逻辑CTL(计算树逻辑)和LTL(线性时序逻辑)表示的属性。在验证的执行过程中，工具将穷举该系统的所有状态空间，最终验证属性的正确性或者在状态空间中找出反例来例证属性的不正确性。NuSMV的输入语言被设计为允许描述处于各种抽象级别的同步或异步有限状态机，其语言使用的关键字有MODULE，VAR，IVAR，DEFINE，ASSIGN，TRANS，INVAR和SPEC。MODULE表示可重用的模块；VAR及IVAR用于变量声明，其中IVAR仅定义输入变量；DEFINE用于常量的符号表示；ASSIGN和TRANS2用于关系转换的指定；INVAR用于定义系统不变量；SPEC用于定义用时序逻辑表示的系统属性。

虽然RSML^–e具有很好的可读性和可理解性，是非专业人员和专业人员之间很好的沟通工具，但是RSML^–e不具有可执行性，用RSML^–e建立出来的模型不能进行模型检验。而NuSMV是一种符号化的模型检验工具，它可以可靠地用于工业设计的验证，作为用于自定义验证的核心工具，还能够适用于其他的研究领域。因此，为了能够实际检测系统的安全性属性，研究从RSML^–e模型到NuSMV模型的转换就显得很有必要。

发明内容

本发明的目的在于针对现有技术的缺陷或问题，提供一种从RSML^-e模型转换到NuSMV模型的转换方法。

本发明的技术方案如下：一种从RSML^-e模型转换到NuSMV模型的转换方法包括如下步骤：一、对待评估系统进行需求形式化分析，并构建RSML^-e模型；二、根据转换方法，将所述RSML^–e模型转换为NuSMV模型。

优选地，在步骤二中，将所述RSML^–e模型转换为NuSMV模型的转换方法包括类型和变量的转换、时态对应关系的转化、状态迁移条件的转换和宏的转换。

优选地，在类型和变量的转换中包括如下内容：将RSML^-e模型支持的基本数据类型转换为NuSMV模型支持的基本数据类型；将RSML^-e模型支持的基于基本数据类型的用户自定义数据类型转换为NuSMV模型支持的基本数据类型。

优选地，在时态对应关系的转化中包括如下内容：将RSML^-e模型的PREV状态转换为对应NuSMV模型的当前状态；将RSML^-e模型的当前状态转换为对应NuSMV模型的next状态。

优选地，在状态迁移条件的转换中包括如下内容：将RSML^-e模型的状态迁移条件转换为对应NuSMV模型的赋值表达式。

优选地，在宏的转化中包括如下内容：将RSML^-e模型的每一个宏或函数转换为对应NuSMV模型的子模块。

优选地，在步骤二中，将所述RSML^–e模型转换为NuSMV模型的转换方法还包括转换的扁平化处理，所述转换的扁平化处理包括如下内容：将RSML^-e模型的父变量条件或宏条件直接归置于状态迁移条件，如果同时满足了父变量条件或宏条件、及归置前状态迁移条件，则变量将处于相应的下一个状态值；如果不满足父变量条件或宏条件，则变量将处于初始值。

本发明提供的技术方案具有如下有益效果：

所述从RSML^-e模型转换到NuSMV模型的转换方法中，根据RSML^–e模型与NuSMV模型的各自的语法特征，将RSML^–e模型中定义的类型、变量、宏、时态等转换成NuSMV语言格式，即将RSML^-e模型转换成NuSMV模型，从而将需求状态分析和符号模型检测器结合起来，使得可使用NuSMV工具对系统的安全性属性进行验证，找出需求中不正确或者二义性的需求，提高系统的安全性。

附图说明

图1为RSML^–e模型到NuSMV模型的时态转换说明示意图；

图2为状态变量Modes所对应的RSML^–e模型；

图3为宏When_HDG_Activated所对应的RSML^–e模型；

图4为状态变量Modes，其状态迁移所对应的状态机图

图5为宏When_Turn_FD_Off所对应的RSML^–e模型；

图6为状态变量ROLL所对应的RSML^–e模型。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

除非上下文另有特定清楚的描述，本发明中的元件和组件，数量既可以单个的形式存在，也可以多个的形式存在，本发明并不对此进行限定。本发明中的步骤虽然用标号进行了排列，但并不用于限定步骤的先后次序，除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础，否则步骤的相对次序是可以调整的。可以理解，本文中所使用的术语“和/或”涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组合。

一种从RSML^-e模型转换到NuSMV模型的转换方法，包括以下步骤：

一、对待评估系统进行需求形式化分析，并构建RSML^-e模型。

具体地，对RSML^-e模型而言，所述RSML^-e模型所支持的RSML^-e语言是一种同步数据流语言，其没有内部广播事件。

而且，RSML^–e语言规约包括输入变量、状态变量、输入/输出接口、函数、宏以及常量等。输入变量用于记录在环境中观察到的值；状态变量以分层的形式定义，并被利用于模拟控制模型的各种状态；接口被用作到外部环境的通信门径；函数以及宏的封装为使用者提供了可读性和易用性。

RSML^–e语言具有如下特性：支持接口交互规约，该语言能够允许规约模型与环境交互；支持宏和函数，使用宏和函数能够增加可写性、可读性以及规约的可重用性；自然语言的需求规约到RSML^–e模型的转换是基于条件的，没有内部事件，当变量值的定义会根据控制条件的改变而改变；使用未定义值(UNDEFINED)支持不确定性建模，对于状态变量初始值的定义中，若使用者不能得知环境的初始状态或环境的初始状态不确定，从而导致状态变量的值未知时，则使用者可以将该状态变量的初始值定义为UNDEFINED，以支持后续状态的变迁。

二、根据转换方法，将所述RSML^–e模型中转换为NuSMV模型。

具体地，在步骤二中，将所述RSML^–e模型转换为NuSMV模型的转换方法包括类型和变量的转换、时态对应关系的转化、状态迁移条件的转换、宏的转换、及转换的扁平化处理。

对所述类型和变量的转换而言，由于RSML^–e模型支持支持基本数据类型和基于基本数据类型的用户自定义类型，NuSMV模型仅支持的基本数据类型，并不支持用户自定义类型，因此在类型和变量的转换中包括如下内容：

将RSML^-e模型支持的基本数据类型转换为NuSMV模型支持的基本数据类型；

将RSML^-e模型支持的基于基本数据类型的用户自定义数据类型转换为NuSMV模型支持的基本数据类型。

具体地，所述基本数据类型的变量值可以为布尔值、枚举值、整数、实数等。在转换过程中，对于基本数据类型的转换相对简单，一一对应即可；RSML^-e模型支持的用户自定义类型则会转换成NuSMV模型支持的布尔值、枚举值或整数等变量类型之一。例如：RSML^–e模型中的布尔值在NuSMV模型中也以布尔值的类型存在。

对所述时态对应关系的转换而言，如图1所示，在RSML^–e模型的语法中，PREV表达式表示所修饰值的前一状态，但是在NuSMV模型中没有与PREV语义对等的表示前一状态的关键字，却有用于表示后一状态的next关键字，因此在时态对应关系的转化中包括如下内容：

将RSML^-e模型的PREV状态转换为对应NuSMV模型的当前状态；

将RSML^-e模型的当前状态转换为对应NuSMV模型的next状态。

对所述状态迁移条件的转化而言，在状态迁移条件的转换中包括如下内容：将RSML^-e模型的状态迁移条件转换为对应NuSMV模型的赋值表达式。

具体地，在RSML^–e模型中，状态迁移条件或以EQUALS关键字展示，即通过枚举的方式将每一种状态变量可能的状态迁移条件列出，或以“AND OR”表的形式直观展现。而在NuSMV模型中，以ASSIGN关键字定义变量的状态迁移条件，并利用init关键字赋于变量的初始值。因此，将迁移条件赋值于next关键字定义的变量，其含义为状态迁移条件将影响到变量下一个状态的值。而变量可能的状态迁移条件则将利用case方法一一枚举出来。

对所述宏的转化而言，在宏的转化中包括如下内容：将RSML^-e模型的每一个宏或函数转换为对应NuSMV模型的子模块。

具体地，在宏的转化中具体包括如下步骤：

首先，在NuSMV模型里的主函数MODULE main中添加关于子函数的声明，声明形式为：A：B(a,b,…)，声明的含义为：

1、声明子模块的名称；B表示子模块的名称，为了方便研究人员对RSML^–e模型中的宏与NuSMV中子模块之间联系的理解，通常将子模块的名称定义为RSML^–e模型中宏的名称；

2、定义子模块的别称；A为子模块在main函数及其他子模块调用该子模块时所用的别称，而为了方便研究人员对子模块名称与别称关系的理解，通常把别称A定义为m_B的形式；

3、声明子模块所调用的变量；(a,b,…)为子模块所需要调用的变量，其可为普通变量、常量以及其他子模块变量；

其次，在main函数之外定义相应的子模块，子模块的定义形式为MODULE B(a,b,…)；而子模块中的内容将根据RSML^–e模型中对应宏所包含的变量及状态迁移关系，利用前三部分制定的转换方法，在子模块中定义相应的变量及状态迁移关系。

对所述转换的扁平化处理而言，RSML^–e模型是一种层次化模型，其支持父变量或宏及子变量或宏的定义，其方式为：在子变量或宏中，以Parent关键字定义父变量或宏及该父变量或宏对子变量或宏的条件约束。而NuSMV模型并不支持层次化，其模型仅包含两层即Main函数模块和子函数模块，因此在转换的过程中必须考虑扁平化的问题，。所述转换的扁平化处理包括如下内容：

将RSML^-e模型的父变量条件或宏条件直接归置于状态迁移条件，如果同时满足了父变量条件或宏条件、及归置前状态迁移条件，则变量将处于相应的下一个状态值；如果不满足父变量条件或宏条件，则变量将处于初始值。

接下来，以文献[Steven P.Miller,Alan C.Tribble,Timothy M.Carlson,andEric J.Daniel son Rockwell Collins,Cedar Rapids,Iowa.Flight Guidance SystemRequirements Specification[M].2003.]中现有的飞行引导系统RSML^–e模型为例，使用发明内容中的转换方法，将该模型转换为NuSMV模型。

由于该RSML^–e模型过于庞大，因此截取部分模型对上述发明内容进行说明。将RSML^–e模型转换为NuSMV模型包括如下内容：

第一部分，类型和变量的转换。以RSML^–e模型中的状态变量Modes为例来说明类型和变量的转换，其RSML^–e模型详见图2。从附图2中可以得知，该状态变量的类型为枚举类型，共有三个可选值，分别为“Off”、“On”以及“Offside_Modes”，该变量的初始值被定义为“Off”。将其转换为NuSMV模型中的变量及类型的步骤如下：

1、书写关键字VAR，表示变量定义的开始；

2、定义该状态变量在NuSMV模型中的名称。在这里我们依旧将该变量的名称定义为Modes；

3、定义该状态变量的类型。根据发明内容所述，该变量在RSML^–e模型中为枚举类型，那么NuSMV中也将该变量定义为枚举类型，其表示方式为：{Off,On,Offside_Modes}；

4、最终，该变量及其类型在NuSMV模型中的表示形式如下：

VAR

Modes:{Off,On,Offside_Modes}；。

第二部分，转化时的时态对应关系。以RSML^–e模型中的宏When_HDG_Activated为例来说明时态的对应关系，其RSML^–e模型详见附图3。从附图3中可以得知，当且仅当事件“Select_HDG()”为真，事件“PREVIOUS STEP(HDG)＝Selected”为假，且事件“Is_This_Side_Active”为真时该宏所表示的事件为真。其具体含义为：当且仅当在上一时刻没有选择HDG模式，而当前时刻选择HDG模式并且FGS主飞行侧处于激活状态时，HDG航向选择模式将处于激活状态。以下即为两种模型间时态的转换：

1、将RSML^–e模型中包含有“PREVIOUS”关键字，表示RSML^–e模型中上一时刻的事件“PREVIOUS STEP(HDG)＝Selected”对应于NuSMV中的当前时刻的事件，即为(HDG)＝Selected；

2、将RSML–e模型中没有“PREVIOUS”关键字，表示RSML^–e模型中当前时刻的事件“Select_HDG()”及“Is_This_Side_Active”，对应于NuSMV中包含有“next”关键字，表示下一时刻的事件，即为next(Select_HDG)&next(Is_This_Side_Active)；

3、最终，在NuSMV中的表达式如下：

next(result):＝！((HDG)＝Selected)&(next(Select_HDG))&next(Is_This_Side_Active)；

其含义为，当且仅当HDG没有被选中，而下一时刻选择HDG模式，且下一时刻FGS主飞行侧处于激活状态时，HDG模式将处于激活状态。

第三部分，状态迁移条件的转换。以RSML^–e模型中的状态变量Modes为例来说明状态迁移条件的转换，其RSML^–e模型详见图2。从附图2中可以得知，变量Modes的状态迁移条件如下：a)若事件“Is_This_Side_Active”为假，则状态变量Modes下一时刻的值为“Offside_Modes”；b)若事件“Is_This_Side_Active”为真，事件“When_Turn_Modes_On”为真且Modes当前值为“Off”，则其下一时刻的值为“On”；c)若事件“Is_This_Side_Active”为真，事件“When_Turn_Modes_Off”为真且Modes当前值为“On”，则其下一时刻的值为“Off”。该变量状态迁移所对应的状态机图如图4所示。将该状态迁移条件转换到NuSMV模型的步骤如下：

1、以“ASSIGN”关键字作为定义状态迁移条件的标志；

2、以“init”关键字定义状态变量的初始值，该状态变量的初始值为Off。其具体表现形式为：init(Modes):＝Off；

3、以“next”关键字定义状态变量下一时刻的值，以“case”关键字枚举出所有状态迁移条件以及在该条件下状态变量下一时刻的值。具体表现形式为：

next(Modes):＝

case

！(next(m_Is_This_Side_Active.result)):Offside_Modes；

(Modes＝Off)&(next(m_When_Turn_Modes_On.result))

&(next(m_Is_This_Side_Active.result)):On；

(Modes＝On)&(next(m_When_Turn_Modes_Off.result))

&(next(m_Is_This_Side_Active.result)):Off；

TRUE:Modes；

esac；

在上述赋值表达式中，冒号左边的表达式即为状态迁移的条件，冒号右边的值即为在该状态迁移条件下状态变量下一时刻的值。三句赋值表达式对应RSML^–e模型中的三个状态迁移条件。而最后一句赋值表达式的含义为在默认条件下(即该状态变量没有进行状态迁移)，该状态变量Modes的下一时刻的值等于当前状态的值。

需要说明的是，由于“Is_This_Side_Active”等事件在RSML^–e模型均以宏的形式建模，因此在调用这些宏时，将使用宏在NuSMV模型中所对应的子模块的别称，如“m_Is_This_Side_Active”等。其具体解释将在下一部分“宏的转换”中介绍。

第四部分，宏的转换。以RSML^–e模型中的宏When_Turn_FD_Off为例来说明宏的转换，其RSML^–e模型详见图5。从附图5中可以得知，当且仅当事件“When_FD_Switch_Pressed_Seen()”为真且事件“Overspeed_Condition()”为假时该宏所表示的事件为真。将该宏转换为NuSMV模型中的子模块的步骤如下：

1、声明子模块。在Main函数中对该子模块进行声明，如发明内容第四部分所述，该声明包含有子模块的名称、别称以及所需调用的变量。我们将该子模块的名称定义为When_Turn_FD_Off，其与RSML^–e模型中宏的名称相同。我们将该子模块的别称定义为m_When_Turn_FD_Off。在RSML^–e模型中，该宏涉及到两个事件，这两个事件即为在NuSMV模型中对应子模块所需调用的变量(宏)。由于这两个事件在RSML^–e模型中也是以宏的形式建模，因此在NuSMV模型中，对于所需调用的两个变量(宏)，我们将以其对应子模块的别称来表示(别称的作用见发明内容第四部分)，分别为m_When_FD_Switch_Pressed_Seen以及m_Overspeed_Condition。声明的具体表现形式如下：

m_When_Turn_FD_Off：When_Turn_FD_Off

(m_When_FD_Switch_Pressed_Seen，

m_Overspeed_Condition)；

2、定义子模块。以“MODULE”关键字作为定义子模块的标志，该定义包括子模块的名称“When_Turn_FD_Off”，子模块所需调用的变量(宏)“m_When_FD_Switch_Pressed_Seen”、“m_Overspeed_Condition”以及子模块的内容。子模块内容的具体定义为：根据RSML^–e模型中宏“When_Turn_FD_Off”所包含的变量及状态迁移关系，利用发明内容中前三部分制定的转换方法，在子模块中定义相应的变量及状态迁移关系。具体表现形式如下：

MODULE When_Turn_FD_Off(

m_When_FD_Button_Pressed_Seen,

m_Overspeed_Condition)

VAR

result:boolean；

ASSIGN

init(result):＝FALSE；

next(result):＝next(m_When_FD_Button_Pressed_Seen.result)&

！next(m_Overspeed_Condition.result)；

第五部分，转换的扁平化问题。以RSML^–e模型中侧滚模式的状态变量ROLL为例来说明转换的扁平化问题，其RSML^–e模型详见图6。从附图6中可以得知，该状态变量有父变量Modes，当且仅当Modes＝On成立时，状态变量ROLL才能够根据其状态迁移条件迁移到下一个状态的值，否则该状态变量值保持其初始值UNDEFINED不变。由于NuSMV模型不支持层次化结构，因此需要扁平化处理，其处理步骤如下：

1、定义状态变量，其类型为枚举型，其包含三种可选值，“Cleared”、“Selected”以及“UNDEFINED”。具体表现形式如下：

VAR

ROLL:{Undefined,Cleared,Selected}；

2、将RSML^–e模型中的父变量“Modes.On”归置到该状态变量的状态迁移条件中，即在原本的状态迁移条件中加入“Modes＝On”这一前置条件。通常我们将前置条件写为：next(m_Modes.Modes！＝On):Undefined；

上述赋值语句的语义为：“若不满足父变量条件，则该状态变量值保持其初始值UNDEFINED不变”。

具体状态迁移条件为：

ASSIGN

init(ROLL):＝Undefined；

next(ROLL):＝

case

next(m_Modes.Modes！＝On):Undefined；

(ROLL＝Undefined)&！(next(m_Select_ROLL.result)):Cleared；

(ROLL＝Undefined)&(next(m_Select_ROLL.result)):Selected；

(ROLL＝Cleared)&(next(m_Select_ROLL.result)):Selected；

(ROLL＝Selected)&(next(m_Deselect_ROLL.result)):Cleared；

TRUE:ROLL；

esac；。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (7)

1.一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于：包括如下步骤：

一、对待评估系统进行需求形式化分析，并构建RSML^-e模型；

二、根据转换方法，将所述RSML^–e模型转换为NuSMV模型。

2.根据权利要求1所述的一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于，在步骤二中，将所述RSML^–e模型转换为NuSMV模型的转换方法包括类型和变量的转换、时态对应关系的转化、状态迁移条件的转换和宏的转换。

3.根据权利要求2所述的一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于，在类型和变量的转换中包括如下内容：

将RSML^-e模型支持的基本数据类型转换为NuSMV模型支持的基本数据类型；

将RSML^-e模型支持的基于基本数据类型的用户自定义数据类型转换为NuSMV模型支持的基本数据类型。

4.根据权利要求2所述的一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于，在时态对应关系的转化中包括如下内容：

将RSML^-e模型的PREV状态转换为对应NuSMV模型的当前状态；

将RSML^-e模型的当前状态转换为对应NuSMV模型的next状态。

5.根据权利要求2所述的一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于，在状态迁移条件的转换中包括如下内容：

将RSML^-e模型的状态迁移条件转换为对应NuSMV模型的赋值表达式。

6.根据权利要求2所述的一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于，在宏的转化中包括如下内容：

将RSML^-e模型的每一个宏或函数转换为对应NuSMV模型的子模块。

7.根据权利要求1所述的一种从RSML^-e模型转换到NuSMV模型的转换方法，其特征在于，在步骤二中，将所述RSML^–e模型转换为NuSMV模型的转换方法还包括转换的扁平化处理，所述转换的扁平化处理包括如下内容：

将RSML^-e模型的父变量条件或宏条件直接归置于状态迁移条件，如果同时满足了父变量条件或宏条件、及归置前状态迁移条件，则变量将处于相应的下一个状态值；如果不满足父变量条件或宏条件，则变量将处于初始值。