CN111176614B

CN111176614B - Vrm形式化需求模型的生成和分析方法

Info

Publication number: CN111176614B
Application number: CN201911363747.2A
Authority: CN
Inventors: 胡军; 石梦烨
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2019-12-26
Filing date: 2019-12-26
Publication date: 2021-06-29
Anticipated expiration: 2039-12-26
Also published as: CN111176614A

Abstract

本发明公开了一种VRM形式化需求模型的生成和分析方法，包括：将需求模型构建为有限状态自动机系统，并生成对应的VRM规范集合；引入中间变量，将有限状态自动机系统进行分层，并定义了各变量之间的拓扑排序结构以及依赖关系；将所述有限状态自动机系统运用在安全关键性系统进行需求描述和分析。本发明通过将需求模型构建为一个有限状态自动机系统，使其可以更好地运用到实际系统中，解决工业系统的需求描述问题；同时提供了相关一致性和完整性分析方法，用来检查有限状态自动机系统中存在的语法、语义和句法错误，以及需求的不相交性和覆盖性，使得系统需求精准且无二义性。

Description

VRM形式化需求模型的生成和分析方法

技术领域

本发明涉及安全关键系统的需求分析技术领域，具体而言涉及一种VRM形式化需求模型的生成和分析方法。该方法通过将VRM扩展为形式化语义模型并用一致性完整性算法进行分析可消除需求存在的语法、句法、语义错误，以及二义性和不完整性问题。

背景技术

VRM是一种用来指明需求的方法，它的框架结构如图2所示。

VRM涉及以下四类变量：

(1)监督变量(MON)：系统对外部环境进行监控得到的变量。

(2)受控变量(CON)：受系统控制的环境量。如：显示器的显示——数值、文本、图形，作动器的阈值。

(3)输入变量(INPUT)：来自于监督变量的估量，由传感器等输入设备将监督变量转换而来的变量；

(4)输出变量(OUTPUT)：发送到输出设备(如制动器)上的，可以改变受控变量的变量；

例如：监督变量可以是飞机在飞行中的飞行高度和空速，受控变量可以是显示仪表盘上飞行高度和当前空速的显示值；相应的输入输出变量可以是软件读取或写入的ARINC-429总线上的数据。

在这些变量上，定义了5种数学关系：

①NAT：施加在环境量上的自然限制，例如飞机的最大爬升率。

②REQ：定义了系统的附加约束，指明受控变量与监督变量的关系。

③IN：描述了监督变量和输入变量之间的映射关系。

④OUT：描述输出变量和受控变量之间的映射关系。

⑤SOF：描述输入变量和输出变量之间的关系，表示为所有可以接受的软件的行为。

RSML(需求状态机语言)是一种基于状态的规范语言，可以用来对系统的行为进行建模。RSML规范包括一系列的输入变量、状态变量、输入输出接口、函数、宏和常量。

输入变量：被用来记录在环境中观察到的值。

状态变量：被组织成一个分层的方式，并用于模拟各种状态的控制模型。

接口：作为连接到外部环境通信网络接口。

函数和宏：用来封装系统模块的内部计算，提供更高的可读性和易用性。

RSML中的一个重要特点是设计了一套AND/OR表格，可以将复杂的谓词逻辑公式以表格的形式展现，这样可以增加对于非专业人员的可读性和可理解性。图3是典型的RSMLAND-OR表格的形式。

由于VRM是一种抽象的指明需求的方法论，无法提供一个形式化的基础以便对需求进行分析。有研发人员尝试利用VRM创建需求模型，但由于真实的工业系统庞大而复杂，至今仍很难将其很好地运用到实际系统中，以解决工业系统的需求描述问题，同时，对于需求模型存在大量的语法、句法、语义错误，以及二义性和不完整性问题，很难检测出来并加以修正。

发明内容

本发明目的在于提供一种VRM形式化需求模型的生成和分析方法，通过对变量关系模型进行具体的设计，将需求模型构建为一个有限状态自动机系统，使其可以更好地运用到实际系统中，解决工业系统的需求描述问题；同时提供了相关一致性和完整性分析方法，用来检查有限状态自动机系统中存在的语法、语义和句法错误，以及需求的不相交性和覆盖性，使得系统需求精准且无二义性。

为达成上述目的，结合图1，本发明提出一种VRM形式化需求模型的生成和分析方法，所述方法包括：

S1：将需求模型构建为有限状态自动机系统，并生成对应的VRM规范集合，所述VRM规范集合用于描述构成规范的输入和输出变量、条件函数、事件函数和其他构造以便使前述有限状态自动机系统具有自动机特点；

S2：引入中间变量，将有限状态自动机系统进行分层，并定义了各变量之间的拓扑排序结构以及依赖关系；

S3：将所述有限状态自动机系统运用在安全关键性系统进行需求描述和分析。

进一步的实施例中，所述VRM规范集合包括变量字典、类型字典、常量字典、表格函数、假设字典；

所述变量字典是所有变量的集合，所述变量包括监督变量、受控变量、模式类和中间变量；

所述类型字典包含所有用户自定义的类型集；

所述常量字典用于集合所有用户定义的常量；

所述假设字典用于描述对系统行为的假设，定义了监视变量和受控变量的可能值；

所述表格函数用于定义描述所有变量及其相互之间关系的表格。

进一步的实施例中，所述模式类是N个非空的成对不相交集合的并集，模式类的每个成员被定义成模式，每种模式均为系统状态的等价类，用于指定所需的系统行为。

进一步的实施例中，所述定义了各变量之间的拓扑排序结构以及依赖关系的过程包括以下步骤：

对于监督变量：每个监督变量独立于任何其他变量，包括其他监督变量；

对于模式：模式可以依赖于拓扑排序集中位于它前面的监督变量、同一模式类的其他模式、以及中间变量；

对于中间变量：中间变量依赖于拓扑排序集中位于它前面的监督变量、模式类、以及其他中间变量；

对于受控变量，受控变量依赖于拓扑排序集中位于它前面的监督变量、模式类、中间变量以及其他受控变量。

进一步的实施例中，所述方法还包括：

S4：分别定义VRM基本范式、第一范式、第二范式、第三范式、第四范式，结合前述多个范式对生成的VRM规范集合进行分析，以检测其中是否存在错误，其中：

采用VRM基本范式以检测生成的VRM规范集合中是否存在语法错误、句法错误、语义错误；

采用第一范式以检测输入变量是否具备完整性；

采用第二范式以检测条件函数具备一致性和完整性，消除条件表中需求的歧义；

采用第三范式以检测事件函数具备一致性和完整性，消除事件表中需求的歧义；

采用第四范式以检测输出变量是否具备完整性。

进一步的实施例中，所述条件函数的表达式定义如下：

ρ_i＝{(m_j,c_j,k,v_k)∈M_μ(i)×C_i×VR(V_i)}

式中，k＝1,2,…,n，j＝1,2…,n。m_j是编号为j的模式，c_j,k是单个条件，v_k是c_j,k对应的值，M_μ(i)是条件函数对应的模式类，C_i是编号为i的条件，VR(V_i)是V_i可能取值的集合。

其中，条件函数ρ_i满足以下属性：

(1)满足VRM基本范式：

满足下述公式：

即对于指定的模式m_j，VR(m_j)为该模式所有的取值范围，m_j的任意取值组合情况

都包含在表格中；

(2)满足第二范式：

(2.1)条件一致性：当变量m_j确定的情况下，对于不同的条件C_i，满足c_i,j∧c_i,k＝false；对于任意的i，k！＝j，当模式m_j和条件c_i,j相同时，则对应的输出变量唯一；

(2.2)条件完整性：对于表格中m_i确定的情况下，其对应的条件C_i的所有取值情况c_i,j都包含在表格内；对于任意的i，则c_i,1∨c_i,2∨……c_i,n＝true，即固定模式下条件c的析取表达式为真；

(3)满足第四范式：

所有输出变量的可能取值组合情况

都包含在表格中，即对于所有的k，

进一步的实施例中，所述事件函数的表达式定义如下：

σi＝{(m_j，e_j，k，v_k)∈M_μ(i)×E_i×VR(V_i)}

式中，k＝1,2,…,n；j＝1,2…,n。m_j是编号为j的模式，e_j,k是单个事件，v_k是e_j,k对应的值，M_μ(i)是事件函数对应的模式类，E_i是编号为i的事件，VR(V_i)是V_i可能取值的集合。

其中，事件函数σ_i满足以下属性：

(1)满足VRM基本范式。

(2)满足第一范式：

都包含在表格中，其完整性满足状态不变性：

(3)满足第三范式：当变量m_j确定的情况下，对于不同的条件E_i，满足e_i,j∧e_i,k＝false；对于任意的i，k！＝j，当模式m_j和条件e_i,j相同时，则对应的输出变量必须唯一。

进一步的实施例中，所述方法还包括：

S5：对有限状态自动机系统中定义的状态变量进行存储；

所述存储过程包括以下步骤：

S51：定义两个数据结构：哈希表varmap和modemap，其中varmap细分为inputvarmap,outputvarmap；

S52：将事先定义好的BNF范式作为处理变量时的输入，并使用ANTLR的内置运行库对定义好的BNF范式进行解析，得到语法树；

S53：遍历语法树得到各个语句块的入口地址，确定变量所在的语句块；

通过调用语法树，进入语法树变量所在的语句块；

对用户定义的每个变量进行遍历，如果该变量不存在，则将该变量存储到对应的哈希表中，若存在，则更新其值：update(variable.val)。

进一步的实施例中，所述对用户定义的每个变量进行遍历包括：

S531：准备工作：遍历语法树，定义存储变量的哈希表；

S532：遍历一般变量：在访问器中访问变量，提取变量，若已存在该变量，则更新值，若不存在，则将该变量及其值存入哈希表，同时，遍历类型语句块，将该变量类型存入类型哈希表；

S533：遍历模式类：在访问器中访问变量，提取模式，若已存在该模式，则退出，若不存在，则将该模式及其值存入哈希表。同时，遍历类型语句块，将该变量类型存入类型哈希表。

以上本发明的技术方案，与现有相比，其显著的有益效果在于：

(1)通过对变量关系模型进行具体的设计，将需求模型构建为一个有限状态自动机系统，使其可以更好地运用到实际系统中，解决工业系统的需求描述问题。

(2)同时提供了相关一致性和完整性分析方法，用来检查有限状态自动机系统中存在的语法、语义和句法错误，以及需求的不相交性和覆盖性，使得系统需求精准且无二义性。

应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外，所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。

结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本发明教导的具体实施方式的实践中得知。

附图说明

附图不意在按比例绘制。在附图中，在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见，在每个图中，并非每个组成部分均被标记。现在，将通过例子并参考附图来描述本发明的各个方面的实施例，其中：

图1是本发明的VRM形式化需求模型的生成和分析方法流程图。

图2是本发明的VRM框架结构示意图。

图3是本发明的典型的RSML AND-OR表格的形式。

图4是本发明的VRM系统规范字典示意图。

图5是本发明的数据存储伪代码示意图。

图6是本发明的条件表达式的一致性完整性分析伪代码示意图。

图7是本发明的事件表达式的一致性完整性分析伪代码。

具体实施方式

为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。

具体实施例一

结合图1，本发明提及一种VRM形式化需求模型的生成和分析方法，所述方法包括：

S1：将需求模型构建为有限状态自动机系统，并生成对应的VRM规范集合，所述VRM规范集合用于描述构成规范的输入和输出变量、条件函数、事件函数和其他构造以便使前述有限状态自动机系统具有自动机特点。

S2：引入中间变量，将有限状态自动机系统进行分层，并定义了各变量之间的拓扑排序结构以及依赖关系。

步骤一：VRM形式化规范定义的设计。

VRM是一种抽象的指明需求的方法论，无法提供一个形式化的基础以便对需求进行分析，因此我们需要对其进行具体的设计和实现。我们将需求模型构建为一个有限状态自动机的系统，并描述构成规范的输入和输出变量，条件函数，事件函数和其他构造以便具有自动机特点，这样才能真正的将其运用在安全关键性系统进行需求描述和分析。此外由于真实的工业系统比较庞大，特引入了中间变量，将系统进行分层。并定义了各变量之间的拓扑排序结构以及依赖关系。

图4是VRM的需求字典，它包含以下几类信息：

1)变量字典：是所有变量的集合。包含监督变量和受控变量。为了方便的指明REQ约束，VRM形式化模型额外定义了两种类型的辅助变量：模式类和中间变量。模式类MS是N个非空的成对不相交集合的并集，即M₁,M₂,…,M_N称为模式类。模式类的每个成员称为模式，每种模式都是系统状态的等价类，在指定所需的系统行为时具有较大的作用。

2)用户自定义类型：包含了所有用户自己定义的类型集，所有类型都基于基本类型，如boolean,int,char等。TS是数据类型的并集，其中每种类型都是非空的值集。

3)常量字典：集合了所有用户定义的常量。

4)假设字典：即NAT约束。NAT描述了对系统行为的假设，如物理定律和系统环境所施加的约束，它定义了监视变量和受控变量的可能值。

5)表格函数：即REQ约束，为了明确清晰的指明需求，在此采用表格的形式来描述所有变量及关系，表格的类型为条件表、事件表、模式转换表。表格函数可以简明扼要的描述大量的需求信息并减少用自然语言描述的需求的错误率，并且使用简单，容易上手。

步骤二：一致性完整性算法定义

一致性完整性算法用于分析VRM形式化规范，并自动检测错误，例如语法错误、句法错误、语义错误、需求的不确定性，需求的不完整性等。VRM形式化规范必须满足以下要求：

VRM基本范式：VRM基本范式用来确保形式化模型不存在语法、句法等错误，它是一致性、完整性检查中最基本的要求。

在VRM基本范式的基础上，我们定义了以下范式。

2)第一范式(也称为输入完整性范式)：

单个表必须满足输入的完整性，即对于某个状态变量r，必须满足VR(r)，其中VR为变量r的取值范围。

3)第二范式(也称为条件范式)：

条件范式由两部分组成：条件一致性和条件完整性。此范式可以保证条件无遗漏，并且可以用来消除需求的歧义，减少二义性问题。

4)第三范式(也称为事件范式)：

单个表必须满足事件的一致性。此范式可以用来消除事件表中需求的歧义，减少二义性问题。

5)第四范式(也称为输出完整性范式)：

单个表必须满足输出的完整性。此范式可以确保没有事例遗漏。

具体实施例二

现在对本发明作进一步的说明。在此将具体介绍VRM需求规范的设计以及如何将一致性完整性算法运用到需求模型中。由于所有状态变量(包含监督变量、控制变量、模式类、中间变量)的依赖关系都是以表的形式表示的。为了对系统行为进行描述，本发明采用两种类型的表格：条件表和事件表，它们使用表格的形式描述了系统行为的函数。发明具体分四步进行：

第一步：对VRM的需求字典结合实际系统的情况进行具体的设计。

基于VRM需求字典，本发明定义VRM需求规约的六元组：{SV,C,E,F,TS,VR}；其中SV是所有状态变量的集合，它为一个四元组，定义为：SV＝{MV,CV,M,IV}，包含监督变量MV、受控变量CV、模式类M，中间变量IV。下面具体介绍六元组每个数据的功能。

MV：非空的不相交的监督变量集合，MV＝{mv₁,mv₂,...,mv_l}，mv₁,mv₂,...,mv_l称为监督变量。

CV：非空的不相交的受控变量集合，CV＝{cv₁,cv₂,...,cv_k}，cv₁,cv₂,...,cv_k称为受控变量。

M：非空的不相交的模式类集合，M＝{mc1,mc₂,...,mc_m}，mc₁,mc₂,...,mc_m称为模式，其中mci为某个模式类，它包含了该模式类下的所有模式，Mci＝{mci1,mci₂,...,mci_m}。

IV：非空的不相交的中间变量集合，IV＝{iv₁,iv₂,...,iv_k}，iv₁,iv₂,...,iv_k称为中间变量。

TS:是类型的并集，其中所有的类型都是值的非空集合。

VR：特殊的函数，用来将状态变量的名称映射到具体的值，表示状态变量的所有取值范围。

C：条件，表示单个状态变量上的谓词。条件是逻辑表达式，具有多种表达形式，可以为布尔变量true、false或布尔表达式c_i⊙c_j等。⊙∈{AND,OR,NOT}表示逻辑操作符；C＝r⊙v。其中⊙∈{＝,<,>,≠,≥,≤}表示关系操作符。本发明使用RSML的AND-OR表来表示条件需求，采用AND-OR表可以减少条件表达式存在的语法错误和句法错误。

E：事件，表示两个状态变量上的谓词，事件的通用表达式为EVENT(C)GUARD D。EVENT∈{@T,@F,@C}表示事件操作符；GUARD∈{WHEN,WHERE,WHILE}表示守卫操作符。

F：表格函数，所有的表格都是一个数学函数，都可以使用Fi表示。

第二步：对状态变量之间的依赖关系定义。

由于实际的系统结构一般比较庞大，采用层次结构可以更好的对整体系统进行建模和分析，为此引入了中间变量。由于状态变量之间存在依赖性，所有的状态变量之间存在依赖的先后关系，因此状态变量集SV中存在变量的拓扑排序顺序R。具体的排序规则定义如下：

对于监督变量：每个监督变量独立于任何其他变量，包括其他监督变量。

对于模式：模式可以依赖于拓扑排序集中位于它前面的监督变量、同一模式类的其他模式、以及中间变量。

对于中间变量：中间变量可以依赖于拓扑排序集中位于它前面的监督变量、模式类、以及其它中间变量。

对于受控变量：受控变量可以依赖于拓扑排序集中位于它前面的监督变量、模式类、中间变量以及其他受控变量。

第三步：对数据存储进行设计

此步骤用来对建立的模型中定义的状态变量(包括输入变量、输出变量、模式类)进行存储，这些变量是模型的基础。图5是数据存储算法的伪代码。首先定义两个数据结构：哈希表varmap和modemap，其中varmap还细分为inputvarmap,outputvarmap。

处理变量时输入是事先定义好的BNF范式(VRM.g4)，并使用ANTLR的内置运行库对VRM.g4进行解析，得到语法树。遍历语法树得到各个语句块的入口地址，即需要确定变量所在的语句块。通过调用vrm语法树，进入语法树变量所在的语句块。对用户定义的每个变量进行遍历，如果该变量不存在，则将该变量存储到对应的哈希表中，若存在，则更新其值:update(variable.val)。变量处理算法主要分以下几步进行：

准备工作：遍历ast语法树，定义存储变量的哈希表

遍历一般变量：在访问器中访问变量，ast.parseTreeWalk(variableBlock),提取变量，若已存在该变量，则更新值，若不存在，则将该变量及其值(键值对)存入哈希表。同时，遍历类型语句块，将该变量类型存入类型哈希表。

遍历模式类：在访问器中访问变量，ast.parseTreeWalk(modeclassBlock),提取模式，若已存在该模式，则退出，若不存在，则将该模式及其值(所有的模式)存入哈希表。同时，遍历类型语句块，将该变量类型存入类型哈希表。

第四步：对模型行为进行设计

1、条件表定义：条件表本质上是一个数学函数，它用来描述状态变量(SV)的值与相关输入：模式M和条件C的值之间的函数关系：即在不同的模式和不同条件下，输入变量取值不同的情况下，输出变量的取值情况。

条件表的函数表达式定义如下所示：

ρ_i＝{(m_j,c_j,k,v_k)∈M_μ(i)×C_i×VR(V_i)}

其中，k＝1,2,…,n；j＝1,2…,n。m_j是编号为j的模式，c_j,k是单个条件，v_k是c_j,k对应的值，M_μ(i)是条件函数对应的模式类，C_i是编号为i的条件，VR(V_i)是V_i可能取值的集合。

函数ρ_i必须满足以下属性：

(1)需满足VRM基本范式。

(2)需满足第一范式：

都包含在表格中。

(3)需满足第二范式：

●条件一致性：当变量m_j确定的情况下，对于不同的条件C_i，需满足c_i,j∧c_i,k＝false；(对于任意的i，k！＝j)当模式m_j和条件c_i,j相同时，则对应的输出变量必须唯一。

●条件完整性：对于表格中m_i确定的情况下，其对应的条件C_i的所有取值情况c_i,j都包含在表格内。即对于任意的i，则c_i,1∨c_i,2∨……c_i,n＝true。即固定模式下条件c的析取表达式为真。

(4)需满足第四范式：

所有输出变量的可能取值组合情况

都包含在表格中，即对于所有的k，

具体实施的伪代码如图6所示：

2、事件表定义

事件表用来描述状态变量(SV)的值与模式M、事件E之间的函数关系：在不同的模式和不同事件下，输入变量取值不同的情况下，输出变量的取值情况。事件表的函数表达式定义如下所示：

σ_i＝{(m_j,e_j,k,v_k)∈M_μ(i)×E_i×VR(V_i)}

其中，k＝1,2,…,n；j＝1,2…,n。m_j是编号为j的模式，e_j,k是单个事件，v_k是e_j,k对应的值，M_μ(i)是事件函数对应的模式类，E_i是编号为i的事件，VR(V_i)是V_i可能取值的集合。

函数σ_i必须满足以下属性：

(1)需满足VRM基本范式。

(2)需满足第一范式：

都包含在表格中。由于事件表与条件表有所不同，它存在不发生任何事件的情况，这种情况下会导致表中缺少部分不发生状态转换的模式，因此其完整性需要依靠状态不变性保证，即

(3)需满足第三范式：当变量m_j确定的情况下，对于不同的条件E_i，需满足e_i,j∧e_i,k＝false；(对于任意的i，k！＝j)当模式m_j和条件e_i,j相同时，则对应的输出变量必须唯一。

图7是对事件表实施一致性完整性分析的伪代码。

在本公开中参照附图来描述本发明的各方面，附图中示出了许多说明的实施例。本公开的实施例不必定义在包括本发明的所有方面。应当理解，上面介绍的多种构思和实施例，以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施，这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外，本发明公开的一些方面可以单独使用，或者与本发明公开的其他方面的任何适当组合来使用。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。