CN113127344B - 一种ros底层通讯机制的形式化建模与验证方法 - Google Patents

Abstract

本发明公开了一种ROS底层通讯机制的形式化建模与验证方法，首先根据ROS的开源代码，提取出来ROS底层通讯机制的模块、功能和规则；建立其关于底层主题通信机制的形式化模型；根据“发布/订阅”通讯机制，提取出关键性质，用时态逻辑语言来描述性质；设计ROS应用实例，使用形式化验证工具，通过结合应用实例和所建立的形式化模型，对时态逻辑语言描述的关键性质进行验证；根据验证结果和过程，对ROS的“发布/订阅”通讯机制进行分析。本发明应用到包含了三个互相订阅的节点的ROS具体实现，通过形式化验证，来提高ROS及ROS应用实现的无死锁性、可达性、活性与正确性。

Description

一种ROS底层通讯机制的形式化建模与验证方法

技术领域

本发明属于机器人操作系统(ROS)技术领域，具体涉及一种ROS底层通讯机制的形式化建模与验证方法。

背景技术

机器人技术极大的丰富便利了我们的生活，随着软硬件技术的发展，家居、环保、工业生产、医疗保健以及军事活动等领域都越来越依赖机器人技术，另一方面，随着机器人技术在各行各业的蓬勃发展，和人类之间的交互越来越频繁，一旦机器人出现错误，极有可能会导致灾难性的后果。这就要求机器人系统对于各个节点间通信的安全性与可靠性有着极高的要求。近些年来，机器人操作系统(ROS)受到了工业界与学术界的广泛高度关注，成为机器人应用程序开发的流行框架。

机器人操作系统(ROS)是一种开源的操作系统中间件，用来在统一的编程过程中开发机器人软件。ROS为分布式计算集群提供了一个结构化的通信层。在ROS的支持下，不同的机器人功能模块可以单独设计，作为ROS的节点进行运行。多个ROS节点可以实现基于TCP/IP的点对点通信，这些节点可以分布式地运行在通过网络连接的多台计算机上，同时ROS通信也是语言独立的，主节点负责存储所有节点的主题和服务信息，这是两种通信机制，主题通信是基于发布订阅机制，是异步的通信机制。服务通信为同步通信设计，但是他的底层同样是主题通信的简化版本。

ROS本身的可靠性直接影响了所有基于ROS的机器人应用的安全性，因此，验证ROS通信层的正确性有着重要意义。为了保证基于ROS的机器人应用的信息交流，ROS的通信层主要使用的是基于“发布/订阅”机制的主题通信。为了保证ROS的可靠性正确性，ROS相关的开发就需要保证一些重要的性质。一般的ROS性质描述是个人提取并进行描述的，个人提取并进行描述的性质不可避免会存在二义性，这样在实现和测试过程中都会给相关工作带来误导。

发明内容

为了解决现有技术存在的不足，本发明的目的是提出了一种针对ROS底层通讯机制的形式化建模与验证方法及其应用。

本发明对ROS的主题通信所使用的“发布/订阅”机制进行形式化建模，提出了一个详细的ROS特征模型，并对“发布/订阅”通讯机制中的与ROS相关的关键性质进行了形式化表述，根据模型对ROS的主题通信机制的这些关键特性进行了验证。本发明方法建立了ROS的主题通信的形式化模型，并通过模型检测方法验证机器人应用是否满足性质规范，保证该性质规范在任何时候都是成立的。将形式化建模的方法引入ROS中，可以提高其安全性和正确性，本发明所述方法包括以下步骤：

步骤一：根据开源的ROS实现源码，提取出ROS包含的各个功能模块，以及各模块的功能和规则描述，然后建立其关于底层主题(topic)通信机制的形式化模型；

步骤二：从一般语言描述的“发布/订阅”通讯机制中提取需要验证的关键性质，并用时态逻辑语言来描述性质；所述关键性质包括：无死锁性、可达性、活性与正确性；

步骤三：使用形式化验证工具UPPAAL，通过所建立的形式化模型，结合具体的ROS应用实例，对提取的关键性质进行形式化验证，并对验证结果进行分析。

步骤四：根据步骤三的分析结果，如果所建立的形式化模型不满足所有关键性质，则修改ROS源代码或对ROS应用程序进行改进，直至满足所有关键性质；如果满足所有关键性质，则无需进行改进，获得正确的ROS代码或ROS发布订阅应用程序。

本发明提出的ROS底层通讯机制的形式化建模与验证方法中，所述步骤一进一步包括以下步骤：

步骤A1：从ROS开源代码中提取所要建模与描述的主节点(master)、节点(node)、发布器(publication)、订阅器(subscription)、主题管理器(TopicManager)和链接(connection)六个重要模块以及它们的功能与规则；

所述功能包括节点注册、建立链接、发布消息、订阅消息、执行回调；

步骤A2：根据主节点、节点、发布器、订阅器、主题管理器和链接六个模块的功能与规则描述提取出六个模块之间的同步关系，并用消息函数与通道进行表示；

步骤A3：根据消息函数与通道表示的模块之间的同步关系，对每个模块进行形式化建模，并将各模块的建模结果进行组合，结合形成完整的形式化模型。

本发明提出的ROS底层通讯机制的形式化建模与验证方法中，所述步骤二进一步包括以下步骤：

步骤B1：从“发布/订阅”通讯机制的描述中提取ROS应用所必备的关键性质；

步骤B2：根据提取出的关键性质，使用时态逻辑语言，进行对关键性质的形式化表述；

所述关键性质包括：无死锁性、可达性、活性与正确性。

本发明提出的ROS底层通讯机制的形式化建模与验证方法中，所述步骤三进一步包括以下步骤：

步骤C1：根据所述步骤A3形成的形式化模型，在形式化验证工具中建立符合形式化验证工具规则的ROS通讯机制中的形式化模型；

步骤C2：根据所述步骤B2所得到的待验证关键性质的时态逻辑语言表述，在形式化验证工具UPPAAL中转化为符合形式化验证工具规则的表述形式；

步骤C3：在模型声明中，创建一个ROS应用实例情景，在形式化验证工具中描述应用实例中的订阅关系；

步骤C4：根据步骤C1中的形式化模型和步骤C3中的ROS应用实例，对步骤C2中的时态逻辑语言表述的关键性质进行模拟和验证，并对结果进行分析。

本发明提出的ROS底层通讯机制的形式化建模与验证方法中，所述步骤四进一步包括以下步骤：

步骤D1：如果步骤C4的分析结果与模拟存在不满足一条或多条关键性质的反例，则找出不满足所述关键性质的路径状态，并执行步骤D2；否则得到正确的ROS代码或ROS发布订阅应用程序；

步骤D2：根据路径状态得到源代码或ROS应用程序中对应的执行代码，进行完善和修改；

步骤D3：重复步骤C4，如果模拟验证结果不满足所有关键性质，则重新执行步骤D1，否则说明已经得到正确的ROS代码或ROS发布订阅应用程序。

本发明提出的ROS底层通讯机制的形式化建模与验证方法中，通过形式化验证工具使用模型检测的方法对所述形式化模型及ROS应用程序进行形式化验证；若验证通过，则所述形式化模型及应用程序均符合规范，否则ROS的设计或ROS机器人应用中存在错误，根据形式化验证工具检测出的反例，对代码进行分析和改进，直至形式化模型与应用程序均符合规范。

本发明提出的ROS底层通讯机制的形式化建模与验证方法中，所述步骤三均是通过形式化验证工具UPPAAL来分别对形式化模型进行验证和分析的。

本发明还提供了上述方法在ROS底层通讯机制形式化建模与验证中的应用。

本发明的有益效果包括：本发明是针对开源的ROS(机器人操作系统)“发布/订阅”通讯机制的形式化建模与验证方法，将ROS底层通讯机制进行了建模，将“发布/订阅”通讯机制中的关键性质通过时态逻辑语句进行表述，能够借助形式化模型验证工具，运用模型检测的方法对该模型以及ROS机器人应用进行全自动化的验证，若验证不通过还可得到反例，以便于更快的确定模型或ROS机器人应用中的错误；本发明ROS底层通讯机制的形式化建模与验证方法，可以用于验证所有使用了主题通讯机制ROS机器人应用，通过模型检测的方式来验证应用程序的无死锁性、可达性、活性与正确性等。

附图说明

图1为本发明ROS底层通讯机制的形式化建模与验证方法的流程示意图。

图2为本发明ROS底层通讯机制的形式化建模与验证方法中建立的六个模块的依赖与同步关系图。

图3为本发明ROS底层通讯机制的形式化建模与验证方法实例的订阅关系图。

图4是本发明ROS底层主题通讯机制的形式化建模与验证框架示意图。

具体实施方式

结合以下具体实施例和附图，对发明作进一步的详细说明。实施本发明的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本发明没有特别限制内容。

本发明的ROS底层通讯机制的形式化建模与验证方法主要通过ROS的开源代码来建立ROS底层主题通讯的形式化模型，并提取“发布/订阅”通讯机制中ROS所需要的关键性质，结合具体的ROS应用实例，进行ROS的形式化验证。首先通过ROS的开源代码了解ROS各个模块的组成与执行规则，建立包括了ROS中6个功能模块的形式化模型，然后从“发布/订阅”通讯机制中提取符合ROS要求的关键性质，并使用时态逻辑语言进行表述；结合一个具体的ROS应用实例，对该形式化模型以及ROS应用进行验证，验证的方法可以是各种形式化的验证方法，如模型检测、可达性检查等。借助形式化模型验证工具UPPAAL，在形式化模型的验证结果上进行分析ROS实现的正确性并做出改进。

如图1所示，是本发明应用在ROS Kinetic版本中建模与验证的流程图，本发明包括以下步骤：

步骤一：分析ROS Kinetic版本源代码中和主题通讯机制相关的部分，并从中抽取出如图2所示的主节点、节点、发布器、订阅器、主题管理器和链接六个重要模块的功能执行与同步关系，以及节点注册、建立链接、发布消息、订阅消息以及执行回调等功能的具体执行规则。

步骤二：如图4所示，根据步骤一中抽取的ROS的功能模块与执行规则，结合UPPAAL的描述语言，定义ROS底层通讯机制的形式化模型。

对每个模块要使用UPPAAL的描述语言来表述其拥有哪些系统状态，这些系统状态又是如何进行迁移的，进入某个状态后会在什么情况下发出新的信号，新的信号由哪个模块接收，接受的模块会执行什么样的回调等。这些规则定义完毕后，所有基于ROS的应用程序都需要按照这些规则来执行。

上述所定义的六个模块的功能执行与同步关系一起构成了ROS底层通讯机制的形式化模型。该模型可以通过形式化验证的方法来验证模型的性质，同时因为其可执行性，以及ROS是ROS应用的运行平台，因此可以在该形式化模型上执行ROS具体应用实例，并且验证ROS应用的具体性质。

步骤三：从“发布/订阅”通讯机制中提取ROS所需要的关键性质，如无死锁性、可达性、活性与正确性等，根据具体ROS应用实例使用时态逻辑语言进行表述，结合步骤二中所提到的形式化模型，在具体应用上进行验证。对于这些性质，通过形式化模型与具体的ROS应用实例，实施具体的模拟与验证工作，并对模拟验证的结果进行分析。

步骤四：根据模拟验证分析的结果，判断其模拟的轨迹是否正确以及对关键性质是否满足，若有错误或不满足某些关键性质，则需要找出不满足所述关键性质的错误轨迹产生的原因，如链接建立的延时、发布者或订阅者的信息更新不及时以及并发状态导致注册失败等，并根据具体原因对ROS源代码或者ROS机器人应用程序代码进行修改。修改后，重新对形式化模型和ROS应用进行验证，若验证正确，则说明根据ROS源码建立的形式化模型与ROS应用程序的实现代码是正确的，否则，重复步骤三、步骤四，直至验证结果为正确。

实施例

本实施例以如图3中三个节点A、B、C互相订阅的实例为例，根据ROS源码进行形式化建模，并对形式化模型以及基于三个节点互相订阅的ROS的应用进行形式化验证和分析。

本实施例中，运用本发明的ROS底层通讯机制的形式化建模与验证方法对ROS需要的“发布/订阅”通讯机制中的性质进行形式化建模与验证，分析建模与验证结果，得到ROS代码实现的正确性，具体步骤如下：

步骤一：分析并提取“发布/订阅”通讯机制中ROS所需要满足的性质描述，提取其中需要验证的关键性质。

根据“发布/订阅”通讯机制与ROS的通讯要求，所提取的性质包括：每一个节点都应该可以在主节点(master)中进行注册，成为发布者以及订阅者；对于同一个主题，每一个订阅者必然可以和该主题的发布者建立链接；发布者完成在某个主题下的注册后，发布的每一个消息，都可以发送给订阅了这个主题的所有订阅者；而整个ROS在运行过程中，不会有任何情况导致其进入死锁状态。

根据步骤一中提取的关于ROS底层通讯机制建立形式化模型，并使用时态逻辑语言描述其性质规范。

形式化模型包括了具体ROS底层通讯机制所需要的六个模块的模型，其中节点和主节点模块作为最上层的模块，节点在主节点上的注册是通过主题管理器模块来进行的，以及节点在进行消息的发送时，也是通过主题管理器来传递给发布器模块的，同时主题管理器模块也协调着订阅器模块和发布器模块之间的联系，将关注了同一个主题的发布器和订阅器放入彼此的队列，同时主节点模块会告知订阅器模块它所关注的主题的所有发布者的信息。最后发布器模块和订阅器模块会通过链接模块建立连接进行消息的传递与告知。

性质规范是使用线性时态逻辑公式描述的，针对基于“发布/订阅”通讯机制ROS需要满足的性质主要集中在无死锁性、可达性、活性与正确性等方面的五条性质，包括：在ROS整个系统运行过程中无死锁情况的发生；可以在主节点上成功注册一个主题；可以在主节点上订阅某个主题；节点A发出的消息最终可以被订阅他的节点B接收；节点A在任何时间发送的消息都可以成功送达订阅了该主题的节点B。上述五条性质中第一条性质检查的是系统的无死锁性，第二条和第三条性质检查的是系统的可达性，第四条和第五条性质检查的是系统的活性与正确性

步骤二：利用形式化验证工具UPPAAL，使用模型检查的方法对所述形式化模型以及ROS应用进行性质验证，验证形式化模型和ROS应用是否满足“发布/订阅”通讯机制中ROS需要的性质。

步骤三：对步骤二中不满足“发布/订阅”通讯机制中ROS所需要的五条性质进行分析，得出ROS系统设计中，在发布者订阅者的连接建立前，发布者发送的信息无法顺利到达订阅者的结论，找到了ROS开源代码或应用设计中存在的缺陷。

步骤四：对步骤三中找到的ROS开源代码或应用设计中存在的缺陷，在ROS应用中着手代码的修改，完成修改后，重新使用形式化验证工具UPPAAL进行模拟验证，修改后的模拟结果显示，发布者在等待链接建立完毕后再进行发送的消息，都可以顺利到达订阅者处。

本实例中，运用本发明的ROS底层通讯机制的形式化建模与验证方法对ROS的开源代码进行形式化建模验证与分析，通过上述步骤，发现了ROS开源代码存在的缺陷，并通过添加if语句块，改进了ROS开源代码，使得在使用ROS进行机器人应用开发时，基于主题通讯的分布式系统更具有可靠性。

本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以所附的权利要求书为保护范围。

Claims (4)

1.一种ROS底层通讯机制的形式化建模与验证方法，其特征在于，包括以下步骤：

步骤一：根据开源的ROS实现源码，提取出ROS包含的各个功能模块，以及各模块的功能和规则描述，然后建立其关于底层主题通信机制的形式化模型；所述步骤一建立形式化模型包括以下步骤：

步骤A1：从ROS开源代码中提取所要建模与描述的主节点、节点、发布器、订阅器、主题管理器和链接六个重要模块以及它们的功能与规则；

所述功能包括节点注册、建立链接、发布消息、订阅消息、执行回调；

步骤A2：根据主节点、节点、发布器、订阅器、主题管理器和链接六个模块的功能与规则描述提取出六个模块之间的同步关系，并用消息函数与通道进行表示；

步骤A3：根据消息函数与通道表示的模块之间的同步关系，对每个模块进行形式化建模，并将各模块的建模结果进行组合，结合形成完整的形式化模型；

步骤二：从“发布/订阅”通讯机制中提取需要验证的关键性质，并用时态逻辑语言来描述性质；所述关键性质包括：无死锁性、可达性、活性与正确性；

步骤三：使用形式化验证工具，通过所建立的形式化模型，结合具体的ROS应用实例，对提取的关键性质进行形式化验证，并对验证结果进行分析；

步骤四：根据步骤三的分析结果，如果所建立的形式化模型不满足所有关键性质，则修改ROS源代码或对ROS应用程序进行改进，直至满足所有关键性质；如果满足所有关键性质，则无需进行改进，获得正确的ROS代码或ROS发布订阅应用程序。

2.如权利要求1所述的ROS底层通讯机制的形式化建模与验证方法，其特征在于，所述步骤二从“发布/订阅”通讯机制中提取关键性质，用时态逻辑语言描述性质包括以下步骤：

步骤B1：从“发布/订阅”通讯机制的描述中提取ROS应用所必备的关键性质；

步骤B2：根据提取出的关键性质，使用时态逻辑语言，进行对关键性质的形式化表述；

所述关键性质包括：无死锁性、可达性、活性与正确性。

3.如权利要求2所述的ROS底层通讯机制的形式化建模与验证方法，其特征在于，所述步骤三使用形式化验证工具，通过所建立的形式化模型结合具体的ROS发布订阅应用实例，对提取的关键性质进行形式化验证，并对验证结果进行分析包括以下步骤：

步骤C1：根据所述步骤A3形成的形式化模型，在形式化验证工具中建立符合形式化验证工具规则的ROS通讯机制中的形式化模型；

步骤C2：根据所述步骤B2所得到的待验证关键性质的时态逻辑语言表述，在形式化验证工具中转化为符合形式化验证工具规则的表述形式；

步骤C3：在模型声明中，创建一个ROS应用实例情景，在形式化验证工具中描述应用实例中的订阅关系；

步骤C4：根据步骤C1中的形式化模型和步骤C3中的ROS应用实例，对步骤C2中的时态逻辑语言表述的关键性质进行模拟和验证，并对结果进行分析。

4.如权利要求3所述的ROS底层通讯机制的形式化建模与验证方法，其特征在于，所述步骤四修改ROS源代码或ROS机器人应用程序直至满足所有关键性质包括以下步骤：

步骤D1：如果步骤C4的分析结果与模拟存在不满足一条或多条关键性质的反例，则找出不满足所述关键性质的路径状态，并执行步骤D2；否则得到正确的ROS代码或ROS发布订阅应用程序；

步骤D2：根据路径状态得到源代码或ROS应用程序中对应的执行代码，进行完善和修改；

步骤D3：重复步骤C4，如果模拟验证结果不满足所有关键性质，则重新执行步骤D1，否则说明已经得到正确的ROS代码或ROS发布订阅应用程序。

Images