JP2007241435A - モデル生成装置及びモデル生成用プログラム - Google Patents
モデル生成装置及びモデル生成用プログラム Download PDFInfo
- Publication number
- JP2007241435A JP2007241435A JP2006059803A JP2006059803A JP2007241435A JP 2007241435 A JP2007241435 A JP 2007241435A JP 2006059803 A JP2006059803 A JP 2006059803A JP 2006059803 A JP2006059803 A JP 2006059803A JP 2007241435 A JP2007241435 A JP 2007241435A
- Authority
- JP
- Japan
- Prior art keywords
- model
- conversion rule
- primitive
- input
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
【課題】設計対象の分野特有の要求仕様に応じた設計モデルを容易に生成する。
【解決手段】監視対象の状態遷移を表現した原始モデルを入力する原始モデル入力手段111と、原始モデルの変換規則を要求仕様と対応付けて格納するモデル変換規則格納手段113と、要求仕様を入力する要求仕様入力手段112と、入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する設計モデル生成手段114を備える。
【選択図】図1
【解決手段】監視対象の状態遷移を表現した原始モデルを入力する原始モデル入力手段111と、原始モデルの変換規則を要求仕様と対応付けて格納するモデル変換規則格納手段113と、要求仕様を入力する要求仕様入力手段112と、入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する設計モデル生成手段114を備える。
【選択図】図1
Description
この発明は状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成するモデル生成装置及びモデル生成用プログラムに関するものである。
従来のモデル生成装置では、性能評価モデル作成にかかる時間及びコストを削減するために、例えば特許文献1に示すように、UML(Unified Modeling Language)モデルを解析した結果に応じて変換規則を適用することで性能評価モデルを自動的に生成できるようにしている。
従来のモデル生成装置は以上のように構成され、UMLモデル解析部の解析結果に応じて変換規則を選択するため、その結果、入力したUMLモデルに対して単一の性能評価モデルしか生成できず、設計対象の分野特有の要求仕様に応じた設計モデルを容易に生成することができないという課題があった。
この発明は、上記のような課題を解決するためになされたもので、設計対象の分野特有の要求仕様に応じた設計モデルを容易に生成することができるモデル生成装置及びモデル生成用プログラムを得ることを目的とする。
この発明に係るモデル生成装置は、監視対象の状態遷移を表現した原始モデルを入力する原始モデル入力手段と、原始モデルの変換規則を要求仕様と対応付けて格納するモデル変換規則格納手段と、要求仕様を入力する要求仕様入力手段と、該要求仕様入力手段により入力された要求仕様に対応する原始モデルの変換規則を上記モデル変換規則格納手段より取得し、上記原始モデル入力手段により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する設計モデル生成手段を備えたものである。
この発明により、設計対象の分野特有の要求仕様に応じた設計モデルを容易に生成することができるという効果が得られる。
実施の形態1.
図1はこの実施の形態1におけるモデル生成装置の構成を示すブロック図である。このモデル生成装置は、原始モデル入力手段111、要求仕様入力手段112、モデル変換規則格納手段113及び設計モデル生成手段114を備えている。
図1はこの実施の形態1におけるモデル生成装置の構成を示すブロック図である。このモデル生成装置は、原始モデル入力手段111、要求仕様入力手段112、モデル変換規則格納手段113及び設計モデル生成手段114を備えている。
図1において、原始モデル入力手段111は設計者から監視対象の状態遷移を表現した原始モデルを入力する。この原始モデルはモデル生成装置によって生成される設計モデルの元となるものである。モデル変換規則格納手段113は原始モデルの変換規則を要求仕様と対応付けて格納すると共に後述の伝送路モデルを格納する。
要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図2は図1に示すモデル生成装置を実現するコンピュータの構成を示すブロック図である。コンピュータ1は、ディスプレイ2、キーボード3、ポインティングデバイス4、CPU5、メモリ6及びハードディスク7を備えている。なお、表示(出力)装置はディスプレイ2に、入力装置はキーボード3やポインティングデバイス4に、記憶装置はメモリ6やハードディスク7に限定されるものではない。
この実施の形態1においては、列車におけるブレーキ監視装置に搭載するソフトウェアの設計を行う場合の処理の流れを説明する。一般に、列車には電気ブレーキが採用されていることが多い。電気ブレーキは電気回路の故障によりブレーキ力を失うことがある。ブレーキ監視装置は電気回路の故障によるブレーキの故障及び故障からの復帰を監視することを目的とした装置である。
図3は要求仕様入力手段112により要求仕様として入力される監視システムの構成を示す図である。この監視システムの構成は監視装置121と監視対象(原始モデル)123が伝送路122によって一対一で接続されている。
図4は図3に示す監視システムにおける伝送路122の伝送路モデルを示す図であり、伝送路122が取り得る状態と状態間の遷移を示している。この伝送路モデルは、伝送路122が正常な正常状態(OK状態)及び伝送路122が故障した異常状態(NG状態)の2状態を有し、伝送路122が故障すると正常状態から異常状態に遷移し、伝送路122が復帰すると異常状態から正常状態に遷移する。
図5は原始モデル入力手段111により入力される監視対象の原始モデルとしてのブレーキモデルを示す図であり、監視対象のブレーキが取り得る状態と状態間の遷移を示している。このブレーキモデルは、ブレーキが正常な正常状態(OK状態)及びブレーキが故障した異常状態(NG状態)の2状態を有し、ブレーキが故障すると正常状態から異常状態に遷移し、ブレーキが復帰すると異常状態から正常状態に遷移する。
図6はモデル変換規則格納手段113に格納され対応付けられている要求仕様と原始モデルの変換規則の例を示す図であり、要求仕様が図3に示す監視システムの場合の原始モデルの変換規則を示している。
図6において、要求仕様が図3に示す監視システムの場合の原始モデルの変換規則は以下のようになっている。
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
ここで、モデルAがモデルBに対して監視性依存関係を持つとは、モデルAが異常状態の場合、監視装置121はモデルBの状態を監視できないという依存関係があることを表す。このとき、モデルAをモデルBの監視性依存先モデル又は単に依存先モデルと呼ぶ。
例えば、図3に示す監視システムの場合、伝送路122が異常状態の場合には、監視装置121は監視対象123からの伝送データを受信できず、監視装置121は監視対象123を監視できない。このため、図6の変換規則2に挙げたように、伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持ち、伝送路モデルが依存先モデルとなる。
例えば、図3に示す監視システムの場合、伝送路122が異常状態の場合には、監視装置121は監視対象123からの伝送データを受信できず、監視装置121は監視対象123を監視できない。このため、図6の変換規則2に挙げたように、伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持ち、伝送路モデルが依存先モデルとなる。
図7はこの実施の形態1におけるモデル生成装置の概略処理を示すフローチャートである。
ステップST1において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として図3に示す監視システムを入力する。
ステップST1において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として図3に示す監視システムを入力する。
ステップST2において、原始モデル入力手段111は設計者から監視対象123であるブレーキが取り得る状態と状態間の遷移を示すブレーキモデル(図5)を監視対象の原始モデルとして入力し設計モデル生成手段114に出力する。
ステップST3において、設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様(監視システム)に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された監視対象の原始モデル(ブレーキモデル)を、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図8は設計モデル生成手段114により設計モデルとして生成された監視装置モデルを示す図であり、伝送路及びブレーキが取り得る状態と状態間の遷移を示している。すなわち、この監視装置モデルはブレーキ及び伝送路が正常状態、ブレーキが異常状態で伝送路が正常状態並びに伝送路が異常状態の3状態と、状態間の遷移を示している。
図8に示す監視装置モデルの詳細な生成方法については後述する。
図8に示す監視装置モデルの詳細な生成方法については後述する。
図9はこの実施の形態1におけるモデル生成装置の詳細処理を示すフローチャートである。ここでは、図2に示すコンピュータの構成と関連させて説明する。
ステップST11において、要求仕様入力手段112はハードディスク7上のモデル変換規則格納手段113に格納されている要求仕様の一覧を取得してディスプレイ2に出力する。ステップST12において、要求仕様入力手段112はディスプレイ2に表示された要求仕様の一覧から設計者によりキーボード3又はポインティングデバイス4を用いて選択された要求仕様を入力してメモリ6に保持する。
ステップST11において、要求仕様入力手段112はハードディスク7上のモデル変換規則格納手段113に格納されている要求仕様の一覧を取得してディスプレイ2に出力する。ステップST12において、要求仕様入力手段112はディスプレイ2に表示された要求仕様の一覧から設計者によりキーボード3又はポインティングデバイス4を用いて選択された要求仕様を入力してメモリ6に保持する。
ステップST13において、設計モデル生成手段114はメモリ6に保持されている要求仕様に対応した原始モデルの変換規則をハードディスク7上のモデル変換規則格納手段113から取得してメモリ6に保持する。ステップST14において、原始モデル入力手段111は設計者よりキーボード3又はポインティングデバイス4を用いて指示された監視対象の原始モデルを入力してメモリ6に保持する。
ステップST15において、設計モデル生成手段114は変換規則により監視対象の原始モデルの変換が終了したか否かを判定し、変換が終了していない場合には、ステップST16において、設計モデル生成手段114はメモリ6に保持されている原始モデルの変換規則に基づき、メモリ6に保持されている監視対象の原始モデルを変換する。変換した監視対象の原始モデルは一時的にメモリ6に保持される。設計モデル生成手段114は、メモリ6に保持されている全ての変換規則による監視対象の原始モデルの変換が終了するまで、ステップST15,ST16の処理を繰り返す。
ステップST17において、設計モデル生成手段114は、全ての変換規則により変換が完了した時点でメモリ6に保持されている変換された監視対象の原始モデルを設計モデルとしてメモリ6に保持し、生成した設計モデルをディスプレイ2に出力する。
以上の全ての処理はCPU5の命令に従って実行される。
以上の全ての処理はCPU5の命令に従って実行される。
図9に示す処理では、要求仕様を入力後に原始モデルを入力しているが、その順番は限定されるものではなく、原始モデルを入力後に要求仕様を入力しても良い。
次に図8に示す設計モデルとしての監視装置モデルの生成方法について説明する。
まず、設計モデル生成手段114は、図6に示す変換規則1により、原始モデル入力手段111により入力された図5に示す監視対象の原始モデル(ブレーキモデル)と図4に示す伝送路モデルを合成し、4状態のモデルを生成する。ここでの合成は、文献“Systems and Software Verification:Model-Checking Techniques and Tools”(2001 Berard)の14ページ“1.5 Synchronized Product”に記述されている手法を用いて複数のモデルを一つのモデルにまとめることを意味する。
まず、設計モデル生成手段114は、図6に示す変換規則1により、原始モデル入力手段111により入力された図5に示す監視対象の原始モデル(ブレーキモデル)と図4に示す伝送路モデルを合成し、4状態のモデルを生成する。ここでの合成は、文献“Systems and Software Verification:Model-Checking Techniques and Tools”(2001 Berard)の14ページ“1.5 Synchronized Product”に記述されている手法を用いて複数のモデルを一つのモデルにまとめることを意味する。
図10は図6に示す変換規則1により変換された4状態のモデルを示す図である。ここでは、ブレーキ及び伝送路が正常状態、ブレーキが正常状態で伝送路が異常状態、ブレーキが異常状態で伝送路が正常状態並びにブレーキ及び伝送路が異常状態の4状態と、状態間の遷移を示している。
次に、設計モデル生成手段114は、図6に示す変換規則2及び変換規則3により、依存先モデルである伝送路が異常状態、すなわち、「ブレーキが正常状態で伝送路が異常状態」と「ブレーキ及び伝送路が異常状態」とを併合する
ここで、一般的に状態Aと状態Bの併合とは以下の処理を示している。
1.状態A及び状態B間の遷移を削除し、状態A及び状態Bを1つの状態Cとする。
2.遷移先が状態A又は状態Bである全ての遷移を遷移元の状態毎にグループ分けする。
3.各グループについて、そのグループの遷移元の状態をPとし以下の処理を実施する。
3−1.状態Pから状態Cへの遷移を追加する。
3−2.状態Pから状態A及び状態Pから状態Bへのそれぞれの遷移条件の論理和を状態Pから状態Cへの遷移条件とする。
3−3.状態Pから状態A、状態Pから状態Bへの遷移を削除する。
4.状態Aからの遷移(遷移先をQとする)全てについて以下の処理を実施する。
4−1.状態Cから状態Qへの遷移を追加する。
4−2.状態Aから状態Qへの遷移条件のガード条件に「状態Aであること」を追加した遷移条件を、状態Cから状態Qへの遷移条件とする。
4−3.状態Aから状態Qへの遷移を削除する。
5.状態Bからの遷移(遷移先をRとする)全てについて以下の処理を実施する。
5−1.状態Cから状態Rへの遷移を追加する。
5−2.状態Bから状態Rへの遷移条件のガード条件に「状態Bであること」を追加した遷移条件を、状態Cから状態Rへの遷移条件とする。
5−3.状態Bから状態Rへの遷移を削除する。
6.上記4、5の結果、状態Cから同じ状態Sへの遷移が複数ある場合、これらの状態を状態Cから状態Sへの1つの遷移にまとめ、遷移条件を、まとめる前の遷移条件の論理和とする。
1.状態A及び状態B間の遷移を削除し、状態A及び状態Bを1つの状態Cとする。
2.遷移先が状態A又は状態Bである全ての遷移を遷移元の状態毎にグループ分けする。
3.各グループについて、そのグループの遷移元の状態をPとし以下の処理を実施する。
3−1.状態Pから状態Cへの遷移を追加する。
3−2.状態Pから状態A及び状態Pから状態Bへのそれぞれの遷移条件の論理和を状態Pから状態Cへの遷移条件とする。
3−3.状態Pから状態A、状態Pから状態Bへの遷移を削除する。
4.状態Aからの遷移(遷移先をQとする)全てについて以下の処理を実施する。
4−1.状態Cから状態Qへの遷移を追加する。
4−2.状態Aから状態Qへの遷移条件のガード条件に「状態Aであること」を追加した遷移条件を、状態Cから状態Qへの遷移条件とする。
4−3.状態Aから状態Qへの遷移を削除する。
5.状態Bからの遷移(遷移先をRとする)全てについて以下の処理を実施する。
5−1.状態Cから状態Rへの遷移を追加する。
5−2.状態Bから状態Rへの遷移条件のガード条件に「状態Bであること」を追加した遷移条件を、状態Cから状態Rへの遷移条件とする。
5−3.状態Bから状態Rへの遷移を削除する。
6.上記4、5の結果、状態Cから同じ状態Sへの遷移が複数ある場合、これらの状態を状態Cから状態Sへの1つの遷移にまとめ、遷移条件を、まとめる前の遷移条件の論理和とする。
併合には結合法則が成立するため、3状態以上の併合は、任意の2状態に対して上記を繰り返し適用することにより実現できる。
以上により、図8に示す設計モデルが生成される。
以上により、図8に示す設計モデルが生成される。
図11は監視対象の原始モデルとしての他のブレーキモデルを示す図であり、監視対象のブレーキが取り得る3状態と状態間の遷移を示している。すなわち、このブレーキモデルは、ブレーキが正常な正常状態(OK状態)、ブレーキの故障の可能性を警告する警告状態(WARNING状態)及びブレーキが故障した異常状態(NG状態)の3状態と、状態間の遷移を示している。
図12は図11に示すブレーキモデルの場合に設計モデル生成手段114により設計モデルとして生成された監視装置モデルを示す図であり、伝送路及びブレーキが取り得る状態と状態間の遷移を示している。すなわち、この監視装置モデルはブレーキ及び伝送路が正常状態、ブレーキが警告状態で伝送路が正常状態、ブレーキが異常状態で伝送路が正常状態並びに伝送路が異常状態の4状態と、状態間の遷移を示している。
生成されたこの設計モデルを用いて設計検証を行うことが可能である。また、開発の次段階に対する成果物として活用することも可能である。
以上のように、この実施の形態1によれば、モデル変換規則格納手段113が原始モデルの変換規則を要求仕様と対応付けて格納し、設計モデル生成手段114が、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することにより、設計対象の分野特有の要求仕様に応じた設計モデルを容易に生成することができるという効果が得られる。
実施の形態2.
図13はこの実施の形態2におけるモデル生成装置の構成を示すブロック図である。このモデル生成装置は、原始モデル入力手段111、要求仕様入力手段112、モデル変換規則格納手段113、可変情報入力手段115及び設計モデル生成手段114を備えている。
図13はこの実施の形態2におけるモデル生成装置の構成を示すブロック図である。このモデル生成装置は、原始モデル入力手段111、要求仕様入力手段112、モデル変換規則格納手段113、可変情報入力手段115及び設計モデル生成手段114を備えている。
図13において、モデル変換規則格納手段113は原始モデルの変換規則を可変情報を含む要求仕様と対応付けて格納する。可変情報入力手段115はモデル変換規則格納手段113に格納されている要求仕様に含まれる可変情報を入力する。設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様と可変情報入力手段115により入力された可変情報に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。その他の原始モデル入力手段111及び要求仕様入力手段112の処理は上記実施の形態1の処理と同じである。
この実施の形態2においても、列車におけるブレーキ監視装置に搭載するソフトウェアの設計を行う場合の処理の流れを説明する。
図14は伝送データが正常か異常かを示すデータ整合性モデルを示す図であり、データ整合性が取り得る状態と状態間の遷移を示している。このデータ整合性モデルは、データが正常な正常状態(OK状態)及びデータが異常な異常状態(NG状態)の2状態を有し、データが異常データであれば正常状態から異常状態に遷移し、データが正常データであれば異常状態から正常状態に遷移する。
図14は伝送データが正常か異常かを示すデータ整合性モデルを示す図であり、データ整合性が取り得る状態と状態間の遷移を示している。このデータ整合性モデルは、データが正常な正常状態(OK状態)及びデータが異常な異常状態(NG状態)の2状態を有し、データが異常データであれば正常状態から異常状態に遷移し、データが正常データであれば異常状態から正常状態に遷移する。
図15はモデル変換規則格納手段113に格納され対応付けられている可変情報を含む要求仕様と原始モデルの変換規則の例を示す図であり、要求仕様が図3に示す監視システムの場合で、要求仕様に含まれる可変情報として伝送データの整合性確認を行う場合と整合性確認を行わない場合が設定され、整合性確認を行う場合と整合性確認を行わない場合の原始モデルの変換規則を示している。
図15において、要求仕様が図3に示す監視システムの場合の原始モデルの変換規則は以下のようになっている。
伝送データの整合性確認を行う場合
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:監視対象の原始モデルとデータ整合性モデルを合成する
変換規則3:伝送路モデルはデータ整合性モデルに対して監視性依存関係を持つ
変換規則4:データ整合性モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則5:監視性依存関係を持つ依存先モデルの異常状態を併合する
伝送データの整合性確認を行わない場合
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
伝送データの整合性確認を行う場合
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:監視対象の原始モデルとデータ整合性モデルを合成する
変換規則3:伝送路モデルはデータ整合性モデルに対して監視性依存関係を持つ
変換規則4:データ整合性モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則5:監視性依存関係を持つ依存先モデルの異常状態を併合する
伝送データの整合性確認を行わない場合
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
図16はこの実施の形態2におけるモデル生成装置の概略処理を示すフローチャートである。
ステップST21において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として、上記実施の形態1の図3に示す監視システムを入力する。
ステップST21において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として、上記実施の形態1の図3に示す監視システムを入力する。
ステップST22において、可変情報入力手段115は設計者からこの監視システムの要求仕様に含まれる可変情報を入力する。この監視システムは可変情報として伝送データの整合性確認を行うか否かを指定することができ、ここでは、可変情報として「整合性確認を行う」を入力する。
ステップST23において、原始モデル入力手段111は設計者から監視対象123であるブレーキが取り得る状態と状態間の遷移を示すブレーキモデルを監視対象の原始モデルとして入力し設計モデル生成部114に出力する。このブレーキモデルは上記実施の形態1の図5に示すものと同じである。
ステップST24において、設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様(監視システム)及び可変情報入力手段115により入力された可変情報(整合性確認を行う)に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された監視対象の原始モデル(ブレーキモデル)を、取得した整合性確認を行う場合の原始モデルの変換規則に基づき上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図17は設計モデル生成手段114により設計モデルとして生成された監視装置モデルを示す図であり、ブレーキ、データ整合性及び伝送路が取り得る状態と状態間の遷移を示している。すなわち、この監視装置モデルは、ブレーキ、データ整合性及び伝送路が正常状態、ブレーキが異常状態でデータ整合性及び伝送路が正常状態、データ整合性が異常状態で伝送路が正常状態並びに伝送路が異常状態の4状態と、状態間の遷移を示している。
この生成された設計モデルを用いて設計検証を行うことが可能である。また、開発の次段階に対する成果物として生成された設計モデルを活用することも可能である。
この生成された設計モデルを用いて設計検証を行うことが可能である。また、開発の次段階に対する成果物として生成された設計モデルを活用することも可能である。
以上のように、この実施の形態2によれば、モデル変換規則格納手段113が原始モデルの変換規則を可変情報を含む要求仕様と対応付けて格納し、可変情報入力手段115がモデル変換規則格納手段113に格納されている要求仕様に含まれる可変情報を入力し、設計モデル生成手段114が、要求仕様入力手段112により入力された要求仕様と可変情報入力手段115により入力された可変情報に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することにより、設計対象の分野特有の多様な要求仕様に応じた設計モデルを容易に生成することができるという効果が得られる。
実施の形態3.
上記実施の形態2では要求仕様に可変情報を含む場合について説明したが、この実施の形態3では原始モデルの変換規則に可変情報を含む場合について説明する。
上記実施の形態2では要求仕様に可変情報を含む場合について説明したが、この実施の形態3では原始モデルの変換規則に可変情報を含む場合について説明する。
この実施の形態3におけるモデル生成装置の構成を示すブロック図は上記実施の形態2の図13と同じである。ただし、図13において、モデル変換規則格納手段113は可変情報を含む原始モデルの変換規則を要求仕様と対応付けて格納する。可変情報入力手段115はモデル変換規則格納手段113に格納されている原始モデルの変換規則に含まれる可変情報に設定するための所定値を入力する。設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、取得した原始モデルの変換規則に含まれる可変情報に可変情報入力手段115により入力された所定値を設定し、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。その他の原始モデル入力手段111及び要求仕様入力手段112の処理は上記実施の形態2の処理と同じである。
この実施の形態3においても、列車におけるブレーキ監視装置に搭載するソフトウェアの設計を行う場合の処理の流れを説明する。
要求仕様入力手段112により要求仕様として入力される監視システムの構成は上記実施の形態1の図3と同じである。
要求仕様入力手段112により要求仕様として入力される監視システムの構成は上記実施の形態1の図3と同じである。
図18はこの実施の形態3における伝送路モデルを示す図であり、伝送路122が取り得る状態と状態間の遷移を示している。この伝送路モデルは、伝送路122が正常な正常状態(OK状態)及び伝送路122が輻輳した異常状態(NG状態)の2状態を有し、伝送路122が伝送タイムアウトになると正常状態から異常状態に遷移し、伝送路122が伝送タイムアウトから復帰すると異常状態から正常状態に遷移する。
図19はモデル変換規則格納手段113に格納され対応付けられている要求仕様と原始モデルの変換規則の例を示す図であり、要求仕様が図3に示す監視システムの場合で、変換規則に含まれる可変情報として、変換規則4に伝送タイムアウトを設定可能な原始モデルの変換規則を示している。
図19において、要求仕様が図3に示す監視システムの場合の原始モデルの変換規則は以下のようになっている。
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
変換規則4:<可変情報>“伝送タイムアウト=Xmsec”として合成する
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
変換規則4:<可変情報>“伝送タイムアウト=Xmsec”として合成する
図20はこの実施の形態3におけるモデル生成装置の概略処理を示すフローチャートである。
ステップST31において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として、上記実施の形態1の図3に示す監視システムを入力する。
ステップST31において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として、上記実施の形態1の図3に示す監視システムを入力する。
ステップST32において、可変情報入力手段115は設計者からモデル変換規則格納手段113に格納されている原始モデルの変換規則に含まれる可変情報に設定するための所定値を入力する。この監視システムでは、図19に示す変換規則1で示されている伝送路モデルが可変情報を持っており、伝送タイムアウトの時間を設定することができる。この内容は図19に示す変換規則4として管理されている。ここでは、可変情報入力手段115は設計者からの指示により伝送タイムアウトの時間200msecを入力する。
ステップST33において、原始モデル入力手段111は設計者から監視対象123であるブレーキが取り得る状態と状態間の遷移を示すブレーキモデルを監視対象の原始モデルとして入力し設計モデル生成手段114に出力する。このブレーキモデルは上記実施の形態1の図5に示すものと同じである。
ステップST34において、設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、取得した原始モデルの変換規則に含まれる可変情報に可変情報入力手段115により入力された所定値を設定する。すなわち、設計モデル生成手段114は、可変情報としての変換規則4の変数Xに200を代入して、次の変換規則4を設定する。
変換規則4:“伝送タイムアウト=200msec”として合成する
そして、設計モデル生成手段114は、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
変換規則4:“伝送タイムアウト=200msec”として合成する
そして、設計モデル生成手段114は、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図21は設計モデル生成手段114により設計モデルとして生成された監視装置モデルを示す図であり、ブレーキ及び伝送路が取り得る状態と状態間の遷移を示している。すなわち、この監視装置モデルは、ブレーキ及び伝送路が正常状態、ブレーキが異常状態で伝送路が正常状態並びに伝送路が異常状態の3状態と、状態間の遷移を示している。
この生成された設計モデルを用いて設計検証を行うことが可能である。また、開発の次段階に対する成果物として生成された設計モデルを活用することも可能である。
この生成された設計モデルを用いて設計検証を行うことが可能である。また、開発の次段階に対する成果物として生成された設計モデルを活用することも可能である。
以上のように、この実施の形態3によれば、モデル変換規則格納手段113が可変情報を含む原始モデルの変換規則を要求仕様と対応付けて格納し、可変情報入力手段115がモデル変換規則格納手段113に格納されている原始モデルの変換規則に含まれる可変情報に設定するための所定値を入力し、設計モデル生成手段114が、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、取得した原始モデルの変換規則に含まれる可変情報に可変情報入力手段115により入力された所定値を設定し、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することにより、設計対象の分野特有の多様な要求仕様に応じた設計モデルを容易に生成することができるという効果が得られる。
実施の形態4.
この実施の形態4では、列車用のブレーキ監視装置が故障することを想定して二重化する場合の主系監視装置と待機系監視装置のソフトウェア設計方法について説明する。ここでは、ブレーキ監視装置が主系、待機系ともに故障しない限り、ブレーキ監視が正常に行われることを検証することを目的としている。
この実施の形態4では、列車用のブレーキ監視装置が故障することを想定して二重化する場合の主系監視装置と待機系監視装置のソフトウェア設計方法について説明する。ここでは、ブレーキ監視装置が主系、待機系ともに故障しない限り、ブレーキ監視が正常に行われることを検証することを目的としている。
この実施の形態4におけるモデル生成装置の構成を示すブロック図は上記実施の形態2の図13と同じである。ただし、モデル変換規則格納手段113は原始モデルの変換規則を検証目的の可変情報を含む要求仕様と対応付けて格納する。その他の原始モデル入力手段111、要求仕様入力手段112、可変情報入力手段115及び設計モデル生成手段114の処理は、上記実施の形態2の処理と同じである。
図22は要求仕様入力手段112により要求仕様として入力される監視システムの構成を示す図である。この監視システムの構成では、監視装置である主系監視装置411及び待機系監視装置412と監視対象(原始モデル)414が伝送路413によって二対一で接続されている。
図23は主系監視装置411の主系監視装置モデルを示す図であり、監視を行う主系監視装置411が取り得る状態と状態間の遷移を示している。この主系監視装置モデルは、正常に稼動している稼動状態(RUN状態)及び主系監視装置411が故障した異常状態(NG状態)の2状態を有し、主系監視装置411が故障すると稼動状態から異常状態に遷移し、主系監視装置411が復帰すると異常状態から稼動状態に遷移する。
図24は待機系監視装置412の待機系監視装置モデルを示す図であり、監視を行う待機系監視装置412が取り得る状態と状態間の遷移を示している。この待機系監視装置モデルは、主系監視装置411が故障した場合に正常に稼動している稼動状態(RUN状態)、主系監視装置411が復帰した場合に待機している待機状態(WAIT状態)及び待機系監視装置412が故障した異常状態(NG状態)の3状態を有し、主系監視装置411が故障すると待機状態から稼動状態に遷移し、主系監視装置411が復帰すると稼動状態から待機状態に遷移し、待機系監視装置412が故障した場合に稼動状態又は待機状態から異常状態に遷移し、待機系監視装置412が復帰した場合に異常状態から稼動状態又は待機状態に遷移する。
図25はモデル変換規則格納手段113に格納され対応付けられている要求仕様と原始モデルの変換規則の例を示す図であり、要求仕様が図22に示す監視システムの場合で、要求仕様が検証目的の可変情報として二重故障は起こり得る場合と二重故障は起こらない場合が設定され、二重故障は起こり得る場合と二重故障は起こらない場合の原始モデルの変換規則を示している。
図25において、要求仕様が図22に示す監視システムの場合の原始モデルの変換規則は以下のようになっている。
二重故障は起こり得る場合
変換規則1:監視対象の原始モデルと主系監視装置モデルを合成する
変換規則2:監視対象の原始モデルと待機系監視装置モデルを合成する
二重故障は起こらない場合
変換規則1:監視対象の原始モデルと主系監視装置モデルを合成する
変換規則2:監視対象の原始モデルと待機系監視装置モデルを合成する
変換規則3:主系監視装置モデルと待機系監視装置モデルが同時に異常状態になることはない
二重故障は起こり得る場合
変換規則1:監視対象の原始モデルと主系監視装置モデルを合成する
変換規則2:監視対象の原始モデルと待機系監視装置モデルを合成する
二重故障は起こらない場合
変換規則1:監視対象の原始モデルと主系監視装置モデルを合成する
変換規則2:監視対象の原始モデルと待機系監視装置モデルを合成する
変換規則3:主系監視装置モデルと待機系監視装置モデルが同時に異常状態になることはない
また、この実施の形態4におけるモデル生成装置の概略処理を示すフローチャートは上記実施の形態2の図16と同じである。
図16のステップST21において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として図22に示す監視システムを入力する。
図16のステップST21において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として図22に示す監視システムを入力する。
図16のステップST22において、可変情報入力手段115は設計者からこの監視システムに対応する検証目的の可変情報を入力する。ここでは、検証目的の可変情報として「主系監視装置と待機系監視装置の二重故障は起こらない」を入力する。
図16のステップST23において、原始モデル入力手段111は設計者から監視対象414であるブレーキが取り得る状態と状態間の遷移を示すブレーキモデルを監視対象の原始モデルとして入力し設計モデル生成手段114に出力する。このブレーキモデルは上記実施の形態1の図5に示すものと同じである。
図16のステップST24において、設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様及び可変情報入力手段115により入力された検証目的の可変情報(二重故障は起こらない)に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した二重故障は起こらない場合の原始モデルの変換規則に基づき上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図26は検証目的の可変情報として「主系監視装置と待機系監視装置の二重故障は起こらない」を入力した場合に設計モデル生成手段114により設計モデルとして生成された二重化監視装置モデルを示す図であり、ブレーキ、主系監視装置及び待機系監視装置が取り得る状態と状態間の遷移を示している。すなわち、この二重化監視装置モデルは、ブレーキが正常状態で主系監視装置が稼動状態で待機系監視装置が異常状態、ブレーキが正常状態で主系監視装置が稼動状態で待機系監視装置が待機状態、ブレーキが正常状態で主系監視装置が異常状態で待機系監視装置が稼動状態、ブレーキが異常状態で主系監視装置が稼動状態で待機系監視装置が異常状態、ブレーキが異常状態で主系監視装置が稼動状態で待機系監視装置が待機状態及びブレーキが異常状態で主系監視装置が異常状態で待機系監視装置が稼動状態の6状態と、状態間の遷移を示している。
図26に示す二重化監視装置モデルではブレーキの状態を常に監視することができる。
図26に示す二重化監視装置モデルではブレーキの状態を常に監視することができる。
上記図16のステップST22では、可変情報入力手段115が検証目的の可変情報として「主系監視装置と待機系監視装置の二重故障は起こらない」を入力しているが、検証目的の可変情報として「主系監視装置と待機系監視装置の二重故障は起こり得る」を入力した場合には、二重化監視装置モデルはブレーキの状態を監視することができない状態を有することとなる。
図27は検証目的の可変情報として「主系監視装置と待機系監視装置の二重故障は起こり得る」を入力した場合に設計モデル生成手段114により設計モデルとして生成された二重化監視装置モデルを示す図であり、ブレーキ、主系監視装置及び待機系監視装置が取り得る状態と状態間の遷移を示している。すなわち、この二重化監視装置モデルは、ブレーキが正常状態で主系監視装置が稼動状態で待機系監視装置が異常状態、ブレーキが正常状態で主系監視装置が稼動状態で待機系監視装置が待機状態、ブレーキが正常状態で主系監視装置が異常状態で待機系監視装置が稼動状態、ブレーキが異常状態で主系監視装置が稼動状態で待機系監視装置が異常状態、ブレーキが異常状態で主系監視装置が稼動状態で待機系監視装置が待機状態、ブレーキが異常状態で主系監視装置が異常状態で待機系監視装置が稼動状態並びにブレーキが監視不能状態で主系監視装置及び待機系監視装置が異常状態の7状態と、状態間の遷移を示している。
以上のように、この実施の形態4によれば、モデル変換規則格納手段113が原始モデルの変換規則を可変情報を含む要求仕様と対応付けて格納し、可変情報入力手段115がモデル変換規則格納手段113に格納されている要求仕様に含まれる検証目的の可変情報を入力し、設計モデル生成手段114が、要求仕様入力手段112により入力された要求仕様と可変情報入力手段115により入力された検証目的の可変情報に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、原始モデル入力手段111により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することにより、設計対象の分野特有の多様な要求仕様に応じた設計モデルを容易に生成することができると共に、検証目的の可変情報を指定するので、設計モデルの状態数及び遷移数を抑制することができ、設計検証をより短時間で行うことができるという効果が得られる。
実施の形態5.
この実施の形態5では、上記実施の形態4と同様に、列車用のブレーキ監視装置が故障することを想定して二重化する場合の主系監視装置と待機系監視装置のソフトウェア設計方法について説明する。ここでは、待機系監視装置が故障しないと仮定して検証することを目的としている。
この実施の形態5では、上記実施の形態4と同様に、列車用のブレーキ監視装置が故障することを想定して二重化する場合の主系監視装置と待機系監視装置のソフトウェア設計方法について説明する。ここでは、待機系監視装置が故障しないと仮定して検証することを目的としている。
この実施の形態5におけるモデル生成装置の構成を示すブロック図は上記実施の形態2の図13と同じである。ただし、図13において、モデル変換規則格納手段113は検証目的の可変情報を含む原始モデルの変換規則を要求仕様と対応付けて格納する。可変情報入力手段115はモデル変換規則格納手段113に格納されている原始モデルの変換規則に含まれる検証目的の可変情報に設定するための所定値を入力する。設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、取得した原始モデルの変換規則に含まれる検証目的の可変情報に可変情報入力手段115により入力された所定値を設定し、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された検証目的の可変情報を含む変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。その他の原始モデル入力手段111及び要求仕様入力手段112の処理は上記実施の形態2の処理と同じである。
要求仕様入力手段112により要求仕様として入力される監視システムの構成は上記実施の形態4の図22と同じであり、主系監視装置411の主系監視装置モデルは上記実施の形態4の図23と同じである。
図28は待機系監視装置412の待機系監視装置モデルを示す図であり、監視を行う待機系監視装置412が取り得る状態と状態間の遷移を示している。この待機系監視装置モデルは、主系監視装置411が故障した場合に正常に稼動している稼動状態(RUN状態)、主系監視装置411が復帰した場合に待機している待機状態(WAIT状態)及び待機系監視装置412が故障した異常状態(NG状態)の3状態を有し、主系監視装置411が故障すると待機状態から稼動状態に遷移し、主系監視装置411が復帰すると稼動状態から待機状態に遷移し、待機系監視装置412が故障した場合に稼動状態又は待機状態から異常状態に遷移し、待機系監視装置412が復帰した場合に異常状態から稼動状態又は待機状態に遷移するが、待機系監視装置412の異常状態を可変情報により有効又は無効に設定できるようになっている。
図29はモデル変換規則格納手段113に格納され対応付けられている要求仕様と原始モデルの変換規則の例を示す図であり、要求仕様が図22に示す監視システムの場合で、変換規則の検証目的の可変情報として変換規則3を持ち、待機系監視装置412の異常状態を有効又は無効に設定可能な原始モデルの変換規則を示している。
図29において、要求仕様が図22に示す監視システムの場合の原始モデルの変換規則は以下のようになっている。
変換規則1:監視対象の原始モデルと主系監視装置モデルを合成する
変換規則2:監視対象の原始モデルと待機系監視装置モデルを合成する
変換規則3:<可変情報>待機系監視装置の異常状態を{有効 無効}とする
変換規則1:監視対象の原始モデルと主系監視装置モデルを合成する
変換規則2:監視対象の原始モデルと待機系監視装置モデルを合成する
変換規則3:<可変情報>待機系監視装置の異常状態を{有効 無効}とする
また、この実施の形態5におけるモデル生成装置の概略処理を示すフローチャートは上記実施の形態3の図20と同じである。
図20のステップST31において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。要求仕様として入力された監視システムの構成は上記実施の形態4の図22と同じである。
図20のステップST31において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。要求仕様として入力された監視システムの構成は上記実施の形態4の図22と同じである。
図20のステップST32において、可変情報入力手段115は設計者からモデル変換規則格納手段113に格納されている原始モデルの変換規則に含まれる検証目的の可変情報に設定するための所定値を入力する。この監視システムでは、図29に示す変換規則2で示されている待機系監視装置モデルが検証目的の可変情報を持っており、待機系監視装置の異常状態を有効又は無効と設定することができる。この内容は図29に示す変換規則3として管理されている。ここでは、可変情報入力手段115は設計者からの指示により待機系監視装置の異常状態の無効を入力する。
図20のステップST33において、原始モデル入力手段111は設計者から監視対象414であるブレーキが取り得る状態と状態間の遷移を示すブレーキモデルを監視対象の原始モデルとして入力し設計モデル生成手段114に出力する。このブレーキモデルは上記実施の形態1の図5に示すものと同じである。
図20のステップST34において、設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、取得した原始モデルの変換規則に含まれる可変情報に可変情報入力手段115により入力された所定値を設定する。すなわち、設計モデル生成手段114は、可変情報としての変換規則3に無効を入力し、次の変換規則3を設定する。
変換規則3:待機系監視装置の異常状態を無効とする
そして、設計モデル生成手段114は、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
変換規則3:待機系監視装置の異常状態を無効とする
そして、設計モデル生成手段114は、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図30は「待機系監視装置の異常状態を無効とする」を入力した場合に設計モデル生成手段114により設計モデルとして生成された二重化監視装置モデルを示す図であり、ブレーキ、主系監視装置及び待機系監視装置が取り得る状態と状態間の遷移を示している。すなわち、この二重化監視装置モデルは、ブレーキが正常状態で主系監視装置が稼動状態で待機系監視装置が待機状態、ブレーキが正常状態で主系監視装置が異常状態で待機系監視装置が稼動状態、ブレーキが異常状態で主系監視装置が稼動状態で待機系監視装置が待機状態及びブレーキが異常状態で主系監視装置が異常状態で待機系監視装置が稼動状態の4状態と、状態間の遷移を示している。
図30に示す二重化監視装置モデルではブレーキの状態を常に監視することができる。
図30に示す二重化監視装置モデルではブレーキの状態を常に監視することができる。
なお、この二重化監視装置モデルにおいて、待機系監視装置の異常状態を有効と設定する場合は、上記実施の形態4の図27に示すようなモデルとなり、検証に時間がかかることになる。
以上のように、この実施の形態5によれば、モデル変換規則格納手段113が検証目的の可変情報を含む原始モデルの変換規則を要求仕様と対応付けて格納し、可変情報入力手段115がモデル変換規則格納手段113に格納されている原始モデルの変換規則に含まれる検証目的の可変情報に設定するための所定値を入力し、設計モデル生成手段114が、要求仕様入力手段112により入力された要求仕様に対応する原始モデルの変換規則をモデル変換規則格納手段113より取得し、取得した原始モデルの変換規則に含まれる検証目的の可変情報に可変情報入力手段115により入力された所定値を設定し、原始モデル入力手段111により入力された監視対象の原始モデルを、取得した原始モデルの所定値が設定された検証目的の可変情報を含む変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することにより、設計対象の分野特有の多様な要求仕様に応じた設計モデルを容易に生成することができると共に、検証目的に応じて変換規則の可変情報を指定するので、設計モデルの状態数及び遷移数を抑制することができ、設計検証をより短時間で行うことができるという効果が得られる。
実施の形態6.
この実施の形態6では、CPU監視装置に搭載するソフトウェアの設計時にモデル生成装置に入力する原始モデルに対して、設計者が付加情報を利用してモデル生成のヒントを付加する方法について説明する。
この実施の形態6では、CPU監視装置に搭載するソフトウェアの設計時にモデル生成装置に入力する原始モデルに対して、設計者が付加情報を利用してモデル生成のヒントを付加する方法について説明する。
この実施の形態6におけるモデル生成装置の構成を示すブロック図は上記実施の形態1の図1と同様である。ただし、モデル変換規則格納手段113は、原始モデルの変換規則を要求仕様と対応付けて格納すると共に、原始モデルの変換規則を原始モデルに付加されている付加情報に対応付けて格納する。
図31はモデル変換規則格納手段113に格納され対応付けられている付加情報と原始モデルの変換規則の例を示す図である。図31において、原始モデルに付加されている付加情報と原始モデルの変換規則は以下のようになっている。
付加情報:<<Processor>>
変換規則:原始モデルを二重化する
図31はモデル変換規則格納手段113に格納され対応付けられている付加情報と原始モデルの変換規則の例を示す図である。図31において、原始モデルに付加されている付加情報と原始モデルの変換規則は以下のようになっている。
付加情報:<<Processor>>
変換規則:原始モデルを二重化する
また、設計モデル生成手段114は、原始モデル入力手段111により入力された監視対象の原始モデルに付加されている所定の付加情報を検出した場合に、モデル変換規則格納手段113から所定の付加情報及び要求仕様に対応する原始モデル変換規則を取得し、原始モデル入力手段111により入力された原始モデルを、取得した所定の付加情報及び要求仕様に対応する原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
その他の原始モデル入力手段111及び要求仕様入力手段112の処理は上記実施の形態1と同様である。
その他の原始モデル入力手段111及び要求仕様入力手段112の処理は上記実施の形態1と同様である。
要求仕様入力手段112により要求仕様として入力される監視システムの構成は上記実施の形態1の図3と同じであり、伝送路モデルを示す図は上記実施の形態1の図4と同じである。また、変換規則格納手段113に格納されている原始モデルの変換規則は上記実施の形態1の図6に示す要求仕様に対応する変換規則と、図31に示す付加情報に対応する変換規則から構成されている。
図32は原始モデル入力手段111により入力される監視対象の原始モデルとしてのCPUモデルを示す図であり、監視対象のCPUが取り得る状態と状態間の遷移を示している。このCPUモデルは、CPUが正常に稼動している稼動状態(RUN状態)及びCPUが故障した異常状態(NG状態)の2状態を有し、CPUが故障すると稼動状態から異常状態に遷移し、CPUが復帰すると異常状態から稼動状態に遷移する。また、このCPUモデルには、監視対象がプロセッサであることを示す付加情報<<Processor>>が付加されている。
この実施の形態6では、CPU監視装置に搭載するソフトウェアの設計を行う場合の処理の流れを説明する。
この実施の形態6におけるモデル生成装置の概略処理を示すフローチャートは、上記実施の形態1の図7と同様である。
ステップST1において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として上記実施の形態1の図3に示す監視システムを入力する。
この実施の形態6におけるモデル生成装置の概略処理を示すフローチャートは、上記実施の形態1の図7と同様である。
ステップST1において、要求仕様入力手段112はモデル変換規則格納手段113に格納されている要求仕様の一覧を取得し設計者により選択された要求仕様を入力する。ここでは、要求仕様として上記実施の形態1の図3に示す監視システムを入力する。
ステップST2において、原始モデル入力手段111は設計者から監視対象であるCPUが取り得る状態と状態間の遷移を示すCPUモデル(図32)を監視対象の原始モデルとして入力し設計モデル生成手段114に出力する。なお、このCPUモデルには、付加情報<<Processor>>が付加されている。
ステップST3において、設計モデル生成手段114は、原始モデル入力手段111により入力された監視対象の原始モデル(CPUモデル)に付加されている所定の付加情報を検出した場合に、モデル変換規則格納手段113から所定の付加情報に対応する原始モデルの変換規則を取得する。ここでは付加情報として<<Processor>>を検出した場合に、原始モデルを二重化するという変換規則を取得することができ、図32に示す原始モデル(CPUモデル)を二重化し、要求仕様入力手段112により入力された要求仕様である監視システムを、監視対象を二重化した監視システムに変換する。
図33は設計モデル生成手段114により変換された監視対象を二重化した監視システムを示す図であり、監視装置621と監視対象(CPU1 623、CPU2 624)が伝送路622により一対二で接続されている。
そして、設計モデル生成手段114は、要求仕様入力手段112により入力された要求仕様(監視システム)に対応する原始モデルの変換規則(上記実施の形態1の図6)をモデル変換規則格納手段113より取得し、取得した要求仕様に対応する原始モデルの変換規則に基づき、二重化した原始モデル(CPUモデル)を上記実施の形態1と同様にして変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する。
図34は設計モデル生成手段114により設計モデルとして生成されたCPU監視装置モデルを示す図であり、CPU1、CPU2及び伝送路が取り得る状態と状態間の遷移を示している。すなわち、このCPU監視装置モデルはCPU1及びCPU2が稼動状態で伝送路が正常状態、CPU1が稼動状態でCPU2が異常状態で伝送路が正常状態、CPU1が異常状態でCPU2が稼動状態で伝送路が正常状態、CPU1及びCPU2が異常状態で伝送路が正常状態並びに伝送路が異常状態の5状態と、状態間の遷移を示している。
生成されたこの設計モデルを用いて設計検証を行うことが可能であり、また、開発の次段階に対する成果物として活用することも可能である。
生成されたこの設計モデルを用いて設計検証を行うことが可能であり、また、開発の次段階に対する成果物として活用することも可能である。
以上のように、この実施の形態6によれば、設計モデル生成手段114が、原始モデル入力手段111により入力された監視対象の原始モデルに付加されている所定の付加情報を検出した場合に、モデル変換規則格納手段113から所定の付加情報及び要求仕様に対応する原始モデルの変換規則を取得し、原始モデル入力手段111により入力された原始モデルを、取得した所定の付加情報及び要求仕様に対応する原始モデルの変換規則に基づき変換して、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することにより、設計対象の分野特有の要求仕様に応じた設計モデルを容易に生成することができると共に、原始モデルの付加情報に応じた設計モデルを生成することができ、設計モデルの精度を向上することができるという効果が得られる。
実施の形態7
図35はこの実施の形態7におけるモデル生成装置の構成を示すブロック図である。このモデル生成装置は、原始モデル入力手段111、要求仕様入力手段112、モデル変換規則格納手段113、設計モデル生成手段114及びモデル変換規則入力手段116を備えている。
図35はこの実施の形態7におけるモデル生成装置の構成を示すブロック図である。このモデル生成装置は、原始モデル入力手段111、要求仕様入力手段112、モデル変換規則格納手段113、設計モデル生成手段114及びモデル変換規則入力手段116を備えている。
図35において、モデル変換規則入力手段116は、対象とする要求仕様と原始モデルの変換規則を入力し、要求仕様で伝送路を使用する場合には伝送路モデルを入力し、モデル変換規則格納手段113は、モデル変換規則入力手段117により入力された要求仕様と原始モデルの変換規則を対応付けて格納すると共に伝送路モデルを格納する。その他の原始モデル入力手段111、要求仕様入力手段112及び設計モデル生成部114の処理は、上記実施の形態1の処理と同じである。このように、モデル変換規則入力手段116を備えることにより、モデル生成装置に対して新たなモデル変換規則を追加することが可能となる。
例えば、上記実施の形態1の場合には、モデル変換規則入力手段116は、図3に示す要求仕様(監視システム)、図4に示す伝送路モデルと、次の原始モデルの変換規則を入力する。
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
変換規則1:監視対象の原始モデルと伝送路モデルを合成する
変換規則2:伝送路モデルは監視対象の原始モデルに対して監視性依存関係を持つ
変換規則3:監視性依存関係を持つ依存先モデルの異常状態を併合する
モデル変換規則格納手段113は、モデル変換規則入力手段116により入力された伝送路モデルを格納すると共に、モデル変換規則入力手段116により入力された図3に示す要求仕様(監視システム)と変換規則1から変換規則3を対応付けて上記実施の形態1の図6に示すように格納する。
以上のように、この実施の形態7によれば、上記実施の形態1と同様の効果が得られると共に、モデル変換規則入力手段116が要求仕様と原始モデルの変換規則を入力することにより、モデル変換の対象を拡げることができるという効果が得られる。
1 コンピュータ、2 ディスプレイ、3 キーボード、4 ポインティングデバイス、5 CPU、6 メモリ、7 ハードディスク、111 原始モデル入力手段、112 要求仕様入力手段、113 モデル変換規則格納手段、114設計モデル生成手段、115 可変情報入力手段、116 モデル変換規則入力手段、121 監視装置、122 伝送路、123 監視対象、411 主系監視装置、412 待機系監視装置、413 伝送路、414 監視対象、621 監視装置、622 伝送路、623 監視対象CPU1、624 監視対象CPU2。
Claims (8)
- 監視対象の状態遷移を表現した原始モデルを入力する原始モデル入力手段と、
原始モデルの変換規則を要求仕様と対応付けて格納するモデル変換規則格納手段と、
要求仕様を入力する要求仕様入力手段と、
該要求仕様入力手段により入力された要求仕様に対応する原始モデルの変換規則を上記モデル変換規則格納手段より取得し、上記原始モデル入力手段により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する設計モデル生成手段を備えたモデル生成装置。 - モデル変換規則格納手段は可変情報を含む要求仕様を格納し、
上記モデル変換規則格納手段に格納されている要求仕様に含まれる可変情報を入力する可変情報入力手段を備え、
設計モデル生成手段は、要求仕様入力手段により入力された要求仕様と上記可変情報入力手段により入力された可変情報に対応する原始モデルの変換規則を上記モデル変換規則格納手段より取得し、原始モデル入力手段により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することを特徴とする請求項1記載のモデル生成装置。 - モデル変換規則格納手段は検証目的の可変情報を含む要求仕様を格納することを特徴とする請求項2記載のモデル生成装置。
- モデル変換規則格納手段は可変情報を含む原始モデルの変換規則を格納し、
上記モデル変換規則格納手段に格納されている原始モデルの変換規則に含まれる可変情報に設定するための所定値を入力する可変情報入力手段を備え、
設計モデル生成手段は、要求仕様入力手段により入力された要求仕様に対応する原始モデルの変換規則を上記モデル変換規則格納手段より取得し、取得した原始モデルの変換規則に含まれる可変情報に上記可変情報入力手段により入力された所定値を設定し、原始モデル入力手段により入力された原始モデルを、取得した原始モデルの所定値が設定された可変情報を含む変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することを特徴とする請求項1記載のモデル生成装置。 - モデル変換規則格納手段は検証目的の可変情報を含む原始モデルの変換規則を格納することを特徴とする請求項4記載のモデル生成装置。
- モデル変換規則格納手段は原始モデルの変換規則を原始モデルに付加されている付加情報に対応付けて格納し、
設計モデル生成手段は、原始モデル入力手段により入力された監視対象の原始モデルに付加されている所定の付加情報を検出した場合に、上記モデル変換規則格納手段から所定の付加情報及び要求仕様に対応する原始モデルの変換規則を取得し、原始モデル入力手段により入力された原始モデルを、取得した所定の付加情報及び要求仕様に対応する原始モデルの変換規則に基づき変換して、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成することを特徴とする請求項1記載のモデル生成装置。 - モデル変換規則格納手段に格納される要求仕様と原始モデルの変換規則を入力するモデル変換規則入力手段を備えたことを特徴とする請求項1記載のモデル生成装置。
- コンピュータを
監視対象の状態遷移を表現した原始モデルを入力する原始モデル入力手段、
原始モデルの変換規則を要求仕様と対応付けて格納するモデル変換規則格納手段、
要求仕様を入力する要求仕様入力手段、
該要求仕様入力手段により入力された要求仕様に対応する原始モデルの変換規則を上記モデル変換規則格納手段より取得し、上記原始モデル入力手段により入力された原始モデルを、取得した原始モデルの変換規則に基づき変換し、状態遷移モデル形式で表現されたソフトウェアの設計モデルを生成する設計モデル生成手段として機能させるためのモデル生成用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006059803A JP2007241435A (ja) | 2006-03-06 | 2006-03-06 | モデル生成装置及びモデル生成用プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006059803A JP2007241435A (ja) | 2006-03-06 | 2006-03-06 | モデル生成装置及びモデル生成用プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007241435A true JP2007241435A (ja) | 2007-09-20 |
Family
ID=38586951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006059803A Pending JP2007241435A (ja) | 2006-03-06 | 2006-03-06 | モデル生成装置及びモデル生成用プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007241435A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011501327A (ja) * | 2007-10-26 | 2011-01-06 | マイクロソフト コーポレーション | 宣言型モデルの解釈 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1063330A (ja) * | 1996-08-27 | 1998-03-06 | Mitsubishi Electric Corp | 機器モデル及びシステムモデル並びにシステムモデルの生成方式及びプログラム生成方式 |
| JPH10320187A (ja) * | 1997-05-19 | 1998-12-04 | Mitsubishi Electric Corp | システムモデル化方式及びデータ通信方式 |
| JP2005250974A (ja) * | 2004-03-05 | 2005-09-15 | Ricoh Co Ltd | ソフトウェア開発装置、ソフトウェア開発方法、ソフトウェア開発用プログラム、ソフトウェア、記録媒体、画像形成装置、及び電気機器 |
-
2006
- 2006-03-06 JP JP2006059803A patent/JP2007241435A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1063330A (ja) * | 1996-08-27 | 1998-03-06 | Mitsubishi Electric Corp | 機器モデル及びシステムモデル並びにシステムモデルの生成方式及びプログラム生成方式 |
| JPH10320187A (ja) * | 1997-05-19 | 1998-12-04 | Mitsubishi Electric Corp | システムモデル化方式及びデータ通信方式 |
| JP2005250974A (ja) * | 2004-03-05 | 2005-09-15 | Ricoh Co Ltd | ソフトウェア開発装置、ソフトウェア開発方法、ソフトウェア開発用プログラム、ソフトウェア、記録媒体、画像形成装置、及び電気機器 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011501327A (ja) * | 2007-10-26 | 2011-01-06 | マイクロソフト コーポレーション | 宣言型モデルの解釈 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7694250B2 (en) | Method for design and verification of safety critical systems | |
| JP2007528532A6 (ja) | 安全性重視システムの設計方法 | |
| WO2011148891A1 (ja) | システムモデルからの静的なフォルトツリー解析のシステムと方法 | |
| US10635555B2 (en) | Verifying a graph-based coherency verification tool | |
| US9323823B2 (en) | Method for operating a redundant automation system | |
| CN109716302A (zh) | 用于冗余数据处理的方法和设备 | |
| JP2006343942A (ja) | バスシステム設計方法と装置 | |
| JP2007241435A (ja) | モデル生成装置及びモデル生成用プログラム | |
| JP2013214278A (ja) | 上位階層記述生成装置、上位階層記述生成方法及びプログラム | |
| JPH11261663A (ja) | 通信処理制御手段及びそれを備えた情報処理装置 | |
| JP6890109B2 (ja) | 情報生成装置、情報生成システム及びプログラム | |
| JP7360277B2 (ja) | 航空機の制御システム | |
| CN110309224A (zh) | 一种数据复制方法及装置 | |
| US7949989B2 (en) | Methods, systems and computer program products for layout device matching driven by a schematic editor | |
| JP2011180632A (ja) | 検証装置及び検証方法及び検証プログラム | |
| JP5545133B2 (ja) | 静的解析処理システム、方法、およびプログラム | |
| Kim et al. | A tactic-based approach to embodying non-functional requirements into software architectures | |
| US11797738B2 (en) | Test apparatus, computer readable medium, and test method | |
| JP2003177804A (ja) | シーケンス制御プログラム生成方法、その方法をコンピュータに実行させるプログラムおよびシーケンス制御プログラム生成装置 | |
| JP2002229811A (ja) | 論理分割システムの制御方法 | |
| JP2002202809A (ja) | プラントシミュレーション装置並びにその作動を制御する制御プログラムを記録した記録媒体 | |
| US20190108083A1 (en) | Information processing system and cluster system construction method | |
| JP4752404B2 (ja) | Lsi設計システム、論理修正支援装置及びそれらに用いる論理修正支援方法並びにそのプログラム | |
| Falk et al. | Integrating Hardware/Firmware Verification Efforts Using SystemC High-Level Models. | |
| Tarek et al. | Real-Time Requirements Engineering (RTRE) as Extended to Hard and Soft Real-Time Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070926 |
|
| A621 | Written request for application examination |
Effective date: 20080324 Free format text: JAPANESE INTERMEDIATE CODE: A621 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080627 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110216 |
|
| A131 | Notification of reasons for refusal |
Effective date: 20110628 Free format text: JAPANESE INTERMEDIATE CODE: A131 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111025 |