最差情况执行时间估计值的二次修正方法.pdfVIP

第34卷第 6期 东 北 电 力 大 学 学 报 V01．34．No．6 2014年 12月 JournalOfNortheastDianliUniversity DeC．，2014 文章编号：1005—2992(2014)06-0098—07 最差情况执行时间估计值的二次修正方法 孟凡奇 (东jE电力大学信息工程学院，吉林 吉林 132012) 摘 要：针对基于隐藏路径枚举技术的最差情况执行时间分析方法在估计含非正交多重嵌套循环 (或递归)程序的最差情况执行时间时往往过于保守，估计值过高的问题 ，本文提出了一种最差情况执 行时间估计值的二次修正方法。该方法将通常采用的内层循环 (或递归)语句的局部循环上界修正为 相对于外层循环 (或递归)语句全局执行次数的平均执行次数 ，从而实现了对过高估计值的修正。实验 结果表明，该方法即能够有效降低过高的估计值，又能够保证修正结果是安全的。 关 键 词：安全关键软件；实时控制程序 ；最差情况执行时间；循环边界 中图分类号：TP311．5 文献标识码 ：A 最差情况执行时间(Worst-caseExecutionTime，WCET)是指程序P在处理器 x上的执行时间上限 b。对于任何输入，程序P在处理器x上的执行时间都不超过b_1J。对于某些具有实时性要求的安全关 键系统而言，其控制程序的执行时间一旦超出预定的截止时间则可能造成灾难性的后果。例如汽车的 防抱死制动系统，如果控制程序计算延迟较大，则紧急制动时的距离就会增加，那意味着交通事故发生 的可能性和严重性都会增加。因此 ，近年来很多领域的安全标准 (例如 DO一178、ISO一26262、IEC一 61508和 CENELECEN-50128)都要求提供系统中程序的最差情况执行时间，以证明软件没有违背相 关的安全 目标 。 由于程序的WCET受到其 自身结构、目标处理器的属性和状态以及系统运行环境的多重影响，因 此获得精确的WCET几乎是不可能的，只能通过测量或者分析给出一个估计值 J。目前，常用的WCET 估计方法主要有动态测量与静态分析两类方法。在此基础上又演化出混合方法、基于模拟的方法以及 基于机器学习的方法 等等。 动态测量是通过实际运行程序观察其执行时间的方法 J。由于难 以穷尽程序所有可能的执行路 径，因此，测量的WCET往往小于(至多等于)程序实际的WCET J。这意味着，用此值判定程序一定能 在截止时间内完成是不可信的 (本领域称之为 “不安全”)。所以动态测量的方法通常用于非安全关 键领域 (如航模)。 静态方法无需运行待测程序，而是通过对程序控制流的分析计算 WCET。由于有坚实的理论基础， 因此计算出的WCET比实际的大(是安全的)。也就是说，如果此WCET值能够满足截止时间要求，那 么实际的WCET一定会在安全截止时间之内。 静态分析方法是安全关键领域中程序WCET估计的主流，其中最常用的是隐藏路径枚举技术 (im- plicitpathenumerationtechnique，IPET)。其核心思想是针对程序控制流图中每个基本块的执行次数建 立一系列线性约束，并通过整数规划求解执行时间最大值 J。 尽管隐藏路径枚举技术能够获得大于实际WCET的估计值，但是传统的局部约束法过于保守，尤 收稿 日期：2014—10—15 作者简介：孟凡奇(1981一)，男 ，内蒙古通辽市人，东北电力大学信息工程学院讲师，硕士，主要研究方向：软件安全 第6期 孟凡奇：最差情况执行时间估计值的二次修正方法 99 其是对于含有非正交多重嵌套循环 (或递归)语句的程序，会使WCET估计值过高。从软件开发的角度 看，过高的估计值会使程序的性能被严重低估，从而增添不必要的优化工作，抬高开发成本，甚至延误工 期。从任务调度的角度看，过高的估计值会浪费大量的系统资源，有时还会由于资源紧张而导致任务无 法调度。本文余下部分首先用实验说明含非正交多重嵌套循环 (或递归)语句的程序 WCET被高估的 现象及原因；然后提出针对这种高估的二次修正方法；最后用实验说明