初探一种构件化入式软件设计模型验证工具.docVIP

初探一种构件化嵌入式软件设计模型验证工具 8 1 引言 　　嵌入式计算系统已经广泛的应用于生活中的各个领域，如：交通、能、医疗、控制、通信、军事等。近年随着计算机硬性能的不断提高，嵌入式系统中软的规模和复杂性不断增加，使软对整个系统的影响逐渐占据了统治地位。关键系统中的嵌入式软失效将会导致生命与财产的重大损失。因此，嵌入式软通常具有极高的功能可靠性、严格的实时性等要求，如何保证系统同时满足给定的功能和非功能需求已成为当前高可信嵌入式计算领域中的研究热点。目前，工业界已有一些比较有效的嵌入式软测试和调试方法（如：在处理器中嵌入IE 功能，调试代理软，TAG 模拟等）。但从软工程的角度看，这些方法都是在系统的开发中后期阶段所使用，而在嵌入式软设计与分析的前期阶段还缺乏有效的方法和工具对系统设计进行分析与验证。 　　本基于接口自动机模型对构化嵌入式软设计（BESD: pnent-BasedEbedded Sftare Designs）的分析与验证方法展开进一步研究，在Elipse 开放平台上实现了一个BESD的模型分析与验证原型工具T-BESD（a Tl fr pnent-based EbeddedSftare Designs）。该工具的目的是应用于构化嵌入式软开发的设计建模阶段，对设计者所关心的系统重要功能性质以及与时间相关的实时行为性质进行严格形式化分析和验证，提高系统可靠性的可信度。 　　本内容安排如下：第2 节中给出了非实时功能行为验证以及实时功能行为验证的理论基础，包括：描述系统动态行为的多种接口自动机模型，基于场景的系统规约描述模型，以及形式化分析与验证的抽象算法等。在第3 节中给出了原型工具T-BESD 的基本设计思想，非实时功能行为验证模块以及实时功能行为验证模块的设计与实现，包括：工具输入输出接口设计、状态空间数据结构设计、基于场景的系统规约模型的输入预处理、具体验证算法的设计与实现等。第4 节中给出了应用实例研究；最后是相关工作比较和结束语，对本中原型工具的特点、意义以及进一步的工作进行简要讨论。 　　2 工具的理论基础 　　软工程中的构化设计方法学通过复用和组合软模块构造系统，从而提高系统开发效率和可靠性。通常，一个复杂的嵌入式系统由多个计算子系统构成，其软系统也具有较高的构化特征，因此，构化的设计已成为解决嵌入式软设计复杂性问题的一种手段。与此同时，构接口之间的交互场景也成为体现系统行为复杂性的一个重要方面。 　　本中所讨论的原型工具就是使用形式化的接口自动机模型对系统构接口动态行为进行设计建模，并使用UL 交互概观图模型描述多种基于场景的构交互行为规约，然后应用形式化分析算法对设计模型是否满足系统规约进行分析和验证。 　　21 建模系统构以及组合行为 　　接口自动机（interfae autata，简称IA）是用刻画软构接口交互行为时序特征的一种形式化语言。它描述了一个构被使用的时候其对外界环境的输入假设和输出保证，即构内方法被调用的先后次序以及构对外环境输出调用信息或结果的次序。 　　输入动作可以用建模：1）构内可以被调用的方法或过程；2）通信信道的接收端；3）调用外部过程的返回等。输出动作可以用建模：1）对其他构中的方法或过程的调用；2）通信信道的发送消息端；3）构中方法或过程的调用结束时的返回；4）构中方法或过程执行中出现的异常返回，等。内部动作则表达了两个构在组合过程中的同步交互行为。 　　考虑到嵌入式软的实时性建模需求，需要对IA 进行实时语义的扩展，以增强接口自动机对实时系统的描述能力。直观上，对接口自动机每一个转换添加时间区间约束，以表示此转换发生的最小、最大时限；扩展后的模型称为实时接口自动机。 　　我们使用接口自动机的组合状态空间表达多构系统的组合行为；自动机组合状态空间中每一条可能的状态转换序列用表达多构系统的一个组合行为轨迹。基本IA 和扩展的RTIA 组合状态空间的定义略有不同，以下只给出了RTIA 组合空间（实时接口自动机网络）的定义；不带时间语义的基本接口自动机的组合定义参见献。 　　22 基于场景的交互行为规约 在基于场景的系统规约中，通常将一个系统相对独立的功能模块建模为一个场景描述。这个场景表达了参与其中的各构之间如何进行交互。进一步的，在系统设计阶段，还会关心有多个简单场景组合起的复杂场景需求，即需要考虑多个简单场景之间的逻辑关系。 　　交互概观图（Interatin vervie Diagras）是在UL2 规范中引入的一种用以描述系统中复杂交互场景的动态行为模型。交互概观图本质上是将活动图模型与顺序图模型结合在一起，图中的每一个节点都可以视为一个用顺序图表达的简单交互场景，然后利用活动图所提供的顺序、迭代、并发、选择等操作将多个不同的顺序图场景联系在一起；这样就