面向ima資源安全性分析的aadl到ecpn模型轉(zhuǎn)換方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種系統(tǒng)資源配置中的安全性分析方法，具體涉及一種面向綜合模塊 化航空電子（MA)系統(tǒng)資源安全性分析的架構(gòu)分析和設(shè)計(jì)語(yǔ)言(AADL)到擴(kuò)展著色petri網(wǎng) (ECPN)的模型轉(zhuǎn)換技術(shù)，屬于航空電子系統(tǒng)建模與分析領(lǐng)域。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)和軟件技術(shù)的發(fā)展，綜合模塊化航空電子IMA被廣泛應(yīng)用于航空電子 系統(tǒng)。相比于傳統(tǒng)的航空電子所包括的傳感器設(shè)備、計(jì)算資源和通信網(wǎng)絡(luò)，IMA提供了一個(gè) 可共享并且靈活的硬件和軟件資源通用平臺(tái)[參考文件l:Watkins C B，Walter R.Transitioning from federated avionics architectures to integrated modular avionics[C]//Digital Avionics Systems Conference，2007·DASC' 07·IEEE/AIAA 26th. IEEE，2007:2.A. 1-1-2.A. 1-10.]。由于架構(gòu)固有的強(qiáng)健的分區(qū)機(jī)制，頂A平臺(tái)上可以 駐留不同安全等級(jí)的航空電子應(yīng)用。ARINC 653標(biāo)準(zhǔn)(航空電子應(yīng)用標(biāo)準(zhǔn)軟件接口）提出的 時(shí)間和空間分區(qū)是IMA系統(tǒng)的核心概念[參考文件2:Airlines Electronic Engineering Committee.Avionics Application Software Standard Interface[M].Aeronautical Radio，1997.]。時(shí)間分區(qū)保證了通信網(wǎng)絡(luò)和處理時(shí)間片等共享資源可以完全被一個(gè)分區(qū)占 用而不被其他分區(qū)干擾，也保證了應(yīng)用的實(shí)時(shí)性要求?？臻g分區(qū)保證了應(yīng)用在共享資源時(shí) 僅使用預(yù)先分配的物理資源。由于這種分區(qū)機(jī)制，時(shí)間資源和物理資源的分配都很重要。只 有當(dāng)每個(gè)應(yīng)用程序分配足夠的時(shí)間資源和物理資源時(shí)，應(yīng)用才能正確運(yùn)行并且滿足實(shí)時(shí)要 求。因此，在設(shè)計(jì)階段對(duì)IMA系統(tǒng)資源的建模與分析是不可缺少的步驟。
[0003] 綜合模塊化航空電子設(shè)備架構(gòu)是由兩個(gè)主要標(biāo)準(zhǔn)定義的。ARINC 653標(biāo)準(zhǔn)用于民 用領(lǐng)域而ASAAC標(biāo)準(zhǔn)用于軍事領(lǐng)域。本發(fā)明介紹的頂A體系結(jié)構(gòu)基于ARINC 653標(biāo)準(zhǔn)[參考文 件3:Prisaznuk P J.ARINC 653role in integrated modular avionics(IMA)[C]// Digital Avionics Systems Conference,2008.DASC 2008.IEEE/AIAA 27th. IEEE,2008: l.E. 5-1-1 ·Ε· 5-10·]，如圖1所示，IMA體系結(jié)構(gòu)分為三層:應(yīng)用層(Application layer)、操 作系統(tǒng)層（Operating layer)和硬件支持層(Hardware support layer)，層與層之間由定 義的API(應(yīng)用程序接口）連接，不同的應(yīng)用駐留在不同分區(qū)。應(yīng)用層與操作系統(tǒng)層之間為標(biāo) 準(zhǔn)接口 APEX，操作系統(tǒng)層與硬件支持層之間為C0-EX接口。應(yīng)用軟件和操作系統(tǒng)、操作系統(tǒng) 和硬件分區(qū)之間相互隔離，資源不能共享。分區(qū)是調(diào)度和資源分配的基本單位。
[0004] 分區(qū)是ARINC653標(biāo)準(zhǔn)的核心概念，它包括時(shí)間和空間分區(qū)。一個(gè)分區(qū)里的所有的 進(jìn)程能夠訪問分配給該分區(qū)的資源，而不同分區(qū)的應(yīng)用分布在不同的時(shí)間和空間域中。應(yīng) 用通過時(shí)間分區(qū)和空間分區(qū)來(lái)使用共享資源有利于保護(hù)自身不受其他應(yīng)用干擾。利用這種 魯棒性的分區(qū)機(jī)制，不同關(guān)鍵等級(jí)的應(yīng)用能夠在不影響系統(tǒng)可靠性和安全性的條件下成功 集成到同一個(gè)處理平臺(tái)上。但時(shí)間資源和物理資源的分配是否充足直接影響應(yīng)用程序的正 確執(zhí)行，然而資源的分配是一個(gè)復(fù)雜且容易出錯(cuò)的過程，通常系統(tǒng)設(shè)計(jì)者可以利用建模和 分析方法完成該過程。
[0005] 2004年11月自動(dòng)化工程師協(xié)會(huì)(SAE)發(fā)布了架構(gòu)分析和設(shè)計(jì)語(yǔ)言(AADLhAADL建 模能夠很好的描述和分析軟硬件架構(gòu)以及實(shí)時(shí)系統(tǒng)的組件關(guān)聯(lián)。此外，抽象的軟件，硬件和 系統(tǒng)組件，以及支持屬性的擴(kuò)展，有利于建模和分析復(fù)雜的嵌入式實(shí)時(shí)系統(tǒng)。AADL標(biāo)準(zhǔn)包含 文本AADL、圖形AADL、XML交換格式以及附件庫(kù)。在AADL模型中，建模元素和其之間的關(guān)系如 圖2所不[參考文件4:Feiler P H，Gluch D P，Hudak J J.The architecture analysis& design language(AADL):An introduction[R].Carnegie-Mellon Univ Pittsburgh PA Software Engineering Inst，2006. ] AADL的組件包括三類：應(yīng)用軟件、硬件和系統(tǒng)組件。 軟件組件描述了可執(zhí)行的二進(jìn)制代碼和數(shù)據(jù)，包括進(jìn)程、線程、線程組、數(shù)據(jù)和子程序，硬件 組件則描述了計(jì)算資源和軟件與硬件的綁定關(guān)系。處理器、存儲(chǔ)器、總線和設(shè)備組成了執(zhí)行 平臺(tái)組件。軟件、硬件和其他組件通過系統(tǒng)組件，集成在一起構(gòu)成一個(gè)系統(tǒng)架構(gòu)。
[0006] AADL支持在不同的層次中進(jìn)行系統(tǒng)建模。首先對(duì)系統(tǒng)的各個(gè)模塊及其交互進(jìn)行總 體的建模，然后逐步優(yōu)化每個(gè)模塊中的建模元素。具體AADL建模過程如下：
[0007] (1)根據(jù)需求分析，選擇合適的組件類型和一些組件元素（即特征、流和屬性）。
[0008] (2)為每個(gè)組件創(chuàng)建組件實(shí)現(xiàn)，然后將所需的元素(例如子組件、連接方式、流和屬 性)添加到組件實(shí)現(xiàn)，對(duì)其進(jìn)行組件類型的優(yōu)化處理。
[0009] (3)建立系統(tǒng)組件類型和實(shí)現(xiàn)來(lái)表示系統(tǒng)的邊界。將所有的組件實(shí)現(xiàn)及其聯(lián)系添 加到系統(tǒng)實(shí)現(xiàn)。
[0010] AADL是目前使用最廣泛的方法來(lái)設(shè)計(jì)和開發(fā)嵌入式實(shí)時(shí)系統(tǒng)。AADL模型能夠描述 系統(tǒng)架構(gòu)，同時(shí)基于AADL模型各種非功能性屬性可以進(jìn)行驗(yàn)證，有助于在系統(tǒng)設(shè)計(jì)階段快 速發(fā)現(xiàn)各種問題，減少系統(tǒng)開發(fā)和維護(hù)成本。AADL更適合應(yīng)用于強(qiáng)實(shí)時(shí)性需求和高可靠性， 有資源約束(如尺寸、重量和功率)的嵌入式系統(tǒng)，例如航空航天、醫(yī)療設(shè)備、工業(yè)控制過程 領(lǐng)域。AADL自身有許多附件，也支持對(duì)系統(tǒng)屬性集的擴(kuò)展，方便對(duì)系統(tǒng)的精確建模。值得注 意的是，在ARINC653附件中已經(jīng)完全定義了IMA架構(gòu)到AADL模型的映射規(guī)則。使用這些建模 規(guī)則，IMA系統(tǒng)的AADL模型可以很容易地建立，該模型很好地描述了時(shí)間資源和物理資源的 分配。AADL主要用于調(diào)度性分析、可靠性分析和自動(dòng)代碼生成。
[0011]在AADL附件中，ARINC 653附件被用于對(duì)系統(tǒng)架構(gòu)的建模，該模型符合ARINC 653 或類似的分區(qū)架構(gòu)的標(biāo)準(zhǔn)，因此，可以采用ARINC653附件對(duì)MA架構(gòu)進(jìn)行建模。用AADL組件 表示IMA系統(tǒng)的主要方法如表1所示。
[0012] 表1 ARINC653附件映射關(guān)系
[0013]
[0014] 在ARINC 653附件中，AADL進(jìn)程組件代表ΜΑ系統(tǒng)的分區(qū)，AADL線程組件表示分區(qū) 中運(yùn)行的任務(wù)。AADL進(jìn)程組件以及AADL線程組件分別對(duì)應(yīng)綁定到虛擬處理器和虛擬內(nèi)存單 元，這表明分區(qū)在時(shí)間和空間域上相互隔離，虛擬處理器定義調(diào)度策略、安全等級(jí)、健康狀 態(tài)監(jiān)控器和相應(yīng)的分區(qū)的錯(cuò)誤處理，虛擬內(nèi)存單元對(duì)每個(gè)分區(qū)分配專用的內(nèi)存區(qū)域，使得 每個(gè)分區(qū)之間是空間隔離的。分區(qū)內(nèi)通信和分區(qū)間通信都可以通過端口組件、數(shù)據(jù)組件以 及連接組件建模。圖形的AADL模型直觀地顯示了頂A系統(tǒng)的分區(qū)架構(gòu)，而文本的AADL模型不 僅用文本語(yǔ)言描述系統(tǒng)架構(gòu)，同時(shí)詳細(xì)地定義了系統(tǒng)的屬性值。所以，IMA系統(tǒng)的資源分配 可以很容易地通過AADL建模。然而ARINC 653附件通過自然語(yǔ)言只描述了從ARINC653類型 的系統(tǒng)到AADL模型的映射關(guān)系，這對(duì)開發(fā)人員很容易引起誤解和歧義，就系統(tǒng)的動(dòng)態(tài)行為 和交互而言，使用AADL模型來(lái)分析有時(shí)會(huì)受到限制。
[0015] 在AADL模型中，系統(tǒng)的行為以及交互的描述隱含在屬性中，很難進(jìn)行動(dòng)態(tài)的分析。 目前，模型轉(zhuǎn)換的方法已經(jīng)被廣泛的使用來(lái)分析系統(tǒng)的動(dòng)態(tài)特性。在模型轉(zhuǎn)換過程中，源模 型中的隱含信息將會(huì)被顯示在目標(biāo)模型中，并且目標(biāo)模型一般都是成熟的形式化模型。現(xiàn) 有的研究都是將AADL模型轉(zhuǎn)化為資源分配、可調(diào)度性、可靠性以及其他方面的數(shù)學(xué)模型，而 對(duì)于分區(qū)架構(gòu)，利用ARINC 653附件，AADL模型可以對(duì)分區(qū)架構(gòu)精確的建模，然而對(duì)于分區(qū) 架構(gòu)系統(tǒng)的資源分配主要是關(guān)于可調(diào)度性分析，缺乏時(shí)間資源和空間資源的綜合分析。
[0016] Petri網(wǎng)（PN)[參考文件5 :Peterson J L.Petri net theory and the modeling of systems[J]. 1981.]由C. A.Petri在1962年提出，有著嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)定義和直觀的圖形化 描述，并且可以精確地對(duì)異步計(jì)算和并行計(jì)算系統(tǒng)的行為建模。近十年來(lái)，petri網(wǎng)的抽象 能力以及描述能力不斷被加強(qiáng)，包括時(shí)間petri網(wǎng)、著色petri網(wǎng)以及分層petri網(wǎng)在內(nèi)的一 些被優(yōu)化的petri網(wǎng)逐漸可以滿足各種各樣的建模需求。
[0017] 著色petri網(wǎng)（CPN)是一種高級(jí)的petri網(wǎng)，它將傳統(tǒng)petri網(wǎng)以及擴(kuò)展之后的函數(shù) 化編程語(yǔ)言standML進(jìn)行了結(jié)合，下面介紹基本的著色petri網(wǎng)及其行為。
[0018] 定義 1:著色petri網(wǎng)表示為一個(gè)9元組CPN=(X，P，T，A，N，C，G，E，I);
[0019] · Σ是一個(gè)有限類型集，也叫做顏色集。
[0020] · P={pi，p2，p3, . . .，ρη}表示有限庫(kù)所集，η>0。
[0021] · T={ti，t2,…，tm}表示有限變迀集，iTTr = 0，m>O。
[0022] · Je(PxT)U(TxP)表示有限邊集，Γ 門 p =