一种基于控制器局域网的信息物理系统的验证方法

一种基于控制器局域网的信息物理系统的验证方法
【专利摘要】一种基于控制器局域网的信息物理系统的验证方法，首先通过建立基于控制器局域网的信息物理系统的验证模型，然后将待验证性质以时序逻辑公式的形式进行规范表示，进而对基于控制器局域网的信息物理系统进行验证。对基于控制器局域网的信息物理系统进行形式化验证和分析时，采用经典模型检验技术对运行于理想环境下的系统进行功能上的正确性验证，同时采用统计模型检验技术对运行于复杂环境中的系统在不同系统规模、不同报文发送/接收失败概率、不同节点失效概率参数下的性能进行分析。本发明能够有效解决基于控制器局域网的信息物理系统验证的规模和实时性问题，有助于在设计和实现基于控制器局域网的信息物理系统过程中增强系统的可靠性。
【专利说明】一种基于控制器局域网的信息物理系统的验证方法
【技术领域】
[0001]本发明涉及一种基于控制器局域网的信息物理系统的验证方法，主要利用模型检验形式化验证技术来解决基于控制器局域网的信息物理系统的验证问题，属于信息物理系统、计算机和软件验证的交叉技术应用领域。
【背景技术】
[0002]信息物理系统(Cyber-Physical Systems, CPS)是一个在环境感知的基础上,深度融合了计算、通信和控制能力的可控可信可扩展的网络化物理设备系统，它通过计算进程和物理进程相互影响的反馈循环实现深度融合和实时交互来增加或扩展新的功能，以安全、可靠、高效和实时的方式监测或者控制一个物理实体。信息物理系统的最终目标是实现信息世界和物理世界的完全融合，构建一个可控、可信、可扩展并且安全高效的CPS网络，并最终从根本上改变人类构建工程物理系统的方式。信息物理系统在功能方面着重考虑性能优化，是集计算、通信与控制3C (Computation, Communication, Control)于一体的智能技术。现在，CPS技术已经得到了国际工商业界和许多大型国际公司的高度关注，发展速度极为迅速，已被应用于交通、医疗、能源等多个重要发展领域，具有广阔的应用前景。
[0003]控制器局域网(ControllerArea Network, CAN)是一种现场总线(Field Bus),是由BOSCH公司开发的一种串行数据通信协议，它最初的目的是为了解决汽车中控制与测试仪器之间大量的数据交换问题。CAN是一种多主总线，它可以采用双绞线、同轴电缆或者是光导纤维作为其通信介质，具有通信速率高、连接方便快捷、可靠性强以及性价比高等多个特点。CAN总线可以有效地支持分布式和实时控制系统，现已被广泛应用于交通工具、控制设备、工业自动化、建筑和医疗仪器等领域。CAN总线极其适用于在汽车环境中使用。在现代汽车的设计和生产中，CAN总线已经成为了必不可少的设备，多种汽车的内部控制系统与各检测执行机构间的数据通信都是通过CAN总线来实现的。CAN总线在信息物理系统中也得到了使用，可形成车载信息物理系统等。
[0004]形式化验证方法是以严格的数学理论，如逻辑学、自动机、图论等为基础，使用数学的公式、定理和系统来精确描述和分析复杂计算机系统的方法。目前的形式化验证方法可以用于验证硬件系统、软件系统和其他系统，而且形式化验证的技术目前也已经发展到不但可以验证系统的功能正确性(有没有错误)，而且可以验证系统的性能指标(功耗、散热、延迟等)。形式化验证方法主要分为定理证明和模型检验两类。
[0005]模型检验(Model Checking)是目前较为常用的形式化验证方法,其基本思想是将系统抽象成一个有穷状态模型，用有限状态机表示系统的状态迁移结构，用模态/时序逻辑公式表示系统的性质，通过遍历系统的有限状态机的所有可能路径，从而检验系统是否具有所要验证的性质。首先，用户需要输入系统模型(可能的行为)的描述和需求规范(期望的行为)的描述，然后模型检验工具会进行自动化验证。如果验证结果为性质不满足，工具会提供一个反例说明在何种环境下会产生该错误。这个反例包括了一个场景，在该场景中模型的行为与期望的方式不符。因此反例提供了模型是错误并需要改进的证据。这使得用户可以找出错误，并且在继续检验之前修订模型的规范。如果没有发现错误，用户可以优化模型的描述，并重新验证。

【发明内容】

[0006]技术问题:本发明的目的是提供一种基于控制器局域网的信息物理系统的验证方法，使用规范统一的形式化建模语言和规约语言对系统进行建模，并结合系统的功能和性能方面进行验证和分析，解决系统的验证问题，克服验证在规模、动态性和资源约束等方面的挑战，从而提高系统验证的效率，有助于研究人员在设计和实现系统过程中增强系统的
可靠性。
[0007]技术方案:本发明所述的基于控制器局域网的信息物理系统的验证方法为:首先通过建立基于控制器局域网的信息物理系统的验证模型，然后通过将待验证性质以时序逻辑公式的形式进行表示，接着采用经典模型检验技术对运行于理想环境下的基于控制器局域网的信息物理系统进行正确性验证，最后采用统计模型检验技术对运行于复杂环境中的基于控制器局域网的信息物理系统进行验证和评估来对系统进行形式化验证和分析。
[0008]基于控制器局域网的信息物理系统的验证方法流程如下:
[0009]步骤I)构建基于控制器局域网的信息物理系统的形式化验证模型:
[0010]步骤11)为基于控制器局域网的信息物理系统划分功能模块，将基于控制器局域网的信息物理系统具体划分为以下五个功能模块:物理世界、传感器、控制器局域网总线、控制器以及执行器；
[0011]步骤12)定义各功能模块之间的交互关系，为基于控制器局域网的信息物理系统的各功能模块定义以下相互之间的交互关系:传感器通过对物理世界的感知，采集物理信息，对信息进行处理，再将经过处理的信息通过控制器局域网总线发送到控制器；控制器在接收到由传感器采集并传输过来的信息后，针对物理环境和系统中用户需求的改变，产生指令并将该指令发送给执行器；执行器接收控制器发送过来的执行指令，并通过实体间的自主协调来执行系统所要求的相应操作，对物理世界组件的状态和行为进行调整，使其适应物理世界的动态变化；
[0012]步骤13)根据基于控制器局域网的信息物理系统的特点，分析每个模块的逻辑功能，为每个模块划分其所可能处于的各种状态；
[0013]步骤14)结合系统中每个模块的功能以及执行过程，为每个模块中的状态建立状态迁移规则，包括常量约束、变量约束、时钟约束以及同步约束；
[0014]步骤15)结合控制器局域网协议中对总线上所连接节点的故障状态的判定，为相应模块添加故障界定；
[0015]步骤16)根据经过上述步骤分析出来的状态及其迁移条件，建立每个功能模块的时间自动机，所述的时间自动机是添加了时间方面约束的状态转换系统；
[0016]步骤17)在步骤16)所建立的每个功能模块的时间自动机中，针对基于控制器局域网的信息物理系统运行环境中的不确定因素，包括报文发送和接收失败和传感器节点失效，将相应模块的时间自动机扩展成随机时间自动机；
[0017]步骤18)根据系统各功能模块之间的交互关系，整合所有模块从而构建系统的形式化验证模型，对基于控制器局域网的信息物理系统的整体工作流程进行描述；[0018]步骤2 )根据验证需求以及所采用的形式化验证工具，使用时序逻辑语言将待验证性质进行规范的形式化表示，使其能正确地被验证工具所接受；
[0019]步骤3)采用经典模型检验技术对运行于理想环境下的基于控制器局域网的信息物理系统进行正确性验证；所述经典模型检验技术是一种形式化验证方法，该方法将要验证的系统抽象成一个有穷状态模型，用有限状态机表示系统的状态迁移结构，用模态逻辑公式或时序逻辑公式表示系统的性质，通过遍历系统的有限状态机的所有可能路径，以检验上述要验证的系统是否具有所要验证的性质；所述模态逻辑是计算机科学中非经典逻辑的一个分支，研究必然、可能及其相关概念的逻辑性质；模态逻辑公式是描述模态逻辑的表达式。所述时序逻辑也叫时态逻辑，是计算机科学中非经典逻辑的一个分支学科，时序逻辑把含有时态动词的语句形式化，并且把含有这种语句的推理系统化；时序逻辑公式是描述时态逻辑的表达式；
[0020]步骤31)验证系统不存在死锁，如果验证结果为性质满足，则死锁性质验证成功；如果验证结果为性质不满足，则查看和分析模型检验工具提供的反例运行轨迹，记录产生死锁的系统运行路径；
[0021]步骤32)验证系统中所有状态之间的可达关系，如果对于一个状态，其可达性性质验证结果为性质满足，则可达性性质验证成功；如果验证结果为性质不满足，则查看和分析模型检验工具提供的反例运行轨迹，记录引起状态不可达的系统运行路径；
[0022]步骤4)采用统计模型检验技术对运行于复杂环境中的基于控制器局域网的信息物理系统进行验证和评估，对系统在不同系统规模、不同报文发送/接收失败概率、不同节点失效概率参数下的性能进行分析；
[0023]步骤41)分别设置不同的系统规模参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着系统规模发生改变而变化的情况，记录造成系统性能降低的系统规模参数；
[0024]步骤42)分别设置不同的报文发送/接收失败概率参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着报文发送/接收失败概率发生改变而变化的情况，记录造成系统性能降低的报文发送/接收失败概率参数；
[0025]步骤43)分别设置不同的节点失效概率参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着节点失效概率发生改变而变化的情况，记录造成系统性能降低的节点失效概率参数。
[0026]有益效果:本发明提出了一种基于控制器局域网的信息物理系统的验证方法。通过使用本发明所提出的验证方法对基于控制器局域网的信息物理系统进行形式化验证，可以提高系统验证的效率，克服验证在系统规模、实时性等方面的挑战，从而很好地解决系统的验证问题，有助于研究人员在设计和实现基于控制器局域网的信息物理系统过程中增强系统的可靠性。具体来说，本发明所述的方法具有如下的有益效果:
[0027](I)本发明所述的基于控制器局域网的信息物理系统的验证方法，对物理世界、传感器、控制器局域网总线、控制器以及执行器建立基于时间自动机的验证模型，实现了建模语言的统一以及正确、无二义性的建模，为基于控制器局域网的信息物理系统的验证工作提供了规范的模型。
[0028](2)本发明所述的基于控制器局域网的信息物理系统的验证方法，采用经典模型检验技术对系统功能上的相关正确性性质进行验证，可以缩小验证范围，并通过在小规模系统上的验证结果来指导系统设计，有助于提高系统的可靠性和可信度。
[0029](3)本发明所述的基于控制器局域网的信息物理系统的验证方法，采用统计模型检验技术对基于控制器局域网的信息物理系统在不同系统规模、不同报文发送/接收失败概率、不同节点失效概率参数下的性能进行分析，有助于对系统在复杂环境下的运行性能进行量化分析，从而帮助系统设计人员优化系统设计，改善系统性能。
【专利附图】

【附图说明】
[0030]图1是基于控制器局域网的信息物理系统的验证方法流程示意图。
[0031]图2是基于控制器局域网的信息物理系统各功能模块交互关系的序列图。
[0032]图3是报文发送和接收随机时间自动机示意图。
[0033]图4是传感器节点失效随机时间自动机示意图。
【具体实施方式】
[0034]下面根据附图和实施例对本发明作更详细的描述。
[0035]本发明提出一种基于控制器局域网的信息物理系统的验证方法，该方法的流程如图1所示。本发明的【具体实施方式】为:
[0036]第一阶段:构建基于控制器局域网的信息物理系统的形式化验证模型
[0037]步骤I)为基于控制器局域网的信息物理系统划分功能模块
[0038]将基于控制器局域网的信息物理系统具体划分为以下五个功能模块:物理世界、传感器、控制器局域网总线、控制器以及执行器。本实施例中，物理世界模块表示物理世界的状态变化，传感器模块表示控制器局域网总线上所连接的节点所处的状态，控制器局域网总线模块表示控制器局域网总线所处的状态，控制器模块表示总线上节点发送报文时的位仲裁过程，执行器模块表示执行器接收系统控制器的指令并对物理世界的状态进行控制调整的状态。
[0039]步骤2)定义各功能模块之间的交互关系
[0040]为基于控制器局域网的信息物理系统的各功能模块定义以下相互之间的交互关系:传感器通过对物理世界的感知，采集物理信息，对信息进行一定的处理，再将经过处理的信息通过控制器局域网总线发送到控制器；控制器在接收到由传感器采集并传输过来的信息后，针对物理环境和系统中用户需求的改变，产生指令并将该指令发送给执行器；执行器接收控制器发送过来的执行指令,并通过实体间的自主协调来执行系统所要求的相应操作，对物理世界组件的状态和行为进行调整，使其适应物理世界的动态变化。本实施例中，所建立的基于控制器局域网的信息物理系统各功能模块交互关系的序列图如图2所示。
[0041]步骤3)根据基于控制器局域网的信息物理系统的特点，分析每个模块的逻辑功能，为每个模块划分其所可能处于的各种状态。
[0042]步骤4)结合系统中每个模块的功能以及执行过程，为每个模块中的状态建立状态迁移规则，包括常量约束、变量约束、时钟约束以及同步约束等。
[0043]步骤5)结合控制器局域网协议中对总线上所连接节点的故障状态的判定，为相应模块添加故障界定。本实施例中，故障状态可以分为三种:主动错误、被动错误和总线关闭。其中，主动错误状态是可以正常参与系统中节点通信的状态，被动错误状态是易引起错误的状态，总线关闭状态是不能参加系统内通信的状态。
[0044]步骤6)根据经过上述步骤分析出来的状态及其迁移条件，建立每个功能模块的时间自动机。所述的时间自动机是添加了时间方面约束的状态转换系统。
[0045]步骤7)在步骤6)所建立的每个模块的时间自动机中，针对基于控制器局域网的信息物理系统运行环境中的不确定因素，如报文发送和接收失败、传感器节点失效，将相应模块的时间自动机扩展成随机时间自动机。本实施例中，报文发送和接收随机时间自动机如图3所示，其中，状态Stl表示节点正处于发送/接收状态，状态S1表示报文发送/接收成功，状态S2表示报文发送/接收失败；传感器节点失效随机时间自动机如图4所示，其中，状态Sci表示节点处于正常工作状态,状态S1表示节点处于失效状态。
[0046]步骤8)根据系统各功能模块之间的交互关系，整合所有模块从而构建系统的形式化验证模型，对基于控制器局域网的信息物理系统的整体工作流程进行描述。
[0047]第二阶段:根据验证需求以及所采用的形式化验证工具，使用时序逻辑语言将待验证性质进行规范的形式化表示，使其能正确地被验证工具所接受。本实施例中，系统不存在死锁的性质使用时序逻辑语言公式表示如下:ADnotdeadlock ;可达性性质使用时序逻辑语言公式表示如下:E ο ψ。
[0048]第三阶段:采用经典模型检验技术对运行于理想环境下的基于控制器局域网的信息物理系统进行正确性验证。所述经典模型检验技术是一种形式化验证方法，该方法将要验证的系统抽象成一个有穷状态模型，用有限状态机表示系统的状态迁移结构，用模态/时序逻辑公式表示系统的性质，通过遍历系统的有限状态机的所有可能路径，以检验上述要验证的系统是否具有所要验证的性质。
[0049]步骤I)验证系统不存在死锁。如果验证结果为性质满足，则死锁性质验证成功；如果验证结果为性质不满足，则查看和分析模型检验工具提供的反例运行轨迹，记录产生死锁的系统运行路径。
[0050]步骤2)验证系统中所有状态之间的可达关系。如果对于一个状态，其可达性性质验证结果为性质满足，则可达性性质验证成功；如果验证结果为性质不满足，则查看和分析模型检验工具提供的反例运行轨迹，记录引起状态不可达的系统运行路径。
[0051]第四阶段:采用统计模型检验技术对运行于复杂环境中的基于控制器局域网的信息物理系统进行验证和评估，对系统在不同系统规模、不同报文发送/接收失败概率、不同节点失效概率参数下的性能进行分析。
[0052]步骤I)分别设置不同的系统规模参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着系统规模发生改变而变化的情况，记录造成系统性能降低的系统规模参数。
[0053]步骤2)分别设置不同的报文发送/接收失败概率参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着报文发送/接收失败概率发生改变而变化的情况，记录造成系统性能降低的报文发送/接收失败概率参数。
[0054]步骤3)分别设置不同的节点失效概率参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着节点失效概率发生改变而变化的情况，记录造成系统性能降低的节点失效概率参数。
【权利要求】
1.一种基于控制器局域网的信息物理系统的验证方法，其特征在于该方法所包含的步骤为: 步骤I)构建基于控制器局域网的信息物理系统的形式化验证模型: 步骤11)为基于控制器局域网的信息物理系统划分功能模块，将基于控制器局域网的信息物理系统具体划分为以下五个功能模块:物理世界、传感器、控制器局域网总线、控制器以及执行器； 步骤12)定义各功能模块之间的交互关系，为基于控制器局域网的信息物理系统的各功能模块定义以下相互之间的交互关系:传感器通过对物理世界的感知，采集物理信息，对信息进行处理，再将经过处理的信息通过控制器局域网总线发送到控制器；控制器在接收到由传感器采集并传输过来的信息后，针对物理环境和系统中用户需求的改变，产生指令并将该指令发送给执行器；执行器接收控制器发送过来的执行指令，并通过实体间的自主协调来执行系统所要求的相应操作，对物理世界组件的状态和行为进行调整，使其适应物理世界的动态变化； 步骤13)根据基于控制器局域网的信息物理系统的特点，分析每个模块的逻辑功能，为每个模块划分其所可能处于的各种状态； 步骤14)结合系统中每个模块的功能以及执行过程，为每个模块中的状态建立状态迁移规则，包括常量约束、变量约束、时钟约束以及同步约束； 步骤15)结合控制器局域网协议中对总线上所连接节点的故障状态的判定，为相应模块添加故障界定； 步骤16)根据经过上述步 骤分析出来的状态及其迁移条件，建立每个功能模块的时间自动机，所述的时间自动机是添加了时间方面约束的状态转换系统； 步骤17)在步骤16)所建立的每个功能模块的时间自动机中，针对基于控制器局域网的信息物理系统运行环境中的不确定因素，包括报文发送和接收失败和传感器节点失效，将相应模块的时间自动机扩展成随机时间自动机； 步骤18)根据系统各功能模块之间的交互关系，整合所有模块从而构建系统的形式化验证模型，对基于控制器局域网的信息物理系统的整体工作流程进行描述； 步骤2)根据验证需求以及所采用的形式化验证工具，使用时序逻辑语言将待验证性质进行规范的形式化表示，使其能正确地被验证工具所接受； 步骤3)采用经典模型检验技术对运行于理想环境下的基于控制器局域网的信息物理系统进行正确性验证；所述经典模型检验技术是一种形式化验证方法，该方法将要验证的系统抽象成一个有穷状态模型，用有限状态机表示系统的状态迁移结构，用模态逻辑公式或时序逻辑公式表示系统的性质，通过遍历系统的有限状态机的所有可能路径，以检验上述要验证的系统是否具有所要验证的性质； 步骤31)验证系统不存在死锁，如果验证结果为性质满足，则死锁性质验证成功；如果验证结果为性质不满足，则查看和分析模型检验工具提供的反例运行轨迹，记录产生死锁的系统运彳丁路径； 步骤32)验证系统中所有状态之间的可达关系，如果对于一个状态，其可达性性质验证结果为性质满足，则可达性性质验证成功；如果验证结果为性质不满足，则查看和分析模型检验工具提供的反例运行轨迹，记录引起状态不可达的系统运行路径；步骤4)采用统计模型检验技术对运行于复杂环境中的基于控制器局域网的信息物理系统进行验证和评估，对系统在不同系统规模、不同报文发送/接收失败概率、不同节点失效概率参数下的性能进行分析； 步骤41)分别设置不同的系统规模参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着系统规模发生改变而变化的情况，记录造成系统性能降低的系统规模参数； 步骤42)分别设置不同的报文发送/接收失败概率参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着报文发送/接收失败概率发生改变而变化的情况，记录造成系统性能降低的报文发送/接收失败概率参数； 步骤43)分别设置不同的节点失效概率参数，对基于控制器局域网的信息物理系统进行性能评估，采集性能信息，获得系统性能随着节点失效概率发生改变而变化的情况，记录造成系统性能降低的节点失效概率 参数。
【文档编号】G06F11/22GK103885864SQ201410077878
【公开日】2014年6月25日 申请日期:2014年3月5日 优先权日:2014年3月5日
【发明者】陈志 , 曾雅芸, 岳文静 申请人:南京邮电大学