一种面向CPS的二维信号时序逻辑规范运行时监控方法

一种面向cps的二维信号时序逻辑规范运行时监控方法
技术领域
1.本发明属于混成系统验证技术的领域，具体涉及到对cps的复杂行为进行捕捉后设计一种监控算法，通过运行时验证技术来监测cps。


背景技术：

2.信息物理融合系统(cps)是一种网络计算嵌入式系统。它使用基于计算机的算法来自动化和控制网络中硬件和软件组件的功能。其行为是离散事件和物理系统的高度集成。随着cps的不断发展，这种基于模型的设计方法已经在汽车，航空航天，医疗等领域不断被应用。因此，信息物理融合系统的安全运行问题变得至关重要，尤其是那种安全关键系统，一旦出现故障，所带来的后果十分严重。当前信息物理融合系统的一个巨大挑战就是验证问题。形式化验证是一种非常好的验证方法。常见的方法是将特定的信息物理融合系统建模成数学模型，如：混成自动机。然后，利用模型检测算法来验证该系统的正确性。然而，面对这样的复杂系统，模型检测存在着状态空间爆炸问题。尽管很多学者针对模型检测的算法提出了许多优化策略，但对这种复杂系统的一个关键所在是某些行为问题是不可判定的。如果这类行为问题的验证恰恰是特别重要的，那么传统的模型检测算法是不适用的。因此运行时验证技术可以为这一难题提供有效的解决办法，运行时验证是一种轻量级形式化验证，它不用对某个系统进行彻底的检测，只需针对我们需要的关键问题进行验证。
3.运行时验证通过监控目标系统的实际执行轨迹是否满足给定的监控性质，进而实现对系统行为的监测。其监控性质用形式化语言描述，保证了性质的正式性。本文使用信号时序逻辑(stl)作为系统规范性质的语言描述。stl一种表示连续实值信号的形式化语言，它是度量时序逻辑(mtl)的扩展。stl被广泛用于监测密集时间连续信号轨迹。而且，stl特有的鲁棒性满足程度能够定量的分析行为轨迹是否满足其规范。早期的运行时验证采用经典的布尔语义和三值语义(甚至四值语义)对cps行为的信息描述依旧不够充分。比如要求飞机起飞后六分钟内到达2000米高度的要求，更有用的信息是飞机离满足要求还有多远。在低于2000米附近的时候，并没有特别令人担忧。这种将规范结果量化后，更有利于我们做出判断。且计算定量满足程度并不比计算布尔值复杂，因为两者都可以在信号大小的线性复杂度上实现。
4.本发明提出了一种基于stl规范的cps运行时监控框架。通过stl的表示特性以及所特有的鲁棒性满意程度，能够对复杂系统产生的行为实施监控，用于分析并做出决策。生成的监视器可以和被监控系统共同运行，互不干扰。并且可以嵌入到被监测系统中，构建成整个系统框架。另外，大多数监控方法都是使用一维stl规范，本发明的监控方法还可以扩展到二维的stl规范。


技术实现要素：

5.本发明的主要目的在于提供一种新的运行时验证监控方法，以解决现有技术中对信息物理融合系统验证困难问题。本发明通过信号时序逻辑提供规范和收集到的需要关注
的行为轨迹，利用提出的监控算法对其实施监控并分析。其评价函数为ρ：σ
×
φ
×
t
→
b，将给定的轨迹σ、一个stl规范公式φ和一个时间t映射到b域中的一个值ρ。如果ρ(σ
×
φ
×
t)的值大于0，则表示该特性满足，反之表示该特性被违反。另外，本发明不仅仅是定性的判断特性是否违反，还会定量的观察特性的违反程度。
6.本发明是一种面向cps的二维信号时序逻辑规范运行时监控方法，主要包括以下步骤：
7.步骤1：对需要验证的信息物理融合系统充分了解后，收集相关的行为轨迹。
8.对于给定的一个信息物理融合系统，必须了解需要验证的是哪部分组件，运行该系统，收集需要的一些行为轨迹，这些行为轨迹是随着时间变化的有限序列。
9.步骤2：根据需要验证的组件，制定行为规范，这种规范用信号时序逻辑公式来表示。
10.对cps需要验证的stl规范，其获取方式可以利用优化算法来挖掘其规范，或者根据有经验的工程师人为的制定规范。本发明的重点是后续的运行时监控。因此，只需要使用直接提供的stl规范即可。
11.步骤3：设计一种基于二维的信号时序逻辑规范的监控算法。
12.对收集的有限行为轨迹信息(s，t)以及给定的信号时序逻辑规范φ，我们需要设计一种监控算法来验证若满足此公式，则说明系统的行为符合我们的期望。若不满足，则需要对系统采取相关措施。
13.步骤4：生成相关的监视器，将监视器嵌入到被监控的cps中。
14.由步骤3得出的监控算法集成为一个监视器，将监视器与cps系统连接，形成完整的运行时监控框架。该监控框架将监视器获取得到的数据反馈给被监控的cps中，cps根据这些数据进行下一步操作。监视器被嵌入到cps当中，但只有数据之间的交互，因此监视器和cps是并行独立运行的。
15.本发明根据信息物理融合系统与运行时验证结合，对行为轨迹和规范的监控算法进行了修改和完善，为后续进一步的验证和分析工作奠定基础。
附图说明
16.图1为待验证的变速传送带cps系统模型
17.图2为表示变速传送带中人数随时间的变化图
18.图3为表示功率随时间的变化图
19.图4为表示速度随时间的变化图
20.图5为监控算法中所有轨迹与信号时序逻辑规范的鲁棒性满意度值变化图
21.图6为生成的监视器与被监控系统的整体框架流程图
具体实施方式
22.本发明的实施提供了一种面向cps的二维信号时序逻辑规范运行时监控方法，为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和具体实施方式对本发明作进一步详细描述。通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
23.本发明通过一个变速传输带负载问题来具体说明实施方式，变速传输带模型如附图1所示，具体实施方法如下：
24.1.对需要验证的信息物理融合系统充分了解后，收集相关的行为轨迹。
25.信息物理融合系统一种高度复杂的嵌入式混合系统。其行为是由物理和离散两者的结合
26.演变来表征。cps的应用也越来越广泛，我们周围时时刻刻被信息物理融合系统的技术
27.所影响。因此，对这类复杂系统，我们必须充分了解它，才能够很好的使用。
28.变速传输带是一个典型的cps系统实例，它将连续时间、离散事件和有限状态模型结合起来模拟其行为。此模型实时模拟了乘客在传输带时，传输带上的人数随着时间变化的情况、功率随着时间的变化情况以及速度随着时间的变化的情况。如附图2、3、4所示，这里我们模拟了在正常的运行模式下，旅客在传送带上的吞吐量、功率以及速度的变化。其中count表示人数；power表示传送带的功率(power＝1表示满功率)；velocity表示传送带的速度；time代表时间(秒)。通过模拟依次获取了在900秒内，旅客人数、传输带功率和速度的运行轨迹，并生成csv文件。
29.2.根据需要验证的组件，制定行为规范，这种规范用信号时序逻辑公式来表示。
30.信号时序逻辑是一种用于连续和混成系统的实值信号的形式化语言，它是度量时序逻辑的扩展。因为信号时序逻辑是在实值信号和离散信号之间定义，所以特别适合作为解释cps轨迹行为的形式语言。其谓词逻辑也是用实值表示，因此，信号时序逻辑具有强大的可解释性，这种可解释性在cps连续行为轨迹的规范和验证中起到重大作用。信号时序逻辑被广泛应用在监控需求上。针对信号时序逻辑中的谓词逻辑，函数f(x)≤μ也可以代表描述多维信号的谓词逻辑。一般的stl监控方法使用的都是一维信号时序逻辑公式，对某一个因素进行分析，并通过单一的阈值来判断行为轨迹是否符合其规范。但是二维的信号时序逻辑规范更具有解释性，表达能力更强，通过某种线性方程来表示信号时序逻辑公式，使其规范更精确。
31.由于逻辑公式无法直接作为输入，被计算机所识别，我们把信号时序逻辑中的时序算子、布尔算子和关系符作为用字符串的形式表示出来。如g算子，u算子，f算子分别以“a1w”“un”“even”的形式输入。和∧分别用“not”和“and”表示。和分别用“impl”和“equi”来表示。时间t给出其范围，如0＜t＜100。表示在0到100秒内。而谓词逻辑是普通的数学不等式，利用math工具包可直接生成。因此，我们可以通过这些方便计算机输入的形式，任意组合成信号时序逻辑模板，得到具体公式后，带入到步骤3的监控算法中作为输入之一。
32.通过步骤1中的详细模型解释和收集的一些行为轨迹，接下来需要根据我们的期望来制定规范。观察附图2、3、4，发现在900秒内，每300秒为一个周期。为了研究方便，我们只根据前300秒内运行的轨迹来获取规范。在这300秒内，前三分之二的时间段属于高峰期，旅客人数不断增加，此时传送带的功率为满功率。后三分之一时间段是正常时间甚至是空闲时间段，人数较少。功率不需要满功率。观察这300秒内的情况，发现人数、功率和速度在随着时间变化的时候，存在着某种关系，这种关系可以用线性方程来表示。通过这三个因素生成的轨迹，我们的期望是当功率低于满功率时(power＜1)，在300秒内，人数(count)和功
率(power)总是存在某种线性关系。我们使用二维信号时序逻辑公式来表示这样的期望。所以得到的规范模板为：
[0033][0034]
求解stl的规范有很多种方法，比如利用学习算法挖掘公式的参数。这里不讨论规范公式是利用什么具体方法挖掘得到的。因为本专利的重点是对cps行为如何实施监控。针对上述的变速传送带系统所要监控的问题，通过机器学习的优化算法得到如下规范公式：
[0035][0036]
解释为：当功率不是满功率的时候，速度和人数应该始终保持着上述所示的线性关系。
[0037]
3.设计一种基于二维的信号时序逻辑规范的监控算法。
[0038]
本发明的主要目标是构建一个信号时序逻辑监视器评估鲁棒性满意度。因此，需要设计一个算法实现这样的目标。本发明将以往单一的定性监控算法扩展成定量的二维信号时序逻辑监控算法，并增加了一些方便于后续监控实施的内容。
[0039]
通过步骤2得到的信号时序逻辑规范公式：通过步骤2得到的信号时序逻辑规范公式：和收集到的300秒内旅客人数、传送带的功率和速度。接下来只需要验证这是运行时监控的核心。若符合，则说明其行为满足我们的规范期望，否则，不满足。考虑到这是一种定性的判断公式，在技术背景中已经提到过，在监控过程中，定性的判断往往不足以符合我们的预期。我们更希望知道距离满足规范还有多少距离，以此在监控中能够更好的做出某些操作。信号时序逻辑的鲁棒性程度能够很好的解决我们的需求。在得到的规范中，因为是二维的信号时序逻辑，而信号时序逻辑的满意度是根据欧式距离来量化的。因此需要计算每个二维信号点到二维信号时序逻辑规范的距离。一般的监控算法解决的是一个信号是否满足规范公式或者满足的程度时多少，我们还将二维的距离程度带入到本专利提出的监控算法中，算法框架如下：
[0040][0041]
上述算法中，computepredicate(φ)函数是提取给定信号时序逻辑规范的谓词逻辑，然后根据时间轨迹依次计算每个二维信号轨迹点到给定规范公式的鲁棒性满意度。r
←
computesatisfaction(f(s)，(s，t))函数是用来计算鲁棒性满意度的，r表示鲁棒性满意度。本专利是针对二维信号时序逻辑规范来实施监控的。因此，利用数学中点到线的距离公
式来计算该欧式距离，此欧式距离的长度可代表鲁棒性满意程度。如果信号轨迹点不满足规范，在返回鲁棒性满意度的同时，返回一个ri＝1。此目的是识别不符合规范的轨迹，以便在后续监控中实施操控。
[0042]
为了方便用户输入输出，本专利将一些逻辑公式的抽象符号改为可读的形式，便于用户使用和理解。用户的具体操作为：
[0043]
(1)将步骤1生成的旅客人数，传输带的功率和速度生成的csv文件导入作为该算法的输入之一。
[0044]
(2)将已经制定好的规范公式通过字符串的形式和math工具包被计算机输入，根据得到的信号时序逻辑公式。首现把g算子转化为“alw”字符串，时间范围输入[0，300]，后面的二元一次不等式方程可通过math工具包生成。用户只需根据其组合方式分别输入，最后可得到规范公式的输入。
[0045]
(3)导入两部分输入后，只需执行该算法，便可得到两个输出：鲁棒度r和标识r。(两个输出的用户操作将在步骤4给出)
[0046]
根据此算法，将步骤2中的各项数据带入执行，生成附图5表示的监控算法中所有轨迹与信号时序逻辑规范的鲁棒性满意度值变化图，鲁棒性满意度r超过0表示满足规范。反之，不满足。我们再重新回到给定的规范公式：
[0047][0048]
当不满足规范的时候，意味着需要将功率调整为满功率才能保证变数传输带正常运行，根据附图5又能发现，不满足的鲁棒性满意值在0附近的时候，可以不那么担忧，一旦不满足的鲁棒性满意值距离0特别远的时候，则需要紧急采取措施(调为满功率)。
[0049]
4.生成相关的监视器，将监视器嵌入到被监控的cps中。
[0050]
当监视器与正在运行的系统并行运行时，会检查系统当前的运行状态。如果一些轨迹行为违背了期望规范，监视器就会发出警告。一些实体就会启动进程以稳定系统。
[0051]
根据步骤3的监控算法，将轨迹和信号时序逻辑规范之间的鲁棒性满意程度表示出来，监控框架的核心(监视器)也基本完成。最后一步，需要将完善运行时监控框架并嵌入到cps中，用户可将步骤3中得到的两个输出作为监视器中的两个输入。通过附图6表示的监视器与被监控系统的整体框架流程图来说明。
[0052]
运行时监控的重点是监测违反(或满足)期望行为，将规范生成可执行对象(监视器)。任何信息物理系统的行为轨迹都可以被执行某种监视活动。附图6中，从cps出发，根据cps系统执行时，获取了一些需要的组件行为轨迹，这种行为轨迹是有限的且随着时间变化，将这种行为通过信号的方式表现。根据cps的运行表现，可以使用规范挖掘的技术或者人工来给定一个行为规范，这种规范用信号时序逻辑来表示。信号时序逻辑的优势已经在上文中被说明。本专利使用的是二维信号时序逻辑规范，这样的行为规范解释性更强。将获取的行为(s，t)和信号时序逻辑规范φ带入到监视器中，通过监控算法得到所有轨迹的鲁棒性满意值r以及标识r。再将其作为数据嵌入到被监控的cps当中，若鲁棒性满意度r大于0，则符合运行期望，不需要采取一切措施。反之，cps会接收到标识数据，系统会根据该标识接口与制动器连接。即r＝1时，被监控的cps制动器将采取动作，来应对违反期望的行为轨迹。
[0053]
本专利用变速传送带这个典型的cps实例来具体化这个监控过程。运行该变速传
输带系统，得到300秒内，旅客人数、传输带功率以及速度的行为轨迹数据；随后，根据学习算法，制定了信号时序逻辑规范：把规范和对应的行为轨迹带入到监视器中，根据监控算法得到鲁棒性满意值r和标识r；若满足，变速传输带继续正常运行。若违背，标识r的接口与功率制动器相连，变速传输带的功率会通过制动器，调整为满功率。