面向ima资源安全性分析的aadl到ecpn模型转换方法
【技术领域】
[0001] 本发明涉及一种系统资源配置中的安全性分析方法,具体涉及一种面向综合模块 化航空电子(MA)系统资源安全性分析的架构分析和设计语言(AADL)到扩展着色petri网 (ECPN)的模型转换技术,属于航空电子系统建模与分析领域。
【背景技术】
[0002] 随着计算机和软件技术的发展,综合模块化航空电子IMA被广泛应用于航空电子 系统。相比于传统的航空电子所包括的传感器设备、计算资源和通信网络,IMA提供了一个 可共享并且灵活的硬件和软件资源通用平台[参考文件l:Watkins C B,Walter R.Transitioning from federated avionics architectures to integrated modular avionics[C]//Digital Avionics Systems Conference,2007·DASC' 07·IEEE/AIAA 26th. IEEE,2007:2.A. 1-1-2.A. 1-10.]。由于架构固有的强健的分区机制,頂A平台上可以 驻留不同安全等级的航空电子应用。ARINC 653标准(航空电子应用标准软件接口)提出的 时间和空间分区是IMA系统的核心概念[参考文件2:Airlines Electronic Engineering Committee.Avionics Application Software Standard Interface[M].Aeronautical Radio,1997.]。时间分区保证了通信网络和处理时间片等共享资源可以完全被一个分区占 用而不被其他分区干扰,也保证了应用的实时性要求。空间分区保证了应用在共享资源时 仅使用预先分配的物理资源。由于这种分区机制,时间资源和物理资源的分配都很重要。只 有当每个应用程序分配足够的时间资源和物理资源时,应用才能正确运行并且满足实时要 求。因此,在设计阶段对IMA系统资源的建模与分析是不可缺少的步骤。
[0003] 综合模块化航空电子设备架构是由两个主要标准定义的。ARINC 653标准用于民 用领域而ASAAC标准用于军事领域。本发明介绍的頂A体系结构基于ARINC 653标准[参考文 件3:Prisaznuk P J.ARINC 653role in integrated modular avionics(IMA)[C]// Digital Avionics Systems Conference,2008.DASC 2008.IEEE/AIAA 27th. IEEE,2008: l.E. 5-1-1 ·Ε· 5-10·],如图1所示,IMA体系结构分为三层:应用层(Application layer)、操 作系统层(Operating layer)和硬件支持层(Hardware support layer),层与层之间由定 义的API(应用程序接口)连接,不同的应用驻留在不同分区。应用层与操作系统层之间为标 准接口 APEX,操作系统层与硬件支持层之间为C0-EX接口。应用软件和操作系统、操作系统 和硬件分区之间相互隔离,资源不能共享。分区是调度和资源分配的基本单位。
[0004] 分区是ARINC653标准的核心概念,它包括时间和空间分区。一个分区里的所有的 进程能够访问分配给该分区的资源,而不同分区的应用分布在不同的时间和空间域中。应 用通过时间分区和空间分区来使用共享资源有利于保护自身不受其他应用干扰。利用这种 鲁棒性的分区机制,不同关键等级的应用能够在不影响系统可靠性和安全性的条件下成功 集成到同一个处理平台上。但时间资源和物理资源的分配是否充足直接影响应用程序的正 确执行,然而资源的分配是一个复杂且容易出错的过程,通常系统设计者可以利用建模和 分析方法完成该过程。
[0005] 2004年11月自动化工程师协会(SAE)发布了架构分析和设计语言(AADLhAADL建 模能够很好的描述和分析软硬件架构以及实时系统的组件关联。此外,抽象的软件,硬件和 系统组件,以及支持属性的扩展,有利于建模和分析复杂的嵌入式实时系统。AADL标准包含 文本AADL、图形AADL、XML交换格式以及附件库。在AADL模型中,建模元素和其之间的关系如 图2所不[参考文件4:Feiler P H,Gluch D P,Hudak J J.The architecture analysis& design language(AADL):An introduction[R].Carnegie-Mellon Univ Pittsburgh PA Software Engineering Inst,2006. ] AADL的组件包括三类:应用软件、硬件和系统组件。 软件组件描述了可执行的二进制代码和数据,包括进程、线程、线程组、数据和子程序,硬件 组件则描述了计算资源和软件与硬件的绑定关系。处理器、存储器、总线和设备组成了执行 平台组件。软件、硬件和其他组件通过系统组件,集成在一起构成一个系统架构。
[0006] AADL支持在不同的层次中进行系统建模。首先对系统的各个模块及其交互进行总 体的建模,然后逐步优化每个模块中的建模元素。具体AADL建模过程如下:
[0007] (1)根据需求分析,选择合适的组件类型和一些组件元素(即特征、流和属性)。
[0008] (2)为每个组件创建组件实现,然后将所需的元素(例如子组件、连接方式、流和属 性)添加到组件实现,对其进行组件类型的优化处理。
[0009] (3)建立系统组件类型和实现来表示系统的边界。将所有的组件实现及其联系添 加到系统实现。
[0010] AADL是目前使用最广泛的方法来设计和开发嵌入式实时系统。AADL模型能够描述 系统架构,同时基于AADL模型各种非功能性属性可以进行验证,有助于在系统设计阶段快 速发现各种问题,减少系统开发和维护成本。AADL更适合应用于强实时性需求和高可靠性, 有资源约束(如尺寸、重量和功率)的嵌入式系统,例如航空航天、医疗设备、工业控制过程 领域。AADL自身有许多附件,也支持对系统属性集的扩展,方便对系统的精确建模。值得注 意的是,在ARINC653附件中已经完全定义了IMA架构到AADL模型的映射规则。使用这些建模 规则,IMA系统的AADL模型可以很容易地建立,该模型很好地描述了时间资源和物理资源的 分配。AADL主要用于调度性分析、可靠性分析和自动代码生成。
[0011]在AADL附件中,ARINC 653附件被用于对系统架构的建模,该模型符合ARINC 653 或类似的分区架构的标准,因此,可以采用ARINC653附件对MA架构进行建模。用AADL组件 表示IMA系统的主要方法如表1所示。
[0012] 表1 ARINC653附件映射关系
[0013]
[0014] 在ARINC 653附件中,AADL进程组件代表ΜΑ系统的分区,AADL线程组件表示分区 中运行的任务。AADL进程组件以及AADL线程组件分别对应绑定到虚拟处理器和虚拟内存单 元,这表明分区在时间和空间域上相互隔离,虚拟处理器定义调度策略、安全等级、健康状 态监控器和相应的分区的错误处理,虚拟内存单元对每个分区分配专用的内存区域,使得 每个分区之间是空间隔离的。分区内通信和分区间通信都可以通过端口组件、数据组件以 及连接组件建模。图形的AADL模型直观地显示了頂A系统的分区架构,而文本的AADL模型不 仅用文本语言描述系统架构,同时详细地定义了系统的属性值。所以,IMA系统的资源分配 可以很容易地通过AADL建模。然而ARINC 653附件通过自然语言只描述了从ARINC653类型 的系统到AADL模型的映射关系,这对开发人员很容易引起误解和歧义,就系统的动态行为 和交互而言,使用AADL模型来分析有时会受到限制。
[0015] 在AADL模型中,系统的行为以及交互的描述隐含在属性中,很难进行动态的分析。 目前,模型转换的方法已经被广泛的使用来分析系统的动态特性。在模型转换过程中,源模 型中的隐含信息将会被显示在目标模型中,并且目标模型一般都是成熟的形式化模型。现 有的研究都是将AADL模型转化为资源分配、可调度性、可靠性以及其他方面的数学模型,而 对于分区架构,利用ARINC 653附件,AADL模型可以对分区架构精确的建模,然而对于分区 架构系统的资源分配主要是关于可调度性分析,缺乏时间资源和空间资源的综合分析。
[0016] Petri网(PN)[参考文件5 :Peterson J L.Petri net theory and the modeling of systems[J]. 1981.]由C. A.Petri在1962年提出,有着严谨的数学定义和直观的图形化 描述,并且可以精确地对异步计算和并行计算系统的行为建模。近十年来,petri网的抽象 能力以及描述能力不断被加强,包括时间petri网、着色petri网以及分层petri网在内的一 些被优化的petri网逐渐可以满足各种各样的建模需求。
[0017] 着色petri网(CPN)是一种高级的petri网,它将传统petri网以及扩展之后的函数 化编程语言standML进行了结合,下面介绍基本的着色petri网及其行为。
[0018] 定义 1:着色petri网表示为一个9元组CPN=(X,P,T,A,N,C,G,E,I);
[0019] · Σ是一个有限类型集,也叫做颜色集。
[0020] · P={pi,p2,p3, . . .,ρη}表示有限库所集,η>0。
[0021] · T={ti,t2,…,tm}表示有限变迀集,iTTr = 0,m>O。
[0022] · Je(PxT)U(TxP)表示有限边集,Γ 门 p =