一种基于可能性时空混成自动机的CPS建模与属性验证方法与流程
本发明涉及智能控制应用领域,具体涉及一种基于可能性时空混成自动机的CPS建模与属性验证方法。
背景技术:
信息物理融合系统(Cyber-Physical Systems,CPS)是一种融合计算进程与物理进程的复杂的嵌入式网络系统。它将计算、网络和物理进程相结合,构成一个多维复杂系统,通过反馈机制相互影响有效的实现人与现实世界的交互、安全、可靠的反馈控制。CPS系统的建模及其验证是该领域研究的一个热点问题。CPS系统中各组件具有自治性、异构性、并发性等特点,且CPS软件具有开放性,这使得使用传统的方法对CPS软件建模具有挑战性。CPS的各组件并非完全孤立,而是相互联系的一个整体。传统的嵌入式系统中软件与硬件高度融合,但却具有封闭性,因此不能单纯的使用嵌入式系统软件的建模方法对CPS软件进行建模;CPS具有离散与连续动态变化的行为,混成自动机既能描述真实世界的变化状况,又能刻画系统的状态转移关系。因此成为研究CPS系统的重要基础。Alur等提出时间自动机TA(timed automata)理论用于刻画状态转换与时间的关系;Thomas等提出描散与述离连续状态的形式化的混成自动机模型;Akshay[6]提出一种异构模型,引入行为关系以表达系统之间不同的模型语义,实现对系统属性的形式化验证。Shao等提出时空混成自动机概念。同时也给出机器人工业、航空、汽车电子、智能电网、智能家居、医疗卫队等不同应用领域的经典CPS实例[8-10]。这些都是基于概率模型提出的一些CPS软件模型与属性验证框架。
在实际系统中由于CPS所处的环境具有不确定性,而这些不确定性对CPS是否能正确运行在一定程度上起着至关重要的作用。现实领域中有很多复杂的并发系统验证过程中同样会出现一些不确定、不一致的信息是不可避免地,经典的模型检测方法不能处理实际系统中的这些不确定的验证问题,同时也不满足概率测度下的可加性,无法用概率模型进行验证。
可能性测度是模糊集理论的一个分支,是对概率测度的推广,可能性测度不满足可加性。李永明教授等将可能性测度模糊数学与模型检测技术相结合,提出基于可能性测度的模型检测方法。为复杂系统的不确定性验证提供了较好的理论基础。
技术实现要素:
为解决上述现有技术中的不足,本发明针对实际系统中由于CPS所处的环境具有不确定性,本发明将可能性测度和时空逻辑与混成自动机模型相结合,提出一种基于可能性时空混成自动机模型用于CPS系统的建模,给出可能性时空CPS的描述语言用于系统响应性和正则安全性等属性验证度量方法,从理论上和实例两方面验证在不确定环境下CPS系统建模和属性验证度量方法的有效性,为复杂CPS系统的智能控制与优化提供理论依据。
本发明的目的是采用下述技术方案实现的:
本发明提供一种基于可能性时空混成自动机的CPS建模与属性验证方法,其改进之处在于,所述验证方法包括下述步骤:
步骤1:确定可能性时空混成自动机与信息物理融合系统CPS
步骤2:可能性时空信息物理融合系统CPS属性验证。
进一步地,所述步骤1包括下述步骤:
步骤11:确定可能性时空混成自动机;
步骤12:确定可能性时空信息物理融合系统CPS体系结构。
进一步地,所述步骤11包括:
可能性时空混成自动机H用八元组H=<Q,X,A,Var,E,Inv,Act,I>表示,其中:
(1)Q是一个离散状态集或者控制模式集;
(2)X是可能性时空混成自动机的连续状态空间,通常情况下,是一个n-维分支;
(3)A是标签有限集,用来标记状态转换的边的标签集合;
(4)Var是变量的集合,变量存在于每个模式中,并由所在的模式唯一决定;变量包含离散变量的集合dVar、连续变量的集合cVar、时钟变量的集合ckVar和空间变量集合sVar;
(5)E是控制图中边的集合,称为迁移;每个边e∈E定义为四元组:<Pqq′,a,grdqq′(a),jmpqq′(a)>,其中:q,q′∈Q,P:Q×Q→[0,1]是可能性转移函数;a∈A,grdqq′(a)是警卫条件,描述完成从q到q′跳转的条件;jmpqq′(a)是迁移发生时将要发生的动作;
(6)Inv是模式中必须满足的条件,称为不变式;具体来说,就是每个模式Q对应X的一个子集;
(7)Act表示模式的标记函数,它表达为一些微分方程的合取式;每个模式都对应一个模式活动Act,描述在模式中连续变量随时间变化的情况;
(8)I:Q→[0,1]是可能性初始分布函数,对于都有∨q∈QI(q)=1;
在以上可能性时空混成自动机的定义中,对于E,都有∨q'∈QP(q,q′)=1;对于a∈A,当满足条件grdqq′(a),从q到q′的迁移发生,同时,离散变量sVar∈X跳转到一个新值sVar′∈X,记为:(sVar,sVar′)∈jmpqq′(a);对于tr∈E;
表明一个迁移有效,当且仅当满足下述条件:
①v,ckVar,sVar|=evt(a)∧grd(a);
②sVar′|=XckVar′(q′);
③P((q,v,ckVar,sVar),(q',v′,ckVar′,sVar′))=p;
④v,ckVar,sVar,v′,ckVar′,sVar′|=jmp(a);
其中:sVar′表示空间变量,XckVar′(q′)表示状态q′在时钟ckVar′时对应的空间,ckVar′表示经过一段时间后的时钟,v′表示变化后的速度,jmp(a)表示迁移发生时的动作,a表示标签。
进一步地,所述步骤12包括:
信息物理融合系统CPS的体系结构由3层组成,即设备服务层,服务接口层和高级应用层;所述服务接口层的功能体现系统与环境之间相互影响,信息物理融合系统CPS软件涉及离散过程和连续过程的交互,通过已定义的明确端口与外界进行通信;令:
1)设备类:DC=<dcId,Attr,Dom>,其中dcId为设备类别的唯一标识符;Attr为设备类的相关属性的有限集合;Dom:Attr→DataType表示设备属性到数据类型的一个映射,DataType表示传送数据的类型,如integer,boolean,float和用户自定义数据类型;
2)设备实体:DE=<devId,DC,DH>,其中devId是设备实体的唯一标识符;DC是设备实体所属的设备类;DH是描述设备实体动态行为的可能性时空混成自动机;
3)原子服务S=<sId,dSet,SH>表示,其中sId是CPS软件服务的唯一标识符;dSet为设备实体类的集合;SH是描述服务动态行为的可能性时空混成自动机;
在可能性时空信息物理融合系统CPS模型的迁移系统中,时空状态表示为标签和状态对(a,s),其中a∈A,s=(q,v,ckVar,sVar)∈S表示当前的状态,q∈Q表示其控制模式,ckVar表示在状态s停留的时间,空间变量集合sVar表示在状态s时的位置,v表示对应位置的速度,初始状态为s0;
在可能性时空信息物理融合系统CPS模型M中,无穷路径表示为r=(a0,s0)(a1,s1)(a2,s2)...∈Sω;有穷路径表示为,r=(a0,s0),(a1,s1)...(an,sn)(n∈N),用Paths(M)表示M中无穷路径之集,Pathsfin(M)表示有穷路径之集;
无穷路径之集M中的状态的前驱Pre表示为:
Pre(a,s)={(a′,s′)∈(A,S)}|P((a′,s′),(a,s))>0;
Pre*(a,s)={(a′,s′)∈(A,S)|(a,s)∈Post*(a′,s′)};
后继Post表示为:
Post(a,s)={(a′,s′)∈(A,S)|P((a,s),(a′,s′))>0},
对于状态集
其中:(a′,s′)表示状态(a,s)的前驱的状态、Pre*(a,s)表示从状态(a,s)出发的经过无穷路径到达的所有状态的集合、Post*(a,s)表示从状态(a,s)出发的经过有穷路径到达的所有状态的集合。
进一步地,所述步骤12包括:
A、设M是可能性时空信息物理融合系统CPS模型,
r=(a0,s0)(a1,s1)(a2,s2)...∈Paths(M);
定义映射Po:Paths(M)→[0,1],
对于状态集如果定义得扩张映射Po:2Paths(M)→[0,1],则称映射Po是Ω=2Paths(M)上的时空可能性测度;
B、设M为可能性时空信息物理融合系统CPS模型,则称Ω=2Paths(M)为Paths(M)上由{Cyl(r′)|r′∈Pathsfin(M)}生成的代数;
C、设M是可能性时空信息物理融合系统CPS模型,则从初始状态(a0,s0)出发的路径r=(a0,s0)(a1s1)...(ansn)的可能性为:
其中:规定Po(a0,s0)=1;r表示路径、Paths(M)表示模型M上的路径集、I(a0,s0)表示以状态对(a0,s0)开始时对应的初始分布、Cyl表示结束于状态集的有穷路径扩展而来的并集;a0,s0为标签和状态的初始值;ai,si分别表示第i个标签和第i个状态;i=1,2,...,n。
进一步地,所述步骤2包括下述步骤:
步骤21:确定系统满足可能性时空响应性测度;
步骤22:确定可能性时空ω-正则安全性测度。
进一步地,在进行所述步骤21之前,有如下定义:
定义PoStLTL的语法如下:
PoStLTL状态公式:
PoStLTL路径公式:Φ::=ΟΦ|Φ1∪Φ2|Φ1SΦ2,
其中:a∈AP是原子命题,是路径公式,Φ,Φ1,Φ2是状态公式,τ是与位置相关的空间区域,Iτ是空间变量τ上的模态操作符;表示τ的补,τ1、τ2表示与位置相关的空间区域1和与位置相关的空间区域2;
可能性时空CPS的PoStLTL的语义满足关系:
(1)iff s|≠Φ;
(2)iff
其中:
(3)π|=ΟΦ,iffπ[1]|=Φ;
(4)iff
(5)ψ|=PoJ(Φ)∧PoJ(τ)iff
其中:
公式中ψ表状态,π表示路径,J表示路径公式的可能性的界,Ο表示命题逻辑中的下一个状态。
进一步地,所述步骤21包括:
给定一个轨迹(a1,s1)|→(a2,s2)|→...(ak,sk)|→...系统运行,保证系统的响应性用□◇表示;
存在一个状态使其能无限多次并未最终能访问状态集F,可能性时空响应测度定义为Po(□◇F);
设是可能性时空CPS模型中的一个状态集合,□◇F表示多次访问到F的路径集合,即系统的响应性。那么Po(□◇F)形式化为:
其中:Cyl(r)表示长度为m并且在到达状态集F的所有路径扩展来的并集,并且:
(a0,s0)(a1,s1)(a2,s2)....(an,sn)∈Pathsfin(M),(an,sn)∈F
设在可能性时空信息物理融合系统CPS模型中,是PoStLTL公式,以(a,s)为初始状态的路径都有:
当且仅当
根据上述定理,说明可能性时空信息物理融合系统CPS模型中,某些事件能发生无限多次,并且最终能进入某个状态集合,系统满足响应性;
设在可能性时空信息物理融合系统CPS模型中,状态集为(A,S),(a,s)∈(A,S)且是一个响应状态集,并且F用两元组(af,sf)表示,则有如下性质:
(1)Po((a,s)|=□◇F)=1;
(2)对于每个状态(a′,s′)∈Post*(a,s),
(3)(a,s)∈(A,S)\Pre*(a,s)\Pre*(F));
其中(2)和(3)等价;
上述性质说明可能性时空信息物理融合系统CPS模型能多次进入某个状态集合,只有同时满足性质(1)、(2)、(3)时,则说明系统满足响应性。
进一步地,所述步骤22包括:
安全性被描述为不期望事件的事情永远不会发生,如果安全性质P被定义为LT性质,对于任何无穷字σ,Psafe都不存在一个坏的前缀,那么这样的性质是安全的;形式化描述为:
假设Psafe是一个BT属性,对于所有σ∈(2AP)\Psafe都有一个有穷前缀使当LT属性Psafe被定义为一个ω-正则语言时,称Psafe是ω-正则安全性;BT表示分支时间;
为保证系统安全正常运行,即存在一个安全状态Safe,其可能性时空安全测度可以用Po(□◇U);
设Psafe是一个ω-正则安全性,HA=(L,2AP,δ,l0,,Fin)是能识别Psafe的安全前缀集合的非确定性自动机(NFA),H是一个可能性时空混成自动机,((q,v,ckVar,sVar)分别是H中的一个状态、状态对应的速度、时钟、位置,有:其中:U=L×Q,s=(q,v,ckVar,sVar);
以上说明在可能性时空信息物理融合系统CPS模型中,Po((q,v,ckVar,sVar)|=Psafe)通过中的□◇U的可能性得到。
其中:L表示非确定性自动机HA中的状态集、表示可能性时空混成自动机H与非确定性自动机HA的乘积、□◇U表示最终总是到达状态B、δ表示非确定性自动机HA的转移函数、l0表示非确定性自动机HA的初始状态、Act表示该模式的标记函数。
为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
与最接近的现有技术相比,本发明提供的技术方案具有的优异效果是:
针对实际系统中由于CPS所处的环境具有不确定性,本发明将可能性测度和时空逻辑与混成自动机模型相结合,提出一种基于可能性时空混成自动机模型用于CPS系统的建模,给出可能性时空CPS的描述语言用于系统响应性和ω-正则安全性等属性验证度量方法,从理论上和实例两方面验证在不确定环境下CPS系统建模和属性验证度量方法的有效性,为复杂CPS系统的智能控制与优化提供理论依据,以列车CPS控制系统为例,定义可能性时空CPS体系结构,用来反应不确定环境对系统的影响。以时空逻辑和可能性LTL逻辑相结合定义可能性时空LTL作为软件属性形式化描述语言,描述可能性时空CPS体系结构的动态行为。给出验证系统属性的响应性时空可能性测度和安全性时空可能性测度,从理论上和实例两方面验证在不确定环境下CPS系统建模和属性验证度量方法的有效性。
为了上述以及相关的目的,一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面,并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显,所公开的实施例是要包括所有这些方面以及它们的等同。
附图说明
图1是本发明提供的制动可能性时空混成自动机模型图;
图2是本发明提供的软件体系结构模型图;
图3是本发明提供的列车速度监控可能性时空混成自动机模型图;
图4是本发明提供的距离监控可能性时空混成自动机模型图;
图5是本发明提供的列车控制系统控制流程图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的详细说明。
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的组件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本发明的这些实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。
本发明提供一种基于可能性时空混成自动机的CPS建模与属性验证方法,包括下述步骤:
一、可能性时空混成自动机与CPS
1.1 可能性时空混成自动机
定义3可能性时空混成自动机H用八元组H=<Q,X,A,Var,E,Inv,Act,I>表示,其中:
(1)Q是一个离散状态集或者控制模式集;
(2)X是可能性时空混成自动机的连续状态空间。通常情况下,是一个n-维分支;制动可能性时空混成自动机模型图如图1所示;
(3)A是标签有限集,用来标记状态转换的边的标签集合;
(4)Var是变量的集合,这些变量存在于每个模式中,并由所在的模式唯一决定。这个变量包含离散变量的集合dVar、连续变量的集合cVar、时钟变量的集合ckVar、和空间变量集合sVar;
(5)E是控制图中边的集合,称为迁移。每个边e∈E可以定义为四元组:<Pqq′,a,grdqq′(a),jmpqq′(a)>,其中:q,q′∈Q,P:Q×Q→[0,1]是可能性转移函数;a∈A,grdqq′(a)是警卫条件,它描述可以完成从q到q′跳转的条件;jmpqq′(a)是迁移发生时将要发生的动作;
(6)Inv是模式中必须满足的条件,称为不变式。具体来说,就是每个模式Q对应X的一个子集;
(7)Act表示模式的标记函数,它表达为一些微分方程的合取式。每个模式都对应一个模式活动Act,它描述在模式中连续变量随时间变化的情况;
(8)I:Q→[0,1]是可能性初始分布函数,对于都有∨q∈QI(q)=1;
在以上可能性时空混成自动机的定义中,对于E,都有∨q'∈QP(q,q′)=1;对于a∈A,当满足条件grdqq′(a),一个从q到q′的迁移就会发生,同时,离散变量sVar∈X跳转到一个新值sVar′∈X,记为:(sVar,sVar′)∈jmpqq′(a);对于tr∈E,
表明一个迁移有效,当且仅当满足条件
(1)v,ckVar,sVar|=evt(a)∧grd(a);
(2)sVar′|=XckVar′(q′);
(3)P((q,v,ckVar,sVar),(q',v′,ckVar′,sVar′))=p;
(4)v,ckVar,sVar,v′,ckVar′,sVar′|=jmp(a);
其中:sVar′表示空间变量,XckVar′(q′)表示状态q′在时钟ckVar′时对应的空间,ckVar′表示经过一段时间后的时钟,v′表示变化后的速度,jmp(a)表示迁移发生时的动作,a表示标签。
例1下面为两列车距离控制系统的一个制动可能性时空混成自动机模型实例,如图1所示:
图中T11表示第一辆车的安全距离,T12表示第一辆车的紧急制动距离,T21表示第二辆车的安全距离,T22表示第二辆车的紧急制动距离,根据RCC关系知,DC表示相离,PO表示相交。其模型M=<Q,X,A,E,Inv,Act,P,I>,其中:
Q={q0,q1,q2,q3,q4,q5,q6,q7,q8}={Initinal,BarkingNoRequired,Barkingrequird,Initinal1,EmergeBarkingRequired,NormalBarkingRequired,Initinal2,Wating,Barking};
X={DC(T11,T21),PO(T11,T21),DC(T11,T21),PO(T12,T22),DC(T12,T22),PO(T11,T22)};
A={{a1=(θ,PO(T11,T21),ckVar:=0)},{a2=(θ,DC(T11,T21))},{a3=(θ,PO(T11,T21)∧DC(T12,T22),Warn!)},{a4=(θ,PO(T12,T22),Emerge!)},{a5=(θ,true)},{a6=(WarnOver?,True,Barke!)}},
Inv={{q1:DC(T11,T21)},{q2:(ckVar<150)∧;
PO(T11,T21)},{q5:PO(T11,T21)∧DC(T12,T22);
∧ckVar<150},{q4:PO(T12,T22)∧ckVar<100},
I(Intinal0)=1。
1.2 可能性时空CPS体系结构
CPS体系结构可由3层组成,即设备服务层,服务接口层和高级应用层,如图2所示。服务接口层的功能体现系统与环境之间相互影响,CPS软件涉及离散过程和连续过程的交互,通过已定义的明确端口与外界进行通信等。
(1)设备类:DC=<dcId,Attr,Dom>,其中dcId为设备类别的唯一标识符;Attr为设备类的相关属性的有限集合;Dom:Attr→DataType表示设备属性到数据类型的一个映射,DataType表示传送数据的类型,如integer,boolean,float和用户自定义数据类型。
(2)设备实体:DE=<devId,DC,DH>,其中devId是设备实体的唯一标识符;DC是设备实体所属的设备类;DH是描述设备实体动态行为的可能性时空混成自动机。
(3)原子服务S=<sId,dSet,SH>表示,其中sId是CPS软件服务的唯一标识符;dSet为设备实体类的集合;SH是描述服务动态行为的可能性时空混成自动机。
在可能性时空CPS模型的迁移系统中,为了简便系统的时空状态表示为标签和状态对(a,s),其中a∈A,s=(q,v,ckVar,sVar)∈S表示当前的状态,q∈Q表示其控制模式,ckVar表示在状态s停留的时间,表示sVar表示在状态s时的位置,v表示对应位置的速度。初始状态为s0。
在可能性时空CPS模型M中,无穷路径表示为r=(a0,s0)(a1,s1)(a2,s2)...∈Sω;有穷路径表示为,r=(a0,s0),(a1,s1)...(an,sn)(n∈N)。用Paths(M)表示M中无穷路径之集,Pathsfin(M)表示有穷路径之集。
M中的状态的前驱Pre表示为:
Pre(a,s)={(a′,s′)∈(A,S)}|P((a′,s′),(a,s))>0
Pre*(a,s)={(a′,s′)∈(A,S)|(a,s)∈Post*(a′,s′)};
后继Post表示为:
Post(a,s)={(a′,s′)∈(A,S)|P((a,s),(a′,s′))>0},
对于状态集
定义4设M是可能性时空CPS模型,r=(a0,s0)(a1,s1)(a2,s2)...∈Paths(M),定义映射
Po:Paths(M)→[0,1],
而对于如果定义Po(B)=∨{Po(r)|r∈B},可得扩张映射Po:2Paths(M)→[0,1],则称映射Po是Ω=2Paths(M)上的时空可能性测度。
其中:(a′,s′)表示状态(a,s)的前驱的状态、Pre*(a,s)表示从状态(a,s)出发的经过无穷路径到达的所有状态的集合、Post*(a,s)表示从状态(a,s)出发的经过有穷路径到达的所有状态的集合。
定理1设M为可能性时空CPS模型,则称Ω=2Paths(M)为Paths(M)上由{Cyl(r′)|r′∈Pathsfin(M)}生成的代数。
证明令r=(a0,s0)(a1,s1)(a2s2)...,则
因此,
由于显然对于B=∪{{r}|r∈B},
因此,Ω=2Paths(M)证毕。
定理2设M是可能性时空CPS模型,则从初始状态(a0,s0)出发的路径r=(a0,s0)(a1s1)...(ansn)的可能性为:
其中,规定Po(a0,s0)=1。
证明 由于Cyl((a0,s0)(a1,s1)...(an,sn));
={r∈Paths(a,s)|(a0,s0)(a1,s1)...(an,sn)∈Pref(r)};
因此,
又因为
所以,
故使得
因此,
由上可知,
证毕。
2 可能性时空CPS属性验证
将可能性LTL和时空逻辑结合定义可能性时空LTL(简称为PoStLTL),以定义可能性时空CPS软件模型的形式化描述语言。
定义5定义PoStLTL的语法如下:
PoStLTL状态公式:
PoStLTL路径公式:
Φ::=ΟΦ|Φ1∪Φ2|Φ1SΦ2,
其中a∈AP是原子命题,是路径公式,Φ,Φ1,Φ2是状态公式,
τ是与位置相关的空间区域,Iτ是空间变量τ上的模态操作符。
定义6可能性时空CPS的PoStLTL的语义满足关系:
(1)iff s|≠Φ;
(2)iff
其中
(3)π|=ΟΦ,iffπ[1]|=Φ;
(4)iff
(5)ψ|=PoJ(Φ)∧PoJ(τ)iff
其中:
以上公式中ψ表状态,π表示路径。
2.1 系统满足可能性时空响应性测度
可能性时空CPS是带有空间属性对环境感知的基础上实现对物理设备的控制。系统的响应性是用来保证一些事件发生无限多次,并且有可能无限的进入到某种状态,从而确保一些事件发生无限多次。就像上文中的(ai,si)一样,给定一个轨迹(a1,s1)|→(a2,s2)|→...(ak,sk)|→...系统这样的运行下去,保证系统的响应性用□◇表示。
为保证系统避免发生死锁而正常运行,即存在一个状态使其能无限多次并未最终能访问状态集F,可能性时空响应测度可以定义为Po(□◇F)。
定义7设是可能性时空CPS模型中的一个状态集合,□◇F表示多次访问到F的路径集合,即系统的响应性。那么Po(□◇F)形式化为:
其中Cyl(r)表示长度为m并且在到达状态集F的所有路径扩展来的并集,并且
(a0,s0)(a1,s1)(a2,s2)....(an,sn)∈Pathsfin(M),(an,sn)∈F
定理3设在可能性时空CPS模型中,是PoStLTL公式,以(a,s)为初始状态的路径都有:
当且仅当
证明 充分性:
假设r|=(a0,s0)(a1,s1)(a2s2)...∈Paths(a,s),我们证明由于
必要性:
假设r=(a0,s0)(a1,s1)(a2,s2)...∈PathS(a,s),
只需证明为了证明必须证明
且j≥0,让j≥0and
r′=(a'j,s'j)(a'j+1,s'j+1)(a'j+2,s'j+2)...∈Paths(aj,sj),假设
r″=(a0,s0)...(a'j,s'j)(a'j+1,s'j+1)(a'j+2,s'j+2)...∈Paths(a,s),其中
prefix(r)=(a0,s0)(a1,s1)...(aj,sj),r′=(a'j,s'j)(a'j+1,s'j+1)(a'j+2,s'j+2)...∈
Paths(aj,sj),并且r″能访问的无穷状态
且
r∈Paths(ai,si)
证毕。
根据上述定理,说明可能性时空CPS模型中,一些事件能发生无限多次,并且最终能进入某个状态集合,系统满足响应性。
定理4设在可能性时空CPS系统中,状态集为(A,S),(a,s)∈(A,S)且是一个响应状态集,并且F可用两元组(af,sf)表示,则有:
(1)Po((a,s)|=□◇F)=1;
(2)对于每个状态(a′,s′)∈Post*(a,s),
(3)(a,s)∈(A,S)\Pre*(a,s)\Pre*(F))
其中(2)和(3)等价。
证明 因为对于每一个
(a,s)∈Post*(a,s),成立
iff
iff
iff
iff
iff(a,s)∈(A,S)\Pre*((A,S)\Pre*(F))
证毕。
上述性质说明可能性时空CPS能多次进入某个状态集合,只有同时满足性质(1)、(2)、(3)时,则说明系统满足响应性。
2.2 可能性时空ω-正则安全性测度
安全性被描述为不期望事件的事情永远不会发生,如果安全性质P被定义为LT性质,对于任何无穷字σ,Psafe都不存在一个坏的前缀,那么这样的性质是安全的。我们可以形式化描述为:
假设Psafe是一个LT属性,对于所有σ∈(2AP)\Psafe都有一个有穷前缀使当LT属性Psafe被定义为一个ω-正则语言时,称Psafe是ω-正则安全性。
为保证系统安全正常运行,即存在一个安全状态Safe,其可能性时空安全测度可以用Po(□◇U)。
定理5设Psafe是一个ω-正则安全性,HA=(L,2AP,δ,l0,,Fin)是能识别Psafe的安全前缀集合的非确定性自动机(NFA),H是一个可能性时空混成自动机,,((q,v,ckVar,sVar)分别是H中的一个状态、状态对应的速度、时钟、位置,有:其中:U=L×Q,s=(q,v,ckVar,sVar).
证明 如果Σ是由状态(a,s)开始,并且能够接受Psafe的路径集合,Σ={r∈Paths(a,s)|
则Σ+就是结构中始于状态<((a,s)),δ(l0,Act(a,s)>并且最终能够到达非确定性自动机HA的一个接受状态的路径的集合,即:Σ+={r′∈Paths
(<(a,s),δ(k0,Act(a,s)>)|r′|=□◇U。H中的一条路径r与乘积相对应的路径r′存在如下关系:r′|=□◇U当且仅当Paths(a,s)∈Act(H),且(a,s)∈r。而且对于HA中满足Paths(a,s)∈Act(H)的路径r的可能性与中r′|=□◇U的路径r′的可能性是一致性的。
证毕。
以上说明在可能性时空CPS系统中,Po((q,v,ckVar,sVar)|=Psafe)可以通过中的□◇U的可能性得到;
其中:L表示非确定性自动机HA中的状态集、表示可能性时空混成自动机H与非确定性自动机HA的乘积、□◇U表示最终总是到达状态B、δ表示非确定性自动机HA的转移函数、l0表示非确定性自动机HA的初始状态、Act表示该模式的标记函数。
实施例
以列车控制系统为例,考虑系统中两辆列车,系统由列车速度控制单元和列车距离控制单元两部分组成,其可能性时空混成自动机模型如图3,4所示。
其中图3中DiffSpeed是速度控制单元计算限定速度与列车当前速度的差;CritiSpeed是列车安全运行的临界速度差。
两辆列车在列车自我防护(ATP)监控下行驶,从而避免列车超速、防止列车碰撞。列车控制系统工作流程如图5所示,根据列车当前行驶模式和轨旁设备,ATP的速度控制单元和距离控制单元会检测列车当前的速度和两列车之间的距离,判断两列车是否处在安全距离以内,如果安全则列车继续行驶,并继续采集检测,如果不是处在安全距离内,则继续判断两列车之间的距离(Dis)和紧急制动距离(EmergeDis)、安全距离(SafeDis)的关系,如果Dis<=EmergeDis,则实施紧急制动,如果EmergeDis<Dis<=SafeDis,距离控制单元会向制动设备发送一个普通制动请求,制动设备实施一个普通制动。
可能性时空CPS的响应性属性验证
在不确定环境下随着列车速度的增加,列车的制动距离也会增加。因此列车控制系统必须保证更远的制动距离。列车速度变化会引起列车空间关系的变化。当列车处于状态s1时,有一个从s1到s2的迁移:
当速度控制单元
a1=(θ,DiffSpeed<=CritiSpeed,ckVar=0),
触发条件和警备条件分别满足:
跳转动作满足:jmp(a1)=ckVar:=0,跳转后满足s2模式的不变式(制动时间不超过150s,速度差小于临界速度差),即
v,ckVar,sVar|=grd(a1);
v,ckVar,sVar|=evt(a1);
v,ckVar,sVar,v,0,sVar|=jmp(a1);
Inv(s2)=(ckVar<150)∧DiffSpeed<=
CriticalSpeed;
P(s1,s2)=0.9。
当距离控制单元
a2=(θ,PO(T11,T21),ckVar:=0),
触发条件和警备条件分别满足:
evt(a2)∧grd(a2)=θ∧PO(T11,T21),
跳转动作满足:jmp(a2)=ckVar:=0,跳转后变量满足s2模式的不变式(制动时间不超过150s,两车处在需要制动距离以内),即:
v,ckVar,sVar|=grd(a1);v,ckVar,sVar|=evt(a1);
v,ckVar,sVar,v,0,sVar|=jmp(a1);
Inv(s2)=(ckVar<150)∧PO(T11,T21),。
P((s1,s2)=0.9。
同理:也可以得出其他所有状态的迁移。
根据响应性的可能性测度定义及定理可以得出:
响应状态集F={s4,s5,s8},状态集:
S={s0,s1,s2,s3,s4,s5,s6,s7,s8},其中:
s0=(q0,v,ckVar,svar),s1=(q1,v,ckVar,svar),
s2=(q2,v,0,sVar′),s3=(q3,v,ckVar,svar),
s4=(q4,v′,ckVar′,sVar),s5=(q5,v′,ckVar′,sVar),
s6=(q6,v,ckVar,sVar),s7=(q7,v′,ckVar′,sVar),
s8=(q8,v′,ckVar′,sVar),
Post*(s0)={s1,s2},Post*(s1)={s2,s4,s5,s6,s7,s8},
Post*(s2)={s3,s4,s5,s6,s7},
Post*(s3)={s4,s5,s6,s7,s8},,Post*(s5)={s1,s2,s4},
Post*(s6)={s7,s8},Post*(s7)={s8},
都满足
所有能使列车制动且能多次执行的路径以及可能性为:
Po(s0,s1,s2)=0.9∧0.9=0.9,Po(s3,s5)=0.9,
Po(s3,s5,s4)=0.9∧0.2=0.2,
Po(s6,s7,s8)=1∧1=1。
所以路径最终可能性为:
Po(□◇F)=0.9∨0.9∨0.2∨1=1,由此看出,当列车距离由于改变速度,列车之间的距离也会随之改变,为保证列车不碰撞,需要通过改变列车的速度来控制改变列车之间的距离,当列车距离不安全时,在一定时间内列车一定能完成制动,即可能性时空CPS系统满足响应性。
ω-正则安全性的可能性时空CPS属性验证
在列车控制系统中,列车控制单元必须保证在行驶过程中不能与其他列车碰撞,从而保证其安全性。
以列车距离控制系统为例,可能性时空CPS控制软件模型如例1所示。
根据可能性时空混成自动机的定义可知
(1)s0到s1的迁移
s0=(q0,v,ckVar,sVar),s1=(q1,v,ckVar,sVar),当系统执行流一旦进入距离监控单元,tr0就开始执行。
触发条件和警备条件分别为:
evt(a0)∧grd(a0)=θ∧True=θ,
跳转动作:
跳转后变量满足s1模式的不变式,即:
v,ckVar,sVar|=grd(a0);v,ckVar,sVar|=evt(a0);
v|=Inv(s1)=DC(T11,T21),。
P((s0,s1)=0.9。
同理可以得到以下迁移有效,当且仅当分别满足如下条件。
(2)s1到s2的迁移
s1=(q1,v,ckVar,sVar),s2=(q2,v,0,sVar′),
a1=(θ,PO(T11,T21),ckVar:=0),
evt(tr1)∧grd(a1)=θ∧PO(T11,T21),
jmp(a1)=ckVar:=0;
v,ckVar,sVar|=grd(a1);
v,ckVar,sVar,v,0,sVar|=jmp(a1);
v,ckVar,sVar|=Inv(s2)=(ckVar<150s)∧PO(T11,T21);P(s1,s2)=0.9。
(3)s2到s1的迁移
s2=(q2,v,ckVar,sVar),s1=(q1,v,ckVar,sVar′),
a2=(θ,DC(T11,T21)),
evt(a2)∧grd(a2)=θ∧DC(T11,T21),
v,ckVar,sVar|=grd(a2);
v,ckVar,sVar,v,ckVar,sVar′|=jmp(a2);
v,ckVar,sVar′|=Inv(s1)=DC(T11,T21);
P(s2,s1)=0.9。
(4)s3到s5的迁移,
s3=(q3,v,ckVar,sVar),s5=(q5,v′,ckVar′,sVar)},
a3=(θ,PO(T11,T21)∧DC(T12,T22),Warn!),
evt(a3)∧grd(a3)=θ∧PO(T11,T21)∧DC(T12,T22),
jmp(a3)=Warn!;
v,ckVar,sVar|=grd(a3);
v,ckVar,sVar,v′,ckVar′,sVar|=jmp(a3);
v′,ckVar′,sVar|=Inv(s5)=PO(T11,T21)∧DC(T12,T22)∧(ckVar<150s),
P(s3,s5)=0.9。
(5)s3到s4的迁移
s3=(q3,v,ckVar,sVar),s4=(q4,v,ckVar′,sVar),
a4=(θ,PO(T12,T22)),
evt(a4)∧grd(a4)=θ∧PO(T12,T22),
jmp(a4)=Emerge!;
v,ckVar,sVar|=grd(a4);
v,ckVar,sVar,v′,ckVar′,sVar|=jmp(a4);
v′,ckVar′,sVar|=Inv(s4)=PO(T12,T22)∧ckVar<100s P(s3,s4)=0.2。
(6)s5到s4的迁移
s5=(q5,v,ckVar,sVar),s4=(q4,v′,ckVar′,sVar′),
a5=(θ,PO(T12,T22),Emerge!),
evt(a5)∧grd(a5)=θ∧PO(T12,T22),
jmp(a5)=Emerge!;
v,ckVar,sVar|=grd(a5);
v,ckVar,sVar,v′,ckVar′,sVar|=jmp(a5);
v′,ckVar′,sVar|=Inv(s4)=PO(T12,T22)∧ckVar:<100s P(s5,s4)=0.2。
(7)s6到s7的迁移
s6=(q6,v,ckVar,sVar),s7=(q7,v′,ckVar′,sVar)}
a6=(θ,True),
evt(a6)∧grd(a6)=θ∧True=θ,
v,ckVar,sVar|=grd(a6)=True;
P(s6,s7)=0.8。
(8)s7到s8的迁移
s7=(q7,v,ckVar,sVar),s8=(q8,v′,ckVar′,sVar),
a7=(WarnOver?True,Barke!),
evt(a7)∧grd(a7)=WarnOver?∧True=WarnOver?jmp(a7)=Barke!;
v,ckVar,sVar|=evt(a7)∧grd(a7);
v,ckVar,sVar,v,ckVar,sVar|=Barke!;
P(s7,s8)=0.8。
设Psafe=Act(H),根据定理5系统满足ω-正则安全性的可能性测度计算可得:
其中:s0=(q0,v,ckVar,sVar)。
由此看出,当两列车即将出现碰撞等不安全状态时,列车在一定时间内制动的可能性为0.9,从而保证了系统的安全性。
本发明以列车CPS控制系统为例,定义可能性时空CPS体系结构,用来反应不确定环境对系统的影响。以时空逻辑和可能性LTL逻辑相结合定义可能性时空LTL作为软件属性形式化描述语言,描述可能性时空CPS体系结构的动态行为。给出验证系统属性的响应性时空可能性测度和安全性时空可能性测度,从理论上和实例两方面验证在不确定环境下CPS系统建模和属性验证度量方法的有效性。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!