一种基于问题框架方法的时间需求建模与验证方法

一种基于问题框架方法的时间需求建模与验证方法
【技术领域】
[0001 ] 本发明是一种基于问题框架方法的时间需求建模与验证方法，用于对时间攸关系 统进行时间需求建模与时间规约验证。
【背景技术】
[0002] 时间攸关系统非常重要，在轨道交通、航天、医疗等领域有着广泛的应用，由于时 间的执行直接关系到人们的生命财产安全，时间需求的建模与验证方法也比较多。现有的 时间需求建模方法主要分成两大类：1)基于时序逻辑的时间需求建模；和2)基于时间自动 机等形式化方法的时间需求模型。基于时序逻辑的时间需求采用时序逻辑及其扩展进行定 性与定量的描述，都描述了时间点和时间段，在定量方面的描述中，基本上是通过引入时间 变量实现的。基于时间自动机等形式化方法的时间需求模型很多，比如时间自动机，时段验 算，时间通信顺序进程等。这些时间模型都是形式化的，也有支持验证的工具，比如UPPAL 等，但在需求的早期使用不大合适。而且这些方法都没有建立在功能需求建模之上。

【发明内容】

[0003] 本发明的目的是针对时间攸关系统，提出的一种基于问题框架方法的时间需求建 模与验证方法，该方法在功能需求基础上通过建立时钟约束关系，得到时间规约描述，提出 了从时间规约到模型检测器NuSMV的转换，对时间规约的一致性属性进行验证。该方法使 用的规约和验证手段，既能减少时间规约的二义性，又能保证时间规约的质量。
[0004] 本发明首先结合问题框架方法和时钟约束规约语言（CCSL)对时间需求进行建 模，导出时间规约，再将时间规约转换为NuSMV描述，利用NuSMV模型检测器进行规约的一 致性验证。具体包括以下步骤：
[0005] 步骤1)为问题图中每个问题领域建立时钟
[0006] 为问题图中的每个问题领域建立一个领域时钟d. C，其中d表示问题领域，C表示 时钟，C包括时间点集I和时间点之间的严格优先关系集合（<)。
[0007] 首先给出时钟的定义。
[0008] 定义1 :时钟（C)
[0009] C ： = < 1,0
[0010] 其中，I是时间点集；<是定义在I上的偏序关系，命名为严格先于。
[0011] 时钟分为2种，领域时钟和交互时钟。每个问题领域都发起或接收很多交互，每个 交互都是一个时钟，定义为交互时钟int.C。每个领域时钟是由该领域的交互时钟组合而 成，组合关系使用CCSL中的union算子，即若一个领域d有η个交互，则
[0012] d. C = inti. C union int2. O..union intn. C
[0013] 步骤2)为组合领域建模时钟
[0014] 这一步是从已有的时钟构造新的时钟，通过使用时钟算子来得到。对于每个组合 领域，根据它与子领域的关系以及想要表达的意思，选择合适的算子来构造组合领域的时 钟。相同结构的领域表示两个领域具有相同的交互。
[0015] 鲁若组合领域d是由2个相同结构的领域屯和d 2组合而成，想表达最慢的快时 钟，贝lJ用 sup 构造子，即 d. C = (I1. C1 sup d2. C2〇
[0016] ?若组合领域d是由相同结构的领域屯和(12组合而成，想表达最快的慢时钟，则 用 inf 构造子，即 d. C = (I1. C1 inf d2. C2。
[0017] ?若组合领域d是由不同结构的领域屯和屯组合而成，使用union构造子，即d. C -d_i· Ci union d_2· Cgo
[0018] 步骤3)确立时钟之间的定性关系
[0019] 时钟（包括领域时钟与交互时钟）之间的定性关系包括如下3种：
[0020] ^C1 subClock C2是子时钟关系，它表示一个时钟C1的时间点是其父时钟C2时间 点集合的一部分，两个时钟对应的问题领域应该也具有父子关系。
[0021] · C1 fasterThan C2表示时钟d p C1的第i个时间点要先于时钟C 2的第i个时间 点发生。它有两个版本，严格的strictPre，和非严格的nstrictPre。
[0022] · C1 alternate C2表示时钟C丨和C 2交替发生。
[0023] 步骤4)确立时钟之间的定量关系
[0024] 定量关系表示两个时钟的时间点之间存在某些量化关系，本发明仅仅给出一种 boundedDiff(i，j)〇
[0025] C1 boundedDiff (i，j)C2表示这两个时钟的时间点之间的时间差在整数闭区间[i， j]之内，i为负整数，j为正整数。
[0026] 步骤5)导出待开发系统时间规约；
[0027] 为待开发系统定义时钟Csys，对问题图中的每个领域Cli
[0028] Csys=Cl1-C1 union d2. C2 union··· dn. Cn〇
[0029] 时间规约描述为Csys及其相关的时钟及时钟约束，这些约束包括步骤I)、步骤2)、 步骤3)和步骤4)得到的各种关系，注意，去掉领域符号和交互符号，仅仅保留时钟符号。
[0030] 步骤6)确立从时钟约束到NuSMV的转换规则
[0031] 首先建立时钟约束的操作语义，本发明使用标号迀移系统（Labeled Transition System，LTS)给出。时钟约束既包括时钟的定性与定量关系，又包括时钟算子。图3给出 了时钟约束的LTS图，表示了这些时钟约束的操作语义。
[0032] · C1 subClock 02的LTS的语义，其只有一个状态，表不在任一时刻（同一条迀移 上），要么两个时钟都发生，要么父时钟发生子时钟不发生，要么两个时钟都不发生。
[0033] · C1 fasterThan (含 stricPre 和 nstricPre) C2的语义，C 2的每个时间点可以发 生的条件是该时间点对应的(；的时间点已经发生过了，为确保C 2不过早发生，需要监控C i 已经提前（相对于(：2)发生了多少下，所以在其LTS语义中，记录两个时钟已发生过的时间 点的个数的差值S，不同的状态对应于不同的δ数值，由于C1K C2快，δ彡0。算子所处 的状态（即当时S的值）决定下一个时刻哪个时钟可以发生。例如严格版本StricPre中， 当S =〇时只有(^可以发生，那么当（^发生C2不发生时差值δ加1，算子状态迀移到状 态si。以此类推，算子在状态81(δ =1)表示C1已经比C2多发生了一下，那么接下去的 时刻可WC1单独发生使得δ加1，或者C2单独发生使得δ值减1，或者C JPCjP发生那 么S值不变，或者两个时钟都不发生当然δ值也不变。
[0034] ^C1 alternate (：2的语义。初始时只有C 1可以发生，它发生后算子进入状态1， C1将不可以连续发生，只有C 2可以发生，使算子回到状态sO,如此往复。其运行序列将为 c1；c2；c1；c2； ···
[0035] · C = C1 union C2时钟C i的任一时间点和C 2的任一时间点都与C的某一时间点 同时发生，它表示在任一时刻，要么C与（^同时发生，要么C与C 2同时发生，要三个时钟都 发生，要么三个时钟都不发生。
[0036] · C = C1 sup C2中的每一个时间点都取(^和(：2中发生最慢的时间点。类似 fasterThan关系，需要记录时钟(^和C2已发生过的时间点的个数的差值δ来决定某一时 刻C的时间点是否发生以及与谁同时发生。当时钟C1K C2快时，(：和C2相应的时间点同时 发生，反之则与C1对应的时间点同时发生。
[0037] 鲁inf与sup相反，它取最快发生的时间点。
[0038] · C1 boundedDiff (i，j) C2可以把 boundedDiff 看做 fasterThan 的一个扩展，限 定了差值S的边界，但不规定哪个时钟更快。当下届到达时，右边的时钟不能在下一个时 刻单独发生，而当上界到达时，左边的时钟不能在下一时刻单独发生。
[0039] 其次，建立每个时钟约束的LTS与NuSMV之间的对应关系，其中每个状态转变为一 个变量VAR，每个迀移转变为一个变迀TRANS，每个动作标号转变为一个boolean型变量。具 体的转化规则如表1所示：
[0040] 表1时间约束LTS到NuSMV模型的转换规则：
[0041]
[0042] 步骤7)将时间规约转换为NuSMV描述
[0043] 每个时间规约都需要转换为一个"MODULE main"，并且在下一行生成"VAR"，然后 对规约中的每个时钟C，输出"c !boolean"和"init (c) := FALSE"，对每个时钟约束cc，输 出"ctr :cc"与" ASSIGN";对每个时钟约束，在步骤6)的时钟关系的NuSMV支持下，输出其 NuSMV模板；由此生成规约的NuSMV描述。其具体算法如图4所示。
[0044] 步骤8)确定时间规约一致性属性的CTL描述
[0045] 对于时钟集合为T = IA，C2, ...，CJ的时间需求规约，称该规约一致如果其NuSMV 描述满足如下两个条件：
[0046] (1)满足 CTL 公式 EF (AGp)，p =! (C11 C21 …I Cn)
[0047] (2)对任意 Ci属于 T，满足 CTL 公式 EF(AGq)，q = ! C i。
[0048] 步骤9)将时间规约与一致性属性在NuSMV运行，得到验证结果和验证后的时间规 约。
[0049] 本发明的一种基于问题框架的时间需求建模与验证方法，用于对时间攸关系统进 行建模与验证，能得到时间规约，并且能够验证时间需求规约的一致性。与过去的方法相 比，本方法能够在功能需求的基础上，能够定性与定量的描述时间需求，并形式化的验证时 间规约的一致性。
【附图说明】
[0050] 图1为本发明实施例ABS系统的问题图；
[0051] 图2为本发明的流程示意图；
[0052] 图3为本发明时钟关系的形式化语义示意图；
[0053] 图4为本发明时间规约到NuSMV描述的转换算法；
[0054] 图5为本发明实施例ABS系统的时钟图；
[0055] 图6为本发明实施例ABS系统的定性关系图。
【具体实施方式】
[0056] 实施例
[0057] 为了详细说明本发明各步骤，本实施例选择汽车防抱死系统（ABS)作为示例进行 描述。
[0058] ABS 包含 4 个传感器（Sensor if 1，ifr，irl，irr)和 4 个执行器（Actuator oil， ofr，orr，orl)。传感器感应轮子的转动速度，执行器表征施加于轮子上的刹车压力。ABS 的执行是由R触发，ABS的4个感应器的值在一定延迟内到达（也叫输入同步），输入同步 延迟为0. 5ms。
[0059] 下面结合附图对本发明实施例描述如下：
[0060] 步骤1)为问题图中每个问题领域建立时钟
[0061] 图1给出了 ABS系统的问题图，为问题图中的每个问题领域声明一个时钟，在问题 图中对每个问题领域建立时钟标签，生成的领域时钟图如图5所示。
[0062] 在ABS和Sensor之间、ABS和Actuator之间的交互见表2,其中每个交互的