本发明专利技术公开了一种基于问题框架的时间需求建模与验证方法,用于时间攸关系统的时间需求建模与规范的一致性验证,本发明专利技术涉及到的操作包括:(1)基于问题框架方法的功能需求模型问题图,借用时钟约束规约语言(CCSL)中的逻辑时钟及时钟关系概念,将交互和问题领域定义为逻辑时钟,利用时钟约束定义待开发时间攸关软件系统交互环境(包括交互和问题领域)的时间约束,包括定量与定性关系,建立时间需求模型,并通过环境的时间约束导出待开发系统的时间规约。(2)定义时钟约束的形式化语义,根据语义建立时钟约束到NuSMV描述的转换规则,利用规则将时间规约转换为NuSMV描述,根据一致性属性的计算树逻辑(CTL)表达式,使用模型检测工具NuSMV来验证时间规约的一致性。
【技术实现步骤摘要】
本专利技术是,用于对时间攸关系 统进行时间需求建模与时间规约验证。
技术介绍
时间攸关系统非常重要,在轨道交通、航天、医疗等领域有着广泛的应用,由于时 间的执行直接关系到人们的生命财产安全,时间需求的建模与验证方法也比较多。现有的 时间需求建模方法主要分成两大类:1)基于时序逻辑的时间需求建模;和2)基于时间自动 机等形式化方法的时间需求模型。基于时序逻辑的时间需求采用时序逻辑及其扩展进行定 性与定量的描述,都描述了时间点和时间段,在定量方面的描述中,基本上是通过引入时间 变量实现的。基于时间自动机等形式化方法的时间需求模型很多,比如时间自动机,时段验 算,时间通信顺序进程等。这些时间模型都是形式化的,也有支持验证的工具,比如UPPAL 等,但在需求的早期使用不大合适。而且这些方法都没有建立在功能需求建模之上。
技术实现思路
本专利技术的目的是针对时间攸关系统,提出的一种基于问题框架方法的时间需求建 模与验证方法,该方法在功能需求基础上通过建立时钟约束关系,得到时间规约描述,提出 了从时间规约到模型检测器NuSMV的转换,对时间规约的一致性属性进行验证。该方法使 用的规约和验证手段,既能减少时间规约的二义性,又能保证时间规约的质量。 本专利技术首先结合问题框架方法和时钟约束规约语言(CCSL)对时间需求进行建 模,导出时间规约,再将时间规约转换为NuSMV描述,利用NuSMV模型检测器进行规约的一 致性验证。具体包括以下步骤: 步骤1)为问题图中每个问题领域建立时钟 为问题图中的每个问题领域建立一个领域时钟d. C,其中d表示问题领域,C表示 时钟,C包括时间点集I和时间点之间的严格优先关系集合(<)。 首先给出时钟的定义。 定义1 :时钟(C) C : = < 1,0 其中,I是时间点集;<是定义在I上的偏序关系,命名为严格先于。 时钟分为2种,领域时钟和交互时钟。每个问题领域都发起或接收很多交互,每个 交互都是一个时钟,定义为交互时钟int.C。每个领域时钟是由该领域的交互时钟组合而 成,组合关系使用CCSL中的union算子,即若一个领域d有η个交互,则 d. C = inti. C union int2. O..union intn. C 步骤2)为组合领域建模时钟 这一步是从已有的时钟构造新的时钟,通过使用时钟算子来得到。对于每个组合 领域,根据它与子领域的关系以及想要表达的意思,选择合适的算子来构造组合领域的时 钟。相同结构的领域表示两个领域具有相同的交互。 鲁若组合领域d是由2个相同结构的领域屯和d 2组合而成,想表达最慢的快时 钟,贝lJ用 sup 构造子,即 d. C = (I1. C1 sup d2. C2〇 ?若组合领域d是由相同结构的领域屯和(12组合而成,想表达最快的慢时钟,则 用 inf 构造子,即 d. C = (I1. C1 inf d2. C2。 ?若组合领域d是由不同结构的领域屯和屯组合而成,使用union构造子,即d. C -d_i· Ci union d_2· Cgo 步骤3)确立时钟之间的定性关系 时钟(包括领域时钟与交互时钟)之间的定性关系包括如下3种: ^C1 subClock C2是子时钟关系,它表示一个时钟C1的时间点是其父时钟C2时间 点集合的一部分,两个时钟对应的问题领域应该也具有父子关系。 · C1 fasterThan C2表示时钟d p C1的第i个时间点要先于时钟C 2的第i个时间 点发生。它有两个版本,严格的strictPre,和非严格的nstrictPre。 · C1 alternate C2表示时钟C丨和C 2交替发生。 步骤4)确立时钟之间的定量关系 定量关系表示两个时钟的时间点之间存在某些量化关系,本专利技术仅仅给出一种 boundedDiff(i,j)〇 C1 boundedDiff (i,j)C2表示这两个时钟的时间点之间的时间差在整数闭区间之内,i为负整数,j为正整数。 步骤5)导出待开发系统时间规约; 为待开发系统定义时钟Csys,对问题图中的每个领域Cli Csys=Cl1-C1 union d2. C2 union··· dn. Cn〇 时间规约描述为Csys及其相关的时钟及时钟约束,这些约束包括步骤I)、步骤2)、 步骤3)和步骤4)得到的各种关系,注意,去掉领域符号和交互符号,仅仅保留时钟符号。 步骤6)确立从时钟约束到NuSMV的转换规则 首先建立时钟约束的操作语义,本专利技术使用标号迀移系统(Labeled Transition System,LTS)给出。时钟约束既包括时钟的定性与定量关系,又包括时钟算子。图3给出 了时钟约束的LTS图,表示了这些时钟约束的操作语义。 · C1 subClock 02的LTS的语义,其只有一个状态,表不在任一时刻(同一条迀移 上),要么两个时钟都发生,要么父时钟发生子时钟不发生,要么两个时钟都不发生。 · C1 fasterThan (含 stricPre 和 nstricPre) C2的语义,C 2的每个时间点可以发 生的条件是该时间点对应的(;的时间点已经发生过了,为确保C 2不过早发生,需要监控C i 已经提前(相对于(:2)发生了多少下,所以在其LTS语义中,记录两个时钟已发生过的时间 点的个数的差值S,不同的状态对应于不同的δ数值,由于C1K C2快,δ彡0。算子所处 的状态(即当时S的值)决定下一个时刻哪个时钟可以发生。例如严格版本StricPre中, 当S =〇时只有(^可以发生,那么当(^发生C2不发生时差值δ加1,算子状态迀移到状 态si。以此类推,算子在状态81(δ =1)表示C1已经比C2多发生了一下,那么接下去的 时刻可WC1单独发生使得δ加1,或者C2单独发生使得δ值减1,或者C JPCjP发生那 么S值不变,或者两个时钟都不发生当然δ值也不变。 ^C1 alternate (:2的语义。初始时只有C 1可以发生,它发生后算子进入状态1, C1将不可以连续发生,只有C 2可以发生,使算子回到状态sO,如此往复。其运行序列将为 c1;c2;c1;c2; ··· · C = C1 union C2时钟C i的任一时间点和C 2的任一时间点都与C的某一时间点 同时发生,它表示在任一时刻,要么C与(^同时发生,要么C与C 2同时发生,要三个时钟都 发生,要么三个时钟都不发生。 · C = C1 sup C2中的每一个时间点都取(^和(:2中发生最慢的时间点。类似 fasterThan关系,需要记录时钟(^和C2已发生过的时间点的个数的差值δ来决定某一时 刻C的时间点是否发生以及与谁同时发生。当时钟C1K C2快时,(:和C2相应的时间点同时 发生,反之则与C1对应的时间点同时发生。 鲁inf与sup相反,它取最快发生的时间点。 · C1 boundedDiff (i,j) C2可以把 boundedDiff 看做 fasterThan 的一个扩展,限 定了差值S的边界,但不规定哪个时钟更快。当下届到达时,右边的时钟不能在下一个时 刻单独发生,而当上界到达时,左边的时钟不能在下一时刻单独发生。 其次,建立每个时钟约束的LTS与NuS本文档来自技高网...
【技术保护点】
一种基于问题框架的时间需求建模与验证方法,其特征是该方法包括如下步骤:步骤1)为问题图中每个问题领域建立时钟;步骤2)为组合领域建模时钟;步骤3)确立时钟之间的定性关系;步骤4)确立时钟之间的定量关系;步骤5)导出待开发系统时间规约;步骤6)确立从时钟约束到NuSMV的转换规则;步骤7)将时间规约转换为NuSMV描述;步骤8)确定时间规约一致性属性的CTL描述;步骤9)将规约与一致性属性在NuSMV运行,得到验证结果和验证后的时间规约。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈小红,尹玲,刘静,孙海英,
申请(专利权)人:华东师范大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。