基于AADL模型的软件安全性评估
一种嵌入式软件系统体系结构可靠性分析方法
计算机应用研究 Application Research of Computers
Vol. 37 No. 10 Accepted Paper
一种嵌入式软件系统体系结构可靠性分析方法 *
曲以堃,张 伟†
(中国航天系统科学与工程研究院, 北京 100048)
摘 要:AADL 是在嵌入式领域对 SA 进行建模、评估的常用方法,但 AADL 属于一种半形式化开发语言,无法直 接对 SA 的可靠性进行验证。为此,提出一种基于 AADL 的可靠性分析框架,对 SA 的可靠性进行形式化验证。首 先通过分析系统体系结构的元素关系,建立 AADL 可靠性模型;然后设计转换模型及其规则,将 AADL 模型转换 为连续时间马尔可夫链模型;最后采用概率模型检验工具对连续时间马尔可夫链模型进行可靠性定量分析。仿真结 果表明,与现有可靠性分析方法相比,该方法在计算效率上和转换效率上有明显的提高。基于 AADL 的可靠性分析 框架实现在软件系统开发早期对 SA 进行可靠性定量计算,为 AADL 在嵌入式软件系统可靠性定量分析方面提供了 一种新的验证思路。 关键词:软件体系结构;结构分析与设计语言;连续时间马尔可夫链;转换模型;可靠性 中图分类号:TP201 doi: 10.19734/j.issn.1001-3695.2019.05.0219
0 引言
现如今,随着嵌入式软件系统的研发周期和开发成本持 续增加,导致其复杂度和性能需求不断提升,同时人们对软
and design language) 是 美 国 汽 车 工 程 协 会 SAE(society of automotive engineers)于 2004 年 11 月发布的航空标准语言[3], 能够对嵌入式软件系统开发过程的中间产品 SA 进行可调度 性、可靠性、可用性等非功能属性建模与分析,是保证软件
AADL的软件可靠性验证
摘
Verification of software dependability based on AADL
QIAO Tingting1 , WANG Le2 , YE Guodong3
( 1 . Xi an Flight Automation Control Research Institute, Aviation Industry Corporation of China, Xi an Shaanxi 710065 , China; 2 . School of Telecommunications Engineering, Xidian University, Xi an Shaanxi 710071 , China; 3 . Xi an Branch, China Mobile Group Shanxi Company Limited, Xi an Shaanxi 710065 , China)
[7 ]
大, 安全领域对嵌入式系统的功能要求也越来越高, 复杂嵌入 航空、 航海、 汽车和电子 式系统被广泛应用在很多诸如航天 、 等安全关键领域。随着安全关键领域对嵌入式系统可靠性要 嵌入式系统应用领域的不断扩大, 嵌入式系统 求的不断提高, 规模的逐步扩大, 产品研发周期的不断缩短, 都使得嵌入式系 统的复杂性和不确定性也越来越高, 这对嵌入式系统的开发 要在更高的抽象层次上 造成了新的难题和挑战 。 也就是说, 进行系统级别设计, 构建安全、 稳定、 高效的新型嵌入式系统 。 而上述新型嵌入式系统的形成要求充分捕获设计需求并且快 形成一种 速的构造来满足系统的功能和非功能属性 。 因此, 快速建模并验证的设计方法是至关重要的 。 近年来, 结构分 析与 设 计 语 言 ( Architecture Analysis and Design Language, AADL) [1 - 2] 的出现有效解决了这一问题 。AADL 是一种描述 实时系统的软硬件结构的体系结构设计和分析语言, 它已广 泛应用于 航 空、 机 械、 电子等领域的嵌入式系统开发过程 中
安全关键系统AADL架构安全性分析方法研究
《安全关键系统aadl架构安全性分析方法研究》2023-10-27CATALOGUE目录•引言•安全关键系统概述•aadl架构安全性分析概述•aadl架构安全性分析方法研究•实验与分析•结论与展望•参考文献01引言研究背景与意义安全关键系统在航空、汽车、电力等领域有广泛应用,其安全性对于整个系统的可靠性和安全性至关重要。
AADL(Architecture Analysis and Design Language)是一种用于描述和设计系统架构的语言,已被广泛应用于安全关键系统的设计和分析中。
现有的AADL架构安全性分析方法存在一些挑战和问题,如缺乏形式化的分析方法、难以自动化分析等,需要进一步研究和改进。
目前,AADL架构安全性分析方法的研究已经取得了一定的进展,但仍存在以下挑战2. 难以自动化分析:由于AADL架构的复杂性,难以实现自动化分析,需要开发相应的工具和平台。
3. 分析结果的准确性和可靠性问题:现有的分析方法往往存在分析结果不准确、不可靠的问题,需要进一步提高分析的精度和可靠性。
1. 缺乏形式化的分析方法:现有的分析方法多基于经验和手工分析,缺乏形式化的理论和方法支持。
研究现状与挑战本研究旨在解决上述问题,提出一种形式化的AADL架构安全性分析方法,并开发相应的工具和平台,实现自动化分析。
研究内容主要包括以下几个方面1. 研究形式化的AADL架构安全性分析方法,建立相应的理论模型和分析框架。
2. 开发相应的工具和平台,实现自动化分析,包括数据采集、处理、分析和结果呈现等功能。
3. 通过实验验证分析方法的可行性和有效性,评估其精度和可靠性。
研究目标与内容02安全关键系统概述定义安全关键系统是指那些在出现故障或错误时,可能对人的生命或财产造成威胁的计算机系统。
特点安全关键系统通常具有高可靠性、高安全性、高可用性和高实时性等特点,以确保系统的稳定性和安全性。
分类根据使用场景和安全需求的不同,安全关键系统可分为航空航天、轨道交通、电力能源等多个领域。
论采用AADL的软件系统可靠性建模与评估方法
采用AADL的软件系统可靠性建模与评估方法摘要:随着信息技术的发展,软件系统可靠性建模与评估方法是软件开发中的重要部分。
近年来,基于包括Architecture Analysis and Design Language(AADL)和Model-Based System Engineering(MBSE)在内的新技术出现,使得软件系统可靠性建模与评估更加容易和高效。
在本文中,我们提出了基于AADL的软件系统可靠性建模与评估方法。
更精确地说,我们提出了一种基于AADL的基于规约的可靠性建模与评估方法,通过对系统的功能性和可靠性的软件评估来验证和辅助系统分析、设计和测试过程。
我们提出的方法被证明可以实现有效的可靠性建模和评估。
关键词:AADL;MBSE;软件系统可靠性;建模与评估;基于规约正文:1. 引言随着社会的发展,信息技术正在不断发展,导致软件系统在工业应用中变得越来越重要。
但是,软件系统的可靠性是影响其运行效果的关键因素,也是目前软件工程领域面临的一大挑战。
因此,基于有效的软件系统可靠性建模和评估方法,为保证软件系统高可靠性而可行的方法是提供完整的软件系统可靠性分析、设计和测试的前提。
2. 相关技术近年来,随着新技术的出现,如Architecture Analysis and Design Language(AADL)、Model-Based System Engineering(MBSE)等,已经极大地促进了软件系统可靠性建模与评估的发展。
3. 方法基于AADL和MBSE,我们提出了一种基于规约的软件系统可靠性建模与评估方法。
该方法使用AADL来定义系统的架构,并使用MBSE技术来描述系统的行为,以识别系统的可靠性特性。
然后,基于AADL定义的模型,使用统计方法对可靠性特性进行建模和评估。
最后,通过对系统的功能性和可靠性的软件评估来验证和辅助系统分析、设计和测试过程。
4. 实验结果我们在真实系统中验证了所提出方法,结果表明该方法有效地帮助我们建模和评估软件系统的可靠性。
浅析基于BIP的AADL行为模型验证方法的论文(最终定稿)
浅析基于BIP的AADL行为模型验证方法的论文(最终定稿)第一篇:浅析基于BIP 的AADL 行为模型验证方法的论文前言随着嵌入式系统越来越多的应用在工业控制、车载电子、航天航空电子等任务关键和实时系统,它的复杂度和性能要求也越来越高。
传统的以代码为核心的开发方法逐步从代码为中心的开发提前到以模型驱动开发为核心。
以供在早期对系统进行设计验证,减少不必要的损失。
为此,美国汽车工程师协会在2004 年提出了体系结构建模语言AADL(architecturalanalysis and design language, AADL),并发布为SAE AS5506 标准,目的是提供一种标准而又足够精确的方式,设计与分析嵌入式实时系统的软、硬件体系结构及功能和非功能性质。
由于AADL 具有语法简单、功能强大、可扩展等优点,他已经逐步成为工业界事实上的标准。
根据现有的形式化验证工具的应用情况,本文通过制定映射规则,将AADL 行为模型直接转换成BIP 模型。
并且利用已有的BIP 模型工具对准换后的BIP 模型进行验证。
提供一种形式化的验证AADL 行为模型的新途径,如图1 所示。
BIP构件模型BIP(Behavior,Interaction,Priority)是Verimag 提出的实时系统建模语言,采用自动机的方式描述行为,并且支持异构构件之间的组合。
BIP 模型工具能够用来分析模型和可执行代码。
BIP 语言对系统的形式化描述主要由下面三部分组成:原子构件:即带有行为描述的构件,这些行为包含了迁移,空交互和优先级。
触发的迁移包括端口,这些端口带有动作名称,可用于端口同步。
连接件:用于描述原子构件端口之间可能的交互模式。
优先级关系:用于在几种可能的交互方式中做选择,这种选择需要根据条件来判断。
条件和原子构件整体的状态有关。
下面详细阐述这个语言的主要特征。
2.1 优先权在包含多个构件交互的系统里,优先权可以根据条件来确定所有执行交互的优先级。
飞行管理系统AADL建模与分析
期
COM PU
计算机技术与
TER TECHNOLO GY AND
发展
DEV ELOPM
EN
T
VMola.r2.0 2N0o1析
汤小明1 ,苏罗辉2 ,宋科璞2
(11 西北工业大学 自动化学院 ,陕西 西安 710075 ; 21 飞行自动控制研究所 ,陕西 西安 710065)
摘 要 :航空电子系统软件的建模与分析是保证军用和民用飞机高可靠 、高性能的重要手段 ,也是模型驱动软件体系结构 的重要组成部分 。飞行管理系统作为航空电子系统的重要组成部分 ,传统上 ,对该系统的可调度性分析是在系统设计完 成后 ,在实现与验证阶段进行的 ,这使得系统无法进行的准确地软硬件需求分析 。采用先进的建模方法 AADL 对其进行 建模 ,为飞行管理系统的可调度性分析 、可靠性分析以及通信延迟等分析提供了可能 ,使得在系统需求分析阶段就可以准 确确定系统的软硬件需求 ,并能大大降低系统的更改验证成本 。首先论述了建模语言 AADL 的基本构成以及与航空电子 应用接口规范 ARINC653 的对应关系 ;然后描述了飞行管理系统的功能构成 ,并建立了飞行管理系统的 AADL 模型 ;最后 详细论述了系统调度理论 ,AADL 工具 ,飞管系统 AADL 模型的仿真分析 。通过仿真分析为飞管系统的处理器选型 、系统 设计 、软件设计与优化提供了依据 。 关键词 :航空电子系统 ;模型驱动 AADL ;飞行管理系统 ;实时调度分析 中图分类号 : TP311 文献标识码 :A 文章编号 : 1673 - 629X(2010) 03 - 0191 - 04
AADL
AADL笔记:AADL包括三类组件:软件(组件)、硬件和复合组件,主要用来:●规范和分析实时嵌入式系统、复杂系统中的系统和专门性能和功能系统●把软件映射到可计算性硬件元素AADL在复杂实时嵌入式系统中的基于模型分析和规范中非常有效构件是AADL的中心建模词汇,构件被分配唯一的一个标识符(名),并且在一个特定的构件类别中被声明为一个类型和实现,AADL构件抽象分为3个种类:应用软件:线程,线程组,进程,数据,子程序执行平台组件(硬件):处理器,存储器,外设,总线复合组件:软件、执行平台、或者系统构件的组合,如系统。
使用操作模式和模式转换来规范运行时体系结构的动态重构AADL可以用来建模和分析已使用中的系统以及设计和整合新的系统。
AADL构件类型声明:建立了构件的外部可见特性,一个构件类型声明由定义性的子句(clause)和描述性的子句(subclauses)组成。
特征:指定与其他构件的交互点,包括构件所有需求的输入和访问,以及构件提供的所有输出和项流:指定信息传输的不同抽象通道。
属性:定义了构件固有的特性。
每个构件种类有预定义的属性(例如,线程的执行时间)。
extends子句使一个构件类型声明能够基于另一个构件,在一个构件被声明为另一个的扩展中,其接口、流和属性可以加入进来。
父构件类型部分声明的元素可被细化;属性可被修改。
构件实现:一个构件实现按照子构件、以及这些子构件特征之间的交互(调用和连接)、穿越子构件之间的流、表示操作状态的模式、以及属性来指定一个内部结构。
流:表示构件类型中流规范的实现或端到端流分析(例如流从从一个子构件开始,穿过0个或多个子构件,在另一个子构件结束)模式:代表可选操作模式,可能表明自己作为子构件、调用序列、连接和流序列,以及属性的可选的配置属性:定义构件固有的特性。
每个构件实现都有预定义的属性。
AADL的包,属性集,附件包:包允许构件声明集合被组织入一个单独的有着它们自己命名空间的单元。
AADL软件容错系统建模与评估_杨志义
态认证的规约,可用于软件任务和通讯结构的描述以及分布式 多处理器硬件结构的描述。它包含了所有 ADL[2] 的标准概念 : 构件、描述构件间接口的连接器和构件间的连接。AADL 构件 类型分为三类 :软件构件(进程、线程、线程组、子程序和数 据)、硬件构件(处理器、总线、内存和设备)和一个系统构件。 构件间通过端口,子程序调用和共享数据进行通讯。
摘要 :提出了一种解决软件容错系统的可靠性评估方法,该方法基于 AADL,对嵌入式软件系统进行建模,详细分析了软件系统内部各种构 件的各种错误状态和其之间的错误传播,构建了 AADL 软件系统错误模型,并根据基本的转换规则将其转化为广义随机 Petri 网模型,使用现有 工具对其进行了计算,从而实现了软件容错系统的可靠性评估 ;以航空交通控制 (ATC) 为应用场景进行实验,根据经验数据适当的假设了部分构 件的失效率,收到了较好效果。
关键词 :AADL ;可靠性 ;广义随机 Petri 网 ;ATC
Modeling and Assessment of Reliability of a Software Fault Tolerant System Using AADL
Yang Zhiyi, Zhang Chenyu, Dong Yunwei
2 容错系统模型设计
2.1 应用需求背景
在控制系统中,当发生软硬件错误时,为了能立即从错误 状态中恢复过来,加强系统的可靠性,常采用冗余的方法。文 献 [4] 中提出的 ATC 子系统,本文对 ATC 模型进行了简化,
中华测控网
· 780 ·
计算机测量与控制
第 17 卷
将系统分为两部分 :飞机子系统和雷达子系统。 飞机子系统通过中间件发送数据给雷达子系统,雷达子系
基于AADL和SCADE的模型驱动软件设计
第18卷 第6期太赫兹科学与电子信息学报Vo1.18,No.6 2020年12月 Journal of Terahertz Science and Electronic Information Technology Dec.,2020文章编号:2095-4980(2020)06-1117-05基于AADL和SCADE的模型驱动软件设计刘芮滦,邓杨,龚彬(中国工程物理研究院电子工程研究所,四川绵阳 621999)摘 要:模型驱动开发逐渐应用于嵌入式系统的软件设计,在软件设计阶段重点关注的是软件的架构模型和详细功能模型。
用于嵌入式系统软件建模的语言和工具很多,其中结构分析与设计语言(AADL)模型可以构建嵌入式软件的架构,高安全性应用开发环境(SCADE)模型可以描述嵌入式软件的逻辑功能,将两者统一使用可以满足嵌入式软件概要设计和详细设计的建模需求。
针对某飞行器控制系统,本文分别使用AADL和SCADE对飞行器控制系统软件架构和功能进行建模,利用KCG工具从SCADE模型自动生成C代码,通过手工代码和自动生成代码的集成完成控制系统部分软件设计。
实际应用表明,采用AADL和SCADE相结合的建模方法适用于模型驱动开发在嵌入式软件设计中应用。
关键词:AADL模型;SCADE模型;模型驱动开发;嵌入式系统;自动代码生成中图分类号:TN967.6;TP391.9文献标志码:A doi:10.11805/TKYDA2019233Model driven software development based on AADL and SCADELIU Ruiluan,DENG Yang,GONG Bin(Institute of Electronic Engineering,China Academy of Engineering Physics,Mianyang Sichuan 621999,China)Abstract:Model-driven design has been used in embedded system software design. The software architecture model and detailed functional model are the focuses in the software design stage. There aremany languages and tools for the embedded system software modeling. The architecture of embeddedsoftware can be built by the Architectural Analysis and Design Language(AADL) model, and the logicfunction of embedded software can be described by the Safety Critical Application DevelopmentEnvironment(SCADE) model. The integration of the two models can meet the modeling requirements ofoutline design and detailed design of embedded software. AADL and SCADE are adopted to model thearchitecture and function of the software of an aircraft control system, KCG tool is utilized to auto generateC code from SCADE model, and the aircraft control system software is partly designed through theintegration of handmade and auto-generated codes. Actual application indicates that AADL associatedwith SCADE is suitable for model-driven design applied in the embedded software design.Keywords:AADL;SCADE;model-driven design;embedded system;auto code generation随着科技的进步,嵌入式系统的应用已无处不在,嵌入式软件开发方式也得到长足发展。
基于AADL的甲烷浓度监测报警系统可靠性验证
3 系统 建模 验 证
甲烷浓度监测报 警系统的AA DL 模型验 证和分析 主要采用错 误模型 附件 与形式化相结合的方式 , 具体 的做法 是 : 建模 一转换 一 分析 。 即用AA D L 语言对系统进行建模 , 因为A AD L r  ̄于高级 建模语 言, 所 以需要将模型转换为低层次的形式化模型, 最后利用AAD L 的 错误模型附件对形式化模型进行分析。 在本文 中, 采用O S AT E 工具 进行AAD L 建模 、 编译和分析 。 OS AT E 工具是一套E c l i p s e 平 台上 的 插件 , 是软件工程师协会 C MU开发的专门用于AAD L 建模 、 分析 与 自动生成代码 的可视 化工具 。 根据基于AAD L 建模的验证流程 和上述设计思路 , 甲烷浓度监 测报警系统流延迟 问题 的验证 过程 如下 。 步骤 l 需求和设计建模 。 基于实 际需求 , 设计甲烷浓度监测报警 系统的流延迟模型 。 系统 由五个部分组成 : 一个数据 采集设备 和四 个数据处理设备 。 数 据采集 设备为C a t a l y t i c E l e me n t ( C E ) , 四个数 据处理设备 分别 是Da t a D i s p l a y Ma n a g e r ( Da t a D M) , Al a r m Ma n a g e r ( AM) , Da t a T r a n s f e r Ma n a g e r( D TM) 和S a mp l i n g D a t a Ma n a g e r ( S D M) 。 如 图4 所示 , 在整个流 延迟模型 中, 各个硬件组件之 间是通过数据端 口和事件端 口进行互联 , 完成基于模型的数 据信息 和事件信息的交互。 数据 流从 C E开始依 次 ̄ - E D a a t D M、 AM、 D T M 和S D M中流动 , 完成 了从采样 设备到事件驱 动的一次交互 。 在 流延 迟模型 中交互所花费的时间决定 了系统流延迟 的大小 , 也决 定了系 统 是 否 存 在有 流 延 迟 的 问 题 。 步骤2 分析模 型 。 借 助 OS ATE 工具 , 在E c l i p s e 平 台 上 调 用 A A D L的错 误模 型 附件对 设 计的 流延 迟模 型进 行分 析 。 图5 为
一种面向AADL架构的模型测试方法
一种面向AADL架构的模型测试方法冯冰;杨志义;董云卫;马春燕【摘要】鉴于模型在软件系统开发中日趋重要的地位和AADL模型在嵌入式软件建模中的良好应用前景,为了在嵌入式软件系统开发前期保证AADL模型的质量,提出了一种基于模型测试的AADL架构验证方法;该方法应用马尔可夫链描述AADL 架构的行为,然后根据得到的马尔可夫链模型以及系统设计要求标准生成相应的测试用例和测试预言,并通过测试用例执行输出和期望值的比较判断AADL模型的正确性,实现对系统AADL模型的测试;最后通过案例分析证明了该方法的有效性.【期刊名称】《计算机测量与控制》【年(卷),期】2010(018)004【总页数】4页(P778-781)【关键词】AADL;模型测试;马尔可夫链【作者】冯冰;杨志义;董云卫;马春燕【作者单位】西北工业大学计算机学院,陕西,西安,710072;西北工业大学计算机学院,陕西,西安,710072;西北工业大学计算机学院,陕西,西安,710072;西北工业大学软件与微电子学院,陕西,西安,710072【正文语种】中文【中图分类】TP306.20 引言SAE发布的 AADL(A rchitecture Analysis and Design Language)是一种嵌入式系统建模语言,它以构件的形式来描述整个系统,通过定义系统中的构件及构件间的交互来对系统结构进行建模[1]。
此外AADL规范可以通过定义annex进行扩展。
目前已发布的errormodel annex标准被用来描述系统的可靠性、安全性[2],软件设计人员可以综合使用AADL结构模型和错误模型对嵌入式系统进行建模。
相比其他建模语言,AADL对系统非功能属性描述的支持使其在嵌入式系统领域有着良好的应用前景。
嵌入式软件系统广泛使用的模型驱动开发方法中,模型对软件系统的开发非常重要,模型的质量决定软件系统的质量[3]。
本文研究的AADL模型测试方法把开发人员建立的AADL结构模型作为测试对象,根据期望模型生成测试用例,得到测试预言,在实际模型上执行测试用例,将实际输出和测试预言相比较以判断实际模型是否正确。