張曉策，燕雪峰，周 勇

(南京航空航天大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106)

一種AADL故障模型到動態(tài)故障樹的轉(zhuǎn)換方法

張曉策，燕雪峰，周 勇

(南京航空航天大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106)

在基于模型驅(qū)動的嵌入式軟件開發(fā)中，需要使用工程技術(shù)和工具保證其安全性和可靠性。在設(shè)計階段確定系統(tǒng)的可靠性是非常重要的,因其可為設(shè)計決策提供重要信息，以減少系統(tǒng)的開發(fā)成本。應(yīng)用AADL建立嵌入式系統(tǒng)模型時，存在著AADL對時序故障描述不足的問題。為解決該問題，將AADL的故障附件進行擴展，使其能夠完善地描述時序故障，并提出了擴展的AADL故障模型到動態(tài)故障樹的轉(zhuǎn)換規(guī)則及方法。從擴展的AADL故障模型到動態(tài)故障樹的轉(zhuǎn)換過程共分為三步：將AADL模型中的組件轉(zhuǎn)換為單個動態(tài)故障樹；以組件為基本元素建立數(shù)據(jù)或事件的故障轉(zhuǎn)移圖；根據(jù)故障轉(zhuǎn)移圖和組件的動態(tài)故障樹建立動態(tài)故障樹。通過導(dǎo)彈發(fā)射系統(tǒng)實例證明了該轉(zhuǎn)化規(guī)則及方法的可行性和實用性。

AADL模型；動態(tài)故障樹；轉(zhuǎn)換方法;錯誤附件

0 引 言

隨著嵌入式系統(tǒng)的飛速發(fā)展,嵌入式系統(tǒng)的結(jié)構(gòu)越來越復(fù)雜,規(guī)模越來越大,對系統(tǒng)的開發(fā)成本、開發(fā)周期及可靠性的要求也越來越高。傳統(tǒng)的嵌入式系統(tǒng)開發(fā)方法已不能滿足嵌入式系統(tǒng)開發(fā)的需要。因此，業(yè)界引入了一種新的方法，模型驅(qū)動結(jié)構(gòu)方法(Model Driven Architecture，MDA)[1]。嵌入式系統(tǒng)的開發(fā)被提升到模型級。模型成為開發(fā)過程中的核心。在系統(tǒng)設(shè)計階段對系統(tǒng)架構(gòu)進行判斷和修改，提高了系統(tǒng)的可靠性，縮短了開發(fā)周期，節(jié)約了開發(fā)成本。針對這樣的需求,美國自動化工程師協(xié)會發(fā)布了一種架構(gòu)分析與設(shè)計語言(Architecture Analysis and Design Language，AADL)[2-3]。AADL能夠詳細地描述復(fù)雜的嵌入式系統(tǒng)架構(gòu)。它不關(guān)心構(gòu)件內(nèi)部的具體實現(xiàn)，僅僅通過構(gòu)件與構(gòu)件間的交互、軟件構(gòu)件與硬件構(gòu)件的綁定，對嵌入式系統(tǒng)進行描述與分析。AADL語言雖然為安全實時系統(tǒng)提供了強大的表達能力，但其大部分語義仍然采用自然語言和例子進行解釋。目前，模型轉(zhuǎn)換是AADL故障模型形式化驗證與分析的主要途徑。例如，將AADL模型轉(zhuǎn)換到BIP、Petri網(wǎng)、故障樹等，目的是為了重用這些模型上已有的驗證和分析能力[4-5]。

時序故障是一類由底事件發(fā)生的順序產(chǎn)生的故障。AADL描述嵌入式系統(tǒng)體系結(jié)構(gòu)時，雖然考慮了事件或進程的結(jié)束時間，但是缺乏對事件或進程的時序故障描述。通過對AADL錯誤模型附件的擴展，增加了時序故障的描述。并對系統(tǒng)故障進行建模，通過轉(zhuǎn)換規(guī)則和算法將系統(tǒng)故障模型轉(zhuǎn)換為時序故障樹，用于分析系統(tǒng)的安全問題。

1 AADL模型及錯誤附件

AADL可以支持一個完整的基于模型的嵌入式軟件的開發(fā)生命周期，包括文檔設(shè)計、架構(gòu)分析、代碼生成、系統(tǒng)集成指導(dǎo)及系統(tǒng)優(yōu)化和升級等。

錯誤模型附件[6](Error Model Annex)是AADL模型的一種標準擴展，主要用于描述系統(tǒng)及構(gòu)件的可靠性，為AADL構(gòu)件錯誤和構(gòu)件通信錯誤提供建模依據(jù)。它可以建立單個構(gòu)件的錯誤模型，也可以建立構(gòu)件通信產(chǎn)生的錯誤傳播模型。

AADL可靠性模型由兩部分組成[6]：AADL架構(gòu)模型和AADL錯誤模型。AADL架構(gòu)模型可以從軟件和硬件兩個方面描述系統(tǒng)，主要描述系統(tǒng)各構(gòu)件的屬性、構(gòu)件間的聯(lián)系及軟件和硬件構(gòu)件的綁定關(guān)系。它不關(guān)心這些功能的實現(xiàn)過程，只是描述構(gòu)件實現(xiàn)怎樣的功能。構(gòu)件的描述由類(type)和實現(xiàn)(implementation)構(gòu)成[7]。構(gòu)件類中定義構(gòu)件的屬性，如端口、子程序、參數(shù)等；構(gòu)件實現(xiàn)中定義構(gòu)件實現(xiàn)的功能，如包含的子構(gòu)件、子程序調(diào)用、連接、流、模態(tài)等。AADL錯誤模型主要描述的內(nèi)容包括：錯誤狀態(tài)、錯誤事件、錯誤變遷以及相關(guān)參數(shù)等可靠性信息。錯誤模型與構(gòu)件相對應(yīng)，每一個構(gòu)件都通過錯誤模型子附錄與相應(yīng)的錯誤模型聯(lián)系。

錯誤模型子附錄通常在架構(gòu)模型構(gòu)件的實現(xiàn)中聲明。由于錯誤是通過構(gòu)件間的連接、軟硬件的綁定或子程序調(diào)用進行傳播的，需要在錯誤模型子附錄中定義錯誤的過濾與屏蔽規(guī)則(guard_in，guard_out)和連接錯誤狀態(tài)(guard_event,guard_transition,activatedeactivate transitions)。這些語法規(guī)則很好地描述了錯誤是如何在構(gòu)件間傳播的。

2 擴展的AADL錯誤附件

AADL中的構(gòu)件對時間有相關(guān)的描述，包括線程的周期、執(zhí)行時間、截止時間等屬性。在AADL錯誤模型中，構(gòu)件的錯誤傳播過濾與屏蔽規(guī)則缺少對多個事件和數(shù)據(jù)發(fā)送到構(gòu)件的先后順序的描述，也就是缺少對事件和數(shù)據(jù)的時序關(guān)系的描述。例如，當某個構(gòu)件有一個事件輸入和一個數(shù)據(jù)輸入，當事件或數(shù)據(jù)的錯誤，或者事件輸入發(fā)生在數(shù)據(jù)輸入之后，會導(dǎo)致該構(gòu)件失效。在AADL中，雖然對輸入事件和數(shù)據(jù)的構(gòu)件有相關(guān)的時間描述，但是執(zhí)行時間和截止時間的描述會有一部分重疊，造成無法判斷事件和數(shù)據(jù)的輸入先后順序。針對這個問題，對AADL錯誤模型進行擴展，加入對時序錯誤的描述。

AADL錯誤模型中的錯誤事件、錯誤狀態(tài)及狀態(tài)間的變遷可以采用一個三元組模型描述。三元組為：EM=(ES,EE,TR)。其中，ES是所有錯誤狀態(tài)的集合,ES={es1,es2,…,esm}；EE是所有錯誤事件的集合,EE={ee1,ee2,…,eem}；TR是所有錯誤狀態(tài)間變遷的集合,轉(zhuǎn)移函數(shù)TR(esi,eej)=esk。其中eej可以是EE中某些錯誤事件的組成，包括eei∩eej,eei∪eej,eei

3 轉(zhuǎn)換規(guī)則

目前，AADL模型的形式化驗證與分析的主要途徑是模型轉(zhuǎn)換，主要是將AADL模型轉(zhuǎn)換到BIP、Petri網(wǎng)、故障樹等。文獻[8-11]描述了從AADL模型到靜態(tài)故障樹的轉(zhuǎn)換方法，但是這些方法中缺少對數(shù)據(jù)組件等的轉(zhuǎn)換描述。文獻[12]描述了從AADL故障模型到動態(tài)故障樹的轉(zhuǎn)換方法，但該模型中缺少對時序故障的描述。

采用故障樹模型作為系統(tǒng)架構(gòu)模型的可靠性計算模型,并建立AADL可靠性模型與故障樹可靠性模型之間的對應(yīng)關(guān)系。動態(tài)故障樹能夠準確描述系統(tǒng)中各種事件之間的因果關(guān)系。

AADL模型是通過組件及組件之間的交互來描述和分析系統(tǒng)結(jié)構(gòu)。AADL模型的組件按照其性質(zhì)可以大致分為3類：系統(tǒng)組件、軟件組件和硬件組件。AADL模型中構(gòu)件間的依賴關(guān)系包括兩種，分別是端口連接實現(xiàn)和調(diào)用實現(xiàn)。調(diào)用實現(xiàn)包括內(nèi)存調(diào)用、函數(shù)調(diào)用等。端口連接包括線程構(gòu)件、進程構(gòu)件等。文中將從兩種不同的依賴關(guān)系出發(fā)，討論兩種不同的構(gòu)件轉(zhuǎn)換到動態(tài)故障樹的規(guī)則。

3.1轉(zhuǎn)換規(guī)則一

在AADL模型的組件中，以端口連接實現(xiàn)為依賴關(guān)系的構(gòu)件包括：進程組件、線程組件、硬件構(gòu)件等。本節(jié)主要描述這些構(gòu)件到動態(tài)故障樹的轉(zhuǎn)換規(guī)則。

擴展的AADL錯誤模型與故障樹模型之間存在映射關(guān)系。其關(guān)系如下：

定義1：動態(tài)故障樹可以用一個6元組表示，F(xiàn)={BE,ME,G,T,I,TE}。動態(tài)故障樹是以TE為根節(jié)點，由(BE∩G，ME,I)組成的有向無環(huán)圖。其中，BE是基本事件的集合；ME是故障樹的中間狀態(tài)集合；G是門的集合，即時序故障樹中出現(xiàn)的門；T是每個門的解釋，T={And,Or,Sand,Pand,Por}；I是每個門的輸入；TE是時序故障樹的根節(jié)點。

根據(jù)定義1，實現(xiàn)AADL基本錯誤模型元素向故障樹模型元素轉(zhuǎn)換規(guī)則，如下所述：

(1)EM(EE)=F(BE)，錯誤事件的集合和初始狀態(tài)轉(zhuǎn)化為基本事件的集合。

(2)EM(ES)=F(ME),所有錯誤狀態(tài)轉(zhuǎn)換為故障樹的中間狀態(tài)集合。

(3)EM(TR)=F(I∩G)，所有錯誤狀態(tài)間變遷的集合轉(zhuǎn)換為故障樹的門節(jié)點及其輸入。

錯誤狀態(tài)間的變遷集合分為兩部分：構(gòu)件內(nèi)部的狀態(tài)變遷和構(gòu)件間故障傳播的條件。對于轉(zhuǎn)換規(guī)則(3)，主要是構(gòu)件間故障的傳播。對應(yīng)AADL中的過濾與屏蔽規(guī)則guard_in和guard_out。

把錯誤過濾/屏蔽guard_in及guard_out中定義的規(guī)則按照其邏輯關(guān)系轉(zhuǎn)換為相對應(yīng)的邏輯口，狀態(tài)和傳播轉(zhuǎn)換為中間事件。錯誤過濾/屏蔽后的組件狀態(tài)為結(jié)果事件，其余為原因事件。通過邏輯門將各個元素連接起來。對于錯誤過濾guard_in來說，當輸入為兩種以上的數(shù)據(jù)或事件時，這些輸入的時序會對系統(tǒng)產(chǎn)生不同的影響。根據(jù)AADL錯誤模型中的TR，所有錯誤狀態(tài)間變遷的集合，轉(zhuǎn)換成相應(yīng)的邏輯門。例如eei

3.2轉(zhuǎn)換規(guī)則二

在AADL模型的組件中，以調(diào)用實現(xiàn)為依賴關(guān)系的構(gòu)件包括數(shù)據(jù)訪問、子程序調(diào)用等。本節(jié)主要描述這些構(gòu)件到動態(tài)故障樹的轉(zhuǎn)換規(guī)則。

在數(shù)據(jù)訪問中，外部構(gòu)件通過關(guān)鍵字data access訪問數(shù)據(jù)構(gòu)件。數(shù)據(jù)構(gòu)件屬于軟件構(gòu)件。當其向外傳播錯誤時，本身的狀態(tài)也發(fā)生變遷。數(shù)據(jù)構(gòu)件定義兩個最基本的錯誤狀態(tài)：Data_Error Free、Data_Failed，分別代表數(shù)據(jù)構(gòu)件是否處于錯誤狀態(tài)。在系統(tǒng)架構(gòu)模型中，根據(jù)外部構(gòu)件訪問數(shù)據(jù)構(gòu)件的關(guān)鍵字data access可以確定錯誤傳播的方向，從數(shù)據(jù)構(gòu)件到外部調(diào)用構(gòu)件。數(shù)據(jù)訪問為系統(tǒng)模型提供數(shù)據(jù)共享的功能，當多個子構(gòu)件訪問同一個數(shù)據(jù)構(gòu)件時，將其拆分為一對一的數(shù)據(jù)訪問來進行錯誤模型的轉(zhuǎn)換。

對于數(shù)據(jù)訪問，將數(shù)據(jù)訪問事件轉(zhuǎn)換為條件事件，將總線所連接的構(gòu)件轉(zhuǎn)換為中間事件(即訪問構(gòu)件和被訪問構(gòu)件)。訪問構(gòu)件和訪問事件所轉(zhuǎn)換的事件為原因事件，被訪問構(gòu)件所轉(zhuǎn)換的事件為結(jié)果事件。各個元素之間通過相應(yīng)的邏輯口AND相連接。一個數(shù)據(jù)訪問實例轉(zhuǎn)換為相應(yīng)的構(gòu)件故障樹如圖1所示。

圖1 內(nèi)存構(gòu)件轉(zhuǎn)換圖

4 轉(zhuǎn)換流程

故障樹是對系統(tǒng)進行安全分析的一種重要方法。從AADL故障模型中提取動態(tài)故障樹，將動態(tài)故障樹輸入到已有的故障樹分析軟件中，可以自動地分析嵌入式系統(tǒng)模型的可靠性。

時序故障樹的生成是一個遞歸過程，主要分成三個步驟:

(1)單個構(gòu)件的故障樹生成。

構(gòu)件包括AADL模型中定義的進程、子程序、總線、設(shè)備、存儲器等。每種構(gòu)件中都定義了所有錯誤狀態(tài)、錯誤事件、錯誤狀態(tài)間的轉(zhuǎn)移等。根據(jù)基本構(gòu)件轉(zhuǎn)換規(guī)則、內(nèi)存構(gòu)件轉(zhuǎn)換規(guī)則和總線構(gòu)件轉(zhuǎn)換規(guī)則，將構(gòu)件轉(zhuǎn)換為單個構(gòu)件的故障樹。

(2)建立構(gòu)件間的故障傳播圖。

AADL模型中的構(gòu)件可以分兩種，分別是依賴關(guān)系為端口連接實現(xiàn)的構(gòu)件和依賴關(guān)系為調(diào)用實現(xiàn)的構(gòu)件。構(gòu)件的故障傳播也分兩種：構(gòu)件內(nèi)部的故障傳播和構(gòu)件間的故障傳播。在該步驟中，將所有的構(gòu)件抽象為一個點，根據(jù)依賴關(guān)系將這些構(gòu)件連接，建立故障傳播圖。

構(gòu)件包括進程組件、線程組件、子程序組件、數(shù)據(jù)組件、硬件構(gòu)件等。硬件構(gòu)件和進程構(gòu)件可以由線程構(gòu)件、數(shù)據(jù)構(gòu)件等組合而成。將這些構(gòu)件分解為線程構(gòu)件、數(shù)據(jù)構(gòu)件等不可分隔的構(gòu)件，通過依賴關(guān)系完成這些構(gòu)件的轉(zhuǎn)換，建立單個構(gòu)件的故障傳播圖。最后在整個系統(tǒng)中，根據(jù)各構(gòu)件的依賴關(guān)系建立整體的故障傳播圖。

(3)故障樹的生成。

將故障傳播圖中的各點替換為步驟1中生成的構(gòu)件故障樹，完成整體故障樹的建立。

5 實 例

本節(jié)將對導(dǎo)彈發(fā)射流程系統(tǒng)進行AADL可靠性建模，接著把導(dǎo)彈發(fā)射流程系統(tǒng)的AADL可靠性模型轉(zhuǎn)換到對應(yīng)的時序故障樹模型。導(dǎo)彈發(fā)射流程系統(tǒng)主要是導(dǎo)彈發(fā)射的控制和數(shù)據(jù)的傳送。該系統(tǒng)主要關(guān)注其導(dǎo)航信息的傳送和發(fā)射流程的控制。系統(tǒng)主要是上端發(fā)送基本的發(fā)射指令，包括導(dǎo)航信息和電源控制命令兩部分，下端根據(jù)發(fā)射指令，將導(dǎo)航信息進行計算并封裝下發(fā)到導(dǎo)彈中，控制導(dǎo)彈的電源開啟。導(dǎo)彈的電源開啟必須在導(dǎo)航信息發(fā)送之前完成，因為導(dǎo)彈必須在電源開啟的狀態(tài)下才能正常工作，即可以接收導(dǎo)航信息。導(dǎo)彈發(fā)射流程系統(tǒng)的AADL架構(gòu)模型如圖2所示。

圖2 導(dǎo)彈發(fā)射系統(tǒng)的AADL圖

(1)單個構(gòu)件的故障樹生成。

以Sendweapon構(gòu)件為例，構(gòu)件代碼如下:

Error_model Sendweapon

Features

EroorFree:initial error state;

Faulse,Failed:error state;

Sendfail:error event;

Transitions:

ErrorFree-[sendfaile]->Failed;

Faulse->Failed;

Guard_in

ErrorFree->faulse when mixdata_error or ele_on_error or(mixdata pand ele_on)

End error model

將該構(gòu)件轉(zhuǎn)換為構(gòu)件的故障樹，如圖3所示。

(2)構(gòu)件的故障傳播圖。

根據(jù)轉(zhuǎn)換流程的故障傳播圖生成過程，建立導(dǎo)彈發(fā)射流程系統(tǒng)的故障傳播圖。Control_datainfo,Electricty_deal和Sendweapon組件轉(zhuǎn)換為相應(yīng)的節(jié)點。Dealbase_info組件可以分為線程Baseinfo_deal和Send_info,以及數(shù)據(jù)訪問構(gòu)件Data_rap。將Dealbase_info組件轉(zhuǎn)換為相應(yīng)的節(jié)點，得到構(gòu)件的故障傳播圖，如圖4所示。

(3)故障樹的生成。

根據(jù)故障傳播圖建立導(dǎo)彈發(fā)射流程系統(tǒng)的故障樹，如圖5所示。

6 結(jié)束語

針對AADL故障模型中缺少時序故障描述的問

圖3 Sendweapon構(gòu)件轉(zhuǎn)換后的故障樹

圖4 故障傳播圖

題，對AADL的錯誤附件進行了相應(yīng)擴展，增加其對時序故障的描述，進而提出從擴展的AADL故障模型到動態(tài)故障樹的轉(zhuǎn)換規(guī)則和轉(zhuǎn)換方法。以導(dǎo)彈發(fā)射流程為例，詳細描述了從AADL故障模型到動態(tài)故障樹的轉(zhuǎn)換過程，證明了該轉(zhuǎn)換規(guī)則與轉(zhuǎn)換方法的可行性以及有效性。

圖5 導(dǎo)彈發(fā)射流程的故障樹

[1] Soley R.Model driven architecture:three years on[M]//CoopIS,DOA,and ODBASE.Berlin:Springer-Verlag,2003:1048-1049.

[2] Singhoff F,Plantec A.AADL modeling and analysis of hierarchical schedulers[C]//Proceedings of the 2007 ACM international conference on SIGAda annual international conference.New York:ACM,2007:41-50.

[3] 楊志斌，皮 磊，胡 凱，等.復(fù)雜嵌入式實時系統(tǒng)體系結(jié)構(gòu)設(shè)計與分析語言：AADL[J].軟件學(xué)報,2010,21(5):899-915.

[4] 董云衛(wèi),王廣仁,張 凡,等.AADL模型可靠性分析評估工具[J].軟件學(xué)報,2011,22(6):1252-1266.

[5] 蘇 威.基于AADL的嵌入式軟件系統(tǒng)驗證技術(shù)研究[D].西安:陜西師范大學(xué),2015.

[6] Delange J, Feiler P. Architecture fault modeling with the AADL error-model annex[C]//Software engineering and advanced applications.[s.l.]:IEEE,2014:361-368.

[7] 高 磊,董云衛(wèi),張 凡,等.一種AADL系統(tǒng)可靠性模型轉(zhuǎn)換方法[J].計算機工程,2011,37(14):21-26.

[8] Sun H, Hauptman M, Lutz R.Integrating product-line fault tree analysis into AADL models[C]//10th IEEE high assurance systems engineering symposium.[s.l.]:IEEE,2007:15-22.

[9] Xiang J,Yanoo K,Maeno Y,et al.Automatic synthesis of static fault trees from system models[C]//Fifth international conference on secure software integration and reliability improvement.[s.l.]:IEEE,2011:127-136.

[10] Joshi A,Vestal S,Binns P.Automatic generation of static fault trees from AADL models[C]//The 37th annual IEEE/IFIP international conference on dependable systems and networks.[s.l.]:IEEE,2007.

[11] 劉 瑋,李蜀瑜.基于AADL模型的靜態(tài)故障樹的自動生成[J].計算機技術(shù)與發(fā)展,2013,23(10):99-102.

[12] Dehlinger J,Dugan J B.Analyzing dynamic fault trees derived from model-based system architectures[J].Nuclear Engineering and Technology,2008,40(5):365-374.

AMethodforConversionofAADLModelintoDynamicFaultTree

ZHANG Xiao-ce，YAN Xue-feng，ZHOU Yong

(School of Computer Science and Technology，Nanjing University of Aeronautics & Astronautics， Nanjing 211106，China)

In the embedded software development based on the model driven,it needs to use the engineering techniques and tools to ensure its safety and reliability.It’s very important to determine the system reliability at the design stage,because it can provide important information for design decisions and reduce the development cost of the system.When adopting the AADL to model for embedded software,there have been a problem that the AADL is poor to describe the sequential error.In order to solve this problem,the error model annex of AADL has been modified to describe the sequential fault perfectly.The conversion rule and method of extended AADL fault model to dynamic fault tree is proposed,which is divided into three steps:transforming the components in the AADL model into a single dynamic fault tree;establishing the failover diagram of the data or event;based on the dynamic fault tree of component and the failover diagram building the dynamic fault tree.Finally,its feasibility and practicability are verified by the example of missile launch system.

AADL model;dynamic fault tree;conversion method;error model annex

2016-10-24

2017-02-24 < class="emphasis_bold">網(wǎng)絡(luò)出版時間

時間：2017-08-01

“十三五”重點基礎(chǔ)科研項目(JCKY2016206B001)

張曉策(1991-)，男，碩士研究生，研究方向為系統(tǒng)建模與仿真；燕雪峰，教授，研究方向為軟件工程方法論、系統(tǒng)建模與仿真等；周 勇，副教授，研究方向為人工智能、專家系統(tǒng)、智能推理等。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170801.1550.024.html

TP311

A

1673-629X(2017)11-0110-05

10.3969/j.issn.1673-629X.2017.11.024