基于GSPN的機載構件化軟件系統可靠性測試方法

孫 科，覃楊森

（中國飛行試驗研究院 陜西 西安710089）

基于GSPN的機載構件化軟件系統可靠性測試方法

孫 科，覃楊森

（中國飛行試驗研究院 陜西 西安710089）

利用AADL語言對機載構件化軟件系統體系結構進行可靠性建模，實現AADL可靠性模型到廣義隨機Petri網（GSPN）可靠性計算模型的轉換。模型轉換規則主要包括基本元素轉換規則、基本依賴元素轉換規則。在此基礎上，將依賴關系擴展到語義連接、參數連接及子構件調用上，同時使用圖形化方法對轉換規則進行說明，使可靠性模型向GSPN模型轉換規則更加完備，以實現對機載構件化軟件系統可靠性的計算測試與分析評估。

軟件測試；構件化軟件；可靠性；轉換規則；GSPN

隨著機載軟件系統的發展，其構件化體系結構越來越復雜，規模越來越大，對系統的開發成本、開發周期及非功能屬性（可調度性、可靠性、安全性）要求也越來越高。因此，機載軟件系統設計可在模型級別對系統的非功能屬性進行測試，對系統的可調度性、可靠性、安全性進行分析，根據需求在模型級別對系統架構進行修改，以縮短開發周期，節約成本。基于這個思想，美國自動化工程師協會（Society of Automotive Engineers，SAE）發布了航空標準AS5506——架構分析與設計語言[1-2]（Architecture Analysis and Design Language，AADL）。AADL支持在非功能屬性方面對機載系統體系結構進行分析，其將硬件和軟件抽象為不同的構件，構件間通過接口或調用實現數據的通信，它并不關心構件的具體實現，通過軟件構件、硬件構件和系統構件對機載高可靠性系統進行了描述與測試分析。為了對機載系統的可靠性進行描述，SAE又發布了航空標準AS5506/1——錯誤模型附錄[3-4]（Annex E:Error Model Annex）。此標準的提出完善了AADL建模語言，使其由原來單一的模型描述和驗證增加了可靠性分析。AADL系統可靠性模型是一個靜態的模型，為了對AADL系統架構模型進行可靠性測試和分析，需要采用廣義隨機Petri網（GSPN）[5]可靠性計算模型對AADL可靠性模型進行描述，然后通過對GSPN可靠性計算模型進行計算測試與分析，以驗證AADL可靠性模型是否滿足系統設計要求[6]。

1 廣義隨機Petri網（GSPN）

一個六元組（S，T；F，W，M，λ）是一個廣義隨機Petri網（GSPN），當且僅當：S，W，M，λ 與 SPN 定義相同；F中允許有禁止弧，禁止弧僅存在于從庫所到遷移，禁止弧所連接的庫所原可實施條件變為不可實施條件，原不可實施條件變為可實施條件，且在相連遷移實施時，沒有標識從相連的庫所中移出；遷移集 T 劃分為兩個子集：T=Tt∪Ti，Tt∩Ti=Ф，時間遷移集 Tt={T1，T2，…Tk}，瞬時遷移集 Ti={Tk+1，Tk+2，…Tn}，與時間遷移集相關聯的平均遷移實施速率集合 λ={λ1，λ2…λk}，與瞬時遷移相關聯的弧權函數集合為 W={wk+1，wk+2，…，wn}；在一個標識 M 下多個可實施瞬時遷移定義一個隨機開關，確定它們之間實施概率選擇[7]。

在GSPN中，時間遷移的實施速率同隨機Petri網一樣，也可能依賴于標識[8]。如果在一個標識M下，有若干個遷移構成一個可實施遷移集合H，則有下列兩種情形：

1）如果H全部由時間遷移組成，則H中任一時間ti∈H實施的概率為：

與SPN的情形相同，這種標識稱為實存標識；

2）如果H包含若干個瞬時遷移和若干個時間遷移或不包含時間遷移時，只有瞬時遷移能實施，時間遷移不能實施。選擇哪個瞬時遷移實施，要根據一個概率分布函數。H的全部瞬時遷移構成的子集連同相關的概率分布一起稱為一個隨機開關[9]。相應的概率分布稱為一個開關分布。

每一個瞬時遷移的實施概率為：

不同的標識可以分配同一個隨機開關，它們具有相同的瞬時遷移集合并且定義同一個開關分布。若與一個可實施的瞬時遷移相關的概率為零，則該遷移不能實施，其結果就好像它不可實施一樣。一般情況下，一個GSPN的可達集是相關的P/T網可達集的一個子集，這是因為GSPN中瞬時遷移優于時間遷移的實施，從而造成一些表示不可達。另外GSPN的可達集可以劃分為兩個不相交的子集：僅使時間遷移可實施的標識集；可使瞬時遷移可實施的標識集[10]。前者標識在穩定狀態下有駐留時間；后者標識沒有駐留時間。這為GSPN狀態空間的化簡提供了依據。

2 可靠性模型轉換規則

AADL可靠性模型是無法進行量化分析和評估的，需要將其轉換為可分析計算的GSPN模型。圖1所示為AADL可靠性模型向GSPN模型轉換以及可靠性測試評估的過程圖。

圖1 可靠性測試評估過程圖

第一步，根據需求利用AADL標準建立機載軟件系統架構模型；

第二步，建立軟件系統構件的AADL錯誤模型，構件間具有相互依賴關系；

第三步，利用上兩步建立的AADL可靠性模型，根據轉換規則，將AADL可靠性模型轉換為GSPN模型；

第四步，根據生成的GSPN模型進行可靠性計算，根據可靠性計算結果，分析是否滿足系統軟件設計要求，如果不滿足，需對AADL可靠性模型進行修改或重構。

2.1 基本元素轉換規則

當只考慮機載軟件系統中單獨的構件或相對獨立的構件時，將錯誤模型中的基本元素錯誤狀態、錯誤事件、錯誤狀態的變遷轉換為GSPN模型中的位置、弧、遷移等基本元素[11]，如表1所示。

表1 AADL錯誤模型和GSPN模型基本對應關系

在基本元素轉換中，從AADL錯誤模型向GPSN模型轉換時，GSPN模型中的遷移到底采用哪種遷移，是采用時間遷移還是采用瞬時遷移，主要和這種錯誤事件類型和其分布有關[12]，如果錯誤事件的發生服從泊松分布，那么應將其轉換到時間遷移，如果服從固定概率分布，應將其轉換到瞬時遷移。

2.2 基本依賴元素轉換規則

由于構件之間是互相關聯的，一個構件發生錯誤可能會影響到另一個構件，這就造成了錯誤的傳播，有交互的構件都是基于兩種最基本的錯誤傳播方 式 out propagation和 in propagation， 因 此 ，in propagation和out propagation基本依賴關系規則的轉換對其他的高級依賴關系的轉換起到很大的影響。

在對out propagation和in propagation進行聯合的過程中，in propagation因out propagation的存在而發生，二者的聯合，就是錯誤傳播的最基本情況[13]。如圖2所示，Component1是錯誤傳播的發送者，Component2是錯誤傳播的接收者，兩者通過數據端口進行連接，錯誤傳播也是通過數據端口進行傳播的，Component1發出的錯誤名字和Component2接收的錯誤名字是相同的。

圖2 發送和接受構件in-out propagation匹配

圖3 發送構件到接受構件錯誤傳播的GSPN模型

圖3是對圖2的GSPN模型轉化。如圖3所示，加了一條從Outprop到InProp的雙向弧和從In_src到t∈得禁止弧，從Outprop到InProp的雙向弧表示當Out_src發生錯誤傳播，在Outprop中就存一個標識，如果此時InProp中也存在一個標識，那么Component2就接受到Component1的錯誤，發生錯誤狀態的變遷，假如還有其他的接受構件，那么其他的接受構件也可以接受到這個錯誤，OutProp中的標識不應該消失，因此，必須是雙向弧。從In_src到t∈得禁止弧，表示當out_src只發生一次錯誤傳播到達錯誤狀態Out_dst，Outprop中存在一個標識，如果此時In_src中已經存在一個標識，接受構件已經準備好接受錯誤，為了防止這個OutProp中的標識被t∈吸收，所以加了從In_src到t∈的禁止弧。

3 某型號飛控系統可靠性測試

3.1 可靠性模型建立

某型號飛行控制系統的AADL架構模型如圖4所示。該系統由兩個通過通信介質連接的計算機系統構成。其中一個系統實現了與所有的執行器和GPS位置傳感器的交互。另一個系統是人機交互界面系統，這個系統管理移動地圖顯示器，并執行飛行員啟動/取消被動開關的操作。

圖4 某型號飛控系統架構模型圖

如圖4所示，飛控系統由Nav_Autopilot_System和HCI_System兩個子系統構成。Nav_Autopilot_System子系統是自動控制系統，包含進程P_Nav_Con 以及 5 個 設 備 構 件 （Alieron、Elevator、Rudder、Engine、GPS），其中設備構件 GPS 主要負責讀取外部數據（經度、維度、海拔、溫度等）并發送給進程P_Nav_Con，由進程P_Nav_Con向其它4個設備構件發出控制信號，這4個設備構件是控制飛機飛行的設備[14]。在子系統Nav_Autopilot_System中，GPS構件是主要的錯誤傳播源，錯誤傳播是從它發出給P_Nav_Con進程，然后傳給4個設備構件和HCI_System子系統。

圖5 硬件構件的錯誤模型描述

HCI_System子系統是人工控制系統，主要包含進程P_HCI，這個進程負責接收飛行員的控制信號，在顯示器上顯示出來控制信息，并將這些控制信息發送給Nav_Autopilot_System子系統的4個設備構件，從而控制飛機的飛行。在子系統HCI_System中，T_Pilot_Input是主要的錯誤傳播源，錯誤從它發出傳播給Nav_Autopilot_System子系統的設備構件。

根據以上的系統分析，首先建立飛行控制系統的AADL架構模型，進而在飛控系統的架構模型基礎上，建立對應的AADL錯誤模型。硬件構件錯誤模型如同圖5所示。其中，構件的初始狀態為無錯誤狀態（Error_Free state）；臨時錯誤故障以速率λh1被激活；永久錯誤故障以速率λh2被激活；由臨時錯誤故障引起的錯誤其發生速率為μh1；由永久錯誤故障引起的錯誤要么被發現（發現速率為τh1），要么未被發現（未被發現速率為τh2），在這兩種情況下，構件都遷移到Failed狀態，如果錯誤被發現，硬件構件則被修復，如果錯誤未被發現，那么Failure則以速率ξh被察覺，這個構件便以速率μh2被修復。

圖6 軟件構件的錯誤模型描述

圖6所示為軟件構件錯誤模型。其中，構件的初始狀態為無錯誤狀態（Error_Free state）；故障以速率λs被激活，錯誤要么被發現（速率為τh1），要么未被發現（速率為τh2）[15]。一個被檢測到的由臨時故障引起的錯誤，將被錯誤檢測機制以速率πs1消除，該構件隨后遷移至Error_Free狀態；一個被檢測到的由永久故障引起的錯誤將以速率πs2導致構件的失效，那么該構件需要重啟以消除錯誤影響，構件的重啟速率為νs。未被檢測到的錯誤可能自行消失（速率為 rateδs）或者可能被檢測機制察覺（速率為 ξs）。

3.2 GSPN計算模型轉換

根據第2節中的可靠性模型轉換規則，將圖4所示系統構件的可靠性模型轉換得到GSPN可靠性計算模型。將GSPN可靠性計算模型的PNML文件導入可靠性計算工具PIPE2中，以實現對系統可靠性的高效計算[16]。PIPE2執行可靠性計算過程如圖7所示。同時，由于PIPE2是一個針對GSPN可靠性計算模型的開源工具，可將工具的計算過程進行參數優化，例如調整可靠性模型計算步長等，修正計算結果精度，進行多次計算對比分析。

圖7 可靠性計算流程

4 結束語

文中通過將機載構件化軟件系統的可靠性模型轉換為GSPN模型，可以對機載系統的可靠性進行量化測試計算，得出明確的數值分析結果，判斷是否符合系統設計的可靠性需求，以便在系統的設計階段，及時調整和完善設計方案，達到降低機載構件化軟件系統開發成本，提高開發效率的目的。

[1]覃楊森，霍朝暉，劉成玉.構件化機載軟件非功能屬性測試分析方法研究[J].測控技術，2013，32（11）:119-123.

[2]彭成，王盼卿.軟件形式化開發方法的選擇策略研究[J].電子設計工程，2014（15）:30-32.

[3]劉鳳.基于軟件構件技術的軟件化雷達[J].現代雷達，2016（5）：12-15.

[4]程亦涵，黃志球，闞雙龍.一種結合AADL和IMC的系統可靠性建模方法 [J].計算機工程與科學，2015，37（8）:1517-1524.

[5]楊志斌，皮磊，胡凱，等.復雜嵌入式實時系統體系結構設計與分析語言:AADL[J].軟件學報，2010，21（5）:899-915.

[6]李振松，顧斌.AADL在航天器控制系統設計中的應用研究[J].空間控制技術與應用，2011，37（1）:55-58.

[7]陳明鋁，張立臣.AADL對月球車導航系統的設計與建模[J].計算機應用與軟件，2013（11）:235-237.

[8]王小強，韓斌.基于GSPN的飛機測試性指標確定方法研究 [J].計算機測量與控制，2016，24（4）：13-15，18.

[9]趙喆，賈玉紅，鄭昕，等.基于GSPN的飛機前輪轉彎系統安全性評估[J].北京航空航天大學學報，2011，37（12）:1546-1551.

[10]吳永強，潘禎.構件技術的通用自動測試系統軟件設計[J].電子設計工程，2015，23（23）:69-71.

[11]石健，王少萍，王康.基于GSPN的機載液壓作動系統可靠性模型[J].航空學報，2011，32（5）:920-933.

[12]王二威.軟件可靠性模型研究綜述[J].軟件工程，2016（2）:1-2.

[13]李展，單士華.基于GSPN的艦載服務器系統可靠性建模及分析[J].火力與指揮控制，2015，40（5）:57-60.

[14]谷春英，姚青山.基于GSPN的計算機硬件系統可靠性分析[J].微電子學與計算機，2013（6）:122-125.

[15]桑亞輝，肖樂.基于GSPN的軟件可靠性建模及分析[J].計算機測量與控制，2013，21（5）：1251-1253.

[16]師麗斌，李蜀瑜.基于ARINC 653標準的嵌入式構件元模型研究[J].電子設計工程，2015（21）:91-94.

Reliability test method of airborne component based software system based on GSPN

SUN Ke，QIN Yang-sen
（Chinese Flight Test Establishment，Xi'an 710089，China）

Reliability modeling of airborne component based software system architecture using AADL language，the conversion of AADL reliability model to GSPN reliability calculation model is realized.Model transformation rules mainly include the basic elements of the conversion rules，basic dependent element conversion rule.Based on that，the dependency relation is extended to the semantic connection，the parameter connection and the sub component invocation，at the same time using the graphical method to explain the conversion rules，the reliability model is transformed to the GSPN model，in order to calculate and analyze the reliability of airborne component based software system.

software testing； component based software； reliability； conversion rule； GSPN

TN99

A

1674－6236（2017）17-0016-05

2016-07-10稿件編號：201607080

國防基礎科研項目（A0520132031）

孫 科（1982—），男，山西陽高人，碩士，工程師。研究方向：構件化機載軟件測試。