基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方法
【專利摘要】基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方法���,該方法采用偏序規(guī)約來約減中斷驅動系統(tǒng)有界模型檢驗狀態(tài)遍歷過程中的路徑和狀態(tài)�。本發(fā)明根據(jù)中斷驅動系統(tǒng)所具有的性質,首先定義中斷處理程序之間的依賴關系��;然后通過靜態(tài)分析�����,得到中斷處理程序之間的相互依賴關系����,并用矩陣表示���;最后在狀態(tài)空間遍歷過程中�����,當全局狀態(tài)上有多個中斷同時滿足觸發(fā)條件時����,將這些中斷根據(jù)相互依賴關系生成偏序路徑����,并按照此路徑執(zhí)行到達新的全局狀態(tài)。本發(fā)明的目的是約去冗余的遍歷路徑,約減狀態(tài)空間�,縮短驗證時間。本發(fā)明具有廣泛的適用性�,能大幅減少中斷驅動系統(tǒng)的模型檢驗時間,適用于包含較多中斷數(shù)量的中斷驅動系統(tǒng)���。
【專利說明】基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方法
【技術領域】
[0001] 本發(fā)明設及一種中斷驅動系統(tǒng)有界模型檢驗的偏序優(yōu)化技術���,主要利用偏序規(guī)約 技術消除模型狀態(tài)遍歷過程中的冗余路徑,減少狀態(tài)空間中的狀態(tài)數(shù)�,縮減捜索時間,屬于 有界模型檢驗的算法優(yōu)化領域�����。
【背景技術】
[0002] 中斷驅動系統(tǒng)(interrupt-化iven system)是一類由系統(tǒng)任務和中斷處理程序組 成的實時系統(tǒng)�����。在現(xiàn)實生活中��,中斷驅動系統(tǒng)被廣泛應用于安全關鍵系統(tǒng)中�����,如醫(yī)療輔助系 統(tǒng)、軌道交通控制系統(tǒng)����、航空航天控制系統(tǒng)。因此��,系統(tǒng)的正確性保障有著特別重要的現(xiàn)實 意義�����。但中斷事件的發(fā)生時間和順序具有極大的不確定性�����,不同的中斷觸發(fā)時間和順序將 導致不同的系統(tǒng)行為��,而系統(tǒng)的某些設計錯誤只有在特定的行為下才會顯現(xiàn)出來��。從而導 致中斷驅動系統(tǒng)的測試工作開銷極大且效率低下����,依靠測試無法保障系統(tǒng)正確性�����。
[0003] 模型檢驗(model checking)是一種W形式化方式構造系統(tǒng)的模擬運行過程,自 動檢測系統(tǒng)是否滿足某些期望規(guī)約的新興技術���。其主要過程是�;先把要驗證的系統(tǒng)構造為 有限狀態(tài)自動機���,通過自動機狀態(tài)間的轉移來模擬系統(tǒng)運行�;把要驗證的系統(tǒng)規(guī)約用時序 邏輯進行說明�。在模擬系統(tǒng)運行的過程中,將自動機狀態(tài)間的轉移約束和系統(tǒng)規(guī)約編碼成 SAT(satisfi油ility)實例�����,然后利用SAT工具求解�,根據(jù)解的情況來判斷系統(tǒng)規(guī)約是否滿 足。模型檢驗的實質是利用計算機的快速計算能力�����,通過窮舉被檢驗系統(tǒng)的狀態(tài)空間中的 每一個狀態(tài)來驗證系統(tǒng)規(guī)約是否滿足�����。該也使得模型檢驗技術面臨一個具大的挑戰(zhàn)--狀 態(tài)空間爆炸�。有界模型檢驗化ounded model checking,簡稱BMC)則是為應對該一挑戰(zhàn)而 被提出的技術���,它通過設置上邊界K,只遍歷從初始狀態(tài)出發(fā)K階可達的所有狀態(tài)�����,從而限 定了狀態(tài)空間的增長�。
[0004] 在過去的工作中,我們提出了中斷驅動系統(tǒng)的有界模型檢驗算法��,其主要內容包 括:
[0005] 1)提出時間自動機+偽代碼的建模方式���。用一個時間自動機模擬一個中斷源或處 于同一周期中的多個系統(tǒng)任務,自動機上狀態(tài)的遷移表示系統(tǒng)任務調度事件或中斷觸發(fā)事 件�����,而自動機狀態(tài)和邊上的約束用W表示事件發(fā)生的時間約束���。將真實系統(tǒng)中的程序語句 抽象得到偽代碼�����,用于描述程序行為��。為了模擬中斷驅動系統(tǒng)的任務處理過程���,我們還在模 型中引入了中斷向量表和CPU找�。
[0006] ����。定義了全局狀態(tài)(global state)用W描述模型所處的狀態(tài),和事件(event)用 W描述模型所具有行為�。算法從初始全局狀態(tài)出發(fā),W該狀態(tài)上可能觸發(fā)的事件為邊到達 后繼狀態(tài)����,檢驗新得到的全局狀態(tài)是否滿足系統(tǒng)規(guī)約。依此循環(huán)���,進行深度優(yōu)先狀態(tài)空間遍 歷���。
[0007] 但即便是使用有界模型檢驗,當系統(tǒng)中的中斷數(shù)量達到一定數(shù)量時��,檢驗過程花 費的時間變得不可接受��。因為系統(tǒng)中的中斷處于并發(fā)狀態(tài)���,在每一個全局狀態(tài)上都要判斷 各個中斷是否滿足觸發(fā)條件�����。當有多個中斷同時滿足觸發(fā)條件時�����,為了枚舉所有可能的狀 態(tài)����,檢驗算法需要按照所有可能的組合和排列去觸發(fā)并處理中斷,得到新的全局狀態(tài)��。由于 排列的總數(shù)與基數(shù)是階乘關系�����,當中斷數(shù)量較大時�����,在各全局狀態(tài)上可能同時滿足觸發(fā)條 件的中斷數(shù)(即基數(shù))也較大�����,從而導致狀態(tài)空間爆炸式增長�����。
【發(fā)明內容】
[000引技術問題���;本發(fā)明的目的是提供基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方 法���,在中斷驅動系統(tǒng)的模型狀態(tài)空間遍歷過程中,某些中斷的處理順序并不影響后繼狀態(tài)�����。 本發(fā)明通過對中斷處理程序的靜態(tài)分析�����,定義偏序關系�����,使用偏序規(guī)約技術消除得到相同 后繼狀態(tài)的路徑����,約減狀態(tài)空間�,縮短遍歷時間�。
[0009] 技術方案;在實際模型中�,中斷的觸發(fā)及處理的順序可能并不影響后繼狀態(tài),即 在某個全局狀態(tài)下按不同的順序去觸發(fā)并執(zhí)行了相同的幾個中斷后�,將得到相同的全局狀 態(tài)。偏序規(guī)約(partial order re化ction)是一種狀態(tài)約簡技術���,它通過定義狀態(tài)遷移之間 的獨立或依賴關系來消除遍歷路徑中冗余的狀態(tài)遷移�,來達到約減狀態(tài)空間的目的��。因此����, 為了應對中斷驅動系統(tǒng)有界模型檢驗所面臨的狀態(tài)空間爆炸問題,我們提出了基于偏序規(guī) 約的一套實用而有效的解決方案:
[0010] 1)通過對實際的中斷驅動系統(tǒng)分析��,定義中斷處理程序間的依賴關系��;
[0011] 2)分析待檢驗系統(tǒng)中的所有中斷處理程序�,判斷它們相互之間是否具有所定義的 依賴關系��,并將分析結果存入相應的數(shù)據(jù)結構���;
[0012] 3)用深度優(yōu)化遍歷算法遍歷狀態(tài)空間�,當全局狀態(tài)上有多個中斷滿足觸發(fā)條件 時,將該些中斷按步驟2中分析得到的相互依賴關系生成偏序路徑�,并按偏序路徑依次執(zhí) 行各中斷到達新的全局狀態(tài)。
[0013] 本發(fā)明首先通過靜態(tài)分析得到中斷處理程序間的依賴關系�,然后在狀態(tài)空間動態(tài) 遍歷的過程中,將全局狀態(tài)上所有滿足觸發(fā)條件的中斷依據(jù)其相互依賴關系生成偏序路 徑����。全局狀態(tài)按照偏序路徑執(zhí)行到達新的全局狀態(tài),而消除其它冗余的處理路徑����。
[0014] 該方法包含的步驟為:
[0015] 步驟1 ;在檢驗前,對中斷驅動系統(tǒng)模型中的中斷處理程序進行靜態(tài)分析�,根據(jù)各 中斷處理程序所訪問的共享資源之間的關聯(lián)生成依賴關系矩陣M ;
[0016] 步驟2 ;根據(jù)中斷驅動系統(tǒng)模型中系統(tǒng)任務的時間自動機模型對系統(tǒng)任務進行調 度,進入CPU找的系統(tǒng)任務依據(jù)其偽代碼模型執(zhí)行���,到達新的全局狀態(tài)���;
[0017] 步驟3 ;在新的全局狀態(tài)上,對中斷驅動系統(tǒng)模型中各個中斷觸發(fā)的時間約束進 行編碼�,形成線性約束并調用線性規(guī)劃求解器求解,判斷中斷觸發(fā)的時間約束是否可滿 足;
[001引步驟4 ;若所有中斷均不滿足觸發(fā)條件����,則轉步驟2 ;否則將滿足觸發(fā)條件的中斷 依據(jù)依賴關系矩陣生成偏序路徑;
[0019] 步驟5 ;在當前全局狀態(tài)上按照偏序路徑依次執(zhí)行各中斷處理程序���,到達新的全 局狀態(tài)�;
[0020] 步驟6 ;檢驗得到的新全局狀態(tài)是否滿足系統(tǒng)規(guī)約�����,如果不滿足則報告錯誤�,算法 終止;否則轉步驟2繼續(xù)執(zhí)行���。
[0021] 所述的依賴關系矩陣M是指�;設模型中有n個中斷I���。12,…���,I。����,中斷l(xiāng)i對應的處 理程序為Pi,矩陣Mwu定義為
[0022]
【權利要求】
1. 一種基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方法,其特征在于該方法包含的步 驟為: 步驟1:在檢驗前����,對中斷驅動系統(tǒng)模型中的中斷處理程序進行靜態(tài)分析,根據(jù)各中斷 處理程序所訪問的共享資源之間的關聯(lián)生成依賴關系矩陣M; 步驟2 :根據(jù)中斷驅動系統(tǒng)模型中系統(tǒng)任務的時間自動機模型對系統(tǒng)任務進行調度��, 進入CPU棧的系統(tǒng)任務依據(jù)其偽代碼模型執(zhí)行���,到達新的全局狀態(tài)��; 步驟3 :在新的全局狀態(tài)上��,對中斷驅動系統(tǒng)模型中各個中斷觸發(fā)的時間約束進行編 碼�,形成線性約束并調用線性規(guī)劃求解器求解�,判斷中斷觸發(fā)的時間約束是否可滿足; 步驟4 :若所有中斷均不滿足觸發(fā)條件����,則轉步驟2 ;否則將滿足觸發(fā)條件的中斷依據(jù) 依賴關系矩陣生成偏序路徑; 步驟5 :在當前全局狀態(tài)上按照偏序路徑依次執(zhí)行各中斷處理程序���,到達新的全局狀 態(tài)�; 步驟6 :檢驗得到的新全局狀態(tài)是否滿足系統(tǒng)規(guī)約,如果不滿足則報告錯誤�,算法終 止;否則轉步驟2繼續(xù)執(zhí)行�����。
2. 根據(jù)權利要求1所述的基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方法����,其特征在 于所述的依賴關系矩陣M是指:設模型中有n個中斷I1,I2,…��,In����,中斷^對應的處理程序 為Pi,矩陣M[n][n]定義為
3. 根據(jù)權利要求1所述的基于偏序規(guī)約的中斷驅動系統(tǒng)有界模型檢驗方法,其特征在 于所述的生成偏序路徑是指:對于在同一全局狀態(tài)上所有滿足觸發(fā)條件的中斷的集合S�, 對于任意的^和I」,IiGS八IS��,若Mu][j]= 1�,生成的偏序路徑需包含卩'Pj和Pj〈Pi 兩種情況;若M[i]w= 0,則生成的偏序路徑只包含P'Pr-種情況��。
【文檔編號】G06F9/48GK104503837SQ201510019677
【公開日】2015年4月8日 申請日期:2015年1月15日 優(yōu)先權日:2015年1月15日
【發(fā)明者】趙建華, 蔡增科, 戎挺 申請人:南京大學