基于扩展活性顺序图模型检测的物联网可信性评价方法

基于扩展活性顺序图模型检测的物联网可信性评价方法
【专利摘要】本发明公开了一种基于扩展活性顺序图对物联网进行可信性评价的方法，属于物联网【技术领域】。本发明提出采用概率时间活性顺序图对物联网的运行加以直观和量化的描述，采用时间活性顺序图对物联网的运行场景加以规约，采用模型检测的方法，实现对物联网可信性的评价。该方法自动化程度高，对计算空间要求不高，过程清晰明确，可操作性和可复用性强。本发明提升了业内对物联网设计与运行的理论认识水平和实际检测技术水平，对加快国内物联网产业的健康和可持续发展具有重要的促进作用。
【专利说明】基于扩展活性顺序图模型检测的物联网可信性评价方法
【技术领域】
[0001]本发明涉及物联网【技术领域】，具体涉及一种基于扩展活性顺序图模型检测的物联网可信性评价方法。
【背景技术】
[0002]物联网是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化三个重要特征。互联网加物联网形成“智慧地球”，是当前世界性的热门课题。被称为下一个万亿级通信业务的物联网，已被世界各国当作应对国际金融危机、振兴经济的重点领域。抓住物联网发展的这一机遇，将不仅为中国信息产业，也为“中国制造”赢得未来巨大而广阔的发展空间。目前，我国政府十分关注和重视物联网的研究，国家发改委、工业和信息化部已出台多项重大举措，促进物联网产业的发展。
[0003]嵌入式系统是以嵌入式处理器为基础，嵌入到对象体系中的智能化电子系统。嵌入式系统作为热门领域，涵盖了微电子技术、传感技术、电子信息技术、计算机软件和硬件等多项技术的应用。可以说现在的时代是一个嵌入式的时代，从我们生活的智能化、工业的自动化到国防的现代化，嵌入式系统无处不在。嵌入式技术日趋成熟，嵌入式产品网络化需求在不断的增长，并且存在巨大的市场潜力，由此推动了物联网的诞生。可以说，物联网是嵌入式系统网络化的产物。
[0004]人们对包括嵌入式系统在内的各种计算系统的可依赖程度越来越高，用户对于计算服务的“可信性”也越来越关注，可信计算己成为当前的一个热点研究领域。目前对于可信性还没有统一的定义，本文中“可信性”指系统在规定的时间与环境内交付可信赖服务的能力，这种能力常常以概率的大小来定量表示。物联网执行的可信性问题，是物联网背后的重要科学问题之一。物联网执行的可信性问题是指，如何应对物理实体的控制要求，实现和满足系统执行过程与结果符合设计期望，达到可信控制的问题。执行的可信性是物联网实施和应用的核心和关键。
[0005]模型检测作为保证系统正确性和可靠性的一种重要手段，在最近20多年取得长足发展。通过对被研究的系统建立模型，对系统应遵循的各种性质使用适当的规约语言加以描述，通过遍历模型可检查系统是否遵循有关的性质。如果不遵循指定的性质，还能给出违背性质的反例。由于模型检测采用了严格的形式化方法对系统进行验证，因此比测试和仿真更能保证系统的正确性。
[0006]随着嵌入式系统的广泛使用，嵌入式系统的性能与可信性分析也受到人们的关注。《反应式嵌入式系统形式化性能模型的研究》(张冠华等，小型微型计算机系统，2005)基于进程代数EACSR-VP和形式化描述语言CPSL，对反应式嵌入式系统的通信信道的吞吐率、队列缓冲区的平均长度等进行了形式化建模，并开发了形式化工具PVKit来对系统进行性能分析。《策略驱动的可靠嵌入式系统建模及分析方法》(范贵生等，软件学报，2011)针对嵌入式系统的特点，提出一种策略驱动的可靠嵌入式系统建模与分析方法。基于Petri网建立嵌入式系统的形式化描述语言，并对设备、计算与物理交互、组件及通信过程等要素进行建模，并利用Petri网相关理论分析嵌入式系统可靠性保障策略的有效性。
[0007]从20世纪90年代开始，国外对嵌入式系统性能与可信性分析就引起了广泛兴趣。针对嵌入式系统中存在的实时性特点，关于实时系统的研究，是一个研究热点。针对嵌入式系统中存在的不确定性，关于概率系统的研究，也是一个研究热点。时间自动机是描述嵌入式系统实时性的基本模型，用时间自动机建立系统模型，可以验证系统满足用户实时性的正确性。UPPAAL就是这方面的典型工具。概率时间自动机是在时间自动机模型上进行概率扩展形成。概率时间自动机不仅可以描述系统的实时性，还能够进一步对系统状态跃迁的不确定性进行定量描述，是比较典型和常用的性能建模模型。可以概率时间计算树逻辑(PTCTL)来描述用户对系统的实时性和可靠性要求，以概率时间自动机来建模系统，以模型检测的方法可以来检验系统的正确性。该验证已研制出较好的实现工具PRISM。
[0008]上述研究对系统性质的描述，采用的是形式化的逻辑，其存在两个方面的问题。一是，对用户的要求较高，没有专门的数学与逻辑方面的训练，难以掌握使用这些逻辑来描述系统性质的技巧。二是，形式化的逻辑对系统性质的表达能力也存在一定的局限性。欲进行性能评估的系统，如果是比较复杂的系统，比如物联网中的许多嵌入式系统，就可能存在:I)层次性-系统由多个子系统或组件等组成；2)并行性-多个子系统同时运行；3)交互性-子系统间进行同步和通信。这类系统中行为的发生常常由来自内部或外界的事件所触发。对于这类系统，用常规的时序逻辑难以描述其性质，甚至难以用进程代数、petri网或自动机来对系统建模。
[0009]基于场景的规约(Scenario-Based Specification)用直观、可视的形式描述系统各部件之间的交互活动，在系统开发过程中扮演着重要的角色。自ITU-Z120推出以来，消息顺序图(Message Sequence Chart, MSC)逐渐被工业界接受为基于场景的规约语言。随着OMG推出的统一建模语言(Unified Modeling Language, UML)将类似于MSC的顺序图(Sequence Diagram)集成其中，类似于MSC的基于场景的规约语言被越来越多的系统开发人员认识并使用。活性顺序图(Live Sequence Chart, LSC)是MSC(或UML的顺序图)的模态扩展，能够对强制场景和可能场景加以区分，因此具有图形化的界面和更强的规约表达能力，是重要的基于场景的规约语言，在工业界逐渐得到广泛使用。
[0010]本发明认为一个物联网由多个相对独立而内部紧密耦合的嵌入式系统构成。在物联网环境下，系统运行的实时性和不确定性是影响嵌入式系统可信性的关键要素，在对嵌入式系统各个部件之间的交互活动进行建模的过程中必须要考虑时间因素和不确定性因素。本发明采用LSC及其扩展语言能够对上述复杂情况进行系统的需求描述和系统建模。可以以时间扩展的LSC(简称TLSC)来描述系统的需求，以时间扩展和概率扩展的LSC(本文中称这种扩展后的LSC为PTLSC)来对系统本身建模。可以对一个嵌入式系统的每一个重要的子系统或组件，采用一个PTLSC来描述，从而用一个PTLSC网络来对构成物联网的各个嵌入式系统进行建模。在此基础上，可通过模型检测的方法，来分析系统满足场景规约的可信度(概率)。

【发明内容】

[0011]本发明提供了一种基于扩展活性顺序图模型检测的物联网可信性评价方法，通过该方法以实现对物联网可信性的评价。
[0012]本发明的技术方案包括以下步骤:
[0013]一种基于扩展活性顺序图模型检测的物联网可信性评价方法，包括以下步骤:
[0014](I)采用概率时间活性顺序图对被评价的物联网建立系统模型；
[0015](2)采用时间活性顺序图对物联网的运行建立规约模型；
[0016](3)将概率时间活性顺序图转换为概率时间自动机；
[0017](4)将时间活性顺序图转换为时间自动机；
[0018](5)调整并组合上述的概率时间自动机和时间自动机，形成新概率时间自动机；
[0019](6)将新概率时间自动机输入到模型检测工具PRISM，进行系统的可信性评价。
[0020]实现步骤(I)的方法如下:
[0021]a、确定被评价的物联网对象，可以是一个完整的物联网，也可以是物联网的一部分；
[0022]b、确定被评价对象中的各个主要组件，以及各个主要组件之间的交互关系，包括时间约束关系和以概率来描述的可信度指标；
[0023]C、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的概率时间活性顺序图。
[0024]实现步骤(2)的方法如下:
[0025]a、针对被评价的物联网对象，分析该物联网对象中各个主要组件之间的约束关系，提出系统运行的硬性要求，包括系统运行的时间约束要求和运行的可信度要求；
[0026]b、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的时间活性顺序图。
[0027]实现步骤(3)的方法如下:
[0028]a、建立MARTE的一般元模型和概率时间自动机的一般元模型；
[0029]b、建立MARTE的一般元模型和概率时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第一转换规则；
[0030]C、将上述概率时间活性顺序图、MARTE的一般元模型、概率时间自动机的一般元模型、ATL工具的第一转换规则输入到ATL工具，经过转换得到相应的XMI格式的一组概率时间自动机；
[0031 ] d、建立XMI格式的概率时间自动机与XML格式的概率时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组概率时间自动机转换为XML格式的一组概率时间自动机。
[0032]实现步骤(4)的方法如下:
[0033]a、建立MARTE的一般兀模型和时间自动机的一般兀模型；
[0034]b、建立MARTE的一般元模型和时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第二转换规则；
[0035]C、将上述时间活性顺序图、MARTE的一般元模型、时间自动机的一般元模型、ATL工具的第二转换规则输入到ATL工具，经过转换得到相应的XML格式的一组时间自动机；
[0036]d、建立XMI格式的时间自动机与XML格式的时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组时间自动机转换为XML格式的一组时间自动机。
[0037]实现步骤(5)的方法如下:[0038]a、概率时间自动机的调整规则:
[0039]在组成物联网系统的各个概率时间自动机中，对发送消息的迁移行为，其标记从ch改记为ch !;对接收消息的迁移行为，其标记从ch改记为ch ?；
[0040]对于概率时间自动机中包含发送消息的概率分支pb = (I1, ch ! , g, r, prob, I2)(ch !为内部迁移行为的除外)，在IjP I2之间增加一个中间committed位置 1； IjP i之间的概率分支就是Pb(除了目标位置的名称从I2变成了 I' 定义 1和12之间的概率分支为Pb' = 0- cho ! , true, null, I, I2)。其中，I1' ι和I2表示自动机中的位置，ch和cho表示自动机中的行为，prob = p(l1；r, I2)是分支上的概率，而g和r分别表示分支上的卫士和复位时钟；
[0041]在概率时间自动机中，使用全局布尔变量MayFire来强化committed迁移的发生:在non-committed位置，设置MayFire为真,迁移可以自由发生；在committed位置，设置MayFire为假，表示只有从该位置出发的迁移可以进行，此时其它位置不能进行迁移，该迁移完成后，再重新设置MayFire为真；
[0042]b、时间自动机的调整规则:
[0043]将时间自动机每条边上行为的名字由ch修改为cho ?；
[0044]C、将一组概率时间自动机组合成一个概率时间自动机的规则:
[0045]在构成系统的一组概率时间自动机中，令各个概率时间自动机W' i=(L' i; 0i，X' i，Act' i； InvijpEi i)(i eO>2)，且假设X;n(=0;其中 L' i 是位置的有限集合， Μ是初始 位置，X' i是时钟的有限集合，Act' i是行为的有限集合，inv' 1是为每个位置指定一个不变式的函数，而pE' 基于概率的边关系。两个概率时间自动机Ψ jPW' 2的并行组合，是一个新概率时间自动机W' iOW' 2=(L' iXL' 2，0- 01, J,V I U X' 2，Act' I U Act' 2，inv'，pE')。在2个概率时间自动机的并行组合中，MayFire仍然协调着committed行为。以此类推，将2个概率时间自动机的并行组合能够扩展到多个；
[0046]d、概率时间自动机与时间自动机的并行组合
[0047]时间自动机为概率时间自动机的简化，其中所有的概率分布都是点分布；根据c中的定义，可直接实现概率时间自动机与时间自动机的组合，得到一个新的概率时间自动机；在组合后，去掉永远不会发生的跃迁。
[0048]实现步骤(6)的方法如下:
[0049]a、使用PRISM来计算Pr(^(PTAKZmm —/_))的概率；输入到PRISM中的概率模型是来自上述组合得到的新概率时间自动机PTA ;待验证的性质是lmin — Imax ;其中，Imin和Imax表不经调整后的时间自动机的初始位置和最终位置；
[0050]b、使用公式 Pmin =? [F target]和 Pmax =? [F target]来计算Ρ ΟΑ(ΡΤΑ > (Irmn Zmax))的最大概率和最小概率，其中target可设置为新概率时间自动机PTA中包含Imax分量的位置。
[0051]采用以上方法后，本发明很好地契合了我国大规模物联网开发与利用的需要。本发明在基于物联网是嵌入式系统的网络化这一理念的基础上，进一步地提出了由多个紧密耦合的嵌入式设备构成一个相对独立的嵌入式系统，一个物联网由多个这样的嵌入式系统，通过网络的连接而构成，从而为利用现有的实时嵌入式系统技术来分析物联网奠定了理论基础。
[0052]本发明提出利用概率时间活性顺序图来建模物联网，利用时间活性顺序图来描述物联网的运行场景，从而使得对物联网的描述摆脱了形式化描述的局限，描述直观、可视化程度高，便于本发明的推广利用。本发明的各个主要技术环节都有开源软件的支持，具有很高的可操作性，为本发明的实际利用创造了很好的条件。本发明利用了模型检测技术，因此既可用于已建成物联网(或其一部分)的可信性评估，也适合于物联网系统设计阶段的对系统开发模型的可信性评估，使用面十分广泛。
[0053]本发明提出的基于扩展活性顺序图模型检测的物联网评价方法，经过实验论证，效果可信。解决问题速度较快，对计算空间要求不高，节约成本。本发明专利经过充分的技术论证，具备充分的理论可行性和实践可行性。
【专利附图】

【附图说明】
[0054]图1:系统的MARTE建模与自动机转换框图
[0055]图2 =GQAM域模型中GQAM_Workload包的简图
[0056]图3:概率时间自动机的元模型
[0057]图4:UML交互图的元模型
[0058]图5:一个概率时间系统
[0059]图6:图5修改后的概率时间系统
[0060]图7:表示图5中概率时间系统需求规约的时间自动机O[0061 ]图8:图7修改后的时间自动机O'
[0062]图9 W IBi \0'的组合
[0063]图10:图9修改后的版本
【具体实施方式】
[0064]基于扩展活性顺序图模型检测的物联网可信性评价方法，充分考虑到了物联网系统内部嵌入式组件之间的交互性，和系统运行中存在的实时性和不确定性，以可视化的方式对系统自身的运行和系统的运行场景加以定量地描述与深入地分析，从而实现对物联网可信性的量化评估。
[0065]一、本评价方法的基本思路与流程
[0066]本评价方法的基本思路与流程是:一个物联网可看作一个复杂的概率时间系统。在这样的系统中，组件之间在一定的时间约束下相互交互，且行为存在不确定性。人们也常常希望系统的运行遵循一定的要求。活性顺序图是系统建模与场景描述的可视化工具。在本发明中，将活性顺序图进行了时间和概率扩展。我们将活性顺序图加以时间扩展，以描述对物联网的运行要求；将时间扩展的活性顺序图再加以概率扩展(或者直接采用概率时间自动机)，以其构成的网络描述物联网的运行；在此基础上，采用模型检测的方法，来评估物联网运行的可信性。本发明提出了一个基于MDA将扩展的活性顺序图转换为相应自动机的框架，从而将上述模型检测的问题，转换为自动机之间的模型检测问题。在后续的模型检测工作中，我们采用了“观察”的方法-让需求自动机观察系统的运行。通过修改和组合涉及的一组自动机，可获得一个标准的概率时间自动机，将之输入到概率模型检测工具PRISM，可计算出反映原始系统满足运行要求的程度(概率)。
[0067]下面给出本评价方法中主要概念的形式化定义与有关说明:
[0068]时钟与时钟赋值时钟X表示记录时间的非负实数变量。X是时钟X的有限集合。时钟赋值
【权利要求】
1.一种基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:包括以下步骤: (1)采用概率时间活性顺序图对被评价的物联网建立系统模型； (2)采用时间活性顺序图对物联网的运行建立规约模型； (3)将概率时间活性顺序图转换为概率时间自动机； (4)将时间活性顺序图转换为时间自动机； (5)调整并组合上述的概率时间自动机和时间自动机，形成新概率时间自动机； (6)将新概率时间自动机输入到模型检测工具PRISM，进行系统的可信性评价。
2.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:实现步骤(1)的方法如下: a、确定被评价的物联网对象，可以是一个完整的物联网，也可以是物联网的一部分； b、确定被评价对象中的各个主要组件，以及各个主要组件之间的交互关系，包括时间约束关系和以概率来描述的可信度指标； c、遵循MARTE分析模型的规范，采用Papyrus软件绘制出相应的概率时间活性顺序图。
3.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:实现步骤(2)的方法如下: a、针对被评价的物联网对象，分析该物联网对象中各个主要组件之间的约束关系，提出系统运行的硬性要求，包括系统运行的时间约束要求和运行的可信度要求； b、遵循MARTE分析模型的规范,采用Papyrus软件绘制出相应的时间活性顺序图。
4.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:实现步骤(3)的方法如下: a、建立MARTE的一般元模型和概率时间自动机的一般元模型； b、建立MARTE的一般元模型和概率时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第一转换规则； C、将上述概率时间活性顺序图、MARTE的一般元模型、概率时间自动机的一般元模型、ATL工具的第一转换规则输入到ATL工具，经过转换得到相应的XMI格式的一组概率时间自动机； d、建立XMI格式的概率时间自动机与XML格式的概率时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组概率时间自动机转换为XML格式的一组概率时间自动机。
5.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:实现步骤(4)的方法如下: a、建立MARTE的一般元模型和时间自动机的一般元模型； b、建立MARTE的一般元模型和时间自动机的一般元模型中的变量和元素之间的映射关系，撰写ATL工具的第二转换规则； C、将上述时间活性顺序图、MARTE的一般元模型、时间自动机的一般元模型、ATL工具的第二转换规则输入到ATL工具，经过转换得到相应的XML格式的一组时间自动机； d、建立XMI格式的时间自动机与XML格式的时间自动机的转换规则，通过TCS转换器将上述XMI格式的一组时间自动机转换为XML格式的一组时间自动机。
6.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:实现步骤(5)的方法如下: a、概率时间自动机的调整规则: 在组成物联网系统的各个概率时间自动机中，对发送消息的迁移行为，其标记从ch改记为ch !;对接收消息的迁移行为，其标记从ch改记为ch ?； 对于概率时间自动机中包含发送消息的概率分支pb = (I1, ch ! , g,r,prob, l2) (ch !为内部迁移行为的除外)，在IjPl2之间增加一个中间committed位置1' pljPT间的概率分支就是Pb(除了目标位置的名称从I2变成了 1' 定义1' 1和12之间的概率分支为pb' = (1' cho ! , true, null, I, I2)。其中，I11' l和I2表示自动机中的位置，ch和cho表示自动机中的行为，prob = p(l1；r, I2)是分支上的概率，而g和r分别表示分支上的卫士和复位时钟； 在概率时间自动机中，使用全局布尔变量MayFire来强化committed迁移的发生:在non-committed位置，设置MayFire为真,迁移可以自由发生；在committed位置，设置MayFire为假，表示只有从该位置出发的迁移可以进行，此时其它位置不能进行迁移，该迁移完成后，再重新设置MayFire为真； b、时间自动机的调整规则: 将时间自动机每条边上行为的名字由ch修改为cho ?； C、将一组概率时间自动机组合成一个概率时间自动机的规则: 在构成系统的一组概率时间自动机中，令各个概率时间自动机W' i=(L' 1; 1' 0i,x'iAct' pinv' ppE' )(i∈口≥2)。，且假设x'i∩x'j其中l'i是位置的有限集合，1' Cu是初始位置，i是时钟的有限集合，Act' i是行为的有限集合，inv' 1是为每个位置指定一个不变式的函数，而pE' i为基于概率的边关系。两个概率时间自动机W' 1和r 2的并行组合，是一个新概率时间自动机W'2=(l' yL' 2，(r Q1，r 02),x'! U Xi 2, kct' I U Act' 2，inv'，pE')。在2个概率时间自动机的并行组合中，MayFire仍然协调着committed行为。以此类推，将2个概率时间自动机的并行组合能够扩展到多个； d、概率时间自动机与时间自动机的并行组合: 时间自动机为概率时间自动机的简化，其中所有的概率分布都是点分布；根据c中的定义，可直接实现概率时间自动机与时间自动机的组合，得到一个新的概率时间自动机；在组合后，去掉永远不会发生的跃迁。
7.根据权利要求1所述的基于扩展活性顺序图模型检测的物联网可信性评价方法，其特征在于:实现步骤(6)的方法如下: a、使用PRISM来计算Ρι?(ΡΤΑ> (Zimn Zmax))的概率；输入到PRISM中的概率模型是来自上述组合得到的新概率时间自动机PTA ;待验证的性质是Imin — Ifflax ;其中，Ifflin和Imax表示经调整后的时间自动机的初始位置和最终位置；
b、使用公式Pmin=? [F target]和 Pmax = ? [F target]来计算ProZ>(PTA>(Zmin — Zmax))的最大概率和最小概率，其中target可设置为新概率时间自动机PTA中包含Imax分量的位置。
【文档编号】G06F17/30GK103761084SQ201310756455
【公开日】2014年4月30日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】张君华, 徐济惠, 颜晨阳, 李丽, 郑哲, 张作为 申请人:宁波城市职业技术学院