[发明专利]面向IMA资源安全性分析的AADL到ECPN模型转换方法

说明书

本发明是一种面向IMA资源安全性分析的AADL到ECPN模型转换方法，用于航空电子系统建模与分析。本方法将IMA系统映射的AADL模型作为源模型，基于CPN，扩展定义了变迁点火的时间函数和颜色集，修改了变迁点火规则；将处理器、虚拟处理器和分区映射为库所，将通信和分区调度映射为变迁，将分区通信数据、起始时间和调用次数映射为库所中的托肯，将分区的执行时间映射为时间函数，将分区的调用周期映射为弧函数，将IMA系统运行时对资源的约束映射为守卫函数；本发明在模型转换过程中不丢失任何关键资源建模元素，可准确描述IMA系统的时间资源和物理资源，帮助分析系统的资源配置问题。

技术领域

本发明涉及一种系统资源配置中的安全性分析方法，具体涉及一种面向综合模块化航空电子(IMA)系统资源安全性分析的架构分析和设计语言(AADL)到扩展着色petri网(ECPN)的模型转换技术，属于航空电子系统建模与分析领域。

背景技术

随着计算机和软件技术的发展，综合模块化航空电子IMA被广泛应用于航空电子系统。相比于传统的航空电子所包括的传感器设备、计算资源和通信网络，IMA提供了一个可共享并且灵活的硬件和软件资源通用平台[参考文件1：Watkins C B,WalterR.Transitioning from federated avionics architectures to integrated modularavionics[C]//Digital Avionics Systems Conference,2007.DASC'07.IEEE/AIAA26th.IEEE,2007:2.A.1-1-2.A.1-10.]。由于架构固有的强健的分区机制，IMA平台上可以驻留不同安全等级的航空电子应用。ARINC 653标准(航空电子应用标准软件接口)提出的时间和空间分区是IMA系统的核心概念[参考文件2：Airlines Electronic EngineeringCommittee.Avionics Application Software Standard Interface[M].AeronauticalRadio,1997.]。时间分区保证了通信网络和处理时间片等共享资源可以完全被一个分区占用而不被其他分区干扰，也保证了应用的实时性要求。空间分区保证了应用在共享资源时仅使用预先分配的物理资源。由于这种分区机制，时间资源和物理资源的分配都很重要。只有当每个应用程序分配足够的时间资源和物理资源时，应用才能正确运行并且满足实时要求。因此，在设计阶段对IMA系统资源的建模与分析是不可缺少的步骤。

综合模块化航空电子设备架构是由两个主要标准定义的。ARINC 653标准用于民用领域而ASAAC标准用于军事领域。本发明介绍的IMA体系结构基于ARINC 653标准[参考文件3：Prisaznuk P J.ARINC 653role in integrated modular avionics(IMA)[C]//Digital Avionics Systems Conference,2008.DASC 2008.IEEE/AIAA 27th.IEEE,2008:1.E.5-1-1.E.5-10.]，如图1所示，IMA体系结构分为三层：应用层(Application layer)、操作系统层(Operating layer)和硬件支持层(Hardware support layer)，层与层之间由定义的API(应用程序接口)连接，不同的应用驻留在不同分区。应用层与操作系统层之间为标准接口APEX，操作系统层与硬件支持层之间为CO-EX接口。应用软件和操作系统、操作系统和硬件分区之间相互隔离，资源不能共享。分区是调度和资源分配的基本单位。

分区是ARINC653标准的核心概念，它包括时间和空间分区。一个分区里的所有的进程能够访问分配给该分区的资源，而不同分区的应用分布在不同的时间和空间域中。应用通过时间分区和空间分区来使用共享资源有利于保护自身不受其他应用干扰。利用这种鲁棒性的分区机制，不同关键等级的应用能够在不影响系统可靠性和安全性的条件下成功集成到同一个处理平台上。但时间资源和物理资源的分配是否充足直接影响应用程序的正确执行，然而资源的分配是一个复杂且容易出错的过程，通常系统设计者可以利用建模和分析方法完成该过程。