[发明专利]基于Coq的航空电子模式控制一致性验证方法

权利要求书

1.基于Coq的航空电子模式控制一致性验证方法，其特征在于，包括如下步骤：

1)利用定理证明辅助工具Coq结合规范要求建立系统各个模块的状态模型；

2)结合步骤1)中的系统模块状态模型，建立状态转移规则；

3)结合步骤1)和步骤2)建立模块的一致性规则，用来判断模块初始状态和模块转移之后的状态是否一致；

4)结合步骤2)和步骤3)列举出所有可能出现的状态和操作，利用状态转移规则得到相应的转移后的状态；

5)结合步骤3)和步骤4)对航空电子系统形式化规范进行一致性验证。

2.根据权利要求1所述基于Coq的航空电子模式控制一致性验证方法，其特征在于，步骤1)建立模型状态的规范需要分别建立事件规范和状态规范，最后将完成的各个规范汇总。一般的，基于Coq对事件可以做出如下形式的规范：

Inductive events：Type：＝

|event1|event2|event3|…|eventn.

对软硬件子模块的状态做出如下形式的规范：

Inductive software_or_hardware_work_state：Type：＝

|state1|state2|state3|…|staten.

最后的汇总可使用Coq中的Record关键字建立记录类型，汇总已有的时间规范和软硬件子模块规范为系统状态规范，其中基于Coq每个子状态有如下规范形式：

software_or_hardwarel：software_or_hardware_work_stateX。

3.根据权利要求2所述基于Coq的航空电子模式控制一致性验证方法，其特征在于，步骤2)结合步骤1)即可建立系统状态的转移规范，在建立转移规范之前，首先要确定系统的初始状态，基于Coq，可以对初始化状态的规则做出如下形式的规范：

Definition init(st：states)：states：＝

match st with

|_＝>

Build_states(software_or-hardware_work_stateX1)(software_or_hardware_work_stateX2)…(software_or_hardware_work_stateXn)

end.

在初始化系统状态后即可依次对各个软硬件子模块的转移制定规范，基本思想为：在航电系统中，不同的事件会导致系统状态发生改变。这些事件使系统从当前状态(Sc)转换到新状态(Sn)：

Sc->Sn

箭头表示转换函数nextstate，是当前状态(Sc)和事件(ev)的函数：

Sn＝nextstate(Sn，ev)

其中对于软硬件子模块状态在一个事件触发后的转移规则基于Coq可以做出如下形式的规范：

在完成各个软硬件子模块状态的转移规则的规范后，即可汇总这些规范为一个统一的系统状态转移规范nextstate以便后面的形式化验证。通过匹配触发事件的方式，构建系统状态的转移规则，其中基于Coq，系统状态转移规则有如下形式：

。

4.根据权利要求3所述基于Coq的航空电子模式控制一致性验证方法，其特征在于，步骤3)结合步骤1)和步骤2)，即可依据需求建立相应的一致性规范，其中基于Coq，通过匹配软硬件子模块并判断其工作状态，系统状态一致性规则的判定有如下基本形式：

match software_or_hardwareX2 st with

|software_or-hardware_work_state1＝>true_or_false。