劉歆寧,康 玲

(大連東軟信息學(xué)院 軟件工程系,遼寧 大連 116023)

0 引 言

近年來(lái),隨著安全關(guān)鍵軟件在航空航天領(lǐng)域的廣泛應(yīng)用,安全關(guān)鍵軟件在兼顧高可靠性和高安全性的需求不斷提高,同時(shí)安全關(guān)鍵軟件也面臨著越來(lái)越復(fù)雜的窘境。近年來(lái),模型驅(qū)動(dòng)開發(fā)方法逐漸成為安全關(guān)鍵軟件開發(fā)方法的一種發(fā)展趨勢(shì),例如國(guó)際民航領(lǐng)域使用的機(jī)載系統(tǒng)適航審定中的軟件開發(fā)標(biāo)準(zhǔn)DO-178C就將模型驅(qū)動(dòng)和形式化方法作為其核心標(biāo)準(zhǔn)的重要技術(shù)補(bǔ)充[1]。

美國(guó)自動(dòng)機(jī)協(xié)會(huì)(Society of Automotive Engineers,SAE)體系結(jié)構(gòu)描述語(yǔ)言附屬委員會(huì)、嵌入式計(jì)算系統(tǒng)委員會(huì)及航空電子系統(tǒng)公司于2004年10月提出了專門針對(duì)安全關(guān)鍵的嵌入式實(shí)時(shí)系統(tǒng)的軟硬件分析設(shè)計(jì)語(yǔ)言─體系結(jié)構(gòu)分析與設(shè)計(jì)語(yǔ)言(Architecture Analysis and Design Language,AADL)[2]。AADL能夠?qū)η度胧杰浖墓δ芎头枪δ軐傩赃M(jìn)行建模和分析,是控制系統(tǒng)復(fù)雜性和保證軟件質(zhì)量的重要手段。目前,對(duì)基于AADL模型的軟件可信性度量與分析,主要集中于將AADL故障模型附件轉(zhuǎn)換為隨機(jī)Petri網(wǎng)或故障樹的方法[3-5],以實(shí)現(xiàn)對(duì)模型的可靠性分析,因此,研究全面的可信性的度量與分析方法是十分必要的。

基于以上考慮,該文提出了基于AADL模型的軟件可信性的度量與分析技術(shù)的研究這一課題。該研究能夠在軟件開發(fā)的早期階段對(duì)基于AADL模型的軟件可信性進(jìn)行度量、分析與評(píng)估,從而提高軟件的質(zhì)量。該文研究AADL模型特點(diǎn),從AADL模型中提取可度量的指標(biāo)并建立度量模型,將對(duì)象軟件度量方法、軟件體系結(jié)構(gòu)度量方法、Markov分析方法及熵理論方法應(yīng)用于各個(gè)度量指標(biāo)的計(jì)算之中,對(duì)度量結(jié)果進(jìn)行分析,并根據(jù)所建立的軟件可信性度量模型,采用適合的評(píng)估方法對(duì)軟件可信性的度量結(jié)果進(jìn)行評(píng)估。最終實(shí)現(xiàn)一個(gè)基于AADL模型的軟件可信性度量與評(píng)估的工具,該工具能夠分析已有軟件的AADL模型,提取模型中的可信性度量指標(biāo)并計(jì)算指標(biāo)值,對(duì)度量結(jié)果進(jìn)行簡(jiǎn)單的分析并最終對(duì)度量結(jié)果進(jìn)行評(píng)估。

1 基礎(chǔ)理論

1.1 AADL標(biāo)準(zhǔn)及擴(kuò)展附件

為了更好地設(shè)計(jì)與分析嵌入式實(shí)時(shí)系統(tǒng)的軟、硬件體系結(jié)構(gòu)及功能與非功能屬性,嵌入式實(shí)時(shí)系統(tǒng)體系結(jié)構(gòu)分析與設(shè)計(jì)語(yǔ)言(AADL)被提出。AADL標(biāo)準(zhǔn)由核心語(yǔ)言標(biāo)準(zhǔn)和擴(kuò)展附件標(biāo)準(zhǔn)組成,是一種基于組件的建模語(yǔ)言,采用結(jié)構(gòu)化的描述來(lái)對(duì)嵌入式系統(tǒng)的軟硬件進(jìn)行統(tǒng)一建模。

AADL的擴(kuò)展附件是對(duì)AADL核心標(biāo)準(zhǔn)的補(bǔ)充描述,它們可以嵌入在AADL核心語(yǔ)言的包以及組件實(shí)現(xiàn)中。其中比較重要和常用的附件是故障模型附件EMA(Error Model Annex)和行為附件BA(Behavior Annex)。AADL故障模型由類型和實(shí)現(xiàn)兩部分組成。故障模型類型(error model type)定義了故障狀態(tài)(error states)、故障事件(error events)以及故障傳播(error propagations)等,其中故障事件是針對(duì)組件內(nèi)部的,故障傳播則是針對(duì)組件之間交互的[6-7]。

1.2 軟件可信性度量與分析技術(shù)

對(duì)于可信性的概念,不同的人員有不同的認(rèn)識(shí)。微軟的比爾蓋茨提出了可信計(jì)算的4個(gè)基本屬性[8],即可靠性、安全性、保密性和商業(yè)誠(chéng)信。美國(guó)科學(xué)與技術(shù)委員會(huì)則認(rèn)為:可信系統(tǒng)要求具有很多特性,包括功能正確性、防危性、容錯(cuò)性、實(shí)時(shí)性和安全性。陳火旺院士提出了高可信性質(zhì)的概念[9],認(rèn)為軟件系統(tǒng)的可信性質(zhì)是指該系統(tǒng)需要滿足的關(guān)鍵性質(zhì)。國(guó)際標(biāo)準(zhǔn)ISO/IEC 9126:2001[10]定義了軟件的質(zhì)量模型,該模型將軟件質(zhì)量屬性劃分為6個(gè)特性:功能性、可靠性、易用性、效率、維護(hù)性和可移植性。劉晗從源代碼證據(jù)入手,建立面向航天領(lǐng)域的嵌入式軟件可信度量評(píng)估方法[11]。

1.3 模糊綜合評(píng)價(jià)法

模糊綜合評(píng)價(jià)法[12]是一種基于模糊數(shù)學(xué)的綜合評(píng)價(jià)方法。該綜合評(píng)價(jià)法根據(jù)模糊數(shù)學(xué)的隸屬度理論把定性評(píng)價(jià)轉(zhuǎn)化為定量評(píng)價(jià),即用模糊數(shù)學(xué)對(duì)受到多種因素制約的事物或?qū)ο笞龀鲆粋€(gè)總體的評(píng)價(jià)[12]。此方法具有結(jié)果清晰、系統(tǒng)性強(qiáng)的特點(diǎn),能較好地解決模糊的、難以量化以及各種非確定性的問(wèn)題。

1.4 基于AADL模型軟件可信性度量系統(tǒng)研究框架

目前基于AADL模型的度量與分析主要集中在利用AADL故障模型的可靠性度量,對(duì)AADL核心模型的度量涉獵極少。AADL核心標(biāo)準(zhǔn)描述了AADL的功能和非功能屬性,這些屬性直接影響到軟件的可信性,因此對(duì)其進(jìn)行度量是十分必要的。并且目前對(duì)AADL模型的度量主要是從可靠性和安全性兩個(gè)角度進(jìn)行,而僅這兩個(gè)方面是不能全面反映軟件在可信性方面存在的問(wèn)題的。同時(shí),缺少基于AADL模型的軟件可信性度量與評(píng)估工具。

2 基于AADL航空軟件可信性度量

2.1 核心模型的軟件可信性度量方法

2.1.1 AADL核心模型復(fù)雜性度量

軟件復(fù)雜度度量作為軟件工程的重要組成部分,可為高質(zhì)量軟件的研究提供支撐[13]。組件之間存在依賴關(guān)系,則被依賴組件的變化將影響到依賴于它的組件。顯然,組件之間的依賴關(guān)系越多,組件之間的相互影響越大,系統(tǒng)復(fù)雜性越高。

模式modes是AADL核心模型所特有的,它用來(lái)描述運(yùn)行時(shí)體系結(jié)構(gòu)的動(dòng)態(tài)演化。通過(guò)分析模式modes的特點(diǎn),可得到如下幾個(gè)度量指標(biāo):

指標(biāo)一:平均模式轉(zhuǎn)換總數(shù)(Average Number of Mode Transitions,ANMT)。

定義NMT(i)為第i個(gè)有模式轉(zhuǎn)換組件的模式轉(zhuǎn)換總數(shù),則ANMT的計(jì)算方法如公式(1)所示:

(1)

其中,n為有模式轉(zhuǎn)換的組件的總數(shù)。

度量原則:ANMT越大,組件在不同的模式之間轉(zhuǎn)換次數(shù)越多,則系統(tǒng)的復(fù)雜性越高。

指標(biāo)二:系統(tǒng)所含有模式轉(zhuǎn)換的子組件數(shù)(Number of Modes in System,NMS)。

在AADL核心模型中,使用in modes語(yǔ)句指定一個(gè)子組件在模式modes中是活躍的,則NMS為所有含有模式轉(zhuǎn)換的子組件總數(shù)。

度量原則:NMS越大,則該子組件的職責(zé)越多,整個(gè)系統(tǒng)也就越復(fù)雜。

由本節(jié)度量指標(biāo)的計(jì)算方法,得到計(jì)算模式復(fù)雜性所涉及的AADL核心模型的元素與所使用的度量方法的對(duì)應(yīng)關(guān)系,如表1所示。

表1 模式復(fù)雜性度量與度量方法對(duì)應(yīng)關(guān)系

AADL核心模型中的包與面向?qū)ο笾械陌母拍钕嗨?通過(guò)引入一個(gè)獨(dú)一無(wú)二名字空間,提供了一個(gè)方式來(lái)組織組件類型、組件實(shí)現(xiàn)及特性組等元素。本節(jié)通過(guò)對(duì)AADL核心模型中包的分析,從中提取出以下幾個(gè)度量指標(biāo):

指標(biāo)一:平均包中關(guān)聯(lián)關(guān)系的總數(shù)(Average Number of Associations in a Package,ANAP)。

在AADL核心模型的每個(gè)包中,組件及組件之間的連接connections描述了系統(tǒng)的組成和結(jié)構(gòu),體現(xiàn)了軟件體系結(jié)構(gòu)的主要信息。從這個(gè)方面考慮,定義NAP為包中connections的總數(shù),則ANAP的計(jì)算方法如公式(2)所示:

(2)

其中,NAP(i)為第i個(gè)包的NAP值,n為包總數(shù)。

度量原則:ANAP越大,包復(fù)雜性越高。

指標(biāo)二:平均包中的關(guān)聯(lián)關(guān)系數(shù)(NAP)與包中組件的數(shù)目的比值(Average Number of Associations vs.Component in a Package,ANAVCP)。

包中平均每個(gè)組件的關(guān)聯(lián)關(guān)系越多,包就越復(fù)雜,從而導(dǎo)致包越難理解和維護(hù),則:

(3)

其中,NAP為包中的關(guān)聯(lián)數(shù),compn為包中的組件數(shù),則ANAVCP的計(jì)算方法如公式(4)所示:

(4)

其中,NAVCP(i)為第i個(gè)包的NAVCP值,n為包的數(shù)目。

度量原則:ANAVCP越大,包復(fù)雜性越高。

由本節(jié)度量指標(biāo)的計(jì)算方法,得到計(jì)算包復(fù)雜性所涉及的AADL核心模型的元素與所使用的度量方法的對(duì)應(yīng)關(guān)系,如表2所示。

表2 包復(fù)雜性度量與度量方法對(duì)應(yīng)關(guān)系

2.1.2 AADL核心模型耦合性度量

耦合性度量是軟件結(jié)構(gòu)中各個(gè)模塊之間聯(lián)系緊密程度的度量。耦合性越高表示該元素與其它元素的調(diào)用關(guān)系越多,則該元素設(shè)計(jì)改動(dòng)的敏感性越明顯,這給軟件的維護(hù)和修改造成了困難[14]。因此,組件間的耦合性可用來(lái)度量組件的可理解性、可靠性、可維護(hù)性和可用性等。本部分針對(duì)AADL核心模型的特點(diǎn),分別從連接connections、特性features、繼承extends和包package的角度考慮,提取出以下度量指標(biāo):

指標(biāo)一:平均繼承耦合(Average Extends Coupling,AEC)。

定義EC(i)為系統(tǒng)中所有從組件i繼承而來(lái)的組件的信息量的集合,則AEC的計(jì)算方法如公式(5)所示:

(5)

其中,n為繼承父組件的個(gè)數(shù)。

度量原則:AEC越大,繼承父組件與繼承子組件之間的關(guān)聯(lián)越密切,耦合度越高。

指標(biāo)二:包間耦合因子(Coupling Factor between Packages,CFP)。

如果包c(diǎn)i使用了包c(diǎn)j中的屬性或特性,則isclient(ci,cj)=1,否則isclient(ci,cj)=0,則CFP的計(jì)算方法如公式(6)所示:

(6)

其中,TC表示系統(tǒng)的包的總數(shù)。

度量原則:包間耦合因子越大,包之間的關(guān)聯(lián)越密切,耦合度越高。

由本節(jié)度量指標(biāo)的計(jì)算方法,得到計(jì)算耦合性所涉及的AADL核心模型的元素與所使用的度量方法的對(duì)應(yīng)關(guān)系如表3所示。

表3 耦合性度量與度量方法對(duì)應(yīng)關(guān)系

2.2 基于AADL故障模型的軟件可信性度量方法

AADL故障模型附件是一種半形式化的語(yǔ)言,直接對(duì)基于AADL故障模型的軟件進(jìn)行可信性度量是比較困難的,而形式化方法可以對(duì)語(yǔ)義進(jìn)行更加精細(xì)的描述,能夠更好地用于模型的可信性分析,為此需要考慮對(duì)AADL故障模型進(jìn)行形式化的語(yǔ)義描述。

2.2.1 AADL故障模型到Markov模型的轉(zhuǎn)化規(guī)則

通過(guò)對(duì)AADL故障模型的研究可知,AADL故障模型同Markov模型相同,都是指明了狀態(tài)和狀態(tài)的轉(zhuǎn)移,即故障狀態(tài)及故障狀態(tài)之間的轉(zhuǎn)移,一個(gè)故障狀態(tài)轉(zhuǎn)移到其他故障狀態(tài)的概率值由Occurrence屬性指明。將AADL故障模型轉(zhuǎn)換為Markov模型,是模型轉(zhuǎn)換的過(guò)程,通過(guò)對(duì)AADL故障模型和Markov模型進(jìn)行分析,得到將AADL故障模型轉(zhuǎn)化為Markov模型的整體規(guī)則是:將AADL故障模型中組件的故障狀態(tài)對(duì)應(yīng)于Markov模型中的狀態(tài),故障狀態(tài)遷移對(duì)應(yīng)于Markov模型中的狀態(tài)遷移,故障狀態(tài)遷移的Occurrence屬性值對(duì)應(yīng)于Markov模型中狀態(tài)遷移的概率。為了體現(xiàn)AADL故障模型的相關(guān)信息,在傳統(tǒng)的Markov模型的形式化定義的基礎(chǔ)上,提出了一種擴(kuò)展的Markov鏈:

定義1 擴(kuò)展Markov鏈(Expanded Markov Chain,EMC):EMC=(S,S0,∑,P,Q),其中:

(1)S是組件的故障狀態(tài)的集合,是一個(gè)有限集,可表示成:S={S0,S1,…,Sn};

(2)S0是組件的初始故障狀態(tài),一般是無(wú)故障狀態(tài),且S0∈S;

(3)∑是故障狀態(tài)轉(zhuǎn)移集合,每一個(gè)集合用一個(gè)兩元組表示:{TriggerType,TriggerName},其中TriggerType是觸發(fā)故障狀態(tài)轉(zhuǎn)移的類型,此類型包括故障事件error event和故障傳播error propagation兩種,該文只考慮故障事件error event,對(duì)于故障傳播error propagation在以后的研究中再將其考慮在內(nèi),故此處的類型均為故障事件error event ,TriggerName是觸發(fā)故障狀態(tài)轉(zhuǎn)移的事件的名字;

(4)P是故障狀態(tài)之間轉(zhuǎn)移的概率集,每一個(gè)概率集定義為一個(gè)三元組:{Probability,ProbabilityType,ProbabilityDefinition},其中Probability是故障狀態(tài)轉(zhuǎn)移的概率,ProbabilityType指明是失效率還是恢復(fù)率,分別用failure rate和recovery rate表示;ProbabilityDefinition指明轉(zhuǎn)移的概率是服從1-e-λ的指數(shù)分布,還是一個(gè)0～1的小數(shù)值,分別用poisson和fixed表示;

(5)Q表示故障狀態(tài)之間轉(zhuǎn)移的關(guān)系,即:

S×∑→S

根據(jù)定義1的基于AADL故障模型的擴(kuò)展Markov鏈的形式化描述,將AADL故障模型的各個(gè)元素與擴(kuò)展的Markov模型中的各個(gè)元素相對(duì)應(yīng),得到AADL故障模型到擴(kuò)展Markov鏈的對(duì)應(yīng)關(guān)系,如表4所示。

表4 AADL故障模型的元素與擴(kuò)展Markov鏈的元素的對(duì)應(yīng)關(guān)系

圖1是一個(gè)組件的AADL故障模型實(shí)例,將它用上文提出的轉(zhuǎn)換規(guī)則轉(zhuǎn)換為擴(kuò)展的Markov鏈如下:

圖1 故障模型實(shí)例

EMC={S,Error_Free,∑,P,Q},其中:

S={Error_Free,Erroneous,Failed};

∑={∑1,∑2,∑3,∑4},其中∑1={error event,Perm_Falult},∑2={error event,Temp_Fault },∑3={error event,Restart},∑4={error event,Recover}

P={P1,P2,P3,P4},其中P1={0.125,failure rate,fixed},P2={0.175,failure rate,fixed},P3={0.8,recovery rate,fixed},P4={0.9,recovery rate,fixed}

Q={Error_Free×∑1→Failed,Error_Free×∑2→Erroneous,Failed×∑3→Error_Free,Erroneous×∑4→Error_Free }

2.2.2 AADL故障模型的可信性度量

從AADL故障模型的Markov形式化描述中,可以獲取從無(wú)故障狀態(tài)到故障狀態(tài)的失效率,以及故障狀態(tài)到無(wú)故障狀態(tài)的恢復(fù)率,從而得到一步狀態(tài)轉(zhuǎn)移概率矩陣。AADL故障模型之間的狀態(tài)轉(zhuǎn)移滿足Markov鏈的齊次性,因此由AADL故障模型轉(zhuǎn)換的擴(kuò)展Markov鏈也是齊次的,因此可采用Markov分析方法預(yù)測(cè)組件在長(zhǎng)期運(yùn)行后的失效率。以圖1的AADL故障模型為例,該模型有一個(gè)初始無(wú)故障狀態(tài)和兩個(gè)故障狀態(tài),可轉(zhuǎn)換為三態(tài)的Markov鏈,其一步狀態(tài)轉(zhuǎn)移概率矩陣P如公式(7)所示:

(7)

設(shè)穩(wěn)態(tài)狀態(tài)向量為Y(3)={y1,y2,y3},其中y1為組件長(zhǎng)期運(yùn)行時(shí)處于正常狀態(tài)的概率,y2和y3分別為組件長(zhǎng)期運(yùn)行時(shí)處于兩個(gè)故障狀態(tài)的概率,則y2+y3為組件長(zhǎng)期運(yùn)行時(shí)的總體失效率,即穩(wěn)態(tài)失效率。由方程組(8)得:

(8)

計(jì)算出單個(gè)組件的相關(guān)度量指標(biāo)之后,通過(guò)指定各個(gè)組件的權(quán)重,可以得到系統(tǒng)的相關(guān)的度量指標(biāo)如下:

(1)系統(tǒng)的穩(wěn)態(tài)失效率為:

(9)

其中,λi為第i個(gè)組件的穩(wěn)態(tài)失效率,Simpi為第i個(gè)組件的權(quán)重,且該指標(biāo)與軟件可信性是負(fù)相關(guān)。

(2)系統(tǒng)的恢復(fù)率為:

(10)

其中,μi為第i個(gè)組件的恢復(fù)率,Simpi為第i個(gè)組件的權(quán)重,μi的值通過(guò)從第i個(gè)組件的AADL核心模型中的屬性集中提取出來(lái),且該指標(biāo)與軟件可信性是正相關(guān)。

(3)系統(tǒng)的MTBF為:

(11)

其中,MTBFi為第i個(gè)組件的MTBF,Simpi為第i個(gè)組件的權(quán)重,且該指標(biāo)與軟件可信性是正相關(guān)。

(4)通過(guò)Markov分析方法,可以求出系統(tǒng)的可用度?？捎枚仁侵赶到y(tǒng)在任一隨機(jī)時(shí)刻處于工作或可使用狀態(tài)的概率,它是系統(tǒng)效能的重要因素。當(dāng)Markov鏈?zhǔn)驱R次的,且系統(tǒng)的穩(wěn)態(tài)失效率和恢復(fù)率分別為λsum和μsum時(shí),系統(tǒng)的瞬態(tài)可用度為:

(12)

當(dāng)t→∞時(shí),可得系統(tǒng)的穩(wěn)態(tài)可用度為:

(13)

3 基于AADL模型的軟件可信性度量模型與評(píng)估方法

在對(duì)軟件進(jìn)行可信性評(píng)估之前,可以對(duì)軟件可信性進(jìn)行一些簡(jiǎn)單的分析,總結(jié)2.1與2.2中AADL模型可信性度量的研究成果,得到基于AADL模型的質(zhì)量屬性相關(guān)的度量指標(biāo)列表,如表5所示。

表5 AADL質(zhì)量屬性相關(guān)的指標(biāo)列表

除了對(duì)度量結(jié)果進(jìn)行如上的定性分析,還可以利用AADL模型中的屬性集property sets對(duì)度量結(jié)果進(jìn)行定量分析。AADL模型中的屬性properties定義了組件以及組件描述的約束,用戶可根據(jù)自己的需求對(duì)屬性properties進(jìn)行擴(kuò)展,這些屬性主要定義了系統(tǒng)的質(zhì)量屬性方面的約束,文中的用戶可以為設(shè)計(jì)人員或者相關(guān)領(lǐng)域?qū)＜摇?/p>

將各個(gè)度量指標(biāo)值與屬性集中相應(yīng)屬性的屬性值相比較,有如下兩種情況:

(1)度量指標(biāo)與可信屬性成正相關(guān)時(shí):當(dāng)度量指標(biāo)值大于屬性值時(shí),該度量指標(biāo)值滿足用戶需求;當(dāng)度量指標(biāo)值小于屬性值時(shí),該度量指標(biāo)不滿足用戶需求;

(2)度量指標(biāo)與可信屬性成負(fù)相關(guān)時(shí):當(dāng)度量指標(biāo)值小于屬性值時(shí),該度量指標(biāo)值滿足用戶需求;當(dāng)度量指標(biāo)值大于屬性值時(shí),該度量指標(biāo)不滿足用戶需求。

這樣,設(shè)計(jì)人員可以根據(jù)分析結(jié)果對(duì)所設(shè)計(jì)的模型進(jìn)行修改,使模型盡可能地滿足用戶的需求。

4 工具實(shí)現(xiàn)及案例分析

4.1 工具實(shí)現(xiàn)

基于AADL模型軟件可信性度量與評(píng)估工具的目標(biāo)是對(duì)基于AADL模型的軟件可信性進(jìn)行度量、分析與評(píng)估。該工具組件給予基于AADL模型的軟件可信性度量、分析與評(píng)估的全方位支持,能夠在軟件開發(fā)早期為相關(guān)人員做出決策提供參考。

該工具包括基于AADL模型的軟件可信性度量模型的定制、AADL數(shù)據(jù)采集、AADL模型的可信性度量與分析及AADL模型的可信性評(píng)估四個(gè)模塊,見(jiàn)圖2。工具首先需要通過(guò)數(shù)據(jù)采集模塊采集度量數(shù)據(jù),解析以XML形式表示的AADL模型,從模型文件中提取被度量組件及組件之間的關(guān)系,以實(shí)現(xiàn)對(duì)這些被度量組件的解析。

圖2 基于AADL模型的軟件可信性度量與評(píng)估系統(tǒng)體系結(jié)構(gòu)

AADL模型度量與分析模塊以定制的可信性度量模型為依托,統(tǒng)計(jì)采集到的數(shù)據(jù),度量與分析統(tǒng)計(jì)的結(jié)果可以反映出軟件的可信性。系統(tǒng)對(duì)采集的數(shù)據(jù)進(jìn)行度量后,將度量的指標(biāo)值傳遞給軟件可信性評(píng)估模塊。

4.2 案例分析

本節(jié)以一個(gè)應(yīng)用實(shí)例來(lái)詳細(xì)介紹基于AADL模型的軟件可信性度量與評(píng)估工具的操作步驟和實(shí)驗(yàn)結(jié)果。該課題以AADL官方網(wǎng)站上的航空電子系統(tǒng)Avionics_System為例。針對(duì)該航空電子系統(tǒng)Avionics_System中的主要組件,根據(jù)以往的經(jīng)驗(yàn),給出了相應(yīng)的故障模型,并給出了屬性集。圖3顯示了航空電子系統(tǒng)Avionics_System的圖形表示,由于系統(tǒng)中的端口交互較為復(fù)雜,圖3只給出了系統(tǒng)的主要結(jié)構(gòu)。

圖3 航空電子系統(tǒng)模型

進(jìn)入基于AADL模型的軟件可信性度量與評(píng)估工具主界面。本節(jié)以航空電子系統(tǒng)Avionics_System為例,按照可信性度量模型定制->AADL數(shù)據(jù)采集->AADL模型度量與分析->AADL模型評(píng)估的操作步驟對(duì)該工具進(jìn)行介紹,并對(duì)系統(tǒng)運(yùn)行的結(jié)果進(jìn)行分析和總結(jié)。

(1)可信性度量模型定制。

通過(guò)系統(tǒng)結(jié)構(gòu)樹中的可信性度量模型定制節(jié)點(diǎn),進(jìn)入基于AADL模型的軟件可信性度量與評(píng)估工具的可信性度量模型定制功能,用戶可以根據(jù)實(shí)際需要或自身經(jīng)驗(yàn)定制軟件的度量模型。

(2)AADL模型數(shù)據(jù)采集。

軟件可信性度量模型定制完成后,進(jìn)入AADL數(shù)據(jù)采集界面,該模塊包括3個(gè)子模塊:AADL核心模型數(shù)據(jù)采集、AADL故障模型數(shù)據(jù)采集和AADL屬性集采集。

(3)AADL模型度量與分析。

通過(guò)采集AADL模型數(shù)據(jù)并對(duì)AADL模型進(jìn)行解析之后,該工具可以對(duì)AADL模型進(jìn)行度量與分析,該度量與分析由兩方面組成,即AADL核心模型度量與分析和AADL故障模型度量與分析。

(4)AADL模型評(píng)估。

根據(jù)評(píng)價(jià)矩陣建立的方法,該部分針對(duì)各個(gè)度量指標(biāo)設(shè)定隸屬函數(shù)中的μ值,從而計(jì)算出各個(gè)度量指標(biāo)在各個(gè)可信等級(jí)上的隸屬度,進(jìn)而得到該航空電子系統(tǒng)Avionics_System隸屬于各個(gè)可信等級(jí)的結(jié)果。從圖4中的結(jié)果可以看出,評(píng)估結(jié)果對(duì)應(yīng)可信第一級(jí)“肯定可信”隸屬度最大,第二、三級(jí)“很可能可信”的隸屬度明顯低于第一級(jí),第四、五級(jí)的隸屬度很低,該結(jié)果表明該航空電子系統(tǒng)Avionics_System屬于五個(gè)可信等級(jí)中的第一等級(jí)。

圖4 航空電子系統(tǒng)可信性評(píng)估結(jié)果

若對(duì)該飛行Avionics_System的AADL模型的某一方面進(jìn)行修改,如修改該系統(tǒng)的故障模型的概率轉(zhuǎn)移值,其他條件不變,最終得到軟件可信等級(jí)隸屬度和最終系統(tǒng)可信性評(píng)估結(jié)果。從圖5中可以看到:與修改之前相比,該系統(tǒng)在第一等級(jí)的隸屬度有所降低,在第四、五級(jí)的隸屬度有顯著增加。這說(shuō)明對(duì)被評(píng)估模型的任意一個(gè)方面修改都能夠影響軟件可信性評(píng)估結(jié)果,說(shuō)明該工具是敏感的。

圖5 修改模型后系統(tǒng)可信性評(píng)估結(jié)果

(5)實(shí)驗(yàn)結(jié)果。

該工具實(shí)現(xiàn)了對(duì)基于航空電子系統(tǒng)Avionics_System的AADL模型進(jìn)行可信性度量、分析與評(píng)估的功能,對(duì)實(shí)驗(yàn)結(jié)果的分析表明:利用該工具可以對(duì)基于AADL模型的軟件進(jìn)行可信性度量、分析與評(píng)估,得到的度量與評(píng)估結(jié)果可供設(shè)計(jì)人員參考,以便在軟件開發(fā)早期發(fā)現(xiàn)軟件可信性方面存在的問(wèn)題,從而提高軟件的質(zhì)量。利用該工具對(duì)軟件進(jìn)行可信性度量、分析與評(píng)估的步驟簡(jiǎn)單便捷,用戶可以很快熟練使用該工具。

5 結(jié)束語(yǔ)

基于AADL的核心語(yǔ)義和AADL故障模型,提出了一種軟件可信性度量與評(píng)估方法,由于時(shí)間和工作量的限制,方法的研究與工具的實(shí)現(xiàn)還存在不足,進(jìn)一步的工作應(yīng)該從以下幾個(gè)方面展開:

(1)對(duì)基于AADL故障模型的度量進(jìn)行更深入的研究,將其轉(zhuǎn)換為其他形式化模型以提取更多體現(xiàn)軟件可信屬性的度量指標(biāo)。

(2)對(duì)軟件可信性進(jìn)行評(píng)估時(shí),存在歷史數(shù)據(jù)嚴(yán)重不足的問(wèn)題,因此公式的參數(shù)可能存在不準(zhǔn)確的問(wèn)題,下一步將收集歷史數(shù)據(jù)來(lái)進(jìn)一步驗(yàn)證公式。

(3)對(duì)AADL的行為附件behavior annex進(jìn)行研究,提取出可度量的指標(biāo),完善基于AADL模型的軟件可信性度量與分析模型的指標(biāo)體系,從而能夠更全面且充分地對(duì)軟件可信性進(jìn)行度量與評(píng)估。