[发明专利]一种多触发机制CPS在线建模与检验的方法和装置

说明书

技术领域

本发明涉及一种多触发机制的CPS在线建模与验证的方法，特别是针对在线验证流水线式设计中验证周期不能完全覆盖和Fallback plan不能保证完全执行的问题。

背景技术

CPS，Cyber-Physical Systems，即信息物理系统，是一个综合计算、网络和物理环境的多维复杂系统。CPS在环境感知的基础上，深度融合计算、通信和控制能力（3C，Computing、Communication、Control）的可控可信可扩展的网络化物理设备系统，它通过计算进程和物理进程相互影响的反馈循环实现深度融合和实时交互来增加或扩展新的功能，以安全、可靠、高效和实时的方式检测或者控制一个物理实体。CPS通过计算、通信与物理系统的一体化设计，可使系统更加可靠、高效、实时协同，是升级版的物联网系统。近年来，CPS在工业、通讯、交通、航空等各个领域应用越来越广泛。

在一些安全攸关的领域，如航空、航天、列车控制和医疗等，CPS系统需要有很高的质量保证需求。在测试和仿真并不能保证没有系统错误的情况下，为了确保系统的真正安全，需要使用验证的方法来保证系统的安全性。一种常见的自动化验证的方法是模型检验，模型检验的是根据系统建立模型，根据所需验证的目标建立约束，对系统进行验证的过程。模型检验的方法需要遍历整个状态空间，然后根据约束条件进行判断。但是在动态实时的CPS系统中，大量实时参数信息的存在会导致状态空间难以准确表示，从而使得验证较为困难。以列车控制系统为例，在列车控制系统中，往往有大量实时参数的存在，如车辆授权区间、行车速度范围、停车点位置等，受到列车发动机状况、轨道状况、风速等不确定因素的影响，无法准确给出这些参数的计算公式，使得对系统的验证存在困难。

在线验证就是针对以上困难所提出的解决方法。虽然无法准确表示这些实时参数信息，但实际上，这些参数信息在系统实际运转过程中却是不断更新的，同时也是可得的。在线验证正是利用了这一点，针对短时间周期内的系统行为建立模型，在一个验证周期开始的时候实时获取参数信息，然后将这些信息输入模型进行验证，并不断重复上述验证过程。现有技术下，在线验证过程存在两种方法：

第一种是以验证所覆盖行为时间长度为验证周期。在这种方式下，当每个周期开始时，在线验证模块获取系统数据进行验证。由于在线验证模块验证的时间小于验证所覆盖行为时间长度，因此在该验证周期内，验证结束与该周期结束时存在“空窗期”。 在这过程中，如果出现安全危险事件，假如该安全危险事件发生在验证时间内，则系统可以及时发现安全威胁，由此可以启动响应的响应措施以避免危险发生；但假如该安全危险事件发生在验证时间外的“空窗期”，则系统无法及时发现安全威胁，从而对系统造成安全问题。也就是说，这些“空窗期”是系统安全的隐患。

第二种是以验证时间作为验证周期。这是一种流水线的处理方式，属于第一种方法的改进。该方法避免了“空窗期”的存在。但这种流水线处理方式存在指令变更的问题。一旦指令变更发生，系统行为必然发生变化，则在该指令变更发生的验证周期内的验证不存在意义。于是该验证周期成了由指令变更引发的“空窗期”，系统无法及时发现安全威胁，造成系统安全的隐患。此外，这种流水线处理方式也未能考虑到应急计划的执行。系统用来规避严重的事故所采取的紧急响应方案。假如在某个验证周期内发现安全威胁，在未来的一段时间内将发生安全事故，那么应急计划在发现安全威胁后执行，而且必须得在安全事故发生前执行完毕。而目前技术下的这种流水线方式，往往未考虑应急计划执行需要时间，不能在安全事故发生前足够应急计划执行的时间内发现安全威胁。

发明内容

本发明所要解决的问题是

1、解决指令变更引发的“空窗期”， 造成系统安全的隐患；

2、为系统能够尽早地发现安全威胁，从而给予系统执行应急计划充足的时间。

为解决上述问题，本发明采用的方案如下：

根据本发明的一种多触发机制CPS在线建模与检验的方法，包括如下步骤：

S1：获取模型模板文件和配置文件；

S2：获取执行系统在线验证所需的参数；

S3：获取当前系统的实时信息；

S4：根据模型模板文件、配置文件、执行系统在线验证所需的参数以及当前系统的实时信息，执行系统在线验证；

S5：获取步骤S4系统在线验证的结果数据，并根据该结果数据对系统的安全性进行分析评估：假如系统安全的，则按时间周期D继续执行步骤S3和S4，否则执行应急计划；