[发明专利]分析基于状态的系统模型的方法和设备

说明书

本发明涉及分析基于状态的系统模型的方法，该系统模型包括独立的权利要求1、11和29中陈述的一组自动机。

考虑到市场的许多产品部分包含的软件量不断增长，并且所述部分中产品越来越多地倾向于仅由包含的软件，而不是所用硬件的性能差别来区分，一般的软件设计在错误识别和消除以及短期开发期限方面将会提出更高的要求。

相关的许多例子之一可以体现在汽车工业。即使批量生产的汽车包括的专用微处理器的数量也不断增长。这些微处理器可以例如专用于控制ABS、燃料喷射、灯光控制、不同类型的监控、热控制、安全系统等等，许多不同的子系统经常必须通过常用协议来控制。

显然，软件控制单元的大规模出现导致了系统设计者的困境，因为总揽每个单元可能状态的每一方面相当困难，当然，跟踪所有使用的子系统间的协同作用更为复杂。应当提到的另一困难在于，大多数子系统由不同开发者或者开发小组设计，这些子系统之间的接口难以控制，因为没有为开发者提供有效的工具来对这种大型系统进行必要的分析，甚至没有对单个单元进行分析。

这会导致代价高昂并且非常重要的产品开发和发布时间的延迟。更为重要的是，一些产品甚至在包含固有的隐藏错误时就投入市场，这些错误在特定的未知条件下会被触发。

在安全性极为重要的系统中，这个问题当然非常严重，在这种系统中，一个故障甚至可能会对涉及该故障的人员造成伤害。

测试这类故障的一种方法是在生产设备之前，通过符号模型检查来检查其逻辑。该技术在分析和验证硬件系统中非常有效。但是，模型检查对其它类型的并发系统，例如软件系统而言是否是一个有效的工具尚未确定。

符号模型检查的效果可能并不突出的一个理由是，软件系统比硬件大，并且结构更不规则。例如，验证大型软件系统所报告的许多结果是用于线性结构，例如栈或管道，在表示成所谓的ROBDD，减序二进制判决图时，已知其转移关系的大小随着系统的大小线性增长。

另一方案在美国专利第5，465，216中描述，其中描述了一种自动设计验证方法。所描述的方法基本上承认了形式验证存在“状态爆炸问题”的缺陷，进一步得出各大系统的形式验证超出了目前形式验证技术的能力的结论。因此，上述专利描述了一种分解和减少系统模型的方式，而不是处理验证方法的方式。因此，描述的方法的缺陷在于，可能可得到的结果仅是部分性的，而不是详尽的。

基于上述ROBDD的一种更有希望的系统也利用了系统的结构，它由W.Lee等人在Tearing based automatic abstraction for CTL modelchecking给出，发表在1996年IEEE/ACM International Conferenceon Computer-Aided Design上，第76-81页，San Jose，CA，1996IEEE Comput.Soc.Press。这种技术使用了分区转移关系，利用贪婪启发方法选择转移关系的子集。对选择的每一子集而言，进行完整的定点递归。如果在这种递归之后无法证明公式，则选择更大的子集。如果公式非法，则只有在构造了完整的转移关系时(或者内存或时间用尽时)，算法才终止。这种技术的缺陷在于，如果系统仅具有单个初始状态，就象嵌入软件系统的一般情况那样，那么它对剩余的每个自动机都实施涉及定点递归贪婪策略。贪婪策略减少到选择任意自动机，从而涉及外部的定点递归。

本发明满足形式验证和利用未减系统模型的需求，提供了一种在基于各大型状态的系统模型中执行理论模型“破损测试”的可能性。此外，所述模型的分析和验证可以在非减模型中实现的比率比现有技术分析和验证工具高得多。

如果分析基于状态的系统模型的方法，前述系统模型包括一组自动机(M1，…Mn)，每个所述自动机包括至少一个可能的状态(pS1Mi，…，pSkMi)，在任一时刻，每个自动机都处于其组成状态之一，

所述自动机(M1，…Mn)的动态行为由各自动机(M1，…Mn)的所述状态之间的预定转移，以及所述自动机(M1，…Mn)之间的相关性(D)来定义，

启动所述自动机(M1，…Mn)的至少一个自动机状态的初始集合(F)，

启动表示自动机(MI)子集状态条件的自动机状态目标集合(A)，

重复以下步骤，直至分析得到肯定终止和/或如果自动机(MI)的子集包括所有所述自动机(M1，…Mn)，

为目标集(A)扩展一组状态，这些状态通过转移可以到达前一目标集(A)，而与没有包含在(MI)中的自动机无关，