本發(fā)明涉及一種操作系統(tǒng)驗(yàn)證技術(shù)，特別是一種針對(duì)嵌入式實(shí)時(shí)操作系統(tǒng)形式化驗(yàn)證方法。

背景技術(shù)：

操作系統(tǒng)是計(jì)算機(jī)的基礎(chǔ)，操作系統(tǒng)設(shè)計(jì)正確性及可靠性是保證計(jì)算機(jī)系統(tǒng)可信的首要條件，在安全攸關(guān)的領(lǐng)域，大部分采用嵌入式實(shí)時(shí)操作系統(tǒng)，負(fù)責(zé)管理軟硬件資源。由于嵌入式實(shí)時(shí)操作系統(tǒng)具有并發(fā)性、開放性、動(dòng)態(tài)性和不可確定性等特性，開發(fā)難度大，調(diào)試?yán)щy，因此一些重大設(shè)計(jì)錯(cuò)誤隱藏很深，很難被發(fā)現(xiàn)。

由于嵌入式實(shí)時(shí)操作系統(tǒng)的運(yùn)行狀態(tài)空間大，執(zhí)行路徑隨系統(tǒng)規(guī)模呈指數(shù)增加，傳統(tǒng)的測(cè)試技術(shù)一方面越來越難以有效構(gòu)造測(cè)試集，以覆蓋所有的執(zhí)行路徑，發(fā)現(xiàn)系統(tǒng)缺陷；另一方面大量的不確定性也導(dǎo)致測(cè)試過程中發(fā)現(xiàn)的錯(cuò)誤執(zhí)行結(jié)果難以重現(xiàn)，使得缺陷難以定位，因此在嵌入式實(shí)時(shí)操作系統(tǒng)驗(yàn)證中，僅靠傳統(tǒng)測(cè)試方法無法保證需求的正確性、需求及代碼的一致性，因此亟待提出一種針對(duì)嵌入式實(shí)時(shí)操作系統(tǒng)的驗(yàn)證方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明解決的技術(shù)問題是：克服現(xiàn)有技術(shù)的不足，提供了一種針對(duì)嵌入式實(shí)時(shí)操作系統(tǒng)形式化驗(yàn)證方法。

本發(fā)明的技術(shù)解決方案是：一種針對(duì)嵌入式實(shí)時(shí)操作系統(tǒng)形式化驗(yàn)證方法，包括如下步驟：

步驟1、依據(jù)嵌入式實(shí)時(shí)操作系統(tǒng)需求規(guī)格說明文檔，采用形式化描述語言，將嵌入式實(shí)時(shí)操作系統(tǒng)功能需求進(jìn)行形式化描述，建立嵌入式實(shí)時(shí)操作系統(tǒng)需求層的形式化模型，其中，嵌入式實(shí)時(shí)操作系統(tǒng)需求規(guī)格說明文檔包括嵌入式實(shí)時(shí)操作系統(tǒng)系統(tǒng)結(jié)構(gòu)、功能需求，功能需求包括嵌入式實(shí)時(shí)操作系統(tǒng)所要實(shí)現(xiàn)的功能、功能期望性質(zhì)；所述的嵌入式實(shí)操作系統(tǒng)需求層的形式化模型包括多個(gè)功能需求項(xiàng)，每個(gè)功能需求項(xiàng)均對(duì)應(yīng)一項(xiàng)功能需求；

步驟2、采用形式化描述語言將嵌入式實(shí)操作系統(tǒng)的功能期望性質(zhì)進(jìn)行描述，得到形式化的操作系統(tǒng)需求層模型所期望的性質(zhì)；

步驟3、將嵌入式實(shí)時(shí)操作系統(tǒng)需求層的形式化模型作為驗(yàn)證對(duì)象、所期望的性質(zhì)作為驗(yàn)證目標(biāo)，如果需求層的形式化模型滿足所期望的性質(zhì)，則轉(zhuǎn)入步驟4，否則獲取需求層的形式化模型中不滿足所期望的性質(zhì)的功能需求項(xiàng)，修正當(dāng)前功能需求項(xiàng)對(duì)應(yīng)的嵌入式實(shí)時(shí)操作系統(tǒng)的功能需求，進(jìn)而修正需求層的形式化模型中當(dāng)前功能需求項(xiàng)，直到需求層的形式化模型滿足所期望性質(zhì)，并轉(zhuǎn)入步驟4；

步驟4、依據(jù)嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)文檔，采用形式化描述語言將嵌入式實(shí)時(shí)操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)、嵌入式實(shí)時(shí)操作系統(tǒng)功能實(shí)現(xiàn)算法進(jìn)行形式化描述，建立嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)層形式化模型；其中，嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)文檔包括多個(gè)設(shè)計(jì)需求，設(shè)計(jì)需求包括嵌入式實(shí)時(shí)操作系統(tǒng)功能實(shí)現(xiàn)算法、操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)，嵌入式實(shí)時(shí)操作系統(tǒng)功能實(shí)現(xiàn)算法為嵌入式實(shí)時(shí)操作系統(tǒng)功能需求的實(shí)現(xiàn)算法；所述的嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)層形式化模型包括多個(gè)設(shè)計(jì)項(xiàng)；

步驟5、獲取嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)，采用形式化描述語言將所期望的性質(zhì)進(jìn)行描述，得到形式化的嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)；

步驟6、將設(shè)計(jì)層形式化模型作為驗(yàn)證對(duì)象、所期望的性質(zhì)作為驗(yàn)證目標(biāo)，如果設(shè)計(jì)層形式化模型滿足所期望的性質(zhì)，則轉(zhuǎn)入步驟7，否則獲取設(shè)計(jì)層形式化模型中不滿足所期望的性質(zhì)的設(shè)計(jì)項(xiàng)，修正嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)文檔中不滿足所期望的性質(zhì)的設(shè)計(jì)項(xiàng)，進(jìn)而修正設(shè)計(jì)層形式化模型中當(dāng)前設(shè)計(jì)項(xiàng)，直到設(shè)計(jì)層形式化模型滿足所期望性質(zhì)，并轉(zhuǎn)入步驟7；

步驟7、將步驟3驗(yàn)證通過的需求層形式化模型作為待驗(yàn)證性質(zhì)，將步驟6驗(yàn)證通過的設(shè)計(jì)層模型作為待驗(yàn)證對(duì)象，如果設(shè)計(jì)層形式化模型為需求層形式化模型的精化，則轉(zhuǎn)入步驟8，否則根據(jù)設(shè)計(jì)層形式化模型不為需求層形式化模型精化的設(shè)計(jì)項(xiàng)，調(diào)整嵌入式實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)文檔中的對(duì)應(yīng)設(shè)計(jì)需求，進(jìn)而調(diào)整設(shè)計(jì)層形式化模型中當(dāng)前設(shè)計(jì)項(xiàng)，直至設(shè)計(jì)層形式化模型為需求層形式化模型的精化，并轉(zhuǎn)入步驟6；

步驟8、建立嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)語言到形式化描述語言的轉(zhuǎn)換規(guī)則，進(jìn)而根據(jù)嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)代碼得到嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)層的形式化模型；

步驟9、獲取嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)代碼所期望的性質(zhì)，進(jìn)而得到嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)層的形式化模型所期望的性質(zhì)；

步驟10、將嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)層的形式化模型作為驗(yàn)證對(duì)象、實(shí)現(xiàn)層的形式化模型所期望的性質(zhì)作為驗(yàn)證目標(biāo)，如果實(shí)現(xiàn)層的形式化模型滿足實(shí)現(xiàn)層的形式化模型所期望的性質(zhì)，則轉(zhuǎn)入步驟11，否則獲取實(shí)現(xiàn)層的形式化模型中不滿足形式化模型所期望的性質(zhì)的部分，修正嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)代碼，進(jìn)而修正實(shí)現(xiàn)層的形式化模型，直到實(shí)現(xiàn)層的形式化模型滿足實(shí)現(xiàn)層的形式化模型所期望的性質(zhì)，并轉(zhuǎn)入步驟11；

步驟11、將步驟10驗(yàn)證通過的實(shí)現(xiàn)層的形式化模型作為待驗(yàn)證性質(zhì)，將步驟7精化驗(yàn)證通過的設(shè)計(jì)層形式化模型作為待驗(yàn)證對(duì)象，如果實(shí)現(xiàn)層的形式化模型為設(shè)計(jì)層形式化模型的精化，則當(dāng)前嵌入式實(shí)時(shí)操作系統(tǒng)形式化驗(yàn)證通過，否則根據(jù)實(shí)現(xiàn)層形式化模型不為設(shè)計(jì)層形式化模型精化的部分，調(diào)整嵌入式實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)代碼，進(jìn)而調(diào)整實(shí)現(xiàn)層形式化模型，直至實(shí)現(xiàn)層的形式化模型為設(shè)計(jì)層形式化模型的精化，轉(zhuǎn)入步驟10。

所述的形式化描述語言為Coq工具中的形式化描述語言。

所述的操作系統(tǒng)實(shí)現(xiàn)語言為C語言。

本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點(diǎn)在于：

(1)本發(fā)明通過采用Coq中具有嚴(yán)格數(shù)學(xué)定義的語法、語義的語言來描述操作系統(tǒng)的需求模型及其性質(zhì)，并在形式驗(yàn)證工具Coq中通過數(shù)學(xué)推理來證明需求模型滿足性質(zhì)，解決了測(cè)試方法無法保證需求正確性的問題，從而保證了操作系統(tǒng)系統(tǒng)需求的正確性；

(2)本發(fā)明通過自上而下分階段的方法，在操作系統(tǒng)的需求層、設(shè)計(jì)層、代碼層分別建立形式化模型，并在形式化驗(yàn)證工具中，證明設(shè)計(jì)與需求的一致性，代碼與設(shè)計(jì)的一致性，解決了傳統(tǒng)測(cè)試無法保證需求與代碼一致性的問題，從而保證了操作系統(tǒng)需求與代碼的一致性；

(3)本發(fā)明通過在形式化驗(yàn)證工具驗(yàn)證形式化模型是否滿足性質(zhì)的方法，根據(jù)驗(yàn)證結(jié)果不斷糾正形式化模型，解決了傳統(tǒng)方法難以定位缺陷的問題，通過顯式的數(shù)學(xué)推理證明過程來確保驗(yàn)證結(jié)果的正確性，具有驗(yàn)證過程的可確認(rèn)的優(yōu)點(diǎn)。

附圖說明

圖1為本發(fā)明一種針對(duì)嵌入式實(shí)時(shí)操作系統(tǒng)形式化驗(yàn)證方法流程圖。

具體實(shí)施方式

本發(fā)明針對(duì)現(xiàn)有技術(shù)的不足，提出一種嵌入式實(shí)時(shí)操作系統(tǒng)的形式化驗(yàn)證方法，采用分階段的思路對(duì)嵌入式實(shí)時(shí)操作系統(tǒng)進(jìn)行形式化驗(yàn)證，首先按照需求、設(shè)計(jì)、實(shí)現(xiàn)三個(gè)階段進(jìn)行形式化建模和驗(yàn)證，用具有嚴(yán)格數(shù)學(xué)定義的語法、語義的語言來描述操作系統(tǒng)，然后建立操作系統(tǒng)的形式化模型，提取待驗(yàn)證的性質(zhì)，通過數(shù)學(xué)方法分析及驗(yàn)證形式化模型是否滿足期望的性質(zhì)，通過反復(fù)迭代，最終得到滿足期望性質(zhì)的形式化模型。本發(fā)明方法與現(xiàn)有技術(shù)相比，解決了傳統(tǒng)測(cè)試方法對(duì)無法保證操作系統(tǒng)需求的正確性以及代碼和需求一致性的問題，如圖1所示為本發(fā)明一種嵌入式實(shí)時(shí)操作系統(tǒng)的形式化驗(yàn)證方法流程圖，包括如下步驟：

步驟1、依據(jù)操作系統(tǒng)需求規(guī)格說明文檔，采用Coq工具中形式化描述語言，將操作系統(tǒng)功能需求形式化描述，建立操作系統(tǒng)需求層的形式化模型；其中，操作系統(tǒng)需求規(guī)格說明文檔包括操作系統(tǒng)系統(tǒng)結(jié)構(gòu)、多項(xiàng)操作系統(tǒng)功能需求，操作系統(tǒng)功能需求包括操作系統(tǒng)所要實(shí)現(xiàn)的功能、功能的期望性質(zhì)，下面結(jié)合舉例對(duì)其進(jìn)行說明，比如，操作系統(tǒng)功能需求為操作系統(tǒng)中任務(wù)調(diào)度算法采用優(yōu)先級(jí)搶占的策略，操作系統(tǒng)系統(tǒng)結(jié)構(gòu)包括任務(wù)管理、內(nèi)存分配、任務(wù)間通信中斷管理，功能期望性質(zhì)為任務(wù)調(diào)度算法時(shí)間復(fù)雜度達(dá)到O(1)；操作系統(tǒng)需求層的形式化模型包括多個(gè)功能需求項(xiàng)，每個(gè)功能需求項(xiàng)均對(duì)應(yīng)一項(xiàng)操作系統(tǒng)功能需求；

步驟2、采用Coq工具中形式化描述語言將操作系統(tǒng)需求層模型所期望的性質(zhì)進(jìn)行描述，得到形式化的操作系統(tǒng)需求層模型所期望的性質(zhì)，其中，操作系統(tǒng)需求層模型所期望的性質(zhì)為操作系統(tǒng)功能需求中的功能、可靠性、安全性期望性質(zhì)；

步驟3、將需求層的形式化模型和需求層模型所期望的性質(zhì)在Coq中進(jìn)行驗(yàn)證，將形式化模型作為驗(yàn)證對(duì)象，所期望的性質(zhì)作為驗(yàn)證目標(biāo)，在Coq中選擇推導(dǎo)策略驗(yàn)證形式化模型是否滿足所期望的性質(zhì)，如果形式化模型滿足所期望的性質(zhì)，則轉(zhuǎn)入步驟4；如果形式化模型不滿足所期望的性質(zhì)，則獲取形式化模型中不滿足所期望的性質(zhì)的功能需求項(xiàng)，修正多項(xiàng)操作系統(tǒng)功能需求中當(dāng)前功能需求、進(jìn)而修正形式化模型中當(dāng)前功能需求項(xiàng)，重復(fù)步驟3進(jìn)行驗(yàn)證，直到需求層形式化模型滿足所期望性質(zhì)，并轉(zhuǎn)入步驟4；其中，Coq預(yù)設(shè)多個(gè)推導(dǎo)策略；

步驟4、依據(jù)操作系統(tǒng)設(shè)計(jì)文檔，采用Coq工具中形式化描述語言，將操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)功能實(shí)現(xiàn)算法進(jìn)行形式化描述，建立操作系統(tǒng)設(shè)計(jì)層形式化模型；其中，操作系統(tǒng)設(shè)計(jì)文檔包括多個(gè)設(shè)計(jì)需求，設(shè)計(jì)需求包括操作系統(tǒng)功能實(shí)現(xiàn)算法、操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)，操作系統(tǒng)功能實(shí)現(xiàn)算法為操作系統(tǒng)功能需求的實(shí)現(xiàn)算法，操作系統(tǒng)設(shè)計(jì)層形式化模型包括多個(gè)設(shè)計(jì)項(xiàng)；

步驟5、獲取操作系統(tǒng)設(shè)計(jì)層形式化模型(操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)功能實(shí)現(xiàn)算法)所期望的性質(zhì)，采用Coq工具中形式化描述語言將操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)進(jìn)行描述，得到形式化后的操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)，其中，操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)為操作系統(tǒng)設(shè)計(jì)層形式化模型的預(yù)期功能、復(fù)雜度、可靠性、安全性；

步驟6、將操作系統(tǒng)設(shè)計(jì)層形式化模型、形式化后的操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)在Coq中進(jìn)行驗(yàn)證，將操作系統(tǒng)形式化模型作為驗(yàn)證對(duì)象，形式化后的操作系統(tǒng)設(shè)計(jì)層形式化模型所期望的性質(zhì)作為驗(yàn)證目標(biāo)，在Coq中選擇推導(dǎo)策略驗(yàn)證模型是否滿足性質(zhì)，如果形式化模型滿足所期望的性質(zhì)，則轉(zhuǎn)入步驟7；如果形式化模型不滿足所期望的性質(zhì)，則獲取形式化模型中不滿足所期望的性質(zhì)的設(shè)計(jì)項(xiàng)，修正操作系統(tǒng)設(shè)計(jì)文檔中當(dāng)前設(shè)計(jì)需求、進(jìn)而修正形式化模型中當(dāng)前設(shè)計(jì)項(xiàng)，重復(fù)步驟6進(jìn)行驗(yàn)證，直到設(shè)計(jì)層形式化模型滿足所期望性質(zhì)，并轉(zhuǎn)入步驟7；

步驟7、將步驟3得到的驗(yàn)證通過的需求層形式化模型作為待驗(yàn)證性質(zhì)，將步驟6驗(yàn)證通過的設(shè)計(jì)層模型作為待驗(yàn)證對(duì)象，在Coq工具中驗(yàn)證設(shè)計(jì)層模型是否為需求層形式化模型的精化，如果Coq工具中驗(yàn)證設(shè)計(jì)層模型為需求層形式化模型的精化，則轉(zhuǎn)入步驟8，否則根據(jù)設(shè)計(jì)層模型不為需求層形式化模型精化的設(shè)計(jì)項(xiàng)，調(diào)整操作系統(tǒng)設(shè)計(jì)文檔的當(dāng)前設(shè)計(jì)需求，進(jìn)而調(diào)整設(shè)計(jì)層模型中當(dāng)前設(shè)計(jì)項(xiàng)，直至Coq工具中驗(yàn)證設(shè)計(jì)層模型為需求層形式化模型的精化，并轉(zhuǎn)入步驟6；

步驟8、依據(jù)操作系統(tǒng)所使用的C語言、Coq工具中形式化描述語言，建立C語言語法到Coq工具中形式化描述語言的轉(zhuǎn)換規(guī)則，然后根據(jù)操作系統(tǒng)C語言代碼轉(zhuǎn)換得到操作系統(tǒng)實(shí)現(xiàn)層的形式化模型；其中，操作系統(tǒng)實(shí)現(xiàn)層的形式化模型為操作系統(tǒng)C語言代碼轉(zhuǎn)換為Coq工具中形式化描述語言得到的模型；

步驟9、獲取操作系統(tǒng)C語言代碼所期望的性質(zhì)，進(jìn)而得到操作系統(tǒng)實(shí)現(xiàn)層的形式化模型所期望的性質(zhì)，即采用Coq工具中形式化描述語言將操作系統(tǒng)實(shí)現(xiàn)層模型所期望的性質(zhì)進(jìn)行描述；

步驟10、將操作系統(tǒng)實(shí)現(xiàn)層的形式化模型和操作系統(tǒng)實(shí)現(xiàn)層的形式化模型所期望的性質(zhì)在Coq中進(jìn)行驗(yàn)證，將形式化模型作為驗(yàn)證對(duì)象，性質(zhì)作為驗(yàn)證目標(biāo)，在Coq中選擇推導(dǎo)策略驗(yàn)證形式化模型是否滿足所期望的性質(zhì)，如果形式化模型滿足所期望的性質(zhì)，則轉(zhuǎn)入步驟11；如果形式化模型不滿足所期望的性質(zhì)，則獲取形式化模型中不滿足所期望的性質(zhì)的部分，修正操作系統(tǒng)C語言代碼中當(dāng)前部分對(duì)應(yīng)的代碼程序、進(jìn)而修正形式化模型，重復(fù)步驟10進(jìn)行驗(yàn)證，直到形式化模型滿足所期望性質(zhì)，并轉(zhuǎn)入步驟11；

步驟11、將步驟10得到的驗(yàn)證通過的實(shí)現(xiàn)層形式化模型作為待驗(yàn)證性質(zhì)，將步驟7精化驗(yàn)證通過的設(shè)計(jì)層模型作為待驗(yàn)證對(duì)象，在Coq工具中驗(yàn)證實(shí)現(xiàn)層模型是否為設(shè)計(jì)層形式化模型的精化，如果Coq工具中實(shí)現(xiàn)層模型為設(shè)計(jì)層形式化模型的精化，則當(dāng)前操作系統(tǒng)形式化驗(yàn)證通過，否則根據(jù)實(shí)現(xiàn)層模型不為設(shè)計(jì)層形式化模型精化的部分，調(diào)整操作系統(tǒng)C語言代碼中當(dāng)前部分對(duì)應(yīng)的代碼程序，進(jìn)而調(diào)整實(shí)現(xiàn)層模型，直至Coq工具中實(shí)現(xiàn)層模型為設(shè)計(jì)層形式化模型的精化，轉(zhuǎn)入步驟10。

本發(fā)明說明書中未作詳細(xì)描述的內(nèi)容屬本領(lǐng)域技術(shù)人員的公知技術(shù)。