39、基于安全图的安全关键系统建模与验证

基于安全图的安全关键系统建模与验证

1. 引言

安全关键系统指的是那些一旦失效，极有可能导致人员伤亡或财产损失的系统。例如1979年3月28日，宾夕法尼亚州三里岛核电站发生的事故，就是这类不幸事件的一个例子。随着时间的推移，汽车、飞机、快速交通系统、医疗设施和消费电子产品等安全关键系统在日常生活中越来越普遍。当这些系统中的部分出现故障时，悲剧往往难以避免。因此，我们自然会思考，能否在没有100%安全保证的情况下使用这些系统？答案显然是否定的，所以需要一种方法来全面验证安全关键系统。

传统的验证方法，如模拟和测试，只能证明故障的存在，而不能证明故障的不存在。模拟和测试通常在系统部署前进行实验，模拟是在系统的抽象模型上进行，而测试则是在实际产品上进行。对于硬件电路，模拟是在电路设计上进行，测试则是在制造好的电路上进行；对于软件，模拟和测试通常是提供特定输入并观察相应输出。这些方法虽然能以较低成本发现许多错误，但很难检查所有可能的交互和潜在问题。传统上，安全关键系统通过符合标准和代码测试来验证，但这种验证方法无法为系统的正确性提供100%的信心。

与传统验证方法不同，形式验证是全面的，能提供100%的保证，且不需要测试平台或激励来触发系统。形式验证是一种用数学方法证明系统满足一组属性的方式。近年来，像英特尔、IBM、摩托罗拉和微软等大型软硬件设计公司都开始重视形式验证方法，如模型检查，这表明了这些方法在实时嵌入式系统和片上系统设计中的重要性和实用性。因此，我们将采用广泛使用的形式验证方法——模型检查，来验证经过形式化建模的安全关键系统。

在开发基于模型的安全关键系统验证方法时，会遇到以下几个问题：
1. 如何将安全图转换为传统模型检查器能接受的语义等效的扩