14、分布式可重构片上系统中集成在线模型检查与自适应操作系统服务

分布式可重构片上系统中集成在线模型检查与自适应操作系统服务

1. 引言

在分布式可重构片上系统（RSoC）环境中，操作系统（OS）服务的灵活性、容错性和恢复能力至关重要。每个 OS 服务可能有不同的实现方式，可在运行时进行配置。这种动态特性使得在设计阶段检查此类 OS 服务的安全性变得困难。因此，集成在线模型检查（Online Model Checking）以实现错误预测和恢复是一种有效的解决方案。

2. 在线模型检查

2.1 应用场景

对于一个具有 n（n > 1）种实现方式，且每种实现方式包含 m（m > 1）个安全执行段（SES）的自适应服务，共有 mn 种不同的 SES 配置方式。SES 的实际配置需要在运行时根据资源需求和响应时间来确定，无法提前预知应选择哪种配置。本质上，每种 SES 配置都可视为该服务的一种不同实现。由于时间和空间复杂度巨大，在系统开发阶段验证该服务的 mn 种不同实现的安全属性是不可能的。因此，在线模型检查可能是提高具有自适应 OS 服务的分布式 RSoC 的可靠性和容错性的不错选择。

假设某个 OS 服务的部分 SES 是安全关键的（也可保守地将所有 SES 都标记为安全关键）。当 RSoC 上的实时应用程序/任务调用该服务时，RSoC 的中间件会找出该服务的合适配置。因此，中间件总能提前知道安全关键 SES 何时执行，从而能在资源充足的 RSoC 上及时触发在线模型检查。

2.2 抽象模型

要进行在线模型检查，首先需要从服务的每个安全关键 SES 的源代码生成足够精确的抽象模型。一种有前途的自动构建抽象状态图的方法是谓词抽象。设 {ϕ1, ϕ