6、以用户为中心的安全医疗系统：设计与验证

以用户为中心的安全医疗系统：设计与验证

1. 背景知识

在Uppaal中，系统被建模为一组定时自动机，它们通过通道相互交互，这些通道控制着多个自动机的转换同步以及共享变量。Uppaal还提供了一种机制来建模具有相同行为的多个自动机，即模板。模板可以有参数，并且可以在模拟中任意次数地实例化，这为分析不同数量自动机的各种场景提供了手段。

对于属性，Uppaal提供了一种基于简化版定时计算树逻辑（TCTL）的查询语言。时态运算符要求属性在所有执行路径（用A表示）或至少一条执行路径（用E表示）上成立。此外，运算符还有不同的模态来量化特定路径。例如，A□p要求命题p在所有执行路径的所有状态中都成立，而E3p要求p在至少一条执行路径的至少一个状态中成立。需要注意的是，Uppaal不允许嵌套涉及时态运算符的公式，即时态运算符只能是公式中的最外层运算符，因此像E3p && E3q这样的公式应分别拆分为关于p和q的两个查询。

与MC（模型检查）彻底探索状态空间不同，SMC（统计模型检查）基于执行大量系统执行并在这些执行上监控所需属性的思想。对于非确定性系统，每次执行都不同，因此多次执行可以探索系统行为的各个部分。作为一种基于模拟的方法，SMC比MC更节省时间和内存。Uppaal SMC是Uppaal的扩展，用于执行统计模型检查。该扩展适用于随机定时自动机，在启用的转换之间添加概率选择，并为时间延迟提供概率分布。为了确保组件是非阻塞的，自动机之间的交互只允许使用广播通道。

对于查询，Uppaal SMC使用了度量区间时态逻辑（MITL）的扩展。与原始Uppaal工具不同，SMC引擎的属性检查是在有限轨迹上进行的，因此考虑的是线性时间而不是分支时间。Uppaal S