Pattern-Oriented Transformations between Analysis and Design Models (POTAD)

One answer to many current challenges in the electronic domain of automotive development, is a continuous model-based engineering process that integrates models of system and software development. A system model describes by the use of the logical system architecture the func-tions of a vehicle and through the technical system architecture the realising electronics, such as control units, sensors/actuators and data busses. During software development, a software design model for selected functions of the logical system architecture must be constructed with consideration of the technical architecture and further requirements. Current model-based development approaches claim to automate the transition between different development phases by the concept of model transformations. This concept lends itself to generate a skele-ton of the software design model from the system architecture model, thereby automating a part of the software engineering activities. The analysis of this work shows that the collected domain specific requirements, which must be made on a model transformation mechanism for such a scenario, are not fulfilled by current approaches. The approach taken in this work, the Pattern-Oriented Transformations between Analysis and Designmodels (POTAD) uses the system architecture as an analysis model within software development and systemizes the connection with the design model on the basis of analysis and design patterns. By means of this systematisation, a POTAD transformation rule instantiates for an analysis pattern different design patterns under consideration of non-functional requirements and the technical system architecture. At the same time, links between an analysis and design pattern are created, which are used to trace design decision later. The feasibility of the solution is shown by a prototype, which follows the POTAD development process and executes the transformation rules formulated in the POTAD transformation lan-guage.POTAD was verified by several student works based on a case study, which covers typical characteristics of the examined domain. The results of these works showed the suitability and improved the methodology as well as the transformation language and pointed out the limits of the approach taken.Eine Antwort auf viele aktuelle Anforderungen im Elektrik/Elektronik-Bereich der Fahrzeugent-wicklung ist ein durchgängig modellbasierter Entwicklungsprozess, der Modelle der System- und Softwareentwicklung integriert. Ein Systemmodell beschreibt mit der logischen System-architektur die Funktionen eines Fahrzeugs und mit der technischen Systemarchitektur die realisierende Elektrik/Elektronik, wie z. B. Steuergeräte, Sensoren/Aktoren und Bussysteme. Im Rahmen der Softwareentwicklung muss für einzelne Funktionen aus der logischen System-architektur unter Berücksichtigung der technischen Systemarchitektur und weiterer An-forderungen ein Softwaredesignmodell erstellt werden. Aktuelle modellbasierte Entwicklungs-ansätze versprechen mit Hilfe des Konzepts der Modelltransformation den Übergang zwischen Modellen unterschiedlicher Entwicklungsphasen automatisieren zu können. Dieses Konzept bietet sich dazu an, aus einem Systemarchitekturmodell ein Grundgerüst eines Softwaredesign-modells zu erzeugen und damit einen Teil der Softwareentwicklungsaktivitäten zu auto-matisieren.Die Analyse dieser Arbeit zeigt, dass die erarbeiteten domänenspezifischen Anforderungen, die für solch ein Szenario an einen Modelltransformationsmechanismus gestellt werden müssen, durch aktuelle Ansätze nicht vollständig erfüllt werden. Der eigene Ansatz Pattern-Oriented Transformations between Analysis and Designmodels (POTAD) verwendet die logische Systemarchitektur im Rahmen der Softwareentwicklung als Analysemodell und systematisiert dessen Zusammenhang mit dem Designmodell auf der Basis von Analyse- und Designmustern. Für ein im Analysemodell gefundenes Analysemuster instanziiert eine POTAD-Transformationsregel mit Hilfe dieser Systematik in Abhängigkeit nichtfunktionaler An-forderungen und der technischen Systemarchitektur unterschiedliche Designmuster im Design-modell. Gleichzeitig werden Verknüpfungen zwischen den Analyse- und Designmustern angelegt, die zur späteren Verfolgung von Designentscheidungen genutzt werden. Anhand eines dem POTAD-Entwicklungsprozess folgenden Prototyps, der die in der POTAD-Transformationssprache formulierten Regeln ausführen kann und die Verfolgbarkeit werkzeug-seitig unterstützt, wird die Realisierbarkeit des Lösungsansatzes gezeigt. POTAD wurde durch studentische Arbeiten anhand einer Fallstudie überprüft, die typische Eigenschaften der betrachteten Domäne abdeckt. Die Ergebnisse dieser Arbeiten haben die Tauglichkeit von POTAD gezeigt, die Methodik und die Transformationssprache verbessert und Grenzen aufgezeigt

Maschinelle Verifikation von Parametrisierten Echtzeitsystemen

Echtzeitsysteme müssen oftmals in der Lage sein, mit beliebig vielen Komponenten umgehen zu können. Der Scheduler eines Echtzeitbetriebssystem, zum Beispiel, verwaltet beliebig viele Threads. Derartige Systeme fallen in die Klasse der parametrisierten Systeme. Deren formale Verifikation ist sehr schwierig, da Standard-Verifikationstechniken für endliche Systemmodelle (z.B. Model Checking) nur für Instanzen des Systems direkt eingesetzt werden können. Es existieren Ansätze für die automatische Verifikationen spezieller Subklassen von parametrisierten Systemen. Bisher fehlt es jedoch an Ansätzen für die umfassende und maschinelle Verifikation von parametrisierten Echtzeitsystemen mit komplexen Systemtopologien. In dieser Arbeit präsentieren wir ein Framework zur maschinellen, umfassenden und semi-automatischen Verifikation parametrisierter Echtzeitsysteme. Den Kern unseres Frameworks bildet der Prozesskalkül Timed CSP, mit dem sowohl das funktionale Verhalten als auch das nicht-funktionale zeitliche Verhalten von Systemen erfasst werden kann. Unsere wichtigsten Beiträge sind: Erstens, eine Formalisierung der operationalen Semantik von Timed CSP sowie Bisimulationsäquivalenzen im Theorembeweiser Isabelle/HOL. Zweitens stellen wir eine (mechanisierte) zeitbehaftete Erweiterung der Hennessy-Milner Logik zur Verfügung. Zusammen mit der Formalisierung von Timed CSP und den entsprechenden Bisimulationen ermöglicht dies die umfassende und maschinelle Verifikation von möglicherweise unendlichen (parametrisierten) Echtzeitsystemen in modularer Art und Weise. Dadurch dass wir sowohl bisimulations- als auch eigenschaftsbasierte Verifikation ermöglichen, erlauben wir dem Entwickler insbesondere, das Verifikationsproblem in Teilprobleme zu zerlegen. Dies vereinfacht die Verifikation erheblich. Dabei stellt der Theorembeweiser sicher, dass alle Beweise lückenlos und damit garantiert korrekt sind. Unser dritter wesentlicher Beitrag ist die Unterstützung des Entwicklungsprozesses durch automatische Verifikationswerkzeuge. Dazu haben wir unser Rahmenwerk um Transformationswerkzeuge angereichert, mit denen (endliche) Timed CSP Spezifikationen in einen diskreten Dialekt von CSP and in UPPAAL timed automata transformiert werden können. Somit können der Verfeinerungschecker FDR2 und der Model Checker UPPAAL eingesetzt werden, um Systeminstanzen automatisch zu simulieren und zu verifizieren. Dies ermöglicht es, Fehler im Design schon vor dem relativ aufwändigen interaktiven Theorembeweisen aufzudecken. Die Anwendbarkeit unseres Frameworks zeigen wir anhand der Fallstudie eines Schedulers eines Echtzeitbetriebssystems. Damit demonstrieren wir einerseits den Gewinn durch unsere Transformationen von Timed CSP in automatisch analysierbare Sprachen. Andererseits zeigen wir die Effektivität unseres Theorembeweiser-Ansatzes zur Verifikation parametrisierter Echtzeitsysteme. Die Motivation dieser Arbeit leitet sich von der Beobachtung ab, dass eingebettete Systemen mit steigender Komplexität oft auf Kernkomponenten wie Bussystemen und Echtzeitbetriebssystemen aufsetzen. Das korrekte Funktionieren dieser Systeme hängt damit stark von der Verlässlichkeit dieser Kernkomponenten ab. In dem Bereich der sicherheitskritischen eingebetteten Echtzeitsystemen reicht es jedoch nicht aus, diese zu simulieren oder zu testen, da damit die Abwesenheit von Fehlern nicht gewährleistet werden kann. Formale Verifikation adressiert dieses Problem. Um jedoch praktisch einsetzbar zu sein, sollten formale Verifikationstechniken mechanisiert und so weit wie möglich automatisiert sein. Die Mechanisierung hat zusätzlich den Vorteil, dass sie Fehler im Prozess der Verifikation ausschließen. Unsere Fallstudie stellt eine wichtige Kernkomponente von sicherheitskritischen Systemen dar. Zusammenfassend zeigen wir, wie derartige Kernkomponenten maschinell verifiziert werden können und wie mithilfe von automatischen Verifikationswerkzeugen ihre Entwicklung unterstützt werden kann.Real-time systems often have to be able to cope with an unbounded number of components. For example, a real-time operating system scheduler manages arbitrarily many threads or a bus system copes with arbitrarily many connected devices. Such systems can be characterized as parameterized systems. The number of (homogeneous) components is the parameter of these systems. This makes their formal verification hard because standard verification techniques for finite system models (for example model checking) can be employed directly only for instances of the system. There exist several approaches for the (automatic) verification of special sub-classes of (mostly untimed) parameterized systems. However, approaches or tools that enable the comprehensive and mechanical verification of parameterized real-time systems with complex system topologies are still missing. In this thesis, we overcome this problem by providing a framework for the mechanical, comprehensive, and semi-automatic verification of parameterized real-time systems. At its core we employ the process calculus Timed CSP, which is well-suited to describe the functional behavior as well as the non-functional timing behavior of systems. Our main contribution is threefold: First, we have developed a formalization of the operational semantics of Timed CSP together with notions of bisimulation equivalences in the Isabelle/HOL theorem prover. Second, in order to specify (timing) properties of systems, we provide a (mechanized) timed extension of Hennessy-Milner logic. Together with our formalization of Timed CSP and corresponding bisimulations, this enables the comprehensive and mechanical verification of possibly infinite (parameterized) real-time systems in a modular fashion. In particular, by providing both bisimulation and property based verification, we allow the developer to divide the verification problem into subproblems, which eases verification significantly. At the same time, the theorem prover ensures that no corner cases can be overlooked and all proofs are guaranteed to be correct. Finally, we support the development process of such systems with the integration of automatic verification tools. To this end, we have enriched our framework with transformation engines with which (finite) Timed CSP specifications can be transformed to a discrete dialect of CSP and to UPPAAL timed automata. By this, the FDR2 refinement checker and the UPPAAL tool suite can be used to explore and verify finite instances automatically. Thus, possible design flaws can be detected and corrected early in the development cycle and prior to the relatively time-consuming task of interactive theorem proving. We show the applicability of our framework using the case study of a parameterized real-time operating system scheduler. Thereby, we demonstrate the benefits of the proposed mapping of Timed CSP to automatically analyzable languages. Furthermore, we show the effectiveness of our theorem proving approach for the comprehensive verification of parameterized real-time systems. The motivation for our work comes from the observation that, due to their increasing complexity, embedded systems are often built atop trusted cores such as bus systems and real-time operating systems. Their correct functioning thus heavily depends on the correctness of the underlying cores. In the area of safety-critical embedded real-time systems, simulation and testing are not sufficient because they cannot ensure the absence of critical errors. Formal verification tackles this problem. To be of practical relevance, however, formal verification techniques should be mechanized and automatized as far as possible. The mechanization comes with the additional benefit of precluding verification faults as they can occur in hand-written proofs. Our case study forms an important core part of many safety-critical systems. In summary, we show how such cores can be mechanically verified and how their development can be supported with the help of automatic verification tools