基于分層遞增驗證的可信管理軟件構(gòu)造方法

戰(zhàn)德臣，馮錦丹，聶蘭順，徐曉飛

(1.哈爾濱工業(yè)大學計算機科學與技術(shù)學院，150001哈爾濱;2.北京衛(wèi)星制造廠，100094北京)

管理軟件被廣泛應(yīng)用于工業(yè)、商業(yè)、服務(wù)業(yè)以及政府部門，對企業(yè)和組織的運行起到關(guān)鍵性的支撐作用，因此軟件是否具有可信性至關(guān)重要.管理軟件可信性問題的典型表現(xiàn)包括:軟件系統(tǒng)中復(fù)雜的業(yè)務(wù)邏輯處理是否正確;財務(wù)信息、核心商業(yè)機密、技術(shù)機密等能否保證不會被非授權(quán)人員訪問和纂改;軟件系統(tǒng)的流程是否不會走到非預(yù)期的狀態(tài);各種路徑是否已被完整地覆蓋和解釋;軟件系統(tǒng)的集成和互操作是否如其所聲明的工作;所有數(shù)據(jù)是否被正確的集成和完整的處理;軟件系統(tǒng)能否適應(yīng)其所聲明的多樣化、多變性需求.可信的管理軟件如何快速低成本的開發(fā)以支持復(fù)用和滿足不斷變化的業(yè)務(wù)需求，給管理軟件研發(fā)人員提出了一個更為艱巨的任務(wù).

為了解決管理軟件的快速開發(fā)問題，領(lǐng)域內(nèi)廣為使用的是對象管理組織提出的模型驅(qū)動的體系結(jié)構(gòu)(Model Driven Architecture，MDA)規(guī)范［1］.其核心思想是將軟件系統(tǒng)開發(fā)這樣一個復(fù)雜的大問題進行多步求解和逐步求精，以保證軟件符合需求.從軟件可信性的角度看，借助MDA將軟件系統(tǒng)的可信性問題可分解為軟件模型的可信性問題和軟件代碼的可信性問題，即跨越了軟件可信性與用戶可信需求之間的鴻溝，自動化的模型轉(zhuǎn)換與代碼生成有助于保持可信性的自上而下傳遞.然而MDA并未將可信軟件的構(gòu)造作為其主要目的，且在模型驅(qū)動的軟件開發(fā)方法中也未顯式地將軟件可信性的度量、驗證、優(yōu)化等過程和方法納入其中.因此在MDA中引入可信相關(guān)的方法，使之形成模型驅(qū)動的可信軟件構(gòu)造方法，是解決可信管理軟件構(gòu)造問題的新思路.本文在總結(jié)目前相關(guān)研究的基礎(chǔ)上，提出一種基于分層遞增驗證的可信管理軟件模型驅(qū)動架構(gòu)，以此為企業(yè)管理軟件領(lǐng)域的研究人員提供一個基本的理論參考框架.

1 相關(guān)研究

1.1 軟件可信性

可信軟件的研究主要集中在復(fù)雜環(huán)境下嵌入式軟件和開放環(huán)境中網(wǎng)絡(luò)軟件，對可信軟件的含義存在相似的理解.高可信系統(tǒng)能夠以可理解可預(yù)期的形式運行、抵御惡意侵襲和事故，不會引起意外或不期望的損失［2］.文獻［3］是可信計算機組織(TCG)用實體行為的預(yù)期性來定義可信:如果它的行為總是以預(yù)期的方式，朝著預(yù)期的目標，則一個實體是可信的.一般認為軟件的可信性包含以下屬性［4-7］:可靠性(Reliability)，可用性(A-vailability)，防危性(Safety)，機密性(Confidentiality)，生存性(Survivability)，安全性(Security)，容錯性(Fault tolerance)，實時性(Realtime)，完整性(Integrity)和可維護性(Maintainability)等，其中可靠性被認為是可信軟件最重要的屬性.當前研究較為成熟的是針對可信性中某個關(guān)鍵性質(zhì)而展開的，例如研究在嵌入式軟件和網(wǎng)絡(luò)應(yīng)用軟件中的可靠性度量評測與保證技術(shù).在管理軟件研究領(lǐng)域，客戶對軟件的可信性需求所描述的不一定是軟件可靠性這樣單一的屬性，還可能包含其他的性質(zhì).因此只有當軟件滿足客戶的需求規(guī)范中描述的所有性質(zhì)時，才可以認為軟件是可信的.

1.2 模型驅(qū)動架構(gòu)

圍繞MDA的分層建模、轉(zhuǎn)換、轉(zhuǎn)換過程中的一致性保持、代碼生成等問題，國內(nèi)外學者進行了廣泛的研究.文獻［8］在MDA的基礎(chǔ)上嵌入執(zhí)行確認活動，提出了一種新SPMDA結(jié)構(gòu)，建立多鏈排隊網(wǎng)模型(Multi-chain Queuing Network model，QN)到LQN(Layered Queuing Network)的轉(zhuǎn)換，使用LQN描述系統(tǒng)的服務(wù)需求與硬件資源的關(guān)系和參數(shù)，用配置圖建立基于構(gòu)件的軟件模型到平臺環(huán)境的映射.國外在MDA領(lǐng)域的研究覆蓋范圍廣泛且較為深入，相對而言國內(nèi)關(guān)于MDA理論方面的研究內(nèi)容主要集中于MDA思想在系統(tǒng)開發(fā)上的理論指導(dǎo)，而抽象層度較高的建模方法論、模型轉(zhuǎn)換以及建立特定領(lǐng)域內(nèi)完整MDA模型規(guī)范等方面的研究很有限，當前主要應(yīng)用于嵌入式領(lǐng)域和企業(yè)管理軟件領(lǐng)域.MDA研究仍存在的不足主要表現(xiàn)為對語義的映射考慮不足，缺少對模型與代碼的可信性度量與驗證，缺乏基于MDA構(gòu)造完整軟件系統(tǒng)的系統(tǒng)性實踐和集成平臺.

1.3 基于構(gòu)件的可信軟件構(gòu)造與驗證

基于構(gòu)件的軟件開發(fā)成為降低軟件開發(fā)成本的重要方法之一［9］.基于構(gòu)件的可信軟件開發(fā)過程離不開對其可信性的度量與評測，軟件可信性度量成為可信軟件研究的核心問題.在軟件開發(fā)生命周期的各階段中都可以對可信性進行不同角度的度量.1)在軟件設(shè)計階段采用預(yù)言方式發(fā)現(xiàn)并解決可能潛在的問題.可建立系統(tǒng)的描述模型，如基于RADL的軟件體系結(jié)構(gòu)模型或動態(tài)錯誤樹系統(tǒng)模型［10］，通過模型檢測設(shè)計中可能存在問題予以較早解決，有助于較早減少軟件錯誤來增強可信性.2)軟件開發(fā)階段主要進行預(yù)測性度量與跟蹤修正.系統(tǒng)可信性的度量與驗證有兩個層面，即系統(tǒng)模型的可信性驗證［11］和程序代碼的可信性驗證［12］.3)在軟件測試階段，主要是基于測試數(shù)據(jù)進行軟件測試和精確評估.軟件錯誤檢測是軟件測試階段的主要任務(wù).Bev Littlewood等［13］認為不同的軟件設(shè)計對應(yīng)著不同的錯誤檢測方案，提出一種多樣錯誤檢測度量方法.4)在軟件應(yīng)用過程中使用實際數(shù)據(jù)進行實際評測［14］.5)也有部分研究考慮軟件生命周期中一些階段之間存在不同或相關(guān)的影響因素，需要從整體上予以考慮.雖然有研究覆蓋了軟件生命周期的全過程，但也只是針對一種或兩種關(guān)鍵性質(zhì)進行跟蹤度量與改善.從軟件實現(xiàn)的技術(shù)角度考慮，對于多個可信性質(zhì)的度量技術(shù)往往是分離的，比如容錯技術(shù)、調(diào)度、形式化驗證等技術(shù)，這些技術(shù)應(yīng)用于不同的領(lǐng)域，沒能針對統(tǒng)一的可信性形成一個集成技術(shù)平臺.針對上述問題，本文提出在可互操作、可配置、可執(zhí)行的模型驅(qū)動體系結(jié)構(gòu)(Interoperable Con-figurable Executable Model Driven Architecture，ICEMDA)［15］中融入可信性度量與驗證是構(gòu)造可信管理軟件的一種有效途徑，其可提供一套系統(tǒng)性的可信軟件開發(fā)理論指南和集成平臺.

2 基于分層遞增驗證的可信管理軟件模型驅(qū)動構(gòu)造方法體系

定義1(管理軟件可信性)管理軟件可信性是指軟件具備可信性意味著軟件系統(tǒng)按用戶期望的方式運行，不會導(dǎo)致非預(yù)期的狀態(tài)，換言之，軟件系統(tǒng)的可信性是其行為對聲明的符合程度.

基于這種理解，本文在ICEMDA的管理軟件開發(fā)方法中，顯式地引入軟件可信性的度量、計算、判定及改善，實現(xiàn)PSM模型=＞構(gòu)件代碼=＞軟件系統(tǒng)的增量式可信性驗證與構(gòu)造，最終實現(xiàn)軟件系統(tǒng)可信，即其行為符合用戶期望這一目標.

ICEMDA將軟件開發(fā)/構(gòu)造過程劃分為4個層次:1)面向過程與對象技術(shù)相結(jié)合的CIM/PIM層;2)向下轉(zhuǎn)換為可支持實現(xiàn)的PSM層;3)進一步轉(zhuǎn)換到以干業(yè)務(wù)構(gòu)件為核心的代碼層;4)干業(yè)務(wù)構(gòu)件被部署到系統(tǒng)層且被配置成面向特定需求的復(fù)用業(yè)務(wù)構(gòu)件，并通過工作流引擎將復(fù)用業(yè)務(wù)構(gòu)件和工作流可執(zhí)行模型組裝成完整的軟件系統(tǒng).ICEMDA的每個層次都有要構(gòu)造的實體，其可被逐層轉(zhuǎn)換.

定義2(ICEMDA各層次的構(gòu)造體)把ICEMDA各階段中所要構(gòu)造的目標實體，如CIM模型、PIM模型、PSM模型、構(gòu)件代碼(干業(yè)務(wù)構(gòu)件、復(fù)用業(yè)務(wù)構(gòu)件)和軟件系統(tǒng)等，稱作ICEMDA各層次的構(gòu)造體.

定義3(構(gòu)造體具有可信性)給定可信性度量指標集Φ，(用戶的)可信性需求φ是定義在指標集Φ上的一些約束，M是構(gòu)造體的某種面向可信性計算的描述模型，ξ是一組度量/計算方法，對Φ中的每個指標，ξ能夠度量/計算M的指標值，稱M是可信的，當且僅當ξ(M)｜=φ，其中｜=是滿足關(guān)系.

具體而言，構(gòu)造可信的管理軟件系統(tǒng)就是逐步建立滿足客戶需求的可信構(gòu)造體，即建立可信的工作流模型和業(yè)務(wù)構(gòu)件PSM模型，將其轉(zhuǎn)換為CODE層可信的干業(yè)務(wù)構(gòu)件，在系統(tǒng)層面配置出可信的工作流可執(zhí)行模型和可信的復(fù)用業(yè)務(wù)構(gòu)件，最終組裝成可信的軟件系統(tǒng).

圖1給出了基于ICEMDA的可信管理軟件構(gòu)造方法架構(gòu).此構(gòu)造方法由4個核心步驟組成:

圖1 基于分層遞增驗證的模型驅(qū)動軟件構(gòu)造方法

1)可信度量指標集Φ的定義及可信性需求φ描述;2)將面向開發(fā)的構(gòu)造體轉(zhuǎn)化為支持可信性計算模型M;3)可信性指標的度量、計算問題ξ，包括如何由構(gòu)成要素的可信性指標計算整體的可信性;4)調(diào)整構(gòu)造體的構(gòu)成要素，使可信指標得以改善.客戶需求隨著模型到代碼的實例化過程逐步細化且嚴格，對ICEMDA各層次構(gòu)造體具有不同的可信性需求.

將ICEMDA各層次上原本以構(gòu)造/開發(fā)為目標的構(gòu)造體，轉(zhuǎn)換為面向可信性度量與驗證的可信性描述模型，以可信性度量指標體系為基礎(chǔ)，計算可信性描述模型的可信性影響指標，根據(jù)綜合可信性指標計算結(jié)果判定該構(gòu)造體的可信性，基于可信性判定對構(gòu)造體進行多目標可信優(yōu)化.

ICEMDA各層橫向采用適當?shù)目尚判杂嬎惴椒ǘ攘颗c驗證構(gòu)造體對客戶需求的滿足度，出具可信度證明，縱向基于構(gòu)造體可信性保持與遞增的策略，確保可信性從構(gòu)造上游到下游的傳遞性.采用基于ICEMDA的可信構(gòu)造方法，將模型驅(qū)動的軟件開發(fā)方法和可信性度量與驗證技術(shù)結(jié)合起來，將構(gòu)造可信的大型軟件系統(tǒng)分解為逐層建立可信構(gòu)造體的問題，以實現(xiàn)可信軟件分層驗證的增量式開發(fā).

可信管理軟件的構(gòu)造過程中存在3個關(guān)鍵性問題:1)有效的表征客戶可信需求，并將其合理的分布到軟件開發(fā)的不同階段進行驗證;2)在軟件開發(fā)的不同階段對軟件系統(tǒng)的構(gòu)成要素進行逐步、增量式可信性驗證;3)保證可信性伴隨著各種要素的轉(zhuǎn)換和組裝被不斷的保持與增強的構(gòu)造技術(shù).本文以業(yè)務(wù)構(gòu)件PSM模型為例，說明其可信性度量與驗證的具體過程.

2.1 支持MDA的可信性度量指標體系

軟件系統(tǒng)的可信性是多種性能度量的綜合指標，如可從可靠性、安全性、效率、適應(yīng)性等方面對可信性進行度量來采用可信度衡量一個軟件系統(tǒng)的可信性高或低.可信性度量指標體系中存在兩類指標:可信性指標和可信性影響指標.這與軟件可信性密切相關(guān)，面向終端用戶、分析設(shè)計人員，且反映其軟件外特性的度量指標稱為可信性指標，每個可信性指標可能受到存在于軟件系統(tǒng)內(nèi)部的若干關(guān)鍵特性的影響，這些關(guān)鍵特性間接影響到軟件系統(tǒng)的整體可信性能，將這些面向軟件開發(fā)人員且影響可信性的軟件內(nèi)特性，稱為可信性影響指標.

PSM模型層、代碼層和系統(tǒng)層的構(gòu)造體形態(tài)與內(nèi)容不同，其可信性指標與可信性影響指標也存在差異，跨ICEMDA各層面的可信性度量指標集如表1所示.在ICEMDA各層次上對可信度量指標進行劃分的過程中，需要滿足兩個基本原則:1)單層內(nèi)目標針對性強;2)不同層間指標分布合理，基于可信保持減少層間同類型指標重復(fù).

表1 支持MDA的可信性度量指標體系

PSM模型相對于PIM層包含了特定的實現(xiàn)機制，參數(shù)類型和構(gòu)件模型的平臺概念等要素.PSM業(yè)務(wù)構(gòu)件模型，主要從結(jié)構(gòu)性、業(yè)務(wù)邏輯性與平臺實現(xiàn)相關(guān)性3個方面建立指標.干業(yè)務(wù)構(gòu)件代碼度量兩個方面的內(nèi)容:1)程序是否實現(xiàn)了客戶對業(yè)務(wù)活動的功能性需求;2)程序是否在可接受的性能指標約束范圍內(nèi)運行.軟件系統(tǒng)的可信性指標集中于度量業(yè)務(wù)功能是否實現(xiàn)了客戶的需求;是否實現(xiàn)了不同配置約束對業(yè)務(wù)功能的安全性限制.運行態(tài)性能是否滿足客戶的非功能性需求等方面.

2.2 由“面向構(gòu)造的模型/代碼”向“面向可信計

算的模型”的轉(zhuǎn)換方法與技術(shù)

ICEMDA體系中已有的構(gòu)造體主要是面向軟件開發(fā)/構(gòu)造而建立的模型或代碼，相對不易于可信性指標的計算，可將其轉(zhuǎn)換為支持可信性度量/計算的模型，使構(gòu)造體內(nèi)要素與可信性影響指標的關(guān)系顯式的表征出來.

業(yè)務(wù)構(gòu)件PSM模型是依據(jù)客戶需求從可實現(xiàn)可執(zhí)行角度建立的構(gòu)件實現(xiàn)模型.基于XML模型文件存儲業(yè)務(wù)構(gòu)件的數(shù)據(jù)集、操作集、生命周期狀態(tài)變遷和安全性相關(guān)信息等，既描述了結(jié)構(gòu)關(guān)系又體現(xiàn)了約束和邏輯關(guān)系，但其對可信性指標的顯式表達不足.為計算該模型對客戶可信性需求的滿足度，提出采用基于圖論與邏輯公式的標記算法.

將基于XML的構(gòu)件模型轉(zhuǎn)換為與邏輯相合并的PSM業(yè)務(wù)構(gòu)件可信性描述模型，基本思想如下:首先，基于XML的業(yè)務(wù)構(gòu)件模型M0轉(zhuǎn)換為有向圖結(jié)構(gòu).將數(shù)據(jù)集元素與子元素之間的結(jié)構(gòu)關(guān)系轉(zhuǎn)換為頂點A到B的有向邊，頂點的結(jié)構(gòu)是XML元素與其屬性構(gòu)造的多元組V(name，AttributeSet).再依次建立操作集、狀態(tài)變遷集、權(quán)限約束等關(guān)系的轉(zhuǎn)換，直至XML模型等價的反映為圖.其次，將圖與客戶需求φ0的合并機制.用φ0中的原子公式ψi標記圖上的頂點，在V中添加一個標記向量.若標記成功，將該ψi從φ0中移出到被標記公式集T1={ψi｜ψi已被成功標記}中，若未找到與其匹配的頂點，則將子公式移至未標記公式集T2={ψi｜ψi標記失敗}中，直至φ0為空，此時可獲得基于XML與邏輯合并的PSM業(yè)務(wù)構(gòu)件可信描述模型.根據(jù)具體情況來確定哪些頂點能與ψi相關(guān)的可信性影響指標匹配并采用何種方式標記.當ψi的公式內(nèi)容是:1)數(shù)據(jù)集D1→d1∧d2，若圖中已有d1和d2頂點，則用d1∧d2標記它們的共同父節(jié)點D1;2)最大繼承深度h:則用h標記具有繼承關(guān)系的類頂點;3)ψi:若相對應(yīng)的頂點還沒有用ψi標記，則用ψi標記.其中對于復(fù)雜算子采用適當?shù)眠B接詞將其進行等價變形的預(yù)處理，或采用特殊變異的方式，對復(fù)雜算子變換處理方法以改進標記算法效率，使模型和公式的規(guī)模控制為線性.

2.3 可信性指標計算與可信性判定方法

所謂可信的業(yè)務(wù)構(gòu)件PSM模型M0，即ξ(M0)｜=φ0，就是指M0滿足模型層客戶需求可信邏輯約束的程度.為了構(gòu)造可信的M0，需要在建模過程中檢測模型的可信性，采用基于多維標記空間的業(yè)務(wù)構(gòu)件模型可信性度量與驗證算法，其基本思想如下:

算法的輸入:以XML形式表達的PSM業(yè)務(wù)構(gòu)件模型M0;以邏輯形式表達的PSM層客戶可信性需求φ0.

輸出:M0的可信度(或稱M0對φ0的滿足度).

基本步驟為:首先，采用可信描述模型轉(zhuǎn)換方法“基于圖與邏輯公式的標記算法”將以XML形式存儲的PSM業(yè)務(wù)構(gòu)件模型轉(zhuǎn)為與合并了邏輯φ0信息的，基于圖的PSM業(yè)務(wù)構(gòu)件可信性描述模型.此時，獲取到被標記公式集T1和未標記公式集T2.然后，將標記圖映射到多維標記空間中分別計算被標記指標的數(shù)值.一個頂點在多個子公式標記情況下構(gòu)成了一個多維標記向量Ci=＜ui1，ui2，…，uin＞，因此將標記圖投影到一個描述多個邏輯維度的空間中，將同一邏輯維度的標記頂點、標記向量以及邊投影到該邏輯維上進行計算指標值.高度抽象的業(yè)務(wù)構(gòu)件模型，通?？勺儗傩砸?guī)模較大，因此有必要在不同維度上的應(yīng)用簡化技術(shù).計算T2集合中的未標記邏輯公式的滿足度，獲取圖上可標記的可信性影響指標值，綜合兩類指標統(tǒng)計業(yè)務(wù)構(gòu)件模型的可信度，采用加權(quán)累加法等可信度的計算方案.最后輸出PSM業(yè)務(wù)構(gòu)件模型的可信度值.

客戶需求中包含一個期望的可信閥值d0，判定本模型可信與否，將可信指標的計算結(jié)果與d0進行比較，若＜d0則認為此模型不可信，并提取指標值與期望性能的差異，反饋給用戶使其針對不可信的關(guān)鍵點進行修正或優(yōu)化，若≥d0則為模型出具可信度證明.

2.4 基于可信性判定的可信軟件構(gòu)造技術(shù)

根據(jù)可信性判定結(jié)果，通過調(diào)整ICEMDA各層次構(gòu)造體的要素和要素之間的關(guān)系，以提高其與客戶期望差異過大的可信性影響指標值，使構(gòu)造體可信.在ICEMDA軟件系統(tǒng)構(gòu)造過程中存在從PSM模型到代碼，代碼到系統(tǒng)的兩次轉(zhuǎn)換過程，轉(zhuǎn)換的必要原則是上游到下游的可信性能夠保持.針對MDA各層次構(gòu)造體分別提出基于可信性判定的優(yōu)化方法和技術(shù)，目的在于通過調(diào)整完善構(gòu)造體內(nèi)部的要素或要素之間的關(guān)系以提高其可信性.針對PSM模型，提出面向多目標可信優(yōu)化的模型完善方法.基本思想為:輸入是以XML形式表達的不滿足可信性要求PSM業(yè)務(wù)構(gòu)件模型M0和與客戶需求差異過大的可信度量指標集δ0.以δ0的內(nèi)容作為模型可信性改善過程的多個優(yōu)化目標，通過調(diào)整影響這些可信指標的模型要素，實現(xiàn)本模型可信度量值的提升，直到模型滿足客戶可信需求為止.輸出為優(yōu)化后的業(yè)務(wù)構(gòu)件XML模型M'0.

2.5 軟件開發(fā)平臺

在現(xiàn)有ICEMDA架構(gòu)的軟件開發(fā)平臺基礎(chǔ)上，引入各層構(gòu)造體的可信性判定度量和優(yōu)化方法，形成一套支持可信軟件構(gòu)造的模型驅(qū)動的軟件開發(fā)工具集，如圖2所示.PSM可視化建模工具，業(yè)務(wù)構(gòu)件程序生成工具，業(yè)務(wù)構(gòu)件配置工具，工作流模型轉(zhuǎn)換工具，這些工具的輸出結(jié)果均要經(jīng)過可信描述模型驗證容器進行處理.該容器包含由“面向構(gòu)造的模型/代碼”向“面向可信性計算的模型”的轉(zhuǎn)換功能，可信性度量與驗證并出具可信度證明的功能、基于可信性判定的優(yōu)化構(gòu)造功能.最后通過面向可信性保持的系統(tǒng)配置/部署工具組裝出可信的軟件系統(tǒng).

圖2 可信管理軟件的模型驅(qū)動開發(fā)平臺

3 結(jié)論

1)顯式地將構(gòu)造體的可信性度量和驗證系統(tǒng)性綜合性的融入到ICEMDA架構(gòu)中，其目標是解決可信管理軟件的快速構(gòu)造問題.

2)該體系為可信管理軟件的構(gòu)造提供了一個基本方法框架，其基礎(chǔ)理論體系包含:一套支持MDA的企業(yè)管理軟件可信度量指標體系;以MDA各層次構(gòu)造體為中心的可信性計算、判定和優(yōu)化的反饋機制;模型驅(qū)動的可信軟件構(gòu)造技術(shù)和平臺.

［1］OMG.MDA guide version 1.0.1［R］.［2003-06-12］.http://www.omg.com/.

［2］High confidence software and systems coordinating group.High confidence software and systems research needs［R］.［2001-01-10］.http://www.ccic.gov/pubs/hcssresearch.pdf.

［3］PEARSON S.Trusted computing platform，the next security solution［R］.Bristol U K:HP Laboratories，2002.

［4］陳火旺，王戟，董威.高可信軟件工程技術(shù)［J］.電子學報，2003，31(12A):1933-1938.

［5］AVIZIIENIS A，LAPRIE J C，RONDELL B.Foundational concepts of computer system dependability［C］//LARP/IEEE-RAS Workshop on Robot Dependability of Technological Challenge of Dependable Robots Environment.Washington，DC:IEEE Computer Society，2001:21-22.

［6］LAPRIE J C.Dependability computing:concepts，limits，challenge［C］//Proceeding of the 25th IEEE International Symposium on Fault-Tolerant Computing.Washington，DC:IEEE Computer Society，1995:42-54.

［7］CAVANO J P.Toward high confidence software［J］.IEEE Transactions on Software Engineering，1985，11(12):1449-1455.

［8］CORTELLESSA V，Di MARCO P，INVERARDI P.Software performance model driven architecture［C］//Proceedings of the ACM Symposium on Applied Computing.New York，ACM，2006:1218-1223.

［9］梅宏，申峻嶸.軟件體系結(jié)構(gòu)研究進展［J］.軟件學報，2006，17(6):1257-1275.

［10］REUSSNER R H，SCHMIDT H W，POERNOMO I H.Reliability prediction for component-based software architectures［J］.The Journal of Systems and Software，2003，66(3):241-252.

［11］蔣屹新，林闖，曲揚，等.基于Petri網(wǎng)的模型檢測研究［J］.軟件學報，2004，15(9):1265-1276.

［12］FENTON N E，PFLEEGER S L.Software metrics:a rigorous＆practical approach［M］.Beijing:Tsinghua Press，2003:250.

［13］LITTLEWOOD B，POPOV P T，STRIGINI L，et al.Modeling the effects of combining diverse software fault detection techniques［J］.IEEE Transaction on software engineering，2000，26(12):1157-1167.

［14］LORENZOLI D，MARIANI L，PEZZ`E M.Towards self-protecting enterprise applications［C］//Proceedings of the The 18th IEEE International Symposium on Software Reliability.Washington，DC:IEEE Computer Society，2007:39-48.

［15］戰(zhàn)德臣，馮錦丹，聶蘭順，等.一種可互操作可配置可執(zhí)行的模型驅(qū)動體系結(jié)構(gòu)［J］.電子學報，2008，36(12A):120-127.