当前位置:
X-MOL 学术
›
Form. Methods Syst. Des.
›
论文详情
Our official English website, www.x-mol.net, welcomes your feedback! (Note: you will need to create a separate account there.)
Shield synthesis
Formal Methods in System Design ( IF 0.8 ) Pub Date : 2017-09-25 , DOI: 10.1007/s10703-017-0276-9 Bettina Könighofer 1 , Mohammed Alshiekh 2 , Roderick Bloem 1 , Laura Humphrey 3 , Robert Könighofer 1 , Ufuk Topcu 2 , Chao Wang 4
Formal Methods in System Design ( IF 0.8 ) Pub Date : 2017-09-25 , DOI: 10.1007/s10703-017-0276-9 Bettina Könighofer 1 , Mohammed Alshiekh 2 , Roderick Bloem 1 , Laura Humphrey 3 , Robert Könighofer 1 , Ufuk Topcu 2 , Chao Wang 4
Affiliation
Shield synthesis is an approach to enforce safety properties at runtime. A shield monitors the system and corrects any erroneous output values instantaneously. The shield deviates from the given outputs as little as it can and recovers to hand back control to the system as soon as possible. In the first part of this paper, we consider shield synthesis for reactive hardware systems. First, we define a general framework for solving the shield synthesis problem. Second, we discuss two concrete shield synthesis methods that automatically construct shields from a set of safety properties: (1) k-stabilizing shields, which guarantee recovery in a finite time. (2) Admissible shields, which attempt to work with the system to recover as soon as possible. Next, we discuss an extension of k-stabilizing and admissible shields, where erroneous output values of the reactive system are corrected while liveness properties of the system are preserved. Finally, we give experimental results for both synthesis methods. In the second part of the paper, we consider shielding a human operator instead of shielding a reactive system: the outputs to be corrected are not initiated by a system but by a human operator who works with an autonomous system. The challenge here lies in giving simple and intuitive explanations to the human for any interferences of the shield. We present results involving mission planning for unmanned aerial vehicles.
中文翻译:
护盾合成
屏蔽综合是一种在运行时强制执行安全属性的方法。屏蔽监控系统并立即纠正任何错误的输出值。屏蔽尽可能少地偏离给定的输出,并尽快恢复以将控制权交还给系统。在本文的第一部分,我们考虑了反应式硬件系统的屏蔽综合。首先,我们定义了一个解决屏蔽综合问题的通用框架。其次,我们讨论了两种具体的屏蔽合成方法,它们可以根据一组安全属性自动构建屏蔽:(1)k 稳定屏蔽,保证在有限时间内恢复。(2) 可接受的盾牌,它试图与系统一起尽快恢复。接下来,我们讨论 k 稳定和可容许屏蔽的扩展,其中反应系统的错误输出值得到纠正,同时系统的活性属性得以保留。最后,我们给出了两种合成方法的实验结果。在论文的第二部分,我们考虑屏蔽人工操作员而不是屏蔽反应系统:要校正的输出不是由系统发起的,而是由与自主系统一起工作的人工操作员发起的。这里的挑战在于为人类对盾牌的任何干扰提供简单直观的解释。我们展示了涉及无人机任务规划的结果。我们考虑屏蔽人类操作员而不是屏蔽反应系统:要纠正的输出不是由系统发起的,而是由与自主系统一起工作的人类操作员发起的。这里的挑战在于为人类对盾牌的任何干扰提供简单直观的解释。我们展示了涉及无人机任务规划的结果。我们考虑屏蔽人类操作员而不是屏蔽反应系统:要校正的输出不是由系统发起的,而是由与自主系统一起工作的人类操作员发起的。这里的挑战在于为人类对盾牌的任何干扰提供简单直观的解释。我们展示了涉及无人机任务规划的结果。
更新日期:2017-09-25
中文翻译:
护盾合成
屏蔽综合是一种在运行时强制执行安全属性的方法。屏蔽监控系统并立即纠正任何错误的输出值。屏蔽尽可能少地偏离给定的输出,并尽快恢复以将控制权交还给系统。在本文的第一部分,我们考虑了反应式硬件系统的屏蔽综合。首先,我们定义了一个解决屏蔽综合问题的通用框架。其次,我们讨论了两种具体的屏蔽合成方法,它们可以根据一组安全属性自动构建屏蔽:(1)k 稳定屏蔽,保证在有限时间内恢复。(2) 可接受的盾牌,它试图与系统一起尽快恢复。接下来,我们讨论 k 稳定和可容许屏蔽的扩展,其中反应系统的错误输出值得到纠正,同时系统的活性属性得以保留。最后,我们给出了两种合成方法的实验结果。在论文的第二部分,我们考虑屏蔽人工操作员而不是屏蔽反应系统:要校正的输出不是由系统发起的,而是由与自主系统一起工作的人工操作员发起的。这里的挑战在于为人类对盾牌的任何干扰提供简单直观的解释。我们展示了涉及无人机任务规划的结果。我们考虑屏蔽人类操作员而不是屏蔽反应系统:要纠正的输出不是由系统发起的,而是由与自主系统一起工作的人类操作员发起的。这里的挑战在于为人类对盾牌的任何干扰提供简单直观的解释。我们展示了涉及无人机任务规划的结果。我们考虑屏蔽人类操作员而不是屏蔽反应系统:要校正的输出不是由系统发起的,而是由与自主系统一起工作的人类操作员发起的。这里的挑战在于为人类对盾牌的任何干扰提供简单直观的解释。我们展示了涉及无人机任务规划的结果。
京公网安备 11010802027423号