使用正式的方法对复杂的空中交通管制系统

文摘

我们建议一般正式的建模和验证的空中交通管制(ATC)系统。本研究是基于国际民用航空组织(ICAO),联邦航空管理局(FAA),国家航空和宇宙航行局(NASA)标准和建议。它提供了一个复杂的救助制度,有助于可视化自动缺陷检测飞机和礼物。在这样一个关键的安全系统,使用健壮的正式方法,保证缺陷没有高度要求。因此,该研究表明离散转换系统基于抽象的形式主义和细化证明。这些保证一致性的系统通过不变量保存和死锁的自由。因此,所有的不变量持有永久错误没有验证提供一个方便的解决方案。接下去说僵局自由保证连续运行一个给定的系统。这个规范和建模技术使系统纠正施工。

1。介绍

尽管技术和科学的进步,空中交通管理仍然是一个最复杂的安全问题至关重要。它是由人类和技术系统之间的交互(保证1]。许多技术系统建立和发展协助控制器成功地完成他们的工作。虽然,这些系统的几个操作很好,是不可能的,以确保他们不会在某些时刻停止工作。这个缺点可能是由于一些设计错误。为了克服这些错误,本文发展援助的一个正式的模型为空中交通管理系统。根据ICAO、联邦航空局和NASA的标准和建议,这个贡献的目的是提供有用的在未来的系统结构模型和逆向工程。

然而,一些工作需要不同的任务;其中一些感兴趣的“起飞”2,3),而其他感兴趣的“着陆”飞机(4]。这项研究可能宣称这是一个正式的ATC系统的建模,同时考虑这两个任务。,然而,不合理的分离“着陆”“起飞”,因为这两个操作发生在相同的共享同一个跑道的机场虽然不同的飞机可能参与其中。

本文指定系统的功能性和非功能性需求。功能需求描述系统的行为,而非功能性需求指定其他一些属性如安全性和安全性。这些要求正式使用事件b,这是一个正式的软件和系统设计方法。事件b方法是基于细化和数学语言,这正是激励我们选择这个方法。

在开发过程中,我们建立证据证明义务,以确保每个模型改进前后的正确性。不变量保存和死锁的自由是最重要的证据的义务。这两种的组合证明提供了建设“正确”系统。

剩下的论文结构如下。部分2提供一些背景知识在正式方法和验证工具,我们使用。本文的主要内容3描述我们的方法开发空中交通控制系统以及三种模式。第一个包括空中交通管理的本质。第二个礼物系统如何安排起飞和降落的飞机。最后一个模型引入了非功能需求。部分4礼物证明罗丹生成的数据平台。部分5总结了纸。

2。背景

2.1。相关的工作

避免不必要的延误的航班在机场出发和到达飞机的过程中,Yousaf et al。3]提出一个系统的建模过程使用一个“VDM + +”方法。旨在确保安全性和准确性,该方法识别和预测错误在第一层次和阶段的系统设计。它同样提供了极有价值的解决方案的问题,提高软件的质量的信心。然而,“VDM + +”是不够的,充分分析,所以它被认为是一个抽象的过程,其真正的具体化是不可能的。

类似于过去的方法,征服者(2)结合VDM-SL和图论建立一个正式规范的飞机起飞过程。这种基于模型的正式规范,跑道、飞机跑道,控制器是在静态模型的一部分提供的。描述起飞状态空间分析算法提供了定义在一个动态最优路径和可能的业务模型加速出发的过程。模型是由一系列的改进后,逐步开发方法。虽然这项工作提出了一个详细的规范的离职程序,它需要进一步调查实时管理,这个过程是一个主要因素。另一方面,Mery和辛格4]介绍的正式模型飞机着陆系统。这项工作被认为是作为技术和工具的基准致力于着陆系统的行为属性的验证。然而,它忽略了着陆的过程必须考虑,以确保系统的安全并将更多的注意力放在机械系统。

在这个领域最重要的工作是英国国家空中交通服务的iFACTS系统[5]。这也是一个系统使用correctness-by-construction范例。系统由一个正式的规范使用火花Z技术。在日常使用多年,管理英国领空,操作没有错误。本文使用的方法是开发版的Z规格说明语言提供了更多的可能性。

在这项工作中,我们的目标是提供一个正式的ATC系统的建模和验证,考虑到飞机起飞和着陆。这个模型可以确保两个程序之间的一致性;然而,我们看到,形式化起飞和着陆另外忽略了一个事实,这些操作发生在同一机场和共享资源(跑道,机场空域,等等)。因此,他们必须一起被建模。

2.2。正式的方法

建模是一个过程表示一个实际系统的图示或数学方程。这是一个阶段之前建立一个系统,阐明了它的结构。建模还有助于学习和测试一些系统属性降低失败的风险。例如,如果我们正在构建一个无人驾驶汽车系统,理论上我们可以确保这两个汽车永远不会相撞。建模可以通过图示或数学方程。第一个是容易阅读,可以更好地可视化体系结构,这意味着它可以展示给客户。然而,它不是非常强大的验证错误,这是不准确的。另一方面,需要阅读和数学知识的数学表达不能证明大多数客户。也难以建立由于数学证明和准确性等困难。尽管如此,这是非常强大的探测错误和确保一个强有力的保证的bug。 Therefore, we use modeling based on mathematical equations called formal methods.

这些方法最初是为指定开发和验证软件和硬件系统的正确行为,已应用于许多系统开发领域,和许多成就了(6]。建模系统使用一个正式的方法和证明系统需要数学知识的正确性和准确性。在某些情况下,它需要大量的时间来完全模型一个复杂的系统。然而,强烈的bug的缺席很重要尤其是在保证安全性至关重要的系统,如空中交通管理。

有各种各样的形式方法可用:(我)Hoare逻辑是一个正式的方法推理在计算机程序正确性的规范形式{Q} ({P}过程7]。(2)佩特里网是一个图形和数学建模工具适用于许多系统。它常被用来描述和分析信息处理系统,具有并发,异步的,分布式的,平行,不确定性和随机8]。(3)时间排序的语言规范(莲属植物)是一个正式的描述语言由国际标准组织(ISO)对开放系统的正式规范。莲属植物的系统通过指定时间交互关系建立系统的明显的行为(9]。(iv)Z语言是一种基于谓词的规范语言。不变量的规范和操作规范的谓词的形式(10]。(v)B方法(Z语言)的开发是一种软件开发方法基于抽象机符号用于计算机软件的发展(B语言)(11]。(vi)事件b是一个正式的软件和系统设计方法。证明这个方法是基于细化和义务,确保一个强有力的保证的缺陷没有(12]。

在事件b,系统开发模型的序列。这些模型是通过添加更多的细节在后续步骤中富集;这就是所谓的细化。换句话说,我们先从一团很抽象模型称为初始模型,然后,我们提炼得到更多具体的模型。这些模型是由上下文和机器。上下文模型的静态部分;他们提出了集,常数,和公理,而机器的动态模型的一部分。在机器中,变量描述系统的现状;这些状态是受制于不变量。不变量是必要的属性,必须保存在系统功能。 Status transitions are described by events, which are a set of actions. Each action changes the value of certain variable. Events may have some necessary conditions to be triggered; these conditions are called guards. Figure1在事件b说明了开发的过程。

为了确保系统的正确性,必须证明一些属性。这些证据被称为证据的义务。它们包括不变量保存,确保在系统功能永久不变量都服从了。他们还包括僵局自由确保系统永远不会在一个状态没有验证,这意味着不能触发事件。大多数这些证明都是自动完成的平台罗丹。罗丹是一个工具,它支持事件b形式化方法的应用。它提供了核心功能语法分析和proof-based事件b模型的验证(14]。罗丹在某些情况下,可能需要手动引导来证明一些属性。这是通过指示罗丹必须考虑的一些假设。这些假设可能被忽略的罗丹,因为他认为这是不需要所需的证据。在其他情况下,我们添加假说然后罗丹证明所需的财产;分开之后,我们证明增加的假设。

2.3。代码生成

尽管开发一个系统使用正式的方法揭示了未来的失败和改善安全,强烈希望能够翻译这个建模代码。大多数工作在这个意义上,如(15)提出了一个方法基于事件b模型生成Java代码。在[15),作者开发EB2J,一个软件工具,将事件b模型转换为Java代码可以用在我们的例子中开发一个proof-based ATC管理Java程序。图2说明了EB2J体系结构。

3所示。正式的开发

本节给出了建议的方法旨在开发空中交通控制系统基于(我)ICAO [16)提供战略目标有关安全、容量和效率、安全和便利,经济发展和环境保护;(2)联邦航空局(17- - - - - -19)已预定数量的空中交通手册、出版物、和订单;(3)美国国家航空和宇宙航行局(20.)标准和建议作为主要约束建模提供一个系统以最大的可行性。

这种发展设计逐步从一个抽象的模型,抓住交通管理和集成的本质在后续步骤中更多的细节。这个活动叫做细化技术。第一个细化介绍了调度方法在起飞和降落。说的调度方法分配优先使用先起飞(先来先得)和基于截止时间单调优先着陆。

此外,这种复杂的系统给了最高优先级等紧急情况下的医疗和恐怖主义的威胁。

该模型是基于一个跑道。然而,这种模式最大化一个跑道降落和起飞飞机的使用,同时保持期限尽可能多的(21]。

第二次细化介绍了安全属性,坚决避免问题,可能会导致严重的灾难。例如,最小分离着陆时间必须尊重为了保持飞机的空气动力稳定性(22]。

3.1。初始模型:着陆过程的抽象模型

在这个初始模型中,我们引入了ATC系统的本质和不同的组件考虑23]。第一个组件是跑道,根据国际民航组织(ICAO),土地上的矩形区域机场准备降落和起飞的飞机16]。跑道配有灯光来显示他们的地位;这些灯被称为跑道状态灯(RWSL)。RWSL系统是由美国联邦航空管理局(FAA)提高机务人员和车辆操作员态势感知。这些灯是嵌入在跑道和滑行道的路面和变红时不安全进入某种原因(17- - - - - -19]。

本文为ATC开发一个系统来管理飞机的交通领空附近的机场。因此,它只关注状态灯的跑道modelization空域交通管理(由于他们的关系22]。

第一个模型是由两部分组成:静态部分和动态(一个12]。静态部分(称为上下文)包含载波集,常数,和相关的公理,而动态部分(称为机器)包含变量,不变量和事件。上下文,我们引入载波集RW_STATUSES对应的可能状态跑道{可用,不可用}(axm1),至于RWL_STATUSES代表跑道灯光状态从}{,(axm2)。飞机集表示可能存在的所有可能的飞机(目前或过去甚至将来)使公理化是有限的(axm3)。

每架飞机的雷达范围内,一个重要的地位是相关联的提出和介绍来帮助区分飞机着陆控制器,起飞,进入机场,等待着陆间隙等。20.]。当飞机进入飞机附近,阻塞状态是分配给它。如果飞机要土地,它飞向伏尔区域(非常高频全向广播范围)合格着陆许可。在这个阶段,系统分配给飞机readyL状态,这意味着它已经准备好着陆。着陆后间隙,它是分配给着陆状态直到完成降落,乘客的离开;然后,它被认为是在TerminatedL地位。同样,一架飞机在跑道上,乘客的到来,被认为是准备起飞后和被分配给readyT状态。起飞后立即批准确认,它被认为是在起飞状态。最后,飞机离开了刑事和解并返回到阻塞状态,直到走出机场的雷达范围(20.,24,25]。这些状态表示为一组载波的元素被称为状态(axm5)。图3说明了这个过程,不同的状态(26]。

总结一下,第一个上下文是由五套(RW_STATUSES, RWL_STATUSES、飞机和状态),十个常量(可用,不可用,,,封锁,ReadyL,降落,TerminatedL, ReadyT,和当时),和四个公理(axm1, axm2、axm3 axm4)。这是表示为框所示1。

分区谓词枚举集是一个简单的方法。数学上,分区谓词定义如下:

动态部分(机器),我们介绍两个变量curr_RW_status curr_RWL_status指示,分别跑道,跑道灯的当前状态(然而,RW_STATUS和RWL_STATUS代表所有可能的状态)。这两个变量是由两个不变量inv1和inv2的手段。Inv1 RW_STATUS curr_RW_status定义为一个元素,这意味着curr_RW_status可能同样可用或不可用。同样,curr_RWL_status RWL_STATUS的一个元素。

为了确保交通安全的跑道,状态灯都打开跑道时不可用。然而,滑行道跑道在许多点相交,因此,车辆必须意识到跑道的使用。这些灯有助于确定在不安全的进入或穿越跑道。然而,联邦航空管理局确认了RWSL并不作为替代ATC的间隙,这意味着车辆不应进入跑道没有控制器间隙即使RWSL已经出去了16- - - - - -20.]。正式,这是建模通过球之间的含义和跑道状况(inv3)。建议的方法还介绍了飞机的一个子集被称为aircrafts_in_airport表示飞机在机场的集合(inv4)。

如前所述,系统将每架飞机的雷达范围内一个重要的地位。因此,一个变量的引入statusof与每架飞机的地位正式作为一个总函数从aircrafts_in_airport集飞机(inv5)。定义变量和不变量的初始模型框所示2。

经过定义所有变量和不变量的第一台机器,我们现在不同的机器状态的事务所描述的事件。首先,我们必须定义开始时发生了什么。为此,该方法定义了初始化事件对应于系统的初始状态。它假设最初的跑道,跑道灯都关掉,在机场没有飞机,没有飞机状态分配。此外,初始化事件应该没有任何保护,因为初始化必须始终是可能的。这个事件是形式化的框所示3。

除了初始化事件,八个事件介绍:Entering_Radar_Range, Entering_VOR, Start_Landing, Terminating_Landing, Takeoff_Preparing, Start_takingoff Terminating_takingoff, Airport_Departing。Entering_Radar_Range触发当飞机进入机场雷达的范围。一组进入飞机必须被添加到的飞机在机场(aircrafts_in_airport)和分配给阻塞状态。然而,在进行证明责任为不同的事件,发现一些警卫需要每个事件。Entering_Radar_Range事件,两个警卫需要补充道:首先确保进入飞机系统实际上是一个定义的飞机和已知的第二个守卫保证它不是aircrafts_in_airport集合的一个元素。同样,与飞机相关的Entering_VOR是事件进入刑事和解。这个事件分配条件下飞机状态准备aircrafts_in_airport集合的一个元素,在阻塞状态。此外,Start_Landing事件触发时飞机着陆许可。获得批准,它必须已经在甚高频(这意味着在就绪状态)和aircrafts_in_airport的一个元素。此外,必须现有跑道,跑道灯必须关闭。飞机着陆后,乘客的离职,Terminating_Landing事件触发结束指示飞机着陆过程分配TerminatedL状态;因此,释放跑道和关闭跑道的灯光16- - - - - -20.]。

Takeoff_Preparing事件触发时飞机准备起飞。这意味着飞机降落之前完成(在TerminatedL状况)。这个事件分配给飞机ReadyL状态。完成起飞的准备后,飞机会起飞间隙(17]。事件触发在这个阶段是Start_takingoff;这个事件分配跑道的飞机和打开灯光条件下,由另一个飞机跑道不保留16]。之后,飞机起飞和树叶终止伏尔回到第一个状态了。事件对应于这是Terminating_takingoff;这个事件有两个守卫:首先确保航空器aircrafts_in_airport集合的一个元素,第二是它在当时的地位18,20.]。最终,Airport_Departing事件触发表明飞机离开雷达范围,因此从aircrafts_in_airport删除它。此外,飞机被删除的位置通过移除它从总statusof函数。该方法正式事件初始模型的盒子4- - - - - -9。

在这个初始模型,非常基本的循环在机场附近的过程建模。因此,大多数不变量只是打字不变量;然而,其他不变在接下来的改进将会呈现。

3.2。第一个改进:引入调度方法

第一个改进是更精确,包含更多的细节;然而,它不应该与初始模型。因此,一些证明建立一致性。

在这个细化,我们现在系统如何管理飞机起飞和着陆19,20.]。因此,我们需要定义一些额外的变量和不变量。第一个变量是最后期限的总功能aircrafts_in_airport将一些自然的数字。第二是一组飞机准备起飞ready_to_takeoff_aircrafts表示。我们还存在另一个变量指的是时刻,飞机成为土地的准备。最后,我们介绍一组对于需要紧急降落的飞机由于某些问题(盒子10)。

当前方法用于飞机起飞的顺序是先飞机起飞,他们已经准备好了16,19]。我们形式化首先通过引入一组飞机准备起飞和总函数返回每架飞机准备起飞的时刻,这些时刻与此同时飞机与readyL状态相关联。这样做是在takeoff_preparing事件除了增加飞机ready_to_takeoff_aircrafts集。一旦拥有这些飞机的数据,该系统采用先安排给起飞间隙通过警卫框所示11在start_takingoff事件。

第一个警卫要求没有其他飞机使用的跑道起飞(16]。第二个确保飞机会起飞间隙最小准备起飞的时刻(已准备好起飞)(17- - - - - -19]。最后,我们删除信息后飞机让它着陆间隙通过框所示的两个动作12。

类似于起飞过程中,飞机着陆的当前使用的方法是先22,27]。这个方法是非常基本的和简单的缓解它的实现。然而,飞机着陆速度较低可能会增加其他更快的等待时间的影响总降落时间。此外,先限制了灵活性,空中交通管制员采取行动在紧急情况下(20.,27,28]。因此,我们建议使用一种新的方法基于实时调度算法,截止时间单调(DM)在我们的案例中29日]。这种方法分配优先降落飞机的最短期限提供一个有效的方法尽可能地满足最后期限。然而,维护期限尊重并不总是可能的。在某些情况下,一些高优先级飞机降落时间的总和大于飞机较低优先级的最后期限。在这种情况下,我们有两个选择:第一是进行着陆,即使一些飞机不会尊重他们的截止日期(请注意,我们仍然优化期限尊重)25),二是防止飞机进入刑事和解和重定向到另一个跑道。这个选择是由控制器来决定,系统只会通知他。尽快完成这个通知飞机试图进入刑事和解;因此,警卫框所示13在Entering_VOR事件被添加。

对于每一个警卫,有两种情况:第一个是当没有请求紧急降落(紧急=∅,紧急请求紧急降落飞机的集合)(19]。在这种情况下,飞机进入刑事和解应该有一个最后期限大于或等于总和(函数)的平均降落时间(AVERAGE_LD函数)的飞机在机场有一个最后期限低于进入飞机的最后期限。函数和AVERAGE_LD形式化的第二环境如框所示14。

第二种情况是当飞机进入请求紧急降落飞机∈(紧急),紧急情况下如:航空失败,糟糕的气候、恐怖袭击、绑架、和可能影响乘客安全的威胁。根据DM着陆过程调度,紧急情况下具有最高的优先级,在第一次和甚高频与主管必须寻找一个未使用的跑道,飞机可以降落。在第二次中,那些拥有最低期限能够降落。这是正式的卫兵start_landing事件如框所示15。

最后,我们提出以下一组新的相关的飞机跑道,也就是说,的一个子集aircrafts_in_airport(发票5)。我们还引入一个发票6,抒发了curr_RW_status“不可用”当且仅当有一个飞机在当时或降落。等不变将确保没有意外会发生在跑道上。相关基本警卫必须添加开始着陆事件以确保系统还保留了这些不变量和一些操作的添加和删除飞机aircrafts_in_runway集(盒子16)。

3.3。第二个改进:对安全ATC的警报系统

在前面的模型,我们正式的系统的功能方面。在这里,预警系统的模型提供更多的安全的ATC (16- - - - - -20.]。然而,我们需要首先定义承运人组和常量框所示17。

在这种情况下,我们引入飞机品牌。这些品牌需要确定两个飞行器之间的最小间隔时间。此外,我们目前的位置作为一个笛卡儿积三个自然数集参考,分别对海拔、纬度和经度。最后,我们定义一个函数(Separation_Time)品牌将自然数形式化,两架飞机之间的分离时间强烈取决于最后飞机降落的品牌。这个需求是基于空气动力学的考虑:飞机产生大量的空气扰动时苍蝇。如果另一个飞机飞太近,它将失去空气动力稳定性16,24]。为了安全目的,两个飞行器之间的着陆时间应该总是大于分离时间Separation_Time定义的函数。每次登陆后,有两件事必须保存,以确保未来的安全着陆:前面着陆的时间和分离时间(16,19,20.,30.,31日]。这是正式的Terminating_landing事件框所示18。

这里,curr_t事件参数表示当前时间将被保存使用last_landing_t变量和separation_t也是一个变量表示下着陆所需的分离时间。最后,brandof是一个总函数从飞机到品牌。为了保证分离时间,警卫框所示19必须插入start_landing事件。

随着分离时间,最小分离之间的距离必须保持飞机在飞行在机场空域(17,19,32]。如果两个飞机保持这个距离,将强烈避免碰撞以及尾流。最小距离是固定的,用Min_distance常数是在前面的背景下提出的。确保将保持最小距离,框所示的不变20.必须保留。

从位置×位置的距离函数定义自然数,它计算两个飞机之间的距离根据他们的位置取决于locationof函数的方法。这两个函数中定义两个不变量框所示21。

自控制器应该意识到实时系统状态,系统应该对每架飞机的运动。因此,我们引入了两个新的事件:Aircraft_moving_Alert_ON Aircraft_moving_Alert_OFF。这两个事件触发时飞机移动时,第一个触发器,当飞机的运动是不允许打开一个警告。因此,如果验证其警卫发生不允许的运动之一。另一方面,Aircraft_moving_Alert_OFF事件触发时运动允许验证所有安全属性,打开如果关闭警报。这项工作的重点是最小距离属性作为证明安全属性(我们的示例16- - - - - -20.,33]。其他安全特性可以添加通过分离Aircraft_moving_Alert_ON事件不同的属性,这些属性的结合Aircraft_moving_Alert_OFF(盒子22和23)。

4所示。证明模型的正确性和结果

罗丹平台是用于证明模型的正确性14]。表1提出了生成的统计数据证明罗丹。

这个表措施证明生成的大小包括自动和手动的证明。请注意,有许多证据义务在第细化由于引入调度管理。为了保证这个调度过程的正确性,必须建立各种不变量。此外,我们的正式模型引入了管理功能如σ,最小值,最后期限,和平均降落时间。根据这份报告,我们得出这样的结论:罗丹推理验证能够建立91%的证据,这使得建模和证明的任务变得更加容易。自动和手动的组合证明确保这里开发的系统建设是正确的。

5。结论

我们将演示正式协助系统的建模和验证在机场空域空中交通管理。我们使用事件b形式化系统的功能性和非功能性需求,基于数学语言。

目前贡献处理系统作为一个序列的模型在连续的步骤,添加细化丰富最初的抽象模型为了达到一个更现实的模型。大多数模型的正确性证明由罗丹定理证明的方式自动执行平台,支持事件b的应用。ATC模型提出了基于单个跑道起飞和降落飞机,同时保持期限尽可能多。

连续细化等保持最小分离着陆时间为了保持飞机空气动力稳定性和紧急着陆场景集成。

我们已经开始用一个初始模型,抓住交通管理的本质和考虑不同元素。第一个细化介绍了调度方法在起飞和降落。在第二个细化,我们证明安全属性来避免系统故障。我们的模型被证明是正确的建设包括不变的保存和死锁的自由。

提出了基于工作过程中先起飞和着陆期间截止时间单调。这个系统也能够验证安全属性,必须保存在系统发生;这些属性是保证通过不变量和警卫。

因为环境、政治和地理限制,能力无法轻易增加新建机场和跑道。因此,我们的模型是基于一个跑道。

在未来的工作中,我们希望能够提高我们的模型考虑的几个在同一机场和跑道机场。此外,它是非常有用的把此方法与其他建模与仿真技术,如蒙特卡罗在[1),高度提高了系统的可行性。此外,我们的目标是应用标准化等QoS (34]和RM-ODP [35空中交通管理领域的。

缩写

空中交通管制:	空中交通控制系统
ICAO:	国际民航组织
联邦航空总局:	联邦航空管理局
美国国家航空航天局(NASA):	国家航空和宇宙航行局
先:	先来先得
刑事和解:	非常高频的全向广播范围
糖尿病:	截止时间单调
QoS:	的服务质量
RM-ODP:	开放分布式处理的参考模型。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突有关的出版。

作者的贡献

Abdessamad Jarrar和优素福Balouki在收集信息,写作,建模和评估。

确认

本研究工作是在计算机的支持下,成像和建模的复杂系统实验室,Settat,摩洛哥。

引用

1. s Bouarfa h·a·布鲁姆r·柯伦和m . h . Everdij“基于主体建模与仿真的紧急航空运输行为,”复杂自适应系统建模,1卷,不。1,p。2013。视图:出版商的网站|谷歌学术搜索
2. n Ahmad征服者”,正式规范使用VDM-SL起飞和分析过程,”复杂自适应系统建模,4卷,不。1,2016。视图:出版商的网站|谷歌学术搜索
3. 美国Yousaf: Ahmad征服者,s . a .汗”正式离职过程分析空中交通控制系统,”2010年第二届国际软件技术和工程会议(ICSTE),卷2,圣胡安,公关,美国,2010年10月。视图:出版商的网站|谷歌学术搜索
4. d Mery和n·k·辛格在事件b飞机着陆系统建模,”学报》国际会议上抽象状态机,合金,B, TLA, VDM,和Z: ABZ 2014:起落架的案例研究图卢兹,页154 - 159年,法国,2016年。视图:谷歌学术搜索
5. 2017年iFACTS-air交通管理系统,https://www.adacore.com/customers/uks-next-generation-atc-system。
6. 问:张、黄z和j .谢“使用SysML和事件b,分布式系统模型”学报机器学习和智能通信国际会议(2017年MLICOM)威海,页326 - 336年,中国,2018年8月。视图:谷歌学术搜索
7. t . Chajed h·陈,a . Chipala m·弗兰斯Kaashoek n . Zeldovich d·齐格勒,“证明文件系统使用崩溃hoare逻辑。”ACM的通信,60卷,不。4、75 - 84年,2017页。视图:出版商的网站|谷歌学术搜索
8. 张,y马、c·孟和h .王形式验证量子通信协议使用Petri网美国纽约伊萨卡康奈尔大学图书馆,,2017年,arXiv预印本arXiv: 1704.07031。
9. m·阿什拉夫和w . Aljedaibi”ATAM-based架构评估使用忘忧草正式的方法,”国际信息技术和计算机科学杂志》上,9卷,不。3、10 - 18,2017页。视图:出版商的网站|谷歌学术搜索
10. s . Jaidka美国李维斯,j·鲍文,“造型关键安全设备:有色佩特里网和Z,”学报ACM SIGCHI工程研讨会上交互式计算机系统(启德的17)美国宾夕法尼亚州,匹兹堡,2017年7月。视图:谷歌学术搜索
11. t . s .黄平君h .桩d .盆地和j·r·阿比尔”发展中拓扑发现事件b。”科学的计算机编程,卷74,不。11 - 12,879 - 899年,2009页。视图:出版商的网站|谷歌学术搜索
12. J.-R。阿比尔,建模事件b:系统和软件工程,剑桥大学出版社,纽约,纽约,美国,2010年。
13. a . Jarrar和y Balouki”,正式理由空中交通控制系统使用事件b方法,”程序的计算科学及其应用国际会议施普林格,页241 - 252年,墨尔本,澳大利亚,2018年7月。视图:谷歌学术搜索
14. c·罗丹,m . Jastram和m·巴特勒用户手册、部署项目,枫丹白露,法国,2011年。
15. d . Mery和n·k·辛格EB2J:从事件b到Java代码生成”学报SBMF-Brazilian研讨会上正式的方法圣保罗,巴西,2011年。视图:谷歌学术搜索
16. 焦点“ICAO的战略目标”,2018年,https://www.icao.int/Pages/default.aspx。视图:谷歌学术搜索
17. 简报faa & NTSB的“通缉”的建议,2010年,https://www.faa.gov/news/fact_sheets/news_story.cfm?newsId=11186。
18. 交通部联邦航空管理局、航空信息发布,美利坚合众国,24日版,修正案2017。
19. j·s·邓肯,飞机飞行手册交通部联邦航空局飞行标准服务,联邦航空管理局,华盛顿特区,美国,2016年,联邦航空局- h - 8083 - 38。
20. NASA空中交通管理示范就住在夏洛特,2017年,https://www.nasa.gov/aero/nasa-air-traffic-management-demo-goes-live。
21. 和n (merrill Lynch), j·达夫罗斯•莱格罗斯指出:“形式验证的见面会上,冲突解决算法,”美国第36 IEEE会议决定和控制圣地亚哥,页1829 - 1834,美国1997年12月。视图:出版商的网站|谷歌学术搜索
22. h . Pinol和j·e·比斯利散射和生态算法搜索飞机着陆问题,“欧洲运筹学杂志》上,卷171,不。2、439 - 462年,2006页。视图:出版商的网站|谷歌学术搜索
23. c·汤姆林、g·j·帕帕斯和美国Sastry“冲突解决空中交通管理:一个混合动力系统的研究,“IEEE自动控制,43卷,不。4、509 - 521年,1998页。视图:出版商的网站|谷歌学术搜索
24. s . p . Yu x·本·曹,j .张“实时调度方法,基于细胞自动化飞机着陆调度问题,“应用软计算,11卷,不。4、3485 - 3493年,2011页。视图:出版商的网站|谷歌学术搜索
25. w·苏和j·r·阿比尔”飞机起落架系统:与事件b方法建模的工业系统,”国际期刊《技术转让的软件工具,19卷,不。2、141 - 166年,2017页。视图:出版商的网站|谷歌学术搜索
26. 美国罗和g . Yu”航空公司安排摄动问题:起飞和降落地面延误程序与nonsplitable资源,”运筹学在航空业施普林格,页404 - 432年,波士顿,MA,美国,1998。视图:谷歌学术搜索
27. g . l . Vairaktarakis和t . Aydinliyim基准安排分包操作:分散低效,源于竞争,第一量来检测处理,”决策科学,48卷,不。4、657 - 690年,2017页。视图:出版商的网站|谷歌学术搜索
28. c . v .施密特a . Heimbucher a . Bernadou和j·海因策,“先到先招待:刚刚兴起女王垄断繁殖蚁Cardiocondyla”argyrotricha”、“动物行为学杂志,35卷,不。1,-,2017页。视图:出版商的网站|谷歌学术搜索
29. a . Jarrar“建模飞机着陆调度事件B,”国际会议信息技术和通信系统施普林格,页127 - 142年,柏林,德国,2017年。视图:谷歌学术搜索
30. 诉Carreno和c·穆尼奥斯,“安全验证的小型飞机运输系统操作的概念,”张仁第五航空学报》、技术集成和业务会议(比例)阿灵顿,弗吉尼亚州,美国,2005年。视图:谷歌学术搜索
31. 美国Umeno n (merrill Lynch),“飞机着陆安全验证协议:细化的方法,”学报》国际研讨会在混合动力系统:计算和控制施普林格,页557 - 572年,费城,宾夕法尼亚州,美国,2007年。视图:谷歌学术搜索
32. A . Narkawicz和c·穆尼奥斯”正式验证冲突检测算法,多项式轨迹,”张仁学报Infotech@Aerospace美国佛罗里达州,p。0795年,基,2015年1月。视图:谷歌学术搜索
33. a . Platzer和e·m·克拉克”形式验证曲线飞行的避碰行动:一个案例研究”学报》国际研讨会正式的方法施普林格,页547 - 562年,牛津大学,英国,2009年。视图:谷歌学术搜索
34. a . Jarrar y Balouki, t . Gadi”正式规范的QoS谈判在ODP系统中,“国际电气和计算机工程杂志》上,7卷,不。4 p。2045年,2017年。视图:出版商的网站|谷歌学术搜索
35. h·哈吉y Balouki、m . Bouhdadi和s . El哈吉”使用事件B指定QoS在ODP企业语言,”学报工作会议在虚拟企业施普林格,页478 - 485年,法国,2010年10月。视图:谷歌学术搜索

版权

版权©2018 Abdessamad Jarrar和优素福Balouki。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。