| 摘要 | 第1-5页 |
| Abstract | 第5-9页 |
| 第一章 引言 | 第9-13页 |
| ·课题背景 | 第9-10页 |
| ·系统可信性 | 第10-12页 |
| ·论文章节安排 | 第12-13页 |
| 第二章 防危核原理 | 第13-22页 |
| ·安全核 | 第13-15页 |
| ·引用监控器 | 第13-14页 |
| ·安全核 | 第14-15页 |
| ·防危核 | 第15-16页 |
| ·防危核的特性 | 第16-17页 |
| ·防危核与安全核的比较 | 第17-19页 |
| ·防危核和安全核的相同点 | 第17-18页 |
| ·防危核和安全核的不同点 | 第18-19页 |
| ·Kevin的防危核实现方案 | 第19-20页 |
| ·防危壳(safety shell) | 第20-22页 |
| 第三章 开放实现和反射 | 第22-33页 |
| ·从黑盒到开放实现 | 第22-23页 |
| ·黑盒抽象 | 第22页 |
| ·映射二难性 | 第22-23页 |
| ·开放实现 | 第23-24页 |
| ·开放实现的设计原则 | 第24-26页 |
| ·分离 | 第24-25页 |
| ·范围控制: | 第25页 |
| ·概念分离: | 第25页 |
| ·分层原则: | 第25-26页 |
| ·开放实现的接口类型 | 第26页 |
| ·开放、重用和可移植性 | 第26-27页 |
| ·开放实现的应用 | 第27-28页 |
| ·反射的基本概念 | 第28-29页 |
| ·开放实现和反射 | 第28页 |
| ·反射的定义 | 第28-29页 |
| ·反射的特性 | 第29-30页 |
| ·透明性 | 第29页 |
| ·关注分离 | 第29页 |
| ·可见性 | 第29页 |
| ·反射粒度 | 第29-30页 |
| ·反射的分类 | 第30-31页 |
| ·结构反射和行为反射 | 第30页 |
| ·过程性反射和说明性反射 | 第30-31页 |
| ·反射的优势 | 第31-33页 |
| ·灵活性: | 第31页 |
| ·分离性 | 第31页 |
| ·重用性 | 第31-33页 |
| 第四章 反射式防危核 | 第33-50页 |
| ·实时系统中的多层反射塔 | 第33-39页 |
| ·多层反射塔的原理 | 第33-35页 |
| ·分层反射塔的伪代码实现 | 第35-38页 |
| ·分层反射塔的优势和缺陷 | 第38-39页 |
| ·防危核结构分析 | 第39-48页 |
| ·防危元层和防危核 | 第39页 |
| ·通用性 | 第39-41页 |
| ·防危核结构分析 | 第41-46页 |
| ·内部分层防危核的具体实现 | 第46-47页 |
| ·关于防危核结构的性能问题 | 第47-48页 |
| ·小结 | 第48-50页 |
| 第五章 防危核结构设计 | 第50-79页 |
| ·需求分析 | 第50-51页 |
| ·总体结构分析 | 第51-52页 |
| ·防危代理 | 第52-58页 |
| ·防危核代理方案分析 | 第53-55页 |
| ·防危设备函数表 | 第55-57页 |
| ·防危挂钩函数 | 第57页 |
| ·防危代理主要函数接口 | 第57-58页 |
| ·防危验证模块 | 第58-76页 |
| ·防危验证过程分析 | 第59页 |
| ·防危策略缓存模块设计 | 第59-68页 |
| ·防危策略数据库的验证和管理 | 第68-75页 |
| ·防危核的初始化过程safetykernel_init | 第75-76页 |
| ·防危策略数据文件 | 第76-77页 |
| ·设备状态监视模块 | 第77-78页 |
| ·小结 | 第78-79页 |
| 第六章 防危核模型测试 | 第79-92页 |
| ·交通灯原型 | 第79-81页 |
| ·交通灯原型的有限状态机图 | 第79-81页 |
| ·十字交通灯原型的防危设备访问控制表: | 第81页 |
| ·核反应堆安全控制原型 | 第81-87页 |
| ·核反应堆控制原理 | 第81-82页 |
| ·核反应堆状态分析: | 第82-83页 |
| ·核反应堆操作命令分析 | 第83-84页 |
| ·安全控制棒有限状态机图 | 第84-87页 |
| ·测试 | 第87-91页 |
| ·硬件环境 | 第87-88页 |
| ·软件环境 | 第88页 |
| ·测试数据及分析 | 第88-91页 |
| ·总结 | 第91-92页 |
| 第七章 结束语 | 第92-94页 |
| 参考文献 | 第94-98页 |
| 致谢 | 第98-99页 |