專(zhuān)利名稱(chēng):用于操作層功能和退化故障分析的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在機(jī)動(dòng)車(chē)或其他復(fù)雜系統(tǒng)中提供容錯(cuò)性分析的方法和裝置。
背景技術(shù):
隨著電子設(shè)備和軟件作為機(jī)動(dòng)車(chē)和其他復(fù)雜系統(tǒng)內(nèi)構(gòu)建模塊的推廣,容錯(cuò)性已經(jīng)逐漸成為基本的設(shè)計(jì)要求。因此,希望研發(fā)出即使在系統(tǒng)層的電子、通信和/或處理構(gòu)件中存在誤差時(shí)仍能保持其功能性的系統(tǒng)。某些電子構(gòu)件中的故障可能會(huì)造成系統(tǒng)層的狀態(tài)改變。例如,相對(duì)于有缺陷的機(jī)械式駕駛桿,適合用于在線(xiàn)控轉(zhuǎn)向的機(jī)動(dòng)車(chē)系統(tǒng)中提供電子信號(hào)的微處理器內(nèi)的固定故障狀態(tài)可能會(huì)在輸出的轉(zhuǎn)向扭矩中造成相對(duì)較大的改變。另外, 機(jī)動(dòng)車(chē)系統(tǒng)必須遵循嚴(yán)格的工業(yè)要求,包括特定的容錯(cuò)性要求。系統(tǒng)內(nèi)的電子構(gòu)件故障可能會(huì)由于構(gòu)件缺陷以及與壽命相關(guān)的退化而出現(xiàn)。芯片、傳感器、電源以及機(jī)電式致動(dòng)器可能會(huì)永久或短暫地失靈或者簡(jiǎn)單地隨著時(shí)間而變得越來(lái)越不準(zhǔn)確。另外,硬件和軟件錯(cuò)誤可能會(huì)造成短暫和永久的故障,這些故障自身可能會(huì)表現(xiàn)為系統(tǒng)層控制器的輸出中的誤差,并且最終表現(xiàn)為設(shè)置在系統(tǒng)內(nèi)的任意致動(dòng)器功能中的誤差。各個(gè)構(gòu)件例如傳感器、軟件模塊和硬件模塊可能會(huì)引入范圍從信號(hào)軌跡漂移到錯(cuò)誤瞬態(tài)輸出的偶發(fā)質(zhì)量故障,這可能會(huì)造成信號(hào)精度的損失。
發(fā)明內(nèi)容
因此,本文中提供了一種基于計(jì)算機(jī)或主機(jī)的方法和裝置,能夠在機(jī)動(dòng)車(chē)系統(tǒng)或其他相對(duì)復(fù)雜的系統(tǒng)中進(jìn)行容錯(cuò)性(FT)分析,在設(shè)計(jì)的早期階段例如在分析的操作層和/ 或設(shè)計(jì)/建模階段就這樣做。整體框架提供邏輯以及質(zhì)量分析,并且也允許進(jìn)行未來(lái)的可靠性分析擴(kuò)展。除了分析機(jī)動(dòng)車(chē)系統(tǒng)的容錯(cuò)性以外,本發(fā)明還如下所述對(duì)各種容錯(cuò)機(jī)動(dòng)車(chē)系統(tǒng)設(shè)計(jì)選擇進(jìn)行“what if ”或假設(shè)分析。因此,本發(fā)明的方法和裝置能夠檢測(cè)質(zhì)量故障, 這樣相應(yīng)地能夠有助于構(gòu)建對(duì)硬件和軟件構(gòu)件中的精度損失都有恢復(fù)性的系統(tǒng)。提出的方法包括兩種分析方法或步驟,一種是靜態(tài)的,而另一種是基于仿真的,結(jié)合使用這兩種方法以評(píng)估指定系統(tǒng)的容錯(cuò)性。本發(fā)明中的FT分析方法的優(yōu)點(diǎn)在于所有操作都是通過(guò)應(yīng)用程序的操作或操作層狀態(tài)模型例如使用Simulink、MATRIXx或其他建模軟件來(lái)實(shí)現(xiàn)的,因此相對(duì)于常規(guī)方法就潛在地降低了分析成本。具體地,一種用于分析系統(tǒng)FT能力的方法包括在可由主機(jī)存取的實(shí)體介質(zhì)上記錄定義了功能規(guī)約的FT要求集合;利用主機(jī)來(lái)生成系統(tǒng)模型;將系統(tǒng)中構(gòu)件集合的狀態(tài)自動(dòng)提取或特征化為離散的查找表(LUT),如由模型所表示的;并且利用主機(jī)通過(guò)離散的LUT 和功能規(guī)約來(lái)處理或分析系統(tǒng)的FT能力。分析系統(tǒng)的FT能力包括分析系統(tǒng)邏輯故障和質(zhì)量故障的預(yù)定集合。本文中還提供了一種裝置用于分析系統(tǒng)的FT能力。該裝置包括主機(jī),該主機(jī)裝有實(shí)體介質(zhì)以及用于執(zhí)行上述方法的算法。方案1 一種用于分析系統(tǒng)容錯(cuò)(FT)能力的方法,所述方法包括在可由主機(jī)存取的實(shí)體介質(zhì)上記錄定義了用于系統(tǒng)的功能規(guī)約的標(biāo)準(zhǔn)的FT要求集
合;
利用主機(jī)來(lái)生成系統(tǒng)的操作層模型;
將系統(tǒng)中構(gòu)件集合的狀態(tài)自動(dòng)地特征化為離散的查找表(LUT),如由模型所表示的;
并且
利用主機(jī)通過(guò)離散的查找表和功能規(guī)約來(lái)分析系統(tǒng)的FT能力; 其中分析系統(tǒng)的FT能力包括分析系統(tǒng)的邏輯故障和質(zhì)量故障的預(yù)定集合。方案2 如方案1所述的方法,進(jìn)一步包括 將用于系統(tǒng)的可選設(shè)計(jì)場(chǎng)景記錄在實(shí)體介質(zhì)上;以及通過(guò)主機(jī)利用查找表和功能規(guī)約來(lái)自動(dòng)分析可選設(shè)計(jì)場(chǎng)景。方案3 如方案1所述的方法,進(jìn)一步包括
作為第一組步驟,通過(guò)主機(jī)檢驗(yàn)輸入和功能規(guī)約中故障場(chǎng)景的所有可能的組合;以及作為第二組步驟,通過(guò)主機(jī)利用查找表來(lái)檢驗(yàn)系統(tǒng)在標(biāo)準(zhǔn)測(cè)試實(shí)例和故障場(chǎng)景集合下的FT狀態(tài)。方案4 如方案1所述的方法,進(jìn)一步包括 在第一組步驟期間確定違反FT要求的存在性;以及在第二模型中復(fù)制導(dǎo)致所述違反的系統(tǒng)狀態(tài)集合。方案5 如方案1所述的方法,進(jìn)一步包括 將構(gòu)件的特征化質(zhì)量狀態(tài)存儲(chǔ)在查找表中;以及利用主機(jī)處理查找表以確定系統(tǒng)的質(zhì)量狀態(tài)。方案6 如方案1所述的方法,進(jìn)一步包括
使用基于查找表的仿真方法以及基于離散查找表的靜態(tài)分析方法中的至少一種來(lái)檢測(cè)反例;以及
將反例自動(dòng)復(fù)制在FT規(guī)約中;
其中反例描述了構(gòu)件集合的不同構(gòu)件中的故障值集合,其中所述故障值造成系統(tǒng)以違反FT要求這樣的方式來(lái)表現(xiàn)。方案7 如方案6所述的方法,包括使用基于查找表的靜態(tài)分析方法,其中使用基于查找表的靜態(tài)分析方法包括使用以下方法中的至少一種模型校驗(yàn)、布爾可滿(mǎn)足性求解、 可滿(mǎn)足性模理論求解以及搜索算法。方案8 如方案1所述的方法,進(jìn)一步包括將每一種測(cè)試實(shí)例、故障場(chǎng)景以及容錯(cuò)要求規(guī)約都輸入到主機(jī)內(nèi),其中
故障場(chǎng)景是形式為位置、故障類(lèi)型和測(cè)量值的三元組集合; 位置表示受到故障影響的信號(hào);以及故障類(lèi)型和測(cè)量值分別表示誤差的類(lèi)型和測(cè)量值。方案9 如方案1所述的方法,其中所述模型包括FT選擇模塊,所述方法進(jìn)一步包括利用FT選擇模塊來(lái)檢測(cè)和選擇無(wú)故障輸入并將無(wú)故障輸入傳送至FT選擇模塊的輸出端。方案10 —種適合用于分析系統(tǒng)容錯(cuò)(FT)能力的裝置,所述裝置包括 主機(jī);以及可由主機(jī)存取的實(shí)體介質(zhì),并且在實(shí)體介質(zhì)上記錄定義了容錯(cuò)(FT)要求的形式化集合的功能規(guī)約;
其中主機(jī)適合用于 利用主機(jī)生成系統(tǒng)的操作層模型;
將模型中構(gòu)件集合的狀態(tài)特征化為離散的查找表(LUT);以及利用離散的查找表和功能規(guī)約來(lái)分析系統(tǒng)的FT能力,其中分析系統(tǒng)的FT能力包括分析系統(tǒng)的邏輯故障和質(zhì)量故障的預(yù)定集合。方案11 如方案10所述的裝置,進(jìn)一步包括
記錄在實(shí)體介質(zhì)上并且可由主機(jī)存取的可選設(shè)計(jì)場(chǎng)景,其中主機(jī)適合用于利用查找表和功能規(guī)約來(lái)自動(dòng)分析可選場(chǎng)景。方案12 如方案10所述的裝置,其中所述主機(jī)被設(shè)置用于
作為第一組步驟,檢驗(yàn)輸入和功能規(guī)約中故障場(chǎng)景的所有可能的組合;以及作為第二組步驟,利用查找表來(lái)檢驗(yàn)系統(tǒng)在標(biāo)準(zhǔn)測(cè)試實(shí)例和故障場(chǎng)景集合下的FT狀態(tài)。方案13 如方案10所述的裝置,其中所述主機(jī)被設(shè)置用于 在第一組步驟期間確定違反FT要求的存在性;以及
在原生的操作層模型中復(fù)制導(dǎo)致所述違反的系統(tǒng)狀態(tài)集合。方案14 如方案10所述的裝置,其中所述主機(jī)被設(shè)置用于 將系統(tǒng)中各個(gè)電子軟件和機(jī)械構(gòu)件的質(zhì)量狀態(tài)特征化;
將特征化的質(zhì)量狀態(tài)存儲(chǔ)在至少一個(gè)查找表中;以及處理存儲(chǔ)的信息以確定系統(tǒng)的質(zhì)量狀態(tài)。方案15 如方案10所述的裝置,其中所述主機(jī)被設(shè)置用于
使用基于查找表的仿真方法以及基于離散查找表的靜態(tài)分析方法中的至少一種來(lái)檢測(cè)反例;以及
將反例復(fù)制在操作層模型中;
其中反例描述了系統(tǒng)不同構(gòu)件中的故障值集合,所述故障值造成系統(tǒng)以違反FT要求這樣的方式來(lái)表現(xiàn)。方案16 如方案15所述的裝置,其中所述主機(jī)適合使用基于查找表的靜態(tài)分析方法,并且所述基于查找表的靜態(tài)分析方法包括以下方法中的至少一種模型校驗(yàn)、布爾可滿(mǎn)足性求解、可滿(mǎn)足性模理論求解以及搜索算法。方案17 如方案16所述的裝置,其中所述主機(jī)適用于將每一種測(cè)試實(shí)例、故障場(chǎng)景以及容錯(cuò)要求規(guī)約都記錄在實(shí)體介質(zhì)上,并且其中
故障場(chǎng)景是形式為位置、故障類(lèi)型和測(cè)量值的三元組集合; 位置表示受到故障影響的信號(hào);以及故障類(lèi)型和測(cè)量值分別表示誤差的類(lèi)型和測(cè)量值。本發(fā)明的上述特征和優(yōu)點(diǎn)以及其他的特征和優(yōu)點(diǎn)將根據(jù)以下結(jié)合附圖時(shí)對(duì)本發(fā)明最佳實(shí)施方式的詳細(xì)說(shuō)明而變得顯而易見(jiàn)。
圖1是可用于執(zhí)行機(jī)動(dòng)車(chē)或其他系統(tǒng)的容錯(cuò)性分析的操作層模型和主機(jī)的示意圖2A是可以通過(guò)本方法評(píng)估的第一種類(lèi)型信號(hào)誤差的曲線(xiàn)圖; 圖2B是可以通過(guò)本方法評(píng)估的第二種類(lèi)型信號(hào)誤差的曲線(xiàn)圖; 圖2C是可以通過(guò)本方法評(píng)估的第三種類(lèi)型信號(hào)誤差的曲線(xiàn)圖; 圖2D是可以通過(guò)本方法評(píng)估的第四種類(lèi)型信號(hào)誤差的曲線(xiàn)圖; 圖2E是可以通過(guò)本方法評(píng)估的第五種類(lèi)型信號(hào)誤差的曲線(xiàn)圖; 圖2F是可以通過(guò)本方法評(píng)估的第六種類(lèi)型信號(hào)誤差的曲線(xiàn)圖; 圖3是用于在信號(hào)中引入誤差的故障注入機(jī)構(gòu)的示意圖; 圖4是根據(jù)一個(gè)實(shí)施例的系統(tǒng)的基于質(zhì)量中心仿真的分析的示意圖; 圖5A是質(zhì)量中心的靜態(tài)分析框架中的第一步驟的示意圖; 圖5B是質(zhì)量中心的靜態(tài)分析框架中的第二步驟的示意圖; 圖5C是質(zhì)量中心的靜態(tài)分析框架中的第三步驟的示意圖; 圖6A是輸入信號(hào)相對(duì)于時(shí)間的曲線(xiàn)圖; 圖6B是輸出信號(hào)相對(duì)于時(shí)間的曲線(xiàn)圖; 圖6C是可用于本方法的查找表;以及
圖7是用于圖5A-5C中操作層模型的質(zhì)量分析的布爾電路的示意圖。
具體實(shí)施例方式參照附圖,其中相似的附圖標(biāo)記表示從圖1開(kāi)始的各視圖中相同或類(lèi)似的構(gòu)件, 操作層模型10可以利用主機(jī)15生成,其中可以通過(guò)主機(jī)15運(yùn)行指定系統(tǒng)的容錯(cuò)性(FT) 自動(dòng)電路分析。主機(jī)15包括其上記錄有FT規(guī)約20的實(shí)體介質(zhì)。利用主機(jī)15和本文中介紹的方法,就能夠?qū)C(jī)動(dòng)車(chē)和其他的復(fù)雜系統(tǒng)進(jìn)行FT分析。主機(jī)15可以被設(shè)置為數(shù)字計(jì)算機(jī),通常包括微處理器或中央處理單元、只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、高速時(shí)鐘、模擬-數(shù)字轉(zhuǎn)換(A/D)和數(shù)字-模擬轉(zhuǎn)換(D/A)電路以及輸入/輸出電路和設(shè)備(1/0),還有適當(dāng)?shù)男盘?hào)調(diào)制和緩沖電路。駐留在主機(jī)15內(nèi)或可存取的任意算法因此可以被存儲(chǔ)在可記錄介質(zhì)上并且可以由主機(jī)執(zhí)行以提供相應(yīng)的功能。主機(jī)15還提供了對(duì)各種系統(tǒng)設(shè)計(jì)選擇進(jìn)行“what if ”或假設(shè)設(shè)計(jì)修正分析的能力。如本文中所用,“what if ”分析允許采用一種設(shè)計(jì)工作的設(shè)計(jì)者對(duì)設(shè)計(jì)進(jìn)行修正以期改進(jìn)該設(shè)計(jì)的FT。為了確認(rèn)修正事實(shí)上有效,設(shè)計(jì)者必須要檢驗(yàn)系統(tǒng)的FT是有所提高還是有所降低。因此允許設(shè)計(jì)者探詢(xún)?nèi)绻麑?duì)設(shè)計(jì)進(jìn)行了這些改變那么將會(huì)發(fā)生什么情況。提出的方法就與設(shè)計(jì)者的這個(gè)源于FT預(yù)測(cè)的問(wèn)題有關(guān)。應(yīng)該注意到可以有其他的工具用于根據(jù)例如功耗預(yù)測(cè)來(lái)進(jìn)行“what if”分析。圖1中的模型10包括傳感器12、致動(dòng)器14、具有不同軟件操作17的控制邏輯16 以及實(shí)體層模型18。操作層建模語(yǔ)言例如Simulink、MATRIXx等可以被用于提供通用框架以對(duì)機(jī)動(dòng)車(chē)和其他系統(tǒng)的各個(gè)方面和提取的特征建模。所得模型不但能夠表示機(jī)動(dòng)車(chē)系統(tǒng)的功能層模型,而且還能夠表示機(jī)動(dòng)車(chē)系統(tǒng)據(jù)此運(yùn)行的結(jié)構(gòu)平臺(tái)的某些細(xì)節(jié),例如映射到處理器、緩沖器、總線(xiàn)等。
控制邏輯16可以包括各種關(guān)聯(lián)或涉及的軟件操作,例如圖1中的0P1-5。實(shí)體模型18可以是指定系統(tǒng)(例如相對(duì)復(fù)雜的機(jī)動(dòng)車(chē)系統(tǒng),譬如根據(jù)一個(gè)可行實(shí)施例的線(xiàn)控轉(zhuǎn)向或制動(dòng)設(shè)備)中的各種互連或機(jī)械構(gòu)件的數(shù)學(xué)動(dòng)態(tài)模型,不過(guò)在本發(fā)明的保護(hù)范圍內(nèi)也可以分析非機(jī)動(dòng)車(chē)系統(tǒng)。模型10包括操作17,其中每一種操作都具有輸入端口和輸出端口,還包括送入輸入端口 21內(nèi)的輸入信號(hào)13和從輸出端口 23送出的輸出信號(hào)13A。信號(hào)13,13A表示不同操作之間的虛擬連接,并且可以與物理量例如由濾波器生成的輸出電壓相對(duì)應(yīng),或者可以對(duì)應(yīng)于由軟件模塊生成的數(shù)據(jù)值。圖1中的每一種操作17都對(duì)應(yīng)于被診斷的特定系統(tǒng)中的功能構(gòu)件,其中功能構(gòu)件的范圍涵蓋了傳感器12、軟件代碼模塊和模擬構(gòu)件等。本文中將離散事件的語(yǔ)義設(shè)想為若干操作17被映射至軟件構(gòu)件,也就是在離散的步驟中對(duì)采樣信號(hào)進(jìn)行操作。每一個(gè)信號(hào)13 都表示在每一個(gè)時(shí)隙通過(guò)“源”操作更新的數(shù)值。圖1示出了一種可行的模型,該模型寬泛地類(lèi)似于機(jī)動(dòng)車(chē)系統(tǒng)的若干種操作層模型的示意性表示。模型10中的每一種操作17都對(duì)應(yīng)于特定的控制應(yīng)用程序、傳感器操作、 致動(dòng)器操作中的某項(xiàng)任務(wù)或者是對(duì)應(yīng)于由模型18表示的實(shí)體中的機(jī)械部件/構(gòu)件。每一種操作17都可以由邏輯或算術(shù)函數(shù)、狀態(tài)機(jī)例如有限狀態(tài)機(jī)(FSM)M或混合I/O自動(dòng)機(jī)22 表示。模型10在基于LUT的數(shù)值估算模塊19中使用查找表(LUT)。FT選擇模塊11選擇輸入,例如在圖1的實(shí)施例中是從0P5和基于LUT的估算模塊19中進(jìn)行選擇,并將數(shù)值傳送至其輸出端。為了進(jìn)行這種選擇,F(xiàn)T選擇模塊11根據(jù)用戶(hù)定義的標(biāo)準(zhǔn)檢測(cè)兩個(gè)輸入中是否有一個(gè)有錯(cuò)誤,例如檢查輸入值是否落在一定的范圍內(nèi),并隨后選擇無(wú)錯(cuò)誤的輸入。如果兩個(gè)輸入都沒(méi)有錯(cuò)誤,那么FT選擇模塊11就選擇預(yù)定的輸入例如來(lái)自0P5的輸入。要注意的是基于LUT的估算模塊19并不涉及以下介紹的特征化步驟中構(gòu)建的質(zhì)量LUT。在很多機(jī)動(dòng)車(chē)系統(tǒng)中,LUT被用于根據(jù)不同于A的信號(hào)來(lái)估算信號(hào)“A”的值。這樣有助于在信號(hào)A的來(lái)源失效的情況下提高系統(tǒng)的FT。在大多數(shù)感興趣的機(jī)動(dòng)車(chē)系統(tǒng)中,控制邏輯16幾乎全部是基于軟件的,因此信號(hào) 13可以被立即轉(zhuǎn)化為作為輸入提供給控制軟件構(gòu)件的數(shù)據(jù)項(xiàng)。而且,很多控制構(gòu)件可以是時(shí)間觸發(fā)的,以使它們?cè)谔囟ǖ臅r(shí)刻開(kāi)始或恢復(fù)運(yùn)行。例如,圖1中的0P4可以被設(shè)置為僅在預(yù)定時(shí)段例如從開(kāi)始運(yùn)行起經(jīng)過(guò)了譬如5ms之后才執(zhí)行,即使是輸入可以更早獲得也是如此。圖1中標(biāo)記為0P1,0P2, 0P3和0P5的其他操作17可以根據(jù)模型10以類(lèi)似或不同的方式執(zhí)行。各操作之間的連線(xiàn)表示它們之間的虛擬函數(shù)連接,其將來(lái)源操作的輸出軌跡映射為用于目標(biāo)操作的輸入軌跡。用于容錯(cuò)件分析的方法
還是參照?qǐng)D1,提供了一種用于通過(guò)主機(jī)15自動(dòng)分析指定FT系統(tǒng)例如機(jī)動(dòng)車(chē)系統(tǒng)的方法。該方法包括結(jié)合使用的兩種分析方法或步驟的集合,以檢驗(yàn)機(jī)動(dòng)車(chē)系統(tǒng)對(duì)于各種邏輯
和質(zhì)量故障的恢復(fù)性(1 )靜態(tài)分析步驟,以及(Π )操作層故障注入和仿真步驟。靜態(tài)
分析對(duì)預(yù)定的故障場(chǎng)景集合進(jìn)行近似但快速的評(píng)估。隨后,對(duì)于每一種故障場(chǎng)景和導(dǎo)致違反標(biāo)準(zhǔn)FT要求的輸入,基于仿真的確認(rèn)步驟驗(yàn)證這種違反的真?zhèn)?。操作層模型和分析通常都僅在實(shí)現(xiàn)層進(jìn)行。這就需要將實(shí)現(xiàn)層的錯(cuò)誤適當(dāng)?shù)靥崛≈敛僮鲗?,并將相關(guān)的實(shí)現(xiàn)細(xì)節(jié)在合適的操作層模型中建模。下文中討論的是將各種類(lèi)型的故障提取為操作層模型中合適的表現(xiàn)形式。本方法沒(méi)有集中在質(zhì)量中心分析上,而是有助于推出例如故障注入式機(jī)動(dòng)車(chē)系統(tǒng)中的狀態(tài)偏差來(lái)取代推出機(jī)動(dòng)車(chē)系統(tǒng)信號(hào)的軌跡。基于仿真的框架提供了無(wú)故障和故障注入的系統(tǒng)狀態(tài)之間的偏差跟蹤。另一方面,靜態(tài)分析步驟僅僅是推出各種信號(hào)誤差的質(zhì)量或數(shù)量而并未深入到實(shí)際信號(hào)軌跡的細(xì)節(jié)中。操作層樽型基于仿真的分析
還是參照?qǐng)D1,大多數(shù)分析和綜合步驟都是在操作層模型例如模型10上進(jìn)行的,用于在更高的間隔層上發(fā)揮使轉(zhuǎn)變和分析時(shí)間更快的作用。操作層故障仿真框架中最為重要的要求之一就是在操作層提取時(shí)對(duì)各種質(zhì)量和邏輯故障的建模。故障的起源通常位于電路層或分配層的實(shí)現(xiàn)細(xì)節(jié)中。例如,軟件誤差會(huì)造成存儲(chǔ)器單元或寄存器中的瞬時(shí)位翻轉(zhuǎn),或者傳感器電源中溫度引發(fā)的漂移會(huì)造成輸出信號(hào)的漂移。這些故障被提取到操作層模型例如模型10的層級(jí)中,同時(shí)仍然保留故障影響信號(hào)值的方式實(shí)質(zhì)??梢栽诓僮鲗幽P屠鐖D1的模型10中提取各種類(lèi)型故障的影響。例如,可以提取(1)導(dǎo)致在輸出中增加的噪聲以及在輸出信號(hào)軌跡中增加漂移的傳感器故障,例如噪聲和漂移故障;( 丟失來(lái)自傳感器的數(shù)據(jù),在某些時(shí)隙中導(dǎo)致隨機(jī)的傳感器輸出或尖峰, 例如丟失了來(lái)自攝像頭的數(shù)據(jù)的示例;C3)自身不會(huì)在每一次運(yùn)行流程中都表現(xiàn)出來(lái)的軟件缺陷和硬件錯(cuò)誤可以被視為是在對(duì)它們進(jìn)行訓(xùn)練的某些時(shí)隙中的尖峰故障。這些尖峰故障由于在所述時(shí)隙內(nèi)生成了用于信號(hào)的最大可能值而夸大了由缺陷/錯(cuò)誤引發(fā)的故障;以及(4)軟件構(gòu)件中的精度損失作為軌跡漂移而被建模。這些漂移可能會(huì)由于類(lèi)型轉(zhuǎn)換錯(cuò)誤以及由于嵌入式機(jī)動(dòng)車(chē)平臺(tái)的端口控制軟件可能不支持太多的高精度和浮點(diǎn)操作而出現(xiàn)。還可以提取(5)由硬件層中的適當(dāng)構(gòu)件檢測(cè)到以使得能夠?qū)崿F(xiàn)故障靜默的邏輯故障。操作被假定為儀表化操作以使得如果有任何的主要輸入信號(hào)指示故障靜默,那么這些操作就是故障靜默的;(6)時(shí)鐘/脈沖的偏移/時(shí)滯導(dǎo)致的延時(shí)故障,延時(shí)故障表現(xiàn)為輸出信號(hào)的時(shí)間線(xiàn)失真以及與計(jì)時(shí)器相關(guān)聯(lián)的延時(shí)改變。軟件任務(wù)中運(yùn)行延時(shí)的改變也可能會(huì)造成采樣和信號(hào)生成速率的改變,從而導(dǎo)致延時(shí)故障;以及(7)硬件恢復(fù)的軟錯(cuò)誤,表現(xiàn)為尖峰也就是信號(hào)上突然和短暫的改變,例如尖峰故障。上述故障中的一部分并非源于機(jī)動(dòng)車(chē)系統(tǒng)中的軟件控制構(gòu)件。但是,由于故障的傳播,它們的影響除其他因素外仍然可以在各種軟件控制構(gòu)件的輸出中觀察到。因此,任何分析方法都應(yīng)該關(guān)注上述故障在來(lái)自于實(shí)體模型18的不同類(lèi)型的軟件、硬件和機(jī)械構(gòu)件上的傳播。依次參照?qǐng)D2A-2F,可以將每一種類(lèi)型的質(zhì)量退化與用于表示質(zhì)量退化程度也就是誤差的適當(dāng)測(cè)量值相關(guān)聯(lián)。圖2A表示“原始”或無(wú)故障的信號(hào)30。圖2B表示信號(hào)30的信號(hào)軌跡中的漂移誤差,其中質(zhì)量由信號(hào)30和信號(hào)30A在全部時(shí)刻內(nèi)的信號(hào)值之間的最大偏差表示。圖2C表示信號(hào)噪聲,其中質(zhì)量由疊加的附加噪聲信號(hào)30B的振幅表示,附加噪聲信號(hào)30B包括白噪聲、高斯噪聲等。繼續(xù)參照?qǐng)D2D,尖峰30C是由于硬件恢復(fù)的軟錯(cuò)誤、軟件缺陷、瞬時(shí)硬件誤差和/ 或瞬時(shí)傳感器誤差例如丟失了傳感器數(shù)據(jù)而造成的。質(zhì)量由尖峰30D的數(shù)量表示。如果信號(hào)是數(shù)字信號(hào),那么尖峰30D的峰值要受到操作范圍或數(shù)據(jù)類(lèi)型上限的約束。圖2E表示產(chǎn)生適當(dāng)信號(hào)30D的延時(shí),其中質(zhì)量退化的測(cè)量值即為或正或負(fù)的延時(shí)。延時(shí)故障經(jīng)常會(huì)如圖2F中所示導(dǎo)致某種尖峰或隨機(jī)噪聲的引入。如圖1中所示,如果直到tpre個(gè)時(shí)間單位才通過(guò)一種操作(OPl)并隨后通過(guò)另一種操作(0P2)生成信號(hào)軌跡,那么就可能會(huì)發(fā)生這種情況。例如,假設(shè)OPl由于延時(shí)故障在個(gè)時(shí)間單位內(nèi)完成運(yùn)行并且假設(shè)0P2直到已經(jīng)過(guò)tp,e個(gè)時(shí)間單位之后才開(kāi)始。在此情況下,在Ilj tpre 的時(shí)段內(nèi)就沒(méi)有操作會(huì)產(chǎn)生信號(hào),并且因此在該時(shí)段內(nèi)的信號(hào)軌跡就可能是隨機(jī)的或者是
一組尖峰。基于仿真的容錯(cuò)分析框架有三種輸入,也就是(1)測(cè)試實(shí)例,(2)故障場(chǎng)景以及 (3)FT要求規(guī)約。測(cè)試實(shí)例通常描述了一組由機(jī)動(dòng)車(chē)系統(tǒng)執(zhí)行的典型并且關(guān)鍵的操作或工作序列。另外,測(cè)試實(shí)例也可以被生成用于執(zhí)行機(jī)動(dòng)車(chē)系統(tǒng)的定向分析。通常,通過(guò)這些測(cè)試實(shí)例對(duì)來(lái)自于用戶(hù)的傳感器輸入進(jìn)行建模。如果僅測(cè)試了系統(tǒng)的一部分,那么來(lái)自于由圖1中的實(shí)體模型18表示的“實(shí)體”的響應(yīng)于來(lái)自其他一些子系統(tǒng)的控制信號(hào)而生成的某些信號(hào)也被包括在測(cè)試程序中?;诜抡娴墓收献⑷肟蚣艿牡诙斎胧枪收蠄?chǎng)景的描述,在此故障場(chǎng)景下必須對(duì)系統(tǒng)進(jìn)行分析。故障場(chǎng)景可以通過(guò)列舉必然會(huì)發(fā)生的故障集合來(lái)清楚地描述。在質(zhì)量故障的情況下,除了發(fā)生了哪種故障的信息以外,質(zhì)量退化的測(cè)量值也必須列出。因此故障場(chǎng)景是三元集合的形式(位置、故障類(lèi)型、測(cè)量值),其中位置表示被故障影響到的信號(hào),并且其中故障類(lèi)型和測(cè)量值分別表示誤差的類(lèi)型和測(cè)量值。要注意的是測(cè)量值與邏輯故障無(wú)關(guān)。 例如故障場(chǎng)景可以具體描述為“最多五個(gè)尖峰,這也就是通過(guò)全部的軟件構(gòu)件可以引入的類(lèi)型和測(cè)量值”。在將故障場(chǎng)景具體描述為分析框架的輸入的同時(shí),說(shuō)明各種故障之間的相關(guān)性也很重要。顯然,映射至同一處理器的軟件任務(wù)將會(huì)遭遇由于處理器而產(chǎn)生的一些共同的故障。類(lèi)似地,來(lái)自同一廠商的傳感器通常也會(huì)遭遇類(lèi)似的故障,同時(shí)共用電源會(huì)在其供電的所有傳感器內(nèi)引發(fā)若干種相關(guān)的噪聲和信號(hào)漂移故障。這些相關(guān)性必須被收集到任意的FT 分析框架中。如果用0到1之間的相關(guān)系數(shù)或者0%到100%之間的相關(guān)性來(lái)描述故障之間的相關(guān)性,那么就可以如本領(lǐng)域所公知的那樣執(zhí)行多次蒙特卡羅故障仿真用于進(jìn)行分析。除了清楚的故障場(chǎng)景描述以外,描述故障場(chǎng)景的另一種方式是通過(guò)設(shè)定關(guān)于在系統(tǒng)的一次運(yùn)行期間故障集合發(fā)生概率的下限來(lái)隱含地描述。如果個(gè)體故障的概率以及故障之間的相關(guān)性已知,那么就可以計(jì)算故障集合的概率。隨后概率邊界就描述了其中上述計(jì)算的概率超出邊界的所有故障場(chǎng)景。這樣的概率邊界通常與機(jī)動(dòng)車(chē)系統(tǒng)的安全性要求(例如根據(jù)IEC的安全完整性等級(jí))有關(guān)??梢宰⒁獾皆谫|(zhì)量故障的情況下,不僅必須要提供發(fā)生故障的概率,而且還必須提供獲得各種質(zhì)量退化測(cè)量值的概率。實(shí)際上,質(zhì)量故障的概率可以由以下函數(shù)表示 Pquality 測(cè)量值一W,1],將質(zhì)量退化的測(cè)量值映射為具有該測(cè)量值的故障發(fā)生的概率。測(cè)量值為零(0)表示沒(méi)有發(fā)生故障。在生成測(cè)試實(shí)例用于定向FT分析時(shí),不僅是測(cè)試實(shí)例的操作變量(例如傳感器輸入)需要生成,而且對(duì)應(yīng)的故障場(chǎng)景也需要生成。另外,經(jīng)常要對(duì) “正確的”控制信號(hào)和故障信號(hào)之間的差異而不是單獨(dú)對(duì)故障信號(hào)進(jìn)行FT分析。這些因素對(duì)用于FT分析的測(cè)試實(shí)例生成問(wèn)題增加了額外的維數(shù)。基于仿真的故障分析框架的第三輸入集合是系統(tǒng)必須要滿(mǎn)足的FT要求集合。這些FT要求構(gòu)成了系統(tǒng)即使在存在故障時(shí)也必須要遵守的規(guī)約。存在各種方式來(lái)指定FT要求。指定系統(tǒng)設(shè)計(jì)意圖的邏輯和時(shí)間性質(zhì)可以被用作用于FT分析步驟的規(guī)約。另外可以指定用于檢驗(yàn)質(zhì)量退化邊界的特性例如疊加噪聲量的上限。除此以外,可以寫(xiě)入更多涉及到的性質(zhì),其中可接受的質(zhì)量退化是時(shí)間的函數(shù)。對(duì)FT分析框架給出三種輸入,基于仿真的FT機(jī)構(gòu)包括故障注入、操作層模型仿真以及對(duì)應(yīng)于FT要求性質(zhì)的檢驗(yàn)判定。因此在這里提出向信號(hào)中引入不同(和多種)類(lèi)型誤差的“故障注入”操作。這些誤差根據(jù)要分析的故障場(chǎng)景而對(duì)應(yīng)于每一種操作故障。該操作將用于每一種不同類(lèi)型質(zhì)量故障的質(zhì)量故障類(lèi)型和質(zhì)量退化的測(cè)量值作為輸入。另外,關(guān)于邏輯故障的信息也被“故障注入”操作作為輸入。根據(jù)被分析的特定故障場(chǎng)景來(lái)獲得將質(zhì)量故障量化并指明了在特定信號(hào)上是否存在邏輯故障的這些輸入?!肮收献⑷搿辈僮麟S后根據(jù)該操作的輸入來(lái)引入質(zhì)量故障和邏輯故障??梢宰⒁獾讲⒉皇敲恳环N類(lèi)型的信號(hào)中都可以引入全部類(lèi)型的質(zhì)量故障。例如,由軟件構(gòu)件生成的表示浮點(diǎn)數(shù)隨時(shí)間而變化的信號(hào)(數(shù)據(jù)信號(hào))就不會(huì)受到通常僅限于傳感器和模擬構(gòu)件的質(zhì)量故障例如 “噪聲”的影響。但是,如果在一個(gè)時(shí)隙中調(diào)用了軟件缺陷,那么這樣的信號(hào)可能會(huì)受到“尖峰”故障的影響。另外這樣的信號(hào)在移植到嵌入式平臺(tái)時(shí)由于浮點(diǎn)到定點(diǎn)轉(zhuǎn)換或者由于類(lèi)型轉(zhuǎn)換錯(cuò)誤而有精度損失的情況下可能會(huì)受到“漂移”故障的影響。參照?qǐng)D3,示出了故障注入操作40的一個(gè)示例。故障注入機(jī)構(gòu)40在信號(hào)線(xiàn)或輸出 42中引入噪聲誤差和漂移誤差。該操作的輸入是信號(hào)線(xiàn)或輸出42、故障類(lèi)型44、偏差量46 和噪聲振幅48。輸入的故障類(lèi)型控制被引入信號(hào)中的誤差類(lèi)型,誤差類(lèi)型可以是噪聲或漂移或兩種誤差都有或者兩種誤差都沒(méi)有。輸入的偏差量和噪聲振幅分別表示被引入的漂移量和被疊加的噪聲信號(hào)的振幅。因此,設(shè)計(jì)者能夠控制被引入信號(hào)中的精度誤差的類(lèi)型和數(shù)量。“故障注入”操作將選定的誤差疊加在信號(hào)“輸出”上以生成“注入誤差的輸出,,49。 該“注入誤差的輸出” 49可以隨后成為某些其他操作的輸入,由此傳播注入的誤差。根據(jù)一個(gè)實(shí)施例,每一種信號(hào)上都設(shè)置一種“故障注入”操作,由此使引入故障的基本結(jié)構(gòu)能夠?qū)?yīng)于任何用戶(hù)定義的故障場(chǎng)景。用同一種建模語(yǔ)言例如Simulink將這些 “故障注入”操作寫(xiě)成操作層模型。隨后,用測(cè)試實(shí)例和故障場(chǎng)景作為輸入,利用合適的操作層仿真框架來(lái)仿真圖1中的模型10以使故障仿真得以進(jìn)行。利用由仿真框架提供的驗(yàn)證程序或者通過(guò)轉(zhuǎn)存并分析在離散的時(shí)間步長(zhǎng)中收集的記錄來(lái)檢驗(yàn)對(duì)信號(hào)值的判定。參照?qǐng)D4,在簡(jiǎn)單的機(jī)動(dòng)車(chē)系統(tǒng)中示意性地示出了質(zhì)量中心的基于仿真的分析 50,該系統(tǒng)包括一個(gè)傳感器12、一個(gè)致動(dòng)器14以及一個(gè)控制操作。在圖4上部示出了“理想模型” 50A,而在下部則示出了故障注入模型50B。在不同信號(hào)上進(jìn)行故障注入以獲得各種構(gòu)件故障的影響。獲得并推出相對(duì)于無(wú)故障模型的軌跡差異。如上所述,除了用于分析具有故障注入的操作層模型的框架以外,我們還關(guān)注執(zhí)行質(zhì)量中心分析。質(zhì)量中心分析推出信號(hào)質(zhì)量而不是信號(hào)的真實(shí)值。因此,我們關(guān)注的是由故障系統(tǒng)根據(jù)無(wú)故障系統(tǒng)產(chǎn)生的信號(hào)而生成的信號(hào)軌跡的偏差。為此可以使用的仿真設(shè)置中同時(shí)對(duì)原生/理想模型50A和故障注入模型50B進(jìn)行仿真,并通過(guò)差分操作52來(lái)獲得信號(hào)54A,54B之間的差值。該差值56表示故障信號(hào)54B與無(wú)故障信號(hào)54A之間的偏差。推出信號(hào)質(zhì)量也就是與無(wú)故障狀態(tài)之間偏差的判定程序隨后檢驗(yàn)作為差分操作52的輸出獲得的記錄。所用的故障信號(hào)偏差定義以及差分操作52的類(lèi)型取決于被分析的故障類(lèi)型。使用最為廣泛的差分操作具有Simulink中“減法”操作的語(yǔ)義,并在操作層模型中據(jù)此實(shí)現(xiàn)。
該語(yǔ)義可以由作為“差分”操作的輸入給出的示例性離散信號(hào)對(duì)表示,以使其具有
相同的時(shí)間步長(zhǎng)(δ ),并且在時(shí)間步長(zhǎng)、中的信號(hào)幅值分別是4和W。該操作的輸出是
一種軌跡,具有時(shí)間步長(zhǎng)為S,并且在每一個(gè)時(shí)間步長(zhǎng)、所具有的信號(hào)幅值都是兩個(gè)輸入
信號(hào)在步長(zhǎng)、中的幅值差值t,i_W)。這種類(lèi)型的差分操作在推導(dǎo)漂移、噪聲(用于列篩
選)和尖峰誤差時(shí)是很有效的。另一種類(lèi)型的差分操作在頻域內(nèi)進(jìn)行信號(hào)偏差分析,目的是為了推導(dǎo)延時(shí)故障。根據(jù)分析的范圍和要求也可以使用若干種其他類(lèi)型的差分操作而并不背離本發(fā)明的保護(hù)范圍。無(wú)論是質(zhì)量中心還是其他類(lèi)型,任意基于仿真的設(shè)置中的一個(gè)重要組成部分是對(duì)提供的測(cè)試程序進(jìn)行基于仿真的驗(yàn)證的覆蓋率的評(píng)估方法。基于檢驗(yàn)訪(fǎng)問(wèn)狀態(tài)或代碼覆蓋、轉(zhuǎn)換或分支覆蓋以及變量值的常規(guī)覆蓋率方法可能不足以用于容錯(cuò)分析。上述的覆蓋率方法經(jīng)常只能提供包括無(wú)故障和故障恢復(fù)在內(nèi)的被測(cè)運(yùn)行環(huán)境的大體情況。但是,這些方法不足以估算實(shí)際剩余的仿真工作余量,原因在于很多測(cè)試的運(yùn)行和故障場(chǎng)景可能是被分析的容錯(cuò)要求的等價(jià)模量。通過(guò)含有故障類(lèi)型、故障量值和故障位置的三元組來(lái)表述故障退化。一種故障仿真流程就與故障仿真期間在不同信號(hào)(位置)顯現(xiàn)的質(zhì)量退化三元組的集合有關(guān)。由于操作層模型中不同操作之間的因果關(guān)系,因此在這些三元組之間也存在因果關(guān)系(例如,對(duì)于具有輸入信號(hào)I和輸出信號(hào)ο的操作,由于信號(hào)I上的誤差B就會(huì)造成信號(hào)0上的誤差 A)??梢詫⒏采w率定義為在誤差仿真期間顯現(xiàn)的質(zhì)量退化三元組之間存在的此類(lèi)因果關(guān)系的數(shù)量。其他類(lèi)似的技術(shù)也可以使用,例如對(duì)顯現(xiàn)的故障三元組進(jìn)行計(jì)數(shù)就是另一種測(cè)量覆蓋率的方法。如果若干種三元組對(duì)于給定的誤差類(lèi)型和位置或者在其他標(biāo)準(zhǔn)的基礎(chǔ)上具有類(lèi)似的誤差量值,那么這些三元組可以被認(rèn)為是等價(jià)的。在此情況下,可以適當(dāng)?shù)匦拚M之間的因果關(guān)系。操作層樽型的靜杰分析
參照?qǐng)D5A-5C,提出的容錯(cuò)系統(tǒng)設(shè)計(jì)方法中的一個(gè)重要組成部分是快速分析所有故障場(chǎng)景和以用戶(hù)規(guī)定的提取水平為模的測(cè)試實(shí)例的靜態(tài)分析方法。這種靜態(tài)分析方法是質(zhì)量中心的分析方法,因?yàn)樗瞥龅氖切盘?hào)的質(zhì)量退化而不是實(shí)際的信號(hào)軌跡。圖5A-5C概括了這種分析方法的步驟。靜態(tài)分析方法分為兩步進(jìn)行,也就是特征化步驟(圖5B)和符號(hào)分析步驟(圖 5C)。在圖5B的特征化步驟中,在各步操作例如圖5A的0P1-0P4中對(duì)不同的測(cè)試實(shí)例以及輸入信號(hào)中變化的質(zhì)量誤差量進(jìn)行仿真,同時(shí)記錄輸出信號(hào)中的質(zhì)量退化。通過(guò)在輸出信號(hào)中被引入質(zhì)量誤差并且改變輸入信號(hào)中引入的質(zhì)量誤差來(lái)進(jìn)行另外的特征化仿真。輸入和輸出信號(hào)的質(zhì)量退化都通過(guò)圖5C中所示的符號(hào)查找表60A-60D也就是LUT 而被量化和代碼化。這就能夠?qū)⒂涗浵聛?lái)的輸入和輸出質(zhì)量被表示為L(zhǎng)UT。因此,在特征化之后,每一種操作的狀態(tài)都是通過(guò)LUT 60A-60D提取的,這樣只能根據(jù)圖5A推出量化的操作輸入質(zhì)量和輸出質(zhì)量。參照?qǐng)D6A-6C,在圖6C中示出了用于漂移誤差的示例性質(zhì)量LUT,表示用于軌跡漂移的各種輸入質(zhì)量、到飽和操作的三角波輸入(分別在圖6A和6B中示出)的輸出質(zhì)量。飽和操作將輸入信號(hào)截?cái)酁閳D6A中的用戶(hù)定義上限57。在該實(shí)例中,考慮將飽和操作實(shí)現(xiàn)為軟件構(gòu)件。對(duì)于這種軟件實(shí)現(xiàn),軌跡可以由適當(dāng)離散化的定點(diǎn)/浮點(diǎn)數(shù)序列表示,每一種都表示在某些離散的時(shí)隙處的信號(hào)值(振幅)。考慮圖6A中具有振幅57的三角形軌跡的預(yù)期(理想)輸入信號(hào),而錯(cuò)誤的輸入信號(hào)則是具有大于振幅57水平的不同振幅的三角形軌跡。因此,錯(cuò)誤的輸入信號(hào)具有偏離理想輸入的軌跡漂移,其被特征為錯(cuò)誤信號(hào)和理想信號(hào)振幅之間的最大差異。可以利用不同的符號(hào)來(lái)對(duì)振幅中的量化漂移進(jìn)行編碼,目的是為了表示輸入信號(hào)的質(zhì)量。例如,如果振幅漂移在0到10之間,那么符號(hào)“1”可以被用于表示這種情況。類(lèi)似地,“2”可以被用于表示10到20之間的漂移,“3”則表示20到30之間的漂移等。例如,圖6A中的輸入信號(hào)“偏差1”具有20到30之間的振幅漂移,并且因此被特征化為符號(hào)“3”。對(duì)于該飽和模塊的示例,理想輸出應(yīng)與具有振幅57的三角波輸入相同。 但是,具有的振幅大于振幅57的水平的錯(cuò)誤輸入信號(hào)被飽和操作截?cái)?。在此情況下,在圖 6B中通過(guò)豎直線(xiàn)65示出了用于錯(cuò)誤輸出信號(hào)的振幅中的最大漂移。通過(guò)使用符號(hào)來(lái)表示這些漂移,正如對(duì)輸入信號(hào)所做的那樣,即可獲得各種錯(cuò)誤的輸出軌跡的質(zhì)量。例如,對(duì)應(yīng)于輸入信號(hào)“偏差1”(質(zhì)量“3”)的輸出信號(hào)在振幅方面具有的與理想輸出之間的漂移在 10到20之間,并且因此具有的質(zhì)量為“2”。由此,對(duì)于輸入質(zhì)量“3”,輸出信號(hào)質(zhì)量為“2”。特定符號(hào)“0”表示在理想的輸入/ 輸出中沒(méi)有漂移。圖6C中的查找表60包含從輸入到輸出質(zhì)量的映射,用于與用戶(hù)定義的量化振幅漂移相對(duì)應(yīng)的所有輸入質(zhì)量。對(duì)于圖6A-6C中的示例,質(zhì)量符號(hào)在統(tǒng)一量化理想信號(hào)和錯(cuò)誤信號(hào)之間振幅漂移的基礎(chǔ)上進(jìn)行選擇。這種統(tǒng)一的量化包括將振幅漂移分為尺寸為10的區(qū)間,例如區(qū)間[10,20]。但是,通常,統(tǒng)一量化可能不是構(gòu)建LUT的基礎(chǔ)。例如,振幅漂移可以在
之間被量化為五個(gè)等級(jí)而在[10,20]之間僅被量化為兩個(gè)等級(jí)。這種不統(tǒng)一的量化水平可以由容錯(cuò)分析的要求來(lái)引導(dǎo)。質(zhì)量中心分析的另一個(gè)重要方面源于操作的輸出信號(hào)質(zhì)量不僅取決于輸入信號(hào)質(zhì)量而且還取決于信號(hào)類(lèi)型(對(duì)于當(dāng)前示例來(lái)說(shuō)是“三角波”)和操作狀態(tài) (例如可重構(gòu)操作的各種結(jié)構(gòu))的事實(shí)。因此,被稱(chēng)為特征的另一種屬性被用于區(qū)分不同類(lèi)型的輸入信號(hào)和操作狀態(tài)。例如,“三角波”是用于圖6A-C的示例中的輸入特征。用于這種類(lèi)型輸入信號(hào)的質(zhì)量LUT不同于一些其他類(lèi)型信號(hào)(例如方波信號(hào))的質(zhì)量LUT。LUT因此存儲(chǔ)用于不同特征的輸入-輸出質(zhì)量。盡管為了特征化單個(gè)操作模塊可能必須要執(zhí)行若干種仿真流程,但是該特征化步驟是一次性的工作,并且所獲得的LUT可以在不同的設(shè)計(jì)中重復(fù)使用。一旦特征化步驟完成,即可通過(guò)針對(duì)給定故障場(chǎng)景和測(cè)試實(shí)例的一系列查找表操作來(lái)進(jìn)行質(zhì)量中心分析。參照?qǐng)D7,通過(guò)將質(zhì)量退化(與預(yù)期狀態(tài)的偏差)劃分為多個(gè)區(qū)間,每一個(gè)LUT項(xiàng)都可以通過(guò)表示該區(qū)間歸屬的符號(hào)來(lái)代碼化。因此,在量化之后,LUT就將符號(hào)輸入映射為符號(hào)輸出項(xiàng),并且可以接受數(shù)學(xué)分析。通過(guò)將符號(hào)編碼為布爾邏輯值,即可利用布爾電路70 對(duì)每一個(gè)查找表建模。由于操作層模型包括操作以及操作之間的連接,因此完整操作層模型的質(zhì)量狀態(tài)可以被表示為布爾電路70,包括表示LUT的支路以及它們之間的適當(dāng)連接。在量化間隔中的所有故障場(chǎng)景和測(cè)試實(shí)例都可以通過(guò)求取可滿(mǎn)足性來(lái)進(jìn)行檢驗(yàn), 也就是用于對(duì)操作層模型的質(zhì)量狀態(tài)建模的布爾電路70的SAT解決方案。除了靜態(tài)的基于SAT的分析以外,在本領(lǐng)域中可以理解的可滿(mǎn)足性模理論(SMT解決方案)或者基于仿真的方法也都可以使用,只要每一種操作都可以被特征化并通過(guò)質(zhì)量LUT表示即可。在操作層模型的框架內(nèi)執(zhí)行這種分析的一種由Simulink提供的方法是將操作替換為質(zhì)量LUT并隨后執(zhí)行對(duì)該模型的仿真。量化降低了分析精度,并且因此在布爾分析設(shè)置中發(fā)現(xiàn)的錯(cuò)誤流程必須在操作層模型中進(jìn)行檢驗(yàn)。為此,必須要得到造成錯(cuò)誤流程的故障場(chǎng)景(包括了每一種故障的測(cè)量值)和測(cè)試實(shí)例。這些實(shí)體是對(duì)質(zhì)量狀態(tài)進(jìn)行建模的布爾電路的輸入并且由SAT求解程序提供用于可滿(mǎn)意的情況。因此通過(guò)SAT分析檢測(cè)出的錯(cuò)誤流程可以在操作層仿真設(shè)置中復(fù)制。還是參照?qǐng)D7,關(guān)于這種框架的一個(gè)問(wèn)題是提供量化總是會(huì)過(guò)分估計(jì)誤差的證據(jù)。 在此情況下,如果通過(guò)靜態(tài)分析找不到錯(cuò)誤流程,那么即可保證在操作層模型中沒(méi)有錯(cuò)誤流程。在圖7的電路70中,圖5A中的操作0P1,0P2, 0P3和0P4的查找表被表示為支路 QC-OP1, QC-0P2,QC-0P3和QC-0P4。實(shí)體的特征化模型被表示為電路Q(chēng)C-實(shí)體。完整的電路具有六個(gè)輸入,也就是輸入質(zhì)量、輸入特征、opl故障、op2故障、op3故障和op4故障。信號(hào)輸入質(zhì)量和輸入特征分別是傳感器的輸入質(zhì)量(符號(hào))以及待分析的測(cè)試實(shí)例。傳感器的初始輸入被假定為理想情況,并且因此每一種輸入信號(hào)的質(zhì)量都被預(yù)先指定為常值“0”。可能的不同類(lèi)型的輸入信號(hào)軌跡對(duì)應(yīng)于不同的測(cè)試實(shí)例,被假定為事先已知的,并且因此“輸入特征”可以被設(shè)定為有限符號(hào)集合中的任意一種,其中每一個(gè)符號(hào)都表示一種信號(hào)類(lèi)型。例如α可以表示振幅為“1”的正弦波,而β可以表示振幅為“1”的余弦波,同時(shí)Y可以表示振幅為“2”的正弦波。在大多數(shù)設(shè)計(jì)中,類(lèi)似于本文中討論的以及圖5Α和圖7中示出的情況,從實(shí)體的輸出到傳感器的輸入可以有反饋回路。該反饋回路對(duì)于質(zhì)量中心分析來(lái)說(shuō)可以去除,原因在于質(zhì)量是在完整的仿真窗口(執(zhí)行仿真的時(shí)間段)上定義的,并且基于查找表的分析在無(wú)需任何反饋的情況下覆蓋用于仿真窗口的分析。待分析的故障場(chǎng)景是該電路的輸入,并且用于每一種操作的故障集合都通過(guò)輸入的opl故障、ορ2故障、ορ3故障和ορ4故障進(jìn)行分配。這些輸入分別引導(dǎo)通過(guò)操作0Ρ1,0Ρ2, 0Ρ3和0Ρ4表現(xiàn)出來(lái)的誤差類(lèi)型和強(qiáng)度。如果已經(jīng)將若干操作映射到單個(gè)處理器中,那么在每一種操作所經(jīng)歷的故障類(lèi)型之間就有相關(guān)性。這可以通過(guò)附加的布爾約束來(lái)建模。除了對(duì)應(yīng)于機(jī)動(dòng)車(chē)系統(tǒng)操作的電路模塊以外,還有兩個(gè)附加的電路模塊來(lái)確保對(duì)于合理預(yù)期的故障場(chǎng)景,任何低質(zhì)量的輸出都會(huì)被發(fā)現(xiàn)。第一模塊檢驗(yàn)最終輸出質(zhì)量是否低于用戶(hù)確定的限制(模塊輸出為真)。第二模塊(故障有效性檢驗(yàn)程序)檢驗(yàn)被分析的故障場(chǎng)景是否是設(shè)計(jì)者關(guān)注的故障場(chǎng)景。例如,(根據(jù)安全完整性等級(jí))考慮分析設(shè)置,其中通過(guò)在機(jī)動(dòng)車(chē)系統(tǒng)故障的預(yù)期概率上施加邊界,和明確不同故障發(fā)生的概率,以及假定故障之間沒(méi)有相關(guān)性來(lái)明確地限定故障場(chǎng)景。在此情況下,故障有效性檢驗(yàn)程序可以被用于檢驗(yàn)故障場(chǎng)景發(fā)生的概率是否大于系統(tǒng)預(yù)期的故障發(fā)生概率(Psystem)。為了構(gòu)建該示例中的故障有效性檢驗(yàn)程序模塊,假定故障之間沒(méi)有相關(guān)性,首先獲得對(duì)于任何操作來(lái)說(shuō)發(fā)生故障的最小概率(Psmallest)。然后, 對(duì)于每一種故障類(lèi)型f,計(jì)算coimtf=[Spf/psmallest],其中S>1為比例因子。隨后,對(duì)于每一種電路評(píng)估,“故障有效性檢驗(yàn)程序”都針對(duì)所有有效的故障f來(lái)計(jì)算全部的COimtf之和。 然后檢驗(yàn)該總和是否小于上限 (Σ f iSenabledcomtf< [SPsystem/psmallest])。如果該情況成立,那么“故障有效性檢驗(yàn)程序”就給出真的輸出以表明故障場(chǎng)景是可允許的??梢宰⒁獾奖M管[Spf/
Psmallest] 氐估了 Spf/
Psmallest 的值,但是由[SPsystem/psmallest]提供了 SP
system' Psmallest 的過(guò)高估
計(jì)。這樣就確保了通過(guò)上述方法進(jìn)行的這部分分析是過(guò)高估計(jì)的。容錯(cuò)機(jī)動(dòng)車(chē)系統(tǒng)的綜合
將操作的質(zhì)量狀態(tài)提取為符號(hào)查找表提供了多種可能來(lái)設(shè)計(jì)出用于容錯(cuò)機(jī)動(dòng)車(chē)系統(tǒng)的綜合算法。如上所述,各個(gè)操作的質(zhì)量狀態(tài)可以被建模成電路,也可以被建模成用于推導(dǎo)故障場(chǎng)景發(fā)生概率的機(jī)構(gòu)。這就允許我們將可用的電路綜合方法加以應(yīng)用以通過(guò)組合對(duì)應(yīng)于不同操作的支路(以及用于推導(dǎo)故障場(chǎng)景發(fā)生概率的支路)來(lái)建立電路。如果能夠?qū)⒕哂兴栎敵鲑|(zhì)量集合的電路加以綜合,那么通過(guò)用綜合機(jī)構(gòu)推出的拓?fù)浣Y(jié)構(gòu)中的對(duì)應(yīng)操作來(lái)代替質(zhì)量提取查找表支路即可得到所需容錯(cuò)機(jī)動(dòng)車(chē)系統(tǒng)中的功能層模型。上述方法允許使用基于LUT的仿真以及基于離散LUT的靜態(tài)分析方法中的一種或兩種來(lái)檢測(cè)反例,并且也允許復(fù)制圖1中的FT規(guī)約20中的反例。反例描述了系統(tǒng)不同構(gòu)件中的故障值集合,其中故障值導(dǎo)致系統(tǒng)以違反FT規(guī)約20中列舉的FT要求這樣的方式表現(xiàn)。使用基于LUT的靜態(tài)分析方法可以包括使用模型校驗(yàn)、布爾可滿(mǎn)足性求解、可滿(mǎn)足性模理論求解、搜索算法等。如本文中所用,術(shù)語(yǔ)“反例”在FT的背景下是指不同構(gòu)件中的故障值集合,例如圖 1的傳感器12中的噪聲振幅、漂移和/或尖峰數(shù)量,圖1的模型10中在不同的軟件模塊內(nèi)的尖峰數(shù)量等,它們會(huì)造成被評(píng)估系統(tǒng)以違反作為功能規(guī)約而獲取的FT要求這樣的方式表現(xiàn)。例如,如果在圖1中傳感器1的輸出上有5%的噪聲水平,并且在相同附圖內(nèi)0P5的輸出上有1%的漂移,那么最終輸出就有12%的漂移。如果FT要求的功能規(guī)約是三元組< 最終輸出,1096,漂移 >,表示“最終輸出”的漂移幅度應(yīng)該小于10%,那么12%的漂移就違反了這項(xiàng)要求。在此的反例就是“傳感器1輸出上5%的噪聲以及0P5輸出上1%的漂移”,該條件將系統(tǒng)驅(qū)動(dòng)為由FT要求所規(guī)定的故障狀態(tài)。當(dāng)在原生模型中復(fù)制反例時(shí),反例可以被用于提高操作層模型到離散LUT的狀態(tài)提取的精度。 盡管已經(jīng)詳細(xì)介紹了實(shí)現(xiàn)本發(fā)明的最佳模式,但是熟悉本發(fā)明所涉及領(lǐng)域的技術(shù)人員應(yīng)該能夠在所附權(quán)利要求的保護(hù)范圍內(nèi)設(shè)想出用于實(shí)現(xiàn)本發(fā)明的各種可選設(shè)計(jì)方案和實(shí)施例。
權(quán)利要求
1.一種用于分析系統(tǒng)容錯(cuò)(FT)能力的方法,所述方法包括在可由主機(jī)存取的實(shí)體介質(zhì)上記錄定義了用于系統(tǒng)的功能規(guī)約的標(biāo)準(zhǔn)的FT要求集合;利用主機(jī)來(lái)生成系統(tǒng)的操作層模型;將系統(tǒng)中構(gòu)件集合的狀態(tài)自動(dòng)地特征化為離散的查找表(LUT),如由模型所表示的;并且利用主機(jī)通過(guò)離散的查找表和功能規(guī)約來(lái)分析系統(tǒng)的FT能力; 其中分析系統(tǒng)的FT能力包括分析系統(tǒng)的邏輯故障和質(zhì)量故障的預(yù)定集合。
2.如權(quán)利要求1所述的方法,進(jìn)一步包括將用于系統(tǒng)的可選設(shè)計(jì)場(chǎng)景記錄在實(shí)體介質(zhì)上;以及通過(guò)主機(jī)利用查找表和功能規(guī)約來(lái)自動(dòng)分析可選設(shè)計(jì)場(chǎng)景。
3.如權(quán)利要求1所述的方法,進(jìn)一步包括作為第一組步驟,通過(guò)主機(jī)檢驗(yàn)輸入和功能規(guī)約中故障場(chǎng)景的所有可能的組合;以及作為第二組步驟,通過(guò)主機(jī)利用查找表來(lái)檢驗(yàn)系統(tǒng)在標(biāo)準(zhǔn)測(cè)試實(shí)例和故障場(chǎng)景集合下的FT狀態(tài)。
4.如權(quán)利要求1所述的方法,進(jìn)一步包括 在第一組步驟期間確定違反FT要求的存在性;以及在第二模型中復(fù)制導(dǎo)致所述違反的系統(tǒng)狀態(tài)集合。
5.如權(quán)利要求1所述的方法,進(jìn)一步包括 將構(gòu)件的特征化質(zhì)量狀態(tài)存儲(chǔ)在查找表中;以及利用主機(jī)處理查找表以確定系統(tǒng)的質(zhì)量狀態(tài)。
6.如權(quán)利要求1所述的方法,進(jìn)一步包括使用基于查找表的仿真方法以及基于離散查找表的靜態(tài)分析方法中的至少一種來(lái)檢測(cè)反例;以及將反例自動(dòng)復(fù)制在FT規(guī)約中;其中反例描述了構(gòu)件集合的不同構(gòu)件中的故障值集合,其中所述故障值造成系統(tǒng)以違反FT要求這樣的方式來(lái)表現(xiàn)。
7.如權(quán)利要求6所述的方法,包括使用基于查找表的靜態(tài)分析方法,其中使用基于查找表的靜態(tài)分析方法包括使用以下方法中的至少一種模型校驗(yàn)、布爾可滿(mǎn)足性求解、可滿(mǎn)足性模理論求解以及搜索算法。
8.如權(quán)利要求1所述的方法,進(jìn)一步包括將每一種測(cè)試實(shí)例、故障場(chǎng)景以及容錯(cuò)要求規(guī)約都輸入到主機(jī)內(nèi),其中故障場(chǎng)景是形式為位置、故障類(lèi)型和測(cè)量值的三元組集合; 位置表示受到故障影響的信號(hào);以及故障類(lèi)型和測(cè)量值分別表示誤差的類(lèi)型和測(cè)量值。
9.如權(quán)利要求1所述的方法,其中所述模型包括FT選擇模塊,所述方法進(jìn)一步包括利用FT選擇模塊來(lái)檢測(cè)和選擇無(wú)故障輸入并將無(wú)故障輸入傳送至FT選擇模塊的輸出端。
10.一種適合用于分析系統(tǒng)容錯(cuò)(FT)能力的裝置,所述裝置包括 主機(jī);以及可由主機(jī)存取的實(shí)體介質(zhì),并且在實(shí)體介質(zhì)上記錄定義了容錯(cuò)(FT)要求的形式化集合的功能規(guī)約;其中主機(jī)適合用于 利用主機(jī)生成系統(tǒng)的操作層模型;將模型中構(gòu)件集合的狀態(tài)特征化為離散的查找表(LUT);以及利用離散的查找表和功能規(guī)約來(lái)分析系統(tǒng)的FT能力,其中分析系統(tǒng)的FT能力包括分析系統(tǒng)的邏輯故障和質(zhì)量故障的預(yù)定集合。
全文摘要
提供了用于操作層功能和退化故障分析的方法和裝置。具體提供了一種裝置和方法,用于分析系統(tǒng)的容錯(cuò)性,并且對(duì)不同的容錯(cuò)系統(tǒng)設(shè)計(jì)選擇進(jìn)行“whatif ”分析。該容錯(cuò)分析方法處理源于信號(hào)值精度損失的邏輯故障和質(zhì)量故障。該方法能夠檢測(cè)質(zhì)量故障,這就能夠允許建立起對(duì)精度損失有恢復(fù)性的系統(tǒng)。提供了兩種分析步驟,一種是靜態(tài)的,而另一種是基于仿真的,將其結(jié)合使用以檢驗(yàn)機(jī)動(dòng)車(chē)系統(tǒng)或其他系統(tǒng)的容錯(cuò)性。盡管基于仿真的方法可以在特定的測(cè)試實(shí)例和故障場(chǎng)景下檢驗(yàn)故障的恢復(fù)性,但是靜態(tài)分析方法可以快速地檢驗(yàn)所有的測(cè)試實(shí)例和故障場(chǎng)景。靜態(tài)分析方法進(jìn)行估算同時(shí)執(zhí)行分析,并利用基于仿真的方法復(fù)制任何檢測(cè)到的故障。所有的分析操作都是在應(yīng)用程序的操作層狀態(tài)模型上進(jìn)行的,由此降低了分析成本。
文檔編號(hào)G06F17/50GK102214253SQ20111008368
公開(kāi)日2011年10月12日 申請(qǐng)日期2011年4月1日 優(yōu)先權(quán)日2010年4月2日
發(fā)明者達(dá)斯 D., P. 查克拉巴蒂 P., 辛哈 P. 申請(qǐng)人:克勒格布爾印度理工學(xué)院, 通用汽車(chē)環(huán)球科技運(yùn)作有限責(zé)任公司