[发明专利]定时自动机轨迹中的不可行的识别的有效源

说明书

技术领域

本发明总体涉及控制系统性能的验证，更具体地，涉及定时自动机中的不可行的识别的方法，该定时自动机对于线性时序逻辑规格检查实时系统的抽象模型，并且如果发现反例，使用负循环检测证实或使其无效，识别最小不可行轨迹片段，并细化规格。

背景技术

现代车辆采用多种嵌入式控制系统，以提高车辆的性能、舒适度和安全性。此类操作系统包含发动机控制，悬架控制，和转向控制，还有其他很多种类。实时系统对于它们在嵌入式自动控制系统和在例如飞机的其他应用中的控制系统的验证中的使用是重要的。控制系统的正式验证证明了系统在每个可能的条件下均满足给定性质。如果验证不可行，那么反例将被证明——其中给定性质中故障的轨道中。

一些现有的验证方法计算全部可达状态直到达到固定点，或达到不希望的状态。其他验证方法从不希望的状态逆向工作以寻找所有可导致它的状态。由于可达状态计算的详尽性质，这些方法不能很好地扩展到大的问题程度。这是因为计算机内存需要运行一个正式验证以随着控制系统状态空间中变量数字指数地增长。对于作为自动应用的典型的复杂控制系统，包含的变量的数字使传统的详尽验证方法站不住脚，不论是从计算时间还是内存空间需求来说。

其他验证方法已经被提出，其中反例片段被用来指导线性混合自动机 （LHA）的规格细化。然而，有机会使此方法更有效地用于控制系统，其建模为定时自动机（TA），其是LHA的子集。

发明内容

根据本发明的教导，公开了一种用于验证被建模为定时自动机的实时系统性能的方法。系统的抽象模型依据初始线性时序逻辑规格被检查。如果发现通向不希望状态的路径，反例使用负循环检测被验证或使其无效。如果检测到负循环，进行优化来识别负循环中的最小不可行片段。然后规格被细化以消除最小不可行片段的使用，然后抽象模型依据被细化的规格被检查。

本发明的其他特性将通过以下的描述和所附权利要求并结合附图而变得显而易见。

本发明还提供了以下方案：

1. 一种用于在定时自动机轨迹中识别最小不可行片段的方法，所述方法可在数字计算机上编码的算法中应用，所述方法包括：

提供反例，其中所述反例是到不希望状态的路径，所述不希望状态是通过依据时序逻辑规格来检查定时自动机的抽象模型而被识别的；

使用负循环检测验证所述反例或使所述反例无效；

如果检测到负循环，在所述反例中识别不可行片段；以及

优化所述不可行片段以产生最小不可行片段。

2. 如方案1所述的方法，其特征在于，使用负循环检测验证所述反例或使所述反例无效包括将不等式组表示为带有边界的定向图，所述边界具有距离，并且识别矛盾不等式的集合，在所述集合内边界距离具有为负的和。

3. 如方案1所述的方法，其特征在于，在所述反例中识别不可行片段包括对于一个或多个分量，识别在考虑时钟限制时不可行的位置之间的一个或多个轨迹线。

4. 如方案1所述的方法，其特征在于，优化所述不可行片段包括结合和缩小不等式以产生最小不可行片段，其包括最小数量的位置、轨迹线和分量。

5. 如方案1所述的方法，其特征在于，所述时序逻辑规格是线性时序逻辑（LTL）规格。

6. 一种用于定时自动机中的不可行识别的方法，所述方法可在数字计算机上编码的算法中应用，所述方法包括：

产生所述定时自动机的抽象模型，其中所述抽象模型仅确认实时系统的离散状态属性；

创造线性时序逻辑（LTL）规格，其中所述LTL规格描述被验证的性能属性；

依据所述LTL规格检查所述抽象模型，从而确定到不希望状态的路径是否能够被发现，其中所述到不希望状态的路径被定义为反例；

使用负循环检测验证所述反例或使所述反例无效；

如果检测到负循环，在所述反例中识别不可行片段；

优化所述不可行片段以产生最小不可行片段；以及

细化所述LTL规格以排除所述最小不可行片段。

7. 如方案6所述的方法，其特征在于，依据所述LTL规格检查所述抽象模型包括使用LTL模型检查器，如果所述抽象模型满足所述LTL规格，输出“是”的结果，如果所述抽象模型不满足所述LTL规格，识别所述反例。

8. 如方案6所述的方法，其特征在于，使用负循环检测验证所述反例或使所述反例无效包括确认时钟限制。