[发明专利]一种基于PRISM的抗SEU的可靠性验证方法

权利要求书

1.一种基于PRISM的抗SEU的可靠性验证方法，是一种将形式化验证技术应用于系统早期设计阶段，分析不同加固技术和参数下的系统可靠性、可用性和安全性，帮助设计人员开发出更可靠和更有效的解决方案的一种方法，其特征在于，是一种评估航天航空领域中集成电路器件可靠性、可用性、安全性的验证方法，使用PRISM概率模型检验器考虑内存刷新、冗余等加固技术对系统设计进行建模，建立好的模型能够描述系统能够到达的所有状态。采用CDFG调度(用于故障恢复)，故障检测覆盖率(安全性相关)和特征库(用于提供各组件的单粒子翻转发生概率)。

2.根据权利要求1所述的基于PRISM的抗SEU的可靠性验证方法，其特征在于包含如下步骤：包括如下步骤，A：构建抗单粒子效应可靠性验证平台，搭建PRISM是一个开源概率模型检查器，并进行测试，初始相关配置。B：从高级语言描述(如C/C++)提取的控制流程图(control and data flow graph，CDFG)。C：使用PRISM建模语言对提取出来的CDFG流图进行建模，具体步骤是先将CDFG提取出来，然后使用PRISM建模语言对具有不同配置(可用组件数量)的CDFG和辐射环境下的情况(加固技术、故障发生与恢复等)进行建模。其中组件的故障发生概率是从组件特征库获得的，之后利用PRISM自动验证各种可靠性属性，以检查系统是否满足要求。

3.根据权利要求1所述的基于PRISM的抗SEU的可靠性验证方法，其特征在于，可靠性和可用性分析建模中采用了6种假设，假设组件单独出现故障，并且配置位翻转而导致组件的故障时间和内存刷新间隔遵循指数分布，然后将复杂问题简单化。在众多系统中，数据流组件占设计的绝大部分，故假设只有数据流组件发生故障，假设一次只有一个组件发生SEU故障，确保了马尔科夫链的复杂性较低。假设冷备用组件在活动时只能因为受到宇宙辐射发生故障。冷备用组件用于提供冗余，只有相同类型的组件发生故障时，它才是活动的。假设重新配置和重新调度时间与故障和修复之间的时间相比非常小。假设CTMCs模型中的所有状态都可以被我们分为三种类型：操作正常状态、退化降级状态、失败状态。

4.根据权利要求1所述的基于PRISM的抗SEU的可靠性验证方法，其特征在于，安全性分析建模中，通过引入安全的失败和不安全的失败的概念来改进模型不能处理故障的情形，通过定义组件因为SEU发生的故障被正确检测到，系统重新调度发现剩下的组件的数量已经不足以完成成功的操作，系统进入安全失败状态，不安全的失败状态指的是系统不能检测到组件故障时发生的失败静默行为。如果所有组件故障可以被安全地检测到，系统最终会进入安全的失败状态，但是即使只发生一个不安全故障，系统也会立即进入不安全的失败状态。组件的故障检测覆盖率可以通过条件概率C来确定。

5.根据权利要求4所述的组件的故障检测覆盖率，其特征在于，组件的故障检测覆盖率可以通过条件概率C来确定：条件概率公式C为C＝P(fault detection|fault exitence)，显示了只有两个加法器(包括修复转换)的简单单一组件系统的安全建模。对于这种情况，假设系统至少需要一个加法器才能成功完成操作。最初，系统处于操作正常模式，两个加法器。当一个加法器失败时，如果检测到故障，系统将重新调度，并只继续使用一个加法器。如果未检测到故障，则转移到不安全的失败状态。如果另一个加法器失败，系统将无法继续其操作，因此它将安全地失败。

6.根据权利要求5所述的组件的故障检测覆盖率，其特征在于，将模型中纳入安全性修改假设6中的情形，将假设CTMC中的所有状态可以分为四种类型：(1)操作正常：所有组件功能正常，系统的吞吐量最高。(2)降级退化：至少有一个组件发生故障。(3)安全失败：剩余的无故障组件的数量不足以执行成功的操作，因此吞吐量为0，为了达到安全失败状态，导致系统失败的所有故障必须是安全的。(4)不安全失败：至少有一个故障没有被故障检测算法检测到。组件的失败静默行为立即导致系统进入不安全失败状态。