[发明专利]用于自主系统的开发和实时应用的形式化验证

说明书

本文描述的一个实施例涉及一种用于监督动态系统(例如交通工具)的方法。该方法包括接收系统状态样本，以及针对特定时刻、基于当前系统状态和表示动态系统的系统模型来计算系统状态的可达集合。该方法还包括计算通用规则的特定表现形式的数学表示，并且基于可达集合和通用规则的特定表现形式的数学表示来计算系统状态的允许子集。此外，该方法包括测试系统状态样本是否在允许子集内。

技术领域

本公开涉及用于自主系统的形式化(formal)验证方法，自主系统是，例如，诸如自动驾驶汽车、无人驾驶飞行器(Unmanned Aerial Vehicle，UAV)等自主交通工具，该形式化验证方法可以实时地应用(在交通工具的操作期间“在线”)和在用于检查自主系统是否符合预定义的规则集合的开发过程(“离线”)期间应用。

背景技术

如今，许多机电系统被开发和销售，而没有满足重要的安全标准。该事实的原因是根据可应用的安全标准进行开发的所需的成本和时间付出是相对高的。因此，仅“高端”应用(例如在汽车和航空工业领域中)严格地将该标准应用于系统设计中。

根据应用，机电系统应当根据不同的安全标准来开发，例如，在汽车工业领域中的ISO26262(标题为：“道路车辆.功能安全性”)，用于机器安全性的IEC62061(标题为“机械安全.与安全有关的电气、电子和可编程序电子控制系统的功能安全”)，在铁路工业领域中的EN51028，或在航空工业领域中，为了满足例如欧洲机械指令的要求的D0254/D0178C。它们中的大多数源自元标准IEC 61508。为了做到这一点，所谓的V模型通常是根据这些标准在系统设计(软件和硬件设计)中应用的公认的系统开发过程。

为了根据V模型开发和设计系统，需要大量的开发时间用于测试、文档编制和验证。作为说明性示例，工作流的起点可以是所要求的文本规范。在下一步骤中，开发符合所要求的规范的系统软件模型(例如，使用通用数值计算环境Matlab/Simulink)。为了证明符合所要求的规范，独立开发者接着(四眼原则)在低关键程度的情况下进行审阅，或者第三方审阅者(六眼原则)在系统的高关键程度的情况下额外进行审阅。

为了降低开发成本，MathWorks公司引入了几种基于Matlab的工具，该基于Matlab的工具允许开发过程的部分自动化。这些工具包括自动代码生成、模型中的所要求变化的自动可追踪性、自动测试设计以及系统设计的验证和确认。回顾V模型开发周期，这些工具使“V”的下部部分实现了自动化，而V模型的顶部级别仍然需要必须由工程师“手动”执行的手动工作。

除了在开发过程期间自主系统的有效验证之外，还需要在自主系统(例如，自动驾驶汽车或UAV)的操作期间连续检查和验证系统行为，以便确保实际的系统行为符合由预定义的规则集合(例如，交通规则)指定的所需要的行为。

发明内容

本文描述的一个实施例涉及一种用于监督动态系统(例如交通工具)的方法。该方法包括接收系统状态样本，以及针对特定时刻、基于当前系统状态和表示动态系统的系统模型来计算系统状态的可达集合。该方法还包括计算通用规则的特定表现形式(specificmanifestation)的数学表示，并且基于可达集合和通用规则的特定表现形式的数学表示来计算系统状态的允许子集。此外，该方法包括测试系统状态样本是否在允许子集内。

在一个具体实施例中，系统状态样本由耦接到动态系统的控制器预测(预先计算)，其中预测的系统状态样本是由控制器规划的轨迹的一部分。