CN112560269A - 基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法 - Google Patents

Abstract

本发明提出一种基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，按以下步骤进行：确定系统任务可靠性要求与仿真分析目标；根据系统的FMEA结果提取系统组成单元的关键信息；建立基于Rhapsody状态机的故障仿真模型；将使用场景要素和任务失效判据与所述准确的故障仿真模型元素进行关联；对系统容错能力进行分析，对任务可靠度、平均严重故障时间等任务可靠性定量指标进行评估，最终实现对高容错复杂电子系统的任务可靠性仿真分析与评估。本发明在Rhapsody正常功能仿真模型基础上，建立满足任务可靠性分析需求的故障仿真模型，同时开发一套自动化任务可靠性仿真分析机制和算法，为复杂电子系统任务可靠性分析和评估提供有效手段。

Description

基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析 方法

技术领域

本发明涉及属于电子系统可靠性设计与分析技术领域，涉及一种基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法。

背景技术

任务可靠性是对系统在规定任务剖面内完成规定功能能力的表征，任务可靠性分析是可靠性设计的核心工作之一，主要目的是确定系统中影响任务的关键故障模式及组合，对系统的容错能力、任务可靠性水平进行分析和评估，进而指导系统的余度架构、功能逻辑的设计改进和优化。

传统的任务可靠性建模分析方法主要包括可靠性框图法、故障树等。这些方法对于装备运行周期内故障逻辑固定不变的情况是适用的，但对于具有高容错能力的电子系统，其一般会采用多余度表决、动态功能重构、软件算法重构等复杂设计手段，因此其系统故障逻辑一般是动态的，而且故障是否会影响任务通常与具体的使用场景及输入值紧密相关，传统的任务可靠性建模对于此类系统是不适用的。近几年来新发展的Petri网方法、马尔科夫建模等方法尽管可以解决一部分动态系统任务可靠性建模的问题，但是也存在明显的缺陷。一是其建立的模型不是装备本身的功能模型，多数需要在装备功能原理的基础上进行简化和重建模，这不仅增加了设计师的工作量，而且无法保证模型的真实性、正确性；二是受制于建模语言，此类通用模型只能简单描述系统的状态变化，不能对系统的复杂计算逻辑和算法进行建模，无法对系统的故障重构逻辑进行充分的分析和验证。因此，针对具有高容错能力的电子系统，必须寻求新的任务可靠性建模分析手段。

Rhapsody是IBM公司开发的一个基于模型的系统工程软件工具套件，目前在电子系统基于模型的设计过程中得到了广泛的应用。其建立的状态机模型，不仅可以全面描述系统的单元组成、功能操作、信号流以及状态模式变换，同时还可以采用伪代码或C语言来描述系统的各种复杂逻辑处理，因此是实现高容错复杂系统电子系统任务可靠性分析的有效工具。但是，目前Rhapsody使用过程中主要是对系统功能正常状态的建模，缺乏对系统故障状态和冗余、容错设计逻辑的建模方法，还不能实现对系统任务可靠性的同步分析和评估。

发明内容

本发明的目的在于针对高容错电子系统缺乏有效的任务可靠性分析手段的问题，以目前基于模型的系统工程常用软件工具Rhapsody为基础，提出一种基于Rhapsody状态机的任务可靠性仿真分析方法，在Rhapsody正常功能仿真模型基础上，建立满足任务可靠性分析需求的故障仿真模型，同时开发一套自动化任务可靠性仿真分析机制和算法，为复杂电子系统任务可靠性分析和评估提供有效手段。

具体的，本发明提供一种基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，其包括以下步骤：

S1、确定系统任务可靠性要求与仿真分析目标；

系统任务可靠性要求与仿真分析目标包括典型任务剖面{MP1，…，MPs}、每个典型任务剖面的持续时间{Mt1，…，Mts}以及在每一个典型任务剖面下的任务可靠性要求，所述任务可靠性要求包括任务可靠度R、平均严重故障时间MTTCF和容错能力要求；

S2、根据系统的FMEA结果提取系统组成单元的关键信息；

所述关键信息包括系统组成单元的产品功能、故障模式、局部影响和设计改进措施；

S3、建立基于Rhapsody状态机的故障仿真模型，具体步骤为：

S31、根据系统的功能原理图，建立包含系统正常功能状态的基于Rhapsody状态机的正常仿真模型；

S32、根据步骤S2收集的关键信息和步骤S31建立的正常仿真模型，建立基于Rhapsody状态机的故障仿真模型，步骤如下：

S321、在Rhapsody状态机的正常仿真模型中定义单元的故障模式；

S322、在Rhapsody状态机的正常仿真模型中定义单元故障对自身的影响；

S323、在Rhapsody状态机的正常仿真模型中定义单元故障对其他单元的影响，完成基于Rhapsody状态机的故障仿真模型的建立；

S33、对得到的基于Rhapsody状态机的故障仿真模型进行校核确认，得到准确的故障仿真模型；

在得到的基于Rhapsody状态机的故障仿真模型中设置相关观测点，逐一触发单元故障，并进行校核，如果该故障仿真模型的仿真结果与预期一致，则判定该故障仿真模型为准确的故障仿真模型；如果该故障仿真模型的仿真结果与预期不一致，则重新进行建模过程，直至得到准确的故障仿真模型；

S4、将使用场景要素和任务失效判据与所述准确的故障仿真模型的元素进行关联，得到关联后的故障仿真模型，具体步骤为：

S41、针对每个任务剖面MP_i，确定其关联的使用场景要素；

每个任务关联的使用场景为ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，每个使用场景ConOps_ij的关键要素包括：

输入变量InputVar_i＝{Input_i1,…Input_ij…Input_ip}；

场景时序事件Event_i＝{Event_i1,…Event_ij…Event_ie}；

输出变量Output_i＝{Output_i1,…Output_ijΩOutput_iq}；

其中，ConOps_i为任务剖面MP_i关联的使用场景集合，ConOps_ij为任务剖面MP_i关联的第j个使用场景，Event_ij为任务剖面MP_i关联的第j个场景时序事件，Input_ij为任务剖面MP_i关联的第j个输入变量，Output_ij为任务剖面MP_i关联的第j个输出变量；

S42、将所述使用场景要素与故障仿真模型元素进行关联；

在基于Rhapsody状态机的故障仿真模型中对使用场景进行定义，任何一个场景事件Event_ij都对应于故障仿真模型中的Transition元素，每一个场景事件Event_ij的触发条件采用Transition元素的trigger进行定义，守护条件采用Transition元素的guard进行定义，每个场景事件发生后的系统操作采用action进行定义；场景中任何一个Input_ij变量都对应于状态机模型中的某一attribute元素，attribute的实时取值等于Input_ij变量值；场景中任何一个Output_ij变量都对应于状态机模型中的某一attribute元素，其取值由故障仿真模型仿真得到；

S43、将任务失效判据与故障仿真模型元素进行关联，得到关联后的故障仿真模型；

根据故障仿真模型确定任务失效判据：对于任一使用场景ConOps_ij，其任一任务关键变量Output_ij的取值范围为[ValueDown_ij,ValueUP_ij]，加入仿真后实际取值为Value_ij，则对于任一任务剖面MP_i，当出现以下条件，判定任务失效：

Value_ij＜ValueDown或Value_ij＞ValueDown；

将任务失效判据与故障仿真模型元素进行关联，得到关联后的故障仿真模型；

S5、对系统容错能力进行评估，具体步骤为：

S51、根据系统的容错能力要求，确定需要仿真的故障模式组合最大阶数N；

系统要求容纳N次故障表示需要仿真注入的故障模式组合阶数最大为N阶，当系统单元的故障模式总数为m时，应仿真注入的故障模式序列总数最多为：

其中，

表示从m种故障模式中抽取1个故障模式的有序排列组合数；

表示从m种故障模式中抽取i个故障模式的有序排列组合数；

表示从m种故障模式中抽取N个故障模式的有序排列组合数；

S52、将N阶故障模式组合注入关联后的故障仿真模型中进行仿真，获取仿真分析结果；

针对任一任务剖面MP_i，确定其对应的c个使用场景ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，在每种使用场景ConOps_ij激励下，将N阶故障模式组合注入关联后的故障仿真模型中进行仿真，获取仿真分析结果；

S53、根据仿真分析结果，计算系统能够容纳故障数量，对系统容错能力水平进行评估；

对于任何一个任务剖面MP_i，每种使用场景ConOps_ij条件下，任意一个i阶故障序列FM触发了任务失败条件，该系统能够容纳故障数量Tol_N用表达式Tol_N＝i-1计算，得到对系统容错能力的评估结果；

S6、对系统任务可靠性进行定量评估，具体步骤为；

S61、获得初始故障模式序列FM；

根据系统m种单元故障发生时间的概率密度函数，进行n次随机抽样，第i次抽样得到的故障时间序列FS_i＝{FailTime_i1,…FailTime_ij…FailTime_im}，其中，FailTime_ij为第j个单元在第i次随机抽样时的故障发生时间，按照故障发生时间从小到大，对m种故障模式进行排序后得到故障模式序列FM_i＝{FM_i1,…FM_ij…FM_im}，共计n个初始故障模式序列FM＝{FM₁,…FM_i…FM_n}；

S62、获得删减后的故障模式序列FM'；

对于任何一个任务剖面MP_i，其对应的任务时间为MPT_i，将n个故障序列中所有故障时间大于MPT_i的值去除，得到n个新的故障时间序列，其中第i个新的故障时间序列为FS_i'＝{FailTime_i1',…FailTime_ij'…FailTime_is'}，其中，j∈{1……m}，s＜＝m；按照FS_i'中每个故障时间从小到大，对s种故障模式进行排序后得到故障模式序列FM_i ^/＝{FM_i1 ^/,…FM_ij ^/…FM_is ^/}，共计n^/个故障模式序列

其中n^/＜＝n；

S63、确定任一任务剖面对应的使用场景ConOps_ij；

对于任一任务剖面MP_i，确定其对应的c个使用场景ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，其中ConOps_ij代表第i个任务剖面中的第j个使用场景；

S64、在每种使用场景ConOps_ij下，将FM中所有故障模式组合逐一注入所述关联后的故障仿真模型中进行故障序列组合仿真；

S65、在每种使用场景ConOps_ij下，将FM'中所有故障模式组合逐一注入所述关联后的故障仿真模型中进行故障序列组合仿真；

S66、计算得出系统任务可靠性定量评估结果；

在每次任务完成后系统能够修复如新的条件下，

系统任何一个任务剖面MP_i下的任务可靠度R_i按如下表达式计算：

其中，n^/表示故障序列个数，n_success ^/表示导致任务成功的数目；

任何一个任务剖面MP_i下的不可靠度按如下表达式计算：

F_i＝1-R_i

任何一个任务剖面MP_i下的平均严重故障发生时间MTTCF_i按如下表达式计算：

得出系统任务可靠性定量评估结果。

优选地，步骤S12中所述的容错能力包括系统能够容纳故障的数量。

优选地，，步骤S2中所述的设计改进措施信息应明确该单元与其余单元的功能备份关系，该单元故障后报出的信号类型、信号流向以及该单元发生故障后其他单元的重构行为。

优选地，步骤S322中所述的建模中当两种故障具有相关性时，在Transition元素中进一步定义触发条件trigger、守护条件guard及功能操作影响action。

优选地，步骤S52中所述的注入过程中，对于N阶故障序列，利用Rhapsody脚本机制编制omanimator.config脚本文件，驱动Rhapsody软件自动进行多次故障仿真。

优选地，步骤S321中所有预期的故障模式全部采用Rhapsody的Transition元素进行定义。

优选地，步骤S322中的定义分为两种情况进行处理：当故障发生后不会导致自身状态发生变化时，对故障单元的正常状态State自身增加一个Transition元素，利用Transition元素中action定义局部逻辑影响；当故障发生后导致自身状态发生变化时，则新增一个故障状态，正常状态经故障事件代表的Transition跳转至该故障状态，故障影响在故障事件Transition的action中进行定义或者在故障状态的入口操作、出口操作、内部状态转移中进行定义。

优选地，步骤S323中的定义根据所述关键信息中的局部故障影响、设计改进措施信息进行，对其他单元的影响定义通过单元故障事件发生后，在对应Transition的action中编写对全局属性attribute取值来实现，完成基于Rhapsody状态机的故障仿真模型的建立。

本发明的有益效果如下：

1、本发明在Rhapsody建立的正常功能状态机基础上，针对FMEA中每个实体单元的故障模式、影响及其设计控制措施，进行故障模式及影响建模，其中故障影响既包括对单元自身功能、状态和输出的影响，也包括对外部单元的影响，最终建立一个包含正常、故障行为的综合状态机模型，为可靠性评估奠定基础；

2、本发明引入使用场景概念，将使用场景要素、任务失效判据与Rhapsody状态机模型元素建立关联，使Rhapsody状态机模型具有更强大的模拟仿真功能，提高了可靠性评估的水平；

3、本发明根据任务可靠性验证目标，采用故障时序注入仿真方法和Rhapsody脚本仿真机制，对系统容错能力进行分析，对任务可靠度、平均严重故障时间等任务可靠性定量指标进行评估，最终实现对高容错复杂电子系统的任务可靠性仿真分析与评估。

附图说明

图1是本发明基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法的流程图。

具体实施方式

以下，参照附图1对本发明的实施方式进行说明。

为使本发明要解决的技术问题、技术方案和优点更加清楚，结合具体实例说明其实施方式。

具体地，本发明所提出的一种基于Rhapsody状态机模型的复杂系统任务可靠性仿真分析方法，其包括步骤如下：

S1、确定系统任务可靠性要求与仿真分析目标；

确定系统任务背景信息，包括典型任务剖面，记为{MP1……MPs}，每个任务剖面的持续时间记为{Mt1……Mts}等信息；确定系统在每一任务剖面下的任务可靠性要求，包括任务可靠度R、平均严重故障时间MTTCF、容错能力要求等。容错能力一般指系统可容纳故障的数量，即发生故障组合阶数小于该数量，不会影响系统任务的完成。对于系统容错能力，常用的表述可以是“当核心控制计算机发生1次故障时，系统不能丧失对象控制功能”、“系统相关单元发生两次2次故障情况下，不会导致装备任务失败”等。在此基础上，确定本次任务可靠性分析目标和范围，即分析所针对的任务剖面及其可靠性要求，这决定了后续仿真模型的范围和规模。

S2、根据系统的FMEA结果提取系统组成单元的关键信息；

根据系统的FMEA结果，提取“产品/功能”列、“故障模式”列、“局部影响”列、“设计改进措施”列相关信息；为满足后续建模要求，应在FMEA基础上对“设计改进措施”列进一步细化，至少明确该单元与其余单元的功能备份关系，该单元故障后报出的信号类型、信号流向，以及该单元发生故障后其他单元的重构行为。

S3、建立基于Rhapsody状态机的故障仿真模型，具体步骤如下：

S31、根据系统的功能原理图，建立包含系统正常功能、状态的Rhapsody状态机仿真模型；

S32、根据步骤S2收集的关键信息和步骤S31建立的正常仿真模型，建立基于Rhapsody状态机的故障仿真模型，具体步骤如下：

S321、在Rhapsody正常仿真模型中定义单元的故障模式；

根据步骤S2中收集的系统组成单元故障模式，在Rhapsody正常功能状态机基础上逐一进行定义，所有预期的故障模式全部采用Rhapsody的Transition元素进行定义。

当两种故障具有相关性时，在Transition元素中应进一步定义触发条件trigger、守护条件guard及功能操作影响action，例如当一种故障发生时必然带来另外一种故障发生，可在trigger触发条件中定义故障事件1；当一种故障发生时必然抑制另外一种故障发生时，可在故障2事件相关的guard中定义故障1恒不发生。

S322、在Rhapsody正常仿真模型中定义单元故障对自身的影响；

根据关键信息中的局部影响信息在模型上进行定义，分为两种情况进行处理。

情况一：故障发生后不会导致自身状态发生变化，例如故障导致计算机处理逻辑出错等情况。这时应对故障单元的正常状态State自身增加一个Transition元素，利用Transition元素中action定义局部逻辑影响。

情况二：故障发生后导致自身状态发生变化，例如由正常模式转为降级模式或宕机模式，则应新增一个故障状态，正常状态经故障事件代表的Transition跳转至该故障状态。故障影响可在故障事件Transition的action中进行定义，也可以在故障状态的“入口操作”、“出口操作”、“内部状态转移”中进行定义。

S323、在Rhapsody正常仿真模型中定义单元故障对其他单元影响，完成基于Rhapsody状态机的故障仿真模型的建立；

根据关键信息中的局部故障影响、设计改进措施信息在模型上进行定义，对其他单元的影响建模主要通过单元故障事件发生后，在对应Transition的action中编写对全局属性attribute取值来实现，完成基于Rhapsody状态机的故障仿真模型的建立。

例如备用计算单元在主单元发生故障情况下启用，则可设置一全局变量BackON，正常情况下BackON＝0，代表备用单元不启用；异常情况下BackON＝1，备用单元立即由待机状态跳转到工作状态。在具体建模时，将备用单元的转移条件trigger设置为BackON＝1，当主单元发生故障时，在action中设定BackON＝1，则可实现“主单元故障时，备用单元立即启用”的逻辑建模。

S33、对得到的基于Rhapsody状态机的故障仿真模型进行校核确认，得到准确的故障仿真模型；

在得到的基于Rhapsody状态机的故障仿真模型中设置相关观测点，逐一触发单元故障，进行校核，如果模型的仿真结果与预期一致，则判定模型为准确的故障仿真模型；如果模型的仿真结果与预期不一致，则重新进行建模过程，直至得到准确的故障仿真模型，为后续分析提供准确的模型基础；

S4、将使用场景要素和任务失效判据与准确的故障仿真模型元素进行关联，得到关联后的故障仿真模型，具体步骤如下：

S41、针对每个任务剖面MP_i，确定其关联的使用场景。每个任务关联的使用场景记为ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}。对于每个使用场景ConOps_ij，其关键要素包括：输入变量，记为InputVar_i＝{Input_i1,…Input_ij…Input_ip}；场景时序事件，记为Event_i＝{Event_i1,…Event_ij…Event_ie}；输出变量，记为Output_i＝{Output_i1,…Output_ij…Output_iq}；

其中，ConOps_i为任务剖面MP_i关联的使用场景集合，ConOps_ij为任务剖面MP_i关联的第j个使用场景，Event_ij为任务剖面MP_i关联的第j个场景时序事件，Input_ij为任务剖面MP_i关联的第j个输入变量，Output_ij为任务剖面MP_i关联的第j个输出变量。

S42、将使用场景要素与故障仿真模型元素进行关联。在Rhapsody状态机模型中对使用场景进行定义，任何一个Event_ij都对应于状态机模型中的Transition元素，每一个场景事件Event_ij的触发条件采用Transition元素的trigger进行定义，守护条件采用Transition元素的guard进行定义，每个场景事件发生后的系统操作采用action进行定义；场景中任何一个Input_ij变量都对应于状态机模型中的某一attribute元素，attribute的实时取值等于Input_ij变量值；场景中任何一个Output_ij变量都对应于状态机模型中的某一attribute元素，其取值由状态机模型仿真得到。

S43、将任务失效判据与故障仿真模型元素进行关联，得到关联后的故障仿真模型。

根据模型确定任务失效判据，对于任一使用场景ConOps_ij，其任一任务关键变量Output_ij的取值范围为：[ValueDown_ij,ValueUP_ij]，加入仿真后实际取值为Value_ij，则对于任一任务剖面MP_i，当出现以下条件，判定任务失效：

Value_ij＜ValueDown或Value_ij＞ValueDown；

得到关联后的故障仿真模型。

S5、对系统容错能力进行评估，具体步骤如下：

S51、根据系统的容错能力要求，确定需要仿真的故障模式组合最大阶数，记为N，即如果系统要求容纳N次故障，则需要仿真注入的故障模式组合阶数最大为N阶，当系统单元的故障模式总数为m时，应仿真注入的故障模式序列总数最多为：

其中，

表示从m种故障模式中抽取1个故障模式的有序排列组合数；

表示从m种故障模式中抽取i个故障模式的有序排列组合数；

表示从m种故障模式中抽取N个故障模式的有序排列组合数；

S52、将N阶故障模式组合注入关联后的故障仿真模型中进行仿真，获取仿真分析结果；

针对任何一个任务剖面MP_i，确定其对应的c个使用场景，记为ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，在每种使用场景ConOps_ij激励下，将N阶故障模式组合注入Rhapsody状态机模型中进行仿真，获取仿真分析结果。为降低故障注入组合数量，对于任意一个第i阶故障序列FM＝{FM₁,…,FM_i}，如果低阶故障序列FM^/＝{FM₁,…,FM_j…FM_s}(其中，s<i，且

)已经经过仿真验证会导致任务失败，且故障序列保持不变，则该FM无需再进行仿真注入。

同时，为提升仿真分析的效率，避免人工手动注入故障，对于N阶故障序列，利用Rhapsody脚本机制编制一个omanimator.config脚本文件，驱动Rhapsody软件自动进行多次故障仿真。该脚本的主要构成如下：

go idle//启动仿真器

output+<path>//生成空的结果文件

<instanceName>->GEN(<evFaultName1>)//自动触发第1个单元故障模式

<instanceName>->GEN(<ConOpsi>)//自动触发第i个使用场景所有操作

show<instanceName><state>or<attributes>//显示观测的状态或变量

<instanceName>->GEN(<evFaultNamei>)//自动触发第i个单元故障模式

<instanceName>->GEN(<ConOpsi>)//自动触发第i个使用场景所有操作

……

<instanceName>->GEN(<evFaultNamem>)//自动触发第m个单元故障模式

<instanceName>->GEN(<ConOpsi>)//自动触发第i个使用场景所有操作

output-<path>//将仿真结果自动写入路径文件中

quit

S53、根据仿真分析结果，计算系统可容纳故障数量，对系统容错能力水平进行评估；从仿真结果文件，判断观测值是否满足各使用场景下任务失效判据条件，给出系统容错能力水平评估结果。如果对于任何一个任务剖面MP_i，每种使用场景ConOps_ij条件下，任意一个i阶故障序列FM触发了任务失败条件，则该系统可容纳故障数量Tol_N用下式计算：

Tol_N＝i-1；

得到对系统容错能力的评估结果；

S6、对系统任务可靠性进行定量评估，具体步骤如下：

S61、获得初始故障模式序列FM；

根据系统m种单元故障发生时间的概率密度函数，进行n次随机抽样，第i次抽样得到的故障时间序列记为FS_i＝{FailTime_i1,…FailTime_ij…FailTime_im}，其中，FailTime_ij为第j个单元在第i次随机抽样时的故障发生时间，按照故障发生时间从小到大，对m种故障模式进行排序后得到故障模式序列FM_i＝{FM_i1,…FM_ij…FM_im}，共计n个故障模式序列，记为FM＝{FM₁,…FM_i…FM_n}；

S62、获得删减后的故障模式序列FM'；

对于任何一个任务剖面MP_i，其对应的任务时间为MPT_i，将n个故障序列中所有故障时间大于MPT_i的值去除，得到n个新的故障时间序列，其中第i个新的故障时间序列为FS_i'＝{FailTime_i1',…FailTime_ij'…FailTime_is'}，其中j∈{1…m}；s＜＝m。按照FS_i'中每个故障时间从小到大，对s种故障模式进行排序后得到故障模式序列FM_i ^/＝{FM_i1 ^/,…FM_ij ^/…FM_is ^/}，共计n^/个故障模式序列，记为

其中n^/＜＝n。

S63、确定任一任务剖面对应的使用场景ConOps_ij；

对于任何一个任务剖面MP_i，确定其对应的c个使用场景，记为ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，其中ConOps_ij代表第i个任务剖面中的第j个使用场景。

S64、在每种使用场景ConOps_ij下，将FM中所有故障模式组合逐一注入关联后的故障仿真模型中进行故障序列组合仿真；

在每种使用场景ConOps_ij下，将FM中所有故障模式组合逐一注入关联后的故障仿真模型(Rhapsody状态机模型)中进行故障序列组合仿真(方法同步骤S52)。对于任何一个使用场景下，任意一个FM_i，如果FM_ij注入模型后，任务失败判据条件成立，则FM_ij对应的故障发生时间FailTime_ij为该故障发生时，导致任务失败的最短时间，记为TTCF_i。

S65、在每种使用场景ConOps_ij下，将FM^/中所有故障模式组合逐一注入关联后的故障仿真模型中进行故障序列组合仿真(方法同步骤S52)。对于任何一个使用场景下，任意一个FM_i ^/，如果FM_ij ^/注入模型后，任务失败判据条件成立，则认为第i个故障序列会导致任务失败，否则认为对系统任务无影响。n/个故障序列中，导致任务成功的数目记为n_success/。

S66、计算得出系统任务可靠性定量评估结果；

在每次任务完成后系统可修复如新的条件下，系统任何一个任务剖面MP_i下的任务可靠度R_i按如下公式计算：

任何一个任务剖面MP_i下的不可靠度按如下公式计算：

F_i＝1-R_i

任何一个任务剖面MP_i下的平均严重故障发生时间MTTCF_i按如下公式计算：

得出系统任务可靠性定量评估结果。通过上述步骤完成针对高容错电子系统的任务可靠性建模与仿真分析工作。

在这项技术中，首先确定对象系统的任务可靠性设计需求，明确任务可靠性仿真分析目标；其次，根据系统FMEA结果，提取系统组成单元的功能故障模式、影响及设计控制措施；第三，在Rhapsody建立的正常功能状态机基础上，针对FMEA中每个实体单元的故障模式、影响及其设计控制措施，进行故障模式及影响建模，其中故障影响既包括对单元自身功能、状态和输出的影响，也包括对外部单元的影响，最终建立一个包含正常、故障行为的综合状态机模型；然后引入使用场景概念，将使用场景要素、任务失效判据与Rhapsody状态机模型元素建立关联；最后根据任务可靠性验证目标，采用故障时序注入仿真方法和Rhapsody脚本仿真机制，对系统容错能力进行分析，对任务可靠度、平均严重故障时间等任务可靠性定量指标进行评估，最终实现对高容错复杂电子系统的任务可靠性仿真分析与评估。

本发明申请将Rhapsody状态机建模技术和任务可靠性分析评价方法进行整合与创新，形成了基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法。

以上所述，仅为本发明部分具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，其包括以下步骤：

S1、确定系统任务可靠性要求与仿真分析目标；

系统任务可靠性要求与仿真分析目标包括典型任务剖面{MP1，…，MPs}、每个典型任务剖面的持续时间{Mt1，…，Mts}以及在每一个典型任务剖面下的任务可靠性要求，所述任务可靠性要求包括任务可靠度R、平均严重故障时间MTTCF和容错能力要求；

S2、根据系统的FMEA结果提取系统组成单元的关键信息；

所述关键信息包括系统组成单元的产品功能、故障模式、局部影响和设计改进措施；

S3、建立基于Rhapsody状态机的故障仿真模型，具体步骤为：

S31、根据系统的功能原理图，建立包含系统正常功能状态的基于Rhapsody状态机的正常仿真模型；

S32、根据步骤S2收集的关键信息和步骤S31建立的正常仿真模型，建立基于Rhapsody状态机的故障仿真模型，步骤如下：

S321、在Rhapsody状态机的正常仿真模型中定义单元的故障模式；

S322、在Rhapsody状态机的正常仿真模型中定义单元故障对自身的影响；

S323、在Rhapsody状态机的正常仿真模型中定义单元故障对其他单元的影响，完成基于Rhapsody状态机的故障仿真模型的建立；

S33、对得到的基于Rhapsody状态机的故障仿真模型进行校核确认，得到准确的故障仿真模型；

在得到的基于Rhapsody状态机的故障仿真模型中设置相关观测点，逐一触发单元故障，并进行校核，如果该故障仿真模型的仿真结果与预期一致，则判定该故障仿真模型为准确的故障仿真模型；如果该故障仿真模型的仿真结果与预期不一致，则重新进行建模过程，直至得到准确的故障仿真模型；

S4、将使用场景要素和任务失效判据与所述准确的故障仿真模型的元素进行关联，得到关联后的故障仿真模型，具体步骤为：

S41、针对每个任务剖面MP_i，确定其关联的使用场景要素；

每个任务关联的使用场景为ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，每个使用场景ConOps_ij的关键要素包括：

输入变量InputVar_i＝{Input_i1,…Input_ij…Input_ip}；

场景时序事件Event_i＝{Event_i1,…Event_ij…Event_ie}；

输出变量Output_i＝{Output_i1,…Output_ij…Output_iq}；

其中，ConOps_i为任务剖面MP_i关联的使用场景集合，ConOps_ij为任务剖面MP_i关联的第j个使用场景，Event_ij为任务剖面MP_i关联的第j个场景时序事件，Input_ij为任务剖面MP_i关联的第j个输入变量，Output_ij为任务剖面MP_i关联的第j个输出变量；

S42、将所述使用场景要素与故障仿真模型元素进行关联；

在基于Rhapsody状态机的故障仿真模型中对使用场景进行定义，任何一个场景事件Event_ij都对应于故障仿真模型中的Transition元素，每一个场景事件Event_ij的触发条件采用Transition元素的trigger进行定义，守护条件采用Transition元素的guard进行定义，每个场景事件发生后的系统操作采用action进行定义；场景中任何一个Input_ij变量都对应于状态机模型中的某一attribute元素，attribute的实时取值等于Input_ij变量值；场景中任何一个Output_ij变量都对应于状态机模型中的某一attribute元素，其取值由故障仿真模型仿真得到；

S43、将任务失效判据与故障仿真模型元素进行关联，得到关联后的故障仿真模型；

根据故障仿真模型确定任务失效判据：对于任一使用场景ConOps_ij，其任一任务关键变量Output_ij的取值范围为[ValueDown_ij,ValueUP_ij]，加入仿真后实际取值为Value_ij，则对于任一任务剖面MP_i，当出现以下条件，判定任务失效：

Value_ij＜ValueDown或Value_ij＞ValueDown；

将任务失效判据与故障仿真模型元素进行关联，得到关联后的故障仿真模型；

S5、对系统容错能力进行评估，具体步骤为：

S51、根据系统的容错能力要求，确定需要仿真的故障模式组合最大阶数N；

系统要求容纳N次故障表示需要仿真注入的故障模式组合阶数最大为N阶，当系统单元的故障模式总数为m时，应仿真注入的故障模式序列总数最多为：

其中，

表示从m种故障模式中抽取1个故障模式的有序排列组合数；

表示从m种故障模式中抽取i个故障模式的有序排列组合数；

表示从m种故障模式中抽取N个故障模式的有序排列组合数；

S52、将N阶故障模式组合注入关联后的故障仿真模型中进行仿真，获取仿真分析结果；

针对任一任务剖面MP_i，确定其对应的c个使用场景ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，在每种使用场景ConOps_ij激励下，将N阶故障模式组合注入关联后的故障仿真模型中进行仿真，获取仿真分析结果；

S53、根据仿真分析结果，计算系统能够容纳故障数量，对系统容错能力水平进行评估；

对于任何一个任务剖面MP_i，每种使用场景ConOps_ij条件下，任意一个i阶故障序列FM触发了任务失败条件，该系统能够容纳故障数量Tol_N用表达式Tol_N＝i-1计算，得到对系统容错能力的评估结果；

S6、对系统任务可靠性进行定量评估，具体步骤为；

S61、获得初始故障模式序列FM；

根据系统m种单元故障发生时间的概率密度函数，进行n次随机抽样，第i次抽样得到的故障时间序列FS_i＝{FailTime_i1,…FailTime_ij…FailTime_im}，其中，FailTime_ij为第j个单元在第i次随机抽样时的故障发生时间，按照故障发生时间从小到大，对m种故障模式进行排序后得到故障模式序列FM_i＝{FM_i1,…FM_ij…FM_im}，共计n个初始故障模式序列FM＝{FM₁,…FM_i…FM_n}；

S62、获得删减后的故障模式序列FM'；

对于任何一个任务剖面MP_i，其对应的任务时间为MPT_i，将n个故障序列中所有故障时间大于MPT_i的值去除，得到n个新的故障时间序列，其中第i个新的故障时间序列为FS_i'＝{FailTime_i1',…FailTime_ij'…FailTime_is'}，其中，j∈{1……m}，s＜＝m；按照FS_i'中每个故障时间从小到大，对s种故障模式进行排序后得到故障模式序列FM_i ^/＝{FM_i1 ^/,…FM_ij ^/…FM_is ^/}，共计n^/个故障模式序列

其中n^/＜＝n；

S63、确定任一任务剖面对应的使用场景ConOps_ij；

对于任一任务剖面MP_i，确定其对应的c个使用场景ConOps_i＝{ConOps_i1,…ConOps_ij…ConOps_ic}，其中ConOps_ij代表第i个任务剖面中的第j个使用场景；

S64、在每种使用场景ConOps_ij下，将FM中所有故障模式组合逐一注入所述关联后的故障仿真模型中进行故障序列组合仿真；

S65、在每种使用场景ConOps_ij下，将FM'中所有故障模式组合逐一注入所述关联后的故障仿真模型中进行故障序列组合仿真；

S66、计算得出系统任务可靠性定量评估结果；

在每次任务完成后系统能够修复如新的条件下，

系统任何一个任务剖面MP_i下的任务可靠度R_i按如下表达式计算：

其中，n^/表示故障序列个数，n_success ^/表示导致任务成功的数目；

任何一个任务剖面MP_i下的不可靠度按如下表达式计算：

F_i＝1-R_i

任何一个任务剖面MP_i下的平均严重故障发生时间MTTCF_i按如下表达式计算：

得出系统任务可靠性定量评估结果。

2.根据权利要求1所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S12中所述的容错能力包括系统能够容纳故障的数量。

3.根据权利要求1所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S2中所述的设计改进措施信息应明确该单元与其余单元的功能备份关系，该单元故障后报出的信号类型、信号流向以及该单元发生故障后其他单元的重构行为。

4.根据权利要求3所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S322中所述的建模中当两种故障具有相关性时，在Transition元素中进一步定义触发条件trigger、守护条件guard及功能操作影响action。

5.根据权利要求3所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S52中所述的注入过程中，对于N阶故障序列，利用Rhapsody脚本机制编制omanimator.config脚本文件，驱动Rhapsody软件自动进行多次故障仿真。

6.根据权利要求1所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S321中所有预期的故障模式全部采用Rhapsody的Transition元素进行定义。

7.根据权利要求1所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S322中的定义分为两种情况进行处理：当故障发生后不会导致自身状态发生变化时，对故障单元的正常状态State自身增加一个Transition元素，利用Transition元素中action定义局部逻辑影响；当故障发生后导致自身状态发生变化时，则新增一个故障状态，正常状态经故障事件代表的Transition跳转至该故障状态，故障影响在故障事件Transition的action中进行定义或者在故障状态的入口操作、出口操作、内部状态转移中进行定义。

8.根据权利要求1所述的基于Rhapsody状态机的高容错电子系统任务可靠性仿真分析方法，其特征在于，步骤S323中的定义根据所述关键信息中的局部故障影响、设计改进措施信息进行，对其他单元的影响定义通过单元故障事件发生后，在对应Transition的action中编写对全局属性attribute取值来实现，完成基于Rhapsody状态机的故障仿真模型的建立。

Images