CN117555217B - 面向冗余结构的安全刹车控制系统的设计方法及装置 - Google Patents
面向冗余结构的安全刹车控制系统的设计方法及装置 Download PDFInfo
- Publication number
- CN117555217B CN117555217B CN202410029921.4A CN202410029921A CN117555217B CN 117555217 B CN117555217 B CN 117555217B CN 202410029921 A CN202410029921 A CN 202410029921A CN 117555217 B CN117555217 B CN 117555217B
- Authority
- CN
- China
- Prior art keywords
- contract
- functional
- brake system
- bscu
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013461 design Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000010586 diagram Methods 0.000 claims abstract description 61
- 230000006399 behavior Effects 0.000 claims abstract description 43
- 238000012360 testing method Methods 0.000 claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims abstract description 17
- 238000013507 mapping Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 19
- 238000012795 verification Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012942 design verification Methods 0.000 claims description 9
- 230000002045 lasting effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 101100272279 Beauveria bassiana Beas gene Proteins 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64F—GROUND OR AIRCRAFT-CARRIER-DECK INSTALLATIONS SPECIALLY ADAPTED FOR USE IN CONNECTION WITH AIRCRAFT; DESIGNING, MANUFACTURING, ASSEMBLING, CLEANING, MAINTAINING OR REPAIRING AIRCRAFT, NOT OTHERWISE PROVIDED FOR; HANDLING, TRANSPORTING, TESTING OR INSPECTING AIRCRAFT COMPONENTS, NOT OTHERWISE PROVIDED FOR
- B64F5/00—Designing, manufacturing, assembling, cleaning, maintaining or repairing aircraft, not otherwise provided for; Handling, transporting, testing or inspecting aircraft components, not otherwise provided for
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Manufacturing & Machinery (AREA)
- Transportation (AREA)
- Aviation & Aerospace Engineering (AREA)
- Regulating Braking Force (AREA)
- Valves And Accessory Devices For Braking Systems (AREA)
Abstract
本发明公开了一种面向冗余结构的安全刹车控制系统的设计方法及装置,涉及安全性分析领域,包括:确定飞机的安全刹车控制系统的系统级事故和危险,明确各组件的功能需求;设计分层次的控制结构图,根据各组件的功能需求和控制结构图定义各组件的功能性契约;验证和测试功能性契约的正确性和一致性,若通过,则识别不安全控制行为和组件级的致因场景;将致因场景表示成安全性契约,并添加对应的组件中,与功能性契约构成理想模型定义的契约,验证和测试理想模型定义的契约的正确性和一致性;设计安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证是否满足理想模型定义的契约的约束,解决设计不统一、复杂性高的问题。
Description
技术领域
本发明涉及产品安全性分析领域,具体涉及一种面向冗余结构的安全刹车控制系统的设计方法及装置。
背景技术
随着飞机研制技术的发展,航空运输的安全性、经济性和舒适性都得到有效提高。其中,民用飞机对安全性的要求贯穿整个寿命周期,保证飞机运行的安全性一直是航空业的首要目标。飞机刹车子系统(WBS)主要用于飞机在地面行驶和降落时的制动操作,对飞行安全至关重要。为了防止飞机在地面行驶和降落时发生灾难性的事故,在民用航空器研制阶段,需要对飞机进行系统化的安全性分析、设计与验证工作。
现在在许多复杂系统事故中,其中没有发生组件失效,而是非故障组件之间的不安全交互导致了损失。现有的故障树分析、事件树分析等传统的安全分析方法未能解决这些事故的新原因。而能够解决新原因的STPA方法存在证明分层正确性的问题。设计方面,在形式化验证领域有着大量的方法和工具,但是由于实际工业应用的复杂性等原因,在使用过程面临着许多困难。契约式设计通过明确定义和验证软件组件之间的接口和行为规范,以提高软件系统的可靠性、可维护性和可复用性,适用于复杂系统。但是其安全性取决于契约本身,依旧存在着如何提高安全性的问题。
发明内容
针对上述提到的技术问题。本申请的实施例的目的在于提出了一种面向冗余结构的安全刹车控制系统的设计方法及装置,来解决以上背景技术部分提到的技术问题,通过合理的分层建模和安全分析,这使得设计各种这样的系统可以通过一种统一和通用的方式进行设计,并到达了降低设计复杂性,提高设计安全性的目的。
第一方面,本发明提供了一种面向冗余结构的安全刹车控制系统的设计方法,包括以下步骤:
S1,确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求;
S2,设计基于安全刹车控制系统的分层次的控制结构图,根据各组件的功能需求和控制结构图定义各组件的功能性契约;
S3,验证和测试功能性契约的正确性和一致性并确定是否通过,若不通过,则重复步骤S2-S3,若通过,则识别不安全控制行为和组件级的致因场景;
S4,将组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与功能性契约构成理想模型定义的契约,验证和测试理想模型定义的契约的正确性和一致性并确定是否通过,若不通过,则重复步骤S2-S4;若通过,则确定理想模型定义的契约并进入步骤S5;
S5,设计安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,若满足,则完成安全刹车控制系统的产品设计,若不满足,则重复步骤S5。
作为优选,确定飞机的安全刹车控制系统的系统级事故和危险,具体包括:
基于飞机运行工况和运行环境构建飞机的安全刹车控制系统的系统级安全约束表,系统级安全约束表中包括系统级事故及对应的系统级危险。
作为优选,安全刹车控制系统包括轮刹系统,控制结构图包括轮刹系统的控制结构图、轮刹系统及其子系统的控制结构图和轮刹系统及其子系统中各组件的控制结构图,分别表示轮刹系统、轮刹系统中的子系统和轮刹系统及其子系统中各组件之间的控制行为和反馈行为,轮刹系统的子系统包括刹车系统控制单元BSCU和液压系统,刹车系统控制单元BSCU的组件包括第一子单元subBSCU1、第二子单元subBSCU2和开关Switch,液压系统的组件包括主液压、第一液压传感器、备用液压、第二液压传感器和蓄电池。
作为优选,根据各组件的功能需求和控制结构图定义功能性契约,具体包括:
根据轮刹系统的控制结构图和轮刹系统的功能需求定义轮刹系统的功能性契约,轮刹系统的功能性契约中的假设为轮刹系统的输入是/>中的某个值,其中/>表示一组连续的值,对应的保证为轮刹系统输出的制动力应满足制动函数/>;
根据轮刹系统及其子系统的控制结构图和轮刹系统的子系统的功能需求定义轮刹系统的子系统的功能性契约,刹车系统控制单元BSCU的功能性契约中的假设为刹车系统控制单元BSCU的输入是/>中的某个值,对应的保证为刹车系统控制单元BSCU输出的制动命令/>应满足制动函数/>,液压系统的功能性契约中的假设为无,保证为液压系统输出的制动力/>为输入;
根据轮刹系统及其子系统中各组件的控制结构图和轮刹系统中各组件的功能需求定义轮刹系统的子系统中各组件的功能性契约,第一子单元subBSCU1和第二子单元subBSCU2单独计算,当第一子单元subBSCU1和第二子单元subBSCU2中的其中一个存在故障时,由开关Switch切换到另一个进行工作;第一子单元subBSCU1和第二子单元subBSCU2的功能性契约中的假设为输入是/>中的某个值,x为1或2,对应的保证为:当第一子单元subBSCU1或第二子单元subBSCU2的输入/>等于第一子单元subBSCU1或第二子单元subBSCU2的输出/>时,第一子单元subBSCU1或第二子单元subBSCU2的使能/>为真,第一子单元subBSCU1或第二子单元subBSCU2的输入/>不等于第一子单元subBSCU1或第二子单元subBSCU2的输出/>时,第一子单元subBSCU1或第二子单元subBSCU2的使能/>为假;开关Switch的功能性契约中的假设为无,对应的保证为开关Switch的使能/>为第一子单元subBSCU1的使能/>或第二子单元subBSCU1的使能/>,当第一子单元subBSCU1的使能/>为真时,开关Switch输出的切换命令/>为/>;当第一子单元subBSCU1的使能/>为假,且第二子单元subBSCU1的使能/>为真时,开关Switch输出的切换命令/>为/>,否则开关Switch输出的切换命令/>为-1;
主液压的功能性契约中的假设为无,对应的保证为当主液压的输入为真时,主液压的输出/>为切换命令/>,反之为-1;第一液压传感器的功能性契约中的假设为无,对应的保证为当主液压的输出时,第一液压传感器的输出为假,反之第一液压传感器的输出为真;备用液压的功能性契约中的假设为无,对应的保证为当开关Switch的使能为假或第一液压传感器的输出为真时,备用液压的输出/>满足制动函数/>,反之备用液压的输出/>为-1;第二液压传感器的功能性契约中的假设为无,对应的保证为当备用液压的输出/>不等于-1,且/>时,第二液压传感器的输出为假,反之第二液压传感器的输出为真;蓄电池的功能性契约中的假设为无,对应的保证为当第二液压传感器的输出为真时,蓄电池的输出/>为/>。
作为优选,验证和测试功能性契约的正确性和一致性并确定是否通过,具体包括:
将作为所有可能的输入,记作/>,满足功能性契约的输出记作/>,两者之间的映射为/>;
遍历轮刹系统的功能性契约、轮刹系统的子系统的功能性契约、轮刹系统的子系统中各组件的功能性契约,若每个功能性契约中的假设和保证能够使映射成立,则确定为通过,否则确定为不通过。
作为优选,识别不安全控制行为和组件级的致因场景,具体包括:
对安全刹车控制系统中的每一个控制行为进行分析,得到一组与危险对应的不安全控制行为,不安全的控制行为的类型包括未提供控制操作、提供了不安全的控制操作但会导致危险、提供了控制操作但是操作执行得过早、过迟或以错误的顺序被执行、提供了控制操作但是操作过早停止或持续时间过长;
将不安全控制行为对应到各组件上,并分析得到致因场景。
作为优选,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,具体包括:
设有限状态机的每个路径具有映射为;
遍历有限状态机的每个路径,验证路径的映射是否满足理想模型定义的契约的约束。
第二方面,本发明提供了一种面向冗余结构的安全刹车控制系统的设计装置,包括:
功能需求确定模块,被配置为确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求;
功能性契约定义模块,被配置为设计基于安全刹车控制系统的分层次的控制结构图,根据各组件的功能需求和控制结构图定义各组件的功能性契约;
功能性契约验证模块,被配置为验证和测试功能性契约的正确性和一致性并确定是否通过,若不通过,则重复执行功能性契约定义模块至功能性契约验证模块,若通过,则识别不安全控制行为和组件级的致因场景;
理想模型定义的契约验证模块,被配置为将组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与功能性契约构成理想模型定义的契约,验证和测试理想模型定义的契约的正确性和一致性并确定是否通过,若不通过,则重复执行功能性契约定义模块至理想模型定义的契约验证模块;若通过,则确定理想模型定义的契约并执行产品设计验证模块;
产品设计验证模块,被配置为设计安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,若满足,则完成安全刹车控制系统的产品设计,若不满足,则重复执行产品设计验证模块。
第三方面,本发明提供了一种电子设备,包括一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
相比于现有技术,本发明具有以下有益效果:
(1)本发明提出的面向冗余结构的安全刹车控制系统的设计方法将STPA安全分析方法与契约式设计相融合,以全面考虑系统的功能性和安全性,克服了STPA人工分层的不可靠性,从而进一步强化了契约式设计的安全性。
(2)本发明提出的面向冗余结构的安全刹车控制系统的设计方法构建STPA模型不同层级的安全需求,对应不同精化模型形成对应安全性契约,提升证明的自动化程度。
(3)本发明提出的面向冗余结构的安全刹车控制系统的设计方法通过层次化和精化的策略,将安全约束分解到每一个组件上,从而有效地降低建模过程的整体复杂性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的一个实施例可以应用于其中的示例性装置架构图;
图2为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的流程示意图;
图3为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的流程框图;
图4为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的契约式设计和层次化的STPA的流程示意图;
图5为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的轮刹系统的控制结构图;
图6为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的轮刹系统及其子系统的控制结构图;
图7为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的轮刹系统及其子系统中各组件的控制结构图;
图8为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的轮刹系统及其子系统对应的理想模型的示意图;
图9为本申请的实施例的面向冗余结构的安全刹车控制系统的设计方法的轮刹系统及其子系统中各组件对应的理想模型的示意图;
图10为本申请的实施例的面向冗余结构的安全刹车控制系统的设计装置的示意图;
图11是适于用来实现本申请实施例的电子设备的计算机装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示出了可以应用本申请实施例的面向冗余结构的安全刹车控制系统的设计方法或面向冗余结构的安全刹车控制系统的设计装置的示例性装置架构100。
如图1所示,装置架构100可以包括终端设备一101、终端设备二102、终端设备三103,网络104和服务器105。网络104用以在终端设备一101、终端设备二102、终端设备三103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备一101、终端设备二102、终端设备三103通过网络104与服务器105交互,以接收或发送消息等。终端设备一101、终端设备二102、终端设备三103上可以安装有各种应用,例如数据处理类应用、文件处理类应用等。
终端设备一101、终端设备二102、终端设备三103可以是硬件,也可以是软件。当终端设备一101、终端设备二102、终端设备三103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备一101、终端设备二102、终端设备三103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备一101、终端设备二102、终端设备三103上传的文件或数据进行处理的后台数据处理服务器。后台数据处理服务器可以对获取的文件或数据进行处理,生成处理结果。
需要说明的是,本申请实施例所提供的面向冗余结构的安全刹车控制系统的设计方法可以由服务器105执行,也可以由终端设备一101、终端设备二102、终端设备三103执行,相应地,面向冗余结构的安全刹车控制系统的设计装置可以设置于服务器105中,也可以设置于终端设备一101、终端设备二102、终端设备三103中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。在所处理的数据不需要从远程获取的情况下,上述装置架构可以不包括网络,而只需服务器或终端设备。
图2示出了本申请的实施例提供的一种面向冗余结构的安全刹车控制系统的设计方法,包括以下步骤:
S1,确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求。
在具体的实施例中,确定飞机的安全刹车控制系统的系统级事故和危险,具体包括:
基于飞机运行工况和运行环境构建飞机的安全刹车控制系统的系统级安全约束表,系统级安全约束表中包括系统级事故及对应的系统级危险。
具体的,参考图3,本申请的实施例将STPA(Systems-Theoretic ProcessAnalysis)技术与契约式设计技术结合,并应用于飞机的安全刹车控制系统的设计。由于层次化STPA和契约式设计结构上的相似性,我们认为两种方法可以是一种互补的关系。一方面,契约式设计的分层性质决定了它可以证明STPA分层的正确性;另一方面, STPA导出的安全约束也可以转化为安全性契约提高其安全性。STPA是基于STMAP(Systems-TheoreticAccident Model and Processes)的一种危险分析方法,该方法将系统作为一个整体进行分析,而不是在组件层面进行分析,并已经被证明是一种有效的风险评估工具。参考图4,基本的STPA 方法可以分为以下四个步骤:
a)确定系统级事故和危险;
b)绘制系统的控制结构图;
c)识别不安全控制行为;
d)识别致因场景。
契约式设计是一种软件工程方法,它通过明确定义和验证软件系统中的各组件之间的接口和行为规范,以形成契约,以提高软件系统的可靠性、可维护性和可复用性。该契约规定了组件的输入、输出和行为规范,强调了规范、验证和追踪契约,有助于确保软件系统的各个组件之间保持一致性和互操作性,降低开发过程中的错误率,并提高系统的质量和可靠性。基于契约的设计的优点是可以执行逐步细化、组合验证和组件重用。
步骤S1的具体过程如下:
基于飞机运行工况和运行环境构建飞机的安全刹车控制系统的系统级安全约束表,该系统级安全约束表包括系统级事故及对应的系统级危险。飞机的安全刹车控制系统的安全总目标为该安全刹车控制系统所不能接受的事故,比如飞机的轮刹系统(以下简称为WBS)中,系统级事故可定义为以下三类:人员受伤或死亡、飞机机体遭到结构破坏、地面设施和设备的损坏,如表1所示。
表1
将系统级事故限制到该系统可控的部分,从而得到由于系统故障导致的事故,称为系统级危险,下表2示出了WBS系统中的系统级危险与系统级事故的对应关系,即系统级安全约束表。
表2
S2,设计基于安全刹车控制系统的分层次的控制结构图,根据各组件的功能需求和控制结构图定义各组件的功能性契约。
在具体的实施例中,安全刹车控制系统包括轮刹系统,控制结构图包括轮刹系统的控制结构图、轮刹系统及其子系统的控制结构图和轮刹系统及其子系统中各组件的控制结构图,分别表示轮刹系统、轮刹系统中的子系统和轮刹系统及其子系统中各组件之间的控制行为和反馈行为,轮刹系统的子系统包括刹车系统控制单元BSCU和液压系统,刹车系统控制单元BSCU的组件包括第一子单元subBSCU1、第二子单元subBSCU2和开关Switch,液压系统的组件包括主液压、第一液压传感器、备用液压、第二液压传感器和蓄电池。
具体的,由于系统复杂性增加,分析难度的加大。本申请的实施例中采用分层的方式来实现安全刹车控制系统的控制结构图的构建,即采用分层次的精化思想得到控制结构图。如图5-7所示为WBS系统的分层次的控制结构图的精化过程,其中,实线代表控制行为以及信息反馈。图5的初始的控制结构图只绘制出WBS系统的控制行为,忽略其内部结构和具体的工作过程。从图6开始逐层深入,分析WBS系统的内部结构和具体的工作模式,依次类推,图7中已经精化到最小的组件。根据专家经验绘制的控制结构图,层次是一种“递进”的关系,由抽象到具体层层精化,系统→子系统→…→组件。
在具体的实施例中,根据各组件的功能需求和控制结构图定义功能性契约,具体包括:
根据轮刹系统的控制结构图和轮刹系统的功能需求定义轮刹系统的功能性契约,轮刹系统的功能性契约中的假设为轮刹系统的输入是/>中的某个值,其中/>表示一组连续的值,对应的保证为轮刹系统输出的制动力应满足制动函数/>;
根据轮刹系统及其子系统的控制结构图和轮刹系统的子系统的功能需求定义轮刹系统的子系统的功能性契约,刹车系统控制单元BSCU的功能性契约中的假设为刹车系统控制单元BSCU的输入是/>中的某个值,对应的保证为刹车系统控制单元BSCU输出的制动命令/>应满足制动函数/>,液压系统的功能性契约中的假设为无,保证为液压系统输出的制动力/>为输入;
根据轮刹系统及其子系统中各组件的控制结构图和轮刹系统中各组件的功能需求定义轮刹系统的子系统中各组件的功能性契约,第一子单元subBSCU1和第二子单元subBSCU2单独计算,当第一子单元subBSCU1和第二子单元subBSCU2中的其中一个存在故障时,由开关Switch切换到另一个进行工作;第一子单元subBSCU1和第二子单元subBSCU2的功能性契约中的假设为输入是/>中的某个值,x为1或2,对应的保证为:当第一子单元subBSCU1或第二子单元subBSCU2的输入/>等于第一子单元subBSCU1或第二子单元subBSCU2的输出/>时,第一子单元subBSCU1或第二子单元subBSCU2的使能/>为真,第一子单元subBSCU1或第二子单元subBSCU2的输入/>不等于第一子单元subBSCU1或第二子单元subBSCU2的输出/>时,第一子单元subBSCU1或第二子单元subBSCU2的使能/>为假;开关Switch的功能性契约中的假设为无,对应的保证为开关Switch的使能/>为第一子单元subBSCU1的使能/>或第二子单元subBSCU1的使能/>,当第一子单元subBSCU1的使能/>为真时,开关Switch输出的切换命令/>为/>;当第一子单元subBSCU1的使能/>为假,且第二子单元subBSCU1的使能/>为真时,开关Switch输出的切换命令/>为/>,否则开关Switch输出的切换命令/>为-1;
主液压的功能性契约中的假设为无,对应的保证为当主液压的输入为真时,主液压的输出/>为切换命令/>,反之为-1;第一液压传感器的功能性契约中的假设为无,对应的保证为当主液压的输出时,第一液压传感器的输出为假,反之第一液压传感器的输出为真;备用液压的功能性契约中的假设为无,对应的保证为当开关Switch的使能为假或第一液压传感器的输出为真时,备用液压的输出/>满足制动函数/>,反之备用液压的输出/>为-1;第二液压传感器的功能性契约中的假设为无,对应的保证为当备用液压的输出/>不等于-1,且/>时,第二液压传感器的输出为假,反之第二液压传感器的输出为真;蓄电池的功能性契约中的假设为无,对应的保证为当第二液压传感器的输出为真时,蓄电池的输出/>为/>。
具体的,定义了一组连续的值作为测试的可能的值。本申请的实施例中所定义的功能性契约包含一组假设和保证。当输入的假设是成立的,那么由组件来提供保证,可以理解为对组件的约束。参考图8和图9,基于控制结构图得到理想模型,理想模型中包含相邻层级中的每个组件之间的输入、输出和契约,通过理想模型中定义的契约对输入和输出进行限制。为了降低组件故障的风险,开始考虑冗余。刹车系统控制单元BSCU中定义了第一子单元subBSCU1、第二子单元subBSCU2和开关Switch,第一子单元subBSCU1、第二子单元subBSCU2为一组冗余。液压系统也考虑了冗余,有两套液压以及一个蓄电池供压。正常情况下由主液压/>提供液压,当刹车系统控制单元BSCU故障或自身供压不足时,切换到备用液压/>。当备用液压/>供压不足时,由备用液压和蓄电池一起提供液压,并且分别由第一液压传感器和第二液压传感器判断主液压和备用液压/>的液压是否过低。
S3,验证和测试功能性契约的正确性和一致性并确定是否通过,若不通过,则重复步骤S2-S3,若通过,则识别不安全控制行为和组件级的致因场景。
在具体的实施例中,验证和测试功能性契约的正确性和一致性并确定是否通过,具体包括:
将作为所有可能的输入,记作/>,满足功能性契约的输出记作/>,两者之间的映射为/>;
遍历轮刹系统的功能性契约、轮刹系统的子系统的功能性契约、轮刹系统的子系统中各组件的功能性契约,若每个功能性契约中的假设和保证能够使映射成立,则确定为通过,否则确定为不通过。
在具体的实施例中,识别不安全控制行为和组件级的致因场景,具体包括:
对安全刹车控制系统中的每一个控制行为进行分析,得到一组与危险对应的不安全控制行为,不安全的控制行为的类型包括未提供控制操作、提供了不安全的控制操作但会导致危险、提供了控制操作但是操作执行得过早、过迟或以错误的顺序被执行、提供了控制操作但是操作过早停止或持续时间过长;
将不安全控制行为对应到各组件上,并分析得到致因场景。
具体的,在验证WBS系统的功能性契约中的假设和保证,能否通过组合BSCU和液压系统的假设和保证来共同完成时,通过计算机遍历出所有可能满足的路径进行测试和检验。也就是说针对符合条件的输入会有不同的路径(可能有多条),得到不同的输出,而计算机就通过遍历所有的可能性,看是否有违反契约的路径。具体来说,为所有可能的输入,记作/>,满足WBS系统的功能性契约的输出记作/>,两者之间的映射为/>,若通过组合刹车系统控制单元BSCU和液压系统的假设和保证可以使该映射成立,则成功验证了WBS系统到刹车系统控制单元BSCU和液压系统的精化是成立的。反之,不成立,则重新修改控制结构图,重复步骤S2-S3。依次类推,同样可以验证刹车系统控制单元BSCU到第一子单元subBSCU1、第二子单元subBSCU2和开关Switch的精化以及液压系统的组件到主液压、第一液压传感器、备用液压、第二液压传感器和蓄电池的精化是否成立,以此来验证步骤S2中所设计的分层次的控制结构图的正确性。
S4,将组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与功能性契约构成理想模型定义的契约,验证和测试理想模型定义的契约的正确性和一致性并确定是否通过,若不通过,则重复步骤S2-S4;若通过,则确定理想模型定义的契约并进入步骤S5。
具体的,基于系统级安全约束表采用STPA分析方法,确定分层次的控制结构图的安全分析结果,安全分析结果包括不安全控制行为以及组件级的致因场景。参考表3,不安全的控制行为可通过以下四个类型涵盖:
a)未提供控制操作(对应表3中的未提供);
b)提供了不安全的控制操作,会导致危险(对应表3中的提供);
c)提供了控制操作,但是操作执行得过早、过迟或以错误的顺序被执行(对应表3中的错误的时机或时序);
d)提供了控制操作,但是操作过早停止或持续时间过长 (对应表3中的结束太快或作用时间过长)。
表3
对于安全刹车控制系统中的每一个控制行为,均按照以上四种类型分析是否会引发危险,确定引发的危险类型。根据不安全控制行为进行深入的分析,追溯到组件上,分析致因场景。表4为刹车系统控制单元BSCU部分的致因场景。
表4
将自然语言的致因场景表述成了计算机可以识别的LTL语言,得到安全性契约,并添加到对应的组件中,与组件中的功能性契约构成理想模型中定义的契约,即理想模型中定义的契约包括功能性的契约和安全性的契约,表5为转换后的安全性契约。采用与功能性契约同样的方式验证和测试理想模型中定义的契约的正确性和一致性,若验证不通过,则重新修改控制结构图,重复步骤S2-S4,直到安全性契约和功能性契约都通过验证,则证明理想模型的正确性。
表5
S5,设计安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,若满足,则完成安全刹车控制系统的产品设计,若不满足,则重复步骤S5。
在具体的实施例中,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,具体包括:
设有限状态机的每个路径具有映射为;
遍历有限状态机的每个路径,验证路径的映射是否满足理想模型定义的契约的约束。
具体的,设计安全刹车控制系统中各组件对应的实际产品,将实际产品用NuSMV语言描述成有限状态机,通过有限状态机定义每个路径的接口,利用NuSMV检测器将有限状态机中的每条路径采用理想模型进行检测,检测是否违反理想模型中定义的契约,即是否满足理想模型定义的契约的约束,若不满足,则重复步骤S5,重新修改安全刹车控制系统中各组件的产品的设计,直至有限状态机中的所有路径完全满足理想模型定义的契约的约束,以此来保证安全刹车控制系统中各组件的产品设计的正确性。
进一步参考图10,作为对上述各图所示方法的实现,本申请提供了一种面向冗余结构的安全刹车控制系统的设计装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
本申请实施例提供了一种面向冗余结构的安全刹车控制系统的设计装置,包括:
功能需求确定模块1,被配置为确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求;
功能性契约定义模块2,被配置为设计基于安全刹车控制系统的分层次的控制结构图,根据各组件的功能需求和控制结构图定义各组件功能性契约;
功能性契约验证模块3,被配置为验证和测试功能性契约的正确性和一致性并确定是否通过,若不通过,则重复执行功能性契约定义模块2至功能性契约验证模块3,若通过,则识别不安全控制行为和组件级的致因场景;
理想模型定义的契约验证模块4,被配置为将组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与功能性契约构成理想模型定义的契约,验证和测试理想模型定义的契约的正确性和一致性并确定是否通过,若不通过,则重复执行功能性契约定义模块2至理想模型定义的契约验证模块4;若通过,则确定理想模型定义的契约并执行产品设计验证模块5;
产品设计验证模块5,被配置为设计安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,若满足,则完成安全刹车控制系统的产品设计,若不满足,则重复执行产品设计验证模块5。
下面参考图11,其示出了适于用来实现本申请实施例的电子设备(例如图1所示的服务器或终端设备)的计算机装置1100的结构示意图。图11示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图11所示,计算机装置1100包括中央处理单元(CPU)1101和图形处理器(GPU)1102,其可以根据存储在只读存储器(ROM)1103中的程序或者从存储部分1109加载到随机访问存储器(RAM)1104中的程序而执行各种适当的动作和处理。在RAM 1104中,还存储有计算机装置1100操作所需的各种程序和数据。CPU 1101、GPU1102、ROM 1103以及RAM 1104通过总线1105彼此相连。输入/输出(I/O)接口1106也连接至总线1105。
以下部件连接至I/O接口1106:包括键盘、鼠标等的输入部分1107;包括诸如、液晶显示器(LCD)等以及扬声器等的输出部分1108;包括硬盘等的存储部分1109;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1110。通信部分1110经由诸如因特网的网络执行通信处理。驱动器1111也可以根据需要连接至I/O接口1106。可拆卸介质1112,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1111上,以便于从其上读出的计算机程序根据需要被安装入存储部分1109。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1110从网络上被下载和安装,和/或从可拆卸介质1112被安装。在该计算机程序被中央处理单元(CPU)1101和图形处理器(GPU)1102执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线或半导体的装置、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行装置、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行装置、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,也可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,该模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求;设计基于安全刹车控制系统的分层次的控制结构图,根据各组件的功能需求和控制结构图定义各组件的功能性契约;验证和测试功能性契约的正确性和一致性并确定是否通过,若不通过,则重复以上步骤,若通过,则识别不安全控制行为和组件级的致因场景;将组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与功能性契约构成理想模型定义的契约,验证和测试理想模型定义的契约的正确性和一致性并确定是否通过,若不通过,则重复以上步骤;若通过,则确定理想模型定义的契约并进入下一步骤;设计安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证有限状态机中的所有路径是否满足理想模型定义的契约的约束,若满足,则完成安全刹车控制系统的产品设计,若不满足,则重复该步骤。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (7)
1.一种面向冗余结构的安全刹车控制系统的设计方法,其特征在于,包括以下步骤:
S1,确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求;
S2,设计基于安全刹车控制系统的分层次的控制结构图,所述安全刹车控制系统包括轮刹系统,所述控制结构图包括轮刹系统的控制结构图、轮刹系统及其子系统的控制结构图和轮刹系统及其子系统中各组件的控制结构图,分别表示所述轮刹系统、所述轮刹系统中的子系统和轮刹系统及其子系统中各组件之间的控制行为和反馈行为,所述轮刹系统的子系统包括刹车系统控制单元BSCU和液压系统,所述刹车系统控制单元BSCU的组件包括第一子单元subBSCU1、第二子单元subBSCU2和开关Switch,所述液压系统的组件包括主液压、第一液压传感器、备用液压、第二液压传感器和蓄电池,根据所述各组件的功能需求和所述控制结构图定义各组件的功能性契约,具体包括:
根据所述轮刹系统的控制结构图和所述轮刹系统的功能需求定义轮刹系统的功能性契约,所述轮刹系统的功能性契约中的假设为轮刹系统的输入pedalposWBS是pedalpos中的某个值,其中pedalpos表示一组连续的值,对应的保证为轮刹系统输出的制动力brakepressWBS应满足制动函数f(pedalpos);
根据所述轮刹系统及其子系统的控制结构图和所述轮刹系统的子系统的功能需求定义所述轮刹系统的子系统的功能性契约,所述刹车系统控制单元BSCU的功能性契约中的假设为刹车系统控制单元BSCU的输入pedalposBSCU是中的某个值,对应的保证为刹车系统控制单元BSCU输出的制动命令brakepressBSCU应满足制动函数f(pedalpos),所述液压系统的功能性契约中的假设为无,保证为液压系统输出的制动力brakepressHYD为输入commandBSCU;
根据所述轮刹系统及其子系统中各组件的控制结构图和所述轮刹系统中各组件的功能需求定义所述轮刹系统的子系统中各组件的功能性契约,所述第一子单元subBSCU1和第二子单元subBSCU2单独计算,当所述第一子单元subBSCU1和第二子单元subBSCU2中的其中一个存在故障时,由所述开关Switch切换到另一个进行工作;所述第一子单元subBSCU1和第二子单元subBSCU2的功能性契约中的假设为输入pedalpossubBSCUx是pedalpos中的某个值,x为1或2,对应的保证为:当所述第一子单元subBSCU1或第二子单元subBSCU2的输入pedalpossubBSCUx等于第一子单元subBSCU1或第二子单元subBSCU2的输出brakepresssubBSCUx时,所述第一子单元subBSCU1或第二子单元subBSCU2的使能subBSCUxenable为真,第一子单元subBSCU1或第二子单元subBSCU2的输入pedalpossubBSCUx不等于第一子单元subBSCU1或第二子单元subBSCU2的输出brakepresssubBSCUx时,所述第一子单元subBSCU1或第二子单元subBSCU2的使能subBSCUxenable为假;所述开关Switch的功能性契约中的假设为无,对应的保证为开关Switch的使能Switchenable为所述第一子单元subBSCU1的使能subBSCU1enable或所述第二子单元subBSCU1的使能subBSCU2enable,当所述第一子单元subBSCU1的使能subBSCU1enable为真时,开关Switch输出的切换命令commandSwitch为brakepresssubBSCU1;当所述第一子单元subBSCU1的使能subBSCU1enable为假,且所述第二子单元subBSCU1的使能subBSCU2enable为真时,开关Switch输出的切换命令commandSwi为brakepresssubBSCU2,否则开关Switch输出的切换命令commandSwitch为-1;
所述主液压的功能性契约中的假设为无,对应的保证为当主液压的输入Switchenable为真时,主液压的输出brakepressmaster为切换命令commandSwitch,反之为-1;所述第一液压传感器的功能性契约中的假设为无,对应的保证为当主液压的输出brakepressmaster<commandSwitch时,所述第一液压传感器的输出为假,反之所述第一液压传感器的输出为真;所述备用液压的功能性契约中的假设为无,对应的保证为当开关Switch的使能Switchenable为假或第一液压传感器的输出为真时,所述备用液压的输出brakepressbackup满足制动函数f(pedalpos),反之所述备用液压的输出brakepressbackup为-1;所述第二液压传感器的功能性契约中的假设为无,对应的保证为当所述备用液压的输出brakepressbackup不等于-1,且brakepressbackup<f(pedalpos)时,所述第二液压传感器的输出为假,反之所述第二液压传感器的输出为真;所述蓄电池的功能性契约中的假设为无,对应的保证为当第二液压传感器的输出为真时,蓄电池的输出brakepressacc为f(pedalpos)-brakepressbackup;
S3,验证和测试所述功能性契约的正确性和一致性并确定是否通过,若不通过,则重复步骤S2-S3,若通过,则识别不安全控制行为和组件级的致因场景;
S4,将所述组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与所述功能性契约构成理想模型定义的契约,验证和测试所述理想模型定义的契约的正确性和一致性并确定是否通过,具体包括:
将pedalpos作为所有可能的输入,记作inputpedalpos,满足所述功能性契约的输出记作outputpedalpos,两者之间的映射为inputpedalpos→outputpedalpos;
遍历所述轮刹系统的功能性契约、所述轮刹系统的子系统的功能性契约、所述轮刹系统的子系统中各组件的功能性契约,若每个功能性契约中的假设和保证能够使所述映射成立,则确定为通过,否则确定为不通过,若不通过,则重复步骤S2-S4;若通过,则确定所述理想模型定义的契约并进入步骤S5;
S5,设计所述安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证所述有限状态机中的所有路径是否满足所述理想模型定义的契约的约束,若满足,则完成所述安全刹车控制系统的产品设计,若不满足,则重复步骤S5。
2.根据权利要求1所述的面向冗余结构的安全刹车控制系统的设计方法,其特征在于,所述确定飞机的安全刹车控制系统的系统级事故和危险,具体包括:
基于飞机运行工况和运行环境构建飞机的安全刹车控制系统的系统级安全约束表,所述系统级安全约束表中包括系统级事故及对应的系统级危险。
3.根据权利要求1所述的面向冗余结构的安全刹车控制系统的设计方法,其特征在于,所述识别不安全控制行为和组件级的致因场景,具体包括:
对所述安全刹车控制系统中的每一个控制行为进行分析,得到一组与危险对应的不安全控制行为,所述不安全的控制行为的类型包括未提供控制操作、提供了不安全的控制操作但会导致危险、提供了控制操作但是操作执行得过早、过迟或以错误的顺序被执行、提供了控制操作但是操作过早停止或持续时间过长;
将所述不安全控制行为对应到各组件上,并分析得到致因场景。
4.根据权利要求1所述的面向冗余结构的安全刹车控制系统的设计方法,其特征在于,所述验证所述有限状态机中的所有路径是否满足所述理想模型定义的契约的约束,具体包括:
设所述有限状态机的每个路径具有映射为inputStateMachine→outputStateMachine;
遍历所述有限状态机的每个路径,验证所述路径的映射是否满足所述理想模型定义的契约的约束。
5.一种面向冗余结构的安全刹车控制系统的设计装置,其特征在于,包括:
功能需求确定模块,被配置为确定飞机的安全刹车控制系统的系统级事故和危险,明确飞机的安全刹车控制系统中各组件的功能需求;
功能性契约定义模块,被配置为设计基于安全刹车控制系统的分层次的控制结构图,所述安全刹车控制系统包括轮刹系统,所述控制结构图包括轮刹系统的控制结构图、轮刹系统及其子系统的控制结构图和轮刹系统及其子系统中各组件的控制结构图,分别表示所述轮刹系统、所述轮刹系统中的子系统和轮刹系统及其子系统中各组件之间的控制行为和反馈行为,所述轮刹系统的子系统包括刹车系统控制单元BSCU和液压系统,所述刹车系统控制单元BSCU的组件包括第一子单元subBSCU1、第二子单元subBSCU2和开关Switch,所述液压系统的组件包括主液压、第一液压传感器、备用液压、第二液压传感器和蓄电池,根据所述各组件的功能需求和所述控制结构图定义各组件的功能性契约,具体包括:
根据所述轮刹系统的控制结构图和所述轮刹系统的功能需求定义轮刹系统的功能性契约,所述轮刹系统的功能性契约中的假设为轮刹系统的输入pedalposWBS是pedalpos中的某个值,其中pedalpos表示一组连续的值,对应的保证为轮刹系统输出的制动力brakepressWBS应满足制动函数f(pedalpos);
根据所述轮刹系统及其子系统的控制结构图和所述轮刹系统的子系统的功能需求定义所述轮刹系统的子系统的功能性契约,所述刹车系统控制单元BSCU的功能性契约中的假设为刹车系统控制单元BSCU的输入pedalposBSCU是pedalpos中的某个值,对应的保证为刹车系统控制单元BSCU输出的制动命令brakepressBSCU应满足制动函数f(pedalpos),所述液压系统的功能性契约中的假设为无,保证为液压系统输出的制动力brakepressHYD为输入commandBSCU;
根据所述轮刹系统及其子系统中各组件的控制结构图和所述轮刹系统中各组件的功能需求定义所述轮刹系统的子系统中各组件的功能性契约,所述第一子单元subBSCU1和第二子单元subBSCU2单独计算,当所述第一子单元subBSCU1和第二子单元subBSCU2中的其中一个存在故障时,由所述开关Switch切换到另一个进行工作;所述第一子单元subBSCU1和第二子单元subBSCU2的功能性契约中的假设为输入pedalpossubBSCUx是pedalpos中的某个值,x为1或2,对应的保证为:当所述第一子单元subBSCU1或第二子单元subBSCU2的输入pedalpossubBSCUx等于第一子单元subBSCU1或第二子单元subBSCU2的输出brakepresssubBSCUx时,所述第一子单元subBSCU1或第二子单元subBSCU2的使能subBSCUxenable为真,第一子单元subBSCU1或第二子单元subBSCU2的输入pedalpossubBSCUx不等于第一子单元subBSCU1或第二子单元subBSCU2的输出brakepresssubBSCUx时,所述第一子单元subBSCU1或第二子单元subBSCU2的使能subBSCUxenable为假;所述开关Switch的功能性契约中的假设为无,对应的保证为开关Switch的使能Switchenable为所述第一子单元subBSCU1的使能subBSCU1enable或所述第二子单元subBSCU1的使能subBSCU2enable,当所述第一子单元subBSCU1的使能subBSCU1enable为真时,开关Switch输出的切换命令commandSwitch为brakepresssubBSCU1;当所述第一子单元subBSCU1的使能subBSCU1enable为假,且所述第二子单元subBSCU1的使能subBSCU2enable为真时,开关Switch输出的切换命令commandSwitc为brakepresssubBSCU2,否则开关Switch输出的切换命令commandSwitch为-1;
所述主液压的功能性契约中的假设为无,对应的保证为当主液压的输入Switchenable为真时,主液压的输出brakepressmaster为切换命令commandSwitch,反之为-1;所述第一液压传感器的功能性契约中的假设为无,对应的保证为当主液压的输出brakepressmaster<commandSwitch时,所述第一液压传感器的输出为假,反之所述第一液压传感器的输出为真;所述备用液压的功能性契约中的假设为无,对应的保证为当开关Switch的使能Switchenable为假或第一液压传感器的输出为真时,所述备用液压的输出brakepressbackup满足制动函数f(pedalpos),反之所述备用液压的输出brakepressbackup为-1;所述第二液压传感器的功能性契约中的假设为无,对应的保证为当所述备用液压的输出brakepressbackup不等于-1,且brakepressbackup<f(pedalpos)时,所述第二液压传感器的输出为假,反之所述第二液压传感器的输出为真;所述蓄电池的功能性契约中的假设为无,对应的保证为当第二液压传感器的输出为真时,蓄电池的输出brakepressacc为f(pedalpos)-brakepressbackup;
功能性契约验证模块,被配置为验证和测试所述功能性契约的正确性和一致性并确定是否通过,具体包括:
将pedalpos作为所有可能的输入,记作inputpedalpos,满足所述功能性契约的输出记作outputpedalpos,两者之间的映射为inputpedalpos→outputpedalpos;
遍历所述轮刹系统的功能性契约、所述轮刹系统的子系统的功能性契约、所述轮刹系统的子系统中各组件的功能性契约,若每个功能性契约中的假设和保证能够使所述映射成立,则确定为通过,否则确定为不通过,若不通过,则重复执行功能性契约定义模块至功能性契约验证模块,若通过,则识别不安全控制行为和组件级的致因场景;
理想模型定义的契约验证模块,被配置为将所述组件级的致因场景采用LTL语言表示成安全性契约,并添加对应的组件中,与所述功能性契约构成理想模型定义的契约,验证和测试所述理想模型定义的契约的正确性和一致性并确定是否通过,若不通过,则重复执行功能性契约定义模块至理想模型定义的契约验证模块;若通过,则确定所述理想模型定义的契约并执行产品设计验证模块;
产品设计验证模块,被配置为设计所述安全刹车控制系统中各组件的产品并将各组件的产品实现描述为有限状态机,验证所述有限状态机中的所有路径是否满足所述理想模型定义的契约的约束,若满足,则完成所述安全刹车控制系统的产品设计,若不满足,则重复执行产品设计验证模块。
6.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410029921.4A CN117555217B (zh) | 2024-01-09 | 2024-01-09 | 面向冗余结构的安全刹车控制系统的设计方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410029921.4A CN117555217B (zh) | 2024-01-09 | 2024-01-09 | 面向冗余结构的安全刹车控制系统的设计方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117555217A CN117555217A (zh) | 2024-02-13 |
CN117555217B true CN117555217B (zh) | 2024-04-12 |
Family
ID=89820807
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410029921.4A Active CN117555217B (zh) | 2024-01-09 | 2024-01-09 | 面向冗余结构的安全刹车控制系统的设计方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117555217B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6390571B1 (en) * | 2000-06-29 | 2002-05-21 | Goodrich Corporation | Redundant aircraft braking system architecture |
WO2002050792A1 (en) * | 2000-12-21 | 2002-06-27 | Todor Stankovic | The procedure and device intended for the man-machine system security preservation under a man's drowsiness conditions |
CN109212958A (zh) * | 2018-11-08 | 2019-01-15 | 桂林航天电子有限公司 | 双余度无人机刹车控制器及冷备份控制方法 |
CN114139939A (zh) * | 2021-11-29 | 2022-03-04 | 中国人民解放军空军工程大学 | 一种基于atheana-stpa混合方法的航空人为因素分析方法 |
CN116149999A (zh) * | 2022-12-29 | 2023-05-23 | 中国航天系统科学与工程研究院 | 一种复杂软件系统安全性分析方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014115139A1 (en) * | 2013-01-23 | 2014-07-31 | Iatas (Automatic Air Traffic Control) Ltd | System and methods for automated airport air traffic control services |
-
2024
- 2024-01-09 CN CN202410029921.4A patent/CN117555217B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6390571B1 (en) * | 2000-06-29 | 2002-05-21 | Goodrich Corporation | Redundant aircraft braking system architecture |
WO2002050792A1 (en) * | 2000-12-21 | 2002-06-27 | Todor Stankovic | The procedure and device intended for the man-machine system security preservation under a man's drowsiness conditions |
CN109212958A (zh) * | 2018-11-08 | 2019-01-15 | 桂林航天电子有限公司 | 双余度无人机刹车控制器及冷备份控制方法 |
CN114139939A (zh) * | 2021-11-29 | 2022-03-04 | 中国人民解放军空军工程大学 | 一种基于atheana-stpa混合方法的航空人为因素分析方法 |
CN116149999A (zh) * | 2022-12-29 | 2023-05-23 | 中国航天系统科学与工程研究院 | 一种复杂软件系统安全性分析方法 |
Non-Patent Citations (1)
Title |
---|
无人机全电刹车系统的建模与仿真研究;赵鹏涛;马晓平;;计算机仿真;20071015(10);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117555217A (zh) | 2024-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110928197B (zh) | 列车自动控制的仿真测试方法和系统 | |
EP3287901A1 (en) | Simulation including multiple simulators | |
Boulanger | CENELEC 50128 and IEC 62279 standards | |
Boulanger | Formal methods: industrial use from model to the code | |
CN112668012B (zh) | 一种自动驾驶人机界面安全性验证方法及系统 | |
US20180113964A1 (en) | Method for computer-supported development of an overall system consisting of subsystems | |
Dmitriev et al. | A lean and highly-automated model-based software development process based on do-178c/do-331 | |
CN109144474A (zh) | 一种文档与代码一体化的管理系统和方法 | |
Bressan et al. | A systematic process for applying the chess methodology in the creation of certifiable evidence | |
Murashkin et al. | Automated decomposition and allocation of automotive safety integrity levels using exact solvers | |
CN117555217B (zh) | 面向冗余结构的安全刹车控制系统的设计方法及装置 | |
Larsen et al. | Collaborative Modeling and Simulation for Cyber-Physical Systems | |
de Oliveira et al. | A model-based approach to support the automatic safety analysis of multiple product line products | |
Feiler et al. | System architecture virtual integration: A case study | |
US20180074484A1 (en) | Method and apparatus for generating a fault tree for a failure mode of a complex system | |
Wang et al. | Cloud-based simulated automated testing platform for virtual coupling system | |
Lecomte | Applying a formal method in industry: a 15-year trajectory | |
CN113987840A (zh) | 基于Modelica的模型拆分方法、设备和存储介质 | |
Boydston et al. | Joint common architecture (JCA) demonstration architecture centric virtual integration process (ACVIP) shadow effort | |
JP2022136983A (ja) | システム試験手順を使用する統合試験手順の自動生成 | |
Amendola et al. | A real-time vital control module to increase capabilities of railway control systems in highly automated train operations | |
KR20210023722A (ko) | 요구 사항에 대한 시스템의 테스트 방법 | |
Armentia et al. | Model driven design support for mixed-criticality distributed systems | |
Bu et al. | Model-based construction and verification of cyber-physical systems | |
Suo et al. | Filling the gap between IMA development and safety assessment through safety-driven model-based system engineering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |