CN1693918A - 检查物理系统模型的鲁棒性 - Google Patents
检查物理系统模型的鲁棒性 Download PDFInfo
- Publication number
- CN1693918A CN1693918A CNA2005100689956A CN200510068995A CN1693918A CN 1693918 A CN1693918 A CN 1693918A CN A2005100689956 A CNA2005100689956 A CN A2005100689956A CN 200510068995 A CN200510068995 A CN 200510068995A CN 1693918 A CN1693918 A CN 1693918A
- Authority
- CN
- China
- Prior art keywords
- model
- fault
- physical system
- characteristic
- formal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
- G06F30/3323—Design verification, e.g. functional simulation or model checking using formal methods, e.g. equivalence checking or property checking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Geometry (AREA)
- Evolutionary Computation (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Stored Programmes (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供用于一种检验物理系统模型的鲁棒性的系统和方法,该方法包括下列步骤:定义一个物理系统的第一模型(10),该第一模型(10)包括一组(12)部件(12a、12b、12c)和至少一个用于插入输入值的输入接口(14),该第一模型利用描述每个所述部件之工况和功能形式语言定义;用形式语言定义确定的特性,该物理系统的模型必须满足该确定的特性;用形式语言定义了一个第二模型(20),该第二模型(20)对应于第一模型并且新增了故障引入机制(22);以及使用形式检验装置自动搜索引起所述确定的特性失效的引入故障和/或输入值的组合。
Description
技术领域
本发明涉及检查面对故障出现时物理系统模型的鲁棒性的领域。
背景技术
在多数行业中,例如在航空或者航天行业中,通常要依赖系统模型。例如,设计用于完成某些给定任务的物理系统的模型,并且该模型被用于评估系统和它所处环境之间的相互影响。这可以使用硬件手段或软件手段来完成。
具体来讲,使用故障检测逻辑电路、重构逻辑电路和部件的冗余,以使系统可以容错。
不幸的是,实际上,模型很难考虑到所有的可能性。经常会忘记一些特殊的情况,或者出现时序逻辑错误,使得故障的某些序列或者特定组合仍旧能导致系统失效。
为了解决这些问题,真实的系统要通过标准检测程序的测试,以便验证它们的鲁棒性。但是,在发现真实系统中的缺陷时,必须重新设计该系统,这意味着大量新的工程上的费用开销、硬件和软件的返工和大量的时间损失。
发明内容
因此,本发明的一个目的就是,通过提出一种验证电子系统模型当面对故障时的鲁棒性的方法来解决所述问题。
为此,本发明提供了一种验证物理系统之模型的鲁棒性的方法,其特征在于:它包括如下步骤:
定义物理系统的第一模型,该第一模型包括一组部件和至少一个输入接口,该至少一个输入接口用于插入输入值,所述第一模型是利用描述每个所述部件之工况和功能的形式语言来定义的;
利用形式语言定义一个确定的特性,该物理系统的模型必须满足该确定的特性;
利用形式语言定义第二模型,第二模型对应于第一模型并且新增了故障引入机制;以及
使用形式检验装置自动搜索引起所述确定的特性失效的引入故障和/或输入值的组合。
因此,第二模型使在面对故障时鲁棒的物理系统能够被设计出来,并且具体地由于可以在制造该系统之前实现,因此可以减少开发系统的花销。
这种方法使得可以通过考虑系统的故障和/或输入值的各种组合,来验证系统的特性。
同时,可以通过彻底检验任何可以想到的故障或故障序列,制造出具有高质量和高安全性的系统。
根据本发明的一个特征,故障引入机制包括经由故障输入接口将至少一个故障引入到第二模型。
根据本发明的另一个特征,故障引入机制还包括利用形式语言来描述所述至少一个故障对所述电子系统的每个部件之功能或工况的影响。
当形式检验装置不能发现引起所述确定的特性失效的引入故障和/或输入值的组合时,所述确定的特性被认为相对于第二模型是真的。在该情况下,该物理系统的模型被认为相对于所述确定的特性是鲁棒的。
当形式检验装置发现了引起所述确定的特性失效的至少一个引入故障和/或输入值的组合时,所述确定的特性被认为相对于第二模型是假的。在该情况下,所述引起所述确定的特性失效的引入故障和/或输入值的组合对应于一个方案,该方案能使物理系统的模型被修正,以便使它更鲁棒。
优选地,从预定义的故障集合中选择故障的组合。
确定的特性表示所述物理系统的一个状态或工况。它可以是所述物理系统的安全特性。
附图说明
在阅读了以下通过非限定说明的方式和参照附图给出的描述后,会更清楚本发明的方法和系统的其它特征和优点,其中:
图1是在本发明的方法和系统中实现的硬件装置的透视图;
图2是根据本发明的用于设计物理系统的一个模型的示意图;
图3是显示用于确定图2中所示第一模型的有效性的主要步骤的流程图;
图4是显示根据本发明的第二模型的示意图,其中该第二模型对应于物理系统第一模型并且新增了故障引入机制;
图5是显示根据本发明的用于验证物理系统的模型面对故障时的鲁棒性的主要步骤的流程图;
图6是根据本发明的电子系统第一模型的例子的示意图,该第一模型模拟第一计算机,第二计算机和导线设备;
图7是显示对应于图6所示的第一模型并且新增了故障引入机制的第二模型的示意图;以及
图8是图7中用于引入故障的装置的示意图。
具体实施方式
图1示出了一个可被用于模拟物理系统的系统。该系统包括一台用于运行计算机程序的工作站或计算机1,该计算机程序用于实现本发明的方法。
计算机1包括通常可以在这类设备中发现的硬件装置。更具体地说,该计算机包括一个中央单元2,用于执行根据本发明的方法的程序指令序列;一个中央存储器3,用于存储数据和正在执行的程序;数字数据存储介质(硬盘、致密盘(CD)4、软盘......),用于长期存储使用中的数据和程序;输入外围设备(键盘5、鼠标6......),以及输出外围设备(屏幕7、打印机......),用于能够查看物理系统的模型。
根据本发明,图2示出了一个第一模型10,用于设计物理系统。该物理系统可以例如是一个电子系统,该电子系统一旦被制造,就可以支持给定的应用,例如监视或者控制用于管理引擎的设备。
第一模型10包括:一组12部件12a、12b、12c,它们之间相互通信;至少一个输入接口14,用于插入输入值;以及至少一个输出接口16。当然,所述部件组12可以在一个依赖于物理系统模型精确度或特征的抽象级别或比例上定义。
该第一模型10是一个数字模型,它代表将要制造的物理系统的结构。它由“信号(Signal)”类型的形式语言定义,包括字母或变量、逻辑量词、以及逻辑连接符,从而描述了每个部件12a、12b、12c的工况和功能。因此,第一模型10使物理系统能被动态的表现。
图3是示出了用于确定第一模型10的有效性的主要步骤的流程图。
在步骤E1,利用形式语言定义第一模型。
然后,在步骤E2,也利用形式语言定义物理系统的模型必须满足的确定的特性。该特性的形式描述包括:基于模型的变量或信号,例如利用信号语言,定义对应于所述特性的事件和对此事件进行编码。所述确定的特性通常是一个“这样的事件永远不会发生”类型的安全属性,但它也可以是一个“从该状态,在有限长的时间结束时,能够到达一个其它状态”类型的响应属性。然后,该特性必须满足或者描述第一模型的特征。
形式语言具有形式检验装置,例如在SILDEXTM软件中的“形式验证器(formal prover)”或者“检验器(checker)”,用于相对于输入到第一模型的任何值或任何值的组合,在语义上验证所述确定的特性的真实性。
因此,步骤E3是相对于输入值的任何组合来测试所述确定的特性的真实性。在这一步中,形式检验装置自动搜索引起该确定的特性失效的输入值的组合。
如果形式检验装置不能发现引起所述确定的特性失效的输入值的组合,那么在步骤E4中,第一模型10被认为相对于所述特性是有效的。
相反,如果所述确定的特性被认为是假的,例如,如果在步骤E3形式检验装置发现了至少一个引起确定的特性失效的输入值的组合,那么该方法移至步骤E5。
在步骤E5,提供了一个诊断,包含引起所述确定的特性失效的输入值的序列。
在步骤E6,依靠上一步骤中提供的诊断,第一模型10或者被修正以便满足所述确定的特性,或者证实通过形式检验装置发现的输入值的组合是不可能发生的。
根据本发明,图4是第二数字模型20的示意图,第二数字模型20对应于物理系统的第一模型10的第二数字模型20的示意图并且新增了故障引入机制22。
第二模型20与第一模型的不同点在于,除了包括部件12a、12b、12c的组12和输入接口14、输出接口16以外,它还包括一个故障引入机制22,故障引入机制22包括一个故障输入接口24以及一个故障应用装置26,其中至少一个故障或故障组合通过故障输入接口24被引入。
从预先定义的故障集合中选择故障或故障组合。利用形式语言模拟每个故障对第二模型20之工况的影响,并且故障对给定部件的影响结果在所述部件的工况图中被描述。在第二模型20的最小部件上的所有已知可能的故障被列出,这样将每个部件的工况图放入数据库中,该数据库存储于例如工作站或计算机1的中央存储器3。
换句话说,故障引入机制22包含:利用形式语言来描述任何故障对模拟物理系统的第二模型20的每一个部件12a、12b、12c的功能或工况的影响。
因此,第二模型对应于增加了的额外布尔输入的第一模型10,并且作为与可预见的故障相关联来处理。一个特定故障的输入可取值“假”或“真”之一。例如,值“假”能够对应于“无故障引入”的状态,值“真”能够对应于“故障引入”的状态。
当故障接口24的所有输入都是“假”时,则第二模型在额定条件下运行。当故障输入是“真”时,它会触发与部件的工况图的应用有关的用于施加故障给该部件的逻辑。
此外,当故障输入是“空”时,形式检验装置能在任何时间引入故障,以便搜寻一个能引起所述确定的特性失效的故障和/或输入值的序列或组合。
形式检验装置是一个工具,它将逻辑规则应用到用于第二模型20之部件12a、12b、12c的公理和/或工况图,直到得到一个描述确定的特性的公式。
这个形式证明工具能够通过SILDEXTM类型的软件提供,该软件在一个模拟期间的任何时刻,都能经由故障引入机制22将故障应用到第二模型20的部件或者功能上。
具体地,为了证实第二模型20的一个确定的特性,起动SILDEXTM类型的形式语言的动态编译。如果编译成功,那么该确定的特性是有效的。否则,形式检验装置给出了一个包括故障和/或输入值序列的方案(scenario),该方案导致被模拟的系统具有与所述特性相矛盾的状态。
图5是说明用于验证物理系统的模型面对故障出现时的鲁棒性的流程图。
在步骤E11,利用形式语言定义第二模型20,其对应于新增了故障引入机制22的第一模型10。
此后,验证在图2的流程图的步骤E2定义的并且已经对于第一模型10验证为“真”(步骤E4)的所述确定的特性对于第二模型是否仍然为“真”。
在步骤E13期间,相对于任何引入的故障和/或输入值的组合,测试所述确定的特性的真实性。在这个步骤期间,通过形式检验装置执行自动搜索,该自动搜索是针对引起所述确定的特性失效的引入故障和/或输入值的组合的搜索。
如果形式检验装置不能发现任何引起所述确定的特性失效的引入故障和/或输入值的组合,那么该特性被认为是真的,并且因此,在步骤E14,物理系统的模型被认为在面临与确定的特性相关的故障时是鲁棒的。
相反,如果在步骤E13期间,形式检验装置发现了至少一个引起所述确定的特性失效的引入故障和/或输入值的组合,那么所述特性被认为是假的,因此在步骤E15,由形式检验装置提供一个诊断。这个诊断包含经由故障输入接口24和输入值输入接口14输入的并且能导致系统进入不希望的状态的输入方案或输入序列。
在步骤E16,分析该诊断,例如,在每个故障引入时,检查第二模型20上的操作序列。这个分析用于修正物理系统模型的设计,或者相反,用于证实由形式检验装置发现的所述方案是不可能的。
图6至图8示出了检验物理系统模型鲁棒性的简化的例子。
在这个例子中,被设计的物理系统是一个电子系统,该电子系统包括两个用于控制飞机引擎的计算机。在正常运行中,仅有一个计算机控制着引擎,并且在两个计算机之间会有对话或数据交换发生。因此,当一个计算机停止工作时,另一个计算机必需开始运行于单机模式。在这个例子中,系统失效是指两个计算机同时发生故障,或者是被动造成的,或者是主动造成的。
因此,图6示出了物理系统第一模型110的例子,该模型模拟了一个第一计算机112a,该112a有一个第一输入接口114a和一个第一输出接口116a,还模拟了一个第二计算机112b,该112b有一个第二输入接口114b和一个第二输出接口116b,还有一个计算机间的导线设备112c,该导线设备112c具有连接导线,其能使第一计算机112a和第二计算机112b进行对话或者数据交换。箭头F1表示由第一计算机112a传向第二计算机112b的信号或数据(用信号语言记为S_1_2),以及箭头F2表示由第二计算机112b传向第一计算机112a的信号或数据(用信号语言记为s_2_1)。
图7示出了物理系统的第二模型120,其对应于图6中的第一模型110并且新增了故障引入机制122,故障引入装置122包含一个故障输入接口124和一个故障应用装置126。在这个例子中,故障应用装置126包括开关装置,该开关装置用于模拟单连接导线的断路故障,或者导线短路故障,或者导线设备112c没有连接的故障。箭头F1a表示离开第一计算机112a的信号s_1_2,箭头F1b表示在通过故障应用装置126后进入第二计算机112b的信号s_2_1_v。箭头F2b指明离开第二计算机112b的信号s_2_1,箭头F2a表示在通过故障应用装置126后进入第一计算机112a的信号s_1_2_v。当没有故障时,离开第一计算机112a或者第二计算机112b的信号分别无改动的进入到第二计算机112b或第一计算机112a。相反,当发生故障时,离开计算机112a或112b之一的信号无法到达它的目的地。用信号语言,这可以表示为下列等式:
s_1_2_v=s_1_2 when not fault
s_2_1_v=s_2_1 when not fault
图8是示出了故障引入机制特别是图7中的故障应用装置126的示意图。故障应用装置126包括一个对应于“导线设备未连接”的第一故障输入124a,以及一个对应于“对话导线中断”的第二故障输入124b。第一和第二故障输入124a和124b被连接到一个逻辑“或(OR)”门132的输入端,该逻辑“或”门132的输出被施加到一个第一连接/断开装置134,用于向第二计算机112b传输或者不传输来自第一计算机112a的数据,以及被施加到一个第二连接/断开装置134,用于向第一计算机112a传输或者不传输来自第二计算机112b的数据。
故障输入可以被想象为用于将故障施加到所模拟的部件的按钮。因此,在模拟中,可以在任何期望的时刻引入故障。
当形式检验装置承担对引起确定的特性失效的引入故障和/或输入值的组合的自动搜索时,设置为“假”值的输入不涉及对相反例子(counter-example)的方案的搜索。只有空输入涉及这个搜索。
因此,当没有故障被引入到第一连接装置134时,输入信号SA_e、SB_e、SC_e、SD_e分别等于连接装置134的输出信号SA_s、SB_s、SC_s、SD_s。在这种情况下,能够由第一连接装置134实现传输来自第一计算机112a的信号SA_1_2、SB_1_2、SC_1_2、SD_1_2,并且将它们传送到第二计算机,分别被写为:SA_1_2_v、SB_1_2_v、SC_1_2_v、SD_1_2_v。
类似的,当没有故障被引入第二连接装置136时,输入信号SE_e、SF_e、SG_e、SH_e分别等于从连接装置输出的信号SE_s、SF_s、SG_s、SH_s。在这种情况下,能够由第二连接装置136实现传输来自第一计算机112b的信号SE_1_2、SF_1_2、SG_1_2、SH_1_2,并且将它们传送到第一计算机112a,分别被写为为:SE_1_2_v、SF_1_2_v、SG_1_2_v、SH_1_2_v。
当对应于“导线设备未连接”的第一故障输入124a和/或对应于“对话导线中断”的第二故障输入124b为空时,形式检验装置或“验证器”能在任何时间引入导线设备未连接和/或电路断开。在这种情况下,由计算机112a或112b之一传输的信号不能到达另一个计算机。
在初始化之后,上面的例子能够用信号语言写成如下形式:process xxx_process_sildex_1=
(?boolean SA_e、fault、SB_e、SC_e、SD_e;
|boolean SA_s、SB_s、SC_s、SD_s;)
(| (|SA_s=SA_e when not fault
|SB_s=SB_e when not fault
|SC_s=SC_e when not fault
|SD_s=SD_e when not fault
|fault^=SA_e^=SB_e^=SC_e^=SD_e
|)
|);process xxx_process_sildex_2=
(?boolean SE_e、fault、SF_e、SG_e、SH_e;
|boolean SE_s、SF_s、SG_s、SH_s;)
(| (|SE_s=SE_e when not fault
|SF_s=SF_e when not fault
|SG_s=SG_e when not fault
|SH_s=SH_e when not fault
|fault^=SE_e^=SF_e^=SG_e^=SH_e
|)
|);
通常,在具有两个计算机的物理系统的模型中,能够检查下面的两个特性:“系统模型不能发现它自身具有两个计算机处于主动状态”,以及“系统模型不能发现它自身具有两个计算机处于被动状态”。
此外,可以设计来模拟在系统接通时存在单个故障的状况。在这种情况下,可以验证在接通状态时的任何故障是否会引起系统呈现出上述特性。
而且,可以设计来模拟两个计算计算机同时起动的操作时存在单个故障的情况。在这种情况下,假设每个单个故障都能在任何时刻被引入。为此,正在考虑的故障输入能够设置为空,同时保持其它所有的输入都为“假”。
可以从预先定义的故障集合中选择故障,故障集合包括以下故障:无故障、自动检测失败、断路、短路、打断发送、导线设备未连接、同步故障、强迫为“假”的NVM故障、强迫为“真”的NVM故障、强迫为“假”的PPAVM信号故障、强迫为“真”的PPAVM信号故障、PPAVMTPB、计算机故障、强迫为“假”的PH信号故障、强迫为“真”的PH信号故障等等。
这样,本发明可以在制造物理系统之前验证模型面对故障时的鲁棒性,由此能够制造具有良好安全性的系统,同时减少系统开发的开销。
当然,本发明也能够验证已制造的物理系统的鲁棒性。在这种情况下,使用形式语言的模型,模拟该物理系统,并且以上述参考面对故障时的系统之确定特性所定义的标准描述的方式,检查物理系统模型的鲁棒性。
Claims (13)
1、一种验证物理系统之模型的鲁棒性的方法,该方法的特征在于:它包括以下的步骤:
定义物理系统的第一模型(10),该第一模型(10)包括一组(12)部件(12a、12b、12c)和至少一个用于插入输入值的输入接口(14),所述第一模型利用描述每个所述部件之工况和功能的形式语言定义;
利用形式语言定义一个物理系统的模型必须满足的确定的特性;
利用形式语言定义第二模型,该第二模型对应于第一模型并且新增了故障引入机制(22);以及
使用形式检验装置自动搜索引起所述确定的特性失效的引入故障和/或输入值的组合。
2、如权利要求1所述的方法,其特征在于:该故障引入机制(22)包括经由故障输入接口(24)将至少一个故障引入到第二模型(20)中。
3、如权利要求2所述的方法,其特征在于:该故障引入机制(22)还包括利用形式语言描述所述至少一个故障对所述电子系统的每个部件之功能或工况的影响。
4、如权利要求1所述的方法,其特征在于:当形式检验装置不能发现引起所述确定的特性失效的引入故障和/或输入值的组合时,所述确定的特性被认为相对于第二模型(20)是真的。
5、如权利要求4所述的方法,其特征在于:物理系统的模型被认为相对于所述确定的特性是鲁棒的。
6、如权利要求1所述的方法,其特征在于:当形式检验装置发现至少一个引起所述确定的特性失效的引入故障和/或输入值的组合时,所述确定的特性被认为相对于第二模型(20)是假的。
7、如权利要求6所述的方法,其特征在于:所述引起确定的特性失效的引入故障和/或输入值的组合对应于一个方案,该方案能使物理系统的模型被纠错,从而使它更鲁棒。
8、如权利要求1至7所述的方法,其特征在于:故障组合是从预先定义的故障集合中选择的。
9、如权利要求1至8所述的方法,其特征在于:所述确定的特性表示所述物理系统的状态或工况。
10、如权利要求9所述的方法,其特征在于:所述确定的特性是所述物理系统的安全特性。
11、一种用于验证物理系统之模型的鲁棒性的系统,该系统的特征在于:它包括:
定义物理系统的第一模型(10),该第一模型(10)包括一组(12)部件(12a、12b、12c)和至少一个用于插入输入值的输入接口(14),所述第一模型利用描述每个所述部件之工况和功能的形式语言定义;
利用形式语言定义的预先确定的特性,其中物理系统的模型必须满足该预先确定的特性;
利用形式语言定义的第二模型(20),该第二模型对应于第一模型并且新增了用于引入故障的机制(22);和
形式检验装置,用于自动搜索引起所述确定的特性失效的引入故障和/或输入值的组合。
12、如权利要求11所述的系统,其特征在于:用于引入故障的机制(22)包括一个故障输入接口(24)和故障应用装置(26)。
13、如权利要求11或12所述的系统,其特征在于:所述物理系统是一个电子系统,该电子系统包括两个用于控制飞机引擎的计算机。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0404805A FR2870000B1 (fr) | 2004-05-05 | 2004-05-05 | Controle de la robustesse d'une modelisation d'un systeme physique |
| FR0404805 | 2004-05-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1693918A true CN1693918A (zh) | 2005-11-09 |
| CN1693921B CN1693921B (zh) | 2010-04-28 |
Family
ID=34942206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100689956A Expired - Fee Related CN1693921B (zh) | 2004-05-05 | 2005-04-30 | 检查物理系统模型的鲁棒性 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7743351B2 (zh) |
| EP (1) | EP1593982B1 (zh) |
| JP (1) | JP4886998B2 (zh) |
| CN (1) | CN1693921B (zh) |
| BR (1) | BRPI0501607A (zh) |
| CA (1) | CA2505943C (zh) |
| FR (1) | FR2870000B1 (zh) |
| RU (1) | RU2383926C2 (zh) |
| UA (1) | UA93852C2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104736818A (zh) * | 2012-09-26 | 2015-06-24 | 斯奈克玛 | 用于对控制致动器、尤其是气体涡轮发动机的定子的系统的控制失效进行区分的方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7228461B2 (en) * | 2003-01-09 | 2007-06-05 | Siemens Energy & Automation, Inc. | System, method, and user interface for acceptance testing |
| GB0521625D0 (en) * | 2005-10-24 | 2005-11-30 | Ricardo Uk Ltd | A method of modelling the effect of a fault on the behaviour of a system |
| US8073668B2 (en) * | 2008-01-30 | 2011-12-06 | International Business Machines Corporation | Method and apparatus for testing a full system integrated circuit design by statistical fault injection using hardware-based simulation |
| US8296739B2 (en) * | 2008-03-31 | 2012-10-23 | International Business Machines Corporation | Testing soft error rate of an application program |
| FR2971870B1 (fr) | 2011-02-18 | 2016-02-19 | Snecma | Methode de detection de pannes d'une turbomachine au moyen d'un modele theorique du cycle thermodynamique de ladite turbomachine |
| AT514969B1 (de) | 2013-10-23 | 2024-03-15 | Avl List Gmbh | Verfahren zur beurteilung der robustheit |
| US20160292307A1 (en) * | 2013-11-06 | 2016-10-06 | Arizona Board Of Regents On Behalf Of Arizona State University | Temporal logic robustness guided testing for cyber-physical systems |
| US10409706B2 (en) | 2016-09-30 | 2019-09-10 | Arizona Board Of Regents On Behalf Of Arizona State University | Automated test generation for structural coverage for temporal logic falsification of cyber-physical systems |
| US11010522B2 (en) * | 2017-11-14 | 2021-05-18 | Synopsys, Inc. | Efficient mechanism for interactive fault analysis in formal verification environment |
| AT520679B1 (de) | 2017-12-05 | 2022-07-15 | Avl List Gmbh | Verfahren zur Überprüfung und gegebenenfalls zur Verbesserung eines Fahrzeugdiagnosesystems |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3179004B2 (ja) * | 1995-10-17 | 2001-06-25 | 富士通株式会社 | 論理回路検証システムおよび方法 |
| US6577981B1 (en) * | 1998-08-21 | 2003-06-10 | National Instruments Corporation | Test executive system and method including process models for improved configurability |
| GB2362728B (en) * | 1999-10-29 | 2002-04-24 | Sgs Thomson Microelectronics | A method of verifying the accuracy of a digital model |
| US6587960B1 (en) * | 2000-01-11 | 2003-07-01 | Agilent Technologies, Inc. | System model determination for failure detection and isolation, in particular in computer systems |
| US6957178B2 (en) * | 2001-10-29 | 2005-10-18 | Honeywell International Inc. | Incremental automata verification |
| US6704630B2 (en) * | 2002-04-04 | 2004-03-09 | Grazyna Balut Ostrom | Thrust control malfunction accommodation system and method |
| US7574334B2 (en) * | 2003-02-11 | 2009-08-11 | Sri International | Formal methods for modeling and analysis of hybrid systems |
| US7076753B2 (en) * | 2003-12-18 | 2006-07-11 | Synopsys, Inc. | Method and apparatus for solving sequential constraints |
| US7093218B2 (en) * | 2004-02-19 | 2006-08-15 | International Business Machines Corporation | Incremental, assertion-based design verification |
| US7418319B2 (en) * | 2004-03-31 | 2008-08-26 | The Boeing Company | Systems and methods for handling the display and receipt of aircraft control information |
| US7509605B2 (en) * | 2005-12-12 | 2009-03-24 | International Business Machines Corporation | Extending incremental verification of circuit design to encompass verification restraints |
-
2004
- 2004-05-05 FR FR0404805A patent/FR2870000B1/fr not_active Expired - Lifetime
-
2005
- 2005-04-26 EP EP05290913.2A patent/EP1593982B1/fr active Active
- 2005-04-27 JP JP2005129389A patent/JP4886998B2/ja not_active Expired - Fee Related
- 2005-04-28 RU RU2005112914/09A patent/RU2383926C2/ru not_active IP Right Cessation
- 2005-04-29 CA CA2505943A patent/CA2505943C/fr not_active Expired - Fee Related
- 2005-04-30 CN CN2005100689956A patent/CN1693921B/zh not_active Expired - Fee Related
- 2005-05-03 BR BR0501607-0A patent/BRPI0501607A/pt not_active Application Discontinuation
- 2005-05-05 US US11/122,109 patent/US7743351B2/en active Active
- 2005-05-05 UA UAA200504299A patent/UA93852C2/ru unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104736818A (zh) * | 2012-09-26 | 2015-06-24 | 斯奈克玛 | 用于对控制致动器、尤其是气体涡轮发动机的定子的系统的控制失效进行区分的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2005112914A (ru) | 2006-11-10 |
| US20050262457A1 (en) | 2005-11-24 |
| CA2505943C (fr) | 2015-03-31 |
| EP1593982A1 (fr) | 2005-11-09 |
| CA2505943A1 (fr) | 2005-11-04 |
| FR2870000B1 (fr) | 2006-08-11 |
| RU2383926C2 (ru) | 2010-03-10 |
| JP4886998B2 (ja) | 2012-02-29 |
| CN1693921B (zh) | 2010-04-28 |
| BRPI0501607A (pt) | 2006-01-10 |
| EP1593982B1 (fr) | 2016-09-28 |
| FR2870000A1 (fr) | 2005-11-11 |
| JP2005353042A (ja) | 2005-12-22 |
| UA93852C2 (ru) | 2011-03-25 |
| US7743351B2 (en) | 2010-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1693918A (zh) | 检查物理系统模型的鲁棒性 | |
| US8099695B1 (en) | Automated debugging method and system for over-constrained circuit verification environment | |
| CN100342381C (zh) | 集成电路设计和整合方法 | |
| JP5295269B2 (ja) | コンポーネント・モデル基盤の仮想ソフトウェア・プラットホームを生成する方法、これを利用してソフトウェア・プラットホーム・アーキテクチャを検証する方法及びその装置 | |
| US20070083933A1 (en) | Detection of security vulnerabilities in computer programs | |
| CN1801155A (zh) | 合并硬件设计语言的原始档案与查验资料档案的方法 | |
| JP2009087355A (ja) | ウェブアプリケーションを検証するシンボリック実行エンジンを提供するシステム及び方法 | |
| CN101051332A (zh) | 一种soc芯片系统级验证系统及方法 | |
| CN1945547A (zh) | 一种嵌入式故障注入系统及其方法 | |
| US20120159250A1 (en) | Compatibility testing using traces, linear temporal rules, and behavioral models | |
| CN100337212C (zh) | 逻辑验证系统及方法 | |
| WO2023024251A1 (zh) | 模块验证方法、uvm验证平台、电子设备及存储介质 | |
| US11061665B2 (en) | System for online cascaded loading firmware based on boundary scan and method thereof | |
| CN114239453A (zh) | 仿真验证平台构建方法、仿真验证方法、装置及设备 | |
| CN115952758A (zh) | 芯片验证方法、装置、电子设备及存储介质 | |
| CN117131834A (zh) | 芯片设计重组方法、电子设备和介质 | |
| CN109710479B (zh) | 一种处理方法及第一设备、第二设备 | |
| CN1812347A (zh) | 基于模型转换的协议正确性验证和测试方法 | |
| CN114330176A (zh) | 芯片验证方法、装置、电子设备及存储介质 | |
| CN1831760A (zh) | 应用自动编译框架来快速开发嵌入式系统的方法及装置 | |
| Elmqvist et al. | Safety-oriented design of component assemblies using safety interfaces | |
| CN112597718A (zh) | 集成电路设计的验证方法、验证装置以及存储介质 | |
| CN107908557B (zh) | 一种嵌入式软件可信属性建模与验证方法 | |
| CN117131824A (zh) | 自动生成芯片设计rtl代码的方法、电子设备和介质 | |
| CN1300838C (zh) | 包含黑盒的电路设计验证与错误诊断方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SNECMA S.A. Free format text: FORMER OWNER: HISPANO SUIZA SA Effective date: 20120726 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120726 Address after: France Patentee after: Snecma S. A. Address before: French Cologne Patentee before: Ispanau-chuiza S.A. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100428 Termination date: 20170430 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |