專利名稱:使用形式化方法的定時(shí)分析的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體涉及使用形式化方法對(duì)嵌入式系統(tǒng)的定時(shí)分析�,特別地����,涉及用于形式化建模和使用日歷自動(dòng)機(jī)對(duì)所述系統(tǒng)的定時(shí)分析的計(jì)算機(jī)可執(zhí)行方法。
背景技術(shù):
用于嵌入式系統(tǒng)的定時(shí)分析的現(xiàn)有方法包括分析性的���、基于模擬的隨機(jī)方法。這些方法提供不精確的分析�。使用可調(diào)度性分析和實(shí)時(shí)微積分的分析方法給出安全近似值 (approximations)。然而�,由于它們不能處理所考慮系統(tǒng)的一些操作細(xì)節(jié),其結(jié)果可能非常悲觀��。隨機(jī)方法對(duì)于平均情況分析是有益的���,但不適合于最壞情況分析��。此外���,這些方法不允許對(duì)影響實(shí)際結(jié)果的任意調(diào)度算法和控制器緩沖器策略進(jìn)行確定性建模�����。另外��,現(xiàn)有的分析性和隨機(jī)分析工具不提供對(duì)定時(shí)同步問(wèn)題的良好解決方案���,因?yàn)檫@些問(wèn)題涉及對(duì)超出這些方法的能力的多個(gè)事件鏈進(jìn)行同時(shí)分析?;谀M的方法可以處理操作細(xì)節(jié)。然而���, 它們?cè)谙到y(tǒng)模擬和定時(shí)測(cè)量期間不保證對(duì)角落情況的覆蓋�,從而可能給出樂(lè)觀結(jié)果����。用于定時(shí)分析的基于形式化方法的工具和方法存在,但尚未被擴(kuò)展到大型工業(yè)實(shí)例��。例如�����,基于時(shí)間自動(dòng)機(jī)的形式化方法無(wú)法處理與復(fù)雜系統(tǒng)相關(guān)聯(lián)的大量數(shù)據(jù),通常由于完成分析所需的大量存儲(chǔ)和時(shí)間而失敗��。隨著電氣系統(tǒng)的復(fù)雜性日益增加�����,所述電氣系統(tǒng)諸如包括經(jīng)由多個(gè)控制器區(qū)域網(wǎng)絡(luò)(CAN)總線通信的多個(gè)電子控制單元(EOT)的汽車電氣系統(tǒng)���,需要能夠精確地準(zhǔn)確地分析這些復(fù)雜系統(tǒng)的可擴(kuò)展定時(shí)分析方法和工具����。
發(fā)明內(nèi)容
此處提供了一種用于對(duì)包括至少一個(gè)電子控制單元(EOT)和/或至少一個(gè)總線的嵌入式系統(tǒng)執(zhí)行定時(shí)分析的方法和系統(tǒng)�。該方法包括提供系統(tǒng)描述;提供對(duì)該系統(tǒng)的分析規(guī)范��;使用模型生成器自動(dòng)生成該系統(tǒng)的形式化模型���;使用模型檢查器分析該系統(tǒng)的形式化模型;以及提供該分析的結(jié)果��。所述系統(tǒng)描述可以包括描述任務(wù)的任務(wù)參數(shù)����;描述消息的消息參數(shù);任務(wù)和消息間的依賴關(guān)系;以及該系統(tǒng)的其他細(xì)節(jié)�。形式化模型可以包含日歷自動(dòng)機(jī)模型和儀器化。分析該系統(tǒng)的形式化模型可以包括分析任務(wù)和消息的響應(yīng)時(shí)間��;分析任務(wù)/消息鏈的端到端等待時(shí)間�����;和/或分析任務(wù)/消息圖中的定時(shí)同步�。該方法和系統(tǒng)還可以包括提供用于該系統(tǒng)中的ECU或總線的調(diào)度策略;以及提供事件激活規(guī)則���,所述事件激活規(guī)則可以包括涉及定時(shí)過(guò)渡或離散過(guò)渡的至少一個(gè)規(guī)則�����?���?梢允褂靡环N或多種優(yōu)化技術(shù)優(yōu)化該模型�����,以減少或優(yōu)化該模型的狀態(tài)空間�,以使得能夠進(jìn)行有效的狀態(tài)空間探索����。例如�,可以通過(guò)動(dòng)態(tài)計(jì)算任務(wù)或消息的響應(yīng)時(shí)間、通過(guò)使用分析規(guī)范過(guò)濾系統(tǒng)描述的一部分�����、或通過(guò)對(duì)這些技術(shù)進(jìn)行組合��,優(yōu)化該模型���。從結(jié)合以下附圖對(duì)本發(fā)明的最好實(shí)施方式的詳細(xì)描述中�,本發(fā)明的上述特征和優(yōu)勢(shì)以及其他特征和優(yōu)勢(shì)是容易顯而易見(jiàn)的�。本發(fā)明還提供了以下方案
1. 一種用于對(duì)嵌入式系統(tǒng)執(zhí)行定時(shí)分析的方法,所述方法包括提供系統(tǒng)描述��;提供用于所述系統(tǒng)的分析規(guī)范���;使用模型生成器從所述系統(tǒng)描述和所述分析規(guī)范自動(dòng)生成所述系統(tǒng)的形式化模型;其中�����,所述形式化模型包括日歷自動(dòng)機(jī)模型和儀器化;使用模型檢查器分析所述系統(tǒng)的形式化模型�����;以及提供所述分析的結(jié)果�。2.根據(jù)方案1所述的方法,其還包括通過(guò)以下操作的至少一個(gè)來(lái)優(yōu)化所述日歷自動(dòng)機(jī)模型動(dòng)態(tài)計(jì)算任務(wù)的響應(yīng)時(shí)間�����;動(dòng)態(tài)計(jì)算消息的響應(yīng)時(shí)間�����;以及使用所述分析規(guī)范過(guò)濾所述系統(tǒng)描述���。3.根據(jù)方案1所述的方法��,其中�,提供所述系統(tǒng)描述包括為任務(wù)提供任務(wù)參數(shù)�����;為消息提供消息參數(shù)��;以及提供任務(wù)和消息集之中的數(shù)據(jù)依賴性。4.根據(jù)方案1所述的方法��,其中��,使用模型檢查器分析所述系統(tǒng)的形式化模型包括以下操作中的至少一個(gè)使用所述分析規(guī)范指定要執(zhí)行的所述分析���;分析任務(wù)的響應(yīng)時(shí)間�;分析消息的響應(yīng)時(shí)間��;分析任務(wù)/消息鏈的端到端等待時(shí)間��;以及分析任務(wù)/消息圖表中的定時(shí)同步���。5.根據(jù)方案1所述的方法���,其中,使用模型檢查器分析所述系統(tǒng)的形式化模型包括以下操作中的至少一個(gè)動(dòng)態(tài)計(jì)算所述任務(wù)的響應(yīng)時(shí)間���;以及動(dòng)態(tài)計(jì)算所述消息的響應(yīng)時(shí)間��。6.根據(jù)方案1所述的方法���,其中,所述模型生成器是ftOmela模型生成器�����;以及其中����,所述模型檢查器是SPIN模型檢查器。7.根據(jù)方案1所述的方法����,其中,所述嵌入式系統(tǒng)包括電子控制單元(EOT)和總線����,所述方法還包括以下中的至少一個(gè)為所述E⑶提供調(diào)度策略;以及為所述總線提供調(diào)度策略���。8.根據(jù)方案1所述的方法��,還包括提供用于事件激活的規(guī)則�;其中��,所述用于事件激活的規(guī)則涉及定時(shí)過(guò)渡和離散過(guò)渡中的一個(gè)��。
9.根據(jù)方案1所述的方法,其中�,所述分析的結(jié)果包括證據(jù)路徑和模擬痕跡中的ー個(gè)。
10. 一種用于對(duì)汽車系統(tǒng)執(zhí)行定時(shí)分析的方法���,所述方法包括提供系統(tǒng)描述���;提供用于所述系統(tǒng)的分析規(guī)范;自動(dòng)生成所述系統(tǒng)的形式化模型���,所述形式化模型包括日歷自動(dòng)機(jī)模型和儀器 化�����;使用模型檢查器分析所述系統(tǒng)的形式化模型�����;以及提供所述分析的結(jié)果�。11.根據(jù)方案10所述的方法����,還包括通過(guò)以下操作的至少ー個(gè)來(lái)優(yōu)化所述日歷自動(dòng)機(jī)模型動(dòng)態(tài)計(jì)算任務(wù)的響應(yīng)時(shí)間;動(dòng)態(tài)計(jì)算消息的響應(yīng)時(shí)間;以及使用所述分析規(guī)范過(guò)濾所述系統(tǒng)描述��。12.根據(jù)方案10所述的方法���,其中,提供所述系統(tǒng)描述包括通過(guò)元組描述任務(wù)�����;通過(guò)元組描述消息�;以及指定任務(wù)和消息集之中的數(shù)據(jù)依賴關(guān)系。13.根據(jù)方案10所述的方法���,其中�,使用模型檢查器分析所述系統(tǒng)的形式化模型 包括以下操作中的至少ー個(gè)使用所述分析規(guī)范指定要執(zhí)行的所述分析�;分析任務(wù)的響應(yīng)時(shí)間;分析消息的響應(yīng)時(shí)間���;分析任務(wù)/消息鏈的端到端等待時(shí)間��;以及分析任務(wù)/消息圖表中的定時(shí)同歩����。14.根據(jù)方案10所述的方法�,其中�,所述模型生成器是I^romela模型生成器�;以及其中,所述模型檢查器是SPIN模型檢查器��。15.根據(jù)方案10所述的方法����,其中,所述嵌入式系統(tǒng)包括通過(guò)ー個(gè)或多個(gè)總線連接的多個(gè)電子控制單元(EOT)��, 所述方法還包括為所述多個(gè)ECU以及為所述ー個(gè)或多個(gè)總線提供調(diào)度策略��。16.根據(jù)方案10所述的方法�,還包括提供用于事件激活的ー個(gè)或多個(gè)規(guī)則,其中�,所述ー個(gè)或多個(gè)規(guī)則包括涉及定時(shí) 過(guò)渡和離散過(guò)渡中的ー個(gè)的規(guī)則。17. ー種用于對(duì)嵌入式系統(tǒng)執(zhí)行定時(shí)分析的系統(tǒng)��,所述系統(tǒng)包括包括任務(wù)和消息的嵌入式系統(tǒng)描述�����;用于所述嵌入式系統(tǒng)的分析規(guī)范��;形式化模型生成器,其中��,所述形式化模型生成器被配置為生成所述嵌入式系統(tǒng)和所述分析規(guī)范的形式化模型�;其中,所述形式化模型包括日歷自動(dòng)機(jī)模型和儀器化����;以及模型檢查器,其被配置為分析所述形式化模型并且提供所述分析的結(jié)果�����。18.根據(jù)方案17所述的系統(tǒng)�,還包括 優(yōu)化的日歷自動(dòng)機(jī)模型�,其中,所述優(yōu)化的日歷自動(dòng)機(jī)模型包括以下中的一個(gè)對(duì)任務(wù)的響應(yīng)時(shí)間的動(dòng)態(tài)計(jì)算����;對(duì)消息的響應(yīng)時(shí)間的動(dòng)態(tài)計(jì)算;以及其中�����,通過(guò)使用所述分析規(guī)范過(guò)濾所述嵌入式系統(tǒng)描述來(lái)定義所述優(yōu)化的日歷自動(dòng)機(jī)模型�。19.根據(jù)方案17所述的系統(tǒng),其中,所述模型生成器是ftOmela模型生成器�;以及其中,所述模型檢查器是SPIN模型檢查器���。20.根據(jù)方案17所述的系統(tǒng)���,其中,所述嵌入式系統(tǒng)包括通過(guò)一個(gè)或多個(gè)總線連接的多個(gè)電子控制單元(ECU)�����,所述系統(tǒng)還包括用于所述多個(gè)ECU以及用于所述一個(gè)或多個(gè)總線的調(diào)度策略集�����;以及用于事件激活的規(guī)則集����,其中,所述用于事件激活的規(guī)則集包括涉及定時(shí)過(guò)渡和離散過(guò)渡中的一個(gè)的規(guī)則�����。
圖1是描述用于使用形式化方法的定時(shí)分析的方法的流程圖���;圖2是嵌入式系統(tǒng)的說(shuō)明性實(shí)例的示意性圖形表示����;圖3是圖2的系統(tǒng)的任務(wù)/消息分配和參數(shù)的表;圖4是圖2的系統(tǒng)中的任務(wù)/消息鏈的表���;圖5A和5B分別是用于關(guān)于任務(wù)和消息的事件激活的狀態(tài)變化的圖形模型���;圖6是用于日歷自動(dòng)機(jī)中表示的準(zhǔn)備好(ready)事件的離散過(guò)渡規(guī)則的形式化模型;圖7A���、7B和7C是用于任務(wù)的端到端等待時(shí)間分析的規(guī)則的圖形模型,其中�����,圖7A�、 7B和7C分別表示鏈中的第一、中間和最后任務(wù)�����;圖8是示出任務(wù)響應(yīng)時(shí)間的實(shí)時(shí)(on-the-fly)計(jì)算的圖形化模型�;圖9是用于根據(jù)圖1的方法計(jì)算溢出的算法�;以及圖10AU0B和IOC根據(jù)圖1的方法執(zhí)行的對(duì)圖2�����、3和4的系統(tǒng)進(jìn)行的定時(shí)分析的
代表性結(jié)果的說(shuō)明性實(shí)例�����。
具體實(shí)施例方式提供了一種用于執(zhí)行精確定時(shí)分析的�、可擴(kuò)展到具有大量任務(wù)和消息的工業(yè)情況研究而無(wú)需折衷準(zhǔn)確性的方法和工具。此處提供的方法和工具包括建模和分析以下項(xiàng)的能力任務(wù)響應(yīng)時(shí)間����,包括最好情況和最壞情況任務(wù)響應(yīng)時(shí)間和可調(diào)度性分析;電子控制單元(ECU)使用����,包括ECU計(jì)算時(shí)間的百分比使用;消息響應(yīng)時(shí)間��,包括最好情況和最壞情況消息響應(yīng)時(shí)間和可調(diào)度性分析��;總線使用���,包括總線和空閑時(shí)間可用性的百分比使用�����;任務(wù)/消息鏈的端到端等待時(shí)間�����,包括先進(jìn)先出(FIFO)�����、先進(jìn)后出(FILO)��、后進(jìn)先出(LIFO)����、 后進(jìn)后出(LILO)端到端等待時(shí)間;任務(wù)圖間的定時(shí)同步問(wèn)題��;從單個(gè)源啟動(dòng)的多個(gè)目的地之間的最大時(shí)間分離��;以及指向相同目的地的多個(gè)源的最大時(shí)間分離��。在此處描述的方法中��,以形式化符號(hào)或諸如日歷自動(dòng)機(jī)的形式結(jié)構(gòu)建模系統(tǒng)任務(wù)和消息���。這些模型是以諸如過(guò)程元語(yǔ)言O(shè)^romela)的建模語(yǔ)言寫(xiě)成的�����。此外�,這些模型是使用形式化符號(hào)通過(guò)代碼儀器化的�,并且被具體設(shè)計(jì)為處理范圍內(nèi)的分析。從至少任務(wù)/消息描述和調(diào)度策略中自動(dòng)生成儀器化的模型���。其他操作細(xì)節(jié)諸如控制器緩沖器策略也可被包括或作為模型提供���。優(yōu)化技術(shù)可用于進(jìn)一步優(yōu)化用于模型檢查的狀態(tài)空間。通過(guò)諸如簡(jiǎn)單ftOmela解釋器(SPIN)的兼容模型檢查器對(duì)建模的系統(tǒng)進(jìn)行窮舉性狀態(tài)空間探索�。探索期間,儀器化的代碼生成對(duì)不同時(shí)間分析的結(jié)果�,這些結(jié)果被報(bào)告生成器記錄并作為可以包括證據(jù)的分析結(jié)果輸出。由于使用數(shù)學(xué)形式結(jié)構(gòu)和窮舉性狀態(tài)空間探索描述的系統(tǒng)的詳細(xì)操作模型����,此處提供的方法、模型和工具的好處包括通過(guò)分析實(shí)現(xiàn)的高精確度���。實(shí)現(xiàn)了可擴(kuò)展性���,由于使用了離散事件模型特別是使用了日歷自動(dòng)機(jī)形式結(jié)構(gòu)以及對(duì)模型的精心設(shè)計(jì)���,所述模型在示例性實(shí)施例中是采用很多基于任務(wù)的架構(gòu)的常規(guī)特征的I^omela模型。形式化模型被優(yōu)化以實(shí)現(xiàn)可擴(kuò)展性而無(wú)需折衷準(zhǔn)確性�����。此處提供的方法和工具的優(yōu)勢(shì)包括自動(dòng)模型生成和分析���;處理和合并諸如系統(tǒng)設(shè)計(jì)中的控制器緩沖器策略和具體調(diào)度算法的操作細(xì)節(jié)的能力���;以及執(zhí)行對(duì)多個(gè)任務(wù)/消息鏈的同時(shí)分析以檢測(cè)定時(shí)同步問(wèn)題的能力。此外���,所述方法和工具由于以下因素提供改進(jìn)的精度窮舉性狀態(tài)空間探索能力���;準(zhǔn)確地到大型系統(tǒng)的可擴(kuò)展性;以及生成也被稱為證據(jù)���、證據(jù)路徑或證據(jù)痕跡的場(chǎng)景和模擬痕跡的能力,所述場(chǎng)景和模擬痕跡可用于識(shí)別定時(shí)要求侵犯的原因��。本發(fā)明的基本原則是使用日歷自動(dòng)機(jī)模型和它用于不同定時(shí)分析的儀器化,以及優(yōu)化對(duì)日歷自動(dòng)機(jī)模型的編碼來(lái)減少必須采用的狀態(tài)空間����,這允許在合理的時(shí)間量?jī)?nèi)以及在合理的存儲(chǔ)要求內(nèi)運(yùn)行運(yùn)行建模和分析。此處描述的用于使用形式化方法的定時(shí)分析的方法和工具也可用于任何系統(tǒng)的分析�,包括可以是汽車或非汽車系統(tǒng)的嵌入式系統(tǒng)。此處描述的方法和工具可用于滿足當(dāng)前的和預(yù)期的用于汽車軟件架構(gòu)的汽車開(kāi)放系統(tǒng)架構(gòu)(AUT0SAR)要求和規(guī)范���,其中一些例如定時(shí)同步問(wèn)題無(wú)法通過(guò)現(xiàn)有的分析性的�、基于模擬的或隨機(jī)工具得以精確地或準(zhǔn)確地解決�。參考圖1,一般在100處示出用于使用形式化模型的定時(shí)分析的方法�����。提供了一種系統(tǒng)描述10����,其描述要分析的嵌入式系統(tǒng)的架構(gòu)細(xì)節(jié)。在示例性實(shí)施例中�����,嵌入式系統(tǒng)是汽車的電氣控制系統(tǒng),該電氣控制系統(tǒng)由通過(guò)一個(gè)或多個(gè)控制器區(qū)域網(wǎng)絡(luò)(CAN)總線連接的多個(gè)電子控制單元(EOT)組成��。參考圖2����,所示出的說(shuō)明性實(shí)例是嵌入式系統(tǒng),該嵌入式系統(tǒng)包括被標(biāo)記為E1至 & WECU集和總線B���。任務(wù)集被部署在每個(gè)ECU上�,不同任務(wù)集被部署在不同ECU上����。例如,任務(wù)^和12被部署在ECU E1I���,如圖2所示���。與任務(wù)相關(guān)聯(lián)的消息集在總線上傳播。例如��,消息叫至嗎被分配到總線B���,如圖2所示��。每個(gè)任務(wù)通過(guò)元組來(lái)描述���,其中元組是描述任務(wù)的參數(shù)的有序列表。例如��,每個(gè)任務(wù)可以通過(guò)諸如〈優(yōu)先級(jí)���,初始偏移��,周期�,執(zhí)行> (〈priority����,offset, period, execution time 。每個(gè)消息通過(guò)類似元組來(lái)描述�。圖 3所示的表示出到ECU/總線的任務(wù)/消息分配以及具有元祖形式的任務(wù)/消息描述,包括 用于每個(gè)任務(wù)Ti或消息Hii的任務(wù)/消息名(0i)����;優(yōu)先級(jí)(、)�����;初始偏移(Oi);周期(Pi) 和執(zhí)行時(shí)間(Ei)��。任務(wù)的執(zhí)行時(shí)間包括閱讀����、處理和輸出數(shù)據(jù)的時(shí)間。消息的執(zhí)行時(shí)間是消息在總線上的傳輸時(shí)間����,并且可以從總線速度以及包括比特填充的消息大小來(lái)計(jì)算?���?梢詾槊總€(gè)任務(wù)描述其他任務(wù)參數(shù),諸如必須完成任務(wù)的執(zhí)行的最終期限����。如果所有這些參數(shù)都被包括在內(nèi),則任務(wù)可以通過(guò)諸如<ECU����,優(yōu)先級(jí),初始偏移����,周期�����,執(zhí)行時(shí)間��,最終期限 > ECU, priority, initial offset, period, execution time, deadline 。消息兀組可以包含諸如〈總線��,ID,初始偏移��,周期��,長(zhǎng)度��,最終期限> bus, ID, initial offset, period, length, deadline ���,其中每個(gè)消息通過(guò)它被分配到的總線來(lái)描述����,例如具有典型的每秒 500千比特GAps)波特率的高速控制器區(qū)域網(wǎng)絡(luò)(CAN)或者具有典型的33. 31cbpS波特率的低速CAN��,ID作為優(yōu)先級(jí)的表示����,初始偏移和周期�����,以字節(jié)表示的消息長(zhǎng)度���,以及表示為消息必須到達(dá)其目的地的設(shè)置的時(shí)間量的最終期限。不定期的或事件觸發(fā)的任務(wù)/消息也可以使用類似元組來(lái)表示�����。系統(tǒng)描述10還可以指定要輸入到模型生成器中的特定屬性或參數(shù)����,用于優(yōu)化日歷自動(dòng)機(jī)模型的變化的目的,以便減少要分析的模型的狀態(tài)空間�����?�?梢灾付ㄈ蝿?wù)和消息集間的數(shù)據(jù)依賴性關(guān)系��,其可以包括數(shù)據(jù)是如何從一個(gè)任務(wù)/消息傳遞到另一任務(wù)/消息的描述����。嵌入式系統(tǒng)的任務(wù)和消息集間的數(shù)據(jù)依賴關(guān)系在圖2中通過(guò)圖表中的有向邊示出��。 從^到�、的有向邊指定任務(wù)^的輸出是到任務(wù)�、的輸入。作為示例����,如圖2所示,在 E⑶E2中����,從τ 7到τ η的有向邊顯示τ 7和τ ^之間的數(shù)據(jù)依賴性����。從τ ,到的有向邊指定消息包含任務(wù)^的輸出。類似地��,從到h的有向邊指定消息包含任務(wù)Tk 的輸入�。作為示例,在E⑶E2中��,任務(wù)工^輸出消息嗎�����,嗎反過(guò)來(lái)在^^ E1中是任務(wù)12的輸入。圖4所示的表中概括了顯示圖2的示例系統(tǒng)中的數(shù)據(jù)依賴性關(guān)系的任務(wù)/消息鏈的樣本����。優(yōu)化模型可以包括過(guò)濾獨(dú)立于分析規(guī)范的系統(tǒng)描述,例如�����,優(yōu)化編碼可以包括僅建模和/或分析對(duì)所指定的定時(shí)分析關(guān)鍵的那些任務(wù)/消息���,從而減少要包括到離散事件模型中的事件的類型和數(shù)量�����。通過(guò)限制離散事件模型中的事件以及通過(guò)基于分析規(guī)范20 儀器化模型�����,優(yōu)化系統(tǒng)模型40與通用系統(tǒng)模型相比減小了狀態(tài)空間���。可對(duì)每個(gè)任務(wù)或消息建模諸如準(zhǔn)備好(ready)�、啟動(dòng)(start)、結(jié)束(finish)的三個(gè)事件�����。圖5A中示出具有三個(gè)事件的任務(wù)τ i的示例模型,并且圖5B中示出具有三個(gè)事件的消息Hii的示例模型��。事件可被編碼為在從任務(wù)/消息參數(shù)確定的已知時(shí)間點(diǎn)發(fā)生����。例如,任務(wù)Ti的準(zhǔn)備好(ready)��、啟動(dòng)(start)����、結(jié)束(finish)事件可以通過(guò)它們的對(duì)給定分析規(guī)范的激活時(shí)間來(lái)建模(ready,, t)從當(dāng)前時(shí)間起的t時(shí)間單位后��,任務(wù)τ ,將被觸發(fā)(start,, t)從當(dāng)前時(shí)間起的t時(shí)間單位后����,任務(wù)τ ,將啟動(dòng)執(zhí)行(finish,, t)從當(dāng)前時(shí)間起的t時(shí)間單位后,任務(wù)τ ,將結(jié)束執(zhí)行可對(duì)選擇的事件的激活建模規(guī)則�����。例如����,可對(duì)也被稱為定時(shí)過(guò)渡的時(shí)間進(jìn)展提供規(guī)則�,該規(guī)則可以獨(dú)立于系統(tǒng)描述10和分析規(guī)范20��。對(duì)于定時(shí)過(guò)渡的規(guī)則可以指定如果沒(méi)有事件可以在當(dāng)前時(shí)間激活��,時(shí)間進(jìn)展到任何事件的最近激活時(shí)間���。定時(shí)過(guò)渡規(guī)則的形式化模型可以在日歷自動(dòng)機(jī)中表示為1. miri((7) > 0 玲2. Δ ^ rriin(C)(1)3. C C-A其中C是伴隨其激活時(shí)間的所有事件的集���,min(C)計(jì)算C中任何事件的最近激活時(shí)間,并且如果min (C) > 0�,它的值被從C中所有條目的激活時(shí)間中減去。用于也被稱為離散過(guò)渡的事件激活的規(guī)則����,可以依賴于系統(tǒng)描述10和分析規(guī)范 20中的一個(gè)或兩者,例如��,通過(guò)依賴于消息/任務(wù)元組��、E⑶/總線的調(diào)度策略等��。用于事件準(zhǔn)備好(ready)的離散過(guò)渡規(guī)則的形式化模型可在日歷自動(dòng)機(jī)中表示,如圖6所示���,其中����,C 是具有其激活時(shí)間的所有事件集�,線1表示事件激活條件,線2-21表示用于任務(wù)-準(zhǔn)備好條件的規(guī)則的實(shí)現(xiàn)�����。也可以對(duì)任務(wù)和消息可調(diào)度性建模規(guī)則或策略�����。再次參考圖5A和5B�����,例如��,圖5A 所示的任務(wù)的模型或圖5B所示的消息的模型��,可以從空閑(idle)的初始狀態(tài)移動(dòng)����,一旦激活事件準(zhǔn)備好(ready),到達(dá)等待(wait)狀態(tài)����,激活啟動(dòng)(start)事件,到達(dá)執(zhí)行(exec)狀態(tài)��。任務(wù)可被搶先調(diào)度���,其中�����,任務(wù)Ti可被更高優(yōu)先級(jí)任務(wù)���、搶占。例如�����,當(dāng)更高優(yōu)先級(jí)任務(wù)�����、準(zhǔn)備好開(kāi)啟動(dòng)執(zhí)行時(shí),通過(guò)圖5A的圖表所示的任務(wù)Ti從執(zhí)行(exec)狀態(tài)移動(dòng)到等待(wait)狀態(tài)��。如圖5B所示���,CAN消息通常是非搶先調(diào)度的���,因此對(duì)這些消息不存在從執(zhí)行(exec)狀態(tài)到等待(wait)狀態(tài)的過(guò)渡。優(yōu)化編碼還可以包括指定從分析規(guī)范20獲得的諸如端到端等待時(shí)間或定時(shí)同步的屬性�。例如,圖7A���、7B和7C是用于鏈的端到端等待時(shí)間分析的規(guī)則的圖形模型��,其中�����,圖 7A��、7B和7C分別表示鏈中的第一����、中間和最后任務(wù)��。鏈中的消息可被類似模擬��。通過(guò)限制離散事件模型中的事件以及通過(guò)基于分析規(guī)范20儀器化模型從而使得能夠使用形式化建模進(jìn)行分析并且使用模型檢查器進(jìn)行窮舉性狀態(tài)空間探索���,優(yōu)化系統(tǒng)模型40與通用系統(tǒng)模型相比減小了狀態(tài)空間��。如圖1所示�����,系統(tǒng)描述10結(jié)合分析規(guī)范20被提供到模型生成器30�����。分析規(guī)范20 描述對(duì)于建模和分析的嵌入式系統(tǒng)要完成的具體定時(shí)分析���。描述被使用日歷自動(dòng)機(jī)或其他形式化符號(hào)形式化。分析規(guī)范20可以處理各種系統(tǒng)參數(shù)和特性���,包括提供對(duì)以下項(xiàng)的分析(1)任務(wù)響應(yīng)時(shí)間最好情況和最壞情況任務(wù)響應(yīng)時(shí)間和可調(diào)度性分析�;O) E⑶使用E⑶計(jì)算時(shí)間的百分比使用��;(3)消息響應(yīng)時(shí)間最好情況和最壞情況消息響應(yīng)時(shí)間和可調(diào)度性分析�;(4)總線使用總線的百分比使用���,留下多少空閑時(shí)間;(5)任務(wù)/消息鏈的端到端等待時(shí)間給定任務(wù)和消息鏈���,不同的端到端等待時(shí)間 (例如 FIF0���、FIL0、LIF0�����、LIL0)����;(6)任務(wù)/消息圖表中的定時(shí)同步問(wèn)題;(7)從單個(gè)源開(kāi)始的多個(gè)目的地之間的多個(gè)時(shí)間分離�;和/或(8)通向相同目的地的多個(gè)源之間的多個(gè)時(shí)間分離。分析規(guī)范20還可以向模型生成器30指定問(wèn)題規(guī)范和問(wèn)題參數(shù)���,以便通過(guò)減少要分析的狀態(tài)空間優(yōu)化模型��,例如��,在建模和測(cè)試的事件的范圍有限的情況下��。分析規(guī)范20通?����?梢园y(cè)量用于事件鏈的時(shí)間的規(guī)范����,包括消息/任務(wù)的最壞情況響應(yīng)時(shí)間 (2)<ready(t), finish (t)>消息/任務(wù)鏈的端到端等待時(shí)間 (3)<ready(tl)����,finish (tl),ready (t2) ���,finish (t2), . . , ready (tn)�����,finish (tn)>定時(shí)同步(4)〈ready (tl)�����,··���,finish (tm)><ready (tl), . . , finish (tn)>分析規(guī)范20還可以定義與系統(tǒng)分析要求相關(guān)的最終期限和其他細(xì)節(jié)�。在圖1所示的步驟30處����,模型生成器基于日歷自動(dòng)機(jī),使用由系統(tǒng)的系統(tǒng)描述10 和分析規(guī)范20提供的信息����,自動(dòng)生成形式化模型40。形式化模型40可以以ftOmela或任何其他合適的建模語(yǔ)言來(lái)表示�。形式化模型40有兩部分,從系統(tǒng)描述衍生的系統(tǒng)模型和從分析規(guī)范20衍生的屬性儀器化或分析儀器化����?����?梢酝ㄟ^(guò)對(duì)任務(wù)和消息集指定任務(wù)和消息之間的數(shù)據(jù)依賴性關(guān)系、提供用于系統(tǒng)中包括的ECU或總線的調(diào)度策略�、以及提供用于事件激活的規(guī)則,描述形式化模型����,其中,用于事件激活的規(guī)則包括涉及定時(shí)過(guò)渡或離散過(guò)渡中的一個(gè)的至少一個(gè)規(guī)則?���?稍谛问交F陂g使用分析規(guī)范來(lái)進(jìn)一步優(yōu)化系統(tǒng)模型,以減少要分析的狀態(tài)空間���。形式化模型40還可以通過(guò)各種優(yōu)化技術(shù)被優(yōu)化�。一個(gè)優(yōu)化技術(shù)是過(guò)濾系統(tǒng)描述的獨(dú)立于所考慮的模型的分析規(guī)范的部分�����,以減模型的狀態(tài)空間�����。例如��,當(dāng)分析規(guī)范被限制到用于例如圖2所示的ECU E1的特定ECU的可調(diào)度性分析時(shí)�����,然后圖1的形式化模型可被過(guò)濾來(lái)包括涉及僅關(guān)于ECU E1的任務(wù)的細(xì)節(jié)����。此處提供的另一優(yōu)化技術(shù)��,其可用于固定優(yōu)先級(jí)搶占式調(diào)度并且通常用于搶先調(diào)度任務(wù),將動(dòng)態(tài)例如實(shí)時(shí)計(jì)算任務(wù)響應(yīng)時(shí)間�����。通過(guò)將模型檢查與用于涉及端到端等待時(shí)間和/或定時(shí)同步問(wèn)題的分析規(guī)范的響應(yīng)時(shí)間的實(shí)時(shí)計(jì)算組合���,可以具有用于處理工業(yè)規(guī)模的系統(tǒng)和問(wèn)題的顯著可擴(kuò)展性�����。圖8是示出對(duì)任務(wù)響應(yīng)時(shí)間的實(shí)時(shí)計(jì)算的圖形模型���,其中, 要理解無(wú)論何時(shí)鏈中的任務(wù)被激活時(shí)��,例如在周期的結(jié)束處��,任務(wù)讀取輸入緩沖器����,并且在計(jì)算的結(jié)束處,任務(wù)更新它的輸出緩沖器���。輸出緩沖器的更新由于來(lái)自更高喲先機(jī)任務(wù)的等待時(shí)間占用不同的時(shí)間����,因此,更新時(shí)間實(shí)際上等于任務(wù)的響應(yīng)時(shí)間��。任務(wù)的響應(yīng)時(shí)間可以動(dòng)態(tài)計(jì)算����,例如使用以下公式實(shí)時(shí)計(jì)算
'W = spill + Ej + Eeehpiyj)「;)"] * Ei(5)其中,w代表計(jì)算的τ J的響應(yīng)時(shí)間��,溢出如此處所定義的��,E^是τ j的最壞情況執(zhí)行時(shí)間���,hp(j)是比、具有更高優(yōu)先級(jí)的所有任務(wù)集�����,0’ i代表從當(dāng)前時(shí)間起�����、的下一激活偏移,T1代表τ χ的周期而&代表τ j的最壞情況執(zhí)行時(shí)間����。溢出(spill),在上述方程中和給定的任務(wù)激活情形下���,被定義為處于執(zhí)行狀態(tài)中的即時(shí)更高優(yōu)先級(jí)任務(wù)的剩余執(zhí)行時(shí)間���,并且可以使用圖9所示的算法來(lái)計(jì)算。由于溢出值取決于當(dāng)激活所考慮的任務(wù)時(shí)激活的更高優(yōu)先級(jí)任務(wù)的不同情形��,它的計(jì)算表示更高優(yōu)先任務(wù)在執(zhí)行和計(jì)算方面的剩余職責(zé)因此是非顯式的(non-trivial)�。
可以適用于例如CAN總線的總線中所用的固定優(yōu)先級(jí)非搶占性調(diào)度的又一優(yōu)化技術(shù)或策略,通過(guò)僅使用兩個(gè)事件�、追蹤準(zhǔn)備好(ready)消息的列表的Boolean (布爾)陣列以及定時(shí)器變量,將優(yōu)化日歷自動(dòng)機(jī)模型��。第一事件用于追蹤最近隨意出現(xiàn)的消息的剩余傳播時(shí)間�����。第二事件是足以追蹤總線上所有消息的定期激活的單個(gè)循環(huán)超時(shí)事件��。當(dāng)分析消息的最壞情況響應(yīng)時(shí)間時(shí)�,通過(guò)使用這種優(yōu)化技術(shù)���,而不是對(duì)所有消息單獨(dú)追蹤激活時(shí)間,分析CAN網(wǎng)絡(luò)所需的狀態(tài)空間可被大幅降低����,從而有助于增加可擴(kuò)展性。再次參考圖1��,在步驟50����,通過(guò)模型檢查器對(duì)形式化模型40進(jìn)行窮舉性狀態(tài)空間探索,以確定該系統(tǒng)模型是否符合分析規(guī)范�����。模型檢查器50被配置為與模型生成器30兼容�����。例如�����,對(duì)于在步驟30和40以ftOmela建模語(yǔ)言生成的模型��,模型檢查器50可被配置為簡(jiǎn)單ftOmela解釋器(SPIN)模型檢查器�。模型的優(yōu)化,如前所述����,允許在合理的時(shí)間內(nèi)并且在合理的存儲(chǔ)需求內(nèi)探索模型。探索期間���,儀器化的代碼產(chǎn)生對(duì)之前討論的不同定時(shí)分析的結(jié)果��,其被在步驟60被概括為具有報(bào)告形式的輸出�����。報(bào)告生成器在步驟60生成的報(bào)告是人類可理解的形式����,包括分析結(jié)果70�,并且可用于確定系統(tǒng)描述10的設(shè)計(jì)假設(shè)與分析規(guī)范20中包括的規(guī)范和要求的符合性。分析結(jié)果 70可以包括例如10AU0B和IOC中所示的結(jié)果��。圖IOA中對(duì)每個(gè)任務(wù)和消息示出最好情況響應(yīng)時(shí)間(BCRT)和最壞情況響應(yīng)時(shí)間(WCRT)的分析情況�,例如,用于圖3所示的每個(gè)任務(wù) /消息��。圖IOB的表對(duì)例如圖4所示的每個(gè)任務(wù)/消息鏈提供對(duì)被指定為到模型生成器30 的輸入的每個(gè)任務(wù)/消息鏈的也被稱為首次通過(guò)(first-through) (FT)的后進(jìn)先出(LIFO) 等待時(shí)間計(jì)算的分析結(jié)果。圖IOC示出對(duì)例如圖4所示的每個(gè)任務(wù)/消息鏈的對(duì)被指定為到模型生成器30的輸入的每個(gè)任務(wù)/消息鏈的也被稱為最大時(shí)間(max-age) (MA)的后進(jìn)后出(LILO)等待時(shí)間計(jì)算的分析結(jié)果�����。無(wú)論何時(shí)狀態(tài)空間探索期間有時(shí)間約束或規(guī)范的違例時(shí)�����,分析結(jié)果70還可以包括模擬痕跡�����,模擬痕跡也可以被稱為證據(jù)�����。這些模擬痕跡可用于通過(guò)定位分析失敗的原因并標(biāo)識(shí)參數(shù)變化以解決異常�����,來(lái)協(xié)助調(diào)試��。系統(tǒng)架構(gòu)可被重新設(shè)計(jì)來(lái)確保定時(shí)約束被解決并且重新設(shè)計(jì)的架構(gòu)可被建模和分析來(lái)確認(rèn)由證據(jù)記錄的異常已被消除�。建模和執(zhí)行系統(tǒng)的窮舉性狀態(tài)空間探索的能力提供了早期分析的優(yōu)勢(shì)����,從而建模期間發(fā)現(xiàn)的問(wèn)題可被用來(lái)糾正或改進(jìn)系統(tǒng)的架構(gòu)設(shè)計(jì)����,包括對(duì)總線/ECU設(shè)計(jì)和任務(wù)/消息分配的改變�,優(yōu)化ECU/總線使用,執(zhí)行可調(diào)度性分析�,優(yōu)化消息和任務(wù)響應(yīng)時(shí)間,以及解決任務(wù)/消息圖表中的定時(shí)同步問(wèn)題���,以確保滿足定時(shí)要求并優(yōu)化系統(tǒng)架構(gòu)���。通過(guò)將變化合并到系統(tǒng)描述10和分析規(guī)范20并且重復(fù)步驟30至60,這些系統(tǒng)變化可以被很容易地重新評(píng)估��,以確定變化的影響����。盡管已詳細(xì)描述了本發(fā)明的最佳實(shí)施方式,本發(fā)明所涉及領(lǐng)域的技術(shù)人員將意識(shí)到���,在所附權(quán)利要求范圍內(nèi)��,可以做出各種用于實(shí)踐本發(fā)明的替代設(shè)計(jì)和實(shí)施例���。
權(quán)利要求
1.一種用于對(duì)嵌入式系統(tǒng)執(zhí)行定時(shí)分析的方法���,所述方法包括 提供系統(tǒng)描述;提供用于所述系統(tǒng)的分析規(guī)范����;使用模型生成器從所述系統(tǒng)描述和所述分析規(guī)范自動(dòng)生成所述系統(tǒng)的形式化模型; 其中���,所述形式化模型包括日歷自動(dòng)機(jī)模型和儀器化���; 使用模型檢查器分析所述系統(tǒng)的形式化模型;以及提供所述分析的結(jié)果�����。
2.根據(jù)權(quán)利要求1所述的方法���,其還包括通過(guò)以下操作的至少一個(gè)來(lái)優(yōu)化所述日歷自動(dòng)機(jī)模型 動(dòng)態(tài)計(jì)算任務(wù)的響應(yīng)時(shí)間����; 動(dòng)態(tài)計(jì)算消息的響應(yīng)時(shí)間���;以及使用所述分析規(guī)范過(guò)濾所述系統(tǒng)描述�����。
3.根據(jù)權(quán)利要求1所述的方法����,其中����,提供所述系統(tǒng)描述包括 為任務(wù)提供任務(wù)參數(shù);為消息提供消息參數(shù)��;以及提供任務(wù)和消息集之中的數(shù)據(jù)依賴性�。
4.根據(jù)權(quán)利要求1所述的方法,其中�,使用模型檢查器分析所述系統(tǒng)的形式化模型包括以下操作中的至少一個(gè)使用所述分析規(guī)范指定要執(zhí)行的所述分析; 分析任務(wù)的響應(yīng)時(shí)間�����; 分析消息的響應(yīng)時(shí)間����; 分析任務(wù)/消息鏈的端到端等待時(shí)間����;以及分析任務(wù)/消息圖表中的定時(shí)同步�����。
5.根據(jù)權(quán)利要求1所述的方法�����,其中�����,使用模型檢查器分析所述系統(tǒng)的形式化模型包括以下操作中的至少一個(gè)動(dòng)態(tài)計(jì)算所述任務(wù)的響應(yīng)時(shí)間�;以及動(dòng)態(tài)計(jì)算所述消息的響應(yīng)時(shí)間。
6.根據(jù)權(quán)利要求1所述的方法��,其中��,所述模型生成器是Promela模型生成器���;以及其中����,所述模型檢查器是SPIN模型檢查器。
7.根據(jù)權(quán)利要求1所述的方法�,其中,所述嵌入式系統(tǒng)包括電子控制單元(ECU)和總線��,所述方法還包括以下中的至少一個(gè)為所述ECU提供調(diào)度策略����;以及為所述總線提供調(diào)度策略��。
8.根據(jù)權(quán)利要求1所述的方法��,還包括 提供用于事件激活的規(guī)則��;其中���,所述用于事件激活的規(guī)則涉及定時(shí)過(guò)渡和離散過(guò)渡中的一個(gè)�����。
9.一種用于對(duì)汽車系統(tǒng)執(zhí)行定時(shí)分析的方法�����,所述方法包括提供系統(tǒng)描述���;提供用于所述系統(tǒng)的分析規(guī)范�;自動(dòng)生成所述系統(tǒng)的形式化模型���,所述形式化模型包括日歷自動(dòng)機(jī)模型和儀器化�����; 使用模型檢查器分析所述系統(tǒng)的形式化模型����;以及提供所述分析的結(jié)果����。
10. 一種用于對(duì)嵌入式系統(tǒng)執(zhí)行定時(shí)分析的系統(tǒng),所述系統(tǒng)包括 包括任務(wù)和消息的嵌入式系統(tǒng)描述���; 用于所述嵌入式系統(tǒng)的分析規(guī)范��;形式化模型生成器���,其中�����,所述形式化模型生成器被配置為生成所述嵌入式系統(tǒng)和所述分析規(guī)范的形式化模型�;其中��,所述形式化模型包括日歷自動(dòng)機(jī)模型和儀器化�;以及模型檢查器,其被配置為分析所述形式化模型并且提供所述分析的結(jié)果���。
全文摘要
使用形式化方法的定時(shí)分析。提供了一種用于提供可擴(kuò)展到具有大量任務(wù)和消息的工業(yè)情況研究的精確定時(shí)分析的方法和工具�,包括建模和分析任務(wù)和消息響應(yīng)時(shí)間的能力;ECU使用�����;總線使用�;任務(wù)/消息鏈的端到端等待時(shí)間;以及任務(wù)/消息圖表中的定時(shí)同步問(wèn)題���。以被稱為日歷自動(dòng)機(jī)的形式化結(jié)構(gòu)建模系統(tǒng)任務(wù)和消息�����。模型時(shí)以諸如Promela的建模語(yǔ)言寫(xiě)成的��,并且專用于分析規(guī)范的代碼來(lái)儀器化�����。模型和儀器化從系統(tǒng)描述和分析規(guī)范中自動(dòng)生成���。通過(guò)諸如SPIN的兼容模型檢查器對(duì)系統(tǒng)模型進(jìn)行窮舉性狀態(tài)空間探索���。探索期間,儀器化的代碼產(chǎn)生對(duì)不同定時(shí)分析的結(jié)果����。提供優(yōu)化技術(shù)來(lái)生成模型,模型要求較少的存儲(chǔ)和時(shí)間用于分析�,并且使得方法可擴(kuò)展到大型工業(yè)情況研究。
文檔編號(hào)G06F19/00GK102323969SQ20111012862
公開(kāi)日2012年1月18日 申請(qǐng)日期2011年5月13日 優(yōu)先權(quán)日2010年5月14日
發(fā)明者D·B·喬克施, M·G·迪克西特, R·A·克, R·塞圖, S·K·莫哈利克 申請(qǐng)人:通用汽車環(huán)球科技運(yùn)作有限責(zé)任公司