包括可到达性分析的自动化系统的制作方法

本公开总体上涉及一种用于确保自主系统的恰当执行的系统和方法，并且更具体地涉及一种在减少所需测试的量的同时确保恰当操作的系统和方法。

背景技术：

随着自主系统变得更多出现在工业环境中，更难以确保正确操作。当前的系统通过分析全部可能的状态来认证。然而，随着它们操作的系统和环境变得更加复杂和不可预测，这样的方案变得不可行。

技术实现要素：

一种自主系统包括：交通工具，可操作以从第一点行进到第二点；第一致动器，可操作以调整交通工具的速度；以及第二致动器，可操作以调整交通工具的行进方向。控制器可操作以发送控制信号到第一致动器和第二致动器，从而促进系统在第一点与第二点之间的行进期间从第一状态过渡到第二状态。可到达性控制器联接到控制器以接收第一状态和控制信号并分析第一状态和控制信号，从而确定第二状态是否是安全状态。

在另一构造中，一种操作自主系统的方法包括：提供交通工具，其可操作以从第一点行进到第二点；将第一致动器定位在第一位置，第一致动器控制交通工具的速度；以及将第二致动器定位在第二位置，第二致动器控制交通工具的行进方向，第一位置和第二位置定义系统的第一状态。方法还包括发送控制信号到第一致动器和第二致动器之一以改变系统的状态，分析第一状态和控制信号以确定当实现控制信号时将产生的第二状态，响应于分析显示第二状态不是安全状态而阻止控制信号，并且响应于分析显示无法从第二状态到达安全状态而阻止控制信号。

在另一构造中，一种自主系统包括：第一致动器，可操作以调整系统的第一属性；第二致动器，可操作以调整系统的第二属性；以及控制器，可操作以发送控制信号到第一致动器和第二致动器以促进系统在由系统执行任务期间从第一状态移动到第二状态。可到达性控制器联接到控制器以接收第一状态和控制信号并分析第一状态和控制信号，从而确定系统是否可以从所得的第二状态到达安全状态。

在另一构造中，一种自主系统包括：网格，布置为分布电力到多个耗电者；多个分布式发电单元，每个单元单独地可控制且可操作，以输送电量到网格；以及多个切换器，布置为控制电力在发电单元与耗电者之间流动。控制器包括网格、多个分布式发电单元以及多个切换器的神经网络模型，并且可操作以提供控制信号多个分布式发电单元中的每个单元和多个切换器中的每个切换器，从而使系统从第一状态过渡。可到达性控制器耦接到控制器以接收第一状态和控制信号并分析第一状态和控制信号，从而确定如果实现控制信号将产生的第二状态并确定第二状态是否是安全状态。

前面已经相当宽泛地概述了本公开的技术特征，以便本领域技术人员可以更好地理解下面的详细描述。下文将描述形成权利要求的主题的本公开的附加特征和优点。本领域技术人员将理解，他们可以容易地使用所公开的概念和具体实施例作为修改或设计其他结构以实现与本公开内容相同的目的的基础。本领域技术人员还将认识到，此类等效构造不脱离其最广泛形式的公开内容的精神和范围。

此外，在下面的具体实施方式之前，应当理解，本说明书中提供了某些词和短语的各种定义，并且本领域普通技术人员将理解这些定义适用于许多(如果不是大多数)这些定义的单词和短语的先前和未来用途的实例。虽然一些术语可以包括多种实施例，但所附权利要求可以明确地将这些术语限制为特定实施例。

附图说明

图1是包括控制器和可到达性控制器的自主系统的示意图。

图2是包括控制器和可到达性控制器的自主交通工具的示意图。

图3是作为安全状态或非安全状态的各种状态的示意图。

图4是包括控制器和可到达性控制器的自主电力网格的示意图。

图5是包括控制器和可到达性控制器的自主机器人系统的示意图。

图6是包括控制器和可到达性控制器的自主制造设施的示意图。

在详细解释本发明的任何实施例之前，应当理解，本发明不限于其在以下描述中阐述或在以下附图中示出的构造细节和部件布置的应用。本发明能够有其他实施例并且能够以各种方式被实践或执行。此外，应当理解，这里使用的措辞和术语是为了描述的目的而不应被视为限制性的。

具体实施方式

现在将参考附图描述与系统和方法有关的各种技术，其中相同的附图标记始终表示相同的元件。下面讨论的附图以及本专利文件中用于描述本公开的原理的各种实施例仅作为说明，不应以任何方式解释为限制本公开的范围。本领域技术人员将理解，本公开的原理可以在任何适当布置的装置中实施。应当理解，被描述为由某些系统元件执行的功能可以由多个元件执行。类似地，例如，元件可以被配置为执行被描述为由多个元件执行的功能。将参考示例性非限制性实施例描述本申请的众多创新教导。

此外，应当理解，除非在一些示例中明确限制，否则应当宽泛地解释本文中使用的词或短语。例如，术语“包括”、“具有”和“包括”以及它们的派生词意味着包括但不限于。单数形式“个”、“一”和“该”也旨在包括复数形式，除非上下文另有明确说明。此外，本文使用的术语“和/或”是指并涵盖一个或多个相关联的所列项目的任何和所有可能的组合。除非上下文另有明确指示，否则术语“或”是包括性的，是指和/或。短语“与……相关联”和“与之相关联”及其派生词可能意味着包括、被包括在之内、与之互连、含有、被含有在之内、连接到或与之连接、耦接到或与之耦接、与之可通信、与之协作、交错、并列、接近于、结合到或与之结合、具有、具有...的性质等。

此外，虽然术语“第一”、“第二”、“第三”等可在本文中用于指各种元件、信息、功能或动作，但这些元件、信息、功能或动作不应受这些条款的限制。相反，这些数字形容词用于区分不同的元件、信息、功能或行为。例如，第一元件、信息、功能或行为可以称为第二元件、信息、功能或行为，类似地，第二元件、信息、功能或行为可以称为第一元件、信息、功能或行为，而不脱离本公开的范围。

此外，术语“邻近”可以指：一个元件相对靠近但不与另一个元件接触；或者该元件与另一部分接触，除非上下文另有明确说明。此外，除非另有明确说明，否则短语“基于”旨在表示“至少部分基于”。术语“大约”或“基本上”或类似术语旨在涵盖在该尺寸的正常工业制造公差内的值的变化。如果没有可用的行业标准，除非另有说明，否则20％的变化将属于这些术语的含义。

图1示意性地示出了包括物理装置11的自主系统10，物理装置11由控制器15和可到达性控制器20控制。控制器15和可到达性控制器20各自是由一个或多个计算机25运行的基于软件的控制器。虽然本文中未图示，任何自主系统10将包括连接到控制器15和可到达性控制器20中的一者或两者的一个或多个传感器，以感测环境的各种方面。例如，光学传感器可以定位为提供环境的视觉图像。另一系统可以包括lidar系统，其检测与系统10周围的外侧物体的距离和方向。其他传感器可以包括rfid读取器、条形码读取器、红外传感器、radar传感器、声学传感器、自主传感器等。

如所熟知的，本发明的软件方面可以储存在包括局域磁盘驱动系统、远程服务器、互联网，或基于云的储存位置的几乎任何计算机可读介质。此外，方面可以依需储存在便携装置或存储器装置。计算机25或多个计算机总体上包括输入/输出装置、一个或多个处理器、存储器装置、用户输入装置和诸如监视器、打印机等的输出装置，输入/输出装置允许对软件的访问，无论软件储存在何处。

一个或多个处理器可以包括标准微处理器或可以包括人工智能加速器或处理器，其专门设计为执行人工智能应用，诸如人工神经网络、机器视觉，以及机器学习。典型应用包括用于机器人、物联网和其他数据密集型或传感器驱动的任务的算法。通常，ai加速器是多核设计且总体上专注于低精度运算、新颖数据流架构，或存储器内计算能力。在其他应用中，处理器可以包括图形处理单元(gpu)，其设计为用于图像的操纵和计算局域图像性质。神经网络和图像操纵的数学基础是相似的，使gpu越来越多地用于机器学习任务。当然，如果期望则可以采用其他处理器或布置。其他选项包括但不限于现场可编程门阵列(fpga)、应用专用集成电路(asic)等。

计算机25还可以包括通信装置，其将允许其他计算机或计算机网络之间的通信，以及与其他装置(诸如机器工具、工作站、致动器、控制器、传感器等)的通信。

返回图1，控制器15优选地包括物理装置11和物理装置11将在其中操作的期望环境的神经网络模型30。如本领域普通技术人员将理解的，神经网络模型是非常复杂的程序，其对于在全部操作条件下测试是有挑战的。例如，诸如汽车的自主交通工具可以相对简单地建模。然而，汽车在其中操作的环境是极端动态的，使得很难测试全部可能的操作条件。任一操作条件或状态可能导致几乎无限其他状态，并且这些状态导致无限多的选项，迅速地导致要分析和测试的很复杂的模型。

在系统10的操作期间，期望将物理装置11保持在标准或安全状态，或可以依需调整物理装置11以完成目标。例如，用户可以向物理装置11提供输入。这些输入被转换为传输到控制器15的信号12，并且可以被传输到可到达性控制器20。控制器15生成被发送到物理装置11中的各种部件的控制信号35，以使物理装置11在如控制器15认为实现物理装置11的目标所需要的状态之间过渡。将关于图4-6的示例更详细地描述该操作。

可到达性控制器20定位在控制器15与物理装置11之间，以分析控制信号35和对物理装置11进行的潜在改变，以确保这些改变导致物理装置11移动到可接受状态。在优选的构造中，可到达性控制器20包括物理装置11和环境的分析模型40。分析模型40包括物理装置11的动力学模型，其远比物理装置11的神经网络模型30更简单。分析模型40的简单性允许模型的状态的迅速计算，以确定这些状态是可接受还是不可接受的，但更重要地允许全部操作条件的完整测试。可到达性控制器20将接收指示物理装置11和控制信号35的当前状态的数据，并操作以从该数据确定物理装置11的很可能的新状态。然后，可到达性控制器20分析第二状态以确定是否应允许物理装置11过渡到该状态。如果分析推断过渡应该发生，则信号35作为控制信号35a被传递到物理系统11。在一些情况下，传递到物理系统的信号35a被可到达性控制器20稍微修改，以确保到达安全状态，在其他情况下，信号35在没有改变的情况下作为信号35a传递到物理系统。如果分析推断过渡不应发生，一些系统将反馈信号13从可到达性控制器20传递到控制器15以进一步“教导”控制器15，并且从而改善未来决定进行。

在进一步继续之前，应阐明术语“状态”。任意系统在许多不同状态之一下可操作。状态可以由控制装置位置、系统的外部参数或任意其他区别性特征表示。例如，自主汽车可以具有第一状态，在第一状态，自主汽车以20km/hr沿直线向前移动。如果汽车改变到30km/hr，则其已经改变到第二状态。每个状态可以一般地分类为两种类型的状态之一。第一状态类型在本文中称为已知、可接受或安全的，其他术语也是可能的。这些状态典型地是自主系统以标准方式操作的状态，并且没有失效、变为不标准或导致对外部观察者或装备伤害的状态。第二状态类型在本文中称为未知、不可接受、或非安全的，其他术语也是可能的。这些状态典型地是系统为不标准、将要失效、将系统置于不合期望的位置或可能对外部观察者和装备导致伤害的状态或条件。

图3示意性地图示了在状态之间移动的若干示例。在图3中，边界45内的空间表示安全状态，而边界45之外的状态是非安全状态。空间可以表示物理装置11的行进方向，且距空间的中央的距离表示行进的速度。

图3示意性地图示了处于第一安全状态50的物理装置11。控制器15已经生成了将系统10移动到第二状态55的控制信号35。可到达性控制器20接收信息，信息指示正由控制器15生成的控制信号35和第一状态50。可到达性控制器20基于该控制信号35的输入确定很可能的第二状态55，以确定第二状态55落入图3的图示中的何处。可到达性控制器20然后进行两个确定。第一，可到达性控制器20确定第二状态55是否是安全状态。如果不是，则不需要进行第二确定，并且阻止控制信号35以防止物理装置11过渡到第二状态55。然而，如果第二状态55是安全状态，则可到达性控制器20确定是否可以从第二状态55到达附加安全状态60。如果附加安全状态60是可用的，则控制信号35传递到物理装置11，并且物理装置11过渡到第二状态55。然而，如果不存在物理装置11可以从第二状态55过渡到的附加安全状态60，则可到达性控制器20将阻止控制信号35，并且物理装置11将不过渡到第二状态55。因此，为了过渡发生，两个确定必须是肯定的。如果任一确定得到否定回答，则阻止控制信号35，并且物理装置11保持在第一状态50。

在图3的第一示例中，第二状态55被计算为安全状态。此外，可到达性控制器20进一步确定存在物理装置11可以从第二状态55过渡到的多个附加安全状态60。在该情况下，可到达性控制器20将允许控制信号35传递到物理装置11，并且物理装置11将过渡到第二状态55。

在第二示例中，生成控制信号35以从第一状态50a过渡到第二状态55a。第二状态55a被计算为安全状态，但其被较少的安全状态60a围绕。在该情况下，可到达性控制器20仍发现存在可以从第二状态55a到达的充足的附加安全状态60a，并且允许控制信号35传递，以使物理装置11过渡到第二状态55a。

在第三示例中，生成控制信号35以从第一状态50b过渡到第二状态55b。可到达性控制器20确定很可能的第二状态55b是安全状态。然而，第二状态55b被非安全状态围绕，且没有可以从该第二状态55b到达的附加安全状态。在该情况下，可到达性控制器20将阻止控制信号35，以防止过渡到第二状态55b。

在第四示例中，生成控制信号35以从第一状态50c过渡到第二状态55c。可到达性控制器20确定很可能的第二状态55c是非安全状态。在该情况下，不进行第二确定，并且可到达性控制器20阻止控制信号35以防止过渡到第二状态55c。

从给定状态到达安全状态的能力在不同示例和情况下表示不同事情。以下具体示例对此以及控制器15和可到达性控制器20的操作更好地进行说明。

图2图示了包括自主交通工具65形式的物理装置11的自主系统的示例。尽管交通工具65将作为汽车讨论，其可以是任意路面交通工具或可以是航空交通工具，包括固定翼飞行器、旋翼飞行器或其他飞行器。交通工具包括油门和刹车布置70，其移动以控制交通工具65的速度，以及转向机构75，其可以被调整以控制交通工具65的行进方向。在电动交通工具65的情况下，油门可以包括可变频驱动器或控制输送到引擎的功率的其他机构。第一致动器80被定位以调整油门和刹车布置70的位置，并且第二致动器85被定位以调整转向机构75。当然，在自主装置中可以采用并通常采用附加的致动器和装置。例如，在一个应用中，一个致动器控制油门，而分开的致动器控制刹车。用户或其他系统可以向控制器15提供输入数据150。例如，用户可以为汽车65输入新的目的地或设定新的速度。控制器15收集所述信息并确定汽车65的当前状态是否需要被调整。如果需要调整，则将控制信号35连同汽车65的当前状态一起发送到可到达性控制器20。可到达性控制器65确定控制信号35是否应被传递，如关于图3所讨论，并且如果他们应被传递，则将它们传递到各种致动器80、85，然后致动器80、85进行必要的调整。

在汽车65的情况下，安全状态可以是以下状态：将汽车65的位置保持在路面上，在给定速度或速度限制以下行进，以及与其他交通工具或物体安全地间隔。在一种情况下，汽车65可能在其路径上正靠近停放的交通工具。如果用户试图加速，则控制器15将生成必要控制信号35，并且将它们发送到可到达性控制器20。在将控制信号35传递到致动器80、85之前，可到达性控制器20将确定汽车65是否仍可以在撞击停放的交通工具之前停止。因此，加速导致安全状态，但可到达性控制器20确定从该新的更高速状态是否可以到达其他安全状态60，尤其是交通工具65在撞击停放的交通工具之前是否可以停止。通常视为安全状态的状态由于外部条件可能不是安全状态。

图4图示了包括控制器15和可到达性控制器20的自主系统90的另一示例。在该示例中，自主系统90包括电力网格91形式的物理装置11，其操作以接收生成的电力，并将该电力分布到多个耗电者95或用户。多个分布式发电机100可以包括多个不同的电源，其各自操作以生成电力以输送到电力网格90并分布到用户95。发电单元100中的每一个是单独地可控制的，以在期望时间输送期望量的电力。提供多个切换器105以依需选择性地连接或断开单独的发电单元100和耗电者95。如熟知的，典型电力网格系统91中还包括诸如能量储存单元、变压器等的其他部件，并且使电力网格91的控制进一步复杂化。

与之前的示例一样，控制器15包括电力网格系统91及其操作环境的神经网络模型30。然而，神经网络模型30的复杂度使全部可能情况的完全和彻底测试是存在挑战的(如果不是不可能的)。可到达性控制器20包括电力网格系统91的较简单的分析模型40，以允许分析模型40被更完全地测试，以确保可到达性模型20不允许系统91进入非安全状态。

在电力网格系统91的操作期间，用户可以提供输入150，诸如系统限制、发电机停开期等。控制器15使用这些输入以及来自各种传感器的输入来控制发电机100和切换器105，以实现期望结果。每次控制器15确定需要对系统91的调整，控制信号35被生成并发送到可到达性控制器20。控制信号35配置为依需控制一个或多个致动器或系统控制110。可到达性控制器20接收或确定系统91的当前状态，分析控制信号35，并确定如果实现控制信号35则将产生的第二状态。如以之前示例所讨论的，如果第二状态是安全状态，并且电力网格系统91可以从第二状态过渡到其他安全状态，则将控制信号35传递到电力网格系统91。然而，如果这些问题中任一问题被否定回答，则不将控制信号35转发到电力网格系统91。

图5图示了自主工厂115的示例，其包括多个机器人120，并且可以包括其他可控部件，诸如传送带、机器工具、库存控制系统等。应了解，尽管以下示例讨论控制机器人，但系统可以控制工厂内的几乎任何装置。包括电机或其他可控制致动器以及可以感测外部环境并报告装置在该环境内的操作的传感器的任何装置可以采用本文中所描述的系统。

与之前的示例一样，每个机器人120或自主装置包括致动器125，其可以包括多个致动器或其他控制装置(例如，电机、vfd等)，多个致动器或其他控制装置进而控制机器人120的移动或动作。控制器15包括工厂115内的可控制装置的神经网络模型30，或可能地包括整个工厂115。一个或多个用户可以提供输入150到控制器15，输入150设定工厂115的参数，诸如生产速率、生产步骤等。控制器15使用所述输入和由各种传感器或其他输入装置提供的数据来确定工厂115的状态是否需要改变。控制器15生成控制信号35，如果需要状态的改变，则控制信号35首先被发送到可到达性控制器20。可到达性控制器20基于工厂115的当前状态分析控制信号35，以确定如果实现控制信号35将产生的工厂115的很可能的第二状态。如果可到达性控制器20确定第二状态是安全状态且可以从第二状态到达其他安全状态，则将控制信号35传递到机器人120和工厂115内的其他装置。

图6图示了自主制炼厂(processplant)130的示例，诸如炼油厂或化工厂，其包括多个工艺、阀和专用于采用的工艺的其他部件135。与之前的示例一样，每个工艺或装置135包括致动器140，致动器140可以包括多个致动器或其他控制装置，多个致动器或其他控制装置进而控制工艺或装置135的移动或动作。控制器15包括制炼厂130内的可控制装置135或可能地包括整个工厂130的神经网络模型30。一个或多个用户可以提供输入150到控制器15，输入150设定制炼厂的参数，诸如生产速率、生产步骤等。控制器15使用所述输入和由各种传感器或其他输入装置提供的数据来确定制炼厂130的状态是否需要改变。控制器15生成控制信号35，控制信号35被首先发送到可到达性控制器20。可到达性控制器20基于制炼厂130的当前状态分析控制信号35，以确定如果实现控制信号35将产生的制炼厂130的很可能的第二状态。如果可到达性控制器20确定第二状态是安全状态且从第二状态可以到达其他安全状态，则将控制信号35传递到制炼厂130内的装置135。

如所讨论的，对于复杂自主系统使用可到达性控制器20是尤其有利的，在该复杂自主系统中，控制器15包括无法对全部可能情形合理地测试的神经网络模型30。在这些情况下，简单分析模型40可以被完全地测试并被在可到达性控制器20中使用。可到达性分析将很可能提供比神经网络模型30将提供的更少的安全状态，但更完全的测试确保可到达性控制器20将不允许系统过渡到不合期望的状态。

尽管已经详细描述了本公开的示例性实施例，但是本领域技术人员将理解，在不脱离本公开最广泛形式的精神和范围的情况下，可以进行本公开的各种改变、替换、变化和改进。

本申请中的任何描述均不应理解为暗示任何特定的要素、步骤、动作或功能是必不可少的要素，必须包括在权利要求范围内；专利主题的范围仅被授权的权利要求限定。此外，这些权利要求中没有一个旨在调用手段加功能的权利要求解释，除非确切在词语“用于…的机构”后跟一个分词。