专利名称:具有短执行时限的鲁棒系统控制方法
技术领域:
本发明涉及关键自动系统的控制。本发明应用于稳定性是关键问题的鲁棒 (robust)自动系统,比如航空电子系统。
背景技术:
关键安全产品,比如航空电子产品,通常根据严格的安全规范进行开发。这些安全规范包括系统定时行为的确定和预测。通常,总体开发方法是基于控制设计和实现关注事项的分离。
在控制设计期间,重要的问题是保持具有等距样本且无抖动的恒定采样率,以及具有可忽略不计的、或者固定已知的延迟。而且,根据实时调度理论,其主要地着重于为资源标注尺寸以满足时限(或者等价地,着重于针对给定资源的调度分析)。
通常,在运行期间,系统的每个资源都被分配了时隙用以响应请求。如果资源响应过迟,则响应将不被考虑。例如,考虑飞行命令,如果飞行员输出命令来启动发动机电源,则将时隙分配给发动机电源控制系统以将命令施加到发动机。如果在时隙结束之前仍没有施加命令,则控制系统可以被认为是有故障的并且飞机的总体安全系统可以选择辅助的发动机功率控制系统。
在计算机科学和实时调度领域,主要目标在于考虑固定时段和硬时限的情况下来实现这些控制任务。通常这些时限被选择为等于或大于“WCET”(最坏情况执行时间的缩写)。必须精确地获知WCET以保证系统的安全工作。
这种假设适用于控制和调度设计之间的分离,但是却导致了计算资源(CPU资源) 的非最佳使用,并且该方法面临技术、经济、和工业的挑战。
现有技术方法中的一个最严峻挑战是用于标注系统尺寸所需的WCET的确定。结果的可靠性与处理单元的可预测性相关联。
即将生产的处理器似乎偏离了执行时间的可预测性和决定性目标。由于新处理器的加速却难预料的机制,处理速度和性能快速增长,但是变得难于预测对在最坏情况下考虑的执行时间的影响。现今,虽然提出了多种尝试来确定WCET的上限,但是传统和当前的方法都难应用于现今处理器世代,并且产生出悲观的值,也就是说会导致系统运行过于保守的值。
然后,为了实现控制规则,现有技术的不灵活和昂贵的方法包括,从硬件、操作系统和通信协议方面构建高度确定的系统,使得实际的执行参数满足理想值。实质上,单纯基于WCET和硬时限因素的实施方式是保守的,并且导致计算和网络资源的非最优使用,并且最终导致电源、冷却系统和重量过大。
当前的实时系统设计方法和相关的分析工具不能提供足够灵活的模型来很好地适应控制系统需求。而且,经典控制理论并没有教导如何在设计和实施阶段中将资源和依赖性约束包含到控制器中。
总之,用于自动系统的现有技术控制技术实施用于控制任务执行的硬时限并且不允许错过任何时限。此外,由于大部分时间中任务完全能够在WCET时限之前输出结果,因此WCET方法并不允许CPU资源的最优使用。(换句话说,任务执行持续时间达到WCET的情况是非常不常见的)。
所以,需要优化关键自动系统中的计算机资源。发明内容
根据本发明的第一方面,提供一种控制系统的方法,包括如下步骤
-发起任务,所述任务与最坏情况执行时间相关联;以及
-在分配给所述任务的执行的时隙之后,检测所述任务的结束;
其中所述时隙比所述最坏情况执行时间短。
所以,在检查任务是否结束之前以及在执行后续动作之前,并不系统地等待最坏情况执行时间(WCET)逝去。这导致计算能力方面的节省。
事实上,WCET几乎总是大于执行时间,尤其是对于安全关键应用。因此,在绝大多数任务执行中,任务在WCET结束之前就良好地结束。任务结束和WCET结束之间的时间与被分配给任务执行的资源(如处理器)不被使用期间的时间相对应。
发明人发现该时间可被减少以使得可以优化计算资源。该时间可以被用于执行其它任务,由此增强了系统的处理效率。系统还可以被标定为具有更少计算机资源的尺寸,由此节省了与冗余计算资源相关的成本,所述冗余计算资源通常提供在系统中作为用于不常见情况的备用资源,在所述不常见情况下,由于使用大于WCET的执行时间来执行任务所以检测到了设备故障。还可以在系统中节约能量并且还可以减少体积和重量。
发明人发现自动系统中分配给任务执行的执行时隙可以比WCET短,同时保持系统的性能
事实上,在考虑到闭环控制系统的情况下,可以通过利用反馈回路的基本特征 (相对于建模不确定性的鲁棒性、抗扰性以及对各种操作条件的适应性),来实施更为灵活的解决方案。反馈控制器的鲁棒性还意味着相对于与理想定时图案(例如等距采样)的偏差的某些容错。这一特征可以有效地用于保证在弱化实时约束的情况下的端到端控制质量,即稳定性和性能水平,从而改善了总的计算能力平均利用。
发明人因此提供一种用于实时反馈控制器的“弱化(weakened) ” (即,不像必需严格遵守WCET的现有技术中那样硬性)实施方案。本发明减少了由于传统的最坏情况考虑因素导致的保守性,同时保持系统的稳定性和控制性能。
基于用于采用延迟的和采样数据输入来评估线性系统的稳定性的新方法,本发明考虑控制任务错过的时限的影响以及受控系统(或设施)中的不确定性。
本发明“弱化”实时约束并且使得能够在保持系统稳定性的同时节省计算能力。
如果任务在系统中执行,则可以在初步统计分析期间确定最坏情况执行时间。例如,任务被发起给定次数并且监视和存储执行时间。任务的执行条件可以改变以便考虑坏的和好的系统操作条件(例如硬件故障或软件错误的仿真)。在分析期间测量的最长执行时间因此对应于最坏情况执行时间。
任务可以对应于计算机程序(如计算方法)的实例,例如,要由用于实施计算代码的一个或多个处理器执行的一组指令。任务还可以对应于一个或多个计算线程。
根据实施例,根据固定的时间段周期性地发起任务。
因此,定期地产生在计算周期方面的节省,由此增强了系统的总体优化。
例如,当任务执行在被分配的时隙之前结束时,该方法还包括输出基于当前输入值而计算出的值。
这可以对应于常规情况,其中任务必须基于来自已经触发任务执行的传感器的测量值向致动器输出命令信号。
根据另一示例,当任务执行在被分配的时隙之前未结束时,该方法还包括输出基于前一个输入值而计算出的值。
因此,系统仍可以通过保持致动器上的当前命令来运行。这是对于当错过执行时隙时限时执行任务的处理器的总体禁用的一种替代方式。
根据实施例,该方法还包括停止任务并且在下一个时间段用下一个输入值再次发起任务。
当前值因此被忽略,以便不会减慢系统的总体操作。
根据实施例,时隙被确定为使得未在时隙之前结束的相继任务的统计最大数量小于性能阈值。
例如,时隙被确定为使得达到未在时隙之前结束的相继任务的最大数量的概率小于性能阈值。
因此,系统设计者可以执行系统的初步分析,在初步分析期间限定鲁棒性和资源优化之间的平衡。
根据实施例,系统具有反馈回路。
这样的系统是足够鲁棒的以容易地允许执行时隙小于WCET。这样的系统还可以容忍要被错过的时限。
例如,任务对应于系统的致动器的命令。
根据本发明的第二方面,提供一种包括指令的计算机程序和计算机程序产品,所述指令当被加载并运行于系统的控制单元的计算机装置上时,用于实施根据本发明的第一方面的方法。还提供了存储这样的计算机程序的计算机可读装置。
根据本发明的第三方面,提供包括被配置为执行根据第一方面的方法的控制单元的系统。
根据本发明的第四方面,提供包括根据第三方面的系统的飞行器命令系统。
根据本发明的第五方面,提供一种包括根据第四方面的系统的飞行器。
根据本发明的第二、三、四、五方面的目的提供了至少与由根据本发明的第一方面的方法提供的优点相同的优点。根据本发明的第三、四、五方面的目的可以包括用于实施根据第一方面的方法的可选特征的装置。
参照附图,根据对非限制性示意实施例的以下描述本发明的其它特征和优点将变得清楚,在附图中
图I是自动反馈控制系统的总体架构的示意图2是根据实施例的控制方法的步骤的流程图
图
图
图
图
图
图
图
图3是用于选择执行时隙的过程的示意图;4是控制任务的示意性执 行调度的示意图;5是要由系统执行的任务的执行时间和相关概率密度的分布的示图; 6是根据实施例的控制任务的执行调度的示图;7是选择比WCET更短的时隙的示图;8是F-16飞机的俯仰控制系统的框图;9是用于情况研究的控制任务的执行调度的示图;10-13、14a-14b以及15a_15b是示出情况研究结果的图;以及 16是根据实施例的系统的示意图。
具体实施方式
发明人已发现目前,自动控制系统理论已经达到了允许容忍错失时限的鲁棒性分析置信水平。发明人还发现在大多数应用(尤其是安全关键应用)中普遍的WCET方法过于谨慎。下文中,将描述一种控制自动系统的方法,其具有分配给控制任务执行的小于WCET 的时隙并且容忍错失时限。还示出了可以保证的系统的稳定性和安全性。
如下,对于η维状态向量X和非负延迟h,Xt表示使得对于所有Θ e [_h,0]有 xt(0) =χα-θ)的函数。该函数Xt的集合表示为Kh。集R+、Rnxn以及Sn*别表示正标量集、ηχη矩阵集以及Rnm的对称矩阵集。上标’ Τ’表示矩阵转置。对于P e Sn,标记P > O 表示P是正定的。对于任意矩阵A e Rnxn,标记2He {A} > O表示Α+Ατ >0。符号I和O表示适当维度的单位矩阵和零矩阵。
图1是自动反馈控制系统的总体架构的示意图。该架构可以在各种应用(诸如航空电子设备、汽车、发电控制装置等)中实施。
依照该架构,系统具有接口单元100,从该接口单元100使用者或者其他系统可以发送命令。接口因此可以是键盘、触摸屏或通信接口。接口单元将命令信号输出给控制单元101。控制单元随后根据系统的状态管理命令信号并且输出控制信号给单元102,所述单元102包括系统的执行由命令信号所要求的动作的致动器。传感器单元103执行系统中的测量以便向控制单元提供使得控制单元能够确定系统的当前状态的信息。
在航空电子设备应用中,致动器可以是空气制动器、发动机或飞机的其它元件。传感器单元可以包括例如速度传感器。接口可以是驾驶舱杆。
依照实施例,控制单元可以依照图2的总体流程来执行方法。
在步骤S200期间,控制单元接收命令信号。该步骤可以根据时间段顺序地执行。 例如,控制单元监测通信端口,从通信端口处从接口接收命令信号。
接着,在步骤S201期间,控制单元发起与命令信号相对应的任务。例如,任务是由处理器实施的一组处理,所述处理器基于命令信号中所包含的输入值来执行计算。
一旦发起控制任务,则在步骤S202期间,控制单元通过向分配给任务执行的时隙设置定时器来监测任务的执行。
一旦时隙逝去了,则控制单元在步骤S203期间通过检测任务是否已经输出结果来检测任务是否已经执行。
如果任务在分配的时隙之前已经结束,则控制单元在步骤S204期间输出控制信号。例如,控制信号向系统的致动器馈给已经基于在命令信号中接收的输入值而计算出的输出值。
如果任务在分配的时隙之前尚未结束,则控制单元在步骤S205期间保持当前控制信号。例如,控制信号向致动器馈给基于在针时先前发起任务的前一命令信号中所接收的输入值而计算出的输出值。
在该情况下,控制单元可以检测进行任务执行计算的控制单元元件(比如处理器)的故障。在步骤S206期间检测故障。例如,当检测到故障时,该元件(例如处理器) 被禁用并且在直到被检查之前将不再被使用。在该情况下,控制单元具有用于执行计算的主处理器和辅助处理器。主处理器用于正常情况而辅助处理器用于主处理器出现故障的情况。
禁用可以在任务第一次错过时限时就执行,或者可以设置计数器用于在给定数目的错失时限之后禁用处理器。
在步骤S204和S206之后,控制单元依照上述已经提到的顺序时间段而返回到步骤 S200。
如下文中示出的,基于系统性能和控制单元的处理器资源优化之间的平衡来确定时隙。该时隙被确定为小于任务的WCET。
图3中示意性的表示了选择时隙值的总体过程。
在初步过程中,确定如下元素
-系统的数学模型300。模型基于系统的物理结构。
-被设计用于系统运行的命令算法301。
-基系统统计研究的WCET估计302。系统运行给定次数并且测量任务的响应时间来确定所测量的响应时间的分布。
-给定设想应用,系统必须满足的性能和安全规范303。
-对于高级安全应用比如航空电子设备应用,系统所必须遵守的认证规范304。
随后,在第一分析序列305期间,指定运行模式。在该序列期间,顺序地排列在运行模式期间要由系统执行的任务(步骤306)。每个任务都被分配了执行时隙并且时隙被依照系统运行而排序。
在下一个序列307期间,使用模型300,系统通过缩短执行时隙而弱化直到系统达到不稳定。在步骤S308期间,分配给任务的执行时隙被减少到由项302给出的相应WCET 之下。
随后在步骤S309期间使用项300和301来估计系统的结果稳定性和鲁棒性。并行地,在步骤S310期间,评估在系统的计算资源方面的所得增益。例如,确定执行每个任务所使用的序列数目。
在下个序列311期间,分析系统退化所导致的控制质量。执行步骤S312,在步骤 S312将控制质量损失和所获得的计算机资源优化进行比较。换句话说,检查计算机资源方面的增益(例如,所节约的处理器周期的数目)是否值得性能和鲁棒性的损失。
随后在序列313期间分析资源使用的优化。检查控制质量(QoC)和从系统退化所导致的处理资源使用之间的平衡是否满足取决于应用、系统必须符合的性能和安全规范 (该信息通过项303和304给出)的标准。执行步骤S314来验证这些标准的满意度。
如果平衡不令人满意,则再次执行步骤S308并且再稍稍减少所分配的执行时隙。
如果平衡是令人满意的,则在序列315期间验证系统分析的最终结果。执行步骤 S316,在步骤316期间采用系统的非线性模型来测试具有所分配的执行时隙的系统运行。 在该测试期间,使用考虑饱和性和不确定性问题的系统表示来确认所分配的时隙值。
接着,如果在甚至考虑了这些问题的情况下系统令人满意地运行,则在步骤S317 期间确定每个控制任务的执行时隙。
下面,将针对鲁棒性考虑来详细地示出WCET(最坏情况执行时间的缩写)问题。随后给出发明人所提出的解决方案。
当前,许多控制系统,比如飞行控制或制动控制系统,独考虑为硬实时的,其意味着在系统的设计过程中,假设控制任务必须严格周期性地执行。控制任务执行必须受限于固定时隙,其不允许错过时限,并且抖动也被禁止(或在实践中严格受限)。假设理想定时模式下的任意偏差都必然地导致系统的故障。
这样的控制任务的实施依赖于每个任务的WCET的安全和保守估计,WCET用于标定分配给控制任务执行的时隙的尺度。图4中描述了控制任务的示意性执行调度。例如, 该任务基于飞行员的命令以及飞机元件上测量的其它参数来控制飞行器的俯仰(Pitch)。
假设给定的任务周期性地执行。时隙Tsltrt被分配给任务来用于其执行。在图4 的示意性任务中,时隙首先被考虑为WCET。通过时刻Sk处出现的测量值X (Sk)以周期T = Sk-Sk^1来触发每个时隙。测量值可以对应于来自飞行器的传感器(如速度或俯仰传感器) 的输出或具有驾驶舱界面的通信端口上的数据访问(或读取)。
由控制任务执行的计算所花费的时间Tex通常小于WCET,这是由于WCET对应于最坏执行时间。为了避免输出抖动,在时隙的端部(即,在时刻sk+WCET)将控制信号U(x(sk)) 施加到飞行器的致动器(如发动机、液压致动器、副翼或后掠翼)
对于满足sk+WCET彡t < sk+1+WCET的任意t,即,
权利要求
1.一种控制系统的方法,包括如下步骤 -发起(S201)任务,所述任务与最坏情况执行时间相关联;以及 -在分配给所述任务的执行的时隙之后,监测(S202,S203)所述任务的结束; 其中所述时隙比所述最坏情况执行时间短。
2.根据权利要求I所述的方法,其中,根据固定的时间段来周期性地发起所述任务。
3.根据权利要求2所述的方法,其中,当所述任务的执行在分配的时隙之前结束时,所述方法还包括输出(S204)基于当前的输入值而计算出的值。
4.根据权利要求2或3所述的方法,其中当所述任务的执行未在分配的时隙之前结束时,所述方法还包括输出(S205)基于前一个输入值而计算出的值。
5.根据权利要求4所述的方法,还包括停止所述任务并且在下一个时间段用下一个输入值再次发起任务。
6.根据前述权利要求中任一项所述的方法,其中,所述时隙被确定为使得未在所述时隙之前结束的相继任务的统计最大数量小于性能阈值。
7.根据前述权利要求中任一项所述的方法,其中,所述时隙被确定为使得达到未在所述时隙之前结束的相继任务的最大数量的概率小于性能阈值。
8.根据前述权利要求中任一项所述的方法,其中,所述系统具有反馈回路。
9.根据前述权利要求中任一项所述的方法,其中,所述任务对应于计算机程序的实例。
10.根据前述权利要求中任一项所述的方法,其中,所述任务对应于所述系统的致动器的命令。
11.一种计算机程序,包括当所述程序被加载并由可编程装置执行时用于实施根据前述权利要求中任一项所述的方法的指令。
12.—种系统(160),包括被配置为执行根据权利要求I到10中任一项所述的方法的控制单元(161)。
13.一种飞行器命令系统,包括根据权利要求12所述的系统。
14.一种飞行器,包括根据权利要求12和13中任一项所述的系统。
全文摘要
一种具有短执行时限的鲁棒系统控制方法。提供了一种控制系统的方法,包括如下步骤发起任务,所述任务与最坏情况执行时间相关联;以及在分配给任务的执行的时隙之后,监测任务的结束;其中所述时隙比所述最坏情况执行时间短。
文档编号G05B13/04GK102981405SQ20121046201
公开日2013年3月20日 申请日期2012年9月6日 优先权日2011年9月6日
发明者P·安德里亚尼艾纳, A·塞雷, D·西蒙 申请人:空中客车运营简化股份公司