监视器性能分析的制作方法

本国际PCT专利申请对优先权依赖于2014年4月25日提交的美国临时专利申请序列号61/984,285，所述美国临时专利申请的全部内容以引用方式并入本文中。

发明领域

本发明总体上涉及系统中的监视器的性能分析，并且尤其涉及性能分析工具，所述性能分析工具测量系统中的监视器的稳健性和故障检测能力。

发明背景

在如飞机的复杂系统中，监视器通常用来确保系统按预期操作。当监视器检测到不希望的结果时，监视器可触发消息或其他事件。监视器的结果还可用来改变系统的操作条件，如停用部件或子系统并且切换到备用部件或子系统。为使监视器有效，它们必须按预期跳闸以避免超过可能的危险条件，并且仅在需要避免乱真(nuisance)警报时跳闸。当监视器跳闸但在进一步检查后未发现故障时，因为所监视系统经详细分析以试图定位不存在的问题的根本原因，所以增加了维护开销。

在一些情况下，用来使监视器跳闸的监视器极限由领域专家基于过去的经验来选择。在其他情况下，监视器极限表示偏差相对于预期值的固定百分比。进一步替代方案是选择峰值操作电平与危险电平之间的中点。虽然若干监视器极限选择技术可为有效的，但是它们可能未充分考虑系统整合后的可能的变化。例如，传感器重定位、电缆长度改变、环境条件、瞬变、老化效应、制造变化、准确度和级联部件可影响实际监视器性能相对预期监视器性能。选择不合理的短确认时间或监视器极限的不合理的紧密容限可导致乱真警报。另外，当所监视部件或子系统不处于操作状态中时使监视器作用可导致乱真警报。

所需要的是用来测量系统中的监视器的稳健性和故障检测能力的改进的系统和过程，从而在数量上验证监视器性能或启动改变过程。

技术实现要素：

根据本发明的实施方案，系统包括处理器和存储器系统，所述存储器系统与所述处理器通信。所述存储器系统存储指令，当所述指令由所述处理器执行时，所述指令导致所述系统可操作来识别所监视系统的系统危险界限和所述所监视系统的系统乱真界限。所述系统还可操作来基于所述系统危险界限确定必须跳闸条件，并且基于所述系统乱真界限确定必须不跳闸条件。所述系统进一步可操作来基于所述系统危险界限和所述必须跳闸条件与所述必须不跳闸条件之间的差值来输出用于所述所监视系统的保护余量。

在本发明的有利实施方案中，系统进一步可操作来在必须跳闸条件处进行容限叠加，以运算第一估计误差。

在本发明的有利实施方案中，系统进一步可操作来基于必须跳闸条件与第一估计误差之间的差值运算阈值保护极限。

在本发明的有利实施方案中，用于所监视系统的保护余量包括阈值保护极限与所选择阈值之间的差值除以必须跳闸条件与必须不跳闸条件之间的差值的比值。

在本发明的有利实施方案中，系统进一步可操作来基于系统乱真界限和必须跳闸条件与必须不跳闸条件之间的差值来输出用于所监视系统的乱真余量。

在本发明的有利实施方案中，系统进一步可操作来在必须不跳闸条件处进行容限叠加，以运算第二估计误差。

在本发明的有利实施方案中，系统进一步可操作来基于必须不跳闸条件与第二估计误差之间的差值运算阈值乱真极限。

在本发明的有利实施方案中，用于所监视系统的乱真余量包括所选择阈值与阈值乱真极限之间的差值除以必须跳闸条件与必须不跳闸条件之间的差值的比值。

在本发明的有利实施方案中，系统进一步可操作来执行所选择阈值相对于阈值保护极限的余量检查，以及所选择阈值相对于阈值乱真极限的余量检查。

在本发明的有利实施方案中，系统进一步可操作来执行设计指导检查以确认所选择阈值与阈值乱真极限之间的差值除以第二估计误差的比值超过最小值。

在本发明的有利实施方案中，设计指导检查进一步包括确认所选择确认时间超过最小确认值。

在本发明的有利实施方案中，设计指导检查进一步包括确认保护余量与乱真余量之间的差值小于余量差值阈值。

在本发明的有利实施方案中，基于确定不满足余量检查和设计指导检查中的一个或多个来启动校正动作。

在本发明的有利实施方案中，校正动作是以下项中的一个：对所监视系统的需求改变、对所监视系统的设计改变或所审阅和所确认偏差。

在本发明的有利实施方案中，所监视系统为飞机的控制系统。

在本发明的有利实施方案中，系统进一步可操作来确认用于所监视系统的所选择确认时间介于乱真确认时间极限与保护确认时间极限之间。

在本发明的有利实施方案中，系统进一步可操作来记录用于多个所监视系统的结果。

根据本发明的另一实施方案，公开用于所监视系统的监视器的性能分析的方法。所述方法包括识别所监视系统的系统危险界限和所监视系统的系统乱真界限。基于系统危险界限确定必须跳闸条件。基于系统乱真界限确定必须不跳闸条件。基于系统危险界限和必须跳闸条件与必须不跳闸条件之间的差值来输出用于所监视系统的保护余量。

在本发明的有利实施方案中，在必须跳闸条件处进行容限叠加，以运算第一估计误差。

在本发明的有利实施方案中，基于必须跳闸条件与第一估计误差之间的差值来运算阈值保护极限。

在本发明的有利实施方案中，用于所监视系统的保护余量包括阈值保护极限与所选择阈值之间的差值除以必须跳闸条件与必须不跳闸条件之间的差值的比值。

在本发明的有利实施方案中，基于系统乱真界限和必须跳闸条件与必须不跳闸条件之间的差值来输出用于所监视系统的乱真余量。

在本发明的有利实施方案中，在必须不跳闸条件处进行容限叠加，以运算第二估计误差。

在本发明的有利实施方案中，基于必须不跳闸条件与第二估计误差之间的差值来运算阈值乱真极限。

在本发明的有利实施方案中，用于所监视系统的乱真余量包括所选择阈值与阈值乱真极限之间的差值除以必须跳闸条件与必须不跳闸条件之间的差值的比值。

在本发明的有利实施方案中，执行所选择阈值相对于阈值保护极限的余量检查，以及所选择阈值相对于阈值乱真极限的余量检查。

在本发明的有利实施方案中，执行设计指导检查以确认所选择阈值与阈值乱真极限之间的差值除以第二估计误差的比值超过最小值。

在本发明的有利实施方案中，设计指导检查进一步包括确认所选择确认时间超过最小确认值。

在本发明的有利实施方案中，设计指导检查进一步包括确认保护余量与乱真余量之间的差值小于余量差值阈值。

在本发明的有利实施方案中，基于确定不满足余量检查和设计指导检查中的一个或多个来启动校正动作。

在本发明的有利实施方案中，校正动作是以下项中的一个：对所监视系统的需求改变、对所监视系统的设计改变或所审阅和所确认偏差。

在本发明的有利实施方案中，所监视系统为飞机的控制系统。

在本发明的有利实施方案中，确认用于所监视系统的所选择确认时间介于乱真确认时间极限与保护确认时间极限之间。

在本发明的有利实施方案中，记录用于多个所监视系统的结果。

根据本发明的又一实施方案，公开用于所监视系统的监视器的性能分析的计算机程序产品。计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质具有利用其实施的程序代码，所述程序代码可由计算机、处理器或逻辑电路读取/执行，以执行方法，所述方法包括识别所监视系统的系统危险界限和所监视系统的系统乱真界限。基于系统危险界限确定必须跳闸条件。基于系统乱真界限确定必须不跳闸条件。基于系统危险界限和必须跳闸条件与必须不跳闸条件之间的差值来输出用于所监视系统的保护余量。

在本发明的有利实施方案中，在必须跳闸条件处进行容限叠加，以运算第一估计误差。

在本发明的有利实施方案中，基于必须跳闸条件与第一估计误差之间的差值来运算阈值保护极限。

在本发明的有利实施方案中，用于所监视系统的保护余量包括阈值保护极限与所选择阈值之间的差值除以必须跳闸条件与必须不跳闸条件之间的差值的比值。

在本发明的有利实施方案中，基于系统乱真界限和必须跳闸条件与必须不跳闸条件之间的差值来输出用于所监视系统的乱真余量。

在本发明的有利实施方案中，在必须不跳闸条件处进行容限叠加，以运算第二估计误差。

在本发明的有利实施方案中，基于必须不跳闸条件与第二估计误差之间的差值来运算阈值乱真极限。

在本发明的有利实施方案中，用于所监视系统的乱真余量包括所选择阈值与阈值乱真极限之间的差值除以必须跳闸条件与必须不跳闸条件之间的差值的比值。

在本发明的有利实施方案中，执行所选择阈值相对于阈值保护极限的余量检查，以及所选择阈值相对于阈值乱真极限的余量检查。

在本发明的有利实施方案中，执行设计指导检查以确认所选择阈值与阈值乱真极限之间的差值除以第二估计误差的比值超过最小值。

在本发明的有利实施方案中，设计指导检查进一步包括确认所选择确认时间超过最小确认值。

在本发明的有利实施方案中，设计指导检查进一步包括确认保护余量与乱真余量之间的差值小于余量差值阈值。

在本发明的有利实施方案中，基于确定不满足余量检查和设计指导检查中的一个或多个来启动校正动作。

在本发明的有利实施方案中，校正动作是以下项中的一个：对所监视系统的需求改变、对所监视系统的设计改变或所审阅和所确认偏差。

在本发明的有利实施方案中，所监视系统为飞机的控制系统。

在本发明的有利实施方案中，确认用于所监视系统的所选择确认时间介于乱真确认时间极限与保护确认时间极限之间。

在本发明的有利实施方案中，记录用于多个所监视系统的结果。

附图说明

参考下列附图可理解本发明的各种实施方案。部件未必是按比例的。此外，在附图中，相同参考数字贯穿若干视图指示对应部分。

图1是根据本发明的实施方案的系统的方框图；

图2是根据本发明的实施方案的另一系统的方框图；

图3是根据本发明的实施方案的监视器和所监视系统的方框图；

图4是根据本发明的实施方案的针对监视器的各种条件和极限的实例；

图5是根据本发明的实施方案的在用于进行监视器性能分析的方法中由处理器执行的示例性步骤的流程图；并且

图6是根据本发明的实施方案的在用于进行监视器性能分析的方法中由处理器执行的示例性步骤的另一流程图。

发明详述

在以下描述和意图仅为说明性的实例中更特定地描述本发明，因为其中的大量修改和变化将对本领域技术人员明显。如本说明书和权利要求书中所使用，除非上下文另外清楚地指示，否则单数形式“一(a)”、“一(an)”和“所述”可包括复数对象。此外，如本说明书和权利要求书中所使用，术语“包括”可包括“由...组成”和“基本上由...组成”的实施方案。此外，本文中所公开的所有范围包括端点，并且可独立地组合。

如本文中所使用，近似语言可适用于修饰任何定量表示，所述定量表示可改变而不导致与其相关的基本功能的变化。相应地，在某些情况下，由一个或多个术语(如“大约”和“大体上”)修饰的值可能不局限于所规定的精确值。在至少一些情况下，近似语言可对应于计算和/或存储值的精确度。

在本发明的实施方案中，相对于若干极限和条件分析用于所监视系统的监视器的所选择阈值，以确定所选择阈值是否可能具有适当故障检测性能和稳健性。一般来说，监视器的故障检测应该导致正确地检测故障的存在，并且在检测到故障时使监视器跳闸。监视器的监视器稳健性应该导致在故障不存在时监视器不跳闸。监视器的故障检测性能可通过保护余量来量化，并且监视器的稳健性可通过乱真余量来量化。本文中提供关于保护余量和乱真余量的计算和使用的进一步细节。

本发明的各种所公开的实施方案的前述和其他特征从本发明的说明性实施方案的以下详述和附图中将更容易地明白，其中相同参考数字指代相似元件。

参考图1，说明根据本发明的实施方案的实现监视器性能分析的系统100的一部分的方框图。系统100表示联网环境；然而，应理解，还设想到非联网实施方案。在图1中所描绘的实例中，系统100包括主机系统102，所述主机系统可被配置来经由通信网络106与一个或多个客户端系统104通信。在示例性实施方案中，主机系统102为高速处理装置(例如，大型计算机、台式计算机、膝上型计算机、手持式装置、嵌入式计算装置或类似装置)，所述高速处理装置包括至少一个处理器(例如，计算机处理器或处理电路)，所述至少一个处理器能够读取和执行指令，并且处置与系统100的各种部件的交互。

在示例性实施方案中，客户端系统104(各自通常称为客户端系统104)可包括各种计算装置，所述计算装置具有处理器和I/O接口，如键/按钮、触摸屏和显示装置。客户端系统104的实施方案可包括个人计算机(例如，膝上型计算机、台式计算机等)、便携式装置(例如，平板PC、个人数字助理、智能电话等)或网络服务器附接终端。或者，可省略客户端系统104。主机系统102和客户端系统104可包括本领域中已知的各种计算机/通信硬件和软件技术，如一个或多个处理器或电路、包括可移动介质的易失性和非易失性存储器、电源、网络接口、支持电路、操作系统和类似物。主机系统102还可包括一个或多个用户接口108，所述用户接口具有如键盘、鼠标和显示器的用户可访问I/O装置，以提供对主机系统102的本地访问。

通信网络106可为本领域中已知的任何类型的通信网络。通信网络106可包括无线、有线和/或光纤链路的组合。通信网络106可支持允许在主机系统102与客户端系统104之间传输数据的各种已知通信标准。额外的计算机系统(未描绘)也可通过通信网络106或其他网络与主机系统102和/或客户端系统104对接。

在示例性实施方案中，主机系统102通信地耦接至存储装置110。存储装置110存储监视器性能分析(MPA)数据112，所述监视器性能分析数据可包括一个或多个文件和/或数据库。存储装置110可使用主机系统102中含有的存储器来实现，或存储装置110可为单独的物理装置。应理解，可采用多个存储装置。例如，存储装置可跨通信网络106分散，并且作为跨包括通信网络106的分布式环境的统一数据源，存储装置中的每一个可能是逻辑可寻址的。

存储在存储装置110中的信息可通过主机系统102检索和操纵。数据存储装置110通常可存储程序指令、代码和/或模块，当所述程序指令、代码和/或模块由处理器执行时，使得特定机器根据本文中所描述的一个或多个实施方案起作用。图1中所描绘的数据存储装置110表示本文中被定义成“计算机可读存储器”(例如，与传输装置或介质相反的非暂时性存储器)的计算机可读介质的类别和/或子集。

主机系统102可执行一个或多个应用114，包括MPA工具116。在替代实施方案中，主机系统102提供MPA工具116或所述MPA工具116的部分，以便由客户端系统104中的一个或多个执行。MPA工具116可通过客户端系统104、一个或多个用户接口108或MPA数据112接收数据输入。执行监视器性能分析后，MPA工具116可向客户端系统104、一个或多个用户接口108或MPA数据112输出结果。用于执行MPA工具116的指令可例如存储在存储装置110中，并且可转移至主机系统102或客户端系统104内的存储器中的其他位置，以便执行。本文中提供关于MPA工具116的进一步细节。

图2是根据实施方案的系统200的方框图。系统200被描绘成在图2中的计算机201(如通用计算机)中实施，所述计算机201被配置来执行监视器分析。系统200是图1的主机系统102的实例。图1的客户端系统104还可包括如图2的计算机201中所描绘的类似计算机元件。

在示例性实施方案中，就硬件架构而言，如图2中所示，计算机201包括处理器205和耦接至存储器控制器215的存储器装置210，以及输入/输出控制器235。输入/输出控制器235可为例如但不限于一个或多个总线或其他有线或无线连接，如本领域中已知。输入/输出控制器235可具有用来实现通信的额外的元件(为简单起见被省略)，如控制器、缓冲器(高速缓存)、驱动器、中继器和接收器。此外，计算机201可包括地址、控制和/或数据连接，以实现前述部件间的适当通信。

在示例性实施方案中，常规键盘250和鼠标255或类似装置可耦接至输入/输出控制器235。或者，可通过触摸敏感接口或运动敏感接口(未描绘)接收输入。计算机201可进一步包括耦接至显示器230的显示控制器225。

处理器205是用于执行软件，尤其是存储在二级存储装置220或存储器装置210中的软件的硬件装置，其中存储器装置210和二级存储装置220可统称为与处理器205通信的存储器系统245。处理器205可为任何定制的或可商购的计算机处理器、中央处理单元(CPU)、与计算机201相关联的若干处理器间的辅助处理器、基于半导体的微处理器(呈微芯片或芯片组的形式)、宏处理器、处理电路系统或通常用于执行指令的任何装置。

存储器系统245的存储器装置210可包括易失性存储器元件(例如，随机存取存储器(RAM，如DRAM、SRAM、SDRAM等)和非易失性存储器元件(例如，ROM，可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、闪存、可编程只读存储器(PROM)、磁带、光盘只读存储器(CD-ROM)、闪存驱动器、磁盘、硬盘驱动器、软盘、盒式磁带、盒式磁盘或类似物等)中的任何一个或组合。此外，存储器装置210可并入电子、磁性、光学和/或其他类型的存储介质。相应地，存储器装置210是有形计算机可读存储介质240的实例，可由处理器205执行的指令可在所述有形计算机可读存储介质240上实施为计算机程序产品。存储器装置210可具有分布式架构，其中各种部件远离彼此定位，但可由处理器205访问。类似地，存储器系统245的二级存储装置220可包括非易失性存储器元件，并且可为图1的存储装置110的实施方案，以便存储图1的MPA数据112。

存储器装置210中的指令可包括一个或多个单独的程序，所述程序中的每一个包括用于实现逻辑函数的可执行指令的有序列表。在图2的实例中，存储器装置210中的指令包括合适的操作系统(OS)211和程序指令216。操作系统211基本上控制其他计算机程序的执行，并且提供调度、输入-输出控制、文件和数据管理、存储器管理以及通信控制和相关服务。当计算机201在操作中时，处理器205被配置来执行存储在存储器装置210内的指令，以便向存储器装置210传达数据并从存储器装置210传达数据，并且大体上依照指令来控制计算机201的操作。程序指令216的实例可包括用来实现图1的应用114的指令，如图1的MPA工具116，其中系统200是图1的主机系统102的实施方案。

图2的计算机201还可包括网络接口260，所述网络接口可通过例如图1的通信网络106中的一个或多个网络链路来建立与一个或多个其他计算机系统的通信信道。网络接口260可支持本领域中已知的有线和/或无线通信协议。例如，当网络接口260实施在图1的主机系统102中时，网络接口260可建立与图1的客户端系统104中的一个或多个的通信信道。

现在转到图3，描绘根据本发明的实施方案的监视器302和所监视系统304的方框图300。在图3的实例中，监视器302是用于飞机308的控制系统的控制器306的部分，包括作为飞机308的控制系统的液压系统310。在这个实例中，液压系统310是所监视系统304；然而，应理解，飞机308包括还由其他监视器(未描绘)监视的大量其他系统(未描绘)。液压系统310可包括一个或多个传感器312，所述一个或多个传感器向监视器302的输入信号管理314提供所监视输入。监视器302可确定输入信号管理314的所监视输入是否超过所选择阈值(Th_sel)316，并且如果这样的话，则使确认计数器318递增；否则，使确认计数器318递减。如果通过输入信号管理314检测到无效状态，例如，短路或开路条件，则禁止逻辑320可重置确认计数器318。

如果确认计数器318的值在所选择确认时间(D_sel)322内足够大，则设置锁存故障324。锁存故障324可基于重置条件326重置。锁存故障324可驱动故障响应328，所述故障响应可包括停用液压系统310的泵330，并且向航空电子设备和/或飞机健康监视系统(AHMS)332发送消息。故障响应328还可触发将记录存储在控制器306的内部日志334中。航空电子设备和/或AHMS 332可将事件记入飞行数据记录器(FDR)336、机上维护系统(OMS)338和/或机组人员警报系统(CAS)340。作为一个实例，由于监视器302相对于如所监视系统304的液压系统310跳闸，CAS 340可在飞机308的驾驶舱设置高温指示器342。因此，在这个实例中可见，如果未较好地选择所选择阈值316和/或所选择确认时间322，使得乱真跳闸发生，则可在泵330停用时观察到系统影响，并且可产生与监视器302的跳闸相关的大量消息、记录和指示。

图4是根据本发明的实施方案的针对图3的监视器302的各种条件和极限400的实例。在图4的实例中，系统操作包络402界定在额定操作条件404与必须不跳闸条件(C_MNT)406之间。必须不跳闸条件406表示可预见极端操作条件(例如，瞬变、老化、环境效应)下的系统极限。必须不跳闸条件406可等于系统乱真界限407，其中系统乱真界限407以下的值在图4的实例中的系统操作包络402内。危险电平408被定义成不超过条件(C_NTE)410以上的所有值。不超过条件410可等于系统危险界限411，其中危险电平408处的值可产生不希望的结果，如系统或部件损坏。系统危险界限411定义用于图3的监视器302的设计约束，以确保甚至在最坏情况条件下对故障效应的检测和适应。此外，图3的监视器302应足够早地跳闸以确保在达到危险电平408之前在确认和反应(R)412期间的系统故障效应的容纳。因此，通过移除系统确认和响应期间的故障传播效应来导出必须跳闸条件(C_MT)414(即，C_MT＝C_NTE-R)。

虽然以实际物理术语定义条件404、406、410和414，但如图3的控制器306的控制器在由整个故障检测和适应机构中固有的估计误差定义的不确定带内操作。系统机械容限和传感器/控制器准确度是对这个估计误差的典型贡献者，以便考虑如环境和老化效应的任何可预见系统操作条件。因此，执行估计误差叠加分析来证明针对所选择阈值(Th_sel)416确保的实际保护性能，所述所选择阈值使图3的确认计数器318朝监视器跳闸点438递增，其中所选择阈值416是图3的所选择阈值316的实施方案。用于所选择阈值416的理论保护极限(即，这个实例中的最大阈值)是阈值保护极限(Th_PL)418，所述阈值保护极限通过将第一估计误差(e₁)420从必须跳闸条件414移除(即，Th_PL＝C_MT-e₁)来定义。第一估计误差420可通过在必须跳闸条件414处进行容限叠加来运算。在阈值保护极限418处或阈值保护极限418以下选择的任何监视器阈值可满足保护需求。然而，如以下所描述，系统乱真极限定义所选择阈值416应设置成距离阈值保护极限418有多远。

除保护需求之外，监视器应适应可预见正常操作条件而不乱真跳闸。因此，监视器阈值稳健性分析可通过在其预期服务寿命期间分析所有可预见最坏情况系统操作条件后定义必须不跳闸条件(C_MNT)406开始。阈值乱真极限(Th_NL)422(在这个实例中，其为最小阈值)可通过将第二估计误差(e₂)424与必须不跳闸条件406相加(即，Th_NL＝C_MNT+e₂)来定义。可在必须不跳闸条件406处进行容限叠加，以运算第二估计误差424。第一估计误差420和第二估计误差424可通过平方和根(RSS)运算或最坏情况容差分析在各个操作点处运算，即，由于传感器误差、装配误差、传输齿隙、准确度、噪音、敷设电缆等所致的实际操作条件与控制器/监视器估计之间的差异。

在图4的实例中，随着时间426推进，所监视信号428可改变值。当所监视信号428起初可能在系统操作包络402内时，瞬变事件430可导致所监视信号428暂时超过必须不跳闸条件406，并且然后返回到系统操作包络402。在经历启动事件432后，所监视信号428可朝所选择阈值416再次上升到必须不跳闸条件406以上和阈值乱真极限422以上。由于估计误差(即，第二估计误差424)，图3的监视器302实际上可在早期起动电平434(例如，Th_sel-e₂)处起动图3的确认计数器318。相对于第一估计误差420，图3的监视器302可在晚期起动电平436(例如，Th_sel+e₁)处起动图3的确认计数器318。图3的所选择确认时间322可允许所监视信号428在最大时间变化(Δt_max)内继续增加经过阈值保护极限418至触发反应的监视器跳闸点438，如图3的故障响应328。所监视信号428可继续增加相对小的值直到意识到图3的故障响应328的影响(如停用图3的泵330)，并且所述影响包含在容纳电平440处，所监视信号428然后可在该容纳电平处衰减。

不超过条件410与容纳电平440之间的差值可定义为保护净空442，所述保护净空表示保护余量的一个实施方案。反应区域444可界定在容纳电平440与监视器跳闸点438之间。确认区域446可界定在监视器跳闸点438与起动确认计数器电平(即，这个实例中的晚期起动电平436)之间。用于所选择阈值416的可能有效范围448可界定在晚期起动电平436与早期起动电平434之间。早期起动电平434与必须不跳闸条件406之间的差值可定义乱真净空450，所述乱真净空表示乱真余量的一个实施方案。

进一步对于图4来说，注意这个实例用于在超过固定阈值“以上”后跳闸的监视器。对于在固定阈值“以下”跳闸的监视器(如低电压/电流监视器)来说，用于阈值的保护和乱真极限分别变成(Th_PL＝C_MT+e₁)和(Th_NL＝C_MNT-e₂)。C_MT、C_MNT和叠加误差分量(e₁、e₂)的导出可涉及来自不同领域的专业人员(例如，部件设计者、传感器设计者、系统集成商)，以便增加这些估计的置信因数。

乱真风险可通过增加图3的所选择确认时间(D_sel)322来进一步减小，以适应可预见瞬变。可针对确认时间的选择来遵循阈值的选择的类似途径。上限可通过识别在需要触发故障响应之前的故障条件(即，最后必须跳闸条件)下可由图3的所监视系统304容许的最大持续时间来定义。下时限也可通过分析监视器在正常操作条件(即，必须不跳闸)下应容许而不跳闸的最坏情况瞬变来定义。考虑系统中的定时容限，用于确认时间的选择的保护(D_PL)和乱真(D_NL)极限可运算为最大和最小确认时间。

监视器阈值应被选择以具有保护余量(M_P)和乱真余量(M_N)的正值。这些余量(分别为M_P和M_N)可定义为如下方程1和2中的百分比或比值。

M_P＝100*(Th_PL-Th_sel)/(C_MT-C_MNT) (方程1)

M_N＝100*(Th_sel-Th_NL)/(C_MT-C_MNT) (方程2)

运算出的用于所选择阈值的跳闸净空(H_N)应具有相当大的余量。可根据方程3来运算跳闸净空。

H_N＝100*(Th_sel-Th_NL)/e₂ (方程3)

虽然简化分析可选择用于所选择阈值416的值作为不超过条件410与必须不跳闸条件406之间的中点，但是此类简化可导致分配太接近于阈值保护极限418的用于所选择阈值416的值。在示例性实施方案中，所选择阈值416被设置成较接近于阈值保护极限418与阈值乱真极限422之间的中点的值，以使得M_P≈M_N。

图5是根据本发明的实施方案的在用于进行监视器性能分析的方法500中由处理器(如图2的处理器205)执行的示例性步骤的流程图。方法500可通过执行图1的MPA工具116来执行，以分析用于图3的所监视系统304的监视器302的配置。相应地，参考图1至图5来描述图5的方法500。在进入步骤502后，执行步骤504，其中识别所监视系统304的系统危险界限411和所监视系统304的系统乱真界限407。在步骤506处，基于系统危险界限411确定必须跳闸条件414，并且基于系统乱真界限407确定必须不跳闸条件406。在步骤508处，基于系统危险界限411和必须跳闸条件414与必须不跳闸条件406之间的差值来输出用于所监视系统304的保护余量(M_P)。在步骤510处，基于系统乱真界限407和必须跳闸条件414与必须不跳闸条件406之间的差值来输出用于所监视系统304的乱真余量(M_N)。方法500在步骤512处结束。

图6是根据本发明的实施方案的在用于进行监视器性能分析的方法600中由处理器(如图2的处理器205)执行的示例性步骤的流程图。方法600可通过执行图1的MPA工具116来执行，以分析用于图3的所监视系统304的监视器302的配置。相应地，参考图1至图6来描述图6的方法600。针对大于所监视系统的额定操作电平的所选择阈值来描述图6的实例。在方法600中，步骤602的故障检测群组可与步骤604的稳健性群组大体上并联、交错或串联执行。步骤602的故障检测群组可包括步骤606、608、610和612。在步骤606处，识别所监视系统304的系统危险界限411，并且基于系统危险界限411确定必须跳闸条件414。在步骤608处，在必须跳闸条件414处进行容限叠加，以运算第一估计误差420。在步骤610处，基于必须跳闸条件414与第一估计误差420之间的差值来运算阈值保护极限418。在步骤612处，用于所监视系统304的保护余量(M_P)被运算为阈值保护极限418与所选择阈值416之间的差值除以必须跳闸条件414与必须不跳闸条件406之间的差值的比值。保护余量(M_P)可乘以一百的值以表示为百分比。

步骤604的稳健性群组可包括步骤614、616、618和620。在步骤614处，识别所监视系统304的系统乱真界限407，并且基于系统乱真界限407确定必须不跳闸条件406。在一个实施方案中，系统乱真界限407等于必须不跳闸条件406。在步骤616处，在必须不跳闸条件406处进行容限叠加，以运算第二估计误差424。在步骤618处，基于必须不跳闸条件406与第二估计误差424之间的差值来运算阈值乱真极限422。在步骤620处，用于所监视系统304的乱真余量(M_N)被运算为所选择阈值416与阈值乱真极限422之间的差值除以必须跳闸条件414与必须不跳闸条件406之间的差值的比值。乱真余量(M_N)可乘以一百的值以表示为百分比。

在步骤622处，执行所选择阈值416相对于阈值保护极限418的余量检查，以及所选择阈值416相对于阈值乱真极限422的余量检查。

在步骤624处，执行设计指导检查。设计指导检查可包括确认所选择阈值416与阈值乱真极限422之间的差值除以第二估计误差424的比值超过最小值。设计指导检查还可包括确认所选择确认时间322超过最小确认值。设计指导检查可进一步包括确认保护余量(M_P)与乱真余量(M_N)之间的差值小于余量差值阈值，以使得M_P和M_N大体上相似。

可基于确定不满足余量检查和设计指导检查中的一个或多个来启动校正动作。校正动作可为以下项中的一个：对所监视系统304的需求改变、对所监视系统304的设计改变或所审阅和所确认偏差。例如，如果满足步骤622的余量检查和步骤624的设计指导检查，则在步骤626处达成协议。然而，如果满足步骤622的余量检查但不满足步骤624的设计指导检查，则一个或多个专家可能在步骤628处相对于设计指导审阅分析结果和部署一个或多个偏差。如果不满足步骤622的余量检查，则在步骤630处再访问所监视系统304和/或监视器302的设计和/或设计的导出需求，以确保可实现正余量。在步骤632处，确定是否可在所监视系统304和/或监视器的当前架构和硬件的约束内想到解决方案。如果未在步骤632处识别解决方案，则在步骤634处进行设计改变建议。如果在步骤632处识别解决方案，则在步骤636处提供解决方案的描述，并且在步骤626处达成协议。

方法600还可包括确认用于所监视系统304的所选择确认时间322介于乱真确认时间极限与保护确认时间极限之间。此外，方法600可针对多个监视器和所监视系统重复。方法600针对多个所监视系统的多个迭代的结果可记录例如为图1的MPA数据112的一部分。

实施方案的技术效果和益处包括验证为系统监视器选择的电平和阈值。当认为所选择阈值或确认时间不令人满意时，可执行进一步分析来验证需求和约束或确定替代解决方案。例如，可启动再设计过程来修改硬件和软件架构，以增强所监视系统的故障检测和/或稳健性。

应了解，本发明的方面可实施为系统、方法或计算机程序产品，并且可采取硬件实施方案、软件实施方案(包括固件、驻留软件、微代码等)或其组合的形式。此外，本发明的方面可采取实施在一个或多个计算机可读介质中的计算机程序产品的形式，所述一个或多个计算机可读介质上实施有计算机可读程序代码。

可利用一个或多个计算机可读介质。计算机可读介质可为计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可为例如但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或装置或者前述系统、设备或装置的任何合适组合。计算机可读存储介质的更具体实例(非详尽列表)将包括以下介质：具有一个或多个导线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光学存储装置、磁性存储装置或前述介质的任何合适组合。在一个方面中，计算机可读存储介质可为包含或存储供指令执行系统、设备或装置使用或与其联用的程序的有形介质。

计算机可读信号介质可包括例如处于基带中或作为载波的一部分的传播数据信号，其中实施有计算机可读程序代码。此类传播信号可以采取各种形式中的任何一种形式，包括但不限于电磁、光学或其任何合适组合。计算机可读信号介质可为任何计算机可读介质，其并非计算机可读存储介质，而且可传达、传播或传送供指令执行系统、设备或装置使用或与其联用的程序。

计算机可读介质可包含在其上实施的程序代码，所述程序代码可使用任何适当的介质来传输，所述介质包括但不限于无线、有线线路、光纤电缆、RF等或前述介质的任何合适组合。另外，用于进行实现本发明的方面的操作的计算机程序代码可用一种或多种编程语言的任何组合来编写，所述编程语言包括面向对象的编程语言，如Java、Smalltalk、C++等，以及常规程序性编程语言，如“C”编程语言或类似的编程语言。程序代码可完全在用户的计算机上执行，部分地在用户的计算机上执行，作为独立的软件包执行，部分地在用户的计算机上且部分地在远程计算机上执行，或完全在远程计算机或服务器上执行。程序代码还可称为“计算机程序指令”，或更简单地称为“程序指令”，如图2的程序指令216。

应了解，本文中参考根据本发明的实施方案的方法、设备(系统)和计算机程序产品的流程图图解和/或方框图来描述本发明的方面。应了解，流程图图解和/或方框图的每一方框或步骤以及流程图图解和/或方框图中的方框或步骤的组合可由计算机程序指令来实现。这些计算机程序指令可提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器以便产生一种机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令创建用于实现流程图和/或方框图一个或多个方框中所规定的功能/动作的手段。

这些计算机程序指令还可存储在可引导计算机、其他可编程数据处理设备或其他装置以特定方式起作用的计算机可读介质中，以使得存储在计算机可读介质中的指令产生一种制品，所述制品包括实现流程图和/或方框图一个或多个方框中所规定的功能/动作的指令。计算机程序指令还可加载到计算机、其他可编程数据处理设备或其他装置上，使得在计算机、其他可编程设备或其他装置上执行一系列操作步骤来产生计算机实现的过程，以使得在计算机或其他可编程设备上执行的指令提供用于实现流程图和/或方框图一个或多个方框中所规定的功能/动作的过程。

另外，本文中所描述的一些实施方案与“指示”相关联。如本文中所使用，术语“指示”可用来指代任何标记和/或指示主题、项目、实体和/或其他对象和/或思想或与之相关联的其他信息。如本文中所使用，短语“指示...的信息”和“标记”可用来指代表示、描述和/或以其他方式与相关实体、主题或对象相关联的任何信息。信息的标记可包括例如代码、参考、链接、信号、标识符和/或其任何组合，和/或与信息相关联的任何其他信息表示。在一些实施方案中，信息(或指示信息)的标记可以是或包括信息本身和/或信息的任何部分或成分。在一些实施方案中，指示可包括请求、垦请、广播和/或任何其他形式的信息收集和/或传播。

仅出于说明性目的，在本专利申请中描述并呈现大量实施方案。所描述的实施方案不在任何意义上具有限制性并且不意图在任何意义上具有限制性。目前所公开的发明可广泛地适用于大量实施方案，从本公开容易理解这一点。本领域的一般技术人员应当认识到，所公开的发明可实践为具有各种修改和变更，如结构、逻辑、软件以及电气修改。虽然所公开的发明的特定特征可参考一个或多个特定实施方案和/或附图加以描述，但应理解，除非另有明确规定，否则这类特征并不限于在描述这类特征时所参考的所述一个或多个特定实施方案或附图中使用。

除非另有明确规定，否则彼此通信的装置不需要彼此连续通信。相反，这类装置仅需要在必要时或需要时向彼此进行传输，并且实际上大部分时间可不交换数据。例如，通过互联网与另一台机器通信的机器每次在几周内可不向所述另一台机器传输数据。另外，彼此通信的装置可直接通信或通过一个或多个媒介间接通信。

将实施方案描述为具有若干部件或特征并不暗含这类部件和/或特征中的全部或甚至任何一个是需要的。相反，描述各种任选的部件来说明本发明的各种各样的可能的实施方案。除非另有明确规定，否则没有部件和/或特征是必不可少的或需要的。

此外，虽然过程步骤、算法等可按先后次序来描述，但这类过程可被配置成按不同次序进行。换句话说，可能明确描述的步骤的任何顺序或次序并不一定指示要求按这个次序执行这些步骤。本文中所描述的过程的步骤可按任何实际的次序执行。此外，一些步骤可同时执行，尽管被描述为或暗含不同时发生(例如，因为一个步骤是在另一个步骤之后描述)。此外，通过在附图中描述过程来说明这个过程并不暗含所说明的过程不包括这个过程的其他变化和修改，并不暗含所说明的过程或其步骤中的任何一个步骤对于本发明是必需的，并且不暗含所说明的过程是优选的。

“确定”某物可以各种方式执行，并且因此术语“确定”(和类似术语)包括运算、计算、导出、查找(例如，在表格、数据库或数据结构中)、查明等。

将容易地明白的是，本文中所描述的各种方法和算法可通过例如适当和/或专门编程的通用计算机和/或计算装置来实现。通常，处理器(例如，一个或多个微处理器)将从存储器或类似装置接收指令，并且执行那些指令，从而执行由那些指令定义的一个或多个过程。此外，实现这类方法和算法的程序可使用各种介质(例如，计算机可读介质)以若干方式存储和传输。在一些实施方案中，硬连线电路系统或定制硬件可用来代替用于各种实施方案的过程的实施的软件指令或与之结合。因此，实施方案不局限于硬件和软件的任何特定组合。

“处理器”通常意味着任何一个或多个微处理器、CPU装置、计算装置、微控制器、数字信号处理器或类似装置，如本文中进一步描述。

术语“计算机可读介质”指代参与提供可由计算机、处理器或类似装置读取的数据(例如，指令或其他信息)的任何介质。这类介质可采取许多形式，包括但不限于非易失性介质、易失性介质和传输介质。非易失性介质包括例如光盘或磁盘以及其他持久性存储器。易失性介质包括通常构成主存储器的DRAM。传输介质包括同轴电缆、铜线和光纤，包括包含耦接至处理器的系统总线的电线。传输介质可包括或输送声波、光波和电磁辐射，如在RF和IR数据通信期间所产生的声波、光波和电磁辐射。计算机可读介质的常见形式包括例如软盘、软磁盘、硬盘、磁带、任何其他磁介质、CD-ROM、DVD、任何其他光学介质、穿孔卡、纸带、任何其他具有孔样式的物理介质、RAM、PROM、EPROM、FLASH-EEPROM、任何其他存储器芯片或存储盒(cartridge)、载波或计算机可从中读取的任何其他介质。

术语“计算机可读存储器”通常可指代不包括如波形、载波、电磁辐射等的传输介质的计算机可读介质的子集和/或类别。计算机可读存储器通常可包括将数据(例如，指令或其他信息)存储在其上的物理介质，如光盘或磁盘和其他持久性存储器、DRAM、软盘、软磁盘、硬盘、磁带、任何其他磁介质、CD-ROM、DVD、任何其他光学介质、穿孔卡、纸带、任何其他具有孔样式的物理介质、RAM、PROM、EPROM、FLASH-EEPROM、任何其他存储器芯片或存储盒、计算机硬盘驱动器、备份带、通用串行总线(USB)存储器装置和类似介质。

各种形式的计算机可读介质可涉及将包括指令顺序的数据运载至处理器。例如，指令顺序(i)可从RAM传递至处理器，(ii)可在无线传输介质上运载，和/或(iii)可根据大量格式、标准或协议(如蓝牙^TM、TDMA、CDMA、3G)格式化。

在描述数据库的地方，本领域的普通技术人员将理解(i)可容易地采用所描述的那些数据库结构的替代数据库结构，(ii)可容易地采用除数据库之外的其他存储器结构。本文呈现的任何样本数据库的任何说明或描述是所存储的信息表示的说明性布置。除通过例如附图中或其他地方所说明的表格提出的那些布置之外，可采用任何数量的其他布置。类似地，数据库的任何说明条目仅表示示例性信息；本领域的普通技术人员将理解，条目的数量和内容可不同于本文所描述的那些条目。此外，尽管对数据库的任何描述为表格，但可使用其他格式(包括关系数据库、基于对象的模型和/或分布式数据库)来存储和操纵本文中所描述的数据类型。同样，数据库的目标方法或行为可用于实现如本文中所描述的各种过程。另外，数据库可以已知方式在本地或从装置远程地存储，所述装置在这类数据库中访问数据。

本书面描述使用实例来公开本发明，包括最好模式，并且还使本领域的任何技术人员能够制作和使用本发明。本发明的可取得专利的范围由权利要求书界定，并且可包括所属领域中的技术人员想出的其他实例。如果此类其他实例具有与权利要求书的字面语言相同的结构要素，或如果此类实例包括与权利要求书的字面语言无实质差别的等效结构要素，则此类实例也在权利要求书的范围内。本文中所参考的所有参考文献都以引用方式明确地并入本文中。