专利名称:使用形式化方法的定时分析的制作方法
技术领域:
本发明总体涉及使用形式化方法对嵌入式系统的定时分析,特别地,涉及用于形式化建模和使用日历自动机对所述系统的定时分析的计算机可执行方法。
背景技术:
用于嵌入式系统的定时分析的现有方法包括分析性的、基于模拟的随机方法。这些方法提供不精确的分析。使用可调度性分析和实时微积分的分析方法给出安全近似值 (approximations)。然而,由于它们不能处理所考虑系统的一些操作细节,其结果可能非常悲观。随机方法对于平均情况分析是有益的,但不适合于最坏情况分析。此外,这些方法不允许对影响实际结果的任意调度算法和控制器缓冲器策略进行确定性建模。另外,现有的分析性和随机分析工具不提供对定时同步问题的良好解决方案,因为这些问题涉及对超出这些方法的能力的多个事件链进行同时分析。基于模拟的方法可以处理操作细节。然而, 它们在系统模拟和定时测量期间不保证对角落情况的覆盖,从而可能给出乐观结果。用于定时分析的基于形式化方法的工具和方法存在,但尚未被扩展到大型工业实例。例如,基于时间自动机的形式化方法无法处理与复杂系统相关联的大量数据,通常由于完成分析所需的大量存储和时间而失败。随着电气系统的复杂性日益增加,所述电气系统诸如包括经由多个控制器区域网络(CAN)总线通信的多个电子控制单元(EOT)的汽车电气系统,需要能够精确地准确地分析这些复杂系统的可扩展定时分析方法和工具。
发明内容
此处提供了一种用于对包括至少一个电子控制单元(EOT)和/或至少一个总线的嵌入式系统执行定时分析的方法和系统。该方法包括提供系统描述;提供对该系统的分析规范;使用模型生成器自动生成该系统的形式化模型;使用模型检查器分析该系统的形式化模型;以及提供该分析的结果。所述系统描述可以包括描述任务的任务参数;描述消息的消息参数;任务和消息间的依赖关系;以及该系统的其他细节。形式化模型可以包含日历自动机模型和仪器化。分析该系统的形式化模型可以包括分析任务和消息的响应时间;分析任务/消息链的端到端等待时间;和/或分析任务/消息图中的定时同步。该方法和系统还可以包括提供用于该系统中的ECU或总线的调度策略;以及提供事件激活规则,所述事件激活规则可以包括涉及定时过渡或离散过渡的至少一个规则。可以使用一种或多种优化技术优化该模型,以减少或优化该模型的状态空间,以使得能够进行有效的状态空间探索。例如,可以通过动态计算任务或消息的响应时间、通过使用分析规范过滤系统描述的一部分、或通过对这些技术进行组合,优化该模型。从结合以下附图对本发明的最好实施方式的详细描述中,本发明的上述特征和优势以及其他特征和优势是容易显而易见的。本发明还提供了以下方案
1. 一种用于对嵌入式系统执行定时分析的方法,所述方法包括提供系统描述;提供用于所述系统的分析规范;使用模型生成器从所述系统描述和所述分析规范自动生成所述系统的形式化模型;其中,所述形式化模型包括日历自动机模型和仪器化;使用模型检查器分析所述系统的形式化模型;以及提供所述分析的结果。2.根据方案1所述的方法,其还包括通过以下操作的至少一个来优化所述日历自动机模型动态计算任务的响应时间;动态计算消息的响应时间;以及使用所述分析规范过滤所述系统描述。3.根据方案1所述的方法,其中,提供所述系统描述包括为任务提供任务参数;为消息提供消息参数;以及提供任务和消息集之中的数据依赖性。4.根据方案1所述的方法,其中,使用模型检查器分析所述系统的形式化模型包括以下操作中的至少一个使用所述分析规范指定要执行的所述分析;分析任务的响应时间;分析消息的响应时间;分析任务/消息链的端到端等待时间;以及分析任务/消息图表中的定时同步。5.根据方案1所述的方法,其中,使用模型检查器分析所述系统的形式化模型包括以下操作中的至少一个动态计算所述任务的响应时间;以及动态计算所述消息的响应时间。6.根据方案1所述的方法,其中,所述模型生成器是ftOmela模型生成器;以及其中,所述模型检查器是SPIN模型检查器。7.根据方案1所述的方法,其中,所述嵌入式系统包括电子控制单元(EOT)和总线,所述方法还包括以下中的至少一个为所述E⑶提供调度策略;以及为所述总线提供调度策略。8.根据方案1所述的方法,还包括提供用于事件激活的规则;其中,所述用于事件激活的规则涉及定时过渡和离散过渡中的一个。
9.根据方案1所述的方法,其中,所述分析的结果包括证据路径和模拟痕迹中的ー个。
10. 一种用于对汽车系统执行定时分析的方法,所述方法包括提供系统描述;提供用于所述系统的分析规范;自动生成所述系统的形式化模型,所述形式化模型包括日历自动机模型和仪器 化;使用模型检查器分析所述系统的形式化模型;以及提供所述分析的結果。11.根据方案10所述的方法,还包括通过以下操作的至少ー个来优化所述日历自动机模型动态计算任务的响应时间;动态计算消息的响应时间;以及使用所述分析规范过滤所述系统描述。12.根据方案10所述的方法,其中,提供所述系统描述包括通过元组描述任务;通过元组描述消息;以及指定任务和消息集之中的数据依赖关系。13.根据方案10所述的方法,其中,使用模型检查器分析所述系统的形式化模型 包括以下操作中的至少ー个使用所述分析规范指定要执行的所述分析;分析任务的响应时间;分析消息的响应时间;分析任务/消息链的端到端等待时间;以及分析任务/消息图表中的定时同歩。14.根据方案10所述的方法,其中,所述模型生成器是I^romela模型生成器;以及其中,所述模型检查器是SPIN模型检查器。15.根据方案10所述的方法,其中,所述嵌入式系统包括通过ー个或多个总线连接的多个电子控制单元(EOT), 所述方法还包括为所述多个ECU以及为所述ー个或多个总线提供调度策略。16.根据方案10所述的方法,还包括提供用于事件激活的ー个或多个规则,其中,所述ー个或多个规则包括涉及定时 过渡和离散过渡中的ー个的规则。17. ー种用于对嵌入式系统执行定时分析的系统,所述系统包括包括任务和消息的嵌入式系统描述;用于所述嵌入式系统的分析规范;形式化模型生成器,其中,所述形式化模型生成器被配置为生成所述嵌入式系统和所述分析规范的形式化模型;其中,所述形式化模型包括日历自动机模型和仪器化;以及模型检查器,其被配置为分析所述形式化模型并且提供所述分析的结果。18.根据方案17所述的系统,还包括 优化的日历自动机模型,其中,所述优化的日历自动机模型包括以下中的一个对任务的响应时间的动态计算;对消息的响应时间的动态计算;以及其中,通过使用所述分析规范过滤所述嵌入式系统描述来定义所述优化的日历自动机模型。19.根据方案17所述的系统,其中,所述模型生成器是ftOmela模型生成器;以及其中,所述模型检查器是SPIN模型检查器。20.根据方案17所述的系统,其中,所述嵌入式系统包括通过一个或多个总线连接的多个电子控制单元(ECU),所述系统还包括用于所述多个ECU以及用于所述一个或多个总线的调度策略集;以及用于事件激活的规则集,其中,所述用于事件激活的规则集包括涉及定时过渡和离散过渡中的一个的规则。
图1是描述用于使用形式化方法的定时分析的方法的流程图;图2是嵌入式系统的说明性实例的示意性图形表示;图3是图2的系统的任务/消息分配和参数的表;图4是图2的系统中的任务/消息链的表;图5A和5B分别是用于关于任务和消息的事件激活的状态变化的图形模型;图6是用于日历自动机中表示的准备好(ready)事件的离散过渡规则的形式化模型;图7A、7B和7C是用于任务的端到端等待时间分析的规则的图形模型,其中,图7A、 7B和7C分别表示链中的第一、中间和最后任务;图8是示出任务响应时间的实时(on-the-fly)计算的图形化模型;图9是用于根据图1的方法计算溢出的算法;以及图10AU0B和IOC根据图1的方法执行的对图2、3和4的系统进行的定时分析的
代表性结果的说明性实例。
具体实施例方式提供了一种用于执行精确定时分析的、可扩展到具有大量任务和消息的工业情况研究而无需折衷准确性的方法和工具。此处提供的方法和工具包括建模和分析以下项的能力任务响应时间,包括最好情况和最坏情况任务响应时间和可调度性分析;电子控制单元(ECU)使用,包括ECU计算时间的百分比使用;消息响应时间,包括最好情况和最坏情况消息响应时间和可调度性分析;总线使用,包括总线和空闲时间可用性的百分比使用;任务/消息链的端到端等待时间,包括先进先出(FIFO)、先进后出(FILO)、后进先出(LIFO)、 后进后出(LILO)端到端等待时间;任务图间的定时同步问题;从单个源启动的多个目的地之间的最大时间分离;以及指向相同目的地的多个源的最大时间分离。在此处描述的方法中,以形式化符号或诸如日历自动机的形式结构建模系统任务和消息。这些模型是以诸如过程元语言O^romela)的建模语言写成的。此外,这些模型是使用形式化符号通过代码仪器化的,并且被具体设计为处理范围内的分析。从至少任务/消息描述和调度策略中自动生成仪器化的模型。其他操作细节诸如控制器缓冲器策略也可被包括或作为模型提供。优化技术可用于进一步优化用于模型检查的状态空间。通过诸如简单ftOmela解释器(SPIN)的兼容模型检查器对建模的系统进行穷举性状态空间探索。探索期间,仪器化的代码生成对不同时间分析的结果,这些结果被报告生成器记录并作为可以包括证据的分析结果输出。由于使用数学形式结构和穷举性状态空间探索描述的系统的详细操作模型,此处提供的方法、模型和工具的好处包括通过分析实现的高精确度。实现了可扩展性,由于使用了离散事件模型特别是使用了日历自动机形式结构以及对模型的精心设计,所述模型在示例性实施例中是采用很多基于任务的架构的常规特征的I^omela模型。形式化模型被优化以实现可扩展性而无需折衷准确性。此处提供的方法和工具的优势包括自动模型生成和分析;处理和合并诸如系统设计中的控制器缓冲器策略和具体调度算法的操作细节的能力;以及执行对多个任务/消息链的同时分析以检测定时同步问题的能力。此外,所述方法和工具由于以下因素提供改进的精度穷举性状态空间探索能力;准确地到大型系统的可扩展性;以及生成也被称为证据、证据路径或证据痕迹的场景和模拟痕迹的能力,所述场景和模拟痕迹可用于识别定时要求侵犯的原因。本发明的基本原则是使用日历自动机模型和它用于不同定时分析的仪器化,以及优化对日历自动机模型的编码来减少必须采用的状态空间,这允许在合理的时间量内以及在合理的存储要求内运行运行建模和分析。此处描述的用于使用形式化方法的定时分析的方法和工具也可用于任何系统的分析,包括可以是汽车或非汽车系统的嵌入式系统。此处描述的方法和工具可用于满足当前的和预期的用于汽车软件架构的汽车开放系统架构(AUT0SAR)要求和规范,其中一些例如定时同步问题无法通过现有的分析性的、基于模拟的或随机工具得以精确地或准确地解决。参考图1,一般在100处示出用于使用形式化模型的定时分析的方法。提供了一种系统描述10,其描述要分析的嵌入式系统的架构细节。在示例性实施例中,嵌入式系统是汽车的电气控制系统,该电气控制系统由通过一个或多个控制器区域网络(CAN)总线连接的多个电子控制单元(EOT)组成。参考图2,所示出的说明性实例是嵌入式系统,该嵌入式系统包括被标记为E1至 & WECU集和总线B。任务集被部署在每个ECU上,不同任务集被部署在不同ECU上。例如,任务^和12被部署在ECU E1I,如图2所示。与任务相关联的消息集在总线上传播。例如,消息叫至吗被分配到总线B,如图2所示。每个任务通过元组来描述,其中元组是描述任务的参数的有序列表。例如,每个任务可以通过诸如〈优先级,初始偏移,周期,执行> (〈priority,offset, period, execution time 。每个消息通过类似元组来描述。图 3所示的表示出到ECU/总线的任务/消息分配以及具有元祖形式的任务/消息描述,包括 用于每个任务Ti或消息Hii的任务/消息名(0i);优先级(、);初始偏移(Oi);周期(Pi) 和执行时间(Ei)。任务的执行时间包括阅读、处理和输出数据的时间。消息的执行时间是消息在总线上的传输时间,并且可以从总线速度以及包括比特填充的消息大小来计算。可以为每个任务描述其他任务参数,诸如必须完成任务的执行的最终期限。如果所有这些参数都被包括在内,则任务可以通过诸如<ECU,优先级,初始偏移,周期,执行时间,最终期限 > ECU, priority, initial offset, period, execution time, deadline 。消息兀组可以包含诸如〈总线,ID,初始偏移,周期,长度,最终期限> bus, ID, initial offset, period, length, deadline ,其中每个消息通过它被分配到的总线来描述,例如具有典型的每秒 500千比特GAps)波特率的高速控制器区域网络(CAN)或者具有典型的33. 31cbpS波特率的低速CAN,ID作为优先级的表示,初始偏移和周期,以字节表示的消息长度,以及表示为消息必须到达其目的地的设置的时间量的最终期限。不定期的或事件触发的任务/消息也可以使用类似元组来表示。系统描述10还可以指定要输入到模型生成器中的特定属性或参数,用于优化日历自动机模型的变化的目的,以便减少要分析的模型的状态空间。可以指定任务和消息集间的数据依赖性关系,其可以包括数据是如何从一个任务/消息传递到另一任务/消息的描述。嵌入式系统的任务和消息集间的数据依赖关系在图2中通过图表中的有向边示出。 从^到、的有向边指定任务^的输出是到任务、的输入。作为示例,如图2所示,在 E⑶E2中,从τ 7到τ η的有向边显示τ 7和τ ^之间的数据依赖性。从τ ,到的有向边指定消息包含任务^的输出。类似地,从到h的有向边指定消息包含任务Tk 的输入。作为示例,在E⑶E2中,任务工^输出消息吗,吗反过来在^^ E1中是任务12的输入。图4所示的表中概括了显示图2的示例系统中的数据依赖性关系的任务/消息链的样本。优化模型可以包括过滤独立于分析规范的系统描述,例如,优化编码可以包括仅建模和/或分析对所指定的定时分析关键的那些任务/消息,从而减少要包括到离散事件模型中的事件的类型和数量。通过限制离散事件模型中的事件以及通过基于分析规范20 仪器化模型,优化系统模型40与通用系统模型相比减小了状态空间。可对每个任务或消息建模诸如准备好(ready)、启动(start)、结束(finish)的三个事件。图5A中示出具有三个事件的任务τ i的示例模型,并且图5B中示出具有三个事件的消息Hii的示例模型。事件可被编码为在从任务/消息参数确定的已知时间点发生。例如,任务Ti的准备好(ready)、启动(start)、结束(finish)事件可以通过它们的对给定分析规范的激活时间来建模(ready,, t)从当前时间起的t时间单位后,任务τ ,将被触发(start,, t)从当前时间起的t时间单位后,任务τ ,将启动执行(finish,, t)从当前时间起的t时间单位后,任务τ ,将结束执行可对选择的事件的激活建模规则。例如,可对也被称为定时过渡的时间进展提供规则,该规则可以独立于系统描述10和分析规范20。对于定时过渡的规则可以指定如果没有事件可以在当前时间激活,时间进展到任何事件的最近激活时间。定时过渡规则的形式化模型可以在日历自动机中表示为1. miri((7) > 0 玲2. Δ ^ rriin(C)(1)3. C C-A其中C是伴随其激活时间的所有事件的集,min(C)计算C中任何事件的最近激活时间,并且如果min (C) > 0,它的值被从C中所有条目的激活时间中减去。用于也被称为离散过渡的事件激活的规则,可以依赖于系统描述10和分析规范 20中的一个或两者,例如,通过依赖于消息/任务元组、E⑶/总线的调度策略等。用于事件准备好(ready)的离散过渡规则的形式化模型可在日历自动机中表示,如图6所示,其中,C 是具有其激活时间的所有事件集,线1表示事件激活条件,线2-21表示用于任务-准备好条件的规则的实现。也可以对任务和消息可调度性建模规则或策略。再次参考图5A和5B,例如,图5A 所示的任务的模型或图5B所示的消息的模型,可以从空闲(idle)的初始状态移动,一旦激活事件准备好(ready),到达等待(wait)状态,激活启动(start)事件,到达执行(exec)状态。任务可被抢先调度,其中,任务Ti可被更高优先级任务、抢占。例如,当更高优先级任务、准备好开启动执行时,通过图5A的图表所示的任务Ti从执行(exec)状态移动到等待(wait)状态。如图5B所示,CAN消息通常是非抢先调度的,因此对这些消息不存在从执行(exec)状态到等待(wait)状态的过渡。优化编码还可以包括指定从分析规范20获得的诸如端到端等待时间或定时同步的属性。例如,图7A、7B和7C是用于链的端到端等待时间分析的规则的图形模型,其中,图 7A、7B和7C分别表示链中的第一、中间和最后任务。链中的消息可被类似模拟。通过限制离散事件模型中的事件以及通过基于分析规范20仪器化模型从而使得能够使用形式化建模进行分析并且使用模型检查器进行穷举性状态空间探索,优化系统模型40与通用系统模型相比减小了状态空间。如图1所示,系统描述10结合分析规范20被提供到模型生成器30。分析规范20 描述对于建模和分析的嵌入式系统要完成的具体定时分析。描述被使用日历自动机或其他形式化符号形式化。分析规范20可以处理各种系统参数和特性,包括提供对以下项的分析(1)任务响应时间最好情况和最坏情况任务响应时间和可调度性分析;O) E⑶使用E⑶计算时间的百分比使用;(3)消息响应时间最好情况和最坏情况消息响应时间和可调度性分析;(4)总线使用总线的百分比使用,留下多少空闲时间;(5)任务/消息链的端到端等待时间给定任务和消息链,不同的端到端等待时间 (例如 FIF0、FIL0、LIF0、LIL0);(6)任务/消息图表中的定时同步问题;(7)从单个源开始的多个目的地之间的多个时间分离;和/或(8)通向相同目的地的多个源之间的多个时间分离。分析规范20还可以向模型生成器30指定问题规范和问题参数,以便通过减少要分析的状态空间优化模型,例如,在建模和测试的事件的范围有限的情况下。分析规范20通常可以包括测量用于事件链的时间的规范,包括消息/任务的最坏情况响应时间 (2)<ready(t), finish (t)>消息/任务链的端到端等待时间 (3)<ready(tl),finish (tl),ready (t2) ,finish (t2), . . , ready (tn),finish (tn)>定时同步(4)〈ready (tl),··,finish (tm)><ready (tl), . . , finish (tn)>分析规范20还可以定义与系统分析要求相关的最终期限和其他细节。在图1所示的步骤30处,模型生成器基于日历自动机,使用由系统的系统描述10 和分析规范20提供的信息,自动生成形式化模型40。形式化模型40可以以ftOmela或任何其他合适的建模语言来表示。形式化模型40有两部分,从系统描述衍生的系统模型和从分析规范20衍生的属性仪器化或分析仪器化。可以通过对任务和消息集指定任务和消息之间的数据依赖性关系、提供用于系统中包括的ECU或总线的调度策略、以及提供用于事件激活的规则,描述形式化模型,其中,用于事件激活的规则包括涉及定时过渡或离散过渡中的一个的至少一个规则。可在形式化建模期间使用分析规范来进一步优化系统模型,以减少要分析的状态空间。形式化模型40还可以通过各种优化技术被优化。一个优化技术是过滤系统描述的独立于所考虑的模型的分析规范的部分,以减模型的状态空间。例如,当分析规范被限制到用于例如图2所示的ECU E1的特定ECU的可调度性分析时,然后图1的形式化模型可被过滤来包括涉及仅关于ECU E1的任务的细节。此处提供的另一优化技术,其可用于固定优先级抢占式调度并且通常用于抢先调度任务,将动态例如实时计算任务响应时间。通过将模型检查与用于涉及端到端等待时间和/或定时同步问题的分析规范的响应时间的实时计算组合,可以具有用于处理工业规模的系统和问题的显著可扩展性。图8是示出对任务响应时间的实时计算的图形模型,其中, 要理解无论何时链中的任务被激活时,例如在周期的结束处,任务读取输入缓冲器,并且在计算的结束处,任务更新它的输出缓冲器。输出缓冲器的更新由于来自更高哟先机任务的等待时间占用不同的时间,因此,更新时间实际上等于任务的响应时间。任务的响应时间可以动态计算,例如使用以下公式实时计算
'W = spill + Ej + Eeehpiyj)「;)"] * Ei(5)其中,w代表计算的τ J的响应时间,溢出如此处所定义的,E^是τ j的最坏情况执行时间,hp(j)是比、具有更高优先级的所有任务集,0’ i代表从当前时间起、的下一激活偏移,T1代表τ χ的周期而&代表τ j的最坏情况执行时间。溢出(spill),在上述方程中和给定的任务激活情形下,被定义为处于执行状态中的即时更高优先级任务的剩余执行时间,并且可以使用图9所示的算法来计算。由于溢出值取决于当激活所考虑的任务时激活的更高优先级任务的不同情形,它的计算表示更高优先任务在执行和计算方面的剩余职责因此是非显式的(non-trivial)。
可以适用于例如CAN总线的总线中所用的固定优先级非抢占性调度的又一优化技术或策略,通过仅使用两个事件、追踪准备好(ready)消息的列表的Boolean (布尔)阵列以及定时器变量,将优化日历自动机模型。第一事件用于追踪最近随意出现的消息的剩余传播时间。第二事件是足以追踪总线上所有消息的定期激活的单个循环超时事件。当分析消息的最坏情况响应时间时,通过使用这种优化技术,而不是对所有消息单独追踪激活时间,分析CAN网络所需的状态空间可被大幅降低,从而有助于增加可扩展性。再次参考图1,在步骤50,通过模型检查器对形式化模型40进行穷举性状态空间探索,以确定该系统模型是否符合分析规范。模型检查器50被配置为与模型生成器30兼容。例如,对于在步骤30和40以ftOmela建模语言生成的模型,模型检查器50可被配置为简单ftOmela解释器(SPIN)模型检查器。模型的优化,如前所述,允许在合理的时间内并且在合理的存储需求内探索模型。探索期间,仪器化的代码产生对之前讨论的不同定时分析的结果,其被在步骤60被概括为具有报告形式的输出。报告生成器在步骤60生成的报告是人类可理解的形式,包括分析结果70,并且可用于确定系统描述10的设计假设与分析规范20中包括的规范和要求的符合性。分析结果 70可以包括例如10AU0B和IOC中所示的结果。图IOA中对每个任务和消息示出最好情况响应时间(BCRT)和最坏情况响应时间(WCRT)的分析情况,例如,用于图3所示的每个任务 /消息。图IOB的表对例如图4所示的每个任务/消息链提供对被指定为到模型生成器30 的输入的每个任务/消息链的也被称为首次通过(first-through) (FT)的后进先出(LIFO) 等待时间计算的分析结果。图IOC示出对例如图4所示的每个任务/消息链的对被指定为到模型生成器30的输入的每个任务/消息链的也被称为最大时间(max-age) (MA)的后进后出(LILO)等待时间计算的分析结果。无论何时状态空间探索期间有时间约束或规范的违例时,分析结果70还可以包括模拟痕迹,模拟痕迹也可以被称为证据。这些模拟痕迹可用于通过定位分析失败的原因并标识参数变化以解决异常,来协助调试。系统架构可被重新设计来确保定时约束被解决并且重新设计的架构可被建模和分析来确认由证据记录的异常已被消除。建模和执行系统的穷举性状态空间探索的能力提供了早期分析的优势,从而建模期间发现的问题可被用来纠正或改进系统的架构设计,包括对总线/ECU设计和任务/消息分配的改变,优化ECU/总线使用,执行可调度性分析,优化消息和任务响应时间,以及解决任务/消息图表中的定时同步问题,以确保满足定时要求并优化系统架构。通过将变化合并到系统描述10和分析规范20并且重复步骤30至60,这些系统变化可以被很容易地重新评估,以确定变化的影响。尽管已详细描述了本发明的最佳实施方式,本发明所涉及领域的技术人员将意识到,在所附权利要求范围内,可以做出各种用于实践本发明的替代设计和实施例。
权利要求
1.一种用于对嵌入式系统执行定时分析的方法,所述方法包括 提供系统描述;提供用于所述系统的分析规范;使用模型生成器从所述系统描述和所述分析规范自动生成所述系统的形式化模型; 其中,所述形式化模型包括日历自动机模型和仪器化; 使用模型检查器分析所述系统的形式化模型;以及提供所述分析的结果。
2.根据权利要求1所述的方法,其还包括通过以下操作的至少一个来优化所述日历自动机模型 动态计算任务的响应时间; 动态计算消息的响应时间;以及使用所述分析规范过滤所述系统描述。
3.根据权利要求1所述的方法,其中,提供所述系统描述包括 为任务提供任务参数;为消息提供消息参数;以及提供任务和消息集之中的数据依赖性。
4.根据权利要求1所述的方法,其中,使用模型检查器分析所述系统的形式化模型包括以下操作中的至少一个使用所述分析规范指定要执行的所述分析; 分析任务的响应时间; 分析消息的响应时间; 分析任务/消息链的端到端等待时间;以及分析任务/消息图表中的定时同步。
5.根据权利要求1所述的方法,其中,使用模型检查器分析所述系统的形式化模型包括以下操作中的至少一个动态计算所述任务的响应时间;以及动态计算所述消息的响应时间。
6.根据权利要求1所述的方法,其中,所述模型生成器是Promela模型生成器;以及其中,所述模型检查器是SPIN模型检查器。
7.根据权利要求1所述的方法,其中,所述嵌入式系统包括电子控制单元(ECU)和总线,所述方法还包括以下中的至少一个为所述ECU提供调度策略;以及为所述总线提供调度策略。
8.根据权利要求1所述的方法,还包括 提供用于事件激活的规则;其中,所述用于事件激活的规则涉及定时过渡和离散过渡中的一个。
9.一种用于对汽车系统执行定时分析的方法,所述方法包括提供系统描述;提供用于所述系统的分析规范;自动生成所述系统的形式化模型,所述形式化模型包括日历自动机模型和仪器化; 使用模型检查器分析所述系统的形式化模型;以及提供所述分析的结果。
10. 一种用于对嵌入式系统执行定时分析的系统,所述系统包括 包括任务和消息的嵌入式系统描述; 用于所述嵌入式系统的分析规范;形式化模型生成器,其中,所述形式化模型生成器被配置为生成所述嵌入式系统和所述分析规范的形式化模型;其中,所述形式化模型包括日历自动机模型和仪器化;以及模型检查器,其被配置为分析所述形式化模型并且提供所述分析的结果。
全文摘要
使用形式化方法的定时分析。提供了一种用于提供可扩展到具有大量任务和消息的工业情况研究的精确定时分析的方法和工具,包括建模和分析任务和消息响应时间的能力;ECU使用;总线使用;任务/消息链的端到端等待时间;以及任务/消息图表中的定时同步问题。以被称为日历自动机的形式化结构建模系统任务和消息。模型时以诸如Promela的建模语言写成的,并且专用于分析规范的代码来仪器化。模型和仪器化从系统描述和分析规范中自动生成。通过诸如SPIN的兼容模型检查器对系统模型进行穷举性状态空间探索。探索期间,仪器化的代码产生对不同定时分析的结果。提供优化技术来生成模型,模型要求较少的存储和时间用于分析,并且使得方法可扩展到大型工业情况研究。
文档编号G06F19/00GK102323969SQ20111012862
公开日2012年1月18日 申请日期2011年5月13日 优先权日2010年5月14日
发明者D·B·乔克施, M·G·迪克西特, R·A·克, R·塞图, S·K·莫哈利克 申请人:通用汽车环球科技运作有限责任公司