电梯控制模拟实验系统外文翻译

电梯控模实验系1.介绍嵌入式计算机系统由于严格的限制比如实时期限、有限的硬件资源和严格的安全性和可靠性的要求存在困难的设计挑战这些系统变得更加复杂，其功能日益在软件中应用。不幸的是，保证复杂软件系统的安全性和可靠性是一个困难的问题，还有待解决。软件的鲁棒性，鲁棒性在出现异常情况或有压力的环境条

[1]

时被定义有执行正确的能力助于实现这些安全与可靠性系统的内容。一种实现软件鲁棒性的方法是优雅降级。优雅降级是一种单个组件故障降低系统的功能，而不是导致整个系统出现故障的属性。然而，当前实现优雅降级需要特定的工程计划列举在设计时间每个待处理的失效模式，并设计一个特定的过程应对每个失败

[2]

。然而，在一个细粒度的分布式软件系统，列举所有可能的硬件和软件失效模式可能是棘手的不可行的厂商在为有限的嵌入式系统设计。需要探索系统结构的设计方法，以这样一种方式，它可以摆脱非关键功能自动在失败面前无需指定每一个可能的失败和纠正措施。然而，在一个细粒度的分布式软件系统，列举所有可能的硬件和软件失效模式可能是棘手的，当然在有限的设计时间内，对于成本敏感的嵌入式系统也是不行的。有必要以这样一种方式，它可以摆脱非关键功能自动在失败面前不得不指定每一个可能的失败和纠正措施，用来探索系统结构的设计方法。软件架构的高抽象层次系统可能是构建优雅降级到软件系统中的关键。软件体系________________________________原文出处：WorkshoponReliabilityinEmbeddedSystems(inconjunctionwithSRDS),October2001.原文作者：CharlesShelton,PhilipKoopman.结构被定义为“结构或结构的系统，包括软件组件，这些组件的外部可见的属性，和它们之间的关[3]果可重用的软件组件变得更加遍，软件设计将变成组成而不是合成的问题。因此整个系统结构和分解管理的组件如何一起工作并提供系统功能。如果一种架构风格，能够增强优雅降级的性能且可以开发并成功地应用于不同领域的嵌入式系统些系统的设计工作将能够利用组件重用，同时保留安全性和可靠性的要求。这项研究是一个的一部分强大的自配置嵌入式系统项目。RoSES用自动重新配置的方法在组件故障时实现优雅降[4]。统的软件架构定义了组

件之间的接口在组件的和有效的组件之间的系统配置。因此，正确地构建体系结构，可以以一个受控的方式摆脱功能，有助于重新配置管理器后重新分配组件去提供最大值的功能。为一个示例系统实现这些性能是在这个方向上迈出的一步。本文的剩余部分介绍了一个以电梯控制系统为例的软件架构提议。电梯控制系统是一个足够复杂的分布式嵌入式系统，通过为这个系统用优雅降级开发一个结构，我们希望了解嵌入式系统的架构风格，释放他们的约束，特别是促进优雅降级的性能。2.电梯系统模型电梯是一个复杂的分布式控制系统严格的安全要求它不能挤压门之间的人;它不能以不安全的速度在井道行进，以及它不应该让人被困在电梯里。我们对基于一组可以发送和接收的传感器和致动器和阀门电梯系统模型使用了一个模型。这个系统并没有解决一些更复杂的电梯功能，比如一些操作模式像火响应模式，维护模式、上峰和下峰模式，但是足够丰富有趣。电梯包括一个在井道里有通道去设置数字的地板的单车。车有一个单门，门电机，一个使汽车在井道里的产生两个速度快和慢)的驱动器，以及为了安全的紧急停止制动下面的符号括号内的值代表的是标准复制数组的传感器或执行器括号“()”内的值代表传感器或执行机构的输出值。例如AtFloor传感器的传感器是一个数组f(楼层电梯服务的数量，d(汽车的方向，上，下，或停止)宽数组的每个元素可以是一个值v(真或假当电梯接近楼层f它可以向上或向下行进此每层楼有一个AtFloor感器显示电梯的轿厢是否从上面(下降)或下面(上升)接近地板当汽车与当前地板足够近的同一水平AtFloor(当前地板，停止)传感器的值变成真的。系统中可用的传感器系统包括:•AtFloor[f地板接近传感器地板上升降止}真，假}•CarCall[f](v):车呼叫按钮。f=地板，真，假}所有都位于车里。•DoorClosed(v):门关闭开关。v={，假}当门完全关闭表示真。•DoorOpen(v):门开关。v={真，假当门完全打开表示真。•DoorReversal(v):门逆转传感器真当门感觉障碍物在门口表示真。•HallCall[f，d](b):呼叫按钮f=地板，d={上升，下}，b={加压，闲}位于走廊每层楼。•HoistwayLimit[d](v):井道安全限位开关。={上升，下降}，v={真，

假}当汽车超出了顶部或底部的井道限制表示真。•DriveSpeed(s，d):主传动速度传感器。={快，慢，停止}，d={上升，下降，停止}系统中可用的驱动器系统:•DoorMotor(m):门电机。m={打开，关闭，停止•驱动(sd):2-speed主要电梯驱动s={快慢停止d={上升下降，停止}•CarLantern[d](k):车灯。d={向上，向下，k={开，关}在车门框上的上下灯是乘客用来确定当前车方向的•CarLight[f](k):车呼叫按钮灯。地板，k={开，关}车里的呼叫按钮灯来表示当一层被选中•CarPositionIndicator(f):在车里的位置指示器。地板这远非现代电梯的完整说明，但它是一个相当复杂的模型有资源去提供几个可能的水平的操作。下一节讨论我们一种旨在为系统属性的电梯控制系统提供优雅降级的模型的构建软件架构的方法。3.提出软件体系结构因为面对内部组件的错误时优雅降级强调系统的生存能力，它可能是需要有一些个体软件组件之间的依存关系，特别是对于关键功能。然而，这意味着每一个软件组件需要有自己到每个硬件传感器的连接以及必要的执行器做它的工作，系统中不可能每个任务需要只有一个没有与其他软件组件协调的软件组件。这种电梯控制系统架构背后的关键理念是把系统功能划分成关键和非关键组件。在我们宣布系统“损坏”之前，我们指定在系统最小级别的操作的一个基本水平的功能果我们做的组件自治和处理这些关键任务高度容错然后我们可以把额外的非关键部件和功能增强核心。只要不违反这些组件核心的约束，当他们失败的时候，这些组件可以从系统中删除，同时至少保存基本功能。将这种思想应用到我们的电梯模型一个电梯在其基本水平必须只能在井道中的楼层之间移动，打开和关闭的门在每一层，并确保乘客的安全。电梯可以缓慢移动，在每层楼准许出入乘客，在每层开启和关闭的门，忽略所有乘客请求，不提供任何乘客反馈依然是一个电梯然非常低效当乘客请求无效的时候这实际上是一个操作模式中真正使用的电梯系统。系统中所有其他功能;处理旅客

请求，提供乘客的反馈，只停止在在预期的楼层，都是强化用于提高效率。在我们的体系结构中，组件提供的最低功能是门控制、驱动控制和安全组件(图1)。注意到他们都有直接连接的传感器用于正确的操作以及不相互通信。当驱动正在移动和当车停在一个楼层，门控制必须知道控制何时开门，所以它可以访问相关的传感器。当门完全关闭和当停止在一个楼层时，驱动器控制都必须知道。它还应该获得井道限制传感器用于内部安全检查。如果驱动和门表现出任何不安全的行为，比如当门开的时候移动，在楼层之间开门或者通过井道限制时移动车厢，安全目标必须能够去检测。这些代表“逻辑”传感器的软件架构，因为他们可以是任何的多个I/O通道相同的物理传感器系统，或者每一个或多个不同的物理传感器软件组件这个选择代表了成本可靠性权衡并不影响软件架构软件组件将有相同的接口传感器的物理配置。复制这些关键部件的传感器防止单点故障，可能会导致灾难性的系统故障。如果系统中的任何一个组件故障，系统必须故障保护，不再可操作。图1在我的电梯关键部件软件体系结构上面这个基本配置，我们可以添加一个实时沟通和协调网络总线组件。然后我们加入大厅按钮和车厢按钮控制器去管理来自乘客的用户输入车灯控制器和汽车位置指示器作为用户反馈控制器;以及一个调度组件有效地安排电梯车的目的地(图2)。增加实时网络，每个额外的组件不需要有直接连接到每个传感器，控制状态可以通过组件之间通知关键的控制器以提高功能一个例子，查询命令能够通知驱动控制器下一层是乘客在等待电梯服务的楼层，然后去停在那个楼层。如果车厢在楼层2，驱动控制器可以决定跳过之间的地板上直接到楼层6动控制器仍然决定当它是安全的时候离开楼层会被调度程序命令，只是接受建议关于停止在哪里。如果调度程序停止发送查询命令，驱动控制器可以声明调度程序失败和不完成它停在每层楼的基本功能。如果任何非关键组件失3

败，不应该干扰任何关键的操作组件，或者，在理想的情况下有其他非关键组件。标准的假设是，这些组件将“失效无反应停止发送消息。图2完成梯软件架构其中一个实现这个计划主要的挑战是单个组件如何确定其他组件或自己的故障。如果组件故障无反应，通过一个超时能被探测到，但更加困难的是去决定当一个组件是故障的，但是在发送错误信息和提供错误信息。另一个挑战是如何验证非关键组件没有违反关键核心组件的限制。我们的方法是指定一个严格的接口，所有定义良好的数据字典中的消息可以在组件之间发送，确保只要坚持这个接口组件，他们会保护限制。4.结论和未来的工作上面描述的软件体系结构有几个属性应该提供优雅降级以及可能扩展到其他类型的系统。在这个架构后面的主要方法是：指定一组核心定义了工序的最小功能；处理这种核心功能的组件要制作地尽可能自治和容错；确保组件之间的接口定义得很好且没有违反内部组件约束处理在系统中用于增强的提供通知给核心组件的非关键零部件去提高效率。安全是一个组件的明确责任，但其他组件，如动力和门控制器获取相关传感数据用于内部安全检查。这就消除了在控制系统的单点故障。实现架构的这些性能有几个挑战。在一个细粒度的分布式嵌入式系统中，对

于分区功能它可能不是可行的或可能的，以至于所有关键功能可以被自治组件执行。组件可能会以各种方式失败，他们继续发送错误的但不是无效的消息，使其他组件更难检测故障。这种失效模式需要拜占庭式的容错资源可能在有限的实时嵌入式系统不是可行的。此外，必须有一个指标评价体系和设计确定是否真的达到优雅降级。第二节中描述的电梯模型已经在卡内基梅隆大学嵌入式系统课程中多次迭代的模拟程序包中实现。我们目前正在模拟控制系统实施这套架构，以及研究如何模拟故障和评估优雅退化。5.感谢这项工作被卡耐基梅隆大学的通用汽车卫星研究实验室和朗讯技术支持。6.参考文献[1]L.Kazman.inMA,[2]Herlihy.M,Wing.J,“SpecifyingGracefulDeg