毕业设计（论文）在控制领域提高嵌入式计算机的完整性

本科毕业设计外文翻译（2）题目在控制领域提高嵌入式计算机的完整性学院专业班级学号学生姓名指导老师提交日期在控制领域提高嵌入式计算机的完整性MATJAZCOLNARIC,DOMENVERBER，WOLFGANGAHALANG摘要本文全面概述了一个工程处理嵌入式控制系统的设计,及其进入更高水平的安全完整性要求。它说明了如何适应和合理使用现有的方法来解决问题，只要有可能，就不必诉诸新的创新。首先，处理和广泛的阐述硬件问题，特别是外围接口与综合处理能力。其次，经过简单处理证明可以正确的在实时操作系统上执行自己的专用处理器，最后，规划问题，包括说明具体的编程语言，时间有界的例外处理，以及如何处理时间过载问题。关键词实时；嵌入式；坚定；安全系统；外围接口；例外处理；过载；容错1引言计算机控制系统正越来越多地应用于依赖系统完整性的安全关键技术。任何失败都有可能造成严重的后果他们可能导致大规模的材料损失或危及人身安全。在设计控制系统中，可靠性作为控制系统的内在要求通常受到充分的支持。提高可靠性的技术是建立在测试的基础上的，而质量更主要取决于设计师的经验和直觉。然而，这种方法是不够的。由于这样的系统在早期阶段已经完成，因此考虑安全措施是必要的，这意味着现有的共同的商业控制计算机通常不适合安全关键技术应用。在80年代末，国际电工委员会（IEC）开始在计算机控制方面标准化安全问题（IEC，1998）。他们证明了四个安全完整性水平SIL是最重要的。然而，本文关注的是第一阶段应用所需最小要求，建立在通用微处理器基础上的已经允许就业的计算机控制系统。这些系统理应被正式证明是正确的，甚至是通过安全许可的。由于软件计算机控制系统十分复杂，即使有可能达到但也会很困难。相反，在本文中我们对若干领域的控制系统设计作出了一定的贡献，其目的在于改善功能和时间准确性。长时间的实行过程中，常常忽视将要出现的可行的解决方案，而不是制定新的方法和技术。就像验证功能的正确性比时间的正确性更多，虽然同样重要，但后者会被特别强调。第2节将展示如何通过一定的硬件设计措施来改进系统的完整性，为安全控制系统提供充分的平台。在第3节将简要提到一个操作系统，它在硬件架构基础上的运行可调度检查被证明是正确的。第4部分是处理程序的更多细节问题，从安全的语言特性到处理异常和动态过载。最后，在第5节中展示了SIL1兼容系统的要求是如何与我们工程特征相匹配的。由于范围太广导致无法展现执行过程中的细节。因此，课题更多的只是给出一般性描述；有兴趣的读者可以通过这篇文章找到原作品。2硬件设计硬件架构和实施尽可能提供最低水平的安全的控制系统设计。硬件平台在它建立后测试是不够的；完整性支持在设计中是一个必须考虑的重要指标。在我们的实验室，已经设计并建造完成一些硬件原型；其中大部分都是以一种非对称多处理器系统架构为基础的。简单的来说，它是由这两种类型的处理器组成的处理适用任务的任务处理器、允许并行执行操作系统例程的专用操作系统内核处理器COLNARIC,HALANG,COLNARIC,VERBER,GUMZEJ,HALANGSTANKOVICVERBERTOL,1995）通过HOARESTYLE逻辑（DIJKSTRAFEIJEN，1984）的机制。4编程控制应用程序设计随之而来的难题就是任务编程。为此，应使用语言和工具，以最大程度地防止程序员使用可能危及时间可预测性和系统的完整性的编程方式。根据标准IEC61508，为了SIL1具体应用及内在安全，可以运用静态语言。在HALANGPUSCHNERIEE,1985）。输入和输出数据类型扩展的“不规则”值代表签署“无限容纳溢出和下溢”以及“未定义（NOTANUMBERNAN）”正式无效操作的结果。因此，产生不规则的结果不引发异常，可以传播到可能能够处理它们的随后的或更高水平的模块。422可预防的例外在有些情况下不规则和意外事件一定会发生。在他们的程序中，程序员往往倾向于需要他们在场的服务事件，和像那种不想要的意外它是不相干的事件，无论你是否想要。如果这样的活动可以在设计阶段预期测到，应纳入规范来充分处理。因此，处理它们成了应用软件的一部分而不是依靠某些通用系统异常处理。他们应得到立即执行以避免任何不确定性的任务执行拖延。就如在第二节列出的，通过可行的架构才能实现这一目标。423灾难性的意外不幸的是，在工业嵌入式系统的情况下经常发生一些既不能阻止也无法预测的情况。这种情况可能是程序由于硬件故障不遵循他们的规格、软件中的残留误差或者错误的规格。最重要的是，要以最适当的方式解决这种灾难性的情况。例外处理需要相同处理的需求加剧了异常往往导致系统处于临界状态，这时最需要计算机控制。我们提出的方法是接近使用恢复模块自动向前或向后恢复（CRISTIAN,1989），而不是通常的异常处理程序。反向恢复的原则是在发现不一致的称为后置条件的一致性测试后，返回上一个相同的系统状态。向前错误恢复技术要从不一致的部分数据中取得一致的状态。这些数据可以由一致性测试、错误的假设或来自独立外部来源的帮助确定使用。提出的解决方案如下一个模块（显式模块，任务，程序，循环，或任何其他模块结构）是由几种语句序列组成。每一种都有其自己的前、和或后条件，由布尔表达式支持。当程序流进入周围块，状态变量叠加，由可能会失败的替换量修改。然后，其前提条件（如果存在）完成，第一种选择语句顺序执行。最后，检查其后置条件，如果这也应验了，该模块的执行成功终止。如果后置条件不满足，下一个选择是检查其前提条件和最终执行。如果必要时，记录在开始的第一个模块的状态变量值最初恢复。语法和细节参考COLNARIC,VERBER和HALANG1995。如果有任何的行动，比如开始外围程序激发，在初始程序中导致一个不可逆转的变化进入另一个已经失败的程序，问题将会变得很严重。在这种情况下，反向恢复一般是不可能的。反向恢复方案应包含多样的设计和编码方案以应对常规错误并消除可能的执行问题或残留的软件错误。当已预测到问题时，可以采用替代设计方案或冗余的硬件资源的方法。另一种可能性是逐步判断较少限制的前、和、后条件语句，因此，在特殊情况下可以缓慢地降低程序性能。如果没有替代前、和、后条件完成，执行一个模块会失败。如果模块是在下一个更高的水平上建立的，会导致下一个失败（故障传播），并控制了接下来的阶段，从而提供了一个机会以不同的方式解决问题。然而，在最高阶段，最后的选择必须没有任何前或后条件语句。它必须通过运用一些安全行动解决问题，比如采用坚固容错措施或执行顺利关机。非常基本的电气或机械备份系统可以用于极端的情况下安全关键应用的最终选择。43处理时间过载采用最早截止期优先战略，在到达每一个新的要求新的时间表时通过任务参数计算，使它们的截止时间得以满足并完成任务因素。然而，当系统无法为所有给定的任务时应该提供动态过载规定，这不应该在适当的设计应用中发生。当在运行时间进行可调度分析时，过载情况可能在出现一个新的时重新安排任务出现。每个计划任务验证是否在它比响应时间短之前的执行时间以及运行的任务计划之一。过载情况并不固定发生在任何任务中。理论上，它应该一直能通过在设计时进行的适当的先验性分析KLIGERMANHTTP/IFATISUNIDUISBURGDE/17KLIGERMAN,E,STOYENKO,AD1986REALTIMEEUCLIDALANGUAGEFORRELIABLEREALTIMESYSTEMSIEEETRANSACTIONSONSOFTWAREENGINEERING,129,94194918KOPETZ,H,DAMM,A,KOZA,CH,MULAZZANI,M,SCHWABL,W,SENFT,CH,ZAINLINGER,R1989DISTRIBUTEDFAULTTOLERANTREALTIMESYSTEMSTHEMARSAPPROACHIEEEMICRO,91,254019MAIER,U,HTTP/WWWCANBOSCHCOM/DOCU/USERSMANUALTTCANPDF23STANKOVIC,J,RAMAMRITHAM,K1991THESPRINGKERNELANEWPARADIGMFORREALTIMESYSTEMSIEEESOFTWARE,83,627224TOL,RM1995FORMALDESIGNOFAREALTIMEOPERATINGSYSTEMKERNELPHDTHESIS,RIJKSUNIVERSITEITGRONINGEN,THENETHERLANDS25VERBER,D,COLNARIC,M2000OBJECTORIENTEDEXTENSIONTODEVELOPMENTOFHARDREALTIMESYSTEMSPROCEEDINGSOFSCI2000PP429434ORLANDO,FLORIDA26VERBER,D,COLNARICM2003ISSUESINTHEIMPLEMENTATIONOFAFAULTTOLERANTHARDWAREPLATFOR