Chương 4 Kiểm chứng việc trỏnh xung ủột trong hệ
4.2.3 Discrete Design – Thiết kế rời rạc
Bước tiếp theo của thiết kế là tỡm một ủặc tả rời rạc cho bộ ủiều khiển ủể cài ủặt chiến thuật ủưa ra bởi Design Decision (mục 5.2.2).
Cho zd là biến lấy mẫu của vị trớ z thụng qua cỏc cảm ứng (sensor). Khi ủú mối quan hệ giữa chúng là zd δz. ðịnh nghĩa tương tự cho vd δv.
ðể mụ hỡnh hành vi hoạt ủộng của tàu, ta ủưa ra một trạng thỏi ủiều khiển state nhận giỏ trị {Acc, Brake} trong ủú state nhận giỏ trị Acc khi bộ ủiều khiển ủưa ra yờu cầu tăng tốc và Brake khi bộ ủiều khiển ủưa ra yờu cầu phanh. Cho Acccmd ≙ state = Acc và Brakecmd ≙ state=Brake. Mối quan hệ giữa các lệnh (các biến rời rạc) Acccmd, Brakecmd và các biến liên tục Acc, Brake là Acccmd ⊳τ Acc và Brakecmd ⊳τ Brake , trong ủú τ là thời gian ủỏp ứng ủể tàu thực hiện việc tăng tốc hay phanh.
Một thiết kế rời rạc cho bộ ủiều khiển ủược ủịnh nghĩa bởi:
( )
*
*
( (0 ( ) ( ) 1
( ) ( ) ( ) ( 0) 0 2 1
( ) ( ) ( ) ( 0) 0 2 2
(
( )
( )
( )
c d d h cmd d l cmd
d d d cmd
d d d cmd
l z ST v v Brake v v Acc l T
ST z SB Em emerg l L v v Brake l T
ST z SB Em NoDet l L v v Brake l T
ϕ δ ϕ
ϕ ϕ
= ≤ < ∧ ≥ ∧ ∨ ≤ ∧ ∧ =
∨ ≤ < ∧ = ∧ < ∧ > > ∧ ∧ = −
∨ ≤ < ∧ = ∧ < ∧ > > ∧ ∧ = −
∨
≙
SB≤zd≤m)∧(vd> ∧0) Brakecmd∧ =l T*) (ϕ3)
*
Cont c
ϕ ≙ϕ
Trực quan của thiết kế rời rạc ϕc là tương tự với thiết kế liên tục. Các biểu thức (ϕ1), (ϕ2-1,ϕ2-2), và (ϕ3) mụ hỡnh lần lượt chiến thuật ủiều khiển trong cỏc pha “far”,
“negot” và “rec”, trong ủú chi tiết ủược lược bỏ cho ủơn giản. Cần chỳ ý rằng l=δ diễn tả khoảng lấy mẫu của tốc ủộ và vị trớ tàu giữa bộ ủiều khiển và mỏy vật lý. Hành vi khụng kết thỳc của chương trỡnh ủiều khiển cú thể ủược mụ hỡnh bởi ϕCont.
ðặt:
( ) ( ) ( ) ( )
Plant zd δz vd δv Brakecmd Brake Acccmd Acc
ϕ ≙ ≈ ∧ ≈ ∧ ⊳τ ∧ ⊳τ
( ) (( ) _ )
RBC Em emerg Em ok m m ext
ϕ ≙ = ∨ = ∧ ∆ =
trong ủú ∆m kớ hiệu cho sự mở rộng quyền di chuyển (MA extension). Biểu thức này diễn tả rằng RBC có thể mở rộng quyền di chuyển (∆m = m_ext) trong trường hợp thông thường (nghĩa là, Em = ok). Trong trường hợp khác, nó thông báo tình trạng khẩn cấp (nghĩa là, Em=emerg) ủể cưỡng bức tàu phanh.
Với luật kết hợp song song áp dụng vào các tác tử giao thông (Plant - máy vật lý của tàu, Controller - bộ ủiều khiển tàu, và RBC), chỳng ta xem xột hai trường hợp khỏc nhau, phụ thuộc vào việc khi nào tất cả các tiến trình kết thúc hoặc không thể kết thúc.
Trường hợp 1: Các tiến trình kết hợp dừng khi tất cả các tiến trình dừng. Giả sử Plant, Controller, và RBC thỏa món những ủặc tả sau:
{(0 ) (0 ) }[ , ( ) ]{(0 ) ( 0)}
{ }[ , ( ) ]{ }
{(0 ) (0 ) }[ , ( ) ]{(0 ) ( 0)}
des Plant Plant
RBC RBC
d d des Cont Cont d d
z m v v Plant Idle l mt z m v
true RBC Idle l mt true
z m v v Controller Idle l mt z m v
B B
ϕ ϕ
ϕ
≤ ≤ ∧ ≤ ≤ ∧ ∧ = ≤ ≤ ∧ =
∧ =
≤ ≤ ∧ ≤ ≤ ∧ ∧ = ≤ ≤ ∧ =
trong ủú mt (maximum termination) biểu thị thời gian kết thỳc tối ủa cho cả ba tiến trỡnh. ðể ủơn giản, chỳng ta giả sử khi tốc ủộ tàu về 0 thỡ cỏc tỏc tử ủiều khiển (Plant, Controller, RBC) dừng cựng một thời ủiểm, ủiều này trựng khớp với tỡnh huống thực tế. Thỡ ủặt: ϕSYS T_ ≙((ϕPlant∧ϕCont∧ϕRBC)(IdlePlant∧IdleCont∧IdleRBC))∧ =l mt
Rừ dàng, cỏc ủiều kiện COND1 và COND2 trong luật 10 ủỳng, thỡ luật kết hợp song song ủơn giản dẫn tới
{0≤ ≤ ∧ ≤ ≤z m (0 v vdes)∧B}[Plant Controller RBC|| || ,ϕSYS T_ ]{(0≤ ≤z m)∧ =(v 0)}
ðặt A≙(δ+ ≤ ∧τ θ) (□Brakecmd∨Acccmd)∧B diễn tả rằng trong mọi khoảng bộ ủiều khiển khởi tạo hoặc lệnh tăng tốc (Acccmd) hoặc lệnh phanh (Brakecmd).
ðịnh lý sau thiết lập tớnh ủỳng của thiết kế rời rạc, dưới giả sử về mối quan hệ giữa cỏc biến trạng thái liên tục và rời rạc, và hành vi của môi trường.
ðịnh lý : A⊢ϕSYS T_ ⇒Des Chứng minh:
1) ), ( ), ( ), ( ) {Assumption }
2) ) , ( ) {Luat 11}
3) { }
4) ) , ( ) {Luat 12}
5) ((( ) (
( ,
( (
d d cmd cmd Plant
h l
h l
Plant Cont RBC P
z z v v Brake Brake Acc Acc
v v Brake v v Acc
v v Brake v v Acc Idle
δ δ τ τ
δ τ δ τ
θ θ
ϕ δ τ θ
ϕ ϕ ϕ
+ +
≈ ≈
≥ ≤
+ ≤
≥ ≤
∧ ∧
A
A
⊳ ⊳
⊳ ⊳
⊳ ⊳
⊢
_ _
)) ) {(a), (d)}
6) { definition}
lant Cont RBC
SYS T SYS T
Idle Idle l mt Des Des
ϕ ϕ
∧ ∧ ∧ = ⇒
A⊢ ⇒
Trường hợp 2: các tiến trình kết hợp không thành công trong việc kết thúc khi ít nhất một tiến trỡnh kết thỳc. Giả sử Plant, Controller và RBC thỏa món ủặc tả sau:
{(0 ) (0 ) }[ , ]{}
{ }[ , ]{}
{(0 ) (0 ) }[ , ]{}
des Plant
RBC
d d des Cont
z m v v Plant
true RBC
z m v v Controller
B B
ϕ ϕ
ϕ
≤ ≤ ∧ ≤ ≤ ∧
≤ ≤ ∧ ≤ ≤ ∧
ðể ủơn giản, ta giả sử cả ba tiến trỡnh ủều khụng thành cụng trong việc kết thỳc. Tiếp theo ta ủặt:
_
SYS NT Plant Cont RBC
ϕ ≙ϕ ∧ϕ ∧ϕ
Rừ dàng ủiều kiện COND1, COND2 trong luật 10 ủỳng, thỡ luật kết hợp song song dẫn tới
{0≤ ≤ ∧ ≤ ≤z m (0 v vdes)∧B}[Plant Controller RBC|| || ,ϕSYS_NT]{}
ðặt
( ) ( Brakecmd Acccmd )
A≙ δ+ ≤ ∧τ θ □ ∨ ∧B như trường hợp 1. ðịnh lý sau thiết lập tớnh ủỳng cho thiết kế rời rạc, dưới giả sử về mối quan hệ giữa cỏc biến trạng thỏi rời rạc và liên tục, và hành vi của môi trường.
ðịnh lý : A⊢ϕSYS_NT⇒Des
Việc chứng minh giống với chứng minh trong trường hợp 1. Nên ta không trình bày lại.