基于軟件定義的移動信息物理融合系統(tǒng)

劉珍娟，張立臣

（廣東工業(yè)大學 計算機學院，廣東 廣州 510006）

信息物理融合系統(tǒng)(Cyber Physical Systems，CPS)是結(jié)合了實時計算系統(tǒng)和物理系統(tǒng)3C(Computation,Communication，Control)系統(tǒng)[1]，近年來引起了國內(nèi)外廣泛的關注[2-3]. CPS主要是利用大量的傳感器和控制器將網(wǎng)絡部分和物理部分整合起來，在提高物理系統(tǒng)的可控性、高效性和可靠性方面取得了很好的效果. CPS采用了不同類型的傳感器，因此會產(chǎn)生大量的異源異構(gòu)數(shù)據(jù)，這些傳感器不僅包括固定在某處收集數(shù)據(jù)的靜態(tài)傳感器，也包括隨著火車、飛機和機器人等載體移動的動態(tài)傳感器[4]，這也因此引出了移動信息物理融合系統(tǒng)(Mobile Cyber Physical Systems，MCPS)，并且在人們?nèi)粘Ｉ钪须S處可見.

MCPS研究的核心問題在于如何有效管理計算系統(tǒng)與物理系統(tǒng)之間復雜的動態(tài)交互問題，旨在提供廣泛的應用和服務，隨著MCPS更加智能、節(jié)能和舒適，其復雜性也不斷增加[5]. 然而，目前大部分MCPS主要是以硬件資源為核心[6]，這也導致了自動化水平不高. 然后隨著工業(yè)技術的不斷發(fā)展，對自動化的要求水平越來越高，傳統(tǒng)的控制理論不能滿足復雜MCPS的控制需求[7].

本文提出了一種基于軟件定義的高自動化水平的MCPS建模方法，是指將整個系統(tǒng)的硬件資源虛擬化之后再由軟件來控制硬件系統(tǒng). 由軟件來控制和調(diào)度硬件資源的方法在很大程度上提高了MCPS的自動化水平，通過在AADL中增添安全附件的方式，分析整個系統(tǒng)各個部分的安全性. 這可以在開發(fā)前期有效分析系統(tǒng)出現(xiàn)錯誤的概率，節(jié)約移動車輛系統(tǒng)的開發(fā)成本[8-9].

MCPS是典型的大數(shù)據(jù)驅(qū)動系統(tǒng)[10-11]，因此大數(shù)據(jù)技術對于MCPS是非?；A但又是非常關鍵的技術，數(shù)據(jù)處理平臺對處理后的數(shù)據(jù)分析出有用的結(jié)果數(shù)據(jù)供MCPS中其他平臺使用. MCPS的安全性首先體現(xiàn)在必須及時處理大量捕獲的數(shù)據(jù)集，對數(shù)據(jù)進行冗余處理和錯誤數(shù)據(jù)刪選可大大提高計算速度. 最后采取大數(shù)據(jù)的流處理技術保證處理平臺的運行效率.

1 相關工作

1.1 軟件定義

軟件定義的這一術語被提出的時間不長[12]，它的概念卻早已被眾多研究領域應用. 軟件定義是將軟件和硬件分開來處理，它將三大計算資源虛擬化，其中包括服務器、存儲和網(wǎng)絡資源，虛擬化后的資源可以按需分配. 但軟件定義并不意味著等同于虛擬化，因為它實現(xiàn)了徹底的軟硬件分離. 由硬件來負責存儲和計算，由軟件來負責管理和控制. 概括起來就是：“硬件資源虛擬化，管理功能可編程”. 目前軟件定義的研究主要集中在軟件定義網(wǎng)絡、軟件定義存儲和軟件定義數(shù)據(jù)中心等領域[13]. 實現(xiàn)軟件定義的優(yōu)點包括提升資源利用效率、降低運行成本、擁有更好的可擴展性、支撐智能設備轉(zhuǎn)型.

本文的軟件定義是指通過制定策略集，由軟件應用程序來管理MCPS，使車輛駕駛高度自動化，在駕駛車輛的過程中控制硬件的行為就可以根據(jù)策略集中制定的對應策略來實施操作，也就是由軟件來控制硬件系統(tǒng). 而MCPS是軟件與硬件結(jié)合的系統(tǒng)，為了在MCPS中實現(xiàn)以編程軟件為核心的高自動化水平，將硬件資源看作是可以根據(jù)需要進行使用的虛擬化資源. 在車輛硬件資源虛擬化的基礎上，編寫應用程序，由軟件來對MCPS的硬件資源進行管理和控制.

1.2 體系結(jié)構(gòu)分析與設計語言

本文對MCPS進行建模使用了體系結(jié)構(gòu)分析與設計語言AADL(Architecture Analysis & Design Language)，AADL是一種文本和圖形語言，它結(jié)合了UML、MetaH及多種ADLs的優(yōu)點，可提供標準的方式設計與分析嵌入式實時系統(tǒng)的軟硬件體系結(jié)構(gòu)[14-15].AADL可應用于高可靠性、高實時性的系統(tǒng)[16]，對本文的MCPS同樣適用.

AADL具有語法簡單、功能性強和可擴展的優(yōu)點. 它提出了兩個擴展機制:屬性集和擴展. 屬性集允許定義自定義屬性來擴展標準屬性，還可對數(shù)據(jù)類型進行精確的建模，以便對其進行操作[17]. 為了加強硬件資源虛擬化和MCPS的連續(xù)性和動態(tài)性的AADL表示，采用了annex對系統(tǒng)進行了擴展，同時也在建模文件中添加了錯誤附件，以此來增強系統(tǒng)的安全性.

AADL組件類別大致包括以下4種：

(1) 應用軟件組件：數(shù)據(jù)、線程、線程組、進程、子程序和子程序組.

(2) 執(zhí)行平臺組件：處理器、虛擬處理器、存儲器、總線、虛擬總線和設備.

(3) 復合組件：系統(tǒng)，允許軟件和執(zhí)行平臺組件被組織成具有良好接口的層次結(jié)構(gòu).

(4) 一般組件：抽象.

AADL建模元素及元素間的聯(lián)系如圖1所示.

圖 1 AADL建模元素及元素間的聯(lián)系圖Fig.1 AADL modeling elements and the connection diagram between elements

2 系統(tǒng)結(jié)構(gòu)分析

本文提出的基于軟件定義的MCPS由兩部分組成：第1部分是基于軟件定義的控制中心，軟件定義是由事先編程好的軟件來實現(xiàn)，定義了一系列策略集，這些策略集規(guī)定了不同的數(shù)據(jù)結(jié)果對應于不同的決策方案. 第2部分是MCPS系統(tǒng)，其中又包括幾個小部分，內(nèi)容如下：

(1) 數(shù)據(jù)傳感器. 由幾種不同類型的傳感器組成的數(shù)據(jù)傳感器，包括速度傳感器、位置傳感器、距離傳感器和加速度傳感器等.

(2) 數(shù)據(jù)收集平臺. 采集的傳感器數(shù)據(jù)在收集平臺進行簡單標準化預處理之后傳給下一部分.

(3) 數(shù)據(jù)處理平臺. 首先要消除冗余數(shù)據(jù)，降低數(shù)據(jù)復雜度，有效地提取有用信息. 為了保證整個系統(tǒng)的安全，系統(tǒng)的每個部分都需要在非常短的時間內(nèi)處理待處理的數(shù)據(jù). 因此采用現(xiàn)有較成熟的大數(shù)據(jù)流處理技術實時處理采集到的多源異構(gòu)數(shù)據(jù)，處理之后的結(jié)果數(shù)據(jù)傳遞給下一部分.

(4) 數(shù)據(jù)決策平臺，根據(jù)上一部分提供的數(shù)據(jù)進行決策. 因為這些數(shù)據(jù)提供的可供選擇的決策很多時候不是唯一的，那就意味著可能會有不同的可供選擇的行動方案，此時由決策單元來挑選一種最合適的行動方案或者是對幾種方案進行協(xié)調(diào).

(5) 控制傳感器，通過接收到?jīng)Q策平臺發(fā)出的控制信號，采取相應的動作，對應的數(shù)據(jù)傳感器數(shù)據(jù)將會發(fā)生相應的變化. 比如，當決策平臺發(fā)現(xiàn)汽車超速時，會向剎車發(fā)送控制信號，當汽車采取剎車動作后，速度傳感器的數(shù)據(jù)會降低.

(6) 數(shù)據(jù)監(jiān)測中心，是對收集、處理和決策平臺的傳輸數(shù)據(jù)進行安全認證，當任意一個部分發(fā)生數(shù)據(jù)異常時，數(shù)據(jù)監(jiān)測中心發(fā)出報警，并向控制傳感器發(fā)送控制信號，保證整個系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?

系統(tǒng)整體設計框架如圖2所示，整個系統(tǒng)可以有效實現(xiàn)一個閉環(huán)控制，數(shù)據(jù)傳感器通過將數(shù)據(jù)依次傳輸?shù)绞占?、處理平臺，然后決策平臺向控制傳感器發(fā)生控制信號，最后控制傳感器調(diào)節(jié)相應的數(shù)據(jù)傳感器數(shù)據(jù).

MCPS是基于軟件定義實現(xiàn)的，而軟件定義的概念應用在MCPS中就是為了實現(xiàn)汽車的高度自動化，甚至是完全自動化. 意味著大部分的汽車駕駛行為都可以根據(jù)軟件應用程序中事先定義好的策略集里面的方案完成. 在汽車的行駛過程中，傳感器負責收集好汽車安全駕駛所需要的所有相關數(shù)據(jù)，在收集平臺中完成數(shù)據(jù)預處理步驟. 預處理是因為采集的數(shù)據(jù)的類型不一，為了提升傳輸速度需要進行標準化預處理.

本文的MCPS可以實現(xiàn)的功能相當于一個駕駛員所具備的能力. 具體說來就是，速度傳感器、位置傳感器、距離傳感器和加速度傳感器等傳感器采集到的所有數(shù)據(jù)都是由各種傳感器采集來的，可是一個駕駛員需要靠眼睛的觀察才能采集到這些數(shù)據(jù)，眼睛的作用就相當于傳感器的功能，比如說根據(jù)反光鏡來目測后面車輛的靠近速度，根據(jù)左右觀察來目測附近車輛的相對位置. 總的來說，收集平臺就相當于人類大腦的知覺中心. 而MCPS中的數(shù)據(jù)處理平臺，就相當于駕駛員的大腦的反應中心，對采集到的車輛行駛的相關數(shù)據(jù)在平臺進行處理. 對處理后的結(jié)果進行判斷后再選擇一個最合適的處理方案，這個步驟是由駕駛員的大腦的決策中心完成，在MCPS中也設計了一個具有同等功能的決策平臺. 最后駕駛員會根據(jù)處理的結(jié)果采取對應的行動，具體就是手控制方向盤的移動和腳控制剎車或者油門，這些由硬件設備完成的功能.

圖 2 基于軟件定義的MCPS框架圖Fig.2 Software-defined MCPS framework diagram

實時性、準確性和安全性對于軟件定義的MCPS是非常重要的. 通過MCPS系統(tǒng)中的設備分布式部署，保證了采集數(shù)據(jù)的實時性和準確性，同時實時性也可通過高效的傳感器和實時的大數(shù)據(jù)流處理等技術來幫助完成. 而MCPS為了達到安全可靠都是一開始就從各種細節(jié)實現(xiàn)上來考慮安全性. 在軟件定義這一模塊中，必須將安全編碼需求抽象為設計特征和約束，在正式建模中也該考慮這些約束以防止出現(xiàn)設備故障或者是外部攻擊等危險發(fā)生.

3 AADL建模實現(xiàn)

AADL可應用于高可靠性. 高實時性的系統(tǒng)，它相比Modelica更適合對軟件定義的系統(tǒng)進行建模，因此本文采用AADL對MCPS進行建模. 本節(jié)是通過AADL在OSATE2(支持AADL的開源工具平臺)來實現(xiàn)MCPS的建模, OSATE是作為Eclipse平臺上的一套插件，用于AADL建模、編譯和分析，支持可調(diào)度性、端對端的流延遲、安全性、系統(tǒng)資源與能耗等分析.

本節(jié)分別對上節(jié)提到的6個部分分別用AADL建模，如圖3所示，并添加相應的安全附件，確保整個系統(tǒng)安全運行. AADL可以對硬件進行虛擬化，通過對硬件添加附件，可以分析整個系統(tǒng)在運行過程中可能出錯的概率，及時發(fā)現(xiàn)潛在錯誤，有效節(jié)約硬件開發(fā)的成本. 本文提出的基于軟件定義的AADL建模通過用程序來控制硬件，可以有效提高AADL建模的自動化水平.

圖 3 MCPS的AADL實現(xiàn)Fig.3 Implementation of MCPS by AADL

3.1 數(shù)據(jù)傳感器

數(shù)據(jù)傳感器主要收集系統(tǒng)駕駛過程中的各項指標，主要包括：數(shù)據(jù)接收端口、數(shù)據(jù)發(fā)送端口、電源，有些傳感器可能還需要網(wǎng)絡連接. 這些部件都有可能發(fā)生錯誤，比如傳感器可能不能接收數(shù)據(jù)，不能發(fā)送數(shù)據(jù)以及電源電壓過高、過低或者斷電. 本文通過添加附件的方式來模擬數(shù)據(jù)傳感器可能出現(xiàn)的錯誤，附件AADL實現(xiàn)如下所示.

3.2 數(shù)據(jù)收集平臺

數(shù)據(jù)收集平臺主要存儲由數(shù)據(jù)傳感器傳輸過來的數(shù)據(jù)，主要有數(shù)據(jù)接收器，在數(shù)據(jù)收集階段需要對數(shù)據(jù)進行一些簡單的預處理，因此還需要CPU處理器，而CPU又通過網(wǎng)絡數(shù)據(jù)接收器進行讀取操作. 對該部分的安全附件的AADL實現(xiàn)如下所示.

3.3 數(shù)據(jù)處理平臺

數(shù)據(jù)處理平臺主要處理由數(shù)據(jù)收集平臺存儲的數(shù)據(jù)，主要由CPU、GPU、數(shù)據(jù)存儲器、數(shù)據(jù)處理器組成. 該部分可以使用大數(shù)據(jù)和機器學習等方法，提高數(shù)據(jù)處理的可靠性和穩(wěn)定性，為整個系統(tǒng)的穩(wěn)定運行提供堅實的基礎. 對這一部分的安全附件的AADL實現(xiàn)如下所示.

3.4 數(shù)據(jù)決策平臺

數(shù)據(jù)決策平臺主要對數(shù)據(jù)處理平臺的處理結(jié)果進行分析和決策，主要由數(shù)據(jù)存儲器和數(shù)據(jù)決策器組成. 數(shù)據(jù)存儲器主要用來存儲汽車各項數(shù)據(jù)指標的安全值范圍，這樣方便決策器做出正確的判斷，其AADL安全附件代碼如下所示.

3.5 控制傳感器

控制傳感器主要接收由數(shù)據(jù)決策平臺發(fā)送過來的控制信號，反過來調(diào)節(jié)數(shù)據(jù)傳感器的數(shù)據(jù)，保障整個系統(tǒng)數(shù)據(jù)的穩(wěn)定性. 主要包括汽車的各個部分的控制傳感器，其附件的AADL實現(xiàn)如下所示.

3.6 數(shù)據(jù)檢測中心

數(shù)據(jù)監(jiān)測中心主要監(jiān)測整個系統(tǒng)中各個模塊的數(shù)據(jù)異常情況，并可以直接控制控制傳感器及時處理異常數(shù)據(jù)，是整個系統(tǒng)中非常關鍵的一步，其AADL實現(xiàn)的安全附件如下所示.

4 數(shù)據(jù)安全分析

本文以移動車輛自主處理分析傳感器數(shù)據(jù)并控制車輛的駕駛為案例，通過OSATE2的故障分析樹對該系統(tǒng)的安全性進行分析驗證.

利用AADL對汽車硬件資源進行虛擬化，并初始化各硬件的故障概率，如表1所示. 整個汽車系統(tǒng)包括6個模塊：數(shù)據(jù)傳感器模塊、數(shù)據(jù)收集模塊、數(shù)據(jù)處理模塊、數(shù)據(jù)決策模塊、控制器模塊和數(shù)據(jù)監(jiān)測中心模塊. 每個模塊都有各自的故障概率，如表2所示，其中允許故障概率表示該模塊允許發(fā)生故障的最大概率，如果超過該值，系統(tǒng)將處于危險狀態(tài). 計算故障概率等于該模塊下所有的硬件發(fā)生故障概率之和. 例如，如圖4所示，MCPS_Collect為數(shù)據(jù)收集模塊，系統(tǒng)計算概率等于數(shù)據(jù)接收器、電源、CPU、數(shù)據(jù)處理器、網(wǎng)絡的故障概率之和，即6.9×10-5=5.0×10-6+2.0×10-6+8.0×10-7+8.0×10-7+6.0×10-5，其他5個模塊也以同樣方式計算. 從表2可以看出，6個模塊的計算故障概率都要比允許故障概率小，從而說明本系統(tǒng)設計的移動車輛系統(tǒng)的安全性. 假設整個系統(tǒng)只有這6個模塊可能出現(xiàn)故障，如表2所示. 可以計算出整個系統(tǒng)允許的最大故障概率為6×7.0×10-5=4.2×10-4，而由OSATE2的故障分析樹計算出來的實際故障概率為2.2×10-5+6.9×10-5+6.9×10-5+7.8×10-6+7.0×10-6+7.8×10-6=1.8×10-4. 無論是從整體系統(tǒng)還是各個模塊的安全系數(shù)數(shù)據(jù)分析，都可以看到本文系統(tǒng)設計的安全性和有效性.

表 1 汽車硬件故障概率Table 1 Vehicle hardware failure probability

表 2 汽車自動駕駛系統(tǒng)中各模塊故障概率Table 2 Failure probability of each module in automobile automatic driving system

圖 4 系統(tǒng)安全分析Fig.4 System safety analysis

5 總結(jié)

本文針對MCPS主要以硬件資源為核心，自動化水平不高這一問題，提出了一種基于軟件定義的高自動化水平MCPS建模方法. 通過使用AADL建模語言，將硬件資源虛擬化，提高MCPS的自動化水平. 以移動車輛自主處理分析傳感器數(shù)據(jù)并控制車輛的駕駛為案例，具體步驟為：首先，傳感器接收汽車各項功能的數(shù)據(jù)，將數(shù)據(jù)傳輸給數(shù)據(jù)收集平臺，數(shù)據(jù)收集平臺將數(shù)據(jù)收集好后傳輸給數(shù)據(jù)處理平臺，數(shù)據(jù)處理平臺將處理好的數(shù)據(jù)交給數(shù)據(jù)決策平臺，決策平臺控制汽車控制傳感器，調(diào)節(jié)相應的數(shù)據(jù)傳感器數(shù)據(jù)，整個系統(tǒng)是一個閉環(huán)控制，可以實現(xiàn)數(shù)據(jù)的動態(tài)平衡. 該系統(tǒng)中還有一個數(shù)據(jù)監(jiān)測中心，可以實時監(jiān)控各個部分的數(shù)據(jù)異常情況，有效保證了系統(tǒng)的安全有效運行.

通過在AADL中增添安全附件的方式，分析整個系統(tǒng)各個模塊故障概率，實時監(jiān)控系統(tǒng)的安全性，保證系統(tǒng)每個模塊都能夠正常工作，減少潛在事故發(fā)生的概率.