施小東，勉治寶，高亞晴

（1.北方民族大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，銀川 750021；2.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，蘭州 730070）

0 概述

隨著可穿戴設(shè)備技術(shù)的發(fā)展，人的個(gè)體屬性和社會(huì)屬性都能向網(wǎng)絡(luò)世界映射，以人為中心的集多種交互功能于一體的網(wǎng)絡(luò)逐步形成，這種新興互聯(lián)網(wǎng)模式被稱為人聯(lián)網(wǎng)（Internet of People，IoP）［1］。IoP 系統(tǒng)可以提供醫(yī)療診斷、輔助殘疾人等個(gè)性化服務(wù)，但一旦系統(tǒng)發(fā)生故障，將對(duì)用戶造成生命威脅。因此，基于IoP 系統(tǒng)的可靠性分析變得至關(guān)重要。

IoP 系統(tǒng)由多層軟硬件構(gòu)成，具有實(shí)時(shí)、動(dòng)態(tài)的復(fù)雜特性。此外，隨著大數(shù)據(jù)［2］、人工智能［3］、云平臺(tái)［4］等技術(shù)的推動(dòng)，IoP 系統(tǒng)的功能更加豐富多樣。這些因素導(dǎo)致基于IoP 系統(tǒng)的可靠性分析變得十分困難，系統(tǒng)故障的根本原因難以確定。因此，需要一種自動(dòng)化的可靠性分析，以便在系統(tǒng)開(kāi)發(fā)生命周期的各個(gè)階段能反復(fù)驗(yàn)證系統(tǒng)可靠性性能。但是，目前該領(lǐng)域缺乏一種自動(dòng)、準(zhǔn)確、可靠和可重用的分析方案。

基于模型的可靠性分析方法（MBDA）［5］能為復(fù)雜系統(tǒng)提供自動(dòng)且可重用的可靠性評(píng)估，已廣泛應(yīng)用于航空航天系統(tǒng)、信息物理系統(tǒng)、醫(yī)療系統(tǒng)等不同領(lǐng)域中，所以MBDA 方法能為IoP 系統(tǒng)提供一種自動(dòng)的可靠性評(píng)估方案。

為了實(shí)現(xiàn)MBDA 方法，本文對(duì)可靠性領(lǐng)域內(nèi)的一些建模語(yǔ)言，如統(tǒng)一建模語(yǔ)言（UML）［6］、系統(tǒng)建模語(yǔ)言（SysML）［7］、架構(gòu)分析與設(shè)計(jì)語(yǔ)言（AADL）［8］、電子架構(gòu)與軟件技術(shù)-架構(gòu)描述語(yǔ)言（EAST-ADL）［9］等，從能否滿足IoP 系統(tǒng)可靠性建模和評(píng)估需求，以及能否提供高效的可靠性分析環(huán)境兩方面進(jìn)行了對(duì)比。在系統(tǒng)架構(gòu)建模方面，IoP 系統(tǒng)包含了復(fù)雜的軟硬件架構(gòu)和硬件綁定機(jī)制，AADL 具有豐富的構(gòu)件類型和實(shí)現(xiàn)，可詳細(xì)地建模軟硬件組件的功能、架構(gòu)以及綁定機(jī)制。另外，IoP 系統(tǒng)具有實(shí)時(shí)、動(dòng)態(tài)的特性，AADL 的MODE 能建模系統(tǒng)的動(dòng)態(tài)模式，并能通過(guò)與AADL 的行為附件（BA）相結(jié)合來(lái)細(xì)化模式轉(zhuǎn)變邏輯。在故障建模方面，AADL 的錯(cuò)誤模型附件（EMA）能詳細(xì)建模系統(tǒng)故障信息，這為分析IoP 系統(tǒng)的故障行為和傳播提供了基礎(chǔ)。此外，AADL 的開(kāi)源開(kāi)發(fā)環(huán)境OSATE［10］支持多種可靠性分析，例如故障模式及影響分析（FMEA）［11］、故障樹(shù)分析（FTA）［12］、功能危險(xiǎn)性評(píng)估（FHA）［13］等，這為IoP 系統(tǒng)提供了高效的評(píng)估環(huán)境，故AADL 能為IoP 系統(tǒng)提供可靠性建模及評(píng)估。

目前，AADL 提供的FTA、FHA 等分析方法雖然能詳細(xì)地評(píng)估IoP 系統(tǒng)故障的根本原因和危害，但是無(wú)法對(duì)IoP 系統(tǒng)的動(dòng)態(tài)、實(shí)時(shí)等特性進(jìn)行定量分析。因此，本文提出一種基于AADL 的IoP 系統(tǒng)可靠性評(píng)估方法，并設(shè)計(jì)一個(gè)IoP 系統(tǒng)通用模型。利用AADL 及其附件語(yǔ)言對(duì)IoP 系統(tǒng)進(jìn)行可靠性建模，并從定性和定量?jī)煞矫孢M(jìn)行分析。采用FTA 和FHA 方法定性評(píng)估系統(tǒng)故障的根本原因和危險(xiǎn)，通過(guò)在OSATE 中采用Ocarina［14］模型轉(zhuǎn)換技術(shù)將系統(tǒng)的AADL 可靠性模型轉(zhuǎn)換為連續(xù)時(shí)間馬爾科夫鏈（CTMC）模型，進(jìn)一步提出基于CTMC 的定量評(píng)估算法，以對(duì)IoP 系統(tǒng)的動(dòng)態(tài)和實(shí)時(shí)特性進(jìn)行評(píng)估。

1 相關(guān)工作

1.1 IoP 系統(tǒng)架構(gòu)及其特性

目前國(guó)內(nèi)外關(guān)于IoP 系統(tǒng)架構(gòu)的研究較少，缺乏具體的IoP 系統(tǒng)模型。文獻(xiàn)［1］提出一種基于IoP的數(shù)據(jù)管理范式，并對(duì)其特性進(jìn)行了討論。文獻(xiàn)［2，4，15］提出的一些概念模型涉及到老人智能居家、大數(shù)據(jù)、云平臺(tái)等方面。通過(guò)結(jié)合IoP 特性以及對(duì)上述系統(tǒng)模型的總結(jié)抽象，本文提出一個(gè)通用的IoP 系統(tǒng)模型。如圖1 所示，該模型主要分為4 個(gè)系統(tǒng)模塊：可穿戴感知系統(tǒng)（W 系統(tǒng)），邊緣智能系統(tǒng)（E 系統(tǒng)），網(wǎng)絡(luò)系統(tǒng)（N 系統(tǒng)）和云平臺(tái)系統(tǒng)（C 系統(tǒng)）。其中，W 系統(tǒng)以近端通信方式感知用戶信息并傳遞給E 系統(tǒng)。近端通信方式有多種，其中藍(lán)牙的安全保密性較高且適用于傳感設(shè)備通信。E 系統(tǒng)是用戶的智能代理，用戶通過(guò)它參與到智能決策中。E 系統(tǒng)首先接收W 系統(tǒng)傳遞的用戶信息（藍(lán)牙信號(hào)）并進(jìn)行處理，然后通過(guò)N 系統(tǒng)構(gòu)建的自組網(wǎng)和主干網(wǎng)2 種連接策略，與社區(qū)內(nèi)及遠(yuǎn)程設(shè)備平臺(tái)進(jìn)行交互，并為用戶提供智能行程規(guī)劃和健康管理等服務(wù)。N 系統(tǒng)負(fù)責(zé)網(wǎng)絡(luò)管理，并能自動(dòng)地調(diào)整以連接不同類型網(wǎng)絡(luò)。C 系統(tǒng)是服務(wù)器集群，通過(guò)N系統(tǒng)與E 系統(tǒng)交互，為用戶提供大數(shù)據(jù)、人工智能推薦等計(jì)算服務(wù)。

圖1 IoP 系統(tǒng)模型架構(gòu)Fig.1 Architecture for the IoP system model

由圖1 中的IoP 系統(tǒng)架構(gòu)模型可知，IoP 系統(tǒng)不同于物聯(lián)網(wǎng)系統(tǒng)［16］，它以設(shè)備和人為中心，使用戶與設(shè)備協(xié)同管理海量數(shù)據(jù)。此外，IoP 系統(tǒng)的底層網(wǎng)絡(luò)系統(tǒng)具有健壯性，能根據(jù)不同的設(shè)備實(shí)時(shí)、動(dòng)態(tài)地配置網(wǎng)絡(luò)策略。另外，人工智能和云平臺(tái)等新興技術(shù)為IoP 系統(tǒng)進(jìn)行大數(shù)據(jù)分析提供了基礎(chǔ)。因此，IoP 系統(tǒng)具有實(shí)時(shí)、動(dòng)態(tài)的特性以及多層、復(fù)雜的架構(gòu)，基于IoP 系統(tǒng)的可靠性分析十分復(fù)雜但具有重要研究意義。

1.2 基于模型的可靠性建模及評(píng)估方法

MBDA 方法已被廣泛應(yīng)用于不同領(lǐng)域復(fù)雜系統(tǒng)的可靠性分析中。在航空航天系統(tǒng)領(lǐng)域，文獻(xiàn)［17］提出基于模型的安全性分析方法，通過(guò)將故障模型嵌入架構(gòu)模型中為系統(tǒng)提供一種自動(dòng)化的安全性分析。在信息物理系統(tǒng)領(lǐng)域，文獻(xiàn)［18］提出一種基于AADL 的可靠性分析方法，通過(guò)對(duì)AADL 及其附件進(jìn)行拓展實(shí)現(xiàn)了對(duì)系統(tǒng)的建模及分析。在醫(yī)療系統(tǒng)領(lǐng)域，文獻(xiàn)［19］提出一種基于AADL 模型轉(zhuǎn)換的可靠性分析方法，通過(guò)模型轉(zhuǎn)換技術(shù)將AADL 可靠性模型轉(zhuǎn)換成雙圖誤差傳播模型［20］，實(shí)現(xiàn)了對(duì)醫(yī)用檢查設(shè)備的可靠性分析。本文將采用MBDA 方法對(duì)IoP 系統(tǒng)進(jìn)行可靠性評(píng)估。

目前已有多種建模語(yǔ)言能實(shí)現(xiàn)MBDA 方法，本文針對(duì)嵌入式實(shí)時(shí)、汽車電子、航空航天等系統(tǒng)領(lǐng)域的建模語(yǔ)言，即UML、SysML、EAST-ADL 和AADL，從能否滿足IoP 系統(tǒng)可靠性建模和評(píng)估需求，以及能否提供高效的可靠性分析環(huán)境2 方面進(jìn)行對(duì)比。在架構(gòu)建模方面，UML 雖然提供了架構(gòu)和行為模型圖，并可建模軟件系統(tǒng)，但無(wú)法描述IoP 系統(tǒng)軟硬件的綁定、分配等行為；SysML、EAST-ADL 和AADL均能詳細(xì)地描述軟硬件交互行為，且均能對(duì)IoP 系統(tǒng)的實(shí)時(shí)動(dòng)態(tài)行為進(jìn)行分析，但SysML 在分析多層級(jí)系統(tǒng)的架構(gòu)時(shí)，無(wú)法將各層架構(gòu)模型統(tǒng)一；EASTADL 是嵌入式汽車電子系統(tǒng)的專用建模及分析語(yǔ)言，而AADL 包含了更豐富且通用的軟硬件組件以及動(dòng)態(tài)行為建模功能，所以AADL 更適合分析IoP 系統(tǒng)的架構(gòu)和動(dòng)態(tài)行為。在可靠性分析方面，AADL的EMA 附件能完善地建模故障模型并結(jié)合FTA 和FHA 等分析方法對(duì)IoP 系統(tǒng)進(jìn)行詳細(xì)的可靠性評(píng)估。在集成環(huán)境方面，AADL 的開(kāi)發(fā)平臺(tái)OSATE 為評(píng)估IoP 系統(tǒng)可靠性提供了高效的環(huán)境。因此，AADL 可以實(shí)現(xiàn)IoP 系統(tǒng)的可靠性建模，并能夠?yàn)樵u(píng)估系統(tǒng)故障的根本原因和危險(xiǎn)奠定基礎(chǔ)。

由于IoP 系統(tǒng)的狀態(tài)轉(zhuǎn)變過(guò)程存在轉(zhuǎn)移概率，且該過(guò)程僅受當(dāng)前狀態(tài)的影響，因此IoP 系統(tǒng)的故障符合馬爾科夫過(guò)程。另外，由于IoP 系統(tǒng)具有實(shí)時(shí)和動(dòng)態(tài)的特性，因此需要一種方法能在連續(xù)時(shí)域內(nèi)對(duì)系統(tǒng)進(jìn)行可靠性評(píng)估。文獻(xiàn)［21］提出一種基于CTMC的可靠性分析方法，并在連續(xù)時(shí)域內(nèi)對(duì)某智能電網(wǎng)系統(tǒng)進(jìn)行了定量分析。文獻(xiàn)［22-23］提出了基于CTMC 的可靠性分析方法，并對(duì)嵌入式系統(tǒng)進(jìn)行了定量分析。上述研究表明，CTMC 能在連續(xù)時(shí)域內(nèi)定量分析系統(tǒng)的可靠性，所以本文將采用CTMC 評(píng)估IoP 系統(tǒng)的動(dòng)態(tài)和實(shí)時(shí)特性。

CTMC 模型定義為如式（1）所示的四元組：

其中：S表示組件的有限狀態(tài)空間集，Sm?S，且S0∈Sm，S0表示初始狀態(tài)，對(duì)應(yīng)IoP 系統(tǒng)中組件的初始狀態(tài)，Sm表示故障狀態(tài)的有限空間子集，對(duì)應(yīng)IoP 系統(tǒng)中組件的故障狀態(tài)；T?Sm×Sm表示狀態(tài)轉(zhuǎn)移集合，對(duì)應(yīng)IoP 系統(tǒng)中組件的狀態(tài)轉(zhuǎn)變；M=［λij］（λij∈［0，1］）表示狀態(tài)轉(zhuǎn)移矩陣，λij表示狀態(tài)si到狀態(tài)sj（si，j∈Sm）的轉(zhuǎn)移概率；P=［P0（t），P1（t），…，Pi（t）］表示組件的概率向量，其中Pi（t）為組件在t時(shí)刻處于狀態(tài)si下的概率。初始條件為Pi（t=0）=1，i=0，當(dāng)Pi（t=0）=0，i≠0時(shí)，說(shuō)明組件開(kāi)始處于S0狀態(tài)下。求解系統(tǒng)整體的可靠度的步驟如下：

1）根據(jù)系統(tǒng)故障的轉(zhuǎn)移集合和概率，生成對(duì)應(yīng)的狀態(tài)轉(zhuǎn)移矩陣M。

2）構(gòu)建如式（2）的時(shí)域微分方程，并通過(guò)Laplace 變換和反演［24］，解得穩(wěn)態(tài)下的概率Pi（t），最終得到式（3），即IoP 系統(tǒng)整體的可靠度，其中N和m為系統(tǒng)所有非故障終態(tài)數(shù)。

上述研究為本文定量分析IoP 系統(tǒng)可靠性提供了一定基礎(chǔ)，但I(xiàn)oP 系統(tǒng)架構(gòu)復(fù)雜、數(shù)據(jù)量龐大，若直接采用上述方法對(duì)IoP 系統(tǒng)進(jìn)行評(píng)估，需要構(gòu)建系統(tǒng)的CTMC 模型，這將產(chǎn)生CTMC 狀態(tài)空間爆炸的問(wèn)題，所以需要一種CTMC 定量評(píng)估算法能基于AADL 構(gòu)建的IoP 系統(tǒng)可靠性模型進(jìn)行自動(dòng)分析。文獻(xiàn)［25］提出一種Ocarina 的模型轉(zhuǎn)換技術(shù)，該模型轉(zhuǎn)換技術(shù)以抽象語(yǔ)法樹(shù)（AST）的形式實(shí)現(xiàn)了對(duì)系統(tǒng)架構(gòu)模型的轉(zhuǎn)換，但無(wú)法對(duì)系統(tǒng)故障模型進(jìn)行轉(zhuǎn)換。文獻(xiàn)［26］針對(duì)上述研究進(jìn)行了改進(jìn)，實(shí)現(xiàn)了對(duì)系統(tǒng)可靠性模型的轉(zhuǎn)換，但轉(zhuǎn)換結(jié)果不包含CTMC 模型。本文提出的可靠性評(píng)估方法結(jié)合改進(jìn)的Ocarina 模型轉(zhuǎn)換技術(shù)將AADL 可靠性模型轉(zhuǎn)換為CTMC 模型，實(shí)現(xiàn)了自動(dòng)的CTMC 定量評(píng)估。

2 基于AADL 的可靠性評(píng)估方法

文獻(xiàn)［27］提出一種基于模型的IoP 系統(tǒng)可靠性分析方法，該方法通過(guò)對(duì)系統(tǒng)的架構(gòu)和故障進(jìn)行建模，最終采用狀態(tài)機(jī)和FMEA 對(duì)系統(tǒng)可靠性進(jìn)行評(píng)估。本文考慮了IoP 系統(tǒng)實(shí)時(shí)和動(dòng)態(tài)特性，提出基于AADL 的IoP 系統(tǒng)可靠性評(píng)估方法。該方法不僅能對(duì)系統(tǒng)的架構(gòu)和故障行為進(jìn)行完善地建模，而且還能對(duì)系統(tǒng)的動(dòng)態(tài)行為進(jìn)行模式建模，最后從定性和定量?jī)蓚€(gè)角度進(jìn)行可靠性評(píng)估。圖2 所示為本文方法的框架，該方法被分為A、B 兩個(gè)部分，A 部分為基于AADL 的IoP 系統(tǒng)可靠性建模的過(guò)程，B 部分為可靠性分析的過(guò)程。

圖2 基于AADL 的IoP 系統(tǒng)可靠性分析方法框架Fig.2 IoP system dependability evaluation method framework based on AADL

2.1 基于AADL 的IoP 系統(tǒng)可靠性建模

基于AADL 的IoP 系統(tǒng)可靠性建模過(guò)程（如圖2中A 部分）分為以下4 步：

步驟1基于AADL 的IoP 系統(tǒng)架構(gòu)建模。由于IoP 系統(tǒng)具有多層架構(gòu)，需要先分解組件實(shí)體，再根據(jù)不同組件實(shí)體定義其內(nèi)部的拓?fù)浣Y(jié)構(gòu)、功能和行為。以下為具體分析流程：

1）抽象IoP 系統(tǒng)的架構(gòu)層次，橫向劃分為軟件和硬件等類別，縱向由子組件組成，由此劃分出組件實(shí)體。其中復(fù)合組件為系統(tǒng)、子系統(tǒng)、進(jìn)程和線程等，不可再分組件為設(shè)備和子程序等，每個(gè)實(shí)體都與AADL 中的組件類型對(duì)應(yīng)。

2）抽象組件類型的功能和實(shí)現(xiàn)。其中功能被表示為組件的端口、屬性和數(shù)據(jù)流。組件類型的實(shí)現(xiàn)，定義了綁定、調(diào)用、連接等交互行為。

步驟2基于BA 的IoP 系統(tǒng)動(dòng)態(tài)行為建模，即基于第1 步的系統(tǒng)架構(gòu)模型，利用AADL 的MODE 和BA建模IoP 系統(tǒng)的動(dòng)態(tài)行為。具體的分析流程如下：

1）將系統(tǒng)動(dòng)態(tài)行為抽象為具體的操作模式。不可再分組件的模式表示為屬性和行為，如時(shí)間的延遲和操作的執(zhí)行。復(fù)合組件的模式表示為子組件的連接方式。

2）建模系統(tǒng)的模式轉(zhuǎn)換，并將組件的屬性、工作模式及其子組件連接方式的變化，作為觸發(fā)轉(zhuǎn)換的條件。

3）根據(jù)模式建模，利用附件BA描述模式轉(zhuǎn)換邏輯，并描述轉(zhuǎn)換所導(dǎo)致的時(shí)延、行為操作等產(chǎn)生的影響。

步驟3根據(jù)步驟1、2 構(gòu)建的動(dòng)態(tài)架構(gòu)模型，利用EMA 對(duì)IoP 系統(tǒng)進(jìn)行故障建模。故障建模主要是對(duì)故障的行為、傳播、類型等建模。詳細(xì)的分析過(guò)程如下：

1）聲明故障行為庫(kù)，并定義故障類型、事件、狀態(tài)。

2）進(jìn)行故障建模。首先采用組件錯(cuò)誤行為狀態(tài)機(jī)對(duì)組件的故障傳播源和路徑進(jìn)行建模和分析。然后描述故障狀態(tài)的轉(zhuǎn)變以及觸發(fā)轉(zhuǎn)變的事件，并為故障指定傳出端口以及設(shè)置屬性，如概率和風(fēng)險(xiǎn)等。然后采用復(fù)合錯(cuò)誤行為狀態(tài)機(jī)為復(fù)合組件映射其子組件的故障邏輯。

3）操作模式到故障狀態(tài)的映射。由于系統(tǒng)操作模式的變化與系統(tǒng)實(shí)際配置的變化相關(guān)，而系統(tǒng)的故障會(huì)引發(fā)配置變化，因此將操作模式與故障狀態(tài)相映射，使兩者具有關(guān)聯(lián)和實(shí)際意義。

步驟4將生成一個(gè)包含架構(gòu)、動(dòng)態(tài)行為和故障行為的可靠性模型，并完成了圖2 中A 部分。最終生成可靠性模型文件（.aadl 和.aadxl2），為之后自動(dòng)地進(jìn)行可靠性分析提供基礎(chǔ)。

2.2 可靠性分析

可靠性分析過(guò)程（對(duì)應(yīng)圖2 中B 部分）分為以下3 步：1）基于FTA 和FHA 的定性可靠性分析；2）基于CTMC 模型的定量可靠性分析；3）判斷系統(tǒng)是否滿足可靠性需求。

2.2.1 基于FTA 和FHA 的定性可靠性分析

本節(jié)介紹基于FTA 和FHA 的定性可靠性分析，首先以文件“.aadxl2”為輸入，利用OSATE 平臺(tái)自動(dòng)生成FTA 圖和FHA 表。FTA 自頂向下逐層進(jìn)行演繹分析，為評(píng)估系統(tǒng)故障的根本原因提供了幫助。FHA 以組件為關(guān)注點(diǎn)，對(duì)故障嚴(yán)重度（Severity）和發(fā)生頻率（Likelihood）進(jìn)行了分類，并詳述了故障模式（Failure mode）和故障發(fā)生階段（Phase）等信息。另外，F(xiàn)HA 將嚴(yán)重度分為“1～5”5 個(gè)遞減的程度，并將發(fā)生頻率分為“A～E”5 個(gè)遞減的等級(jí)，這些級(jí)別的劃分允許以定性的方式來(lái)分析和確定FHA 結(jié)果。具體的分析過(guò)程如下：

1）根據(jù)FTA 生成結(jié)果，采用邏輯表達(dá)式的形式分析頂事件的故障，然后進(jìn)一步根據(jù)FTA 逐層簡(jiǎn)化邏輯表達(dá)式，最終可以確定某些關(guān)鍵組件的故障組合是導(dǎo)致系統(tǒng)故障的根本原因。

2）利用FHA 評(píng)估關(guān)鍵組件的故障風(fēng)險(xiǎn)。首先分析故障的嚴(yán)重度和頻率，然后根據(jù)故障模式和發(fā)生階段等信息來(lái)評(píng)估風(fēng)險(xiǎn)，最后結(jié)合FTA 結(jié)果確定優(yōu)先處理順序，并在合適的階段制定系統(tǒng)架構(gòu)調(diào)整方案。

2.2.2 基于CTMC 模型的定量可靠性分析

本節(jié)提出基于CTMC 定量評(píng)估算法，首先將IoP系統(tǒng)可靠性模型轉(zhuǎn)換為CTMC模型并進(jìn)行自動(dòng)定量分析，然后生成IoP 系統(tǒng)空間樹(shù)，其根節(jié)點(diǎn)包含子系統(tǒng)和進(jìn)程（中間層組件）的故障信息，最后求解所有路徑的概率，得到IoP 系統(tǒng)的可靠度，從而完成基于CTMC 模型的定量可靠性分析。詳細(xì)的算法如下：

算法1基于CTMC 的定量評(píng)估算法

輸入可靠性模型（.aadl 文件）

輸出系統(tǒng)可靠度R（t）

步驟1利用Ocarina 將AADL 可靠性模型轉(zhuǎn)換為對(duì)應(yīng)的C/C++源代碼文件。

步驟2接收Ocarina 轉(zhuǎn)換的組件故障數(shù)據(jù)，并生成CTMC 模型。首先利用接收函數(shù)Receive（Components，S，T，λ，P，M）接收組件數(shù)據(jù)并處理為CTMC 類型的數(shù)據(jù)結(jié)構(gòu)，其中：參數(shù)Components 表示組件ID；參數(shù)S表示組件的故障狀態(tài)；T表示組件故障狀態(tài)的轉(zhuǎn)換邏輯，它記錄了狀態(tài)轉(zhuǎn)換和故障事件（故障事件包含了組件內(nèi)的子部件的故障）；λ表示故障轉(zhuǎn)換概率；P表示組件穩(wěn)態(tài)概率；M表示故障轉(zhuǎn)移矩陣。然后利用存儲(chǔ)函數(shù)Memory（R（），Status）保存組件的CTMC 模型，其中參數(shù)Status 表示組件處理狀態(tài)，R（）保存接收函數(shù)中的組件信息。

步驟3判斷組件類型并生成對(duì)應(yīng)的空間樹(shù)。首先利用判斷函數(shù)Judge（R（））從Memory（）調(diào)用組件的信息，然后判斷所接收組件的類型，若為進(jìn)程或子系統(tǒng)且處理狀態(tài)為未處理，則將組件信息輸出。接著利用空間樹(shù)生成函數(shù)GenerateTree（Root（），Path［］）接收J(rèn)udge（）輸出的組件故障信息，并按照故障轉(zhuǎn)移邏輯T，由上至下生成樹(shù)，直至其內(nèi)部的子組件均被生成在分支中，其中根節(jié)點(diǎn)Root（）保存該組件的故障數(shù)據(jù)，解路徑集Path［］保存根節(jié)點(diǎn)的T。

步驟4求解根節(jié)點(diǎn)的概率。首先利用轉(zhuǎn)移矩陣生成函數(shù)GenerateMatrix（S，T，λ），并遍歷GenerateTree（）中的根節(jié)點(diǎn)的空間樹(shù)，接收對(duì)應(yīng)的故障信息以生成轉(zhuǎn)移矩陣M。然后利用Laplace 變換和反演函數(shù)，即LT（P，M）和ILT（P，M），接收M并求解式（2）的方程，并將解得的P返回給Memory（），以更新對(duì)應(yīng)組件的故障信息和狀態(tài)。

步驟5將步驟3、4 作為循環(huán)體，從中間層組件向下處理IoP 系統(tǒng)所有子組件。首先遍歷Memory（）中的進(jìn)程類組件并調(diào)用循環(huán)處理，然后遍歷子系統(tǒng)類組件并執(zhí)行循環(huán)處理，最后將IoP 系統(tǒng)所有子系統(tǒng)節(jié)點(diǎn)的概率結(jié)果求和，即可求得系統(tǒng)整體可靠度R（t）。

結(jié)合上述定性和定量分析，在第4 步對(duì)系統(tǒng)可靠性進(jìn)行綜合評(píng)估，以判斷系統(tǒng)是否滿足可靠性需求，若不滿足需求，則需要重新調(diào)整系統(tǒng)架構(gòu)，直至滿足需求。

3 案例分析

3.1 基于AADL 的IoP 醫(yī)療系統(tǒng)可靠性建模

在實(shí)際應(yīng)用中，本文將以IoP 醫(yī)療系統(tǒng)為案例來(lái)描述基于AADL 的可靠性建模過(guò)程。

3.1.1 基于AADL 的IoP 醫(yī)療系統(tǒng)架構(gòu)建模

本節(jié)基于AADL的IoP醫(yī)療系統(tǒng)架構(gòu)建模，并將系統(tǒng)架構(gòu)抽象為4層，即系統(tǒng)、子系統(tǒng)、進(jìn)程、線程。圖3所示為2層AADL架構(gòu)建模結(jié)果（對(duì)應(yīng)圖2），其中4個(gè)外層系統(tǒng)模塊分別對(duì)應(yīng)W 系統(tǒng)、E 系統(tǒng)、N 系統(tǒng)和C 系統(tǒng)。

圖3 IoP 醫(yī)療系統(tǒng)的AADL 架構(gòu)Fig.3 AADL architecture for IoP healthcare system

W 系統(tǒng)主要包含傳感器（S_HB 和S_AC 等）、數(shù)據(jù)處理子系統(tǒng)（Pro_subsystem）和藍(lán)牙模塊（BT_subsystem 和Hard_BT），其中傳感器接收用戶數(shù)據(jù)并傳遞給處理系統(tǒng)進(jìn)行處理，之后由藍(lán)牙模塊輸出。E 系統(tǒng)主要包含緊急通信模塊（EmAlert_subsystem 和 EmAlert_Com）、遠(yuǎn)程通信設(shè)備（FEnd_Com）和服務(wù)子系統(tǒng)（例如RTProposal_subsystem），當(dāng)用戶面臨危險(xiǎn)時(shí)，緊急通信模塊從W系統(tǒng)收到用戶數(shù)據(jù)并向醫(yī)院和家屬發(fā)出求助信號(hào)。在日常情況下，服務(wù)子系統(tǒng)為用戶提供健康檢測(cè)和智能推薦服務(wù)，并通過(guò)遠(yuǎn)程通信設(shè)備與C 系統(tǒng)交互以獲得大數(shù)據(jù)服務(wù)等。N 系統(tǒng)主要包含協(xié)議處理系統(tǒng)（Rec_subsystem 和Send_subsystem）。C 系統(tǒng)主要包含基礎(chǔ)設(shè)施（IaaS）、平臺(tái)（PaaS）和服務(wù)（SaaS）3 個(gè)子模塊，其中IaaS 包含存儲(chǔ)控制模塊（Sctrol_subsystem 和CPUs）和冗余存儲(chǔ)集群模塊（data_base），PaaS 包含了分布式數(shù)據(jù)庫(kù)的核心系統(tǒng)（例如HBASE_subsystem 和HDFS_subsystem），SaaS 包含了大數(shù)據(jù)服務(wù)子系統(tǒng)（例如BDanalysis_subsystem）。通過(guò)遠(yuǎn)程網(wǎng)絡(luò)連接，C 系統(tǒng)可與E 系統(tǒng)進(jìn)行交互并反饋大數(shù)據(jù)和人工智能服務(wù)。

3.1.2 基于AADL 的IoP 醫(yī)療系統(tǒng)模式和故障建模

本節(jié)對(duì)IoP 醫(yī)療系統(tǒng)的操作模式和故障模型建模。首先建模操作模式，Normal_operate（N）為初始模式表示系統(tǒng)正常工作，Softtolerant_limit（S）和Hardtolerant_limit（H）表示系統(tǒng)以最大限度容忍軟、硬件故障且能正常工作的模式，此時(shí)各子系統(tǒng)中至少包含1 個(gè)可作為備份使用的冗余件，Stops 為終止模式，表示系統(tǒng)停機(jī)。圖4 展示了模式建模結(jié)果，其中虛線表示觸發(fā)模式轉(zhuǎn)變的條件，箭頭表示模式轉(zhuǎn)變，即系統(tǒng)配置的動(dòng)態(tài)調(diào)整。當(dāng)IoP 醫(yī)療系統(tǒng)某軟硬件出現(xiàn)故障時(shí)，系統(tǒng)將啟動(dòng)冗余組件以排除故障，之后系統(tǒng)將從N 模式轉(zhuǎn)為S 或H 模式。如果此時(shí)軟硬件容錯(cuò)機(jī)制執(zhí)行失敗，則說(shuō)明系統(tǒng)中軟硬件組件的故障已超出系統(tǒng)可容忍范圍，系統(tǒng)將強(qiáng)制進(jìn)入Stops模式并停止工作。最后將操作模式與故障行為映射，使故障能觸發(fā)模式轉(zhuǎn)變。

圖4 IoP 醫(yī)療系統(tǒng)的操作模式Fig.4 Operation mode for IoP healthcare system

圖5 展示了IoP 醫(yī)療系統(tǒng)的組件錯(cuò)誤行為狀態(tài)機(jī)，IoP 系統(tǒng)最初處于Operational 狀態(tài)。當(dāng)W 子系統(tǒng)發(fā)生EmergFailure 故障時(shí)，IoP 醫(yī)療系統(tǒng)由初始態(tài)轉(zhuǎn)變?yōu)镈efectStop 終態(tài)，一旦處于該狀態(tài)，系統(tǒng)將傳出Nodata 事件并保持等待，表示數(shù)據(jù)接收異常。當(dāng)C子系統(tǒng)發(fā)生Nodata 故障時(shí)，IoP 醫(yī)療系統(tǒng)將從初始態(tài)轉(zhuǎn)變?yōu)镮nadequate 等待終態(tài)，之后系統(tǒng)保持該狀態(tài)并傳出NoService 事件，表示某些云平臺(tái)服務(wù)缺失。當(dāng)C 子系統(tǒng)發(fā)生PaaS_degraded 故障時(shí)，IoP 醫(yī)療系統(tǒng)由初始態(tài)轉(zhuǎn)變?yōu)镾oft_degraded 中間狀態(tài)，若此時(shí)再發(fā)生IaaS_degraded 故障，系統(tǒng)將轉(zhuǎn)變?yōu)镠ard_degraded 狀態(tài)，表示云平臺(tái)中某些軟硬件發(fā)生故障。若 C 子系統(tǒng)全部軟硬件均失效，則發(fā)生ServiceOmission 故障，導(dǎo)致IoP 醫(yī)療系統(tǒng)陷入SeriousStop 終止?fàn)顟B(tài)，此時(shí)系統(tǒng)將傳出ServiceOmission 事件并停止運(yùn)行。在初始狀態(tài)時(shí)，若W、E 和N 子系統(tǒng)中任何1 個(gè)發(fā)生ServiceOmission故障，IoP 醫(yī)療系統(tǒng)將直接陷入SeriousStop 終止?fàn)顟B(tài)，表示系統(tǒng)的接收、處理或網(wǎng)絡(luò)等關(guān)鍵功能失效。圖6 為EMA 建模的文本實(shí)現(xiàn)，EMA 將故障模型嵌入到架構(gòu)模型中，最終完成IoP 醫(yī)療系統(tǒng)的可靠性建模，即完成圖2 中A 的實(shí)現(xiàn)。

圖5 IoP 醫(yī)療系統(tǒng)的錯(cuò)誤行為狀態(tài)機(jī)Fig.5 Error behavior state machine for IoP healthcare system

圖6 IoP 醫(yī)療系統(tǒng)的EMA 文本實(shí)現(xiàn)Fig.6 Text implementation of EMA for the IoP healthcare system

3.2 可靠性分析

從以下兩方面進(jìn)行可靠性分析：1）利用FTA和FHA 進(jìn)行定性分析；2）采用CTMC 進(jìn)行定量分析。

3.2.1 基于FTA 和FHA 的可靠性定性分析

圖7～圖9 分別展示了OSATE 根據(jù)復(fù)合錯(cuò)誤行為狀態(tài)機(jī)自動(dòng)生成3 個(gè)狀態(tài)的FTA 表，即DefectStop（D）狀態(tài)、Inadequate（I）狀態(tài)和SeriousStop（S）狀態(tài)。

圖7 IoP 醫(yī)療系統(tǒng)DefectStop 狀態(tài)下的故障樹(shù)Fig.7 Fault tree for the DefectStop state of the IoP healthcare system

圖8 IoP 醫(yī)療系統(tǒng)Inadequate 狀態(tài)下的故障樹(shù)Fig.8 Fault tree for the Inadequate state of the IoP healthcare system

圖9 IoP 醫(yī)療系統(tǒng)SeriousStop 狀態(tài)下的故障樹(shù)Fig.9 Fault tree for the SeriousStop state of the IoP healthcare system

頂事件T1、T2和T3對(duì)應(yīng)IoP 醫(yī)療系統(tǒng)處于D、I 和S狀態(tài)時(shí)的事件。由FTA 生成結(jié)果可知，引起T1的根本原因是W 系統(tǒng)的心跳傳感器發(fā)生故障；引起T2的根本原因?yàn)镃 系統(tǒng)內(nèi)的SaaS 模塊發(fā)生故障；引起T3，即IoP系統(tǒng)嚴(yán)重故障的主要原因是W 系統(tǒng)、E 系統(tǒng)、N 系統(tǒng)或C 系統(tǒng)發(fā)生了故障，式（4）為上述邏輯分析結(jié)果。對(duì)結(jié)果進(jìn)一步分析可知，心跳傳感器、W 系統(tǒng)、E 系統(tǒng)和N 系統(tǒng)的失效會(huì)使IoP 醫(yī)療系統(tǒng)立即失去信息收集、分析以及緊急通信功能，進(jìn)而導(dǎo)致系統(tǒng)癱瘓。因此需要著重處理這部分組件的故障。在實(shí)際情況中，C 系統(tǒng)不涉及緊急服務(wù)，可為該系統(tǒng)設(shè)置容錯(cuò)機(jī)制。

表1 所示為一部分重要的FHA 結(jié)果，由FHA 表中故障嚴(yán)重度Severity 可知，S_HB 傳感器危險(xiǎn)等級(jí)為1 級(jí)，E 系統(tǒng)的2 個(gè)通信設(shè)備EmAlert_Com 和FEnd_Com 的危險(xiǎn)等級(jí)均為2 級(jí)，這些組件的危險(xiǎn)等級(jí)高。S_AC 傳感器的危險(xiǎn)等級(jí)為3 級(jí)，其嚴(yán)重度相對(duì)較低。分析Likelihood 和Phases 兩項(xiàng)可知，上述組件具有發(fā)生頻率低影響時(shí)間長(zhǎng)的特性，所以需要重點(diǎn)預(yù)防這些硬件的故障，特別是要在早期設(shè)計(jì)階段考慮雙重備份設(shè)計(jì)。結(jié)合FTA 和FHA 可知，W 系統(tǒng)和E 系統(tǒng)故障的危險(xiǎn)等級(jí)高且屬于關(guān)鍵系統(tǒng)，所以需要優(yōu)先處理。其中傳感器和緊急通信模塊的故障可能直接導(dǎo)致用戶信息丟失和緊急通信失效，進(jìn)而造成重大影響。因此在設(shè)計(jì)傳感器時(shí)可增加冗余結(jié)構(gòu)，在設(shè)計(jì)通信模塊時(shí)可增加獨(dú)立供電系統(tǒng)。另外也不可以忽視其他系統(tǒng)故障影響，若無(wú)法正確地分析用戶狀態(tài)，同樣會(huì)造成重大危害。

表1 IoP 醫(yī)療系統(tǒng)的部分FHA 分析結(jié)果Table 1 Partial FHA analysis results for the IoP healthcare system

3.2.2 基于CTMC 的可靠性定量分析

基于CTMC 的定量分析算法評(píng)估IoP 醫(yī)療系統(tǒng)的可靠性，首先利用Ocarina 將系統(tǒng)的可靠性模型轉(zhuǎn)換為CTMC 模型，并生成對(duì)應(yīng)的空間樹(shù)抽象結(jié)構(gòu)，最后得到系統(tǒng)的轉(zhuǎn)移矩陣M和式（2）的解。式（5）～式（7）所示為系統(tǒng)處于N 模式、S 模式和H 模式下的概率分布。

其中：W 系統(tǒng)的故障轉(zhuǎn)移率為λW_D和λW_F；E 系統(tǒng)的故障轉(zhuǎn)移率為λE_F；N 系統(tǒng)的故障轉(zhuǎn)移率為λN_F；C 系統(tǒng)的故障轉(zhuǎn)移率為λC_F、λC_I_D、λC_P_D和λC_In。系統(tǒng)整體的可靠度計(jì)算式如式（8）所示：

如圖10（a）、圖10（b）分別展示了系統(tǒng)處于各模式及其整體的概率分布情況，結(jié)合FTA 和FHA 進(jìn)行定性分析。在IoP 醫(yī)療系統(tǒng)生命周期早期，經(jīng)過(guò)評(píng)估已確定傳感器和通信設(shè)備為關(guān)鍵故障組件。通過(guò)對(duì)其進(jìn)行更換和維修使系統(tǒng)能可靠運(yùn)行，之后系統(tǒng)整體故障率穩(wěn)定為1×10-5，則系統(tǒng)整體及其初始工作模式（N 模式）的概率分布為指數(shù)分布。N 模式的概率隨時(shí)間增長(zhǎng)而不斷下降，表明系統(tǒng)因故障而無(wú)法繼續(xù)以N 模式運(yùn)行，此時(shí)IoP 醫(yī)療系統(tǒng)通過(guò)轉(zhuǎn)變?yōu)镾 或H 模式來(lái)容忍自身軟硬件故障，以確保系統(tǒng)運(yùn)行平穩(wěn)。S 和H 模式的概率在其早期隨N 模式概率下降而增長(zhǎng)，表示系統(tǒng)通過(guò)容錯(cuò)機(jī)制不斷排除自身故障。之后達(dá)到最高點(diǎn)0.5，表示系統(tǒng)進(jìn)入生命周期中期且穩(wěn)定運(yùn)行。在18 000 h 后IoP 醫(yī)療系統(tǒng)整體可靠度及S 和H 模式的概率快速下降至0，說(shuō)明此時(shí)系統(tǒng)容錯(cuò)能力達(dá)到極限且某些元器件逐步老化。為進(jìn)一步提升系統(tǒng)可靠性，本文在系統(tǒng)生命周期早期將傳感器和通信設(shè)備更換成更可靠的組件（故障率為1×10-6），并為W、E 等子系統(tǒng)設(shè)置冗余容錯(cuò)機(jī)制。

圖10 IoP 醫(yī)療系統(tǒng)架構(gòu)調(diào)整前在不同情況下的概率分布Fig.10 Probability distribution under different conditions of the IoP healthcare system before adjusting

如圖11（a）、圖11（b）所示，IoP 醫(yī)療系統(tǒng)整體可靠度在18 000 h 后仍下降緩慢，且系統(tǒng)在S 和H 模式下的概率也比組件故障率為1×10-5時(shí)更高，可見(jiàn)經(jīng)架構(gòu)調(diào)整后元器件后期老化等故障降低，系統(tǒng)容錯(cuò)能力提升。綜上，本文提出的可靠性分析方法將定性與定量分析相結(jié)合，不僅能夠評(píng)估系統(tǒng)故障的根本原因和危險(xiǎn)，還可以評(píng)估系統(tǒng)概率分布的原因以及實(shí)時(shí)變化的情況，并提出架構(gòu)調(diào)整方案，從而提升IoP 醫(yī)療系統(tǒng)整體及各模式的可靠性，最終實(shí)現(xiàn)了圖2 中B 部分。本文還采用MATLAB 對(duì)系統(tǒng)各模式及整體的CTMC 時(shí)域微分方程進(jìn)行求解，以驗(yàn)證式（5）～式（7），并采用MATLAB 數(shù)值求解法即龍格-庫(kù)塔法驗(yàn)證概率計(jì)算結(jié)果，從而確保實(shí)驗(yàn)的準(zhǔn)確性。

圖11 IoP 醫(yī)療系統(tǒng)架構(gòu)調(diào)整后在不同情況下的概率分布Fig.11 Probability distribution under different conditions of the IoP healthcare system after adjusting

4 結(jié)束語(yǔ)

針對(duì)IoP 系統(tǒng)實(shí)時(shí)、動(dòng)態(tài)的特性，本文提出一種基于AADL 的IoP 系統(tǒng)可靠性評(píng)估方法。構(gòu)建IoP系統(tǒng)的可靠性模型，從定性和定量?jī)煞矫嬖u(píng)估系統(tǒng)的可靠性，并提出基于CTMC 的定量評(píng)估算法，實(shí)現(xiàn)對(duì)系統(tǒng)實(shí)時(shí)、動(dòng)態(tài)等特性的評(píng)估。此外，將定性與定量分析相結(jié)合，為系統(tǒng)傳感器和通信模塊設(shè)計(jì)冗余、替換等架構(gòu)調(diào)整方案。實(shí)驗(yàn)結(jié)果表明，本文方法能對(duì)IoP 系統(tǒng)進(jìn)行有效建模，且能自動(dòng)、準(zhǔn)確地對(duì)該系統(tǒng)進(jìn)行可靠性分析。下一步將針對(duì)本文IoP 系統(tǒng)的網(wǎng)絡(luò)部分設(shè)計(jì)詳細(xì)的拓?fù)浣Y(jié)構(gòu)，并拓展系統(tǒng)的應(yīng)用場(chǎng)景，提高該系統(tǒng)的完整性和通用性。另外，本文使用AADL 的MODE 對(duì)系統(tǒng)的動(dòng)態(tài)行為進(jìn)行了建模，后續(xù)將考慮拓展其屬性集，使之在目前的基礎(chǔ)上能針對(duì)時(shí)間變遷等動(dòng)態(tài)特性進(jìn)行建模與分析。