(特价书)信息物理系统应用与原理(英文版)
使用本教材的高校
首先分析多个应用领域中CPS开发的关键挑战和创新,其次介绍现代 CPS 解决方案背后的技术原理(包括众所周知的和仍然需要学习的内容)。本书为 CPS 开发(从设计、分析到未来的创新)提供了指导性原则。
基本信息
- 原书名:Cyber-Physical Systems
- 作者: (印)拉杰·拉杰库马尔(Raj Rajkumar) (美)迪奥尼西奥·德·尼茨(Dionisio de Niz) (美)马克·克莱恩(Mark Klein)
- 丛书名: 经典原版书库
- 出版社:机械工业出版社
- ISBN:9787111595984
- 上架时间:2018-6-25
- 出版日期:2018 年4月
- 开本:16开
- 版次:1-1
- 所属分类:计算机 > 信息系统 > 管理信息系统
教材 > 计算机教材 > 本科/研究生 > 信息管理与信息系统专业
编辑推荐
CPS的驱动因素、挑战、基础和新的方向
构建生命攸关、上下文感知、网络化系统的医疗设备
创建能降低成本且充分整合可再生能源的能源网格系统
跨信息和物理域的复杂交互模型
实施CPS控制的综合算法
解决CPS传感器网络中的空间、时间、能量和可靠性问题
应用先进方法实现实时调度
CPS安全:防止“中间人”和其他攻击
实现分步式代理之间的同步通信
使用模型集成语言为CPS模型定义形式化语义
内容简介
作译者
拉杰·拉杰库马尔(Raj Rajkumar)是卡内基-梅隆大学电气工程和计算机专业的教授。他主持过若干次国际会议,拥有三项专利,发表了170多篇论文,其中8篇获得最佳论文奖。
迪奥尼西奥·德·尼茨(Dionisio de Niz)是卡内基-梅隆大学软件工程研究所的首席研究员。他的研究兴趣包括CPS、实时系统和基于模型的工程。在实时领域,他最近专注于多核处理器和混合关键性系统调度的研究,并领导了一些工业界和政府的应用研究项目。
马克·克莱恩(Mark Klein)是SEI高级技术人员,SEI关键系统能力理事会的技术主管。研究兴趣是CPS和其他大规模系统的设计。
迪奥尼西奥·德·尼茨(Dionisio de Niz)是卡内基-梅隆大学软件工程研究所的首席研究员。他的研究兴趣包括CPS、实时系统和基于模型的工程。在实时领域,他最近专注于多核处理器和混合关键性系统调度的研究,并领导了一些工业界和政府的应用研究项目。
马克·克莱恩(Mark Klein)是SEI高级技术人员,SEI关键系统能力理事会的技术主管。研究兴趣是CPS和其他大规模系统的设计。
目录
第一部分 CPS应用领域
第1章 医疗CPS 3
1.1 引言 4
1.2 系统描述与操作场景 5
1.2.1 虚拟医疗设备 7
1.2.2 临床场景 8
1.3 关键设计驱动与质量属性 9
1.3.1 发展趋势 9
1.3.2 质量属性以及MCPS领域的挑战 12
1.3.3 MCPS的高可信度开发 14
1.3.4 按需医疗设备及其安全保障 21
1.3.5 智能报警以及医疗决策支持系统 28
1.3.6 闭环系统 34
1.3.7 安全案例 40
1.4 医疗从业者的影响 48
1.4.1 MCPS开发者角度 49
1.4.2 MCPS管理者角度 50
1.4.3 MCPS用户角度 50
1.4.4 患者角度 51
1.4.5 MCPS监管机构角度 51
第1章 医疗CPS 3
1.1 引言 4
1.2 系统描述与操作场景 5
1.2.1 虚拟医疗设备 7
1.2.2 临床场景 8
1.3 关键设计驱动与质量属性 9
1.3.1 发展趋势 9
1.3.2 质量属性以及MCPS领域的挑战 12
1.3.3 MCPS的高可信度开发 14
1.3.4 按需医疗设备及其安全保障 21
1.3.5 智能报警以及医疗决策支持系统 28
1.3.6 闭环系统 34
1.3.7 安全案例 40
1.4 医疗从业者的影响 48
1.4.1 MCPS开发者角度 49
1.4.2 MCPS管理者角度 50
1.4.3 MCPS用户角度 50
1.4.4 患者角度 51
1.4.5 MCPS监管机构角度 51
前言
美国国家科学基金会(National Science Foundation, NSF)将信息物理系统(Cyber-Physical System, CPS)定义为构建并依赖于计算算法与物理组件(即信息组件和物理组件)的无缝连接的工程系统。这种整合意味着,要理解CPS的行为,我们不仅要关注信息部分或物理部分,还要考虑两部分的相互协作。例如,当系统检测到撞车事故将要发生时就需要确定汽车安全气囊的行为。只保证充气指令是否被安全气囊执行是不够的,还需要验证这些指令的执行与物理过程是否是同步完成的。具体而言,20毫秒之内执行可以确保司机撞上方向盘之前安全气囊完全充气。CPS中信息、物理部分之间的无缝整合涉及多个方面。这个简单例子就涉及软件逻辑、软件执行时间和物理过程。
虽然充气气囊这个例子包含了CPS的重要部分,但它并未涉及CPS最具挑战的部分。充气气囊的信息组件和物理组件都十分简单,它们之间的交互可以简化到仅区分软件完成时间和事故中司机撞上方向盘的时间这种情况。但是,随着软件和物理过程复杂度的增加,它们之间整合的复杂度也将显著提高。在大型CPS中(如商用飞机),多个物理和信息组件的整合以及各部分之间的权衡就变得十分具有挑战性。例如,在波音787梦幻客机上添加额外锂电池就必须要先满足一系列限制条件。这不仅需要满足在不同操作模式下特定电池配置(在特定处理速度和电压下与软件进行交互)的功耗需求,还需要明确为维持所需电压系统应何时以及如何对电池充放电,同时也需要检测充放电配置以确保电池不会过热(在787航行经历中电池过热曾导致起火),并且这种检测要与系统散热部分的设计衔接。更重要的是,所有这些方面都需要经过联邦安全管理局(Federal Aviation Administration, FAA)严格标准的认证。
由于单一系统复杂度的增加,CPS面临着更多的挑战。尤其是人们正在研究无人干预情况下的CPS间交互。这与互联网的开始十分类似。互联网开始时是两台电脑之间简单地连接。但当全世界的电脑无缝地连接起来,在网络上开发出大量的服务时,真正的革命出现了。这种连接不仅允许将大量的服务交付到世界各地,而且使收集和处理大量的信息(“大数据”)成为可能。我们可以利用大数据探索人群的趋势,当大数据与社交网络(如Facebook和Twitter)相结合时,甚至可以探索人群的实时趋势。在CPS中,这场革命才刚刚开始。通过智能手机上的GPS应用收集的行驶信息,我们可以去选一条低拥堵线路。虽然这种技术仍然需要人为调节,但是在某种程度上这符合智能公路的发展方向。这方面的成果近期层出不穷,例如在多个涉及自动汽车的项目中,汽车不仅知道如何自动驾驶,并且可以和同一路线上的其他非自动汽车进行交互。
CPS的出现
在CPS作为一个特定的学科领域出现之前,包含信息组件和物理组件的系统就已经存在。但这两个组件之间的交互十分简单,理论支撑基础也分散于计算机科学和物理科学之中。它们独立发展,没有交集。例如,在热弹力、空气动力学和机械应力学等学科中,验证性能的技术是独立于计算机技术(如逻辑时钟、模型检测、类型系统等)的进步而发展的。实际上,这些进步是从一些行为中抽象出来的,这些行为对某一学科领域很重要,但与其他学科领域相关性不大。例如,编程语言和逻辑验证模型的本质是只考虑指令的顺序,不受时间本身的影响。这种本质与车辆运动和房间温度控制这类物理变化过程中时间的重要性形成鲜明对比。
早期计算和物理科学之间交互的具体实现大多是成对的简单交互模型。例如实时调度理论和控制理论。调度理论加入了计算元素的时间,这样可以验证与物理过程交互的响应时间,从而确保整个过程不超过计算部分的预期并且可以进行修正。另一方面,控制理论将控制算法和物理过程结合起来,并且分析算法是否可以使系统保持在期望区域内。然而控制理论采用连续时间模型,在这一模型下计算瞬间发生,它使用附加延迟来考虑包含调度时间在内的计算时间,这使确定计算周期和提供调度接口成为可能。
随着领域之间交互复杂度的增加,人们研究了新的技术去模拟这种交互。例如,混合系统是一种状态机,在这个状态机中,状态用于模拟计算和物理状态,转换用于模拟计算动作和物理变化。虽然这种技术提高了描述复杂交互的能力,但分析往往是比较棘手的。通常情况下,模型复杂度阻碍了系统实际维度的分析。此外,随着相关学科数量的增长(如泛函、热力学、空气动力学、机械、容错),为了确保任意学科的假设和它的模型不因其他学科的模型而失效,我们需要分析它们之间的交互。例如,为了防止过热而降低处理器速度的动态散热管理(Dynamic Thermal Management, DTM)系统,会因实时调度算法设定的处理器速度而失效。
CPS的发展动力
在CPS蓬勃发展的今天,我们面临的挑战是能否深入理解CPS的行为和发展技术,从而评估CPS的可靠性、保密性和安全性。这实际上是CPS科学界的核心动力。因此,CPS是由两个相辅相成的因素驱动的:应用和理论基础。
应用
CPS的应用可以让研究者与从业者相互协作,以便更好地理解问题和挑战,提供能经受住实践检验的方案。如医疗设备,CPS研究人员与医生合作了解造成医疗设备失误的来源与挑战。人体如何处理不同药物,如何实施安全措施以避免药物过量注射,如何确保护士输入正确信息,这些都需要一定的假设,错误假设会引起输液泵的错误。此外,现今的医疗设备仅作为独立的设备,不允许互相连接。因此,医疗从业者需要在使用过程中协调这些设备,确保设备间的相互作用不引发安全性问题。例如,手术过程中需要胸部X射线机,就必须确保呼吸机被禁用;另一方面,一旦用完X射线机,呼吸机需要在一个安全的时间间隔内重新启动,这可以防止患者窒息。尽管这种不变性可以在软件中实现,但目前的认证技术和策略会阻止这种整合的出现。研究人员在此领域的工作就是开发技术以使这种相互作用的认证成为可能。这个问题在第1章中会详尽地讨论。
由于电网作为国家基础设施的战略重要性,电网是CPS的另一个重要应用领域。由于电能消费者和生产者各自独立,电能生产和消费具有不协调的特性,这是此领域的主要挑战。尤其是,每个家庭按一下电源开关就可以改变电能消费,这些按开关的动作会对电网产生聚合效应,因此电网需要平衡电能供应。类似地,风能、太阳能等可再生能源的电能生产不稳定、不可预知,这使平衡电能的供需成为一大挑战。这些元素之间的相互影响本质上是信息和物理之间的相互影响。一方面,电力供应者之间存在以计算机为中介的协调,另一方面,供应者与消费者之间的相互影响主要存在于电能的物理消耗过程中。目前一系列的技术已经应用于电网的控制与发展,这可以保护电网基础设施免受损坏,同时提升可靠性。然而,新一轮的挑战需要信息与物理元素结合起来,支持高效的市场、可再生能源、更便宜的能源价格。第2章讨论了电网领域的挑战和进展。
最有趣的、有技术创新的CPS应用领域之一也许就是传感器网络。传感器的发展和部署面临空间、时间、能量、可靠性方面的挑战,这是这一领域独具的。第3章讨论了传感器网络面临的挑战和这一领域的主要技术创新。
虽然一些应用领域有自己的趋势,新兴的应用领域也可能很快浮出水面。但是本书只讨论被CPS学科界定为最有影响力的领域。
基础理论
CPS的理论发展集中在多学科领域间的相互作用所带来的挑战。有关实时调度的一些趋势很值得一提。第一个趋势是为适应过载执行而出现的新调度模型。这些模型将多个执行预算与基于关键性的任务分类结合起来,确保在正常操作期间所有任务都可以满足时限要求。当过载发生时,高关键性的任务从低关键性的任务中窃取处理器周期来满足其时限要求。第二个趋势来自于周期性上的变化。间歇任务模型(rhythmic task model)允许任务的周期随着物理任务的变化频率而持续变化。例如,在这种情况下,某个任务由汽车发动机的曲轴角位置触发,新的调度分析技术就需要验证这种系统的时序性。在第9章中,我们将讨论实时调度的基础和创新。
模型检验和控制综合理论之间的交叉创新是待研究的发展方向。在这个方向上,混合状态机模型用于描述物理对象的行为和计算算法的要求。该模型用于自动合成控制器算法来增强所需的规范。第4章将讨论这个案例。学术界已经开发了许多新技术来分析控制算法中调度规则的时序效应。这些问题将在第5章中讨论。
学术界已经探索的另一个交互领域是模型检测和调度之间的关系。有团队开发了一种称为REK的新模型检查器,它将任务交错的约束加到单调速率调度器和周期性任务模型中,减少了验证工作。这些新交互将在第6章中讨论。
安全性是另一个受物理过程显著影响的领域。特别是软件和物理过程之间的交互给潜在的攻击者提供了新的攻击机会,这使CPS安全与纯软件安全之间有很大的差异。于是产生了这种由于攻击导致的差异,即传感器的错误数据很难与物理过程中真正的数据相区分。这些防止中间人攻击的创新点与其他重要技术将在第7章中介绍。
在分布式实时系统中,实现分布式代理之间的同步通信新技术是非常有用的,这能够减少对功能正确性进行形式证明所需的工作。第8章将详细讨论此问题。
虽然充气气囊这个例子包含了CPS的重要部分,但它并未涉及CPS最具挑战的部分。充气气囊的信息组件和物理组件都十分简单,它们之间的交互可以简化到仅区分软件完成时间和事故中司机撞上方向盘的时间这种情况。但是,随着软件和物理过程复杂度的增加,它们之间整合的复杂度也将显著提高。在大型CPS中(如商用飞机),多个物理和信息组件的整合以及各部分之间的权衡就变得十分具有挑战性。例如,在波音787梦幻客机上添加额外锂电池就必须要先满足一系列限制条件。这不仅需要满足在不同操作模式下特定电池配置(在特定处理速度和电压下与软件进行交互)的功耗需求,还需要明确为维持所需电压系统应何时以及如何对电池充放电,同时也需要检测充放电配置以确保电池不会过热(在787航行经历中电池过热曾导致起火),并且这种检测要与系统散热部分的设计衔接。更重要的是,所有这些方面都需要经过联邦安全管理局(Federal Aviation Administration, FAA)严格标准的认证。
由于单一系统复杂度的增加,CPS面临着更多的挑战。尤其是人们正在研究无人干预情况下的CPS间交互。这与互联网的开始十分类似。互联网开始时是两台电脑之间简单地连接。但当全世界的电脑无缝地连接起来,在网络上开发出大量的服务时,真正的革命出现了。这种连接不仅允许将大量的服务交付到世界各地,而且使收集和处理大量的信息(“大数据”)成为可能。我们可以利用大数据探索人群的趋势,当大数据与社交网络(如Facebook和Twitter)相结合时,甚至可以探索人群的实时趋势。在CPS中,这场革命才刚刚开始。通过智能手机上的GPS应用收集的行驶信息,我们可以去选一条低拥堵线路。虽然这种技术仍然需要人为调节,但是在某种程度上这符合智能公路的发展方向。这方面的成果近期层出不穷,例如在多个涉及自动汽车的项目中,汽车不仅知道如何自动驾驶,并且可以和同一路线上的其他非自动汽车进行交互。
CPS的出现
在CPS作为一个特定的学科领域出现之前,包含信息组件和物理组件的系统就已经存在。但这两个组件之间的交互十分简单,理论支撑基础也分散于计算机科学和物理科学之中。它们独立发展,没有交集。例如,在热弹力、空气动力学和机械应力学等学科中,验证性能的技术是独立于计算机技术(如逻辑时钟、模型检测、类型系统等)的进步而发展的。实际上,这些进步是从一些行为中抽象出来的,这些行为对某一学科领域很重要,但与其他学科领域相关性不大。例如,编程语言和逻辑验证模型的本质是只考虑指令的顺序,不受时间本身的影响。这种本质与车辆运动和房间温度控制这类物理变化过程中时间的重要性形成鲜明对比。
早期计算和物理科学之间交互的具体实现大多是成对的简单交互模型。例如实时调度理论和控制理论。调度理论加入了计算元素的时间,这样可以验证与物理过程交互的响应时间,从而确保整个过程不超过计算部分的预期并且可以进行修正。另一方面,控制理论将控制算法和物理过程结合起来,并且分析算法是否可以使系统保持在期望区域内。然而控制理论采用连续时间模型,在这一模型下计算瞬间发生,它使用附加延迟来考虑包含调度时间在内的计算时间,这使确定计算周期和提供调度接口成为可能。
随着领域之间交互复杂度的增加,人们研究了新的技术去模拟这种交互。例如,混合系统是一种状态机,在这个状态机中,状态用于模拟计算和物理状态,转换用于模拟计算动作和物理变化。虽然这种技术提高了描述复杂交互的能力,但分析往往是比较棘手的。通常情况下,模型复杂度阻碍了系统实际维度的分析。此外,随着相关学科数量的增长(如泛函、热力学、空气动力学、机械、容错),为了确保任意学科的假设和它的模型不因其他学科的模型而失效,我们需要分析它们之间的交互。例如,为了防止过热而降低处理器速度的动态散热管理(Dynamic Thermal Management, DTM)系统,会因实时调度算法设定的处理器速度而失效。
CPS的发展动力
在CPS蓬勃发展的今天,我们面临的挑战是能否深入理解CPS的行为和发展技术,从而评估CPS的可靠性、保密性和安全性。这实际上是CPS科学界的核心动力。因此,CPS是由两个相辅相成的因素驱动的:应用和理论基础。
应用
CPS的应用可以让研究者与从业者相互协作,以便更好地理解问题和挑战,提供能经受住实践检验的方案。如医疗设备,CPS研究人员与医生合作了解造成医疗设备失误的来源与挑战。人体如何处理不同药物,如何实施安全措施以避免药物过量注射,如何确保护士输入正确信息,这些都需要一定的假设,错误假设会引起输液泵的错误。此外,现今的医疗设备仅作为独立的设备,不允许互相连接。因此,医疗从业者需要在使用过程中协调这些设备,确保设备间的相互作用不引发安全性问题。例如,手术过程中需要胸部X射线机,就必须确保呼吸机被禁用;另一方面,一旦用完X射线机,呼吸机需要在一个安全的时间间隔内重新启动,这可以防止患者窒息。尽管这种不变性可以在软件中实现,但目前的认证技术和策略会阻止这种整合的出现。研究人员在此领域的工作就是开发技术以使这种相互作用的认证成为可能。这个问题在第1章中会详尽地讨论。
由于电网作为国家基础设施的战略重要性,电网是CPS的另一个重要应用领域。由于电能消费者和生产者各自独立,电能生产和消费具有不协调的特性,这是此领域的主要挑战。尤其是,每个家庭按一下电源开关就可以改变电能消费,这些按开关的动作会对电网产生聚合效应,因此电网需要平衡电能供应。类似地,风能、太阳能等可再生能源的电能生产不稳定、不可预知,这使平衡电能的供需成为一大挑战。这些元素之间的相互影响本质上是信息和物理之间的相互影响。一方面,电力供应者之间存在以计算机为中介的协调,另一方面,供应者与消费者之间的相互影响主要存在于电能的物理消耗过程中。目前一系列的技术已经应用于电网的控制与发展,这可以保护电网基础设施免受损坏,同时提升可靠性。然而,新一轮的挑战需要信息与物理元素结合起来,支持高效的市场、可再生能源、更便宜的能源价格。第2章讨论了电网领域的挑战和进展。
最有趣的、有技术创新的CPS应用领域之一也许就是传感器网络。传感器的发展和部署面临空间、时间、能量、可靠性方面的挑战,这是这一领域独具的。第3章讨论了传感器网络面临的挑战和这一领域的主要技术创新。
虽然一些应用领域有自己的趋势,新兴的应用领域也可能很快浮出水面。但是本书只讨论被CPS学科界定为最有影响力的领域。
基础理论
CPS的理论发展集中在多学科领域间的相互作用所带来的挑战。有关实时调度的一些趋势很值得一提。第一个趋势是为适应过载执行而出现的新调度模型。这些模型将多个执行预算与基于关键性的任务分类结合起来,确保在正常操作期间所有任务都可以满足时限要求。当过载发生时,高关键性的任务从低关键性的任务中窃取处理器周期来满足其时限要求。第二个趋势来自于周期性上的变化。间歇任务模型(rhythmic task model)允许任务的周期随着物理任务的变化频率而持续变化。例如,在这种情况下,某个任务由汽车发动机的曲轴角位置触发,新的调度分析技术就需要验证这种系统的时序性。在第9章中,我们将讨论实时调度的基础和创新。
模型检验和控制综合理论之间的交叉创新是待研究的发展方向。在这个方向上,混合状态机模型用于描述物理对象的行为和计算算法的要求。该模型用于自动合成控制器算法来增强所需的规范。第4章将讨论这个案例。学术界已经开发了许多新技术来分析控制算法中调度规则的时序效应。这些问题将在第5章中讨论。
学术界已经探索的另一个交互领域是模型检测和调度之间的关系。有团队开发了一种称为REK的新模型检查器,它将任务交错的约束加到单调速率调度器和周期性任务模型中,减少了验证工作。这些新交互将在第6章中讨论。
安全性是另一个受物理过程显著影响的领域。特别是软件和物理过程之间的交互给潜在的攻击者提供了新的攻击机会,这使CPS安全与纯软件安全之间有很大的差异。于是产生了这种由于攻击导致的差异,即传感器的错误数据很难与物理过程中真正的数据相区分。这些防止中间人攻击的创新点与其他重要技术将在第7章中介绍。
在分布式实时系统中,实现分布式代理之间的同步通信新技术是非常有用的,这能够减少对功能正确性进行形式证明所需的工作。第8章将详细讨论此问题。
书摘
《信息物理系统应用与原理(英文版)》:
An example requirement from Category C is "Flow discontinuity at low flows should be minimal," which does not specify what is a low flow or which discontinuity can be accepted as minimal.This case is a simple example of a defiaency in the requirement specificahon uncovered during formalization.
Once the categorization of the requirements is complete, requirements in Category A are formalized and verified using a model checker.In the case study, the requirements were converted into UPPAAL queries.Queries in UPPAAL use a subset of timed computahon tree logic (CTL) temporal logic and can be verified using the UPPAAL model checker.
……
An example requirement from Category C is "Flow discontinuity at low flows should be minimal," which does not specify what is a low flow or which discontinuity can be accepted as minimal.This case is a simple example of a defiaency in the requirement specificahon uncovered during formalization.
Once the categorization of the requirements is complete, requirements in Category A are formalized and verified using a model checker.In the case study, the requirements were converted into UPPAAL queries.Queries in UPPAAL use a subset of timed computahon tree logic (CTL) temporal logic and can be verified using the UPPAAL model checker.
……
