CPS研究案例分析

28专题第 9 卷  第 7 期  2013 年 7 月王启新香港理工大学CPS研究案例分析关键词：CPS　系统工程　混成系统不但有分工，还需要合作，从而正确地建造、运行一个CPS系统。由于这些专业人员的知识背景差别巨大，“语言”不通，所以如何保证他们合作得规范、顺畅，是一个极为严峻的挑战。以自动控制CPS为例，融入了计算机软硬件技术的自动控制系统广泛应用于机械、电子、航空航天、汽车制造等工业领域。计算机化的自动控制系统可以说是目前最为常见的CPS。然而，自动控制CPS仍然面临严重的系统工程问题。例如在飞机自动控制CPS的设计开发中，专业的计算机程序员很少有精通空气动力学、航空机械自动控制理论的，而专业的空气动力学、航空机械自动控制工程师对计算机编程也未必精通。随着“电传”取代“机械”，使用计算机控制飞机已经成为不可逆转的大趋势（事实上，现代飞机已经成为自动控制CPS的经典案例）。这也造成了一个矛盾：一方面，用计算机程序控制飞机势在必行；另一方面，无论是计算机专业的程序员，还是自动控制专业的工程师，甚至双方合作，写出来的程序都不可靠。由于飞行的安全性至关重要，人们必须想出一种系统设计方法，使得即便使用不可靠的飞机控制程序，飞机仍然能够安全飞行。针对这个问题，传统的解决途径是采用多版本决策的系统设计方法(N-versionprogramming)[3]。例如，要设计第五代飞机的控制程序，总共有3亿元的经费，可以把这3亿元分为3份，每份1亿元，分别用来雇佣3个完全独立的开发团队，开发3个不同版本的程序。3个版本并行运行。在每个采样/控制周期，3个版本生成3个决策，赞成票数多的决策将被采纳，作为系统控制的最终决策。多版本系统设计方法有一个弱点。由于计算机程序的质量与投入的经费（努力）直接相关，多版本意味着每个开发团队获得的经费远远小于总经费。这使得每个版本的质量都远远低于集中所有经费开发出来的版本质量。夏雷(LuiSha)对多版本和单版本系统的可靠性作了比较研究[4]。如果以0到T时刻内计算互联网通过将独立运行的计算机节点融合起来，革命性地改变了计算机科学的面貌。如果将计算机系统与物理世界进行进一步融合，信息—物理融合系统(cyberphysicalsystem,CPS)将会再一次革命性地改变计算机科学的面貌，甚至我们的日常生活[1,2]。CPS的产生、壮大是计算机科学技术不断渗入其他领域（自动控制、电力、医疗、建筑等等）的必然结果，是各个领域自身发展、自动化程度提高的必然趋势。跨领域的计算机应用催生了CPS，为CPS的理论技术创新提供了原始素材，并且是CPS服务的最终目标。理解CPS，就必须和CPS的相关应用领域紧密结合。稳定性理论在自动控制CPS设计中的应用CPS的一大核心课题就是系统工程。由于CPS具有跨领域的特性，参与CPS设计、开发、安装、维护的人员必然具有不同的学科背景。这些不同背景的专业人员29第 9 卷  第7 期  2013 年 7 月机程序发生0崩溃的概率作为衡量该程序可靠性的指标R(T)，假设计算机程序崩溃触发事件构成一个泊松过程，且单位时间的崩溃触发事件个数为λ，λ与程序需求的复杂程度C成正比，与投入开发的经费E成反比，则λ=kC/E，其中k＞0，为比例常系数。图1比较了给定经费E后，单版本与三版本决策的可靠性[4]。图中横轴为总经费E，纵轴为系统的可靠性。实线对应单版本决策，虚线对应三版本决策。黑、红、蓝色曲线分别对应λ与E、E2、E成反比的情况。由图可见，三版本最终的可靠性不及单版本的可靠性。然而，单版本系统存在的问题是如何保证在程序崩溃的情况下，整个系统的可靠性。例如，花3亿元开发的第五代飞机程序万一崩溃，飞机必须仍能安全飞行。为了达到可靠性目标，很多自动控制CPS系统对应其核心安全相关状态变量的控制，已经有非常成熟的遗产程序。例如，第四代飞机的控制程序也许无法向第五代飞机提供各种升级功能，例如节油、静音等等，但是可以保证第五代飞机最基本的安全飞行功能。这是因为第四代飞机控制程序使用已超过30年，其安全隐患基本被排除。鉴于此，夏雷提出了一套更适合自动控制CPS的系统设计方案，名为“简约(simplex)体系结构”[4]，如图2所示。在该体系结构下，新开发的更高性能的单版本控制程序称为高性能控制程序(highperformancecontrol,HPC)，而更可靠的遗产控制程序则称为高可靠性控制程序(highassurancecontrol,HAC)。高性能控制程序与高可靠性控制程序并行运行，每个采样/控制周期都会分别产生两个控制输出。决策模块根据当前物理系统的状态，决定采用高性能控制程序或高可靠性控制程序的输出来作用于物理系统。决策模块决策策略的设计有机地融合了自动控制理论中的稳定性理论，具体说明如下：首先，我们把一个受控物理系统的状态变量列成一个向量，称为状态向量。例如飞机的状态向量可以为线位置、线速度、线加速度、偏航角、俯仰角和滚动角等。由于安全和物理参数的限制，例如线速度不可超过300米/秒，这个状态向量的安全取值范围应是一个向量空间中的一个子集，如图3中的凸多边形所示。根据现代控制理论[5]，大部分人造的受控物理系统都被设计成稳定系统。这些系统的状态向量对应一个利亚普诺夫(Lyapu-nov)方程。根据该方程，我们可以找到一个稳定域(invariantset)，这个稳定域严格处于状态向量的安全取值范围内部，并且只要系统的当前状态没有超出稳定域，按照遗产程序的控制方法，物理系统就永远不可能跳出稳定域。图1　单版本和三版本系统可靠性对比[4]可靠性开发总经费三版本决策系统设计方法单版本决策系统设计方法图3　状态向量的安全取值范围状态向量空间安全取值范围稳定域图2　简约体系结构[4]高性能控制程序（HPC）高可靠性控制程序（HAC）决策模块物理系统30专题第 9 卷  第 7 期  2013 年 7 月根据自动控制稳定性理论，简约体系结构决策模块实施如下策略：当物理系统的状态向量在稳定域内部时，采用高性能控制程序的输出；一旦物理系统的状态向量值靠近稳定域的边界，就立即换用高可靠性控制程序的输出。这样，即使高性能控制程序发生任何故障，物理系统的状态向量也不会超出安全取值范围。按照简约体系结构给出的自动控制CPS系统的设计方法，无论是计算机专业，还是自动控制专业的人员，都可以编写自动控制CPS的高性能控制程序。即使这些工作人员缺乏跨领域的知识，编写出的高性能控制程序漏洞百出，也不会威胁到物理系统的安全。混成系统模型在智能电网CPS建模/验证中的应用目前，面向CPS最为成熟的建模和验证方法是混成系统建模/验证(hybridmodeling/hybridmodelchecking)。混成系统建模/验证是20世纪90年代提出的一种形式化建模/验证方法[6]。经过20年的发展，其理论本身已经日臻成熟。其核心工具是混成自动机(hybridautomata)。与计算机传统概念的自动机不同的是，混成自动机的节点不再代表离散状态，而是代表一组微分方程，描述的是一种连续运动的模式，而节点间的边则仍然代表离散事件。CPS概念提出后，基于混成自动机的混成系统建模/验证由于可以同时描述/验证离散(cyber)和连续(physical)行为，得到了极大关注。铃木(Susuki)等人[7]给出了一个利用混成模型智能验证并网瞬态可靠性的案例。该案例研究了单发电机/无限大系统(singlemachine/infinitebus,SMIB)送电的瞬时可靠性验证问题。SMIB一般有两种工作状态：1双输电线工作状态(two-linesoperation)，这是SMIB的缺省工作状态。发电机有两股平行输电线接入无限大系统电网。2单输电线工作状态(one-lineop-eration)，如果SMIB的两股平行输电线中的一股发生故障（例如遭到雷击），发生故障的输电线就会被立即断开，SMIB进入到单输电线工作状态，即发电机由剩下的未发生故障的单股输电线接入无限大系统电网。单输电线工作状态是一种非正常工作状态。一旦故障输电线修复，SMIB必须重新闭闸，接通修复的输电线，恢复到双输电线工作状态。然而重新闭闸是一个有风险的动作。发电机的相角和角速度与无限大系统电网的同步有误差，并与无限大系统电网有复杂的交互作用。闭闸时机不妥的话会造成发电机失去同步、电网震荡、甚至崩溃的严重事故。智能电网的一个重要任务是判断、验证何时闭闸才能保证电机、电网的稳定性。SMIB的闭闸行为可以用如图4所示的混成自动机表示。该自动机包括两个节点：q1和q2，分别表示单输电线工作状态和双输电线工作状态。与计算机科学传统的自动机模型不同的是，混成自动机的状态节点并不仅仅表示一个离散的状态，还通过微分方程组的方式描述连续的行为。在图4中，节点q1、q2对应微分方程组的各变量含义如下：δ表示发电机相对于无限大系统电网在t时刻的相角。由于发电机转子角速度与无限大系统电网的参照转子角速度不同，所以δ会随时间变化。δ对时间的导数记为ω，可以理解为发电机转子相对于无限大系统电网参照转子的角速度差。常系数pm,b,k分别表示发电机的机械功率输入、发电机与无限大系统电网间的临界传输功率、SMIB阻尼系数。图4　表示SMIB离散/连续行为的混成自动机状态q1状态q2t:=0t=tr;0.5sin;1;mpbktδωωδω==−−=;sin;1;mpbktδωωδω==−−=31第 9 卷  第7 期  2013 年 7 月按照图4，SMIB最初处于单输电线工作状态（q1节点），当时间t=tr时，SMIB闭闸，系统跳转到双输电线工作状态（q2节点）。对于系统状态向量(δ,ω)，经典的电力系统理论定义了一个临界常量ωc＜pm＜k，只要系统ω分量的绝对值小于ωc，SMIB就是稳定的，否则就是不稳定的（危险的）。也就是说我们在系统状态的向量空间里有一个危险状态区域：{(δ,ω)||ω|≥ωc}。混成系统验证理论研究的一项重要成果是提供了众多高效的混成系统可达集(reachabil-ityset)计算方法。利用该方法，给定混成自动机和危险状态区域，我们可以倒推出哪些初始状态可能会达到危险状态区域，哪些不可能。图5展示了对图4的混成自动机验证后计算出的危险/安全初始状态集[7]。每个子图对应不同的闭闸时刻(tr)。每个子图中的白色区域是安全的初始状态，当发电机状态处于白色区域时，在tr秒后闭闸不会有危险。黄色区域则是危险的初始状态，当发电机状态处于黄色区域时，在tr秒后闭闸就会有危险。而红色边线则标出了使用传统电力系统理论计算出来的对安全初始区域的保守估计。图5显示混成自动机验证得出的安全初始区域更全面，这意味着为电网提供了更大的操作灵活性。混成系统模型在医疗CPS运行时可靠性保障中的应用随着CPS应用、需求的不断扩展，混成系统的应用领域也随之扩大。李(Li)等人[8]研究了一个有关激光气管切开术中医疗设备即插即用(medicaldeviceplug-and-play,MDPnP)[9]的医疗CPS案例。图6展示了激光气管切开术MDPnP的场景。在该场景中，病人被施行麻醉，因而不能自主呼吸，必须连接呼吸机。在病人吸气时，呼吸机向病人输送氧气。病人的血氧量、气管内的氧气（二氧化碳）量分别由血氧计、二氧化碳计监控。同时，外科医生用激光刀切开病人的气管。MDPnP在该场景运行时的关键任务是保证安全：1当医生开启激光刀（切割气管）时，病人的呼吸机必须停机；否则病人的气管内会有高浓度氧气，遇激光会爆燃。2激光刀连续使用（呼吸机连续停机）一段时间后，必须强制关闭，重启呼吸机；否则会造成病人窒息。图5　发电机初始状态危险性评估（横、纵坐标分别表示发电机初始状态的δ和ω值。(a),(b),(c),(d)四张子图分别对应tr=0.1,0.3,0.5,0.8）[7]传统方法计算得出的安全初始区域边界图6　激光气管切开术MDPnP总控计算机血氧计呼吸机激光刀医生病人二氧化碳计32专题第 9 卷  第 7 期