基于AADL 的IoP 系統可靠性評估方法

施小東，勉治寶，高亞晴

（1.北方民族大學計算機科學與工程學院，銀川 750021；2.西北師范大學計算機科學與工程學院，蘭州 730070）

0 概述

隨著可穿戴設備技術的發展，人的個體屬性和社會屬性都能向網絡世界映射，以人為中心的集多種交互功能于一體的網絡逐步形成，這種新興互聯網模式被稱為人聯網（Internet of People，IoP）［1］。IoP 系統可以提供醫療診斷、輔助殘疾人等個性化服務，但一旦系統發生故障，將對用戶造成生命威脅。因此，基于IoP 系統的可靠性分析變得至關重要。

IoP 系統由多層軟硬件構成，具有實時、動態的復雜特性。此外，隨著大數據［2］、人工智能［3］、云平臺［4］等技術的推動，IoP 系統的功能更加豐富多樣。這些因素導致基于IoP 系統的可靠性分析變得十分困難，系統故障的根本原因難以確定。因此，需要一種自動化的可靠性分析，以便在系統開發生命周期的各個階段能反復驗證系統可靠性性能。但是，目前該領域缺乏一種自動、準確、可靠和可重用的分析方案。

基于模型的可靠性分析方法（MBDA）［5］能為復雜系統提供自動且可重用的可靠性評估，已廣泛應用于航空航天系統、信息物理系統、醫療系統等不同領域中，所以MBDA 方法能為IoP 系統提供一種自動的可靠性評估方案。

為了實現MBDA 方法，本文對可靠性領域內的一些建模語言，如統一建模語言（UML）［6］、系統建模語言（SysML）［7］、架構分析與設計語言（AADL）［8］、電子架構與軟件技術-架構描述語言（EAST-ADL）［9］等，從能否滿足IoP 系統可靠性建模和評估需求，以及能否提供高效的可靠性分析環境兩方面進行了對比。在系統架構建模方面，IoP 系統包含了復雜的軟硬件架構和硬件綁定機制，AADL 具有豐富的構件類型和實現，可詳細地建模軟硬件組件的功能、架構以及綁定機制。另外，IoP 系統具有實時、動態的特性，AADL 的MODE 能建模系統的動態模式，并能通過與AADL 的行為附件（BA）相結合來細化模式轉變邏輯。在故障建模方面，AADL 的錯誤模型附件（EMA）能詳細建模系統故障信息，這為分析IoP 系統的故障行為和傳播提供了基礎。此外，AADL 的開源開發環境OSATE［10］支持多種可靠性分析，例如故障模式及影響分析（FMEA）［11］、故障樹分析（FTA）［12］、功能危險性評估（FHA）［13］等，這為IoP 系統提供了高效的評估環境，故AADL 能為IoP 系統提供可靠性建模及評估。

目前，AADL 提供的FTA、FHA 等分析方法雖然能詳細地評估IoP 系統故障的根本原因和危害，但是無法對IoP 系統的動態、實時等特性進行定量分析。因此，本文提出一種基于AADL 的IoP 系統可靠性評估方法，并設計一個IoP 系統通用模型。利用AADL 及其附件語言對IoP 系統進行可靠性建模，并從定性和定量兩方面進行分析。采用FTA 和FHA 方法定性評估系統故障的根本原因和危險，通過在OSATE 中采用Ocarina［14］模型轉換技術將系統的AADL 可靠性模型轉換為連續時間馬爾科夫鏈（CTMC）模型，進一步提出基于CTMC 的定量評估算法，以對IoP 系統的動態和實時特性進行評估。

1 相關工作

1.1 IoP 系統架構及其特性

目前國內外關于IoP 系統架構的研究較少，缺乏具體的IoP 系統模型。文獻［1］提出一種基于IoP的數據管理范式，并對其特性進行了討論。文獻［2，4，15］提出的一些概念模型涉及到老人智能居家、大數據、云平臺等方面。通過結合IoP 特性以及對上述系統模型的總結抽象，本文提出一個通用的IoP 系統模型。如圖1 所示，該模型主要分為4 個系統模塊：可穿戴感知系統（W 系統），邊緣智能系統（E 系統），網絡系統（N 系統）和云平臺系統（C 系統）。其中，W 系統以近端通信方式感知用戶信息并傳遞給E 系統。近端通信方式有多種，其中藍牙的安全保密性較高且適用于傳感設備通信。E 系統是用戶的智能代理，用戶通過它參與到智能決策中。E 系統首先接收W 系統傳遞的用戶信息（藍牙信號）并進行處理，然后通過N 系統構建的自組網和主干網2 種連接策略，與社區內及遠程設備平臺進行交互，并為用戶提供智能行程規劃和健康管理等服務。N 系統負責網絡管理，并能自動地調整以連接不同類型網絡。C 系統是服務器集群，通過N系統與E 系統交互，為用戶提供大數據、人工智能推薦等計算服務。

圖1 IoP 系統模型架構Fig.1 Architecture for the IoP system model

由圖1 中的IoP 系統架構模型可知，IoP 系統不同于物聯網系統［16］，它以設備和人為中心，使用戶與設備協同管理海量數據。此外，IoP 系統的底層網絡系統具有健壯性，能根據不同的設備實時、動態地配置網絡策略。另外，人工智能和云平臺等新興技術為IoP 系統進行大數據分析提供了基礎。因此，IoP 系統具有實時、動態的特性以及多層、復雜的架構，基于IoP 系統的可靠性分析十分復雜但具有重要研究意義。

1.2 基于模型的可靠性建模及評估方法

MBDA 方法已被廣泛應用于不同領域復雜系統的可靠性分析中。在航空航天系統領域，文獻［17］提出基于模型的安全性分析方法，通過將故障模型嵌入架構模型中為系統提供一種自動化的安全性分析。在信息物理系統領域，文獻［18］提出一種基于AADL 的可靠性分析方法，通過對AADL 及其附件進行拓展實現了對系統的建模及分析。在醫療系統領域，文獻［19］提出一種基于AADL 模型轉換的可靠性分析方法，通過模型轉換技術將AADL 可靠性模型轉換成雙圖誤差傳播模型［20］，實現了對醫用檢查設備的可靠性分析。本文將采用MBDA 方法對IoP 系統進行可靠性評估。

目前已有多種建模語言能實現MBDA 方法，本文針對嵌入式實時、汽車電子、航空航天等系統領域的建模語言，即UML、SysML、EAST-ADL 和AADL，從能否滿足IoP 系統可靠性建模和評估需求，以及能否提供高效的可靠性分析環境2 方面進行對比。在架構建模方面，UML 雖然提供了架構和行為模型圖，并可建模軟件系統，但無法描述IoP 系統軟硬件的綁定、分配等行為；SysML、EAST-ADL 和AADL均能詳細地描述軟硬件交互行為，且均能對IoP 系統的實時動態行為進行分析，但SysML 在分析多層級系統的架構時，無法將各層架構模型統一；EASTADL 是嵌入式汽車電子系統的專用建模及分析語言，而AADL 包含了更豐富且通用的軟硬件組件以及動態行為建模功能，所以AADL 更適合分析IoP 系統的架構和動態行為。在可靠性分析方面，AADL的EMA 附件能完善地建模故障模型并結合FTA 和FHA 等分析方法對IoP 系統進行詳細的可靠性評估。在集成環境方面，AADL 的開發平臺OSATE 為評估IoP 系統可靠性提供了高效的環境。因此，AADL 可以實現IoP 系統的可靠性建模，并能夠為評估系統故障的根本原因和危險奠定基礎。

由于IoP 系統的狀態轉變過程存在轉移概率，且該過程僅受當前狀態的影響，因此IoP 系統的故障符合馬爾科夫過程。另外，由于IoP 系統具有實時和動態的特性，因此需要一種方法能在連續時域內對系統進行可靠性評估。文獻［21］提出一種基于CTMC的可靠性分析方法，并在連續時域內對某智能電網系統進行了定量分析。文獻［22-23］提出了基于CTMC 的可靠性分析方法，并對嵌入式系統進行了定量分析。上述研究表明，CTMC 能在連續時域內定量分析系統的可靠性，所以本文將采用CTMC 評估IoP 系統的動態和實時特性。

CTMC 模型定義為如式（1）所示的四元組：

其中：S表示組件的有限狀態空間集，Sm?S，且S0∈Sm，S0表示初始狀態，對應IoP 系統中組件的初始狀態，Sm表示故障狀態的有限空間子集，對應IoP 系統中組件的故障狀態；T?Sm×Sm表示狀態轉移集合，對應IoP 系統中組件的狀態轉變；M=［λij］（λij∈［0，1］）表示狀態轉移矩陣，λij表示狀態si到狀態sj（si，j∈Sm）的轉移概率；P=［P0（t），P1（t），…，Pi（t）］表示組件的概率向量，其中Pi（t）為組件在t時刻處于狀態si下的概率。初始條件為Pi（t=0）=1，i=0，當Pi（t=0）=0，i≠0時，說明組件開始處于S0狀態下。求解系統整體的可靠度的步驟如下：

1）根據系統故障的轉移集合和概率，生成對應的狀態轉移矩陣M。

2）構建如式（2）的時域微分方程，并通過Laplace 變換和反演［24］，解得穩態下的概率Pi（t），最終得到式（3），即IoP 系統整體的可靠度，其中N和m為系統所有非故障終態數。

上述研究為本文定量分析IoP 系統可靠性提供了一定基礎，但IoP 系統架構復雜、數據量龐大，若直接采用上述方法對IoP 系統進行評估，需要構建系統的CTMC 模型，這將產生CTMC 狀態空間爆炸的問題，所以需要一種CTMC 定量評估算法能基于AADL 構建的IoP 系統可靠性模型進行自動分析。文獻［25］提出一種Ocarina 的模型轉換技術，該模型轉換技術以抽象語法樹（AST）的形式實現了對系統架構模型的轉換，但無法對系統故障模型進行轉換。文獻［26］針對上述研究進行了改進，實現了對系統可靠性模型的轉換，但轉換結果不包含CTMC 模型。本文提出的可靠性評估方法結合改進的Ocarina 模型轉換技術將AADL 可靠性模型轉換為CTMC 模型，實現了自動的CTMC 定量評估。

2 基于AADL 的可靠性評估方法

文獻［27］提出一種基于模型的IoP 系統可靠性分析方法，該方法通過對系統的架構和故障進行建模，最終采用狀態機和FMEA 對系統可靠性進行評估。本文考慮了IoP 系統實時和動態特性，提出基于AADL 的IoP 系統可靠性評估方法。該方法不僅能對系統的架構和故障行為進行完善地建模，而且還能對系統的動態行為進行模式建模，最后從定性和定量兩個角度進行可靠性評估。圖2 所示為本文方法的框架，該方法被分為A、B 兩個部分，A 部分為基于AADL 的IoP 系統可靠性建模的過程，B 部分為可靠性分析的過程。

圖2 基于AADL 的IoP 系統可靠性分析方法框架Fig.2 IoP system dependability evaluation method framework based on AADL

2.1 基于AADL 的IoP 系統可靠性建模

基于AADL 的IoP 系統可靠性建模過程（如圖2中A 部分）分為以下4 步：

步驟1基于AADL 的IoP 系統架構建模。由于IoP 系統具有多層架構，需要先分解組件實體，再根據不同組件實體定義其內部的拓撲結構、功能和行為。以下為具體分析流程：

1）抽象IoP 系統的架構層次，橫向劃分為軟件和硬件等類別，縱向由子組件組成，由此劃分出組件實體。其中復合組件為系統、子系統、進程和線程等，不可再分組件為設備和子程序等，每個實體都與AADL 中的組件類型對應。

2）抽象組件類型的功能和實現。其中功能被表示為組件的端口、屬性和數據流。組件類型的實現，定義了綁定、調用、連接等交互行為。

步驟2基于BA 的IoP 系統動態行為建模，即基于第1 步的系統架構模型，利用AADL 的MODE 和BA建模IoP 系統的動態行為。具體的分析流程如下：

1）將系統動態行為抽象為具體的操作模式。不可再分組件的模式表示為屬性和行為，如時間的延遲和操作的執行。復合組件的模式表示為子組件的連接方式。

2）建模系統的模式轉換，并將組件的屬性、工作模式及其子組件連接方式的變化，作為觸發轉換的條件。

3）根據模式建模，利用附件BA描述模式轉換邏輯，并描述轉換所導致的時延、行為操作等產生的影響。

步驟3根據步驟1、2 構建的動態架構模型，利用EMA 對IoP 系統進行故障建模。故障建模主要是對故障的行為、傳播、類型等建模。詳細的分析過程如下：

1）聲明故障行為庫，并定義故障類型、事件、狀態。

2）進行故障建模。首先采用組件錯誤行為狀態機對組件的故障傳播源和路徑進行建模和分析。然后描述故障狀態的轉變以及觸發轉變的事件，并為故障指定傳出端口以及設置屬性，如概率和風險等。然后采用復合錯誤行為狀態機為復合組件映射其子組件的故障邏輯。

3）操作模式到故障狀態的映射。由于系統操作模式的變化與系統實際配置的變化相關，而系統的故障會引發配置變化，因此將操作模式與故障狀態相映射，使兩者具有關聯和實際意義。

步驟4將生成一個包含架構、動態行為和故障行為的可靠性模型，并完成了圖2 中A 部分。最終生成可靠性模型文件（.aadl 和.aadxl2），為之后自動地進行可靠性分析提供基礎。

2.2 可靠性分析

可靠性分析過程（對應圖2 中B 部分）分為以下3 步：1）基于FTA 和FHA 的定性可靠性分析；2）基于CTMC 模型的定量可靠性分析；3）判斷系統是否滿足可靠性需求。

2.2.1 基于FTA 和FHA 的定性可靠性分析

本節介紹基于FTA 和FHA 的定性可靠性分析，首先以文件“.aadxl2”為輸入，利用OSATE 平臺自動生成FTA 圖和FHA 表。FTA 自頂向下逐層進行演繹分析，為評估系統故障的根本原因提供了幫助。FHA 以組件為關注點，對故障嚴重度（Severity）和發生頻率（Likelihood）進行了分類，并詳述了故障模式（Failure mode）和故障發生階段（Phase）等信息。另外，FHA 將嚴重度分為“1～5”5 個遞減的程度，并將發生頻率分為“A～E”5 個遞減的等級，這些級別的劃分允許以定性的方式來分析和確定FHA 結果。具體的分析過程如下：

1）根據FTA 生成結果，采用邏輯表達式的形式分析頂事件的故障，然后進一步根據FTA 逐層簡化邏輯表達式，最終可以確定某些關鍵組件的故障組合是導致系統故障的根本原因。

2）利用FHA 評估關鍵組件的故障風險。首先分析故障的嚴重度和頻率，然后根據故障模式和發生階段等信息來評估風險，最后結合FTA 結果確定優先處理順序，并在合適的階段制定系統架構調整方案。

2.2.2 基于CTMC 模型的定量可靠性分析

本節提出基于CTMC 定量評估算法，首先將IoP系統可靠性模型轉換為CTMC模型并進行自動定量分析，然后生成IoP 系統空間樹，其根節點包含子系統和進程（中間層組件）的故障信息，最后求解所有路徑的概率，得到IoP 系統的可靠度，從而完成基于CTMC 模型的定量可靠性分析。詳細的算法如下：

算法1基于CTMC 的定量評估算法

輸入可靠性模型（.aadl 文件）

輸出系統可靠度R（t）

步驟1利用Ocarina 將AADL 可靠性模型轉換為對應的C/C++源代碼文件。

步驟2接收Ocarina 轉換的組件故障數據，并生成CTMC 模型。首先利用接收函數Receive（Components，S，T，λ，P，M）接收組件數據并處理為CTMC 類型的數據結構，其中：參數Components 表示組件ID；參數S表示組件的故障狀態；T表示組件故障狀態的轉換邏輯，它記錄了狀態轉換和故障事件（故障事件包含了組件內的子部件的故障）；λ表示故障轉換概率；P表示組件穩態概率；M表示故障轉移矩陣。然后利用存儲函數Memory（R（），Status）保存組件的CTMC 模型，其中參數Status 表示組件處理狀態，R（）保存接收函數中的組件信息。

步驟3判斷組件類型并生成對應的空間樹。首先利用判斷函數Judge（R（））從Memory（）調用組件的信息，然后判斷所接收組件的類型，若為進程或子系統且處理狀態為未處理，則將組件信息輸出。接著利用空間樹生成函數GenerateTree（Root（），Path［］）接收Judge（）輸出的組件故障信息，并按照故障轉移邏輯T，由上至下生成樹，直至其內部的子組件均被生成在分支中，其中根節點Root（）保存該組件的故障數據，解路徑集Path［］保存根節點的T。

步驟4求解根節點的概率。首先利用轉移矩陣生成函數GenerateMatrix（S，T，λ），并遍歷GenerateTree（）中的根節點的空間樹，接收對應的故障信息以生成轉移矩陣M。然后利用Laplace 變換和反演函數，即LT（P，M）和ILT（P，M），接收M并求解式（2）的方程，并將解得的P返回給Memory（），以更新對應組件的故障信息和狀態。

步驟5將步驟3、4 作為循環體，從中間層組件向下處理IoP 系統所有子組件。首先遍歷Memory（）中的進程類組件并調用循環處理，然后遍歷子系統類組件并執行循環處理，最后將IoP 系統所有子系統節點的概率結果求和，即可求得系統整體可靠度R（t）。

結合上述定性和定量分析，在第4 步對系統可靠性進行綜合評估，以判斷系統是否滿足可靠性需求，若不滿足需求，則需要重新調整系統架構，直至滿足需求。

3 案例分析

3.1 基于AADL 的IoP 醫療系統可靠性建模

在實際應用中，本文將以IoP 醫療系統為案例來描述基于AADL 的可靠性建模過程。

3.1.1 基于AADL 的IoP 醫療系統架構建模

本節基于AADL的IoP醫療系統架構建模，并將系統架構抽象為4層，即系統、子系統、進程、線程。圖3所示為2層AADL架構建模結果（對應圖2），其中4個外層系統模塊分別對應W 系統、E 系統、N 系統和C 系統。

圖3 IoP 醫療系統的AADL 架構Fig.3 AADL architecture for IoP healthcare system

W 系統主要包含傳感器（S_HB 和S_AC 等）、數據處理子系統（Pro_subsystem）和藍牙模塊（BT_subsystem 和Hard_BT），其中傳感器接收用戶數據并傳遞給處理系統進行處理，之后由藍牙模塊輸出。E 系統主要包含緊急通信模塊（EmAlert_subsystem 和 EmAlert_Com）、遠程通信設備（FEnd_Com）和服務子系統（例如RTProposal_subsystem），當用戶面臨危險時，緊急通信模塊從W系統收到用戶數據并向醫院和家屬發出求助信號。在日常情況下，服務子系統為用戶提供健康檢測和智能推薦服務，并通過遠程通信設備與C 系統交互以獲得大數據服務等。N 系統主要包含協議處理系統（Rec_subsystem 和Send_subsystem）。C 系統主要包含基礎設施（IaaS）、平臺（PaaS）和服務（SaaS）3 個子模塊，其中IaaS 包含存儲控制模塊（Sctrol_subsystem 和CPUs）和冗余存儲集群模塊（data_base），PaaS 包含了分布式數據庫的核心系統（例如HBASE_subsystem 和HDFS_subsystem），SaaS 包含了大數據服務子系統（例如BDanalysis_subsystem）。通過遠程網絡連接，C 系統可與E 系統進行交互并反饋大數據和人工智能服務。

3.1.2 基于AADL 的IoP 醫療系統模式和故障建模

本節對IoP 醫療系統的操作模式和故障模型建模。首先建模操作模式，Normal_operate（N）為初始模式表示系統正常工作，Softtolerant_limit（S）和Hardtolerant_limit（H）表示系統以最大限度容忍軟、硬件故障且能正常工作的模式，此時各子系統中至少包含1 個可作為備份使用的冗余件，Stops 為終止模式，表示系統停機。圖4 展示了模式建模結果，其中虛線表示觸發模式轉變的條件，箭頭表示模式轉變，即系統配置的動態調整。當IoP 醫療系統某軟硬件出現故障時，系統將啟動冗余組件以排除故障，之后系統將從N 模式轉為S 或H 模式。如果此時軟硬件容錯機制執行失敗，則說明系統中軟硬件組件的故障已超出系統可容忍范圍，系統將強制進入Stops模式并停止工作。最后將操作模式與故障行為映射，使故障能觸發模式轉變。

圖4 IoP 醫療系統的操作模式Fig.4 Operation mode for IoP healthcare system

圖5 展示了IoP 醫療系統的組件錯誤行為狀態機，IoP 系統最初處于Operational 狀態。當W 子系統發生EmergFailure 故障時，IoP 醫療系統由初始態轉變為DefectStop 終態，一旦處于該狀態，系統將傳出Nodata 事件并保持等待，表示數據接收異常。當C子系統發生Nodata 故障時，IoP 醫療系統將從初始態轉變為Inadequate 等待終態，之后系統保持該狀態并傳出NoService 事件，表示某些云平臺服務缺失。當C 子系統發生PaaS_degraded 故障時，IoP 醫療系統由初始態轉變為Soft_degraded 中間狀態，若此時再發生IaaS_degraded 故障，系統將轉變為Hard_degraded 狀態，表示云平臺中某些軟硬件發生故障。若 C 子系統全部軟硬件均失效，則發生ServiceOmission 故障，導致IoP 醫療系統陷入SeriousStop 終止狀態，此時系統將傳出ServiceOmission 事件并停止運行。在初始狀態時，若W、E 和N 子系統中任何1 個發生ServiceOmission故障，IoP 醫療系統將直接陷入SeriousStop 終止狀態，表示系統的接收、處理或網絡等關鍵功能失效。圖6 為EMA 建模的文本實現，EMA 將故障模型嵌入到架構模型中，最終完成IoP 醫療系統的可靠性建模，即完成圖2 中A 的實現。

圖5 IoP 醫療系統的錯誤行為狀態機Fig.5 Error behavior state machine for IoP healthcare system

圖6 IoP 醫療系統的EMA 文本實現Fig.6 Text implementation of EMA for the IoP healthcare system

3.2 可靠性分析

從以下兩方面進行可靠性分析：1）利用FTA和FHA 進行定性分析；2）采用CTMC 進行定量分析。

3.2.1 基于FTA 和FHA 的可靠性定性分析

圖7～圖9 分別展示了OSATE 根據復合錯誤行為狀態機自動生成3 個狀態的FTA 表，即DefectStop（D）狀態、Inadequate（I）狀態和SeriousStop（S）狀態。

圖7 IoP 醫療系統DefectStop 狀態下的故障樹Fig.7 Fault tree for the DefectStop state of the IoP healthcare system

圖8 IoP 醫療系統Inadequate 狀態下的故障樹Fig.8 Fault tree for the Inadequate state of the IoP healthcare system

圖9 IoP 醫療系統SeriousStop 狀態下的故障樹Fig.9 Fault tree for the SeriousStop state of the IoP healthcare system

頂事件T1、T2和T3對應IoP 醫療系統處于D、I 和S狀態時的事件。由FTA 生成結果可知，引起T1的根本原因是W 系統的心跳傳感器發生故障；引起T2的根本原因為C 系統內的SaaS 模塊發生故障；引起T3，即IoP系統嚴重故障的主要原因是W 系統、E 系統、N 系統或C 系統發生了故障，式（4）為上述邏輯分析結果。對結果進一步分析可知，心跳傳感器、W 系統、E 系統和N 系統的失效會使IoP 醫療系統立即失去信息收集、分析以及緊急通信功能，進而導致系統癱瘓。因此需要著重處理這部分組件的故障。在實際情況中，C 系統不涉及緊急服務，可為該系統設置容錯機制。

表1 所示為一部分重要的FHA 結果，由FHA 表中故障嚴重度Severity 可知，S_HB 傳感器危險等級為1 級，E 系統的2 個通信設備EmAlert_Com 和FEnd_Com 的危險等級均為2 級，這些組件的危險等級高。S_AC 傳感器的危險等級為3 級，其嚴重度相對較低。分析Likelihood 和Phases 兩項可知，上述組件具有發生頻率低影響時間長的特性，所以需要重點預防這些硬件的故障，特別是要在早期設計階段考慮雙重備份設計。結合FTA 和FHA 可知，W 系統和E 系統故障的危險等級高且屬于關鍵系統，所以需要優先處理。其中傳感器和緊急通信模塊的故障可能直接導致用戶信息丟失和緊急通信失效，進而造成重大影響。因此在設計傳感器時可增加冗余結構，在設計通信模塊時可增加獨立供電系統。另外也不可以忽視其他系統故障影響，若無法正確地分析用戶狀態，同樣會造成重大危害。

表1 IoP 醫療系統的部分FHA 分析結果Table 1 Partial FHA analysis results for the IoP healthcare system

3.2.2 基于CTMC 的可靠性定量分析

基于CTMC 的定量分析算法評估IoP 醫療系統的可靠性，首先利用Ocarina 將系統的可靠性模型轉換為CTMC 模型，并生成對應的空間樹抽象結構，最后得到系統的轉移矩陣M和式（2）的解。式（5）～式（7）所示為系統處于N 模式、S 模式和H 模式下的概率分布。

其中：W 系統的故障轉移率為λW_D和λW_F；E 系統的故障轉移率為λE_F；N 系統的故障轉移率為λN_F；C 系統的故障轉移率為λC_F、λC_I_D、λC_P_D和λC_In。系統整體的可靠度計算式如式（8）所示：

如圖10（a）、圖10（b）分別展示了系統處于各模式及其整體的概率分布情況，結合FTA 和FHA 進行定性分析。在IoP 醫療系統生命周期早期，經過評估已確定傳感器和通信設備為關鍵故障組件。通過對其進行更換和維修使系統能可靠運行，之后系統整體故障率穩定為1×10-5，則系統整體及其初始工作模式（N 模式）的概率分布為指數分布。N 模式的概率隨時間增長而不斷下降，表明系統因故障而無法繼續以N 模式運行，此時IoP 醫療系統通過轉變為S 或H 模式來容忍自身軟硬件故障，以確保系統運行平穩。S 和H 模式的概率在其早期隨N 模式概率下降而增長，表示系統通過容錯機制不斷排除自身故障。之后達到最高點0.5，表示系統進入生命周期中期且穩定運行。在18 000 h 后IoP 醫療系統整體可靠度及S 和H 模式的概率快速下降至0，說明此時系統容錯能力達到極限且某些元器件逐步老化。為進一步提升系統可靠性，本文在系統生命周期早期將傳感器和通信設備更換成更可靠的組件（故障率為1×10-6），并為W、E 等子系統設置冗余容錯機制。

圖10 IoP 醫療系統架構調整前在不同情況下的概率分布Fig.10 Probability distribution under different conditions of the IoP healthcare system before adjusting

如圖11（a）、圖11（b）所示，IoP 醫療系統整體可靠度在18 000 h 后仍下降緩慢，且系統在S 和H 模式下的概率也比組件故障率為1×10-5時更高，可見經架構調整后元器件后期老化等故障降低，系統容錯能力提升。綜上，本文提出的可靠性分析方法將定性與定量分析相結合，不僅能夠評估系統故障的根本原因和危險，還可以評估系統概率分布的原因以及實時變化的情況，并提出架構調整方案，從而提升IoP 醫療系統整體及各模式的可靠性，最終實現了圖2 中B 部分。本文還采用MATLAB 對系統各模式及整體的CTMC 時域微分方程進行求解，以驗證式（5）～式（7），并采用MATLAB 數值求解法即龍格-庫塔法驗證概率計算結果，從而確保實驗的準確性。

圖11 IoP 醫療系統架構調整后在不同情況下的概率分布Fig.11 Probability distribution under different conditions of the IoP healthcare system after adjusting

4 結束語

針對IoP 系統實時、動態的特性，本文提出一種基于AADL 的IoP 系統可靠性評估方法。構建IoP系統的可靠性模型，從定性和定量兩方面評估系統的可靠性，并提出基于CTMC 的定量評估算法，實現對系統實時、動態等特性的評估。此外，將定性與定量分析相結合，為系統傳感器和通信模塊設計冗余、替換等架構調整方案。實驗結果表明，本文方法能對IoP 系統進行有效建模，且能自動、準確地對該系統進行可靠性分析。下一步將針對本文IoP 系統的網絡部分設計詳細的拓撲結構，并拓展系統的應用場景，提高該系統的完整性和通用性。另外，本文使用AADL 的MODE 對系統的動態行為進行了建模，后續將考慮拓展其屬性集，使之在目前的基礎上能針對時間變遷等動態特性進行建模與分析。