Кибер-физические системы должны быть надежными. Многие кибер-физические системы являются критическими с точки зрения безопасности и, слоедовательно, должны быть безопасными. Атомные электростанции являются примерами критических с точки зрения безопасности систем, которые, по меньшей мере, частично управляемы программным обеспечением. Надежность, однако, также имеет важное значение и в других системах, таких как автомобили, железнодорожные вагоны, самолеты и т.д.
Одной из основных причин критичности с точки зрения безопасности является то, что эти системы напрямую связаны с физической средой и оказывают непосредственное влияние на окружающую среду.
Надежность включает в себя следующие аспекты системы:
1 Достоверность: Достоверность является вероятностью того, что система не даст сбой.
2 Ремонтопригодность: Ремонтопригодность является вероятностью того, что система, давшая сбой, может быть восстановлена в течение определенного периода времени.
3 Доступность: Доступность является вероятностью того, что система доступна.
Как достоверность, так и ремонтопригодность должны быть высокими чтобы достичь высокой доступности.
4 Безопасность: Этот термин описывает свойство, заключающееся в том, что система не причинит вреда.
5 Сохранность: Этот термин описывает свойство, заключающееся в том, что конфиденциальная информация остается конфиденциальной и что гарантируется подлинная коммуникация.
У разработчиков может возникнуть соблазн сосредоточения только на функциональности систем на начальном этапе, при условии, что надежность может быть добавлена после того, как разработка пущена в эксплуатацию.
Как правило, этот подход не работает, так как некоторые проектные решения не позволяют достичь требуемой надежности впоследствии.
Например, если физическое разделение сделано неправильным образом, избыточность может оказаться невозможной. Таким образом, «обеспечение системы надежностью не должно быть запоздалым раздумьем», оно должно рассматриваться с самого начала [Копец, 1997].
Даже прекрасно разработанные системы могут дать сбой, если предположения о рабочей нагрузке и возможных ошибках окажутся неверными. [Копец, 1997]. Например, система может дать сбой, если она работает за пределами первоначально предполагаемой температуры. Встроенные системы должны быть эффективными. Следующие показатели могут быть использованы для оценки эффективности встраиваемых систем:
1 Энергия: Эффективность вычислительной энергии является ключевой характеристикой технологий исполняющей платформы. Сравнение между технологиями и изменениями с течением времени (что соответствует определенной технологии изготовления) можно увидеть на рис. 1.4. (приблизительная информация, предоставленная Н. Де Маном [Ман, 2007] и на основе информации, предоставленной Phillips).
Очевидно, что число операций на джоуль возрастает, так как технологии переходит на все меньшие и меньшие размеры интегральных схем. Тем не менее, для любой данной технологии, количество операций на джоуль является самым крупным для интегральных схем специального назначения (ASIC).
Для логики реконфигурации, как правила, представленной в форме области программируемых пользователей вентильных матриц (FPGA, см. стр. 152), это значение примерно на порядок выше. Для программируемых процессоров оно еще ниже. Тем не менее, процессоры предлагают наибольшую гибкость как результат гибкости программного обеспечения. Существует также гибкость для реконфигурируемой логики, но она ограничена размером приложений, которые могут быть сопоставлены с такой логикой. Для проводных конструкций нет гибкости. Компромисс между гибкостью и эффективностью также относится к процессорам: для процессоров, оптимизированных для домена приложения, таких как процессоры, оптимизированные для цифровой обработки сигналов,.
В этом контексте операции могут быть 32-разрядными дополнениями.
(DSP), эффективные с точки зрения мощности, приближаются к реконфигурируемой логике.
Для общих стандартных микропроцессоров значения для этого коэффициента добротности являются наихудшими.
Как правило, мы можем рассматривать такие устройства, как смартфоны в качестве ограниченных потребляемой мощностью около двух ватт, и около половины этого питания требуется для радиочастотных (РЧ) передач, дисплеев и аудио усилителей, в то время как около 1 Вт остается для вычислений. Это ограничение обусловлено как доступной технологией батареи и необходимостью держать устройство в комфортной температуре. Совершенствование технологии батареи позволит нам потреблять энергию в течение более длительных периодов времени, но тепловое ограничение не позволяет нам значительно превосходить два ватта в ближайшее время. Конечно, большой расход энергии возможен для больших устройств. Тем не менее, экологические проблемы также приводят к необходимости сохранения энергопотребления на низком уровне. Вычислительные требования увеличиваются быстрыми темпами, особенно для мультимедийных отношений. По оценкам De Man и Philips, передовые мультимедийные приложения нуждаются в примерно от 10 до 100 миллиардов операций в секунду. Рис. 1.4 показывает, что передовые аппаратные технологии представляют нам такое количество операций на джоуль. Это означает, что большинство эффективных платформенных технологий вряд ли обеспечивают необходимую эффективность. Это также означает, что мы действительно должны использовать все источники эффективных улучшений. Стандартные процессоры (записи о MPU и RISC) безнадежно неэффективны.
Такая ситуация приводит к прогнозам (см., например, Международный план по развитию полупроводниковой технологии [IRTS Organization, 2009]), предсказывающим, что доступность энергии будет ключевым ограничением для новых мобильных приложений. Согласно этому плану, «…эти тенденции означают, что производительность вычислений, в некоторой подходящей метрике, должна быть увеличена на один-два порядка к 2020 г. В этой связи возникает вопрос о том, какова максимально достижимая производительность на джоуль и предполагается сближение между теорией информации и термодинамики.»
Эффективность времени прогона: встроенные системы должны использовать имеющуюся аппаратную архитектуру в максимально возможной степени.
Недостатков в результате неисправных приложений для построения схем на платформах, следует избегать. Например, составители не должны вводить накладные расходы, так как это приведет к трате энергии и, возможно, более высоким, чем необходимо, тактовым частотам.
Строго говоря, мы на самом деле не «потребляем» энергию или тесно связанную с ней энергию. Скорее всего, мы преобразовываем электрическую энергию в тепловую энергию. Тем не менее, электрическая энергия действительно исчезает.
Размер кода: Выполняемый на встроенных системных устройствах динамически загруженный дополнительный код по-прежнему является исключением и ограничивается случаями смартфонов и телевизионных приставок. Это, вероятно, останется исключением из-за проблем ограниченной связи и безопасности. Таким образом, чтобы код работал на встроенной системе, как правило, он должен быть сохранен вместе с системой. Обычно, для этого не существует жестких дисков. Поэтому размер кода должен быть настолько мал, насколько это возможно для предполагаемого приложения. Это особенно актуально для внутрисхемных систем, систем, для которых все схемы обработки информации находятся на одном чипе. Если память команд должна быть интегрирована на этот чип, он должен быть использован очень эффективно. Тем не менее, важность этой цели разработки может измениться, когда большая плотность памяти (измеряется в битах на единицу объема) становится доступной. Память на основе флэш-технологи будет иметь большое влияние.
Вес: Все портативные системы должны быть легкими. Низкий вес часто является важным аргументом для покупки конкретной системы.
Стоимость: Для больших объемов встраиваемых систем на массовых рынках, особенно в области потребительской электроники, конкурентоспособность на рынке является чрезвычайно важным вопросом, и требуется эффективное использование аппаратных компонентов и бюджет разработки программного обеспечения. Минимальное количество ресурсов должно быть использовано для реализации требуемой функциональности. Мы должны быть в состоянии удовлетворить требования, используя наименьшее количество аппаратных ресурсов и энергии. Для того, чтобы уменьшить потребление энергии, тактовые частоты и напряжение питания должны быть как можно меньше. Также только необходимые аппаратные компоненты должны присутствовать. Компоненты, которые не улучшают время случая самого неблагоприятного варианта (как, например, много кэшей или блоков управления памятью) часто могут быть опущены.
Часто встроенные системы подключены к физической среде посредством датчиков сбора информации об этой среде и исполнительных механизмов, контроллирующих эту среду.
Определение: Исполнительные механизмы представляют собой устройства, преобразующие числовые значения в физические эффекты. Это ссылка на физическую среду также мотивирует введение термина «кибер-физическая система». Обучение встроенным системам делает упор на программирование микроконтроллеров, часто пренебрегая этой ссылкой. В связи с этим, новый термин позволяет «освободить» проектирование встроенных систем от программирования микроконтроллеров.
Многие кибер-физические системы должны соответствовать ограничениям в режиме реального времени. Невыполнение вычислений в установленные сроки может привести к серьезной потере качества, обеспечиваемого системой (например, если страдает качество аудио или видео) или может причинить вред пользователю (например, если автомобили, поезда или самолеты не работают исправно). Некоторые ограничения по времени называются жесткими временными ограничениями:
Определение: «Ограничение по времени называется жестким, если невыполнение ограничения может привести к катастрофе». [Копец, 1997].
Все остальные временные ограничения называются мягкими ограничениями по времени.
Многие современные системы обработки информации используют методы обработки информации для ускорения обработки информации в среднем.
Например, кэши повышают среднюю производительность системы. В других случаях, надежная коммуникация достигается путем повторения определенных передач. Эти случаи включают в себя протоколы Ethernet: они обычно полагаются на повторную передачу сообщений всякий раз, когда исходные сообщения утеряны. В среднем, такие повторения приводят к небольшой потере производительности, даже если для определенного сообщения задержка связи может быть на порядок больше чем у нормальной задержки. В контексте систем реального времени, аргументы о средней производительности или задержке не могут быть приняты.
«Гарантированный ответ системы должен быть объяснен без статистических аргументов» [Копец, 1997].
Как правило, встроенные системы являются реактивными системами. Они могут быть определены следующим образом:
Определение: «Реактивная система – эта та, что находится в постоянном взаимодействии со своей средой и темп которой определяется этой средой.» [Бергритал, 1995].
Реактивные системы можно рассматривать как находящиеся в определенном состоянии в ожидании входных данных.
Для каждых входных данных они выполняют некоторые вычисления и генерирует выходные данные и новое состояние. Поэтому автоматы являются очень хорошими моделями таких систем. Математические функции, которые описывают проблемы, решаемые большинством алгоритмов, были бы неуместной моделью. Многие встроенные системы являются гибридными системами в том смысле, что они включают в себя аналоговые и цифровые части.
Аналоговые части используют непрерывные значения сигнала в непрерывном времени, в то время как цифровые части используют дискретные значения сигнала в дискретное время.
Большинство встраиваемых систем не используют клавиатуры, мыши и большие компьютерные мониторы для своего пользовательского интерфейса. Вместо этого есть специальный пользовательский интерфейс, состоящий из кнопок, рулевого колеса, педалей и т.д.
Из-за этого пользователь вряд ли распознает процесс обработки информации.
В связи с этим, новая эра вычислений также характеризуется термином исчезающего компьютера.
Эти системы часто привязаны к определенному приложению.
Например, процессоры, запускающее программное обеспечение для контроля в автомобиле или поиска всегда запускают это программное обеспечение, и нет попыток запустить компьютерную игру или программу электронных таблиц на том же процессоре.
На это есть, в основном, две причины:
1 Выполнение дополнительных программ сделали бы эти системы менее надежными.
2 Запуск дополнительных программ является единственно возможным, если такие ресурсы, как память, не используются. Неиспользованные ресурсы не должны присутствовать в эффективной системе. Однако ситуация постепенно меняется для таких систем, как смартфоны.
Смартфоны становятся все более похожими на ПК, и вряд ли их можно назвать кибер-физическими системами. Кроме того, ситуация становится немного более динамичной в автомобильной промышленности, как продемонстрировано по инициативе AUTOSAR [AUTOSAR, 2010].
Встроенные системы недостаточно представлены в обучении и в публичных дискуссиях.
Одна из проблем в преподавании встраиваемых систем заключатся в комплексном оборудовании, которое требуется, чтобы сделать тему интересной и практичной.
Кроме того, реальные встроенные системы являются сложными и, следовательно, трудны в преподавании.
С учетом этого набора общих характеристик (за исключением последнего пункта), имеет смысл проанализировать общие подходы для проектирования встраиваемых систем, а не рассматривать различные области применения только изолированно.
На самом деле, не каждая встроенная система будет иметь все вышеуказанные характеристики. Мы можем определить термин «встроенная система» также следующим образом: Системы обработки информации, соответствующие большинству перечисленных выше характеристик, называются встроенными системами. Это определение имеет некоторую размытость. Тем не менее, устранение этой размытости не кажется ни необходимым, ни возможным.
Пишу хлёсткие психологические тексты. Как крепкий кофе: горчат, бодрят и приводят в чувства. Остро, честно и без купюр. Для тех, кто хочет взглянуть себе и миру прямо в глаза.
