1、汽 車 CPS 原 理 介 紹CPS 介紹信息物理系統(tǒng) (CPS , Cyber Physical Systems ) 是一個綜合計 算、網(wǎng) 絡(luò)和物理環(huán)境的多維復(fù)雜系統(tǒng)，通過 3C ( Computation 、 Communication 、Control ) 技術(shù)的有機(jī)融合與深度協(xié)作，實現(xiàn)大型 工程系統(tǒng) 的實時感知、動態(tài)控制和信息服務(wù)。 CPS 實現(xiàn)計算、通信 與物理系統(tǒng)的一體化設(shè)計，可使系統(tǒng)更加可靠、高效、實時協(xié)同，具 有重要 而廣泛的應(yīng)用前景。 CPS 應(yīng)用于環(huán)境感知、嵌入式計算、網(wǎng) 絡(luò)通信和網(wǎng)絡(luò) 控制等系統(tǒng)工程，使物理系統(tǒng)具有計算、通信、精確控 制、遠(yuǎn)程協(xié)作和自治 功能。它注重計算資

2、源與物理資源的緊密結(jié)合與 協(xié)調(diào)。CPS 是可能是一個分布式異構(gòu)系統(tǒng)，他不僅包含了許多功能不 同的子 系統(tǒng)，而且這些子系統(tǒng)之間結(jié)構(gòu)和功能各異， 而且分布在不同 的地理范圍 內(nèi)。各個子系統(tǒng)之間要通過有線或無線的通信方式相互協(xié) 調(diào)工作。CPS 具有自適應(yīng)性、自主性、高效性、功能性、可靠性、安全性 等特點 和要求 CPS 是一個智能的有自主行為的系統(tǒng)， CPS 能夠從環(huán) 境中獲取數(shù) 據(jù)，進(jìn)行數(shù)據(jù)融合，提取有效信息，并且根據(jù)系統(tǒng)規(guī)則通 過效應(yīng)器作用于環(huán) 境。CPS 的意義在于將物理設(shè)備聯(lián)網(wǎng)，特別是連接到互聯(lián)網(wǎng)上，使 得物理 設(shè)備具有計算、通信、精確控制、遠(yuǎn)程協(xié)調(diào)和自治等五大功能。 CPS 本質(zhì) 上是一個

3、具有控制屬性的網(wǎng)絡(luò)，但它又有別于現(xiàn)有的控制 系統(tǒng)。 CPS 則把通信放在與計算和控制同等地位上，這是因為 CPSCPS強(qiáng)調(diào)的分布式應(yīng)用系統(tǒng)中物理設(shè)備之間的協(xié)調(diào)是離不開通信的 對網(wǎng)絡(luò)內(nèi)部設(shè)備的遠(yuǎn)程協(xié)調(diào)能力、自治能力、控制對象的種類和數(shù)量， 特別 是網(wǎng)絡(luò)規(guī)模上遠(yuǎn)遠(yuǎn)超過現(xiàn)有的工控網(wǎng)絡(luò)。美國國家科學(xué)基金會（NSF ）認(rèn)為， CPS 將讓整個世界互聯(lián)起來。如同互聯(lián)網(wǎng)改變了人 與人的 互動一樣， CPS 將會改變我們與物理世界的互動。汽車 CPS 原理介紹汽車 CPS ，簡單來說是指把 CPS 技術(shù)應(yīng)用在汽車上，以使汽車 更易于 駕駛，更安全。汽車產(chǎn)業(yè)經(jīng)過近百年的發(fā)展，隨著全球經(jīng)濟(jì)社會發(fā)生的巨大變 化，特

4、別 是由于油價高漲與溫室氣體排放引發(fā)的建立低碳經(jīng)濟(jì)的討 論、科技的發(fā)展使 得 IT 技術(shù)在汽車上的大量使用、全球城市化趨勢 加快。使得各國政府積極發(fā) 展城市交通。隨著用戶對汽車本身不斷提 出新功能的要求，使得汽車越來越 多的采用電子控制單元（ECU ）實現(xiàn) 整車的高安全可靠性、環(huán)保節(jié)能性和駕駛舒適性。而隨著ECU 功能的復(fù)雜化， ECU 軟件也越來越復(fù)雜，同時多個 ECU 單元信息的處理 產(chǎn)生的 數(shù)據(jù)將達(dá)到海量。同時城市交通需要發(fā)展智能交通系統(tǒng)（ In tellige nt Tran sport System ,ITS ）。這使得汽車 CPS 有重大的發(fā)展 前途。人類對汽車性能要求的提高以及智

5、能交通系統(tǒng)的建設(shè)，物理設(shè)備 （比如 ECU ）和信息系統(tǒng) （比如 ITS 中的信息電子系統(tǒng) ）的深度融合，海 量數(shù)據(jù)的處理，多維度復(fù)雜開放系統(tǒng)的建立等，使得汽車 CPS 的研 究與發(fā) 展成為汽車電子中物理設(shè)備系統(tǒng)發(fā)展的必然趨勢。汽車從基于 力學(xué)、化學(xué)的純物理系統(tǒng)變成了更復(fù)雜的嵌入電子元件和控制系統(tǒng)， 以提高性能和安全的 CPS (Cyber Physical System) 。汽車 CPS 是指用帶微處理器的實時輸入傳感器和分布在汽車的 不同部 件上的提供輸出的制動器等控制單元， 收集本車的實時信息或 其他車輛的信息，通過一個統(tǒng)一的網(wǎng)絡(luò)如控制局域網(wǎng) ( Co ntroller Area Net

6、work, CAN ) 來完成信息的交互，計算，并根據(jù)信息的反饋 來完成 對汽車的控制，使得汽車更易于駕駛，響應(yīng)更快，更安全，更 智能。汽車 CPS 要用到物聯(lián)網(wǎng)技術(shù)、嵌入式的技術(shù)、混成系統(tǒng)等技術(shù)。 汽車 CPS 不僅要關(guān)注本車的情況，如發(fā)動機(jī)溫度、排氣管狀態(tài)等情 況，然后由本 車網(wǎng)絡(luò)來完成信息的交流，然后反饋給汽車，還要關(guān)注 與其他汽車的距離， 所在位置的路況信息等情況，甚至每個汽車的 CPS 可以聯(lián)合起來構(gòu)建一個更 大的 CPS 網(wǎng)絡(luò)，不過這還要小心個人 隱私和信息的泄露。對于輸入輸出：汽車 CPS 的 I/O 取決于場景。汽車 CPS 的所獲 得或反 饋的信息取決于具體場景，如汽車要想在

7、節(jié)能或安全的前提下 改變速度，需 要獲取當(dāng)前的場景，汽車是上坡、下坡還是在平地，汽 車是在加速、減速還 是恒速，然后根據(jù)場景信息改變反饋。人與系統(tǒng)交互：汽車 CPS 實現(xiàn)“物理反饋”。在人與系統(tǒng)交互 方面， 與傳統(tǒng)的系統(tǒng)反饋信息不同的是，汽車 CPS 直接實現(xiàn)物理反 饋，如當(dāng)汽車要撞到其他東西的時候，汽車 CPS 的防碰撞系統(tǒng)和速 度操控器會直接起作用來減速或彈起安全氣囊來保護(hù)駕駛員， 即汽車CPS 直接以物理反饋來與人交互。信息系統(tǒng)的嵌入：汽車 CPS 實現(xiàn)開放控制。汽車 CPS 需要與物理系統(tǒng)進(jìn)行多層次的交互，所以需 要實現(xiàn) 開放控制。從對輪胎溫度、壓強(qiáng)、轉(zhuǎn)速的監(jiān)控到汽車的自動導(dǎo) 航、制動

8、，汽 車 CPS 需要對汽車的物理系統(tǒng)進(jìn)行多方面的監(jiān)控和采 集信息并反饋，汽車 CPS 收集的信息與物理系統(tǒng)息息相關(guān)，需要實 現(xiàn)開放控制。執(zhí)行方面：汽車 CPS 直接“實現(xiàn)意圖”。傳統(tǒng)的系統(tǒng) 只能執(zhí)行指令，而汽車 CPS 整合汽車 上的系統(tǒng)并集中加以控制，可 以直接實現(xiàn)駕駛員想要實現(xiàn)的意圖，而不是一 步步的執(zhí)行指令。汽車 CPS 的實現(xiàn)要實現(xiàn)汽車 CPS , 需要從物理系統(tǒng)、控制系統(tǒng)、軟件系統(tǒng)獨立設(shè) 計轉(zhuǎn)變 為各個系統(tǒng)集成的、優(yōu)化的設(shè)計。從缺乏工程和物理定律的信 息知識轉(zhuǎn)變對 CPS 有認(rèn)知并諳熟。從循環(huán)執(zhí)行和人機(jī)交互轉(zhuǎn)變?yōu)楦?度自動、自治、協(xié)調(diào)的 規(guī)模可變框架。從時間與空間分離的集中式處 理

9、信息裝備為聯(lián)邦式、分布 式、開放型、可重構(gòu)性的信息處理。同時 滿足：實時、安全、可靠，需要認(rèn) 證等性能。汽車 CPS 要用到：物聯(lián)網(wǎng)技術(shù)，尤其是其中的無線傳感技術(shù)來 監(jiān)控汽 車各 個部件的狀況和實時收集信息、嵌入式技 術(shù)：需要把各種傳感系統(tǒng)嵌入到汽車的物理系統(tǒng)中、混成系統(tǒng)技術(shù) ：混成系統(tǒng)中的許多模型和技術(shù)都可以作為CPS 實現(xiàn)時的借鑒 ， 比如離散事件模型、計算智能模型、博弈法等技術(shù)。汽車上的 CPS 有很多，如汽車電子控制系統(tǒng)，汽車發(fā)動機(jī)管理 系統(tǒng) Automotive Engine Management System(EMS) ，還有汽車 CPS 的改進(jìn)： HM-CPS 等。汽車 HM-C

10、PS在更大的人類移動的環(huán)境下，汽車 CPS 必須具更開放和更靈活。并 且需要 開發(fā)新的人類移動模式，關(guān)鍵隱私問題需要加以解決，保護(hù)日 益重要和普遍 的基于位置的數(shù)據(jù)。在過去，汽車的主要功能就是使人們高效的移動。而現(xiàn)在面臨的 主要挑 戰(zhàn)是建立安全可靠的車輛來滿足社會的流動性的內(nèi)在需要。 汽 車從先前不可能把人們帶到目的地，變成了把人們安全可靠的帶到目 的地。 科學(xué)技術(shù)的發(fā)展使得汽車變得越來越復(fù)雜。汽車從基于力學(xué)、 化學(xué)的純物理 系統(tǒng)變成了更復(fù)雜的嵌入電子元件和控制系統(tǒng)， 以提高 性能和安全的 CPS (Cyber Physical System).而日益增長的移動性的需求而給出的挑戰(zhàn)不能簡單的通

11、過提高 一個交通工具的技術(shù)來解決。而 Human Mobility CPS(HM-CPS) 可以 用來 解決這個問題。 HM - CPS 強(qiáng)調(diào)人的物理運動，無論是在個人和 總規(guī)模的網(wǎng) 絡(luò)通信，計算和傳感監(jiān)測和有效地確保周圍的物理環(huán)境中 的流動性的耦合。汽車系統(tǒng)能夠收集關(guān)于現(xiàn)實物理世界的信息。但是它們?nèi)狈κ占?關(guān)于它 們發(fā)展的全局環(huán)境信息的能力。局部的傳感器可以用來監(jiān)控汽 車的基礎(chǔ)部 件，如發(fā)動機(jī)溫度、部件的老化等，雖然這可以使得汽車 可靠，但對整個 CPS 的安全，路線規(guī)劃、基于位置的服務(wù)等只有有 限的作用。而汽車的自動 化很難避免交通事故如碰撞等。 盡管每一輛 車 都沒有關(guān)于當(dāng)前交通網(wǎng)狀況的

12、完整的信息， 但是每一輛車都可以提 供自己的 信息。所以問題的關(guān)鍵在于信息的交流。汽車的 HM-CPS :嵌入了人類。人類有三個任務(wù)： 1 感覺 2決定 3 評價。一個充分的 CPS 將整合使用者的要求的行駛方向和以前的 交通模型， 來讓嵌入的人來做更高級別的決定， 如選最快的路線還是 最短的路線。這一 問題不能忽視：嵌入的人類 HM 所產(chǎn)生的移動需要 和需要與虛擬基礎(chǔ)設(shè)施整 合的駕駛。五 . 汽車 EMS(Automotive Engine Management System)汽車上的 CPS 系統(tǒng)有很多，我們?nèi)∑渲械钠嚢l(fā)動機(jī)管理系統(tǒng)Automotive Engine Management

13、 System(EMS)作為汽車 CPS 的代 表來探討汽車 CPS 。一個 EMS 是由一組帶微處理器的實時輸入傳感器和分布在汽車 的不同部 件上的提供輸出的制動器組成。 這些單元的共同部分包括傳 輸控制器，牽引力控制，制動控制等。這些設(shè)備用一個控制局域網(wǎng)( Controller Area Network, CAN ) 來相互連接。 CAN 使得不同的 組件一起 工作來加強(qiáng)駕駛員的安全、使汽車更容易駕駛、響應(yīng)更快速。汽車 CPS 具有環(huán)境模糊性。汽車上的物理系統(tǒng)和信息計算系統(tǒng)的 相互作 用可能違反系統(tǒng)安全政策，導(dǎo)致無意識的信息流。而這種系統(tǒng) 的物理部分是 可觀察的，許多方法不適合用來保密。而

14、 CPS 的基本 特性帶來了新的安全挑戰(zhàn)。汽車上要保護(hù)的信息是汽車的控制者。 我 們用信 息流模型來分析這種情況。汽車的安全和隱私分為物理安全和信息安全。 其中物理安全包括 汽車 鎖、報警和防盜、輪胎安全、音頻防盜等，而信息安全包括惡意 代碼、故障 感應(yīng)等。安全和隱私在軟件設(shè)計策略中具有最高優(yōu)先級。雖然信息的完整性和合理性對 EMS 的操作來說是非常重要的，了 解了 EMS 勺狀況也暴露了汽車的關(guān)鍵的控制系統(tǒng)。在汽車中安全級別 分兩種：高安全級別和低安全級別。高安全級別是EMS 和駕駛員，而低安全級別是觀察者。而且由 EMS 來執(zhí)行（對汽車的 ）的控制與阻止 也 揭露了駕駛員的一些機(jī)密信息。而

15、經(jīng)典的機(jī)密系統(tǒng)如通過加密方式 等對 CPS 來說是不合適的因為它只保護(hù)了物理系統(tǒng)的部分。 系統(tǒng)可以 通過物理行為來暴露機(jī)密的信息。 我們用兩種可能的信息流（不干擾 模型， 不可推斷模型）來檢測 CPSEMS 通過展示汽車在不同情況下的不同的操作來決定安全性，如什么時候違反了安全性，什么時候保護(hù)了安全性。EMSS 過來自一個模糊的環(huán)境而得到的如速度，地形等信息反饋給外在的觀察者。 根據(jù) 現(xiàn)實世 界已有的知識系統(tǒng)，這些信息有時候可以揭露駕駛員的知識系 統(tǒng)，我們通過 一些模糊的系統(tǒng)信息來展示這種情況，如汽車的油/氣情況，運動控制（即汽車的移動）情況，動力流情況等。一個系統(tǒng)的合理軌跡 trace 是其

16、在執(zhí)行過程中的所有事件的一個 記錄。所 有合理的 trace 的集合代表著可能的系統(tǒng)行為。高級別的事 件和低級別的事 件都會在它們的 trace 上出現(xiàn)。而這個 trace 對 CPS 非常具有吸引力。而基 于觀察的信息的可能信息的推斷有很大可能性 導(dǎo)致信息泄露。不可推斷模型（ Nonducibility Model ）: 如果對一個系統(tǒng)，當(dāng)它 的一個 低安全級別領(lǐng)域的觀察者通過觀察可見的事件不能去推斷高 級別輸入事件的 序列的任何事情，則稱該系統(tǒng)是不可推斷的安全。也 就是說在低級別安全領(lǐng) 域的觀察與任何高級別輸入事件是兼容的。不可干擾模型 （ Noninference Model ）: 個系

17、統(tǒng)被認(rèn)為是安全的 當(dāng)且僅 當(dāng)對它的系統(tǒng)事件的任何合理的 trace ，當(dāng)把高級別的事件 去除掉之后得到 的 trace 仍然是系統(tǒng)的一個合理 trace 。一個構(gòu)建 CPS 的信息安全的方法如下：確定系統(tǒng)的功能確定安全劃分構(gòu)建系統(tǒng)traces應(yīng)用信息流理論觀察者可以用速度地形等視覺線索來推斷高級別安全區(qū)域。首先分析一個EMS勺信息流(Tablel )Table 1. Confidential information in EMSTypesourteFun cti onDriverCruise Con trolCrash AOida neeECUECUvehicle opcrater Autom

18、ciiie con trol Automatic con trolContndTypeFun cti onSen sor Intonn ati onDigital (CANlSen sor NetworkSensor intormiKion rv ing input imo ihe EMS由表格可得知，數(shù)據(jù)分為駕駛員數(shù)據(jù)，恒速操控器數(shù)據(jù)，防碰撞系統(tǒng)，傳感信息等。上面的 ECU( Electro nic Co ntrol Unit)是電子控制單元，是汽車專用微機(jī)控制器。而下面的數(shù)據(jù)主要來自CAN是由傳感器得到輸入EMS勺。EMS由兩個安全級別構(gòu)成(Table2 )在高級別的安全領(lǐng)域中，通過 CA

19、N總線交流來響應(yīng)汽車的控制。在級別勺安全領(lǐng)域中，速度信息通過可視隊列進(jìn)行隱式勺交流。而當(dāng)來自低級別的安全領(lǐng)域的觀察者觀察或推斷來自高級別安全領(lǐng)域的信息的時候會導(dǎo)致機(jī)密信息的泄露。F面我們用安全模型來分析 EMS 用安全模型可以展示 EMSS 么向低級別安全領(lǐng)域泄露信息的我們把 EMS 亙速操縱器分割成 3 個變體：標(biāo)準(zhǔn)操縱器：是汽車的標(biāo)準(zhǔn)操縱器， 在不同場景中會改變， 隨 時可能會加速或減速。完美操縱器：這個操縱器在任何場景下可以保持亙速，不 是現(xiàn)實的設(shè)備，我們可以用它來證明一些例子隨機(jī)操縱器：是標(biāo)準(zhǔn)操縱器的變體，有隨機(jī)的變化。Table3 列舉了在兩種場景的不同的事件。其中 l1,l2,l3

20、 是在平 地的事 件，而事件 h1,h2,h3,h4,h5,h6,h7 則是在 Figure2 中的點上的事件。 事件 有上坡與下坡，有加速有減速。下面的兩個表格展示了每個操縱器的在不同場景下使用不同速 度時候， 不同的 trace 列表定理 1：汽車操縱在使用標(biāo)準(zhǔn)和隨機(jī)操控器朝山上行駛的時候是不可推斷的安全定理 2：汽車操縱在使用標(biāo)準(zhǔn)和隨機(jī)操控器朝山下行駛的時候是不可推斷的安全定理 3：汽車操縱在平坦的場景下是不可推斷的安全定理 4：汽車操縱在朝山上或山下行駛的時候是可干擾的安全定理 5：汽車操控加速或減速在平地行駛的時候是可干擾的安全汽車的可觀察性包括高級別的事件的信息流模糊性使得 CPS 有固有的信息流泄露。 EMS 在它的環(huán)境中滿足不可推斷和不可干擾的特 性。因為物理世界的環(huán)境，高級別事件有自然地混亂性，在 CPS 領(lǐng)域