混合關鍵性系統

混合關鍵性系統(Mixed Criticality Systems，MCS)¹⁾研究領域源自於發展已逾半世紀的即時系統，其所考慮的工作不但具有嚴格時效性要求，還必須滿足工作在不同關鍵層級(Criticality Levels)下的各項要求，目前已進一步拓展至鐵路運輸、航空及車用電子(含自駕車與非自駕車)與醫療照護等安全攸關(Safety-Critical)應用領域，為具備不同關鍵層級(Critical Levels)的即時系統工作提供具有可預測性與效能保證的學理分析、技術與工具。MCS的相關研究始於Steve Vestal在2007年IEEE RTSS會議²⁾上所發表的首篇針對MCS即時工作排程方法論文[1AUTHOR, TITLE, in BOOKTITLE, PAGESABBREV PAGES, ADDRESS, DATE.]，其後旋即吸引了眾多即時系統領域的學者專家投入相關研究，並在接下來的十餘年間逐步地成長為資訊領域備受重視的研究領域之一。關於MCS的相關研究成果可參考英國約克大學Burns教授與Davis教授合著的Survey論文[2AUTHOR, TITLE, HOWPUBLISHED, MONTH, YEAR.]。

混合關鍵性系統(MCS)的最大特徵就是其工作具有「時效性(Timeliness)」與「關鍵性(Criticality)」，其中時效性承襲自即時系統研究領域 — 工作的執行結果不但必須正確，同時還必須滿足嚴格 的時間要求;至於關鍵性則代表工作對於安全性的要求 — 高安全性要求的工作通常意味著需要得到 更為精確的運算結果，或是需要額外的處理器時間進行更為保守的驗證程序。後續我們將就時效性與 關鍵性的相關工作模型加以介紹:

1. 時效性與相關工作模型(Timeliness and Related Task Models):時效性是指工作的執行必須滿足特定的時間限制(Timing Constraint)，否則將有可能帶來不可彌補的後果，例如一個在車用MCS裡使用雷達偵測前車距離，並控制車速以保持安全間距的車距調節工作，它被設定為每秒必須執行5次，且每次都必須在200ms 內完成其執行，否則將可能造成車禍事故的發生。最常見的時效性要求為截限時間(Deadline) — 要求工作都必須在其截限時間內完成。若是能順利在截限時間內完成的工作，就被稱為滿足截限時間(Meet Deadline)；相反地，若是無法在時限內完成則被稱為錯失截限時間(Miss Deadline)或是截限時間違反(Deadline Violation)。
2. 工作關鍵性(Criticality):主要應用在安全攸關領域的混合關鍵性系統(MCS)，工作的「關鍵性」就代表著工作對於「安全性」的要求，當MCS在執行時，可以切換具有不同安全性要求的「關鍵性層級(Criticality Levels)」— 當關關鍵層級愈高時，工作的執行結果與人身安全的相關性就愈高。關於MCS系統的關鍵層級，目前已有許多安全攸關領域制定了相關的標準，例如美國聯邦航空總署(United States Federal Aviation Administration，FAA)就採用了航空無線電技術委員會(Radio Technical Commission for Aeronautics，RTCA)所制定的DO-178B標準³⁾，要求在航電系統中所執行的工作，必須指定為Catastrophic、Hazardous、Major、Minor、No Effect等五個關鍵性層級之一；又例如廣泛應用於汽車產業的ISO 26262國際標準⁴⁾，則定義了4個安全完整性等級(Safety Integrity Levels，SILs)。其它的例子包含核工領域的IEC 880標準(同時也是IEEE 603標準)⁵⁾⁶⁾、醫療領域的IEC 601-4標準⁷⁾、歐洲鐵路(European Railway)的EN 50128標準{{European Committee for Electrotechnical Standardization (CENELEC). Railway Applications - Communication, Signaling and Processing Systems - Software for Railway Control and Protection Systems. 2011.))、歐洲航太標準化合作委員會(European Cooperation for Space Standardization)所制定的ECSS-E-ST40標準⁸⁾及歐洲標準化委員會(Comité Européen de Normalisation，CEN)發佈的EN 16602-80:2018標準⁹⁾。

我們通常將只具有兩個關鍵層級的系統稱為Dual-Criticality MCS，並將具有兩個以上關鍵層級的系統稱為$L$-Criticality MCS。為了因應不同關鍵層級的安全性要求，工作通常必須設計多個不同的實作版本，例如用以維持車輛行駛安全的循跡防滑控制工作，可以針對低安全性與高安全性要求分別實作兩個不同的版本供低關鍵層級與高關鍵層級運行時使用。當車輛處於低速與高速行駛時，車用MCS將會分別切換至對應的低與高關鍵層級並切換使用不同的工作實作版本。當MCS運行在低速行駛的低關鍵層級時，低安全性的工作實作版本在計算車輛行進軌跡時，只需要精確至小數點後2位；但是當車輛以高速行駛時，我們對於安全性的要求將會大幅提升，MCS將會切換至高關鍵層級運行，並且改為使用高安全性的工作版本計算行進軌跡至小數點後5位，同時還需要進行冗餘計算以確保計算結果的正確性。上述概念首見於Steve Vestal於2007年 IEEE RTSS會議(以即時系統的週期性工作模型為基礎)所發表的工作模型[1AUTHOR, TITLE, in BOOKTITLE, PAGESABBREV PAGES, ADDRESS, DATE.]，其假設工作的執行時間與其關鍵性成正比，工作的關鍵層級愈高、其執行時間愈長，我們將其稱為「關鍵性相依的執行時間(Criticality-Dependent Execution Time)」。換句話說，Vestal認為工作的執行時間和其關鍵性是相依的 — 當工作的關鍵性愈高時，考慮到高關鍵性所代表 的是「高安全性」需求，因此必須增加執行時間來計算更為精確的結果(或是反覆進行多次運算以確保結果的正確性)。在Vestal提出此假設及工作模型後，許多學者與研究團隊陸續投入相關的研究工作，並提出一些相關的衍生模型[2AUTHOR, TITLE, HOWPUBLISHED, MONTH, YEAR.]，例如假設工作的週期與其關鍵性成反比，也就是當工作的關鍵層級愈高、其週期時間愈短 。例如當車輛從低速改變為高速行駛時，用以保持與前方車輛安全間距的車距調節工作，其工作的執行頻率將會從原本的每秒5次提升為20次(意即將工作週期從200ms 縮短為50ms)，以反應不同關鍵層級時對於車輛行駛的安全性要求。在此情況下，此車距調節工作將僅需要實作單一版本，但可以透過參數或其它設定來滿足不同層級的安全性要求。我們將此假設稱為「關鍵性相依的週期(Criticality-Dependent Period)」。

bibtex file

[1]

AUTHOR, TITLE, in BOOKTITLE, PAGESABBREV PAGES, ADDRESS, DATE.

[2]

AUTHOR, TITLE, HOWPUBLISHED, MONTH, YEAR.