一种混合临界系统的服务等级转换方法及装置与流程

本发明属网络通信技术领域，具体而言，本发明涉及一种混合临界系统的服务等级转换方法及装置。

背景技术：

混合临界系统(mcs)是具有两个或多个不同临界水平的服务的系统。例如，iec61508标准、do-178b标准、do-178c标准、do-254标准和iso26262标准都包括五个级别，以定义服务的临界性，例如asils(汽车安全与完整性级别)和dals(设计保证级别或开发保证级别)。

mcs必须在极端环境(如高温和低温)下，满足工业级应用程序的严格特定需求。例如，部署在列车上的嵌入式系统可能在冬季经历零下20摄氏度的低温，夏季经历50摄氏度的高温。

对于mcs(尤其是安全系统)来说，在极端环境中保持特定应用程序的可靠性至关重要。保障可靠性，需要确保软件和硬件均能够正常运行。保障软件正常运行已经有了许多不同种类的方法，但是保障硬件稳定工作的方法目前还比较单一，以前的工作通常集中在可靠性驱动的设计优化，以提高系统的健壮性，提高对环境的承受极限，而不是处理系统在极端物理环境中的生存问题。

提高系统对环境的承受极限十分重要，但是这种提升方法可能会遇到技术瓶颈，即物理环境总是会在最差情况下超越设备的承受极限，从而导致设备有崩溃的风险。工业嵌入式系统在极端环境下的崩溃，在大多数情况下并不仅仅是因为环境本身超出了系统的承受极限，也有系统的满负荷运行，导致系统承受能力降低的原因。

技术实现要素：

本发明的目的在于提供一种混合临界系统的服务等级转换方法及装置，以至少解决现有技术中服务系统存在满负荷运行的技术问题。

为了解决上述问题，本发明提供一种混合临界系统的服务等级转换方法及转换装置，其技术方案如下：

一种混合临界系统的服务等级转换方法，其包括如下步骤：

步骤一、按照系统服务的功能需求，将系统服务划分为多个服务板块；

步骤二、根据多个所述服务板块的重要程度，确定多个所述服务板块的优先等级；

步骤三、根据每个所述服务板块对环境状况的容忍极限，确定多个所述服务板块之间的转换条件；

步骤四、根据多个所述服务板块的优先等级、多个所述服务板块之间的转换条件以及当前系统服务所处的环境条件，对系统服务当前的服务板块进行自动转换。

如上述的混合临界系统的服务等级转换方法，进一步优选为：在步骤一中，划分系统服务的服务板块的方式为，根据系统服务对应硬件的实施策略，确定系统服务的模块以及每个所述服务板块与模块的对应关系。

如上述的混合临界系统的服务等级转换方法，进一步优选为：不同的服务板块之间相互独立。

如上述的混合临界系统的服务等级转换方法，进一步优选为：所述确定多个所述服务板块的优先等级包括根据每个所述服务板块对mcs整体服务质量影响的大小，确定每个所述服务板块的重要性等级；根据每个所述服务板块的重要性等级和mcs工作的具体场景，确定每个所述服务板块的优先等级。

如上述的混合临界系统的服务等级转换方法，进一步优选为：在步骤四之前还包括，根据mcs的功能需求，确定系统服务的启动策略。

如上述的混合临界系统的服务等级转换方法，进一步优选为：所述根据mcs的功能需求，确定系统服务的启动策略包括，如果需要最大限度保证系统服务正常运行，则选择冷启动，启动处于最低优先级别的服务板块。

如上述的混合临界系统的服务等级转换方法，进一步优选为：所述根据mcs的功能需求，确定系统服务的启动策略包括，如果需要系统服务提供更好的性能，则选择热启动，启动处于最高优先级别的服务板块。

如上述的混合临界系统的服务等级转换方法，进一步优选为：所述根据mcs的功能需求，确定系统服务的启动策略包括，如果能够容忍系统服务启动时的时延，则选择最优启动，根据当前所处的环境条件确定对应的优先等级，并启动对应的服务板块。

一种混合临界系统的服务等级转换装置，包括：

服务板块划分模块，被配置为按照系统服务的功能需求，将系统服务划分为多个服务板块；

优先等级确定模块，被配置为根据多个所述服务板块的重要程度，确定多个所述服务板块的优先等级；

转换条件确定模块，被配置为根据每个所述服务板块对环境状况的容忍极限，确定多个所述服务板块之间的转换条件；

服务转换模块，被配置为根据多个所述服务板块的优先等级、多个所述服务板块之间的转换条件以及当前系统服务所处的环境条件，对系统服务当前的服务板块进行自动转换。

如上述的混合临界系统的服务等级转换装置，进一步优选为：不同的服务板块之间相互独立。

分析可知，与现有技术相比，本发明的优点和有益效果在于：

本发明提供的混合临界系统的服务等级转换方法，在设备对物理环境承受能力不变的情况下，通过改变设备的运行负荷，改善设备在极端环境下的生存状态是十分有意义的。mcs可以提供不同临界等级的，即对整个系统来说具有不同重要性等级的服务板块。不同的重要性等级是说，关闭一些重要性较低的服务板块，不会导致整个服务系统整体的崩溃，只是会降低服务系统的服务质量。本发明从自然界的环境敏感生物中汲取灵感，这些生物会在严酷环境下将生命活动降低至极限，从而获得对环境更高的适应性。mcs也可以采取同样的方法，在严酷环境下，关闭部分重要性较低的服务板块，保障关键模块的正常运行，在系统级别增强设备对环境的适应性。

附图说明

图1为本发明优选实施例的服务等级自动转换方式的示意图；

图2为本发明优选实施例的使用冷启动时的示意图；

图3为本发明优选实施例的使用热启动时的示意图。

图4为本发明优选实施例的使用最优启动时的示意图；

图5为本发明优选实施例的使用“快降慢升”策略时的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1至图5所示，本发明优选实施例的混合临界系统的服务等级转换方法，其包括如下步骤：

步骤一、按照系统服务的功能需求，将系统服务划分为多个服务板块；

在步骤一中，划分系统服务的服务板块的方式为，根据系统服务对应硬件的实施策略，确定系统服务的模块以及每个所述服务板块与模块的对应关系。

不同的服务板块之间相互独立。

步骤二、根据多个所述服务板块的重要程度，确定多个所述服务板块的优先等级；

确定多个所述服务板块的优先等级包括：

根据每个所述服务板块对mcs整体服务质量影响的大小，确定每个所述服务板块的重要性等级；

根据每个所述服务板块的重要性等级和mcs工作的具体场景，确定每个所述服务板块的优先等级。

在步骤二中，根据步骤一划分的服务板块和mcs工作的具体场景，确定每一个服务板块的优先等级；有且仅有停止后会导致整个系统崩溃的服务板块被划分到重要性等级1，重要性等级1的服务板块在所有服务板块等级下都不会停止；此后根据每个服务板块对mcs整体服务质量影响的大小，来确定每一个服务板块的重要性等级。

以提供列车通讯服务的列车实时以太网交换机为例，实时以太网交换机是一个典型的mcs。交换机的控制数据交换服务板块被列为重要性等级1，因为如果控制数据通讯服务停止，会导致列车停止运行。交换机的数据监测服务板块被列为重要性等级2，这一服务同样十分重要，用以监测列车内的通讯状况，对突发情况加以处理，但是数据监测服务板块的停止不容易导致灾难性后果。交换机的用户数据交换服务板块被列为重要性等级3，用户数据交换服务板块可以提高交换机的服务质量，为乘客提供网络服务，但是停止时不会造成灾难性后果。

步骤三、根据每个所述服务板块对环境状况的容忍极限，确定多个所述服务板块之间的转换条件；

根据每一个模块的硬件特征，确定每一个模块对环境状况的容忍极限。这里的环境状况可能包含多个方面(温度，湿度等)。每一个服务板块的容忍极限根据其包含的所有模块确定，对于每一个环境因素，所有模块容忍极限的最低值就是这一服务板块对这一环境因素的容忍极限。

然后确定每一个模块对环境的影响，也就是对整个系统容忍极限的影响。有的模块在运行时可能会对周围环境造成影响(例如，发热)，从而使得其他模块的工作环境更加恶劣。通过对开启或关闭某一个服务板块后，环境因素的变化，可以知道不同服务等级下，整个系统对环境的容忍极限。不同服务等级的容忍极限，就是服务等级转换的条件。

步骤四、根据多个所述服务板块的优先等级、多个所述服务板块之间的转换条件以及当前系统服务所处的环境条件，对系统服务当前的服务板块进行自动转换。

根据上述成果，以每一个服务等级为自动转换的节点，以每一个服务等级对环境状况的容忍极限为转换条件，通过启动策略确定自动转换原点，使用“快降慢升”策略进行服务板块的升级和降级转换，得到服务等级自动转换方式。

在步骤四之前还包括：根据mcs的功能需求，确定系统服务的启动策略。

根据mcs的功能需求，确定系统服务的启动策略包括：

如果需要最大限度保证系统服务正常运行，则选择冷启动，启动处于最低优先级别的服务板块。

如果需要系统服务提供更好的性能，则选择热启动，启动处于最高优先级别的服务板块。

如果能够容忍系统服务启动时的时延，则选择最优启动，根据当前所处的环境条件确定对应的优先等级，并启动对应的服务板块。

总而言之，本发明提供的混合临界系统的服务等级转换方法，在设备对物理环境承受能力不变的情况下，通过改变设备的运行负荷，改善设备在极端环境下的生存状态是十分有意义的。mcs可以提供不同临界等级的，即对整个系统来说具有不同重要性等级的服务板块。不同的重要性等级是说，关闭一些重要性较低的服务板块，不会导致整个系统整体的崩溃，只是会降低系统的服务质量。本发明从自然界的环境敏感生物中汲取灵感，这些生物会在严酷环境下将生命活动降低至极限，从而获得对环境更高的适应性。mcs也可以采取同样的方法，在严酷环境下，关闭部分重要性较低的服务板块，保障关键模块的正常运行，在系统级别增强设备对环境的适应性。

本发明还一种混合临界系统的服务等级转换装置，包括：

服务板块划分模块，被配置为按照系统服务的功能需求，将系统服务划分为多个服务板块；

优先等级确定模块，被配置为根据多个所述服务板块的重要程度，确定多个所述服务板块的优先等级；

转换条件确定模块，被配置为根据每个所述服务板块对环境状况的容忍极限，确定多个所述服务板块之间的转换条件；

服务转换模块，被配置为根据多个所述服务板块的优先等级、多个所述服务板块之间的转换条件以及当前系统服务所处的环境条件，对系统服务当前的服务板块进行自动转换。

不同的服务板块之间相互独立。

在发明中，服务升级和服务降级准则：

mcs在物理上由若干个模块构成，每个模块提供不同的功能，模块是mcs能够进行开启或关闭的最小单元；在逻辑上，mcs提供多种不同重要性的服务板块，每一个服务板块包含若干不同的功能，服务板块是mcs讨论临界条件下进行自适应调整的单元。每一个服务板块可能需要多个模块，每一个模块也可能被多个服务板块使用。

每一个服务板块都具有自己的重要性等级，本发明定义，等级越低，重要性越高。其中，重要性等级为1的服务板块是必须全程开启的，这类服务板块的停止会导致整个服务系统的崩溃。重要性等级大于1的服务板块可以在必要时主动停止，以降低服务系统负荷(例如，降低系统部分元件的散热以降低其他重要元件的工作环境温度)，以维持mcs的正常运行。如果当前环境允许重要性等级为3的服务板块正常运行(舒适环境)，那么所有重要性等级小于或等于3的服务板块都会运行。如果当前环境不允许重要性为3的服务板块运行，但是允许重要性等级为2的服务板块正常运行(严酷环境)，那么重要性等级为2和1的服务板块会运行。如果当前环境仅允许重要性为1的服务板块正常运行(极端环境)，那么只有重要性等级为1的服务板块运行。

也就是说，在环境变恶劣时(例如，舒适环境变为严酷环境)，本发明会主动关闭重要性等级为3的服务板块，以求得mcs整体的正常运行，本发明将这种情况定义为服务降级。反之，在环境好转时(例如，极端环境变为严酷环境)，那么本发明会主动开启重要性等级为2的服务板块，使得mcs为外界提供更优质的性能和服务，本发明将这种情况定义为服务升级。

开启某一个等级的服务板块时，mcs对环境的容忍有一个上限，本发明将这一个上限定义为limit，同时将当前的环境定义为env。本发明将limit-env定义为缓冲量rpis，rpis大于零时，表示mcs可以忍受当前环境，甚至有可能可以进行服务升级；当rips小于零时，表示mcs无法忍受当前环境，随时可能会发生系统崩溃，需要进行服务降级。

由上面的定义可知，每一个服务需要这个服务板块所包含的若干个模块同时工作才能正常运行。如果在服务升级是决定开启某一个服务板块，那么本发明开启与这个服务板块相关的所有模块；如果在服务降级中决定关闭某一个服务板块，那么仅关闭这个服务板块所独有的模块(保证包含这个模块的其他服务板块的正常运行)。

环境恶化时进行服务降级以求得mcs核心服务板块的正常运行，环境好转时进行服务升级以提高mcs对外界的服务质量，是本发明的核心。

如图1所示，根据服务升级、服务降级的准则和执行条件，本发明绘制了如图1所示的服务等级自动转换方式：基于上面对limit、env和rpis的定义，本发明用upg[j]表示从服务等级i(i<j)进行服务升级使得服务等级提升到j时对环境的适应情况，upg[j]＝limit[j]-env。如果limit[j](服务等级为j时，对环境的容忍上限)-env大于零，那么upg[j]可以执行，不会导致mcs在当前环境下崩溃。同样的，定义deg[j]表示从服务等级i(i>j)降级到服务等级j时对环境的适应情况，deg[j]＝limit[j]-env。进行服务降级即表示在服务等级i时，环境已经超出了mcs的容忍极限，服务降级可以使得mcs的容忍极限提高。

根据上述定义，只要环境允许(upg[j]>0)，mcs会一直进行服务升级，直到环境不允许(upg[j]<0)或者已经提升到最高服务等级。只要环境恶劣(deg[j]<0)，mcs会一直进行服务降级，直到环境允许(deg[j]>0)或者降级到1。

在图1中，每一个节点hi表示不同的服务等级，这里一共有n个服务等级，从0编号到n-1；箭头表示，只要满足相应的条件，就可以进行服务等级之间的转换。

如图1所示，本发明定义了mcs在运行时的状态转换机制，如图2、图3、图4所示，本发明定义mcs在启动时的状态转换机制。在自动方式启动时，本发明有三种可选的操作，即冷启动、热启动和最优启动。

冷启动是指，在mcs启动时就假设整个服务系统正处在极端环境中，只开启最低限度的服务板块，然后在随着服务系统对外界环境的自动感知，通过服务升级达到最优的服务质量。冷启动可以在最大程度上，避免服务系统因为启动时的环境导致崩溃，但是会导致服务系统启动时的服务质量低下；

热启动是指，在mcs启动时，假设环境十分友好，整个服务系统中的所有服务板块都可以正常开启而不引起服务系统的崩溃。热启动可以在mcs启动时提供高质量的服务，但是有可能会因为启动时的环境恶劣导致系统不能正常工作；

最优启动是指，整个服务系统在启动前，先进行环境的感知，通过虚拟服务升级和降级计算出当前环境允许的最大服务等级，然后从这一最优服务等级启动mcs。最优启动可以避免mcs在启动时因为环境恶劣而崩溃，同时可以最大限度的提供优质服务，但是实现较为复杂，且可能会给服务系统启动带来较大的时延。

如图2、图3、图4所示，启动时的状态转换机制都以包含三种服务等级(n＝3)的mcs系统为例。

如图5所示，本发明提供使用“快降慢升”策略的服务等级自动转换方式，在环境恶化或者好转时，为了最大限度的保证mcs的正常工作，服务降级和服务升级必须选择合理的策略。

例如，在环境恶化时，mcs会监测到环境已经超出最大容忍限度，因此需要进行服务降级。但是由于很难判断降到什么级别能够使得环境状况在最大容忍限度内。而此时，因为环境状况已经超出了mcs的容忍限度，服务系统随时可能会发生崩溃，因此，mcs直接选择服务降级到最低服务等级(1级)，即关闭除了最为关键的服务板块之外的所有服务板块，以最大限度保证mcs的正常运行。

同理，在环境好转时，为了保证mcs的正常运行，只能逐级进行服务升级。如果一次性升到较高级别，可能会导致mcs处于危险状态，因为环境状况超出mcs的容忍限度是，服务系统随时可能发生崩溃。

分析可知，与现有技术相比，本发明的优点和有益效果在于：

本发明提供的混合临界系统的服务等级转换方法，在设备对物理环境承受能力不变的情况下，通过改变设备的运行负荷，改善设备在极端环境下的生存状态是十分有意义的。mcs可以提供不同临界等级的，即对整个系统来说具有不同重要性等级的服务板块。不同的重要性等级是说，关闭一些重要性较低的服务板块，不会导致整个服务系统整体的崩溃，只是会降低服务系统的服务质量。本发明从自然界的环境敏感生物中汲取灵感，这些生物会在严酷环境下将生命活动降低至极限，从而获得对环境更高的适应性。mcs也可以采取同样的方法，在严酷环境下，关闭部分重要性较低的服务板块，保障关键模块的正常运行，在系统级别增强设备对环境的适应性。

由技术常识可知，本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此，上述公开的实施方案，就各方面而言，都只是举例说明，并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。