0 引言

我国农业用水量大，但水资源短缺且分布不均。水资源在农业和经济的可持续发展中有着重要影响。在农业的实际应用中，不仅要求提高灌溉供水质量的精确性，而且要求保证供水系统的可靠性。为了实现上述要求，灌溉系统的智能控制应运而生。因此，合理利用水资源，发展智能灌溉技术，不但符合我国国情，也是实现精准农业的关键。

随着科学技术的发展，将电子、计算机新技术应用到智能灌溉系统中，能够极大地提高农业生产力，而形式化的结构是对系统组成部分之间联系的抽象。智能灌溉系统的可靠性已成为评价系统好坏的重要指标，由于灌溉系统受到系统结构设计、元器件选择及应用环境等方面因素的影响，导致目前智能灌溉系统的可靠性较低。

为此，采用嵌入式软件的 MAＲTE 建模方法，建立嵌入式软件的系统模型。通过在软件设计阶段，将MAＲTE 建立的软件模型转换为形式化模型，对软件的可靠性进行形式化验证，提高软件的可靠性。同时，针对引起嵌入式软件可靠性降低的不利因素进行分析，采取相对应的解决方法，例如采用高可靠的硬件设备、增加硬件设备的冗余度、或改进软件运行平台及增强软件的测试等，从而为高可靠性的智能灌溉系统提供保障。

1 相关研究

在低成本、高可靠性、可维护性好、适用性广等特点的要求下，研究者不但将无线传感网技术、嵌入式技术广泛地应用于智能灌溉系统的设计当中，而且研究了物联网在精准灌溉中的应用。

基于无线传感器网络、GPＲS 通信和嵌入式技术，郁晓庆等设计了一种低功耗、传输可靠的农田灌溉监控系统。林菁等提出基于嵌入式技术的智能灌溉系统，该系统采用符合 ZigBee 技术的无线通信模块，提高了无线网络的数据链路层协议的可靠性。为了准确验证智能灌溉系统的可靠性，张伟等提出了采用 ZigBee 无线传感器网络采集数据，设计了一种智能灌溉系统，该系统采用实际应用的方式说明系统的可靠性和可控性。于嵩等建立智能灌溉系统的故障树，采用 Monte Carlo 方法对系统的可靠性进行仿真。根据系统仿真可靠性数据，分析系统设计，有针对性地改进系统的可靠性。

无线传感网技术、嵌入式技术已经成为智能灌溉系统研究中的重要方式，但是研究者多关注于新技术在智能灌溉系统中的设计和应用，对于如何提高智能灌溉系统的可靠性研究还较少。虽然有研究采用仿真的方法来验证系统可靠性，但是该方法的局限性阻碍了其在嵌入式技术中的应用。为了克服仿真验证的局限性，本文提出形式化验证，来证明系统是否实现了设计者的意图。

2 智能灌溉系统的建模

为了实现精细农业中的节水和节能的要求、提高水资源的利用率，研究者将现有的计算机技术和通信技术广泛地应用于智能灌溉系统的设计中。例如，基于无线传感器技术的智能灌溉系统，或者将多个技术进行结合，如基于无线传感网络与模糊控制的精细灌溉系统。基于系统的一般结构，笔者采用嵌入式软件的 MAＲTE 建模方法对智能灌溉系统建立软件系统模型。

2． 1 智能灌溉系统的结构

原型验证系统有利于对系统的可靠性、稳定性等进行形式化验证。智能灌溉系统主要由通信单元、数据采集单元、信息处理单元、智能决策单元、控制单元和命令执行单元等子系统组成，其结构如图 1 所示。数据采集单元由微型气象站和各类传感器组成，该单元采集作物种植区环境的温度、湿度等信息; 采集得到的数据信息通过无线传感器网络传输到种植区基站，并进行数据的存储与计算; 然后通过信息处理服务器对数据进行分析处理; 智能决策单元根据处理后的数据，结合自身的知识库，计算作物的需水量，向控制单元发送决策结果; 控制中心将决策结果进行解析，并发送命令指令到命令执行单元; 命令执行单元中的喷灌设备根据命令指令实现智能灌溉，并将指令的执行结果反馈给控制中心。在整个过程中，各个子系统之间的通信通过通信服务器完成。

为了提高智能灌溉系统的可靠性和低耗性，目前的研究工作大多集中在嵌入式硬件的设计，如传感器的布置、控制板的设计等，通过高性能的硬件设备提高智能灌溉系统的可靠性。对于智能灌溉系统中嵌入式软件的研究，仅停留在软件的设计阶段，还没有研究嵌入式软件的可靠性问题。

2． 2 基于 MAＲTE 的建模方法

嵌入式软件的可靠性由功能属性、时间约束及能量消耗等多个非功能属性所决定。为了支持嵌入式软件的非功能性属性建模，OMG 在建模语言 UML 的基础上，于2007 年发布了 MAＲTE，取代了原有的针对调度、性能和时间的 UML － SPT，成为 UML 对嵌入式系统建模的正式规范。

MAＲTE 在功能性设计方面，增加了模型包来描述硬件和软件资源，定义了一系列具体的属性在系统设计的早期执行时间和能耗等性能分析; 在非功能性方面，增加了时钟的概念。MAＲTE 中的设计模型封装在高层应用建模包中，提供较高抽象层的建模元素，用于对嵌入式系统中的并发、实时的活动主体和行为进行建模。其中，ＲtUnit 和 PpUnit 用来对系统的活动主体进行建模。

目前，MAＲTE 已得到 Papyrus、OpenEmbeDD 等建模环境的支持。其在嵌入式软件方面建模的优点，使其可以在嵌入式软件设计的早期，对软件系统的可靠性进行分析验证。因此，将 MAＲTE 建模方法应用到智能灌溉系统中嵌入式软件的设计和可靠性验证中，在软件设计早期，分析和验证软件设计模型的可靠性，可以提高智能灌溉系统软件部分的可靠性。

3 系统的可靠性分析

3． 1 建立 MAＲTE 模型

智能灌溉系统嵌入式软件子系统，主要是信息处理单元通过通信单元与智能决策单元、控制中心单元进行的交互和数据处理。该部分的具体功能如下: 信息处理单元，负责解析数据采集单元采集的数据; 通过通信单元，将处理后的数据发送给智能决策单元，智能决策单元根据该数据，结合自身的知识库，进行决策，并将决策结果通过通信单元发送到控制中心;控制中心将对决策结果进行解析，发送命令指令到命令执行单元。

从图 2 可见，所研究部分的类图包括 4 个 rtUnit单元，分别为控制中心单元( Control) 、信息处理单元( Process) 、智能决策单元( Decision) 和通信单元( Com-munication) 。类图中包括 1 个 ptUnit 单元，为数据库单元( DataBase) 。Control、Process、Decision 三者之间，以及三者与 DataBase 之间通过 Communication 进行交互和数据共享。其中，Control 是主单元，它动态地创建调度资源来执行智能灌溉系统的各项服务。其主要属性包括计时器、控制命令和控制等级，它通过con-Process( ) 对信息处理单元进行控制，通过 conDecision( ) 对决策单元进行控制，并通过 startControl( ) 对决策结果进行解析，生成命令指令，通过 sendData( ) 操作将命令指令发送给命令执行单元，同时将命令指令保存在数据库 DataBase 中。

Process 拥有一个大小为 10 的调度资源池来对传感器采集的数据进行处理和计算。其主要属性包括计时器和处理后的数据，通过操作 startCollect( ) 收集数据采集单元发送的各类传感器数据，然后通过 start-Process( ) 对接收到的数据进行处理和计算，使用sendData( ) 操作将处理后的数据发送给Decision 单元，同时将处理后的数据保存在数据库 DataBase 中。

Decision 的调度资源池大小为 4，用于对 Process处理的数据进行命令决策。其主要属性包括计时器和决策命令，通过操作 startCollect( ) 收集 Process 单元处理后的传感器数据，然后通过 startDecision( ) 调用知识库，对处理后的数据进行决策，使用 sendData( ) 操作将决策命令发送给 Control 单元，同时将决策命令保存在数据库 DataBase 中。

3． 2 可靠性形式化分析

通过对 MARTE 建立的各个子系统类图的行为进行分析，可以得到软件子系统发生故障的概率情况。为了便于分析智能灌溉系统中嵌入式软件的可靠性，首先假设各个单元的平均失效时间: 数据采集单元为4 个月，命令执行单元为 6 个月，信息处理单元、智能决策单元和控制单元为 1 年。信息处理单元、控制单元的瞬时故障平均每天1 次。

数据采集单元的传感器个数共有 7 个，当传感器失效个数超过5 个时，数据采集单元将传感器故障情况报告智能决策单元，系统关闭。在命令执行单元的喷灌设备总数为2 个，当失效设备个数超过1 个时，同样将故障报告智能决策单元，系统关闭。当智能灌溉系统处于硬件故障时，信息处理单元、智能决策单元无法使用，要求智能决策单元跳出当前执行周期。如果跳出周期的次数超过限界时，将会引起智能决策单元故障，引起系统关闭。信息处理单元和控制中心单元在整个系统中所处的地位相近，二者具有相关故障率。根据智能灌溉系统软件设计要求，需要保证软件模型保证无死锁，以及计算出软件在长期运行中信息处理单元、智能决策单元和控制单元的发生故障的概率，并量化其可靠性性能。根据异构模型的形式化转换方法，能够将上述的 MAＲTE 模型转换为形式化模型，对软件的可靠性进行分析。

从智能灌溉系统的嵌入式软件故障发生概率可知( 见图3) ，对于各个软件子系统，数据采集单元在1 个月内发生故障的概率逐渐升高。通过分析可知，传感器的平均失效时间为 4 个月，且传感器的冗余个数为2 个，由于传感器硬件设备的低可靠性，导致引起数据采集单元发生软件故障的概率随着时间的增长而增加。命令执行单元软件发生故障的概率总体比较小，主要是由于喷灌设备的平均失效时间为 6 个月，且喷灌设备的冗余率达到 100%，硬件设备质量的提高及硬件冗余度的增加，对于提高命令执行单元软件的可靠性具有很大帮助。智能决策单元在系统运行初期发生故障的概率较高，随着系统的长期运行，故障率逐渐趋于平稳。在本研究中，信息处理单元和控制中心单元的软件的平均故障率相同。因此，在图 3 中，用一条故障率曲线表示，二者由于每天 1 次的瞬时故障，导致嵌入式软件系统运行早期故障率较高; 但从长期运行来看，二者的故障率总体也趋于平稳，故障率水平并没有显著升高。

根据嵌入式软件的模型，通过计算来分析各个子软件系统的长期故障率，如表 1 所示。虽然软件子系统的故障发生情况高低不同，但通过对该嵌入式软件模型的设计阶段的可靠性验证，系统中软件的故障主要集中在数据采集单元。根据该结论，对于实际中智能灌溉系统的部署，可以在不改变软件设计模型的情况下，通过增加传感器的冗余度，或者选择可靠高的传感器硬件设备，提高系统的可靠性; 也可以对数据采集单元的嵌入式软件子系统重新进行设计，从软件的角度提高系统的可靠性。

4 结论

发展智能灌溉系统对于我国节约水资源，实现精准农业有着十分重要的意义。在本文中，将 OMG 针对嵌入式软件提出的 MAＲTE 建模方法应用到智能灌溉系统的软件可靠性验证中。该方法的优点是，在软件的设计阶段，对系统软件内部和软件之间的各种交互进行验证，避免由于软件设计错误导致的系统故障，提高嵌入式软件设计的可靠性。实例分析表明，使用 MAＲTE 建立智能灌溉系统的嵌入式软件模型，采用形式化方法进行验证，能够精确地计算出各个软件子系统的故障情况，有助于在智能灌溉系统的实际部署中，有针对性地选择硬件和改进软件，提高整个智能灌溉系统的可靠性。

参考文献（略）