13、基于模型开发的关键网络物理医疗设备系统

基于模型开发的关键网络物理医疗设备系统

1. 需求建模与系统范围界定

在开发关键网络物理医疗设备系统时，精确的需求定义至关重要。例如，对于药物输注系统，有这样的需求规定：“在输注期间，如果连续超过 Y 分钟或累计超过 Z 分钟的情况发生”，以及“如果在输注期间的任意 P 连续分钟内输送的药物体积超过该间隔内规定输注体积的 Q%，软件应发出过度输注警报”。通过这样的建模练习，不仅能明确软件的精确需求，还能确定在捕获网络物理系统需求时应考虑的需求类别，如准确性、上升/下降时间、变化率、过冲或最大偏差、稳定时间和累积误差等。

系统和组件范围的明确划分是精确陈述需求的关键。确定系统边界是需求工程中的经典挑战，不同工程学科在确定系统范围时分析不足，是网络物理系统（CPS）失败的重要原因。系统的边界确定不仅涉及系统与环境的接口，其层次结构（系统架构）也很关键。大多数系统由多个可管理的子系统组成，为确保子系统组合后满足整体系统需求，设计者需明确系统结构（包括组件及连接方式），并将适当的需求分配给每个组件。

以 GPCA 系统为例，需求范围的选择对开发和安全保障工作有深远影响。若从规定药物剂量角度编写需求，可暂时不讨论输入错误（临床医生将规定剂量输入泵属于系统一部分）；从开发角度看，按泵界面输入的剂量编写输注泵需求更合适，此时临床医生不属于泵系统，输入错误属于其环境因素。

为辅助 GPCA 系统的范围界定及建立系统与环境、组件间的严格接口，采用了架构建模。架构建模有助于通过特定抽象层次的输入和输出一致地表达需求。为 GPCA 开发的架构模型使用了架构分析和描述语言（AADL），它清晰定义了系统的接口（输入和输出变量）。由于 GPCA 规模较大，为管理复杂性和保持可控性，将其分