徐志偉 曾 琛 朝 魯 彭曉暉

(中國(guó)科學(xué)院計(jì)算技術(shù)研究所 北京 100190) (中國(guó)科學(xué)院大學(xué) 北京 100049)

《計(jì)算機(jī)研究與發(fā)展》已創(chuàng)刊60年，可喜可賀！

自ENIAC問世，世界計(jì)算機(jī)事業(yè)已有了70余年的發(fā)展歷史.圖靈獎(jiǎng)得主Butler Lampson以計(jì)算機(jī)應(yīng)用為主線，將計(jì)算事業(yè)發(fā)展進(jìn)程劃分為3個(gè)階段[1].他認(rèn)為：每隔30年會(huì)出現(xiàn)一波計(jì)算機(jī)新應(yīng)用(“Every 30 years there is a new wave of things that computers do”).1950年到今天是第一波，稱為模擬(simulation， model)，其特征是對(duì)物理世界和人類社會(huì)的各種活動(dòng)建模計(jì)算，如核武器數(shù)值模擬、蛋白質(zhì)折疊、公司工薪系統(tǒng)、計(jì)算機(jī)游戲等.1980年到今天是第二波，稱為互聯(lián)通信(communication， connect)，其特征是通過計(jì)算機(jī)實(shí)現(xiàn)人的互聯(lián)(“connect people”)，如電子郵件、電子商務(wù)、搜索引擎等.2010～2040年正在出現(xiàn)第三波，稱為具象(embodiment，engage)，其特征是計(jì)算機(jī)被賦予各種具體的物理器物形態(tài)，使得計(jì)算機(jī)密切融入物理世界(“engage with the physical world in a non-trivial way (embodiment—giving them bodies)”)，初步的例子包括無人車、機(jī)器人、智能微塵等.

中國(guó)科學(xué)院的《中國(guó)至2050年信息科技發(fā)展路線圖》研究提出了相近的觀點(diǎn)[2-3].這項(xiàng)2007年啟動(dòng)的研究判斷，到2035年，中國(guó)將初步實(shí)現(xiàn)普惠計(jì)算(computing for the masses)，計(jì)算模式將實(shí)現(xiàn)從人機(jī)共生向人機(jī)物社會(huì)的過渡，即從人機(jī)二元計(jì)算拓展到人機(jī)物三元計(jì)算(human-cyber-physical ternary computing)，其中“物”指的是三元計(jì)算中的物理世界(computing in the ternary universe of the human society, the cyberspace, and the physical world)[3].這個(gè)判斷啟發(fā)了中國(guó)科學(xué)院設(shè)立新一代信息技術(shù)戰(zhàn)略性先導(dǎo)專項(xiàng)，產(chǎn)出了海云計(jì)算、寒武紀(jì)深度學(xué)習(xí)處理器等創(chuàng)新成果[4].

未來計(jì)算機(jī)應(yīng)用將兼有模擬、互聯(lián)、具象特征，是人機(jī)物融合的三元計(jì)算應(yīng)用系統(tǒng).我們將這個(gè)宏觀應(yīng)用趨勢(shì)稱為智能萬物互聯(lián)趨勢(shì)，并將2010～2040時(shí)段稱為智能萬物互聯(lián)時(shí)代.業(yè)界已經(jīng)出現(xiàn)了新的研究方向，例如物聯(lián)網(wǎng)(Internet of things)、智能萬物互聯(lián)網(wǎng)(smart Internet of things, intelligent Internet of everything, smart Web of everything等)、海云計(jì)算(cloud-sea computing)、邊緣計(jì)算(edge computing)、物端計(jì)算系統(tǒng)[4-10]等.

這些系統(tǒng)的“智能”是什么呢？Jordan最近將智能研究分為3類方向[11]:

1) 模仿人的智能(human-imitative AI， AI)，如下棋贏了世界冠軍.

2) 增強(qiáng)人的智力與創(chuàng)造力(“intelligence aug-mentation” ， IA)，如搜索引擎拓展了人的記憶力.

3) 智能基礎(chǔ)設(shè)施(intelligent infrastructure， II)，“whereby a web of computation, data and physical entities exists that makes human environments more supportive, interesting and safe.” Jordan教授特別指出，智能基礎(chǔ)設(shè)施(II)遠(yuǎn)不是當(dāng)今的物聯(lián)網(wǎng)，它需要發(fā)展出“far higher level of abstraction”去應(yīng)對(duì)“far grander set of challenges”[11].

產(chǎn)業(yè)界已經(jīng)做了大量將計(jì)算機(jī)拓展到物理世界的工作.根據(jù)BI Intelligence公司的市場(chǎng)研究，全球物聯(lián)網(wǎng)設(shè)備(不含智能手機(jī))裝機(jī)量在2017年已經(jīng)超過90億個(gè)，在2025年將超過550億個(gè)[12].同時(shí)，2個(gè)生態(tài)問題也日益明顯：1)昆蟲綱悖論，即物聯(lián)網(wǎng)生態(tài)嚴(yán)重碎片化；2)用戶數(shù)據(jù)過度集中，尤其是集中到大廠商，以至于萬維網(wǎng)(WWW)發(fā)明者Tim Berners-Lee大力呼吁“重新去中心化”(redecentralize)[13]，并在2018年9月正式發(fā)起了名為Solid的新平臺(tái)[14].

這些問題不只是商業(yè)模式和管理學(xué)問題，也是計(jì)算機(jī)科技問題.我們需要協(xié)調(diào)的、甚至統(tǒng)一的分布式系統(tǒng)體系結(jié)構(gòu)抽象，同時(shí)支持解決3個(gè)難點(diǎn)問題：創(chuàng)新自由、安全隱私、合規(guī)治理，從而應(yīng)對(duì)上述2個(gè)生態(tài)問題.借鑒面向服務(wù)的體系結(jié)構(gòu)(service-oriented architecture， SOA)[15]和REST(representational state transfer)體系結(jié)構(gòu)風(fēng)格的成功經(jīng)驗(yàn)[16]，本文提出這樣一種體系結(jié)構(gòu)風(fēng)格，稱為面向控域的體系結(jié)構(gòu)(zone-oriented architecture， ZOA).

ZOA是一種面向智能萬物互聯(lián)、針對(duì)智能基礎(chǔ)設(shè)施(II)的體系結(jié)構(gòu)風(fēng)格，其核心學(xué)術(shù)概念是控域，用以劃分人機(jī)物三元世界并界定其子集范圍.控域的基本思想是：像蘋果智能手機(jī)那樣用一套控制策略支持全球移動(dòng)互聯(lián)網(wǎng)的方式，難以支持全球智能萬物互聯(lián)網(wǎng)；但可將全網(wǎng)劃分成多個(gè)控域，每個(gè)有自己的統(tǒng)一或相容的控制策略.控域各有利弊，需要用計(jì)算機(jī)科學(xué)的方法將控制權(quán)及其范圍刻畫并揭示出來，以分析和指導(dǎo)設(shè)計(jì)分布式計(jì)算體系結(jié)構(gòu)，供開發(fā)者、運(yùn)維者、用戶選擇使用.ZOA只是提供底層體系結(jié)構(gòu)風(fēng)格支撐，它本身并不能解決智能萬物互聯(lián)系統(tǒng)所面對(duì)的2個(gè)生態(tài)問題與3個(gè)難點(diǎn)，需要開發(fā)者、運(yùn)維者、用戶積極參與.

1 控域研究問題分析

ZOA瞄準(zhǔn)2個(gè)生態(tài)問題：昆蟲綱悖論和數(shù)據(jù)集中問題.這2個(gè)問題出現(xiàn)的本質(zhì)原因之一，是難以同時(shí)解決創(chuàng)新自由、安全隱私、合規(guī)治理3個(gè)難題.這些問題表面上看是商業(yè)模式和管理模式問題，而不是計(jì)算機(jī)科學(xué)技術(shù)問題.但是，歷史經(jīng)驗(yàn)表明，有些貌似經(jīng)濟(jì)學(xué)和管理學(xué)的問題，本質(zhì)上需要新技術(shù)的支持.例如，分時(shí)(time sharing)技術(shù)支持了從批式計(jì)算到交互式計(jì)算的使用模式轉(zhuǎn)變；DevOps技術(shù)支持了云計(jì)算服務(wù)快速迭代，改變了軟件開發(fā)的管理流程；應(yīng)用商店(app store)技術(shù)將PC應(yīng)用開發(fā)使用模式變革為更加適合移動(dòng)互聯(lián)網(wǎng)和智能手機(jī)的開發(fā)使用模式，也改變了應(yīng)用軟件的銷售模式.

1.1 昆蟲綱悖論

借鑒Lampson博士的思想，我們將互聯(lián)通信時(shí)代的連接人的設(shè)備稱為人端設(shè)備，如PC機(jī)、智能手機(jī)；將具象時(shí)代(智能萬物互聯(lián)時(shí)代)融入物理世界的設(shè)備稱為物端設(shè)備.另外我們還有不直接與人和物連接的云端設(shè)備.以物端設(shè)備為主的計(jì)算模式稱為物端計(jì)算，相應(yīng)的軟硬件系統(tǒng)稱為物端計(jì)算系統(tǒng).

學(xué)術(shù)界和產(chǎn)業(yè)界已有多個(gè)預(yù)測(cè)，顯示未來我們將有萬億級(jí)數(shù)量的物端設(shè)備(trillions of things, smart devices)[17].每個(gè)物端設(shè)備都會(huì)有處理器芯片，運(yùn)行系統(tǒng)軟件和應(yīng)用軟件.也就是說，智能萬物互聯(lián)時(shí)代將需要萬億套處理器芯片與系統(tǒng)軟件.即使每套設(shè)備平均只售1美元，那也是上萬億美元的市場(chǎng).這還不包括應(yīng)用軟件與服務(wù)的市場(chǎng).

但事實(shí)上，每個(gè)廠商的物端市場(chǎng)都比較小.物聯(lián)網(wǎng)已經(jīng)提出了近20年，全球市場(chǎng)上還沒有一家年出貨量上億臺(tái)的物端設(shè)備公司.這與智能手機(jī)市場(chǎng)形成了鮮明對(duì)比.

這個(gè)矛盾現(xiàn)象被業(yè)界稱為碎片化.我們稱其為昆蟲綱悖論：

1) 正題.未來我們將有萬億級(jí)數(shù)量的物端設(shè)備.

2) 反題.多年來沒有出現(xiàn)一種年出貨量上億臺(tái)的物端設(shè)備.

3) 解釋和意義.日本東京大學(xué)的坂村健教授認(rèn)為，人端設(shè)備市場(chǎng)像哺乳動(dòng)物綱(5 000個(gè)物種)，物端設(shè)備市場(chǎng)像昆蟲綱(5 000 000個(gè)物種)[7].我們可能會(huì)面臨這樣一種未來，開發(fā)者要為上百萬種異構(gòu)物端設(shè)備開發(fā)應(yīng)用，用戶將面對(duì)這些設(shè)備不能自動(dòng)實(shí)現(xiàn)互操作互理解的難題.這是一個(gè)巨大的挑戰(zhàn)，需要發(fā)展新的技術(shù)應(yīng)對(duì).

1.2 數(shù)據(jù)集中問題

數(shù)據(jù)過度集中問題在PC互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代就已經(jīng)出現(xiàn)了.全球數(shù)十億用戶的大量數(shù)據(jù)集中在少數(shù)互聯(lián)網(wǎng)廠商手中，包括跨國(guó)公司手中，帶來了隱私泄露、創(chuàng)新受阻、巨頭壟斷乃至國(guó)家主權(quán)問題.

數(shù)據(jù)集中在互聯(lián)網(wǎng)廠商手中，有利于各個(gè)廠商更好地提升科技和業(yè)務(wù)水平，快速推出更好的產(chǎn)品和服務(wù)，對(duì)產(chǎn)業(yè)和用戶都有益處.但這不是唯一的模式，更不能認(rèn)為用戶數(shù)據(jù)過度集中是理所當(dāng)然的.

歐盟在2016年發(fā)布的《通用數(shù)據(jù)保護(hù)條例》(general data protection regulation， GDPR)[18]，就是從法律層面糾正數(shù)據(jù)過度集中現(xiàn)象的一項(xiàng)舉措.Tim Berners-Lee在2018年正式發(fā)起的Solid平臺(tái)，則是從科技層面糾正數(shù)據(jù)過度集中的行動(dòng)，其核心概念是“個(gè)人在線數(shù)據(jù)”(personal online data， POD)，目的是將用戶數(shù)據(jù)去中心化[14].

在智能萬物互聯(lián)時(shí)代，數(shù)據(jù)過度集中問題變得更加重要，因?yàn)橛?jì)算機(jī)應(yīng)用拓展到了物理世界，而物端設(shè)備是人機(jī)物三元世界中感知與控制物理世界的數(shù)據(jù)出入口，位置十分關(guān)鍵.物端設(shè)備數(shù)據(jù)的過度集中，不僅影響用戶的信息空間體驗(yàn)，還影響用戶的物理世界體驗(yàn).

1.3 創(chuàng)新自由難題

創(chuàng)新自由難題，就是創(chuàng)新自由與無縫智能的矛盾.這里“自由”意味著不需要?jiǎng)e人批準(zhǔn).創(chuàng)新自由度最大的一個(gè)例子是公域軟件(public domain software).這類開源軟件可以隨意使用并修改，不需要原開發(fā)者的批準(zhǔn)，甚至不需要告知他/她.這類生態(tài)稱為無羈絆(tetherless)生態(tài)，是Tim Berners-Lee和Jim Hendler等WWW和Semantic Web創(chuàng)新者大力提倡的.

創(chuàng)新自由度很小的一個(gè)例子是聯(lián)網(wǎng)電器，例如空氣凈化器.假如某位第三方開發(fā)人員想創(chuàng)新一個(gè)新應(yīng)用，融合城市空氣質(zhì)量監(jiān)測(cè)站的數(shù)據(jù)，使得空氣凈化器能夠更加智能地自動(dòng)調(diào)節(jié)室內(nèi)空氣質(zhì)量.這必須得到空氣凈化器廠商的同意.這類生態(tài)稱為有羈絆(tethered)生態(tài).

羈絆生態(tài)流行的科技原因，是物端設(shè)備系統(tǒng)領(lǐng)域尚未找到一種技術(shù)，既能像WWW中增添網(wǎng)頁那樣無羈絆，又能保證無縫智能的用戶體驗(yàn)[19].一個(gè)物端設(shè)備廠商要支持第三方應(yīng)用開發(fā)者的創(chuàng)新自由，又要支持與其他廠商的設(shè)備互操作，可能導(dǎo)致顯著增加開發(fā)成本，甚至降低自己產(chǎn)品的用戶體驗(yàn).

近年來，亞馬遜公司針對(duì)其Echo智能音箱產(chǎn)品線，提出了Alexa Skills概念，允許第三方開發(fā)智能音箱的App，改進(jìn)了創(chuàng)新自由度.騰訊公司的微信系統(tǒng)提出的訂閱號(hào)與小程序概念，是移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的類似例子.但是，這些生態(tài)仍然是有羈絆生態(tài).Alexa Skills綁定在了亞馬遜智能音箱，不能被小米公司的智能音箱所用.這與WWW形成鮮明對(duì)比，很多網(wǎng)頁不用修改，就能被多個(gè)廠商的瀏覽器渲染出來.

1.4 安全隱私難題

安全隱私難題，難在解決或平衡安全隱私與開放分享的矛盾.這個(gè)難題在PC互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代就已經(jīng)存在.在智能萬物互聯(lián)時(shí)代，由于物端設(shè)備位于感知與控制物理世界的數(shù)據(jù)出入口位置，安全隱私難題變得更有挑戰(zhàn)性和迫切性.

如果物端設(shè)備不開放，或其用戶數(shù)據(jù)不分享，安全隱私問題就不會(huì)這么嚴(yán)重，但智能萬物互聯(lián)就難以實(shí)現(xiàn).在移動(dòng)互聯(lián)網(wǎng)時(shí)代，蘋果公司在iPhone生態(tài)中，其技術(shù)棧采取了多種措施來改善安全隱私防護(hù)，例如App Store的審計(jì)機(jī)制、不準(zhǔn)第三方開發(fā)者修改硬件和系統(tǒng)軟件(只能開發(fā)應(yīng)用軟件)等.但是，iPhone生態(tài)的開放程度遠(yuǎn)不如安卓生態(tài)，也使得安卓手機(jī)更加鼓勵(lì)競(jìng)爭(zhēng)，后來居上，造福了更多用戶.

支付寶等移動(dòng)支付技術(shù)的成功，為解決安全隱私難題提供了一個(gè)值得借鑒的案例，畢竟它們涉及實(shí)體經(jīng)濟(jì)體驗(yàn)，以及用戶最需要安全隱私保護(hù)的一個(gè)對(duì)象：錢.昆蟲綱悖論帶來了新挑戰(zhàn).今天我們只需要掃3種二維碼(對(duì)應(yīng)3個(gè)支付生態(tài))：支付寶、微信或銀聯(lián).智能萬物互聯(lián)時(shí)代，我們很可能會(huì)應(yīng)對(duì)百萬量級(jí)的生態(tài)，在分享交換萬億級(jí)物端設(shè)備的多種多樣的數(shù)據(jù)資產(chǎn)時(shí)，難道需要掃百萬種二維碼嗎？

1.5 合規(guī)治理難題

合規(guī)治理難題，難在平衡依法監(jiān)管與合規(guī)成本的矛盾.其中，“規(guī)”包括社區(qū)規(guī)范、企業(yè)自律、政府依法監(jiān)管等.

歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)是政府依法監(jiān)管的例子.谷歌公司近期出于內(nèi)部員工的抗議，退出美國(guó)防部100億美元云計(jì)算項(xiàng)目競(jìng)標(biāo)，是企業(yè)自律的例子.這些都需要增加企業(yè)成本.

社區(qū)規(guī)范的一個(gè)例子是Linux開源軟件社區(qū).Linux社區(qū)向全世界開放，內(nèi)部有一套規(guī)范，以保障全球開發(fā)者能夠生產(chǎn)出高質(zhì)量代碼.Linus Tovarlds發(fā)明的Git技術(shù)以及github,gitlab等系統(tǒng)，由于提供了lightweight branch,pluggable merge等技術(shù)能力，提升了Linux開源社區(qū)的分布式開發(fā)創(chuàng)新自由度和代碼迭代速度，降低了合規(guī)成本[20].

中國(guó)的一個(gè)例子是云賬戶公司，它已為上千萬自由職業(yè)者提供了一個(gè)自動(dòng)納稅云服務(wù)，降低了多達(dá)上億成員的自由職業(yè)者社區(qū)依法納稅的合規(guī)成本[21].

1.6 控域的需求特征

從計(jì)算機(jī)科學(xué)技術(shù)角度看，上述2個(gè)生態(tài)問題與3個(gè)難點(diǎn)的本質(zhì)是需要一個(gè)計(jì)算機(jī)系統(tǒng)抽象，規(guī)定控制權(quán)及其范圍，我們稱之為控域(zone of control，zone of rights，zone of governance).用程序設(shè)計(jì)語言的術(shù)語說，這個(gè)抽象最好是原生抽象(native citizen，first-class citizen).

利用控域概念與面向控域的體系結(jié)構(gòu)，有助于分析、設(shè)計(jì)和優(yōu)化智能萬物互聯(lián)系統(tǒng)，揭示并避免不必要的生態(tài)碎片化.控域的基本創(chuàng)新思想借鑒了物理世界和人類社會(huì)的現(xiàn)實(shí).例如，人的生活空間包括公共空間(小區(qū)和小區(qū)外)與私人空間(家里的客廳、盥洗間等),它們的自由度、安全隱私、治理策略是不一樣的.盥洗間一般不會(huì)安裝監(jiān)控器，警察也不能隨意進(jìn)入公民家庭的私人空間.

從需求看，控域需要具備FAST特征：

1) 有限描述(Finite description).對(duì)用戶和開發(fā)者而言，控域的策略和范圍描述足夠精準(zhǔn)易懂(例如Unix文件的路徑名和訪問控制屬性).最好的情況是用戶感受不到控域(描述為空集).最壞的情況下，每一個(gè)控域可被有限狀態(tài)自動(dòng)機(jī)描述,不需要艱深的專家知識(shí)，不涉及扯皮打官司.

2) 自動(dòng)實(shí)施(Automatic enforcement).控域的策略實(shí)施能夠被計(jì)算系統(tǒng)自動(dòng)執(zhí)行.

3) 選擇自由(Selectivity freedom).面向控域的體系結(jié)構(gòu)需要描述和支持多種多樣的控域策略與范圍，提供足夠多的選項(xiàng)供開發(fā)者和用戶選擇，在創(chuàng)新自由、用戶體驗(yàn)、安全隱私、開放共享、依法治理、合規(guī)成本等方面做合適的平衡.也就是說，用戶總能選擇到滿足自己需求的控域.

4) 終止保證(Terminating).涉及控域的操作，包括對(duì)控域計(jì)算性質(zhì)的判定，都會(huì)停機(jī).即使出現(xiàn)少量不停機(jī)的情況，也要設(shè)定并拋出超時(shí)異常.

2 面向控域的體系結(jié)構(gòu)

本節(jié)借鑒關(guān)系數(shù)據(jù)庫[22]和REST體系結(jié)構(gòu)風(fēng)格[16]的成功經(jīng)驗(yàn)，提出面向控域的體系結(jié)構(gòu)，作為一種智能萬物互聯(lián)的體系結(jié)構(gòu)風(fēng)格.在設(shè)計(jì)智能萬物互聯(lián)系統(tǒng)時(shí)，需要考慮該系統(tǒng)應(yīng)有多少控域、各個(gè)控域的組成以及滿足哪些范式，并盡量遵守體系結(jié)構(gòu)設(shè)計(jì)原則(又稱為體系結(jié)構(gòu)約束，即architectural constraints).

2.1 可訪問與可交互

本文定義設(shè)備間具備2個(gè)層次的操作能力：可訪問、可交互.

1) 可訪問.設(shè)備存在接口、權(quán)限及連接方式使其能被至少一種其他設(shè)備訪問.

2) 可交互.設(shè)備存在至少一種開放接口及協(xié)議.

可訪問里的“訪問”一詞強(qiáng)調(diào)從設(shè)備外訪問本設(shè)備的可達(dá)性，可訪問通常體現(xiàn)為：1)設(shè)備自身可訪問，如設(shè)備提供TCP端口，其他設(shè)備使用私有的應(yīng)用層協(xié)議對(duì)該設(shè)備進(jìn)行訪問；2)設(shè)備經(jīng)過一系列連接中轉(zhuǎn)使其接口暴露在另一個(gè)設(shè)備上，從而可被訪問.例如，物聯(lián)網(wǎng)設(shè)備通過Zigbee協(xié)議[23]連接到小型網(wǎng)關(guān)，小型網(wǎng)關(guān)連接入云并最終將設(shè)備的功能暴露在云端的TCP端口.目前，物聯(lián)網(wǎng)設(shè)備普遍采用第2種訪問方式，對(duì)于廠商來說，其主要好處是設(shè)備連接方式易集中管理、協(xié)議接口可統(tǒng)一設(shè)計(jì)、可沿用成熟的云計(jì)算架構(gòu)方案.

可交互里的“交互”一詞強(qiáng)調(diào)不同廠商間對(duì)接口和協(xié)議的互理解和互操作能力，可交互通常體現(xiàn)為：1)統(tǒng)一接口和協(xié)議，如不同廠商設(shè)備間約定采用DLNA[24]接口及協(xié)議，則遵從該統(tǒng)一接口協(xié)議的設(shè)備間可任意交互.2)開放接口和協(xié)議，如廠商A可開放自產(chǎn)設(shè)備的全部接口協(xié)議文檔信息，則廠商B和廠商C的開發(fā)人員可以針對(duì)廠商A的協(xié)議進(jìn)行轉(zhuǎn)換和適配，從而使廠商B與C的設(shè)備能夠與廠商A的設(shè)備實(shí)現(xiàn)交互.目前各物聯(lián)網(wǎng)廠商主要采用開放接口和協(xié)議的方式實(shí)現(xiàn)可交互能力.在某些碎片化不是太嚴(yán)重的單個(gè)應(yīng)用領(lǐng)域，如裝備制造、醫(yī)療器械等領(lǐng)域通常采用行業(yè)規(guī)范的方式制定統(tǒng)一接口和協(xié)議.

綜上所述，可交互是可訪問的提升，實(shí)現(xiàn)可交互的設(shè)備一定可訪問，但實(shí)現(xiàn)可訪問的設(shè)備不保證可交互.

2.2 控域及其范式理論

2.2.1 控域代數(shù)

控域代數(shù)是由如下定義的元素和算子組成的閉包.元素是控域.算子是對(duì)控域的操作，其結(jié)果也是控域.

定義計(jì)算設(shè)備集D={di}，其中物端設(shè)備集為TD，符合TD?D.若設(shè)備dj的可訪問性需要依賴于設(shè)備di傳遞而來，則稱dj可訪問依賴于di，記為dj→di，其對(duì)應(yīng)的集合記為可訪問依賴集|→.可訪問依賴關(guān)系是一種偏序關(guān)系，滿足非對(duì)稱性和傳遞性.與嚴(yán)格偏序關(guān)系不同的是，若一個(gè)設(shè)備di的可訪問性存在且不依賴任何其他設(shè)備，則該設(shè)備的可訪問依賴具有自反性，記為di→di，也可稱該設(shè)備為接入設(shè)備.接入設(shè)備是網(wǎng)絡(luò)接入點(diǎn)，也是可訪問依賴關(guān)系經(jīng)過多級(jí)傳遞后必須抵達(dá)的終點(diǎn).若2個(gè)接入設(shè)備間可交互，則存在I(di,dj)，反之則不存在該關(guān)系.

控域(zone,簡(jiǎn)稱Z)是一組計(jì)算設(shè)備及其可訪問依賴偏序的集合，記為Z=(D,|→).若控域Z中存在以設(shè)備di為起點(diǎn)并以接入設(shè)備為終點(diǎn)的可訪問依賴關(guān)系，則稱使得設(shè)備di具備可訪問性的最精簡(jiǎn)控域子集為設(shè)備di的控元(zone unit of control, 簡(jiǎn)稱為ZU)，記為Z|di.其中最精簡(jiǎn)的含義是，移除控元中的任意設(shè)備都將導(dǎo)致設(shè)備di的可訪問性失效.單一設(shè)備允許存在不同的控元中.

控域代數(shù)是基于集合理論構(gòu)建的代數(shù)系統(tǒng)，并借鑒了關(guān)系代數(shù)的部分概念[22]，包含的基本算子有4種：

1) 控域并.控域Z1和控域Z2的并集，記為Z1∪Z2=(D1∪D2,|→1∪|→2).該算子用于2個(gè)控域的融合及控域的創(chuàng)建.例如，若D={d1,d2}，|→={d1→d2,d2→d2}，則Z=?∪(D,|→)表示創(chuàng)建一組包含設(shè)備D和可訪問依賴關(guān)系|→的控域；若Z1={d1,d2|d1→d2,d2→d2}，Z2={d2,d3|d3→d2,d2→d2}，則Z1∪Z2={d1,d2,d3|d1→d2,d3→d2，d2→d2}.

2) 控域交.控域Z1和控域Z2的交集，記為Z1∩Z2=(D1∩D2,|→1∩|→2).該算子用于2個(gè)控域共有設(shè)備的查詢.例如，Z1={d1,d2|d1→d2，d2→d2}，Z2={d2,d3|d3→d2,d2→d2}，則Z1∩Z2={d2|d2→d2}.

3) 控域差.控域Z1與Z2的差集，記為Z1-Z2=(D1-D2,|→1-|→2).該算子用于從控域中移除指定設(shè)備.例如，Z=Z-{di|di→di}表示從控域Z中移除設(shè)備di.若Z1={d1,d2|d1→d2，d2→d2}，Z2={d2,d3|d3→d2,d2→d2}，則Z1-Z2={d1|d1→d2}，而實(shí)際上由于d2及d2的自反性可訪問依賴已經(jīng)不存在，d1→d2的可訪問依賴失效，控域差結(jié)果可化簡(jiǎn)為Z1-Z2={d1}.

4) 控域投影.對(duì)于約束C及其集合映射函數(shù)πC，控域Z在約束C下的投影可記為ZC=πC(Z)，并滿足ZC?Z.約束C可包含安全策略、延遲、能耗、功能、時(shí)空范圍等多重含義.例如，將控域Z投影至家庭環(huán)境范圍約束Chome，表示為Z′=πChome(Z)；將控域Z投影至最大允許100 ms的延時(shí)范圍約束C100ms，表示為Z′=πC100ms(Z).

2.2.2 控域范式

控域可形成3個(gè)逐層相容的控域范式(normal form，NF)：

1) 控域第一范式(1NF)——訪問范式

如圖1所示，從左向右依次列舉了可能的4組不同控域示例情況.最左邊一組描述了云設(shè)備d1和物端設(shè)備d2各自作為控元的情況，即設(shè)備能獨(dú)立聯(lián)網(wǎng)且可訪問，該控元分別記為Z|d1={d1|d1→d1}和Z|d2={d2|d2→d2}；第2組情況描述了d4必須經(jīng)過d3才能可訪問，則d4的控元記為Z|d4={d3,d4|d4→d3,d3→d3}；第3組情況描述了d7設(shè)備通過私有協(xié)議連接d6網(wǎng)關(guān)設(shè)備，經(jīng)過d6的協(xié)議轉(zhuǎn)換后連接到云設(shè)備d5可訪問，d7的控元為Z|d7={d5,d6,d7|d7→d6,d6→d5,d5→d5}；最后一組情況描述了，2個(gè)設(shè)備d9和d10共同需要通過d8實(shí)現(xiàn)可訪問，設(shè)備d9和d10的控元分別為Z|d9={d8,d9|d9→d8,d8→d8}以及Z|d10={d8,d10|d10→d8,d8→d8}.在本示例中，由于所有設(shè)備均在控元中，不存在不可訪問的設(shè)備，因此控域Z滿足第一范式.在物聯(lián)網(wǎng)場(chǎng)景中，現(xiàn)有大部分設(shè)備基本都符合控域第一范式要求，主要方式是端云間通過私有協(xié)議互聯(lián)，云端暴露私有接口，最終手機(jī)端通過訪問云端接口實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)設(shè)備的訪問.

Fig. 1 The 1st normal form of zone圖1 控域第一范式示意圖

2) 控域第二范式(2NF)——交互范式

如果控域Z∈1NF且Z內(nèi)的接入設(shè)備間均可交互，即?di→di,dj→dj∈Z，均存在I(di,dj)，則Z∈2NF.第二范式的約束含義是2NF控域內(nèi)任意設(shè)備間均存在交互操作的能力.

如圖2所示，相對(duì)于圖1而言，各控元間通過兩兩的開放協(xié)議方式實(shí)現(xiàn)了控元間的可交互能力，因此Z滿足了第二范式.在針對(duì)物聯(lián)網(wǎng)場(chǎng)景中，少數(shù)物聯(lián)網(wǎng)廠商間初步形成了第二范式，例如亞馬遜物聯(lián)網(wǎng)云與各廠家設(shè)備云之間通過開放文檔和計(jì)算服務(wù)的方式實(shí)現(xiàn)了交互能力.

Fig. 2 The 2nd normal form of zone圖2 控域第二范式示意圖

3) 控域第三范式(3NF)——互聯(lián)范式

如果控域Z∈2NF且Z內(nèi)的任意物端設(shè)備所在的控元中僅包含物端設(shè)備，即?di∈Z∧di∈TD，均存在Z|di的設(shè)備集都屬于物端設(shè)備集TD，則Z∈3NF.第三范式的約束含義是3NF控域的設(shè)備不需要依賴于云設(shè)備便具備可交互能力.

如圖3所示，在圖2的基礎(chǔ)上，我們大幅縮減了物端設(shè)備的可訪問依賴關(guān)系長(zhǎng)度，即設(shè)備自身就能夠提供可訪問和可交互能力，使得物端設(shè)備的控元范圍內(nèi)僅包含物端設(shè)備.因此，控域可以在更多的小型化控元上進(jìn)行構(gòu)建，豐富了控域的多樣化程度.例如圖3可以構(gòu)建任意物端設(shè)備間的控域，其中Z1和Z2就是滿足控域第三范式的一種可能劃分.在針對(duì)物聯(lián)網(wǎng)場(chǎng)景中，僅有極少數(shù)廠商的設(shè)備能夠滿足第三范式，例如遵從DLNA協(xié)議[24]的多廠商智能設(shè)備、飛利浦Hue系列的智能燈泡等.

Fig. 3 The 3rd normal form of zone圖3 控域第三范式示意圖

2.2.3 控域范式驗(yàn)證

本節(jié)將通過3個(gè)觀察角度，闡述如何利用機(jī)器判別控域范式滿足性.圖4展示不同視角下的案例來源于圖1～3.

Fig. 4 The criteria of normal forms in zone based on 3 observations圖4 基于3個(gè)觀察視角的控域范式判別方法

觀察1. 若控域Z中的每個(gè)設(shè)備都存在至少一個(gè)以設(shè)備自身開始的可訪問依賴偏序關(guān)系，則可判定Z∈1NF.如圖4(a)所示，驗(yàn)證1NF只需要驗(yàn)證圖中不存在孤立的實(shí)心黑點(diǎn).

觀察2. 在滿足觀察1的前提下，若控域Z中的所有接入設(shè)備具備全連通的交互能力，則可判定Z∈2NF.如圖4(b)所示，驗(yàn)證2NF需要在1NF的基礎(chǔ)上重點(diǎn)關(guān)注圖中具備自反性可訪問依賴的黑色圓形均被交互虛線兩兩連接.

觀察3. 在滿足觀察2的前提下，若控域Z中的所有控元中只含有同類型設(shè)備，則可判定Z∈3NF.如圖4(c)所示，驗(yàn)證3NF需要在2NF的基礎(chǔ)上重點(diǎn)關(guān)注圖中各控元內(nèi)的設(shè)備是否為一種顏色.

2.3 面向控域的架構(gòu)風(fēng)格原則

面向控域的架構(gòu)風(fēng)格原則是基于控域代數(shù)理論構(gòu)建的軟件體系結(jié)構(gòu)約束集，而如何基于這些約束指導(dǎo)設(shè)計(jì)體系結(jié)構(gòu)是面向控域架構(gòu)體系的關(guān)鍵研究問題.本文提出基于控域代數(shù)理論的2類架構(gòu)約束：1)推薦原則.設(shè)計(jì)控域架構(gòu)所須遵守的關(guān)鍵原則.2)可選原則.建議采納的原則，采納這些原則在帶來好處的同時(shí)也潛在地在特定場(chǎng)景下引入少數(shù)缺陷.

2.3.1 推薦原則

1) 互聯(lián)約束

互聯(lián)約束，即面向控域第三范式進(jìn)行架構(gòu)設(shè)計(jì)，具體含義指的是：①設(shè)備應(yīng)存在最少的訪問依賴關(guān)系，并盡可能地在物端設(shè)備上提供可訪問能力；②應(yīng)盡可能地在物端設(shè)備上提供可交互能力.

提供多樣化的控域組合能力是實(shí)現(xiàn)不同目標(biāo)計(jì)算架構(gòu)的關(guān)鍵.符合第三范式的分布式架構(gòu)由于滿足最小控元和可訪問依賴關(guān)系，提供了自由完備的組合能力，即可以通過任意控元組合構(gòu)成滿足指定安全、隱私、性能等需求的專有控域.通過互聯(lián)約束，控元可從現(xiàn)有端云等垂直式架構(gòu)演變?yōu)槲锒嗽O(shè)備直接互聯(lián)的架構(gòu)，控元的數(shù)量將呈數(shù)量級(jí)增長(zhǎng)，它們之間可形成更多滿足第三范式的控域組合.

實(shí)現(xiàn)控域第三范式約束的關(guān)鍵技術(shù)途徑是采用統(tǒng)一或開放協(xié)議的去中心化架構(gòu)，使得物端設(shè)備可以直接在無中心服務(wù)器依賴的情形下提供可訪問能力和可交互能力.在物端計(jì)算中，利用Web使能方式將設(shè)備的各項(xiàng)能力開放為Web服務(wù)[10]，是一條實(shí)現(xiàn)該約束的可行技術(shù)途徑.

2) 有狀態(tài)的控域上下文

面向控域的體系結(jié)構(gòu)需要針對(duì)控域的全生命周期管理維護(hù)過程顯式地設(shè)置有狀態(tài)的控域上下文，包括控域的注冊(cè)登記、控域?qū)傩约俺蓡T的動(dòng)態(tài)調(diào)整和控域的銷毀回收.

由多設(shè)備構(gòu)成的控域可視為一個(gè)較為封閉的“控域計(jì)算機(jī)”，在設(shè)備間無狀態(tài)管理情形下，發(fā)生在彼此獨(dú)立的設(shè)備間的高頻無序交互將造成冗余的權(quán)限授權(quán)、操作低效化、任務(wù)間沖突干擾.因此，對(duì)控域內(nèi)的設(shè)備進(jìn)行有狀態(tài)的上下文記錄，是控域計(jì)算機(jī)內(nèi)各松散組件協(xié)調(diào)工作的前提條件.控域上下文的有狀態(tài)性可確保設(shè)備間不會(huì)因?yàn)楸舜瞬豢梢姷目赜驙顟B(tài)而進(jìn)行大量冗余查詢，有效降低控域內(nèi)組件的協(xié)調(diào)開銷.實(shí)現(xiàn)有狀態(tài)控域上下文的主要途徑分為中心化管理和分布式管理2種，通常后者具備更好的分布式容錯(cuò)能力，Paxos[25]，RAFT[26]等一致性算法可以為不同設(shè)備間的控域上下文的一致性管理提供理論依據(jù).

2.3.2 可選原則

1) 無狀態(tài)通信

無狀態(tài)通信約束要求設(shè)備間的交互以不維護(hù)彼此通信上下文的方式進(jìn)行.

基于有狀態(tài)通信的傳統(tǒng)物聯(lián)網(wǎng)架構(gòu)，通過精準(zhǔn)匹配上層廠商定制的具體應(yīng)用情景，設(shè)備鏈接數(shù)少，訪問方式固定，因此設(shè)備可采用TCP/IP,MQTT[27]等方式達(dá)到工作穩(wěn)定、開發(fā)成本低廉的設(shè)計(jì)目標(biāo).但在面向控域的體系結(jié)構(gòu)中，設(shè)備自身作為可訪問、可交互核心，意味著設(shè)備需要在自身資源有限的情況下承受數(shù)量更大計(jì)算服務(wù)請(qǐng)求，有狀態(tài)通信導(dǎo)致的上下文維護(hù)成本造成了資源大量消耗，并容易導(dǎo)致設(shè)備工作狀態(tài)不穩(wěn)定.無狀態(tài)通信約束可降低通信上下文管理維護(hù)的復(fù)雜度，有助于提高訪問請(qǐng)求數(shù).Roy Fielding的REST架構(gòu)風(fēng)格[16]通過無狀態(tài)約束成功支持了全球網(wǎng)絡(luò)資源的無限可擴(kuò)展性的共享訪問模式.同理，將REST架構(gòu)風(fēng)格與面向控域的架構(gòu)相結(jié)合是一種可行的研究思路.但需要指出的是，設(shè)備間的無狀態(tài)通信約束與實(shí)時(shí)交互需求能否同時(shí)滿足存在一定爭(zhēng)議，例如，實(shí)時(shí)通信協(xié)議Websocket[28]，可以通過有狀態(tài)通信優(yōu)化實(shí)時(shí)通信的延時(shí)開銷.因此，本文建議將其作為一種可選的架構(gòu)風(fēng)格約束.

2) 松耦合架構(gòu)

松耦合架構(gòu)要求架構(gòu)設(shè)計(jì)過程中避免對(duì)軟硬件系統(tǒng)做出強(qiáng)假設(shè)，包括但不限于設(shè)備位置、網(wǎng)絡(luò)連接方式、操作系統(tǒng)、硬件類型和計(jì)算任務(wù)的下發(fā)方式等.

一方面，該約束可保持面向控域的架構(gòu)始終是面對(duì)多樣化的軟硬件而設(shè)計(jì)，而面向控域架構(gòu)本身將作為中間件，將成為底層軟硬件系統(tǒng)與上層網(wǎng)絡(luò)協(xié)議的橋梁；另一方面，該約束可確保應(yīng)用開發(fā)者開發(fā)的計(jì)算任務(wù)盡可能地具備通用性，有助于降低應(yīng)用開發(fā)的勞動(dòng)復(fù)雜度.例如，T-REST[29]將REST架構(gòu)風(fēng)格推廣到物端計(jì)算系統(tǒng)，提供了由廠商以及第三方社區(qū)通過腳本語言動(dòng)態(tài)部署設(shè)備端服務(wù)的能力.同時(shí)其松耦合特性允許設(shè)備底層部署任意操作系統(tǒng)和使用各類新興網(wǎng)絡(luò)及通信協(xié)議.松耦合架構(gòu)作為可選原則，可作為未來面向控域架構(gòu)的持續(xù)演化方向.

3) 有序化資源管理

有序化資源管理要求控域設(shè)備間的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源是以統(tǒng)一管理的方式進(jìn)行申請(qǐng)、使用和調(diào)度的.

在面向時(shí)延敏感的計(jì)算任務(wù)中，用戶總是希望分布在多個(gè)位置的設(shè)備能夠如一臺(tái)計(jì)算機(jī)總線上的設(shè)備相互協(xié)調(diào)，降低沖突，并最終提高用戶體驗(yàn).有序化資源管理約束的具體含義是：①在控域注冊(cè)登記時(shí)跨設(shè)備預(yù)留多種資源，形成控域?qū)Ｓ玫馁Y源池；②在任務(wù)或事件執(zhí)行時(shí)，動(dòng)態(tài)地從資源池內(nèi)提取資源進(jìn)行使用；③在任務(wù)執(zhí)行完畢后歸還資源.資源預(yù)留可采用靜態(tài)分配或者服從優(yōu)先級(jí)安排的動(dòng)態(tài)分配等機(jī)制，以實(shí)現(xiàn)不同層級(jí)、不同粒度的資源有序化管理.該約束在云計(jì)算或分布式集群管理中已經(jīng)得到廣泛使用，諸如kubernates[30]，mesos[31]等任務(wù)資源管理框架的成功經(jīng)驗(yàn)將有助于探索面向控域的有序化資源管理研究.采用該約束的缺點(diǎn)是，資源管理會(huì)潛在地增加設(shè)備資源的管理開銷，特別是現(xiàn)階段資源受限的物聯(lián)網(wǎng)設(shè)備難以通過隔離、虛擬化技術(shù)進(jìn)行資源池化管理.

2.4 面向控域架構(gòu)約束下系統(tǒng)演化場(chǎng)景

本節(jié)將通過圖5展示如何利用控域代數(shù)理論與面向控域的架構(gòu)約束來推演和優(yōu)化現(xiàn)有的物聯(lián)網(wǎng)體系結(jié)構(gòu).本示例將展示作者于倫敦家庭中通過亞馬遜智能音箱Echo控制小米臺(tái)燈的情景，即用戶通過“Alexa，turn on the light”語音命令Echo打開小米臺(tái)燈.該場(chǎng)景是智能家庭物聯(lián)網(wǎng)中一種典型的交互模式.多次測(cè)試結(jié)果表明，從用戶發(fā)出指令到Echo確認(rèn)“燈已開啟”平均耗時(shí)3.7 s.經(jīng)過分析該場(chǎng)景的系統(tǒng)架構(gòu)，如圖5左半部分所示，Echo僅能連接亞馬遜云(位于美國(guó))，小米臺(tái)燈僅能連接小米云(位于新加坡).小米云依據(jù)亞馬遜云Alexa開放文檔，在亞馬遜云上部署了轉(zhuǎn)換函數(shù)，從而使得亞馬遜云可以將語音信息解析為開燈指令后派發(fā)給小米云.最終，小米云將指令傳輸給小米臺(tái)燈，并執(zhí)行開燈動(dòng)作.在指令處理完畢后，應(yīng)答信息原路重新傳回Echo設(shè)備.不同廠商設(shè)備之間的交互隔離造成了：1)同一家庭環(huán)境下的交互操作需要跨越多個(gè)云端服務(wù)器.在本例中，請(qǐng)求和響應(yīng)跨越了上萬公里的物理空間，增加了耗時(shí).2)用戶數(shù)據(jù)被迫傳輸并放置于云端.因此，若要實(shí)現(xiàn)用戶隱私保護(hù)的依法治理，廠商與政府將產(chǎn)生顯著的合規(guī)成本.

Fig. 5 The architectural revolutions based on ZOA in the scenario of smart speaker controlling lamp圖5 受面向控域的體系結(jié)構(gòu)風(fēng)格約束的智能音箱控制臺(tái)燈場(chǎng)景架構(gòu)演化示例

利用控域代數(shù)理論分析圖5中的左半部分，可以得出Echo和亞馬遜云形成了一個(gè)控元，小米臺(tái)燈和小米云形成了另一個(gè)控元.因此在本例中，用戶的控域包括這2個(gè)控元，也即是全部的4個(gè)設(shè)備.這形成了滿足第二范式的控域.但該控域涉及的物理范圍已經(jīng)遠(yuǎn)遠(yuǎn)超出了家庭本地的物理空間.

圖5中的右半部分演示了該系統(tǒng)體系架構(gòu)的未來演化方向.我們依次使用5條架構(gòu)約束對(duì)左半部分的原始架構(gòu)進(jìn)行約束：1)通過互聯(lián)約束，將原有控元中的非物端設(shè)備移除，使得小米云與小米臺(tái)燈、亞馬遜云與Echo形成無羈絆的互聯(lián)形態(tài).在本例中，使Echo和小米臺(tái)燈設(shè)備自身轉(zhuǎn)變?yōu)閃eb服務(wù)器，并開放它們之間的通信交互協(xié)議，從而控域的物理空間范圍可以縮小至家庭空間范圍.另外云端服務(wù)器也可轉(zhuǎn)化為獨(dú)立的控元和控域，物聯(lián)網(wǎng)設(shè)備與云端服務(wù)器之間仍然可以進(jìn)行授權(quán)的數(shù)據(jù)分享操作.2)通過無狀態(tài)通信約束將云服務(wù)器和物聯(lián)網(wǎng)設(shè)備原有的有狀態(tài)持久化通信方式進(jìn)行重塑，本例利用REST架構(gòu)風(fēng)格可實(shí)現(xiàn)最基礎(chǔ)的無狀態(tài)交互協(xié)議.3)通過松耦合架構(gòu)約束將云服務(wù)器和物聯(lián)網(wǎng)設(shè)備的功能從軟硬件架構(gòu)上解耦.本例使用了T-REST架構(gòu)風(fēng)格，開發(fā)者可以通過開發(fā)與軟硬件架構(gòu)無關(guān)的腳本代碼動(dòng)態(tài)賦予2個(gè)物聯(lián)網(wǎng)設(shè)備不同的功能.4)通過有狀態(tài)控域上下文約束，2個(gè)物聯(lián)網(wǎng)設(shè)備可保持同步的控域狀態(tài)上下文，因此彼此間的權(quán)限、狀態(tài)相互可見.5)通過有序化資源管理約束，2個(gè)物聯(lián)網(wǎng)設(shè)備都將在自身維護(hù)可用資源池，因此設(shè)備可配合不同的任務(wù)和事件需求鎖定或者優(yōu)化資源的調(diào)度分配.

以上約束帶來3種好處：1)數(shù)據(jù)的安全隱私得到了更好的保護(hù)，數(shù)據(jù)的所有權(quán)掌握在物端設(shè)備，數(shù)據(jù)分享至云端的操作需要得到用戶的授權(quán)和批準(zhǔn)，可有效降低依法治理的合規(guī)成本.2)無障礙的物端設(shè)備直接交互，初步帶來了亞秒級(jí)訪問延遲交互的可能性.若進(jìn)一步配合有序的資源管理機(jī)制，延遲有望實(shí)現(xiàn)從亞秒級(jí)到毫秒級(jí)的突破.3)松耦合的架構(gòu)約束有望實(shí)現(xiàn)設(shè)備上功能函數(shù)的可重用能力.例如，語音識(shí)別函數(shù)可以被第三方社區(qū)開發(fā)而無需考慮如何適配碎片化的軟硬件生態(tài).另外，函數(shù)可作為移動(dòng)計(jì)算負(fù)載實(shí)現(xiàn)邊緣計(jì)算理念[8]中多設(shè)備間的計(jì)算任務(wù)自動(dòng)遷移，從而使得任務(wù)執(zhí)行獲得數(shù)量級(jí)的能效提升.

3 面向控域的車聯(lián)網(wǎng)應(yīng)用場(chǎng)景

控域代數(shù)和面向控域的體系結(jié)構(gòu)可作為針對(duì)智能萬物互聯(lián)應(yīng)用場(chǎng)景的理論分析工具與架構(gòu)設(shè)計(jì)的指導(dǎo)原則.本節(jié)以車聯(lián)網(wǎng)應(yīng)用場(chǎng)景為例，分析和探索控域理論及其架構(gòu)與車聯(lián)網(wǎng)相結(jié)合，所產(chǎn)生的新研究方向并評(píng)估其發(fā)展?jié)摿?車聯(lián)網(wǎng)是需要實(shí)現(xiàn)車內(nèi)設(shè)備、車與人、車與車、車與路、車與服務(wù)平臺(tái)全方位連接的一體化網(wǎng)絡(luò)和系統(tǒng)[32].它是智能化交通、無人駕駛等新興服務(wù)的關(guān)鍵輔助技術(shù).

車聯(lián)網(wǎng)作為一種特殊的物聯(lián)網(wǎng)應(yīng)用場(chǎng)景，具有多種互聯(lián)方式.本文主要關(guān)注其中的2種：車云互聯(lián)和近鄰互聯(lián).1)車云互聯(lián)指車輛需要通過云端連接實(shí)現(xiàn)信息共享的互聯(lián)方式.其主要存在于需要大量數(shù)據(jù)沉淀融合的惠民服務(wù)中，例如車主信息服務(wù)、廠商質(zhì)量監(jiān)管、交管部門輔助辦公以及為租賃和二手交易提供信用服務(wù)等.這類服務(wù)通常要求互聯(lián)方式具備盡量可靠的連接通信，對(duì)延時(shí)等指標(biāo)要求不高.2)近鄰互聯(lián)指車與車、車與路面基礎(chǔ)設(shè)施之間的信息分享，主要用于路障規(guī)避、路徑規(guī)劃、超視距拓展等服務(wù)目標(biāo)，這類服務(wù)要求互聯(lián)方式具備低延時(shí)、高可用等特性.設(shè)計(jì)一種能同時(shí)支持車聯(lián)網(wǎng)以上2種互聯(lián)形態(tài)的高效系統(tǒng)架構(gòu)存在2個(gè)技術(shù)難點(diǎn)：1)車云與近鄰互聯(lián)的目標(biāo)均為實(shí)現(xiàn)互聯(lián)，但截然不同的服務(wù)要求造成車聯(lián)網(wǎng)架構(gòu)的沖突及冗余設(shè)計(jì)，進(jìn)一步加劇了“碎片化”設(shè)備接口適配的代價(jià)以及最終惡化了車聯(lián)網(wǎng)的應(yīng)用生態(tài).例如，相同的傳感器數(shù)據(jù)需要針對(duì)車云互聯(lián)使用HTTP協(xié)議及設(shè)計(jì)對(duì)應(yīng)RESTful接口.而針對(duì)近鄰互聯(lián)則需要使用自組織網(wǎng)絡(luò)架構(gòu)的專用實(shí)時(shí)交互協(xié)議.2)缺乏有效的車內(nèi)和車間運(yùn)行時(shí)抽象及分布式架構(gòu).傳統(tǒng)的車聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)注重單機(jī)架構(gòu)，對(duì)“碎片化”設(shè)備所需的分布式系統(tǒng)協(xié)同設(shè)計(jì)重視不足.然而，邊緣計(jì)算領(lǐng)域的研究已證實(shí)，對(duì)多臺(tái)設(shè)備進(jìn)行架構(gòu)上的聯(lián)合設(shè)計(jì)并讓任務(wù)能夠在設(shè)備間進(jìn)行計(jì)算遷移(computing offloading)，可在延時(shí)與能耗上帶來數(shù)量級(jí)的優(yōu)化[33].例如，傳輸經(jīng)視頻識(shí)別后的路況分析結(jié)果要比直接傳輸視頻幀能更有效地節(jié)約車與車間的有限帶寬，從根本上提高服務(wù)質(zhì)量.

從控域范式角度來看，車聯(lián)網(wǎng)發(fā)展經(jīng)歷了3個(gè)階段：

Fig. 6 The 1st normal form of zone in connected cars圖6 符合控域第一范式的車聯(lián)網(wǎng)場(chǎng)景

1) 車云直連(第一范式).即車通過連接廠商云服務(wù)的方式，使得車載的傳感器和控制器可以被用戶通過互聯(lián)網(wǎng)隨時(shí)隨地訪問.目前部分廠商已經(jīng)采取這種架構(gòu)實(shí)現(xiàn)了初級(jí)的車聯(lián)網(wǎng)形態(tài)，達(dá)到了用戶和廠商間信息共享的目的.常見用途包括車輛狀態(tài)監(jiān)控、車輛遠(yuǎn)程控制等.如圖6所示，每輛車都和其廠商云形成了控元，因此符合控域第一范式.但不同廠商云之間因不存在開放接口和協(xié)議而無法交互，因此不滿足控域第二范式，車與車之間協(xié)同受阻.在圖6中，車A1與A2可通過廠商云A交互分享前方緊急路況信息，而隸屬于不同廠商的車B1將無法獲得廠商A車輛傳遞的信息.

2) 車云交互(第二范式).即在車云直連的基礎(chǔ)上提供了開放的接口和協(xié)議，使得廠商云之間能彼此交互，因此滿足了控域的第二范式.在圖7中，廠商云A與廠商云B可協(xié)同交互并融成了一個(gè)聯(lián)合控域Z.車輛A1可通過云A和云B最終與B1協(xié)同交互，分享前方緊急路況信息.雖然該方式是一種實(shí)現(xiàn)車與車之間協(xié)同技術(shù)的簡(jiǎn)易途徑，但通過云中轉(zhuǎn)的通信開銷不可避免地造成了延遲的優(yōu)化瓶頸.另外，在諸如隧道、山區(qū)等信號(hào)缺失的場(chǎng)景下，車云交互存在車輛對(duì)路況反應(yīng)失靈的風(fēng)險(xiǎn).因此，僅滿足第一范式和第二范式的系統(tǒng)在延時(shí)敏感、網(wǎng)絡(luò)易失的場(chǎng)景中缺乏可用性，無法支持無人駕駛、緊急路線規(guī)避等敏感任務(wù).

Fig. 7 The 2nd normal form of zone in connected cars圖7 符合控域第二范式的車聯(lián)網(wǎng)場(chǎng)景

3) 車云互聯(lián)交互(第三范式).即在車云交互的基礎(chǔ)上，使車輛自身直接具備可訪問和可交互能力，因而符合控域第三范式.在圖8中，車輛A1,A2,B1和B2之間均可在脫離廠商云的情況下，享緊急路況信息.同時(shí)在該范式下，數(shù)據(jù)的持有者始終是車輛自身，數(shù)據(jù)僅在獲得許可的情況下進(jìn)行傳輸和共享.

Fig. 8 The 3rd normal form of zone in connected cars圖8 符合控域第三范式的車聯(lián)網(wǎng)場(chǎng)景

該交互方式與車聯(lián)網(wǎng)端管云模型[34]的目的相似，均是實(shí)現(xiàn)汽車與各類設(shè)備的互聯(lián).差異是端管云模式關(guān)注車聯(lián)網(wǎng)基礎(chǔ)計(jì)算、異構(gòu)化網(wǎng)絡(luò)設(shè)施與服務(wù)提供能力.而面向控域的互聯(lián)交互注重基于端管云等基礎(chǔ)設(shè)施上的整體架構(gòu)風(fēng)格.例如，在何處部署服務(wù)接口提供可訪問能力、以何種原則構(gòu)建開放接口與協(xié)議提供可交互能力、以何種通信模式實(shí)現(xiàn)車輛間安全可控的查詢?cè)L問、如何協(xié)同多車之間設(shè)備實(shí)現(xiàn)計(jì)算任務(wù)遷移獲得毫秒級(jí)請(qǐng)求響應(yīng)等.

控域代數(shù)理論和面向控域的架構(gòu)約束可進(jìn)一步對(duì)符合第三范式的車聯(lián)網(wǎng)交互提供優(yōu)化建議.在安全管理方面，可基于車輛設(shè)備的不同安全屬性利用控域投影算子構(gòu)建多重控域.例如剎車、油門、方向盤、無人駕駛引擎等關(guān)鍵設(shè)備可形成安全級(jí)別最高的駕駛控域，由設(shè)備自身而非汽車中控、云服務(wù)器等外圍計(jì)算設(shè)備控制.通過安全自治，最大程度避免了外圍低安全等級(jí)設(shè)備被入侵破壞，造成安全事故的可能性.在運(yùn)行時(shí)及架構(gòu)方面，控域自身可按照地理空間、功能、安全等級(jí)等屬性劃分的同時(shí)，可基于有狀態(tài)的控域上下文及有序化資源管理約束，形成專有運(yùn)行時(shí)環(huán)境.例如無人駕駛車輛的駕駛控域應(yīng)始終以最高優(yōu)先級(jí)處理駕駛類任務(wù)，相應(yīng)的CPU,GPU資源應(yīng)該被預(yù)留.而車載娛樂、監(jiān)控等非關(guān)鍵任務(wù)與駕駛控域交互時(shí)，應(yīng)當(dāng)避讓使用核心資源.若車聯(lián)網(wǎng)控域架構(gòu)進(jìn)一步采用無狀態(tài)通信約束，例如使用REST架構(gòu)風(fēng)格，則不同車載設(shè)備開發(fā)者可以自由創(chuàng)作多樣化的前端接口和后臺(tái)計(jì)算邏輯，可一定程度避免各設(shè)備互聯(lián)交互時(shí)的架構(gòu)沖突.而使用符合松耦合架構(gòu)約束的T-REST則可進(jìn)一步允許計(jì)算任務(wù)函數(shù)在不同設(shè)備間遷移.

綜上所述，控域代數(shù)理論及面向控域的架構(gòu)風(fēng)格與車聯(lián)網(wǎng)相結(jié)合可帶來3種好處：1)符合第三范式的車聯(lián)網(wǎng)架構(gòu)有望以一套系統(tǒng)、接口和協(xié)議同時(shí)滿足車云信息共享和車與車之間信息協(xié)同這2種有明顯差異化的服務(wù)；2)基于控域代數(shù)理論，用戶、廠商可依照各自的安全期望，自由劃分不同的車載設(shè)備間及多車設(shè)備間的控域，實(shí)現(xiàn)設(shè)備的安全自治和控域內(nèi)多設(shè)備間的安全互通，降低隱私外泄風(fēng)險(xiǎn)，在數(shù)據(jù)源頭控制數(shù)據(jù)隱私依法治理的合規(guī)成本；3)為碎片化設(shè)備提供一種既具備靈活設(shè)計(jì)空間，又能保持多設(shè)備間和諧統(tǒng)一的運(yùn)行時(shí)及架構(gòu)設(shè)計(jì)風(fēng)格，使得不同廠商設(shè)備的研發(fā)人員能夠以較小溝通代價(jià)實(shí)現(xiàn)架構(gòu)兼容乃至設(shè)備間任務(wù)協(xié)同優(yōu)化.

4 尚未解決的研究問題

本節(jié)從理論、實(shí)現(xiàn)技術(shù)、生態(tài)3個(gè)方面提出開放問題(open problems).

1) 本文的控域集合中的基本元素是設(shè)備，包括云端設(shè)備、人端設(shè)備、物端設(shè)備.是否應(yīng)該采用REST體系結(jié)構(gòu)風(fēng)格的思路，使用更廣義的萬維網(wǎng)“資源”概念作為控域的基本元素？Solid平臺(tái)的POD是另一個(gè)選項(xiàng).

2) 能否給出控域理論中關(guān)鍵概念的定性或定量的度量(qualitative or quantative metrics)？例子包括創(chuàng)新自由度、無縫智能程度、安全隱私度量、合規(guī)度、數(shù)據(jù)集中度、多樣性散度(diversity，也是碎片化程度)等.

3) 在智能萬物互聯(lián)網(wǎng)中引入控域概念，肯定會(huì)帶來新的開銷.如何設(shè)計(jì)一套低開銷的實(shí)現(xiàn)技術(shù)？一個(gè)可借鑒的先例是REST，它通過改造URI，HTML，HTTP得以實(shí)現(xiàn).此處的開銷包括運(yùn)行時(shí)開銷，也包括新引入的開發(fā)成本和運(yùn)維成本.理想的情況是，控域帶來的功能益處明顯大于新引入的開銷，甚至?xí)档驮邢到y(tǒng)的開銷.

4) 面向控域的體系結(jié)構(gòu)風(fēng)格能否啟發(fā)新的具體技術(shù)，例如兼顧隱私保護(hù)與規(guī)范共享的新的訪問控制模型，并評(píng)判新技術(shù)的利弊？

5) ZOA如何與現(xiàn)有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)生態(tài)配合？如何與新的體系結(jié)構(gòu)(如T-REST[29])和新的Web平臺(tái)(如Solid[35])分工合作？

5 結(jié) 論

本文針對(duì)智能萬物互聯(lián)時(shí)代控制策略多樣性需求，提煉了2個(gè)生態(tài)問題和3個(gè)科技難點(diǎn)，提出了一種面向控域的體系結(jié)構(gòu)(ZOA)風(fēng)格.

從智能萬物互聯(lián)網(wǎng)全網(wǎng)架構(gòu)角度看，ZOA可被認(rèn)為是一種構(gòu)建于全網(wǎng)分散物端設(shè)備上的抽象計(jì)算機(jī)，打破了傳統(tǒng)物聯(lián)網(wǎng)設(shè)備間簡(jiǎn)單的對(duì)等或?qū)蛹?jí)式(設(shè)備-邊緣-云)訪問關(guān)系，形成了因勢(shì)而變、物以類聚的一組局部動(dòng)態(tài)計(jì)算機(jī).也就是說，在安全隱私、用戶體驗(yàn)、物理區(qū)域等不同目標(biāo)的驅(qū)使下，ZOA可在一組碎片化設(shè)備上按需劃分出不同場(chǎng)景下的專用虛擬計(jì)算機(jī).

從單個(gè)設(shè)備角度看，ZOA提供一種面向設(shè)備開發(fā)者的去中心化架構(gòu)設(shè)計(jì)思想，以獨(dú)立遵從必要架構(gòu)約束的方式，緩解廠商的碎片化系統(tǒng)與智能萬物互聯(lián)互通愿景的矛盾.ZOA提供2個(gè)推薦約束促成不同設(shè)備間能夠形成控域，以及3個(gè)可選約束，有助于為不同的服務(wù)目標(biāo)提供無狀態(tài)通信能力、自由創(chuàng)新能力和低延遲用戶體驗(yàn).

從理論分析角度看，ZOA中的控域代數(shù)與范式理論為其控制策略與范圍提供了一種形式化的界定手段.控域代數(shù)有利于精確刻畫現(xiàn)有智能萬物互聯(lián)架構(gòu)的可訪問和可交互能力，而基于控域范式理論的3個(gè)觀察，提供了真實(shí)繁雜系統(tǒng)情景下控域范式的機(jī)器自動(dòng)化檢查方法.