淺談嵌入式系統(tǒng)的可靠性與安全性設(shè)計

淺談嵌入式系統(tǒng)的可靠性與安全性設(shè)計1可靠性與安全性設(shè)計的兩次重大變革20世紀(jì)初，人類進入到電子時代，隨著時代的變遷，電子系統(tǒng)出現(xiàn)了兩次巨大的變革，即從傳統(tǒng)電子到智能電子與從智能電子到網(wǎng)絡(luò)電子的變革。前者是微控制器(MCU)誕生后，嵌入式系統(tǒng)帶來的變革，后者是物聯(lián)網(wǎng)時代智能電子系統(tǒng)普遍入網(wǎng)后帶來的變革。傳統(tǒng)電子時代，只有可靠性概念，沒有安全性概念；智能電子時代，誕生了安全性包容設(shè)計;網(wǎng)絡(luò)電子時代，電子系統(tǒng)的安全性設(shè)計提升到空前高度。傳統(tǒng)電子時代，沒有安全性設(shè)計概念，可靠性與安全性是統(tǒng)一的。因為，這一時期的電子系統(tǒng)只有正常與失效兩種狀態(tài)。正常即可靠，可安全使用；失效即無法工作，也無安全可言。智能電子時代，由于有MCU的介入，眾多功能可由軟件實現(xiàn)。軟件介入后對系統(tǒng)的可靠性設(shè)計有兩個重大影響：一個是軟件介入后系統(tǒng)不可避免地出現(xiàn)失誤，出現(xiàn)了正常、失效之間出錯概率的多值可靠性；另一個是軟件可主動實現(xiàn)系統(tǒng)的可靠性管理。前者引發(fā)了多值可靠性設(shè)計概念，后者帚來了可靠性控制的設(shè)計內(nèi)容。這時的智能電子系統(tǒng)，借助于集成電路的不斷進化、人工智能的可靠性控制與封閉的體系結(jié)構(gòu)，無論是可靠性還是安全性都到達(dá)了空前高度。網(wǎng)絡(luò)電子時代，由于智能電子系統(tǒng)普遍具有網(wǎng)絡(luò)接入功能，智能電子系統(tǒng)對外部開放的后果是，所有網(wǎng)絡(luò)安全問題都會帶入到智能電子系統(tǒng)中。病毒入侵、惡意攻擊等網(wǎng)絡(luò)犯罪成為網(wǎng)絡(luò)電子系統(tǒng)的不安全因素，安全性設(shè)計提升到空前高度。防入侵、防攻擊成為網(wǎng)絡(luò)電子系統(tǒng)安全性設(shè)計中不可或缺的重要內(nèi)容。下面以汽車電子為例，來描述電子系統(tǒng)可靠性、安全性設(shè)計的變革。老爺車時代，是傳統(tǒng)電子時代，無論是儀表系統(tǒng)，還是發(fā)動機點火系統(tǒng)都只能由分立電子元件組成，其中任何一個元器件失效都會導(dǎo)致汽車癱瘓。電子工程師通過精心挑選每個元器件、可靠的電路設(shè)計與精心工藝制作，來保證系統(tǒng)的可靠性與安全性?，F(xiàn)代汽車時代是智能電子時代，在汽車電子中，高可靠的集成電路、分布式總線技術(shù)、實時多任務(wù)操作系統(tǒng)、軟件的可靠性管理、重要組件的冗余技術(shù)等，保證了汽車電子系統(tǒng)高可靠地運行;還可以通過汽車運行中的各種工況監(jiān)測（如發(fā)動機運行工況監(jiān)測、車胎壓力監(jiān)測等），確保汽車的安全運行。自動駕駛汽車時代是網(wǎng)絡(luò)電子時代，每輛汽車都與互聯(lián)網(wǎng)相連。人們在享受自動駕駛方便服務(wù)的同時，也帶來了很多安全風(fēng)險。病毒入侵、惡意攻擊成為自動駕駛汽車電子系統(tǒng)的最大安全隱患，網(wǎng)絡(luò)電子的安全性設(shè)計將成為主要設(shè)計內(nèi)容。2嵌入式系統(tǒng)可靠性設(shè)計的基本概念與傳統(tǒng)電子的泛性結(jié)構(gòu)不同，所有智能電子系統(tǒng)都含有歸一化智力內(nèi)核（微控制器）。由于嵌入式系統(tǒng)的軟件介入，智能電子系統(tǒng)有了可主動出擊的可靠性管理設(shè)計。這種主動的管理設(shè)計，既能保證智能電子系統(tǒng)達(dá)到安全、可靠的最佳狀態(tài)，又能為網(wǎng)絡(luò)電子系統(tǒng)安全性（防病毒入侵、惡意攻擊）設(shè)計提供重要手段。因此，在討論智能電子時代的可靠性設(shè)計時，必須深入了解嵌入式系統(tǒng)可靠性設(shè)計的諸多重要概念。這些概念是：軟件介入的多值可靠性與實時性問題、嵌入式系統(tǒng)的安全性包容設(shè)計、嵌入式系統(tǒng)的可靠性等級、嵌入式系統(tǒng)的可靠性模型等。(1)軟件介入的多值可靠性傳統(tǒng)電子系統(tǒng)的可靠性是一種非好即壞的二值可靠性。智能電子系統(tǒng)由于大規(guī)模集成電路的高本質(zhì)可靠性保證，軟件出錯成為系統(tǒng)可靠性的主要問題。通常，軟件出錯不會導(dǎo)致系統(tǒng)損壞，軟件出錯概率便成為系統(tǒng)是否可靠的重要標(biāo)志。根據(jù)系統(tǒng)出錯概率來界定系統(tǒng)的可靠性，這是一種非好、非壞的多值可靠性。例如，我們常常用易死機、易出錯、不好用等現(xiàn)象來判斷手機的可靠性。(2)軟件介入的實時性問題智能電子系統(tǒng)是一個由軟件驅(qū)動的電子系統(tǒng)。軟件介入后，嵌入式系統(tǒng)在激勵、響應(yīng)之間增加了一個程序運行環(huán)節(jié)。由于有了程序運行時間，導(dǎo)致響應(yīng)的時間滯后，有可能給系統(tǒng)帶來非實時響應(yīng)的可靠性、安全性問題。因此，實時性要求是嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計中必不可少的內(nèi)容。(3)嵌入式系統(tǒng)的安全性包容設(shè)計智能電子系統(tǒng)的安全性設(shè)計寄希望于精心的可靠性管理設(shè)計，然而精心的可靠性管理仍然不能避免軟件出錯。安全性包容設(shè)計是智能電子系統(tǒng)安全設(shè)計的重要一環(huán)。安全性包容設(shè)計是指系統(tǒng)出錯后的無害化處理，例如，給機器人設(shè)定空間安全路徑，越過規(guī)定空間時系統(tǒng)死機或返回。高機密武器落入敵人手中自動引爆也是一種安全性包容設(shè)計。大眾汽車公司機器人傷人事件已經(jīng)表明機器人安全性包容設(shè)計上的失誤。(4)嵌入式系統(tǒng)的可靠性等級可靠性等級用以區(qū)別不同電子系統(tǒng)對可靠性的不同要求。具體應(yīng)用中的電子系統(tǒng)對系統(tǒng)的可靠性要求千差萬別、大相徑庭。例如，人們在用計算機辦公時，對計算機死機、出錯熟視無睹，而將計算機用于工控時須機械加固、電氣加固，要嚴(yán)防死機與出錯;使用自動洗衣機不必?fù)?dān)心安全事故，而航天火箭發(fā)射中一個簡單的爆炸螺栓引爆系統(tǒng)的任何失誤都會造成致命的安全事故。因此，在嵌入式系統(tǒng)的具體應(yīng)用中，應(yīng)根據(jù)各種安全因子來估算系統(tǒng)可靠性要求等級，然后根據(jù)可靠性等級要求，制定可靠性、安全性設(shè)計的資金、技術(shù)、精力投入強度。(5)嵌入式系統(tǒng)的可靠性模型可靠性模型用來描述嵌入式系統(tǒng)的運行體系與影響運行體系中的各種非可靠性因素。眾所周知，傳統(tǒng)電子系統(tǒng)是一個激勵-響應(yīng)型的應(yīng)用系統(tǒng)。軟件介入后，在激勵-響應(yīng)之間加入了軟件運行環(huán)節(jié)，因此，嵌入式系統(tǒng)是一個激勵-軟件運行-響應(yīng)的智能電子系統(tǒng)。為了弄清軟件介入后對系統(tǒng)可靠性的影響，應(yīng)建立起嵌入式系統(tǒng)的可靠性模型，用可靠性模型來指導(dǎo)系統(tǒng)的可靠性、安全性設(shè)計。3嵌入式系統(tǒng)可靠性設(shè)計的可靠性等級在設(shè)計一個具體的嵌入式應(yīng)用系統(tǒng)時，首先應(yīng)了解其可靠性要求及可靠性等級。過度投入會增加無謂的成本與研制周期，投入不夠則無法保證系統(tǒng)的可靠性。例如，儀表工程師設(shè)計一個儀器儀表時，首先要了解其精度要求，未達(dá)到精度要求則無法使用，超出精度要求則會浪費資金與精力。(1)什么是嵌入式系統(tǒng)可靠性等級在設(shè)計具體的嵌入式應(yīng)用系統(tǒng)時，不同的應(yīng)用環(huán)境有不同的可靠性要求。如智能手機對出錯現(xiàn)象熟視無睹，自動生產(chǎn)線上的控制單元出錯后會造成重大事故；同樣，自動生產(chǎn)線有人值守時，出錯后可以及時人工停機，避免出現(xiàn)重大事故?？煽啃缘燃壱蟀瑑煞矫鎯?nèi)容：一是系統(tǒng)的出錯概率，二是系統(tǒng)對出錯的容忍度?？煽啃缘燃壍?，則表明系統(tǒng)的可靠性要求低，對出錯的容忍度高，允許系統(tǒng)有較高出錯概率;反之，則可靠性等級高。(2)可靠性等級評定標(biāo)準(zhǔn)根據(jù)系統(tǒng)對出錯的容忍度、系統(tǒng)的出錯概率，歸納出評定因子。系統(tǒng)對出錯容忍程度的評定因子有人機耦合度因子與出錯安全因子。人機耦合度高，表明有操作者介入，能監(jiān)視系統(tǒng)狀況，并及時糾正；出錯安全因子表明系統(tǒng)出錯時系統(tǒng)的安全程度，影響系統(tǒng)出錯概率的環(huán)境因子有機械、電氣、氣氛等，環(huán)境愈惡劣，出錯概率愈高。(3)可靠性等級評定方法嵌入式系統(tǒng)的可靠性等級是一種模糊等級。在評定某個系統(tǒng)的可靠性要求時，應(yīng)將各個評定因子(如機械環(huán)境、電氣環(huán)境、氣氛環(huán)境、人機耦合度、出錯容忍度等)依據(jù)其出錯概率高低，以及對出錯容忍程度高低順序，劃分出多個量化區(qū)間（如10?1的劃分空間）。然后，根據(jù)該系統(tǒng)各個評定因子的綜合量化數(shù)據(jù)得分，來確定該系統(tǒng)的可靠性等級。例如火箭分離器，其機械環(huán)境、電氣環(huán)境惡劣，無人機耦合、出錯容忍程度極低，量化數(shù)據(jù)得分高，屬高可靠要求的高可靠性等級；智能手機的機械環(huán)境、電氣環(huán)境、氣氛環(huán)境尚可，人機耦合度高、出錯容忍度高，量化數(shù)據(jù)得分低，屬可靠性要求不高的低可靠性等級。（4）可靠性等級的實用意義由于可靠性設(shè)計必須有相應(yīng)的軟硬件投入。有了可靠性等級概念，企業(yè)對自己產(chǎn)品的可靠性設(shè)計便能做到心中有數(shù)，并制定企業(yè)的可靠性標(biāo)準(zhǔn)。對于不同的產(chǎn)品，按其可靠性等級、可靠性因子分析，制定出可靠性設(shè)計指導(dǎo)意見。若機械環(huán)境惡劣（劇烈振動）、電氣環(huán)境惡劣（電氣干擾、輻射干擾劇烈），則進行機械加固與電氣加固;對于生產(chǎn)線無人介入的機器人，應(yīng)著重加強安全包容性設(shè)計等。4嵌入式系統(tǒng)可靠性設(shè)計的可靠性模型智能電子系統(tǒng)是一個復(fù)雜的數(shù)據(jù)流系統(tǒng)，應(yīng)按照激勵-軟件運行-響應(yīng)的過程建立起系統(tǒng)可靠性模型，然后根據(jù)可靠性模型制定出可靠性設(shè)計原則與方法。（1）嵌入式系統(tǒng)的非實時激勵-響應(yīng)嵌入式系統(tǒng)由于軟件介入，在激勵-響應(yīng)之間有復(fù)雜的數(shù)據(jù)流操作，即時域上的數(shù)據(jù)傳輸、空域上的數(shù)據(jù)操作。例如，在智能手機上觸摸到某個圖標(biāo)（系統(tǒng)激勵）時，會形成一個代碼數(shù)據(jù)，其后是解碼，以及數(shù)據(jù)流在時空中傳輸與處理，最終結(jié)果以語音及圖像的方式呈現(xiàn)出來(系統(tǒng)響應(yīng))。正常情況下，有什么激勵，就應(yīng)該有相應(yīng)的響應(yīng)狀態(tài)。激勵-響應(yīng)之間復(fù)雜的數(shù)據(jù)流操作應(yīng)保證達(dá)到這一基本要求。(2)嵌入式系統(tǒng)的可靠性模型嵌入式系統(tǒng)的可靠性模型，由激勵端、運行空間、響應(yīng)端構(gòu)成。即激勵端的實時輸入激勵、過程空間的運行決策、響應(yīng)端的實時輸出控制。正常情況下，系統(tǒng)接收正常激勵后，軟件有序地運行，然后輸出正常響應(yīng)。然而，實際環(huán)境中存在各種干擾，會導(dǎo)致系統(tǒng)出錯，出現(xiàn)正常激勵下的非正常響應(yīng)，或非正常激勵下的非正常響應(yīng)。(3)基于可靠性模型的可靠性設(shè)計嵌入式系統(tǒng)的理想運行狀況，但實際運行的嵌入式系統(tǒng)存在眾多的內(nèi)外部干擾，從而導(dǎo)致系統(tǒng)出錯?，F(xiàn)實環(huán)境中的嵌入式系統(tǒng)可靠性模型?，F(xiàn)實環(huán)境中的嵌入式系統(tǒng)，在激勵端，除了正常激勵外，還有眾多的非正常激勵，如觸摸輸入的誤操作、各種電氣干擾、機械干擾的誤觸發(fā);即便是正常激勵，由于輸入通圖2現(xiàn)實環(huán)境中的嵌入式系統(tǒng)可靠性模型道干擾，也會