淺談嵌入式系統(tǒng)的可靠性與安全性設(shè)計(jì)

淺談嵌入式系統(tǒng)的可靠性與安全性設(shè)計(jì)1可靠性與安全性設(shè)計(jì)的兩次重大變革20世紀(jì)初，人類進(jìn)入到電子時(shí)代，隨著時(shí)代的變遷，電子系統(tǒng)出現(xiàn)了兩次巨大的變革，即從傳統(tǒng)電子到智能電子與從智能電子到網(wǎng)絡(luò)電子的變革。前者是微控制器(MCU)誕生后，嵌入式系統(tǒng)帶來(lái)的變革，后者是物聯(lián)網(wǎng)時(shí)代智能電子系統(tǒng)普遍入網(wǎng)后帶來(lái)的變革。傳統(tǒng)電子時(shí)代，只有可靠性概念，沒有安全性概念；智能電子時(shí)代，誕生了安全性包容設(shè)計(jì);網(wǎng)絡(luò)電子時(shí)代，電子系統(tǒng)的安全性設(shè)計(jì)提升到空前高度。傳統(tǒng)電子時(shí)代，沒有安全性設(shè)計(jì)概念，可靠性與安全性是統(tǒng)一的。因?yàn)?，這一時(shí)期的電子系統(tǒng)只有正常與失效兩種狀態(tài)。正常即可靠，可安全使用；失效即無(wú)法工作，也無(wú)安全可言。智能電子時(shí)代，由于有MCU的介入，眾多功能可由軟件實(shí)現(xiàn)。軟件介入后對(duì)系統(tǒng)的可靠性設(shè)計(jì)有兩個(gè)重大影響：一個(gè)是軟件介入后系統(tǒng)不可避免地出現(xiàn)失誤，出現(xiàn)了正常、失效之間出錯(cuò)概率的多值可靠性；另一個(gè)是軟件可主動(dòng)實(shí)現(xiàn)系統(tǒng)的可靠性管理。前者引發(fā)了多值可靠性設(shè)計(jì)概念，后者帚來(lái)了可靠性控制的設(shè)計(jì)內(nèi)容。這時(shí)的智能電子系統(tǒng)，借助于集成電路的不斷進(jìn)化、人工智能的可靠性控制與封閉的體系結(jié)構(gòu)，無(wú)論是可靠性還是安全性都到達(dá)了空前高度。網(wǎng)絡(luò)電子時(shí)代，由于智能電子系統(tǒng)普遍具有網(wǎng)絡(luò)接入功能，智能電子系統(tǒng)對(duì)外部開放的后果是，所有網(wǎng)絡(luò)安全問(wèn)題都會(huì)帶入到智能電子系統(tǒng)中。病毒入侵、惡意攻擊等網(wǎng)絡(luò)犯罪成為網(wǎng)絡(luò)電子系統(tǒng)的不安全因素，安全性設(shè)計(jì)提升到空前高度。防入侵、防攻擊成為網(wǎng)絡(luò)電子系統(tǒng)安全性設(shè)計(jì)中不可或缺的重要內(nèi)容。下面以汽車電子為例，來(lái)描述電子系統(tǒng)可靠性、安全性設(shè)計(jì)的變革。老爺車時(shí)代，是傳統(tǒng)電子時(shí)代，無(wú)論是儀表系統(tǒng)，還是發(fā)動(dòng)機(jī)點(diǎn)火系統(tǒng)都只能由分立電子元件組成，其中任何一個(gè)元器件失效都會(huì)導(dǎo)致汽車癱瘓。電子工程師通過(guò)精心挑選每個(gè)元器件、可靠的電路設(shè)計(jì)與精心工藝制作，來(lái)保證系統(tǒng)的可靠性與安全性?，F(xiàn)代汽車時(shí)代是智能電子時(shí)代，在汽車電子中，高可靠的集成電路、分布式總線技術(shù)、實(shí)時(shí)多任務(wù)操作系統(tǒng)、軟件的可靠性管理、重要組件的冗余技術(shù)等，保證了汽車電子系統(tǒng)高可靠地運(yùn)行;還可以通過(guò)汽車運(yùn)行中的各種工況監(jiān)測(cè)（如發(fā)動(dòng)機(jī)運(yùn)行工況監(jiān)測(cè)、車胎壓力監(jiān)測(cè)等），確保汽車的安全運(yùn)行。自動(dòng)駕駛汽車時(shí)代是網(wǎng)絡(luò)電子時(shí)代，每輛汽車都與互聯(lián)網(wǎng)相連。人們?cè)谙硎茏詣?dòng)駕駛方便服務(wù)的同時(shí)，也帶來(lái)了很多安全風(fēng)險(xiǎn)。病毒入侵、惡意攻擊成為自動(dòng)駕駛汽車電子系統(tǒng)的最大安全隱患，網(wǎng)絡(luò)電子的安全性設(shè)計(jì)將成為主要設(shè)計(jì)內(nèi)容。2嵌入式系統(tǒng)可靠性設(shè)計(jì)的基本概念與傳統(tǒng)電子的泛性結(jié)構(gòu)不同，所有智能電子系統(tǒng)都含有歸一化智力內(nèi)核（微控制器）。由于嵌入式系統(tǒng)的軟件介入，智能電子系統(tǒng)有了可主動(dòng)出擊的可靠性管理設(shè)計(jì)。這種主動(dòng)的管理設(shè)計(jì)，既能保證智能電子系統(tǒng)達(dá)到安全、可靠的最佳狀態(tài)，又能為網(wǎng)絡(luò)電子系統(tǒng)安全性（防病毒入侵、惡意攻擊）設(shè)計(jì)提供重要手段。因此，在討論智能電子時(shí)代的可靠性設(shè)計(jì)時(shí)，必須深入了解嵌入式系統(tǒng)可靠性設(shè)計(jì)的諸多重要概念。這些概念是：軟件介入的多值可靠性與實(shí)時(shí)性問(wèn)題、嵌入式系統(tǒng)的安全性包容設(shè)計(jì)、嵌入式系統(tǒng)的可靠性等級(jí)、嵌入式系統(tǒng)的可靠性模型等。(1)軟件介入的多值可靠性傳統(tǒng)電子系統(tǒng)的可靠性是一種非好即壞的二值可靠性。智能電子系統(tǒng)由于大規(guī)模集成電路的高本質(zhì)可靠性保證，軟件出錯(cuò)成為系統(tǒng)可靠性的主要問(wèn)題。通常，軟件出錯(cuò)不會(huì)導(dǎo)致系統(tǒng)損壞，軟件出錯(cuò)概率便成為系統(tǒng)是否可靠的重要標(biāo)志。根據(jù)系統(tǒng)出錯(cuò)概率來(lái)界定系統(tǒng)的可靠性，這是一種非好、非壞的多值可靠性。例如，我們常常用易死機(jī)、易出錯(cuò)、不好用等現(xiàn)象來(lái)判斷手機(jī)的可靠性。(2)軟件介入的實(shí)時(shí)性問(wèn)題智能電子系統(tǒng)是一個(gè)由軟件驅(qū)動(dòng)的電子系統(tǒng)。軟件介入后，嵌入式系統(tǒng)在激勵(lì)、響應(yīng)之間增加了一個(gè)程序運(yùn)行環(huán)節(jié)。由于有了程序運(yùn)行時(shí)間，導(dǎo)致響應(yīng)的時(shí)間滯后，有可能給系統(tǒng)帶來(lái)非實(shí)時(shí)響應(yīng)的可靠性、安全性問(wèn)題。因此，實(shí)時(shí)性要求是嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計(jì)中必不可少的內(nèi)容。(3)嵌入式系統(tǒng)的安全性包容設(shè)計(jì)智能電子系統(tǒng)的安全性設(shè)計(jì)寄希望于精心的可靠性管理設(shè)計(jì)，然而精心的可靠性管理仍然不能避免軟件出錯(cuò)。安全性包容設(shè)計(jì)是智能電子系統(tǒng)安全設(shè)計(jì)的重要一環(huán)。安全性包容設(shè)計(jì)是指系統(tǒng)出錯(cuò)后的無(wú)害化處理，例如，給機(jī)器人設(shè)定空間安全路徑，越過(guò)規(guī)定空間時(shí)系統(tǒng)死機(jī)或返回。高機(jī)密武器落入敵人手中自動(dòng)引爆也是一種安全性包容設(shè)計(jì)。大眾汽車公司機(jī)器人傷人事件已經(jīng)表明機(jī)器人安全性包容設(shè)計(jì)上的失誤。(4)嵌入式系統(tǒng)的可靠性等級(jí)可靠性等級(jí)用以區(qū)別不同電子系統(tǒng)對(duì)可靠性的不同要求。具體應(yīng)用中的電子系統(tǒng)對(duì)系統(tǒng)的可靠性要求千差萬(wàn)別、大相徑庭。例如，人們?cè)谟糜?jì)算機(jī)辦公時(shí)，對(duì)計(jì)算機(jī)死機(jī)、出錯(cuò)熟視無(wú)睹，而將計(jì)算機(jī)用于工控時(shí)須機(jī)械加固、電氣加固，要嚴(yán)防死機(jī)與出錯(cuò);使用自動(dòng)洗衣機(jī)不必?fù)?dān)心安全事故，而航天火箭發(fā)射中一個(gè)簡(jiǎn)單的爆炸螺栓引爆系統(tǒng)的任何失誤都會(huì)造成致命的安全事故。因此，在嵌入式系統(tǒng)的具體應(yīng)用中，應(yīng)根據(jù)各種安全因子來(lái)估算系統(tǒng)可靠性要求等級(jí)，然后根據(jù)可靠性等級(jí)要求，制定可靠性、安全性設(shè)計(jì)的資金、技術(shù)、精力投入強(qiáng)度。(5)嵌入式系統(tǒng)的可靠性模型可靠性模型用來(lái)描述嵌入式系統(tǒng)的運(yùn)行體系與影響運(yùn)行體系中的各種非可靠性因素。眾所周知，傳統(tǒng)電子系統(tǒng)是一個(gè)激勵(lì)-響應(yīng)型的應(yīng)用系統(tǒng)。軟件介入后，在激勵(lì)-響應(yīng)之間加入了軟件運(yùn)行環(huán)節(jié)，因此，嵌入式系統(tǒng)是一個(gè)激勵(lì)-軟件運(yùn)行-響應(yīng)的智能電子系統(tǒng)。為了弄清軟件介入后對(duì)系統(tǒng)可靠性的影響，應(yīng)建立起嵌入式系統(tǒng)的可靠性模型，用可靠性模型來(lái)指導(dǎo)系統(tǒng)的可靠性、安全性設(shè)計(jì)。3嵌入式系統(tǒng)可靠性設(shè)計(jì)的可靠性等級(jí)在設(shè)計(jì)一個(gè)具體的嵌入式應(yīng)用系統(tǒng)時(shí)，首先應(yīng)了解其可靠性要求及可靠性等級(jí)。過(guò)度投入會(huì)增加無(wú)謂的成本與研制周期，投入不夠則無(wú)法保證系統(tǒng)的可靠性。例如，儀表工程師設(shè)計(jì)一個(gè)儀器儀表時(shí)，首先要了解其精度要求，未達(dá)到精度要求則無(wú)法使用，超出精度要求則會(huì)浪費(fèi)資金與精力。(1)什么是嵌入式系統(tǒng)可靠性等級(jí)在設(shè)計(jì)具體的嵌入式應(yīng)用系統(tǒng)時(shí)，不同的應(yīng)用環(huán)境有不同的可靠性要求。如智能手機(jī)對(duì)出錯(cuò)現(xiàn)象熟視無(wú)睹，自動(dòng)生產(chǎn)線上的控制單元出錯(cuò)后會(huì)造成重大事故；同樣，自動(dòng)生產(chǎn)線有人值守時(shí)，出錯(cuò)后可以及時(shí)人工停機(jī)，避免出現(xiàn)重大事故?？煽啃缘燃?jí)要求包含兩方面內(nèi)容：一是系統(tǒng)的出錯(cuò)概率，二是系統(tǒng)對(duì)出錯(cuò)的容忍度?？煽啃缘燃?jí)低，則表明系統(tǒng)的可靠性要求低，對(duì)出錯(cuò)的容忍度高，允許系統(tǒng)有較高出錯(cuò)概率;反之，則可靠性等級(jí)高。(2)可靠性等級(jí)評(píng)定標(biāo)準(zhǔn)根據(jù)系統(tǒng)對(duì)出錯(cuò)的容忍度、系統(tǒng)的出錯(cuò)概率，歸納出評(píng)定因子。系統(tǒng)對(duì)出錯(cuò)容忍程度的評(píng)定因子有人機(jī)耦合度因子與出錯(cuò)安全因子。人機(jī)耦合度高，表明有操作者介入，能監(jiān)視系統(tǒng)狀況，并及時(shí)糾正；出錯(cuò)安全因子表明系統(tǒng)出錯(cuò)時(shí)系統(tǒng)的安全程度，影響系統(tǒng)出錯(cuò)概率的環(huán)境因子有機(jī)械、電氣、氣氛等，環(huán)境愈惡劣，出錯(cuò)概率愈高。(3)可靠性等級(jí)評(píng)定方法嵌入式系統(tǒng)的可靠性等級(jí)是一種模糊等級(jí)。在評(píng)定某個(gè)系統(tǒng)的可靠性要求時(shí)，應(yīng)將各個(gè)評(píng)定因子(如機(jī)械環(huán)境、電氣環(huán)境、氣氛環(huán)境、人機(jī)耦合度、出錯(cuò)容忍度等)依據(jù)其出錯(cuò)概率高低，以及對(duì)出錯(cuò)容忍程度高低順序，劃分出多個(gè)量化區(qū)間（如10?1的劃分空間）。然后，根據(jù)該系統(tǒng)各個(gè)評(píng)定因子的綜合量化數(shù)據(jù)得分，來(lái)確定該系統(tǒng)的可靠性等級(jí)。例如火箭分離器，其機(jī)械環(huán)境、電氣環(huán)境惡劣，無(wú)人機(jī)耦合、出錯(cuò)容忍程度極低，量化數(shù)據(jù)得分高，屬高可靠要求的高可靠性等級(jí)；智能手機(jī)的機(jī)械環(huán)境、電氣環(huán)境、氣氛環(huán)境尚可，人機(jī)耦合度高、出錯(cuò)容忍度高，量化數(shù)據(jù)得分低，屬可靠性要求不高的低可靠性等級(jí)。（4）可靠性等級(jí)的實(shí)用意義由于可靠性設(shè)計(jì)必須有相應(yīng)的軟硬件投入。有了可靠性等級(jí)概念，企業(yè)對(duì)自己產(chǎn)品的可靠性設(shè)計(jì)便能做到心中有數(shù)，并制定企業(yè)的可靠性標(biāo)準(zhǔn)。對(duì)于不同的產(chǎn)品，按其可靠性等級(jí)、可靠性因子分析，制定出可靠性設(shè)計(jì)指導(dǎo)意見。若機(jī)械環(huán)境惡劣（劇烈振動(dòng)）、電氣環(huán)境惡劣（電氣干擾、輻射干擾劇烈），則進(jìn)行機(jī)械加固與電氣加固;對(duì)于生產(chǎn)線無(wú)人介入的機(jī)器人，應(yīng)著重加強(qiáng)安全包容性設(shè)計(jì)等。4嵌入式系統(tǒng)可靠性設(shè)計(jì)的可靠性模型智能電子系統(tǒng)是一個(gè)復(fù)雜的數(shù)據(jù)流系統(tǒng)，應(yīng)按照激勵(lì)-軟件運(yùn)行-響應(yīng)的過(guò)程建立起系統(tǒng)可靠性模型，然后根據(jù)可靠性模型制定出可靠性設(shè)計(jì)原則與方法。（1）嵌入式系統(tǒng)的非實(shí)時(shí)激勵(lì)-響應(yīng)嵌入式系統(tǒng)由于軟件介入，在激勵(lì)-響應(yīng)之間有復(fù)雜的數(shù)據(jù)流操作，即時(shí)域上的數(shù)據(jù)傳輸、空域上的數(shù)據(jù)操作。例如，在智能手機(jī)上觸摸到某個(gè)圖標(biāo)（系統(tǒng)激勵(lì)）時(shí)，會(huì)形成一個(gè)代碼數(shù)據(jù)，其后是解碼，以及數(shù)據(jù)流在時(shí)空中傳輸與處理，最終結(jié)果以語(yǔ)音及圖像的方式呈現(xiàn)出來(lái)(系統(tǒng)響應(yīng))。正常情況下，有什么激勵(lì)，就應(yīng)該有相應(yīng)的響應(yīng)狀態(tài)。激勵(lì)-響應(yīng)之間復(fù)雜的數(shù)據(jù)流操作應(yīng)保證達(dá)到這一基本要求。(2)嵌入式系統(tǒng)的可靠性模型嵌入式系統(tǒng)的可靠性模型，由激勵(lì)端、運(yùn)行空間、響應(yīng)端構(gòu)成。即激勵(lì)端的實(shí)時(shí)輸入激勵(lì)、過(guò)程空間的運(yùn)行決策、響應(yīng)端的實(shí)時(shí)輸出控制。正常情況下，系統(tǒng)接收正常激勵(lì)后，軟件有序地運(yùn)行，然后輸出正常響應(yīng)。然而，實(shí)際環(huán)境中存在各種干擾，會(huì)導(dǎo)致系統(tǒng)出錯(cuò)，出現(xiàn)正常激勵(lì)下的非正常響應(yīng)，或非正常激勵(lì)下的非正常響應(yīng)。(3)基于可靠性模型的可靠性設(shè)計(jì)嵌入式系統(tǒng)的理想運(yùn)行狀況，但實(shí)際運(yùn)行的嵌入式系統(tǒng)存在眾多的內(nèi)外部干擾，從而導(dǎo)致系統(tǒng)出錯(cuò)?，F(xiàn)實(shí)環(huán)境中的嵌入式系統(tǒng)可靠性模型?，F(xiàn)實(shí)環(huán)境中的嵌入式系統(tǒng)，在激勵(lì)端，除了正常激勵(lì)外，還有眾多的非正常激勵(lì)，如觸摸輸入的誤操作、各種電氣干擾、機(jī)械干擾的誤觸發(fā);即便是正常激勵(lì)，由于輸入通圖2現(xiàn)實(shí)環(huán)境中的嵌入式系統(tǒng)可靠性模型道干擾，也會(huì)