嵌入式系統的可靠性與安全性設計

北京航空航天大學 何立民

?

嵌入式系統的可靠性與安全性設計

北京航空航天大學 何立民

從可靠性與安全性設計變遷的視角來看，可以將電子系統劃分成傳統電子、智能電子、網絡電子三個時代。20世紀初，二極管誕生，人類便從電氣時代進入到傳統電子時代；20世紀70年代，微處理器誕生，人類便從傳統電子時代進入到智能電子時代；如今，幾乎所有的電子系統都具有網絡接入功能，人類便進入到網絡電子時代。從傳統電子到智能電子，再到網絡電子，可靠性與安全性設計出現了兩次重大變革。

1可靠性與安全性設計的兩次重大變革

20世紀初，人類進入到電子時代，隨著時代的變遷，電子系統出現了兩次巨大的變革，即從傳統電子到智能電子與從智能電子到網絡電子的變革。前者是微控制器(MCU)誕生后，嵌入式系統帶來的變革，后者是物聯網時代智能電子系統普遍入網后帶來的變革。傳統電子時代，只有可靠性概念，沒有安全性概念；智能電子時代，誕生了安全性包容設計；網絡電子時代，電子系統的安全性設計提升到空前高度。

傳統電子時代，沒有安全性設計概念，可靠性與安全性是統一的。因為，這一時期的電子系統只有“正常”與“失效”兩種狀態。“正常”即可靠，可安全使用；“失效”即無法工作，也無安全可言。

智能電子時代，由于有MCU的介入，眾多功能可由軟件實現。軟件介入后對系統的可靠性設計有兩個重大影響：一個是軟件介入后系統不可避免地出現失誤，出現了“正常”、“失效”之間出錯概率的多值可靠性；另一個是軟件可主動實現系統的可靠性管理。前者引發了多值可靠性設計概念，后者帯來了可靠性控制的設計內容。這時的智能電子系統，借助于集成電路的不斷進化、人工智能的可靠性控制與封閉的體系結構，無論是可靠性還是安全性都到達了空前高度。

網絡電子時代，由于智能電子系統普遍具有網絡接入功能，智能電子系統對外部開放的后果是，所有網絡安全問題都會帶入到智能電子系統中。病毒入侵、惡意攻擊等網絡犯罪成為網絡電子系統的不安全因素，安全性設計提升到空前高度。防入侵、防攻擊成為網絡電子系統安全性設計中不可或缺的重要內容。

下面以汽車電子為例，來描述電子系統可靠性、安全性設計的變革。老爺車時代，是傳統電子時代，無論是儀表系統，還是發動機點火系統都只能由分立電子元件組成，其中任何一個元器件失效都會導致汽車癱瘓。電子工程師通過精心挑選每個元器件、可靠的電路設計與精心工藝制作，來保證系統的可靠性與安全性。

現代汽車時代是智能電子時代，在汽車電子中，高可靠的集成電路、分布式總線技術、實時多任務操作系統、軟件的可靠性管理、重要組件的冗余技術等，保證了汽車電子系統高可靠地運行；還可以通過汽車運行中的各種工況監測(如發動機運行工況監測、車胎壓力監測等)，確保汽車的安全運行。

自動駕駛汽車時代是網絡電子時代，每輛汽車都與互聯網相連。人們在享受自動駕駛方便服務的同時，也帶來了很多安全風險。病毒入侵、惡意攻擊成為自動駕駛汽車電子系統的最大安全隱患，網絡電子的安全性設計將成為主要設計內容。

2嵌入式系統可靠性設計的基本概念

與傳統電子的泛性結構不同，所有智能電子系統都含有歸一化智力內核(微控制器)。由于嵌入式系統的軟件介入，智能電子系統有了可主動出擊的可靠性管理設計。這種主動的管理設計，既能保證智能電子系統達到安全、可靠的最佳狀態，又能為網絡電子系統安全性(防病毒入侵、惡意攻擊)設計提供重要手段。因此，在討論智能電子時代的可靠性設計時，必須深入了解嵌入式系統可靠性設計的諸多重要概念。這些概念是：軟件介入的多值可靠性與實時性問題、嵌入式系統的安全性包容設計、嵌入式系統的可靠性等級、嵌入式系統的可靠性模型等。

(1) 軟件介入的多值可靠性

傳統電子系統的可靠性是一種非好即壞的二值可靠性。智能電子系統由于大規模集成電路的高本質可靠性保證，軟件出錯成為系統可靠性的主要問題。通常，軟件出錯不會導致系統損壞，軟件出錯概率便成為系統是否可靠的重要標志。根據系統出錯概率來界定系統的可靠性，這是一種非好、非壞的多值可靠性。例如，我們常常用易死機、易出錯、不好用等現象來判斷手機的可靠性。

(2) 軟件介入的實時性問題

智能電子系統是一個由軟件驅動的電子系統。軟件介入后，嵌入式系統在激勵、響應之間增加了一個程序運行環節。由于有了程序運行時間，導致響應的時間滯后，有可能給系統帶來非實時響應的可靠性、安全性問題。因此，實時性要求是嵌入式應用系統可靠性設計中必不可少的內容。

(3) 嵌入式系統的安全性包容設計

智能電子系統的安全性設計寄希望于精心的可靠性管理設計，然而精心的可靠性管理仍然不能避免軟件出錯。安全性包容設計是智能電子系統安全設計的重要一環。安全性包容設計是指系統出錯后的無害化處理，例如，給機器人設定空間安全路徑，越過規定空間時系統死機或返回。高機密武器落入敵人手中自動引爆也是一種安全性包容設計。大眾汽車公司機器人傷人事件已經表明機器人安全性包容設計上的失誤。

(4) 嵌入式系統的可靠性等級

可靠性等級用以區別不同電子系統對可靠性的不同要求。具體應用中的電子系統對系統的可靠性要求千差萬別、大相徑庭。例如，人們在用計算機辦公時，對計算機死機、出錯熟視無睹，而將計算機用于工控時須機械加固、電氣加固，要嚴防死機與出錯；使用自動洗衣機不必擔心安全事故，而航天火箭發射中一個簡單的爆炸螺栓引爆系統的任何失誤都會造成致命的安全事故。因此，在嵌入式系統的具體應用中，應根據各種安全因子來估算系統可靠性要求等級，然后根據可靠性等級要求，制定可靠性、安全性設計的資金、技術、精力投入強度。

(5) 嵌入式系統的可靠性模型

可靠性模型用來描述嵌入式系統的運行體系與影響運行體系中的各種非可靠性因素。眾所周知，傳統電子系統是一個激勵-響應型的應用系統。軟件介入后，在激勵-響應之間加入了軟件運行環節，因此，嵌入式系統是一個激勵-軟件運行-響應的智能電子系統。為了弄清軟件介入后對系統可靠性的影響，應建立起嵌入式系統的可靠性模型，用可靠性模型來指導系統的可靠性、安全性設計。

3嵌入式系統可靠性設計的可靠性等級

在設計一個具體的嵌入式應用系統時，首先應了解其可靠性要求及可靠性等級。過度投入會增加無謂的成本與研制周期，投入不夠則無法保證系統的可靠性。例如，儀表工程師設計一個儀器儀表時，首先要了解其精度要求，未達到精度要求則無法使用，超出精度要求則會浪費資金與精力。

(1) 什么是嵌入式系統可靠性等級

在設計具體的嵌入式應用系統時，不同的應用環境有不同的可靠性要求。如智能手機對出錯現象熟視無睹，自動生產線上的控制單元出錯后會造成重大事故；同樣，自動生產線有人值守時，出錯后可以及時人工停機，避免出現重大事故。可靠性等級要求包含兩方面內容：一是系統的出錯概率，二是系統對出錯的容忍度。可靠性等級低，則表明系統的可靠性要求低，對出錯的容忍度高，允許系統有較高出錯概率；反之，則可靠性等級高。

(2) 可靠性等級評定標準

根據系統對出錯的容忍度、系統的出錯概率，歸納出評定因子。系統對出錯容忍程度的評定因子有“人機耦合度因子”與“出錯安全因子”。人機耦合度高，表明有操作者介入，能監視系統狀況，并及時糾正；出錯安全因子表明系統出錯時系統的安全程度，影響系統出錯概率的環境因子有機械、電氣、氣氛等，環境愈惡劣，出錯概率愈高。

(3) 可靠性等級評定方法

嵌入式系統的可靠性等級是一種模糊等級。在評定某個系統的可靠性要求時，應將各個評定因子(如機械環境、電氣環境、氣氛環境、人機耦合度、出錯容忍度等)依據其出錯概率高低，以及對出錯容忍程度高低順序，劃分出多個量化區間(如10～1的劃分空間)。然后，根據該系統各個評定因子的綜合量化數據得分，來確定該系統的可靠性等級。例如火箭分離器，其機械環境、電氣環境惡劣，無人機耦合、出錯容忍程度極低，量化數據得分高，屬高可靠要求的高可靠性等級；智能手機的機械環境、電氣環境、氣氛環境尚可，人機耦合度高、出錯容忍度高，量化數據得分低，屬可靠性要求不高的低可靠性等級。

(4) 可靠性等級的實用意義

由于可靠性設計必須有相應的軟硬件投入。有了可靠性等級概念，企業對自己產品的可靠性設計便能做到心中有數，并制定企業的可靠性標準。對于不同的產品，按其可靠性等級、可靠性因子分析，制定出可靠性設計指導意見。若機械環境惡劣(劇烈振動)、電氣環境惡劣(電氣干擾、輻射干擾劇烈)，則進行機械加固與電氣加固；對于生產線無人介入的機器人，應著重加強安全包容性設計等。

4嵌入式系統可靠性設計的可靠性模型

智能電子系統是一個復雜的數據流系統，應按照激勵-軟件運行-響應的過程建立起系統可靠性模型，然后根據可靠性模型制定出可靠性設計原則與方法。

(1) 嵌入式系統的非實時激勵-響應

嵌入式系統由于軟件介入，在激勵-響應之間有復雜的數據流操作，即時域上的數據傳輸、空域上的數據操作。例如，在智能手機上觸摸到某個圖標(系統激勵)時，會形成一個代碼數據，其后是解碼，以及數據流在時空中傳輸與處理，最終結果以語音及圖像的方式呈現出來(系統響應)。正常情況下，有什么激勵，就應該有相應的響應狀態。激勵-響應之間復雜的數據流操作應保證達到這一基本要求。

(2) 嵌入式系統的可靠性模型

嵌入式系統的可靠性模型，由激勵端、運行空間、響應端構成。即激勵端的實時輸入激勵、過程空間的運行決策、響應端的實時輸出控制，如圖1所示。

圖1　嵌入式系統的可靠性模型

正常情況下，系統接收正常激勵后，軟件有序地運行，然后輸出正常響應。然而，實際環境中存在各種干擾，會導致系統出錯，出現正常激勵下的非正常響應，或非正常激勵下的非正常響應。

(3) 基于可靠性模型的可靠性設計

圖1是嵌入式系統的理想運行狀況，但實際運行的嵌入式系統存在眾多的內外部干擾，從而導致系統出錯。圖2是一個現實環境中的嵌入式系統可靠性模型。

圖2　現實環境中的嵌入式系統可靠性模型

現實環境中的嵌入式系統，在激勵端，除了正常激勵外，還有眾多的非正常激勵，如觸摸輸入的誤操作、各種電氣干擾、機械干擾的誤觸發；即便是正常激勵，由于輸入通道干擾，也會導致非正常輸入。在軟件運行空間中，有程序缺陷出錯的失誤、數據轉輸中及數據處理中各種電氣干擾引發的軟件失控或操作運行失誤情況。在響應端，由于通道干擾，一個正常的程序運行結果也會導致系統的非正常響應。

(4) 可靠性設計的唯一性原則

一個理想可靠的嵌入式系統應遵循唯一性原則，即激勵的唯一性、過程的唯一性、通道的唯一性、響應的唯一性，以及非唯一性的容錯。

激勵的唯一性，是指激勵端能屏蔽所有非正常激勵，保證只有唯一的正常激勵輸入；過程的唯一性，是指程序在時空中運行時只有預先設定的唯一運行路徑；通道的唯一性，是指數據流只有唯一的傳輸路徑；響應的唯一性，是指程序運行結果只有唯一的正常響應輸出。然而，一個實際的嵌入式系統很難達到理想中的唯一狀態，這時應有非唯一的容錯與無害化處理，如激勵端非正常激勵入侵后的容錯與無害化處理，運行空間干擾入侵與軟件出錯的容錯與無害化處理，響應端對非正常輸出的屏蔽與安全性包容設計等。

結語

本文中談及的可靠性、安全性設計的基礎，是本質可靠的嵌入式系統。多年來，微電子科學、大規模集成電路工藝、數模混合集成技術、專家知識集成、軟硬件產品平臺與集成開發環境的不斷優化與發展，保證了嵌入式系統有極高的本質可靠性。在這樣的環境下，嵌入式應用系統可靠性設計的重點變成了以軟件為中心的可靠性、安全性設計。

參考文獻

[1] 何立民.MCU應用系統的可靠性設計綱要[J].電子技術應用,1999(5).

[2] 何立民.嵌入式應用系統的可靠性設計初探[J].單片機與嵌入式系統應用,2008(10).

[3] 何立民.單片機高級教程：應用與設計[M].北京：北京航空航天大學出版社，2008.

[4] 何立民.嵌入式系統的實時性問題[J].單片機與嵌入式系統應用，2004(9).

收稿日期：(責任編輯：楊迪娜2016-03-30)

編者按： 20世紀初，人類進入到電子時代。至今，經歷了傳統電子、智能電子、網絡電子三個時代，即分立器件基礎上的傳統電子時代、微控制器基礎上的智能電子時代、物聯網集群的網絡電子時代，其中智能電子又被稱為嵌入式系統。從可靠性、安全性視角來看，傳統電子時代是二值可靠性的電子時代；智能電子時代是多值可靠性與可靠性管理的電子時代；網絡電子時代是突出安全性設計的電子時代。借助微控制器基礎上的可靠性管理設計，智能電子時代中嵌入式系統的可靠性、安全性可到達最高境界。網絡電子時代，由于嵌入式系統開放、本質非可靠的互聯網介入、病毒及惡意入侵，使安全性設計成為網絡電子時代的熱點問題。從本期起，《學習園地》欄目將用3個篇章介紹電子系統可靠性設計的變遷、嵌入式系統的可靠性設計及其在物聯網時代中的安全性設計，分別是：嵌入式系統的可靠性與安全性設計、物聯網時代的嵌入式系統安全性問題，以及物聯網時代嵌入式系統的安全性設計。