1、    嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計初探摘要嵌入式應(yīng)用系統(tǒng)是一個有計算機內(nèi)核的智能化電子系統(tǒng)。集成電路的超長壽命、計算機的軟件介入與智能化的控制能力，決定了嵌入式應(yīng)用系統(tǒng)全新的可靠性設(shè)計觀念。這些新觀念是：基于出錯概率的多值可靠性、確定應(yīng)用系統(tǒng)的可靠性等級、建立應(yīng)用系統(tǒng)的可靠性模型、應(yīng)用系統(tǒng)的本質(zhì)可靠性設(shè)計與可靠性控制設(shè)計。關(guān)鍵詞嵌入式應(yīng)用系統(tǒng)多值可靠性可靠性設(shè)計可靠性等級可靠性模型嵌入式應(yīng)用系統(tǒng)是一個有計算機內(nèi)核，軟、硬件整合的智能化摘要 嵌入式應(yīng)用系統(tǒng)是一個有計算機內(nèi)核的智能化電子系統(tǒng)。集成電路的超長壽命、計算機的軟件介入與智能化的控制能力，決定了嵌入

2、式應(yīng)用系統(tǒng)全新的可靠性設(shè)計觀念。這些新觀念是：基于出錯概率的多值可靠性、確定應(yīng)用系統(tǒng)的可靠性等級、建立應(yīng)用系統(tǒng)的可靠性模型、應(yīng)用系統(tǒng)的本質(zhì)可靠性設(shè)計與可靠性控制設(shè)計。關(guān)鍵詞  嵌入式應(yīng)用系統(tǒng)  多值可靠性  可靠性設(shè)計  可靠性等級  可靠性模型嵌入式應(yīng)用系統(tǒng)是一個有計算機內(nèi)核，軟、硬件整合的智能化電子系統(tǒng)。與傳統(tǒng)的激勵響應(yīng)型電子系統(tǒng)的本質(zhì)差異，是它的智力嵌入，從而形成嵌入式應(yīng)用系統(tǒng)全新的可靠性設(shè)計觀念、方法與技術(shù)。這些全新的可靠性設(shè)計觀念是：從二值可靠性到多值可靠性、建立系統(tǒng)的可靠性設(shè)計模型、確定系統(tǒng)的可靠性設(shè)計等級、應(yīng)用系統(tǒng)的本質(zhì)可靠性設(shè)計

3、與可靠性控制設(shè)計。支持可靠性設(shè)計觀念的基礎(chǔ)是LSIC支持下硬件結(jié)構(gòu)的超常可靠性、會出錯的軟件體系、智力內(nèi)核的可靠性控制。1  創(chuàng)建可靠性設(shè)計新觀念1.1  嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計背景嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計背景是集成電路的超長壽命、計算機軟件介入與計算機內(nèi)核的可靠性控制能力。 集成電路的超長壽命。經(jīng)歷半個世紀(jì)的發(fā)展，集成電路從電路集成、功能集成、技術(shù)集成到知識集成。依靠頂級電子學(xué)專家的可靠性設(shè)計，大規(guī)模集成電路的可靠性迅速增長。與電子產(chǎn)品的更新周期相比，集成電路具有超長壽命與超?？煽啃裕骷е芷谶h大于產(chǎn)品的更新周期。 計算機軟件介入。與傳統(tǒng)電子系統(tǒng)相比，嵌入式應(yīng)用系統(tǒng)

4、有軟件介入，系統(tǒng)在軟件介入下運行。因而系統(tǒng)的可靠性基礎(chǔ)是軟件的可靠性。軟件的可靠性決定了嵌入式應(yīng)用系統(tǒng)的可靠性特征。 計算機內(nèi)核的智能化管理能力。嵌入式應(yīng)用系統(tǒng)的計算機內(nèi)核，決定了嵌入式應(yīng)用系統(tǒng)是一個智能化系統(tǒng)。這個智能化的計算機內(nèi)核可以實現(xiàn)可靠性的主動控制，如噪聲失敏、動態(tài)冗余、出錯控制、容錯管理和系統(tǒng)測試等。1.2  嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計的新觀念嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計的新觀念是多值可靠性、可靠性等級、可靠性模型與可靠性控制。（1） 多值可靠性傳統(tǒng)電子系統(tǒng)是二值可靠性系統(tǒng)，是一個非好即壞的電子系統(tǒng)。嵌入式應(yīng)用系統(tǒng)則經(jīng)常表現(xiàn)為不好不壞，是一個多值可靠性的電子系統(tǒng)，這是由軟件不斷

5、出錯引發(fā)出系統(tǒng)的不可靠性。當(dāng)軟件運行出錯時系統(tǒng)無法正常工作，軟件運行恢復(fù)正常時系統(tǒng)恢復(fù)正常運行，這是介于“好”、“壞”之間的多值可靠性。這種多值可靠性可以用出錯概率的統(tǒng)計方法來界定系統(tǒng)的可靠性品質(zhì)。硬件系統(tǒng)的超長壽命、超常可靠性的器件保證，使軟件“出錯”成為系統(tǒng)可靠性的主要因素。（2） 可靠性等級在嵌入式應(yīng)用系統(tǒng)中客觀存在一個可靠性等級要求。相似的功能要求、相似的軟硬件，在不同的運行環(huán)境下，會有不同的可靠性設(shè)計要求。例如，運載火箭中星箭分離的爆炸螺栓控制系統(tǒng)，由于是空間應(yīng)用環(huán)境、無人監(jiān)管、強烈的機械振動條件、出錯后果嚴(yán)重，可靠性等級要求極高；對比實驗室應(yīng)用環(huán)境中的萬用表，可靠性等級要求很低。建

6、立應(yīng)用系統(tǒng)設(shè)計的可靠性等級概念，有助于在系統(tǒng)設(shè)計的論證階段，對系統(tǒng)可靠性設(shè)計的技術(shù)投入做到心中有底，在確保系統(tǒng)可靠的前提下有最佳的技術(shù)投入。（3） 可靠性模型傳統(tǒng)電子系統(tǒng)是一個激勵響應(yīng)型電子系統(tǒng)，嵌入式應(yīng)用系統(tǒng)則是一個軟件基礎(chǔ)上的激勵處理響應(yīng)型智能化電子系統(tǒng)。從而建立起嵌入式系統(tǒng)激勵輸入、信息處理、響應(yīng)輸出三元素的可靠性模型，在可靠性模型基礎(chǔ)上可以建立系統(tǒng)可靠性設(shè)計的一些原則與方法。（4） 可靠性控制嵌入式應(yīng)用系統(tǒng)是一個有計算機內(nèi)核的智能化電子系統(tǒng)。計算機內(nèi)核的存在決定了系統(tǒng)具有可靠性控制能力。因此，嵌入式應(yīng)用系統(tǒng)中，基于系統(tǒng)智能化特征的可靠性控制設(shè)計、功耗管理的最小功耗系統(tǒng)設(shè)計應(yīng)與功能性設(shè)計

7、并列為嵌入式應(yīng)用系統(tǒng)的三大常規(guī)設(shè)計內(nèi)容。2  評定系統(tǒng)的可靠性等級2.1  評定可靠性等級的重要性在測試技術(shù)領(lǐng)域的數(shù)據(jù)采集系統(tǒng)中，首先有一個數(shù)據(jù)采集精度要求。如果沒有數(shù)據(jù)采集精度指標(biāo)，數(shù)據(jù)采集系統(tǒng)的研發(fā)工作便無法啟動。任何一個嵌入式應(yīng)用系統(tǒng)都工作在一個特定環(huán)境中，如果不了解特定環(huán)境對系統(tǒng)運行影響的可能后果，應(yīng)用系統(tǒng)的研發(fā)工作便陷入盲目性。一個合格的嵌入式應(yīng)用系統(tǒng)，應(yīng)該在實際應(yīng)用環(huán)境中可靠地工作。研發(fā)環(huán)境與實際運行環(huán)境的巨大差異，是可靠性設(shè)計的出發(fā)點；可靠性等級評定應(yīng)該是應(yīng)用系統(tǒng)研發(fā)前期，甚至項目立項時必不可少的一項任務(wù)。如果前期缺乏應(yīng)有的重視，導(dǎo)致可靠性設(shè)計投入欠缺，會使后

8、續(xù)嵌入式應(yīng)用系統(tǒng)的研發(fā)工作陷入無止境的軟、硬件修補工作之中。許多事例證明，在項目收尾工作中陷入可靠性問題者居大多數(shù)。2.2  可靠性等級評定方法研發(fā)環(huán)境與實際運行環(huán)境的巨大差異也是可靠性等級評定的出發(fā)點，實際運行環(huán)境的因子化是可靠性等級評定的基本方法。與準(zhǔn)確的精度概念相比，可靠性等級是一個模糊量。確定系統(tǒng)可靠性等級的方法是：確定可靠性評定因子、可靠性因子的順序量化、統(tǒng)計出系統(tǒng)的可靠性等級。充分考慮到實際運行環(huán)境下，所有影響系統(tǒng)可靠性的因素，將這些因素確定為可靠性評定因子。為了保證不同的應(yīng)用系統(tǒng)之間有可比性，應(yīng)建立相對統(tǒng)一的標(biāo)準(zhǔn)，并將它作為本單位的可靠性等級評定標(biāo)準(zhǔn)。（1） 可靠性評定

9、因子最常用的可靠性評定因子有環(huán)境因子、人機耦合因子、系統(tǒng)集成因子、知識平臺因子和安全性因子。“環(huán)境因子”是指系統(tǒng)運行環(huán)境對可靠性的影響因素，如電氣環(huán)境、機械環(huán)境、氣氛環(huán)境。電氣環(huán)境中的電磁兼容性、機械環(huán)境中的抗震性、氣氛環(huán)境中的抗鹽霧、抗粉塵、防潮等?！叭藱C耦合因子”是指系統(tǒng)運行時有無操作者介入，或操作者的可介入深度。操作者的可介入度大，有利于發(fā)現(xiàn)系統(tǒng)早期的出錯征兆，并實施可靠性介入。“系統(tǒng)集成因子”是指應(yīng)用系統(tǒng)的最大芯片集成度。考慮到當(dāng)前集成電路的超長可靠性，系統(tǒng)集成度越大，可靠性越高?！盎A(chǔ)平臺因子”是指應(yīng)用系統(tǒng)研發(fā)時，基礎(chǔ)平臺占據(jù)的比例?；A(chǔ)平臺包括半導(dǎo)體廠家提供的廠家平臺、企業(yè)內(nèi)部的產(chǎn)

10、品平臺、應(yīng)用平臺，這些平臺都經(jīng)歷過實踐考驗。顯然，基礎(chǔ)平臺占據(jù)的比例越大，可靠性越高?！鞍踩砸蜃印笔侵赶到y(tǒng)出錯時產(chǎn)生威脅安全的因素。通用計算機死機后不會出現(xiàn)重大安全問題；自動生產(chǎn)線上機器人出現(xiàn)失控后會產(chǎn)生破壞因素；宇宙火箭星箭分離控制機構(gòu)出現(xiàn)故障后會造成極其嚴(yán)重的后果。我們還可以列出一些可靠性因子。（2） 可靠性因子的順序量化將所有可靠性因子，按照對系統(tǒng)可靠性設(shè)計要求的程度高低，統(tǒng)一量化成“上、中上、中、中下、下”5級，或“上、中、下”3級的標(biāo)準(zhǔn)級別。把這些量化標(biāo)準(zhǔn)的內(nèi)容具體化，形成量化等級表，作為企業(yè)的標(biāo)準(zhǔn)，以界定不同應(yīng)用系統(tǒng)可靠性設(shè)計要求的相對難易程度。（3） 用量化積分確定可靠性等級制

11、定好可靠性因子的順序量化標(biāo)準(zhǔn)后，確定一個具體應(yīng)用系統(tǒng)的可靠性等級時，只需將應(yīng)用系統(tǒng)具體運行環(huán)境、運行條件，在可靠性因子的量化等級表中對號入座，將量化值相加后得出系統(tǒng)的可靠性等級。例如，5個可靠性因子，按5個等級劃分時，可靠性等級（要求）最高者為25級，最低者為5級。3  建立系統(tǒng)可靠性設(shè)計模型3.1  軟件介入下的激勵響應(yīng)系統(tǒng)傳統(tǒng)的電子系統(tǒng)是實時的激勵響應(yīng)系統(tǒng)，嵌入式應(yīng)用系統(tǒng)則是一個軟件廣泛介入下的激勵響應(yīng)系統(tǒng)。由于軟件的介入，在激勵響應(yīng)進程中增加了軟件運行時間，造成了嵌入式應(yīng)用系統(tǒng)的兩個新問題，即實時性與軟件可靠性問題。由于軟件介入，一方面出現(xiàn)軟件可靠性問題，另一方面為系

12、統(tǒng)增加了可靠性的控制技術(shù)，即利用軟件技術(shù)來提高系統(tǒng)的可靠性。3.2  嵌入式應(yīng)用系統(tǒng)的可靠性模型與傳統(tǒng)的電子的激勵響應(yīng)系統(tǒng)相比，嵌入式應(yīng)用系統(tǒng)在軟件介入下，增加了一個在激勵響應(yīng)中的時空過程。激勵端、過程空間、響應(yīng)端，構(gòu)成了嵌入式應(yīng)用系統(tǒng)的可靠性模型。如圖1所示。圖1  嵌入式應(yīng)用系統(tǒng)的可靠性模型在嵌入式應(yīng)用系統(tǒng)的可靠性模型中，系統(tǒng)可靠性取決于從激勵端到響應(yīng)端的唯一性管道原則。即保證在激勵端有唯一的正常激勵輸入，在運行空間有正常激勵下唯一的運行路徑，在響應(yīng)端有唯一的正常響應(yīng)輸出。所有破壞唯一性管道原則的因素，都會造成系統(tǒng)的不可靠運行。系統(tǒng)可靠性設(shè)計就是要保證在一切不可靠因素侵

13、害下，都能保證唯一性管道的通暢性與穩(wěn)定性。3.3  應(yīng)用系統(tǒng)的可靠性設(shè)計原則在實際應(yīng)用環(huán)境中，應(yīng)用系統(tǒng)會被眾多的不可靠因素侵害。在眾多的不可靠因素侵害下，應(yīng)該遵循哪些原則來保證系統(tǒng)的可靠性？圖2所示為可靠性設(shè)計的一些基本原則。圖2  嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計原則按照唯一性管道原則，保證正常激勵輸入下有唯一的正常響應(yīng)輸出，在全部路徑上都應(yīng)有相應(yīng)的可靠性保障措施。在激勵端，除了正常激勵外，還會有許多非正常激勵。在保證唯一的正常激勵輸入時，必須對非正常激勵采取屏蔽措施，或容錯技術(shù)。在軟件的運行空間上，要在保證軟件的唯一運行路徑的同時，盡量減少軟件漏洞，防止程序飛跑。當(dāng)程序飛跑吋

14、，能迅速發(fā)現(xiàn)并使之進入安全管道。在與程序運行相關(guān)的物理空間上，不斷進行自檢與修補。在響應(yīng)端，能及時判斷異常狀態(tài)下的非正常響應(yīng)，并即時剔除。對于無法避免的非正常響應(yīng)輸出，應(yīng)采取安全性包容措施，以免造成不可挽回的損失。在所有數(shù)據(jù)流的路徑上，都會有許多通道干擾，應(yīng)實施管道化的屏蔽措施。按照電磁兼容性原則，不僅要屏蔽入侵的電磁干擾，也要防止本機電磁輻射外泄。在某些狀況下，防電磁輻射外泄是出于信息安全的考慮。建立可靠性模型，有利于制定可靠性設(shè)計的技術(shù)標(biāo)準(zhǔn)。在可靠性模型基礎(chǔ)上，總結(jié)、歸納出系統(tǒng)可靠性設(shè)計的原則、方法、措施，形成企業(yè)的可靠性設(shè)計標(biāo)準(zhǔn)。使企業(yè)的可靠性設(shè)計科學(xué)化與規(guī)范化。4  嵌入式應(yīng)

15、用系統(tǒng)的可靠性設(shè)計可靠性設(shè)計是應(yīng)用系統(tǒng)設(shè)計的常規(guī)內(nèi)容，應(yīng)貫徹到項目開發(fā)的始終，并突出在項目的前期管理中。嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計包括本質(zhì)可靠性設(shè)計與可靠性控制設(shè)計。本質(zhì)可靠性設(shè)計是保證系統(tǒng)可靠性品質(zhì)的先天性設(shè)計；可靠性控制設(shè)計是軟件介入下提升系統(tǒng)可靠性的后天性設(shè)計。在進行可靠性設(shè)計時，必須對系統(tǒng)的可靠性等級、可靠性因子有充分了解，防止陷入盲目性。4.1  應(yīng)用系統(tǒng)的本質(zhì)可靠性設(shè)計本質(zhì)可靠性設(shè)計是系統(tǒng)可靠性品質(zhì)的先天性設(shè)計內(nèi)容，是系統(tǒng)可靠性設(shè)計的基礎(chǔ)。本質(zhì)可靠性設(shè)計主要體現(xiàn)在項目的前期論證與總體設(shè)計中。例如，應(yīng)用系統(tǒng)的體系結(jié)構(gòu)、操作系統(tǒng)選擇，廠家平臺、應(yīng)用平臺、產(chǎn)品平臺的技術(shù)支持，以

16、及可靠性設(shè)計規(guī)范等。拒絕“從零開始”，是本質(zhì)可靠性設(shè)計的基本信條，“成熟度”與“繼承性”是評定應(yīng)用系統(tǒng)本質(zhì)可靠性設(shè)計的兩個重要指標(biāo)?！俺墒於取笔侵冈陧椖块_發(fā)中，所使用的技術(shù)是否都經(jīng)過實踐考驗，證明其安全可靠?！袄^承性”是指本項目是否有原型系統(tǒng)或參照系統(tǒng)，通常用原型系統(tǒng)或參照系統(tǒng)在本項目所占比例來確定“繼承性”的高低?！袄^承性”越高，系統(tǒng)的本質(zhì)可靠性越好。在項目總體設(shè)計中，不妨將“成熟度”與“繼承性”進一步量化，規(guī)定為總體設(shè)計中可靠性設(shè)計的一項重要指標(biāo)。4.2  應(yīng)用系統(tǒng)的可靠性控制設(shè)計可靠性控制設(shè)計是一種軟件介入的可靠性設(shè)計技術(shù)。例如，選擇最少出錯的運行路徑；最小的操作時空占空比，可

17、使出錯概率最小；信息流的管道控制，防止邊界泄漏與入侵；數(shù)據(jù)的邊界管理，邊界的設(shè)定與出錯判定；重要數(shù)據(jù)的保護，校驗、糾錯、備份與重建等。還可以舉出許多在實際使用中行之有效的可靠性設(shè)計技術(shù)，如，噪聲失敏控制、時空邊界管理、系統(tǒng)容錯、冗余設(shè)計、系統(tǒng)自檢與自修復(fù)、出錯后的安全性包容等。結(jié)語 由于計算機軟件及智能化控制的介入，嵌入式應(yīng)用系統(tǒng)與傳統(tǒng)電子系統(tǒng)有本質(zhì)區(qū)別。因此嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計應(yīng)有全新的觀念、方法和技術(shù)。 隨著器件可靠性的保證、系統(tǒng)的SoC化，產(chǎn)品使用周期縮短，嵌入式應(yīng)用系統(tǒng)的可靠性將突出表現(xiàn)在系統(tǒng)的出錯概率上。 應(yīng)建立可靠性等級概念。不同的嵌入式應(yīng)用系統(tǒng)對可靠性的要求不同。建立可靠性等級就會減少可靠性設(shè)計的盲目性。呼吁建立可靠性等級的國家標(biāo)準(zhǔn)。