摘要 嵌入式应用系统是一个有计算机内核的智能化电子系统。集成电路的超长寿命、计算机的软件介入与智能化的控制能力,决定了嵌入式应用系统全新的可靠性设计观念。这些新观念是:基于出错概率的多值可靠性、确定应用系统的可靠性等级、建立应用系统的可靠性模型、应用系统的本质可靠性设计与可靠性控制设计。
关键词 嵌入式应用系统 多值可靠性 可靠性设计 可靠性等级 可靠性模型
嵌入式应用系统是一个有计算机内核,软、硬件整合的智能化电子系统。与传统的激励响应型电子系统的本质差异,是它的智力嵌入,从而形成嵌入式应用系统全新的可靠性设计观念、方法与技术。这些全新的可靠性设计观念是:从二值可靠性到多值可靠性、建立系统的可靠性设计模型、确定系统的可靠性设计等级、应用系统的本质可靠性设计与可靠性控制设计。支持可靠性设计观念的基础是LSIC支持下硬件结构的超常可靠性、会出错的软件体系、智力内核的可靠性控制。
1 创建可靠性设计新观念
1.1 嵌入式应用系统可靠性设计背景
嵌入式应用系统可靠性设计背景是集成电路的超长寿命、计算机软件介入与计算机内核的可靠性控制能力。
① 集成电路的超长寿命。经历半个世纪的发展,集成电路从电路集成、功能集成、技术集成到知识集成。依靠顶级电子学专家的可靠性设计,大规模集成电路的可靠性迅速增长。与电子产品的更新周期相比,集成电路具有超长寿命与超常可靠性,器件失效周期远大于产品的更新周期。
② 计算机软件介入。与传统电子系统相比,嵌入式应用系统有软件介入,系统在软件介入下运行。因而系统的可靠性基础是软件的可靠性。软件的可靠性决定了嵌入式应用系统的可靠性特征。
③ 计算机内核的智能化管理能力。嵌入式应用系统的计算机内核,决定了嵌入式应用系统是一个智能化系统。这个智能化的计算机内核可以实现可靠性的主动控制,如噪声失敏、动态冗余、出错控制、容错管理和系统测试等。
1.2 嵌入式应用系统可靠性设计的新观念
嵌入式应用系统可靠性设计的新观念是多值可靠性、可靠性等级、可靠性模型与可靠性控制。
(1) 多值可靠性
传统电子系统是二值可靠性系统,是一个非好即坏的电子系统。嵌入式应用系统则经常表现为不好不坏,是一个多值可靠性的电子系统,这是由软件不断出错引发出系统的不可靠性。当软件运行出错时系统无法正常工作,软件运行恢复正常时系统恢复正常运行,这是介于“好”、“坏”之间的多值可靠性。这种多值可靠性可以用出错概率的统计方法来界定系统的可靠性品质。
硬件系统的超长寿命、超常可靠性的器件保证,使软件“出错”成为系统可靠性的主要因素。
(2) 可靠性等级
在嵌入式应用系统中客观存在一个可靠性等级要求。相似的功能要求、相似的软硬件,在不同的运行环境下,会有不同的可靠性设计要求。例如,运载火箭中星箭分离的爆炸螺栓控制系统,由于是空间应用环境、无人监管、强烈的机械振动条件、出错后果严重,可靠性等级要求极高;对比实验室应用环境中的万用表,可靠性等级要求很低。
建立应用系统设计的可靠性等级概念,有助于在系统设计的论证阶段,对系统可靠性设计的技术投入做到心中有底,在确保系统可靠的前提下有最佳的技术投入。
(3) 可靠性模型
传统电子系统是一个激励响应型电子系统,嵌入式应用系统则是一个软件基础上的激励处理响应型智能化电子系统。从而建立起嵌入式系统激励输入、信息处理、响应输出三元素的可靠性模型,在可靠性模型基础上可以建立系统可靠性设计的一些原则与方法。
(4) 可靠性控制
嵌入式应用系统是一个有计算机内核的智能化电子系统。计算机内核的存在决定了系统具有可靠性控制能力。因此,嵌入式应用系统中,基于系统智能化特征的可靠性控制设计、功耗管理的最小功耗系统设计应与功能性设计并列为嵌入式应用系统的三大常规设计内容。
2 评定系统的可靠性等级
2.1 评定可靠性等级的重要性
在测试技术领域的数据采集系统中,首先有一个数据采集精度要求。如果没有数据采集精度指标,数据采集系统的研发工作便无法启动。任何一个嵌入式应用系统都工作在一个特定环境中,如果不了解特定环境对系统运行影响的可能后果,应用系统的研发工作便陷入盲目性。
一个合格的嵌入式应用系统,应该在实际应用环境中可靠地工作。研发环境与实际运行环境的巨大差异,是可靠性设计的出发点;可靠性等级评定应该是应用系统研发前期,甚至项目立项时必不可少的一项任务。如果前期缺乏应有的重视,导致可靠性设计投入欠缺,会使后续嵌入式应用系统的研发工作陷入无止境的软、硬件修补工作之中。许多事例证明,在项目收尾工作中陷入可靠性问题者居大多数。
2.2 可靠性等级评定方法
研发环境与实际运行环境的巨大差异也是可靠性等级评定的出发点,实际运行环境的因子化是可靠性等级评定的基本方法。与准确的精度概念相比,可靠性等级是一个模糊量。
确定系统可靠性等级的方法是:确定可靠性评定因子、可靠性因子的顺序量化、统计出系统的可靠性等级。
充分考虑到实际运行环境下,所有影响系统可靠性的因素,将这些因素确定为可靠性评定因子。为了保证不同的应用系统之间有可比性,应建立相对统一的标准,并将它作为本单位的可靠性等级评定标准。
(1) 可靠性评定因子
最常用的可靠性评定因子有环境因子、人机耦合因子、系统集成因子、知识平台因子和安全性因子。
“环境因子”是指系统运行环境对可靠性的影响因素,如电气环境、机械环境、气氛环境。电气环境中的电磁兼容性、机械环境中的抗震性、气氛环境中的抗盐雾、抗粉尘、防潮等。
“人机耦合因子”是指系统运行时有无操作者介入,或操作者的可介入深度。操作者的可介入度大,有利于发现系统早期的出错征兆,并实施可靠性介入。
“系统集成因子”是指应用系统的最大芯片集成度。考虑到当前集成电路的超长可靠性,系统集成度越大,可靠性越高。
“基础平台因子”是指应用系统研发时,基础平台占据的比例。基础平台包括半导体厂家提供的厂家平台、企业内部的产品平台、应用平台,这些平台都经历过实践考验。显然,基础平台占据的比例越大,可靠性越高。
“安全性因子”是指系统出错时产生威胁安全的因素。通用计算机死机后不会出现重大安全问题;自动生产线上机器人出现失控后会产生破坏因素;宇宙火箭星箭分离控制机构出现故障后会造成极其严重的后果。
我们还可以列出一些可靠性因子。
(2) 可靠性因子的顺序量化
将所有可靠性因子,按照对系统可靠性设计要求的程度高低,统一量化成“上、中上、中、中下、下”5级,或“上、中、下”3级的标准级别。把这些量化标准的内容具体化,形成量化等级表,作为企业的标准,以界定不同应用系统可靠性设计要求的相对难易程度。
(3) 用量化积分确定可靠性等级
制定好可靠性因子的顺序量化标准后,确定一个具体应用系统的可靠性等级时,只需将应用系统具体运行环境、运行条件,在可靠性因子的量化等级表中对号入座,将量化值相加后得出系统的可靠性等级。例如,5个可靠性因子,按5个等级划分时,可靠性等级(要求)最高者为25级,最低者为5级。
3 建立系统可靠性设计模型
3.1 软件介入下的激励响应系统
传统的电子系统是实时的激励响应系统,嵌入式应用系统则是一个软件广泛介入下的激励响应系统。由于软件的介入,在激励响应进程中增加了软件运行时间,造成了嵌入式应用系统的两个新问题,即实时性与软件可靠性问题。
由于软件介入,一方面出现软件可靠性问题,另一方面为系统增加了可靠性的控制技术,即利用软件技术来提高系统的可靠性。
3.2 嵌入式应用系统的可靠性模型
与传统的电子的激励响应系统相比,嵌入式应用系统在软件介入下,增加了一个在激励响应中的时空过程。激励端、过程空间、响应端,构成了嵌入式应用系统的可靠性模型。如图1所示。
在嵌入式应用系统的可靠性模型中,系统可靠性取决于从激励端到响应端的唯一性管道原则。即保证在激励端有唯一的正常激励输入,在运行空间有正常激励下唯一的运行路径,在响应端有唯一的正常响应输出。所有破坏唯一性管道原则的因素,都会造成系统的不可靠运行。系统可靠性设计就是要保证在一切不可靠因素侵害下,都能保证唯一性管道的通畅性与稳定性。
3.3 应用系统的可靠性设计原则
在实际应用环境中,应用系统会被众多的不可靠因素侵害。在众多的不可靠因素侵害下,应该遵循哪些原则来保证系统的可靠性?图2所示为可靠性设计的一些基本原则。
按照唯一性管道原则,保证正常激励输入下有唯一的正常响应输出,在全部路径上都应有相应的可靠性保障措施。
在激励端,除了正常激励外,还会有许多非正常激励。在保证唯一的正常激励输入时,必须对非正常激励采取屏蔽措施,或容错技术。
在软件的运行空间上,要在保证软件的唯一运行路径的同时,尽量减少软件漏洞,防止程序飞跑。当程序飞跑吋,能迅速发现并使之进入安全管道。在与程序运行相关的物理空间上,不断进行自检与修补。
在响应端,能及时判断异常状态下的非正常响应,并即时剔除。对于无法避免的非正常响应输出,应采取安全性包容措施,以免造成不可挽回的损失。
在所有数据流的路径上,都会有许多通道干扰,应实施管道化的屏蔽措施。按照电磁兼容性原则,不仅要屏蔽入侵的电磁干扰,也要防止本机电磁辐射外泄。在某些状况下,防电磁辐射外泄是出于信息安全的考虑。
建立可靠性模型,有利于制定可靠性设计的技术标准。在可靠性模型基础上,总结、归纳出系统可靠性设计的原则、方法、措施,形成企业的可靠性设计标准。使企业的可靠性设计科学化与规范化。
4 嵌入式应用系统的可靠性设计
可靠性设计是应用系统设计的常规内容,应贯彻到项目开发的始终,并突出在项目的前期管理中。嵌入式应用系统的可靠性设计包括本质可靠性设计与可靠性控制设计。
本质可靠性设计是保证系统可靠性品质的先天性设计;可靠性控制设计是软件介入下提升系统可靠性的后天性设计。
在进行可靠性设计时,必须对系统的可靠性等级、可靠性因子有充分了解,防止陷入盲目性。
4.1 应用系统的本质可靠性设计
本质可靠性设计是系统可靠性品质的先天性设计内容,是系统可靠性设计的基础。本质可靠性设计主要体现在项目的前期论证与总体设计中。例如,应用系统的体系结构、操作系统选择,厂家平台、应用平台、产品平台的技术支持,以及可靠性设计规范等。
拒绝“从零开始”,是本质可靠性设计的基本信条,“成熟度”与“继承性”是评定应用系统本质可靠性设计的两个重要指标。
“成熟度”是指在项目开发中,所使用的技术是否都经过实践考验,证明其安全可靠。“继承性”是指本项目是否有原型系统或参照系统,通常用原型系统或参照系统在本项目所占比例来确定“继承性”的高低。
“继承性”越高,系统的本质可靠性越好。
在项目总体设计中,不妨将“成熟度”与“继承性”进一步量化,规定为总体设计中可靠性设计的一项重要指标。
4.2 应用系统的可靠性控制设计
可靠性控制设计是一种软件介入的可靠性设计技术。例如,选择最少出错的运行路径;最小的操作时空占空比,可使出错概率最小;信息流的管道控制,防止边界泄漏与入侵;数据的边界管理,边界的设定与出错判定;重要数据的保护,校验、纠错、备份与重建等。
还可以举出许多在实际使用中行之有效的可靠性设计技术,如,噪声失敏控制、时空边界管理、系统容错、冗余设计、系统自检与自修复、出错后的安全性包容等。
结语
① 由于计算机软件及智能化控制的介入,嵌入式应用系统与传统电子系统有本质区别。因此嵌入式应用系统的可靠性设计应有全新的观念、方法和技术。
② 随着器件可靠性的保证、系统的SoC化,产品使用周期缩短,嵌入式应用系统的可靠性将突出表现在系统的出错概率上。
③ 应建立可靠性等级概念。不同的嵌入式应用系统对可靠性的要求不同。建立可靠性等级就会减少可靠性设计的盲目性。呼吁建立可靠性等级的国家标准。
④ 应建立可靠性模型,可靠性模型可给出嵌入式应用系统可靠性设计的一般规律和方法。
⑤ 嵌入式应用系统设计,决不是单纯的功能性设计,应把功能性设计、可靠性设计、最小功耗设计列为常规设计内容。
⑥ 应不断地把具体项目实践中的一些可靠性设计方法、技术进行综合、归纳,不断完善嵌入式应用系统可靠性设计原理与方法。
参考文献
[1] 何立民. 单片机应用系统可靠性设计纲要[J]. 电子技术应用,1999(10).
[2] 何立民. 单片机高级教程[M]. 第2版. 北京: 北京航空航天大学出版社,2007: 296333.
(收稿日期:2008-06-11)
评论
查看更多