北京航空航天大學(xué) 何立民

近日有報(bào)道稱，大眾汽車位于德國(guó)Baunatal的工廠發(fā)生了一起意外事故，一名工人在工作時(shí)被機(jī)器人抓起并擠壓向一塊金屬板，最終導(dǎo)致死亡。隨后，機(jī)器人“殺人”事件成為社會(huì)熱點(diǎn)話題。雖然最后澄清原因?yàn)榘惭b機(jī)器人時(shí)，操作失誤產(chǎn)生的傷亡事故，但“機(jī)器人殺人”仍是一個(gè)值得重視的現(xiàn)實(shí)問題。

1978年9月6日，日本廣島一間工廠的切割機(jī)器人正在切割鋼板，突然發(fā)生了異常情況，機(jī)器人竟將一名值班工人當(dāng)作鋼板切成了肉片，成為了世界上第一宗真正的機(jī)器人殺人事件。嚴(yán)格說(shuō)來(lái)，在可以預(yù)見的將來(lái)，“機(jī)器人殺人”是一個(gè)偽命題，因?yàn)樵趥鹘y(tǒng)概念中，殺人要有預(yù)謀、要有動(dòng)機(jī)，日前的人工智能還無(wú)法做到。但是，眼下擺在人們面前的一個(gè)十分現(xiàn)實(shí)的課題是，如何防止“機(jī)器人過(guò)失傷人”。

現(xiàn)階段機(jī)器人的一切智慧都是人類賦予的，人類是機(jī)器人的設(shè)計(jì)者與“監(jiān)護(hù)人”，機(jī)器人的一切行為都應(yīng)該由人類負(fù)責(zé)。嵌入式系統(tǒng)設(shè)計(jì)中，不可或缺的可靠性設(shè)計(jì)擔(dān)此重任，并由此延伸出運(yùn)動(dòng)系統(tǒng)安全性設(shè)計(jì)責(zé)任。

1 嵌入式系統(tǒng)可靠性設(shè)計(jì)的新課題

可靠性設(shè)計(jì)是電子系統(tǒng)設(shè)計(jì)中的一個(gè)古老問題。在傳統(tǒng)電子系統(tǒng)中，可靠性設(shè)計(jì)著眼于系統(tǒng)的功能可靠性，是“不好即壞”的二值可靠性。智能電子時(shí)代，由于集成電路的超長(zhǎng)壽命、非絕對(duì)可靠的軟件，在諸多智能電子產(chǎn)品中，更多地體現(xiàn)在“出錯(cuò)概率”的多值可靠性上。這種智能電子的多值可靠性設(shè)計(jì)，更多的是可靠性控制及可靠性管理的設(shè)計(jì)內(nèi)容。

嵌入式系統(tǒng)是一個(gè)軟硬件融合的智能電子系統(tǒng)，軟硬件協(xié)同設(shè)計(jì)是嵌入式系統(tǒng)產(chǎn)品設(shè)計(jì)的一個(gè)重要特點(diǎn)，突出了系統(tǒng)功能性設(shè)計(jì)、低功耗設(shè)計(jì)、可靠性設(shè)計(jì)的相關(guān)與融合，以及軟件在低功耗系統(tǒng)設(shè)計(jì)、可靠性設(shè)計(jì)中的決定性地位。例如，嵌入式應(yīng)用系統(tǒng)中，最終賦予系統(tǒng)最小功耗水平的是系統(tǒng)的實(shí)時(shí)功耗管理設(shè)計(jì)，即根據(jù)系統(tǒng)實(shí)時(shí)運(yùn)行狀況，實(shí)施“多干多吃、少干少吃、不干不吃”的功耗管理策略。如今，智能電子系統(tǒng)硬件體系在集成電路超長(zhǎng)壽命、系統(tǒng)模塊化、白系統(tǒng)化的高可靠性品質(zhì)基礎(chǔ)上，“出錯(cuò)概率”已成為系統(tǒng)可靠性的主要課題，也是可靠性控制設(shè)計(jì)的中心問題。

可靠性控制是一種軟件行為，例如，對(duì)一個(gè)數(shù)據(jù)采集系統(tǒng)實(shí)行數(shù)據(jù)采集的實(shí)時(shí)界限管理，剔除不合理數(shù)據(jù)后重新進(jìn)行采集；最大限度地將系統(tǒng)設(shè)定在休眠、掉電、分區(qū)停電狀態(tài)，使系統(tǒng)對(duì)噪聲失敏，能有效地降低系統(tǒng)的出錯(cuò)概率；使系統(tǒng)定時(shí)復(fù)位也是實(shí)現(xiàn)可靠性控制的一種很好的措施。

目前，嵌入式產(chǎn)品系統(tǒng)更多的是軟硬件設(shè)計(jì)的并行與分離，這種并行與分離狀態(tài)不利于系統(tǒng)的可靠性控制設(shè)計(jì)。在后硬件時(shí)代，嵌入式系統(tǒng)硬件工程師在可靠性管理與可靠性控制設(shè)計(jì)中，處于比軟件工程師更為有利的地位。

另外，防止黑客攻擊是嵌入式系統(tǒng)可靠性設(shè)計(jì)的一個(gè)新問題。本來(lái)，嵌入式應(yīng)用系統(tǒng)對(duì)病毒具有天然的免疫能力，因?yàn)橄到y(tǒng)中的程序是固化在封閉的空間里運(yùn)行。物聯(lián)網(wǎng)時(shí)代，嵌入式應(yīng)用系統(tǒng)普遍具有網(wǎng)絡(luò)接入功能，以及與外部的交互功能，不少產(chǎn)品系統(tǒng)有與計(jì)算機(jī)的交互接口，從而打開了病毒可能入侵的渠道。2010年一種名為“震網(wǎng)”的蠕蟲病毒入侵了伊朗布什爾核電站，導(dǎo)致20%的離心機(jī)報(bào)廢，就是一個(gè)典型案例。

2 嵌入式系統(tǒng)可靠性設(shè)計(jì)的新觀念

軟硬件協(xié)同的可靠性設(shè)計(jì)是指硬件與軟件相融合，以及與功能性設(shè)計(jì)、低功耗設(shè)計(jì)綜合考慮的可靠性設(shè)計(jì)方法。筆者在1999 年總結(jié)了以減少出錯(cuò)概率為中心的“MCU 應(yīng) 用 系 統(tǒng) 的 可 靠 性 設(shè) 計(jì) 綱 要”［1］；2008 年 在《嵌 入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)初探》［2］一文中，指出了嵌入式系統(tǒng)獨(dú)特的可靠性概念，呼吁重視嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)，并指出嵌入式應(yīng)用系統(tǒng)軟硬件協(xié)同的三大任務(wù)——功能性設(shè)計(jì)、低功耗設(shè)計(jì)、可靠性設(shè)計(jì)。

嵌入式系統(tǒng)可靠性設(shè)計(jì)有兩大背景：一是集成電路超長(zhǎng)壽命與超常可靠性，使嵌入式硬件系統(tǒng)不易損壞；二是“沒有絕對(duì)不會(huì)出錯(cuò)的軟件”，導(dǎo)致系統(tǒng)可靠性向軟件可靠性傾斜。如今，人人都能體會(huì)到嵌入式產(chǎn)品這一“玩不壞，但會(huì)出錯(cuò)”的可靠性特點(diǎn)。

嵌入式系統(tǒng)這一特點(diǎn)，給嵌入式應(yīng)用系統(tǒng)帶來(lái)了全新的可靠性設(shè)計(jì)觀念。

（1）嵌入式系統(tǒng)的多值可靠性

傳統(tǒng)電子系統(tǒng)是一個(gè)“非好即壞”的二值可靠性系統(tǒng)，嵌入式應(yīng)用系統(tǒng)常常表現(xiàn)為不壞，但會(huì)出錯(cuò)，有的應(yīng)用系統(tǒng)經(jīng)常出錯(cuò)，有的應(yīng)用系統(tǒng)很少出錯(cuò)，形成了不同出錯(cuò)概率的多值可靠性。

（2）嵌入式系統(tǒng)的可靠性等級(jí)

用“出錯(cuò)概率”來(lái)評(píng)定嵌入式應(yīng)用系統(tǒng)的可靠性等級(jí)，并對(duì)不同的嵌入式應(yīng)用系統(tǒng)設(shè)計(jì)提出不同的“出錯(cuò)概率”要求。例如，衛(wèi)星發(fā)射時(shí)，運(yùn)載火箭中星箭分離的爆炸螺栓控制系統(tǒng)，環(huán)境惡劣、無(wú)人監(jiān)管，一旦出錯(cuò)后果嚴(yán)重，因此絕對(duì)不允許出錯(cuò)；相比之下，我們?cè)试S手機(jī)出錯(cuò)，對(duì)計(jì)算機(jī)經(jīng)常出現(xiàn)的死機(jī)現(xiàn)象熟視無(wú)睹。這些不同的可靠性等級(jí)要求與可靠性不同的現(xiàn)實(shí)狀況和用戶的感覺相一致。

（3）可靠性控制的設(shè)計(jì)理念

嵌入式應(yīng)用系統(tǒng)是一個(gè)智能電子系統(tǒng)，但我們可以充分利用軟件智力來(lái)實(shí)現(xiàn)系統(tǒng)的可靠性控制設(shè)計(jì)?？煽啃钥刂圃O(shè)計(jì)，是一種軟件介入的可靠性設(shè)計(jì)方法。筆者在《嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)初探》一文中，提出了基于可靠性模型的可靠性控制設(shè)計(jì)方法與內(nèi)容，即建立嵌入式應(yīng)用系統(tǒng)的可靠性模型，在可靠性模型基礎(chǔ)上制定出應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)原則。

3 嵌入式系統(tǒng)的可靠性設(shè)計(jì)

嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)是減少出錯(cuò)概率的軟硬件設(shè)計(jì)。既然嵌入式應(yīng)用系統(tǒng)不可能不出錯(cuò)，安全性設(shè)計(jì)便成為嵌入式應(yīng)用系統(tǒng)高可靠性設(shè)計(jì)的一個(gè)重要內(nèi)容，即系統(tǒng)出錯(cuò)時(shí)的無(wú)害化設(shè)計(jì)。

圖1是嵌入式應(yīng)用系統(tǒng)的可靠性模型。傳統(tǒng)電子系統(tǒng)是一個(gè)激勵(lì)－響應(yīng)型系統(tǒng)，嵌入式應(yīng)用系統(tǒng)由于軟件介入，在激勵(lì)端與響應(yīng)端之間增加了一個(gè)軟件的時(shí)空運(yùn)行過(guò)程。激勵(lì)端、運(yùn)行空間、響應(yīng)端構(gòu)成了嵌入式應(yīng)用系統(tǒng)的可靠性模型，保證正常激勵(lì)輸入、程序有序運(yùn)行、正常響應(yīng)輸出，是嵌入式應(yīng)用系統(tǒng)可靠性設(shè)計(jì)的基本原則。

圖1 嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)模型

圖2顯示了基于可靠性設(shè)計(jì)模型的應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)原則。激勵(lì)端的非正常激勵(lì)、程序運(yùn)行過(guò)程中的干擾、響應(yīng)端的非正常響應(yīng)輸出，是嵌入式應(yīng)用系統(tǒng)的非可靠性因素。

因此，可靠性設(shè)計(jì)原則是：激勵(lì)端對(duì)非正常激勵(lì)的消除或容錯(cuò)，如按鍵輸入抖動(dòng)的消抖動(dòng)措施、數(shù)據(jù)采集過(guò)程中屏蔽無(wú)關(guān)按鍵輸入；在軟件運(yùn)行過(guò)程中，要保證軟件的唯一運(yùn)行路程，盡量減少軟件漏洞，防止程序跑飛，制定程序跑飛后的多種返回措施；在響應(yīng)端，能及時(shí)判斷與排除異常狀態(tài)下的非正常響應(yīng)輸出。

圖2 嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)原則

4 嵌入式系統(tǒng)的可靠性等級(jí)分類

對(duì)傳統(tǒng)電子系統(tǒng)而言，可靠性越高越好，可靠性越高，越不容易損壞。以出錯(cuò)概率為可靠性標(biāo)志的智能電子系統(tǒng)，并不是可靠性越高越好，如對(duì)儀器精度、嵌入式系統(tǒng)實(shí)時(shí)性而言，能滿足精度、實(shí)時(shí)性要求即可。可靠性越高，投入的成本與精力越大，有時(shí)會(huì)成十倍、百倍地加大。因此，在嵌入式系統(tǒng)設(shè)計(jì)時(shí)，必須建立起可靠性等級(jí)分類概念，對(duì)不同可靠性等級(jí)要求，采用不同的應(yīng)對(duì)性設(shè)計(jì)。

嵌入式可靠性等級(jí)的分類依據(jù)，是可靠性評(píng)定因子。最常用的可靠性評(píng)定因子有“環(huán)境因子”、“人機(jī)耦合因子”、“系統(tǒng)集成因子”、“基礎(chǔ)平臺(tái)因子”與“安全性因子”等。

“環(huán)境因子”是指系統(tǒng)運(yùn)行環(huán)境對(duì)可靠性的影響因素，如系統(tǒng)的電氣環(huán)境、機(jī)械環(huán)境、氣氛環(huán)境，具體包括電氣環(huán)境中的電磁干擾環(huán)境，機(jī)械環(huán)境中的震動(dòng)干擾，以及氣氛環(huán)境中的鹽霧、粉塵、溫度、濕度等。

“人機(jī)耦合因子”是指系統(tǒng)運(yùn)行時(shí)有無(wú)操作者介入，或操作者的介入深度。有操作者介入時(shí)，有利于發(fā)現(xiàn)系統(tǒng)早期的出錯(cuò)征兆，介入深度越大，越有利于出錯(cuò)時(shí)的修正與安定性保證。

“系統(tǒng)集成因子”是指應(yīng)用系統(tǒng)的整體化程度，如芯片的集成度、系統(tǒng)的模塊化水平、開發(fā)環(huán)境的集成度。系統(tǒng)集成度越高，可靠性也越高。

“基礎(chǔ)平臺(tái)因子”是指應(yīng)用系統(tǒng)研發(fā)時(shí)基礎(chǔ)平臺(tái)占據(jù)的比例。基礎(chǔ)平臺(tái)包括半導(dǎo)體廠家提供的產(chǎn)品平臺(tái)、開發(fā)平臺(tái)，以及企業(yè)內(nèi)部的通用技術(shù)平臺(tái)，這些平臺(tái)都經(jīng)歷過(guò)實(shí)踐考驗(yàn)。基礎(chǔ)平臺(tái)占據(jù)的比例越大，可靠性越高。

“安全性因子”是指系統(tǒng)出錯(cuò)時(shí)出現(xiàn)威脅安全的因素。通用計(jì)算機(jī)死機(jī)后不會(huì)出現(xiàn)重大安全問題；自動(dòng)生產(chǎn)線上機(jī)器人出現(xiàn)失控后會(huì)產(chǎn)生破壞因素；宇宙火箭星箭分離控制機(jī)構(gòu)出現(xiàn)故障后，會(huì)造成極其嚴(yán)重的后果。

評(píng)定系統(tǒng)可靠性等級(jí)時(shí)，要將所有可靠性因子，按照對(duì)系統(tǒng)可靠性設(shè)計(jì)要求的程度高低，統(tǒng)一量化成上、中上、中、中下、下5級(jí)，或上、中、下3級(jí)的標(biāo)準(zhǔn)級(jí)別。如在溫度的環(huán)境可靠性因子中，80 ℃以上、－40 ℃以下為“上”，40 ℃以上、－20 ℃以下為“中”，40 ℃以下、－20 ℃以上為“下”。

將可靠性因子量化后，依可靠性要求的大小按5級(jí)或3級(jí)順序排列成表，然后將系統(tǒng)的可靠性要求對(duì)號(hào)入座?？煽啃砸蜃拥燃?jí)量化數(shù)值越大，系統(tǒng)的可靠性等級(jí)越高，表明該系統(tǒng)對(duì)可靠性的要求越高。如，無(wú)人值守、極端溫度環(huán)境、強(qiáng)振動(dòng)、宇宙射線電磁環(huán)境、出錯(cuò)后會(huì)導(dǎo)致重大安全事故的宇宙空間設(shè)備，可靠性等級(jí)最高；常溫下、有人值守、正常電磁環(huán)境、出錯(cuò)后無(wú)重大安全隱患的家用電器，可靠性等級(jí)較低。

5 機(jī)器人的可靠性與安全性設(shè)計(jì)

回到本文的主題，看看機(jī)器人的可靠性與安全性設(shè)計(jì)。

機(jī)器人是無(wú)人操作下擬人的運(yùn)動(dòng)狀態(tài)機(jī)構(gòu)，用于取代人類個(gè)體的腦力勞動(dòng)與體力勞動(dòng)。機(jī)器人有健壯的運(yùn)動(dòng)機(jī)構(gòu)，具有足夠的動(dòng)力和確定的運(yùn)動(dòng)軌跡。正常情況下，機(jī)器人忠實(shí)地為人類服務(wù)。目前，機(jī)器人正在以空前的速度，高效地替代勞動(dòng)者的工作崗位，成為人類的好伙伴。

通常，機(jī)器人無(wú)人值守，有足夠健壯的運(yùn)動(dòng)機(jī)構(gòu)，工廠里的機(jī)器人從事緊張、高效、精細(xì)的工作，任何失誤都會(huì)造成重大損失。因此，機(jī)器人設(shè)計(jì)時(shí)普遍有高可靠的技術(shù)保障，出錯(cuò)概率遠(yuǎn)小于原崗位勞動(dòng)者。大眾汽車廠的機(jī)器人殺人事件是工作人員安裝機(jī)器人時(shí)操作失誤。大部分機(jī)器人在無(wú)人環(huán)境下能夠高可靠地工作，很少發(fā)生傷人事件。

按高可靠要求設(shè)計(jì)的機(jī)器人并不能達(dá)到零出錯(cuò)要求，因此，機(jī)器人的安全性設(shè)計(jì)、安全性使用規(guī)范，是機(jī)器人設(shè)計(jì)、使用的重要內(nèi)容。安全性設(shè)計(jì)是機(jī)器人出錯(cuò)后的無(wú)害化處理，如劃定機(jī)器人運(yùn)行時(shí)的虛擬空間與軌跡，當(dāng)機(jī)器人運(yùn)行越過(guò)規(guī)定的空間與軌跡時(shí)停機(jī)，或者有人進(jìn)入該空間或軌跡時(shí)發(fā)出警告。在生產(chǎn)線上的機(jī)器人，有固定的空間與軌跡；倉(cāng)庫(kù)、工位間行走的機(jī)器人小車，須劃定軌道與軌道寬度；機(jī)器人保姆應(yīng)該有用戶可設(shè)定的安全界限與中止機(jī)器人行為的功能。

不少科技大片渲染的“機(jī)器人殺害人類”尚屬科幻。當(dāng)人類進(jìn)入到非自然人類時(shí)代，人類個(gè)體與智能化工具共享人類智慧時(shí)，什么事情都可能出現(xiàn)。但眼下真正對(duì)人類造成危害的，是無(wú)人化戰(zhàn)爭(zhēng)設(shè)備。眾多的殺人機(jī)器人士兵被制造出來(lái)，第一個(gè)真正殺害人類的機(jī)器人，應(yīng)該是戰(zhàn)爭(zhēng)機(jī)器人。

［1］何立民.MCU 應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)綱要［J］.電子技術(shù)應(yīng)用，1999（5）.

［2］何立民.嵌入式應(yīng)用系統(tǒng)的可靠性設(shè)計(jì)初探［J］.單片機(jī)與嵌入式系統(tǒng)應(yīng)用，2008（10）.

［3］何立民.知識(shí)學(xué)原理［M］.北京：北京航空航天大學(xué)出版社，2012.