文档中心 / 系统工程

系统工程

理论工具选好了,还需要一套工程方法把它们组装成可运行的系统,并且提供可信的证据证明它安全、正确。

集成框架模块回答了”选哪些理论、为什么”;系统工程模块回答的是下一个问题:这些理论如何变成运行代码,如何划定组件边界,如何验证它确实按设计意图工作。框架决定”用什么积木”,工程决定”怎么搭、怎么测”。

工程设计逻辑

集成框架完成了理论选型,确定了”用哪些积木”;系统工程模块在此基础上,针对具身系统工程落地面临的三个核心挑战,以集成框架的理论工具为依据,定制打造六个实现模块。下图梳理从工程问题到具体模块的完整映射:

工程设计逻辑图:核心问题到工程方案的映射

① 边界:接口协议 A/B

问题:三层架构之间的信息如何流动?什么可以跨层,什么不能?没有清晰边界,多个工具的组合会退化为独立系统的堆砌。

设计:用两条严格标准化的接口协议划定三个计算域的边界——接口 A 是语义与物理之间的翻译层,接口 B 是数字控制与物理执行之间的同步通道。Brain 层只输出”去哪里”和”满足什么约束”,不接触电机;VLA 的幻觉无法直接传播到 Body 层。

接口 A(Brain → Spine,~1Hz,异步):下行载荷包含 STL 规约包(本任务段的时序安全约束集合 {φi}\{\varphi_i\})和 ETL 任务图(具身任务语言描述的结构化任务序列)。Brain 无响应时,Spine 依靠 ZOH 维持最后一次指令继续运行,不等待。上行方向事件驱动:Spine 将 STL 鲁棒度 ρ\rho、安全余量、模态状态压缩后汇报 Brain。

接口 B(Spine → Body,~1kHz,同步):Spine 输出参考力矩 τref\tau_{ref},经 EtherCAT 总线(≤1ms 时延)发送给电机驱动单元。Body 层传感器原始数据以高频回流,不经任何软件过滤,Spine 看到真实物理状态。

实现模块系统部署架构(三层硬件落地方案,Prj167 双引擎 Brain 设计)、接口协议 A/B(完整报文规范与 Bumpless Transfer 平滑切换协议)。

② 频率差:双流 V 模型

问题:Brain 1Hz 和 Spine 1kHz 之间存在 1000:1 的速率差,两者必须在不互相阻塞的前提下协同工作。频率差来自物理约束而非设计选择,无法消除,只能通过工程手段隔离。

设计:分两个层次。运行时:三层各自工作在合适频率,Harness 框架负责速率适配——ZOH 零阶保持使 Spine 在两次 Brain 下发之间继续执行,看门狗矩阵检测超时后降级,降采样上报避免 1kHz 传感器流淹没 Brain。开发流程:针对频率分离的系统特性,开发方法同样适应性改造,提出双流 V 模型物理流(物理建模→仿真→Sim2Sim 验证)与智能流(AI 设计→L4 工厂训练→谱诊断验证)并行推进,在 L4 物理 AI 工厂交汇,最终在 L6 Sim2Real 节点以结构谱对齐 dGH<εd_{GH} < \varepsilon 完成闭环验收。

实现模块Harness 框架(运行时频率协调引擎:ZOH + 看门狗矩阵 + 安全反射弧 + CI 管线)、双流 V 模型(针对频率分离架构的开发方法论:L1–L6 阶段 + 物理 AI 工厂)、ETL 语言(接口 A 载荷格式:Brain 向 Spine 描述任务序列的结构化规范)。

③ 安全证明:EvidencePack

问题:安全关键系统不能只靠测试,测试无法枚举所有工况。需要可自动检验、可审计的形式化证据,而不是依赖人工审查——“我们测过”不能作为安全认证的依据。

设计:安全约束(STL + CBF)在接口层强制执行,不依赖 Brain 层规划的”自觉”。STL 约束随接口 A 下发到 Spine,执行过程中持续监控鲁棒度 ρ\rho;CBF-QP 在每个 1ms 控制周期内对控制量进行二次修正,保证安全集不变性。每次任务结束后,Spine 层自动生成 EvidencePack——包含 STL 验证记录、传感器轨迹摘要和安全事件日志的证据包,支持离线审计和安全认证追溯。Spine 层的物理 AI 模型(PINN/HNN)为此提供准确的动力学基础:EKF 状态估计依赖精确的动力学先验,先验不准则鲁棒度计算失效,证据链也随之失效。

实现模块PINN 与 HNN(物理信息神经网络补偿模型漂移,哈密顿网络通过辛结构约束保证能量守恒)、EvidencePack 协议(证据包格式、自动生成规范与离线审计接口)。

工程设计原则

约束前置:安全约束(STL + CBF)在接口层强制执行,不依赖 Brain 层规划的”自觉”。Brain 发出的任何指令,Spine 都以 CBF 约束二次过滤,无论语义上是否合理。

频率隔离:三层各自工作在合适频率,接口负责速率适配。慢层不阻塞快层,快层不等待慢层。

最小接口:接口 A/B 的报文格式精简固定,无冗余字段。层间耦合越小,独立测试和独立升级的空间越大。

可验证性优先:每个工程决策都对应一个可执行的验证方法。STL 约束可以机械验证,接口报文可以日志回放,EvidencePack 可以离线审计。