集成框架

EICPS 不发明新数学，而是为”无人系统 + 人机协同 + 安全可靠”这个工程问题，挑选并组装了正确的成熟工具，并设计了让它们协同工作的接口。

EICPS 是什么

从 CPS 到 CPSS 到 EICPS

理解 EICPS 需要先看清它从哪里来：

概念	全称	提出背景	核心关注点	局限
CPS	Cyber-Physical System	2006 年前后，NSF 推动	计算与物理过程的深度融合；传感、网络、控制的闭环	以机器为中心，人是外部干扰而非协作者
CPSS	Cyber-Physical-Social System	2010 年前后，Wang Fei-Yue 等	将社会系统（人、组织、行为）纳入 CPS 框架	关注宏观社会层面，缺乏针对具身执行的形式化方法
EICPS	Embodied Intelligent Cyber-Physical Systems	本书，2024	在特定场景（高安全 + 人机协同）中，让具身机器人自主完成复杂任务	—

CPS 解决了”计算与物理世界如何联通”的问题，但把人视为外部干扰项。CPSS 意识到人和社会系统不可忽略，但停留在宏观框架层面。EICPS 在此基础上追问：在一个有人协同、安全关键、场景特定的具体工程任务中，机器人的具身执行应当如何形式化、如何验证？

EICPS（Embodied Intelligent Cyber-Physical System，具身智能信息物理系统）是本书提出的集成框架，回答一个工程问题：

如何让无人系统在有人协同、高安全要求的特定场景中，自主完成复杂检修任务？

EICPS 的核心主张是：这个问题不需要发明新数学，需要的是为问题挑选正确的成熟工具，并设计让它们协同工作的接口。EICPS 的回答是：以 具身空间（EST） 为本体论基础，以 接口 A/B 为架构边界，将 SE(3)、HTN、STL、CBF 等成熟工具集成为一个可证明安全的执行系统。

三层运行架构

为什么是三层？

这个划分不是类比，而是由 时间尺度分离（Time-Scale Separation） 决定的。具身系统中存在三种本质不同的信息处理频率，它们彼此相差 3 个数量级：

频率段	典型周期	处理的物理量	不能合并的原因
~1 Hz	~500ms	语义、意图、任务逻辑	需要大模型推理，无法实时化
~1 kHz	~1ms	关节力矩、安全边界、状态估计	需要硬实时，不能等大模型
微秒级	<1ms	PWM 驱动、编码器、液压阀	硬件时序，软件层无法介入

三个频率段之间存在不可压缩的频率鸿沟——大脑无法以 1kHz 运行（算力不够），脊髓不能降到 1Hz（安全无法保证）。这个分离是物理约束，不是设计选择。

仿生启示：Brooks（1986）的包容架构（Subsumption Architecture）最早指出机器人控制应按响应速度分层；Goebel et al.（2012）的混合动力系统为 Flow（连续层）与 Jump（离散切换层）提供了形式化基础；神经生物学则给出了”这条路行得通”的存在性证明——哺乳动物皮层（慢思考）与脊髓（快反射）的分工已经过亿年进化验证。

三层对应关系

层级	组件	时间尺度	职责
Brain（大脑）	VLA / LLM 语言-视觉-行动模型	秒级（~1 Hz）	语义理解、任务规划、意图生成
Spine（脊髓）	ESP 嵌入式信号处理器	毫秒级（~1 kHz）	动力学控制、安全监控、状态估计
Body（本体）	机电液执行单元	微秒级	物理动作执行、传感器回流

三层之间通过两条标准化接口连接：接口 A（Brain→Spine，语义→动力学）和 接口 B（Spine→Body，参考力矩↔传感器）。

理论选型

EICPS 的选型原则是：可靠性和可控性必须由工程机制保障，不能依赖 AI 的正确性。AI（VLA/LLM）作为语义推理工具存在于 Brain 层，负责理解意图和生成计划，但它的输出经接口 A 进入系统后，必须通过 STL 形式化验证和 CBF 实时约束过滤，才能到达电机。AI 出错或产生幻觉，系统仍然安全——这个保证由 CPS 侧的机制提供，而不是来自 AI 自身。

因此，理论选型全部来自 CPS 和控制领域的成熟工具，没有 AI/ML 理论条目：AI 是组件，不是理论基础；理论基础负责在工程层面约束和验证 AI 的行为。

EICPS 集成的每一个理论模块都有独立的学术来源，各自负责不同子问题：

EICPS 模块	来源理论	提出时间	成熟度	在 EICPS 中的角色
具身空间几何	SE(3) 李群，Murray et al. 1994	1990s	机器人学教材级	检修装备位姿的坐标系，Brain/Spine 共用
任务切换机制	HTN 分层任务网络，Erol et al. 1994	1975+	规划领域成熟	Brain 层任务分解，Flow-Jump 模式切换
安全约束验证	STL 信号时序逻辑，Maler & Nickovic 2004	2004	控制领域标准	接口 A 随指令下发规约，Spine 层验证
实时安全监控	CBF 控制屏障函数，Ames et al. 2017	2017	广泛引用	Spine 层 1kHz 安全边界，QP 实时求解
跨频调度	混合动力系统，Goebel et al. 2012	2012	自动化领域教材	Brain 1Hz ↔ Spine 1kHz 速率匹配
分层控制	行为分层架构，Brooks 1986	1986	机器人学经典	三层隔离设计的架构原则
状态估计	EKF / 扩展卡尔曼滤波	1960s+	工业成熟	Spine 层跨频状态重建

EICPS 的贡献边界

EICPS 不是一个新算法，也不是一个完整的机器人操作系统。它的贡献分三个层次：

① 理论集成——确定 SE(3)、HTN、STL、CBF、混合动力系统的组合是正确的，并给出每个工具负责哪个子问题的精确映射。理论本身已有数十年积累，集成的贡献在于”选对”和”配好”。

② 接口规范——用 接口 A/B 划定三层边界，定义跨层信息如何流动。没有清晰的接口，七个工具的组合会退化为七个独立系统的堆砌，接口设计是让集成产生 1+1>2 效果的关键。

③ 验证方法——用 STL 形式化规约 + EvidencePack 证明链，给出可自动检验、可审计的安全证据，而不是依赖人工审查。

→ 接口协议 A/B 详细规范

学术贡献定位

“EICPS 不发明新数学”并不意味着 EICPS 没有原创贡献。以下三层区分是理解 EICPS 学术定位的关键：

第一层：EST 原创理论（具身空间的几何语言）

具身空间理论（EST，Embodied Space Theory） 是本书的原创理论贡献，不依赖任何已有框架。EST 建立了描述具身智能体状态的几何语言：

EST 原创概念	形式定义	学术新颖性
三流形乘积空间	$\mathcal{M} = \mathcal{M}_{sem} \times \mathcal{M}_{phy} \times \mathcal{M}_{lat}$	首次将语义、物理、隐变量三类状态统一在一个几何结构中
具身变换算子 ET	$\text{ET}: \mathcal{M}_{sem} \to T_x\mathcal{M}_{phy}$	定义从语义意图到物理切空间的投影映射，量化语义-物理耦合
结构谱 Σ	$\Sigma(x) = \{\lambda_i(x)\}$	通过 Jacobian 谱刻画局部可控性，诊断奇异构型
Flow-Jump 动力学	$\dot{x} \in F(x)$ / $x^+ \in G(x)$	用混合系统语言重新诠释具身执行的模态切换

EST 的上述概念在现有机器人学、控制论文献中没有直接对应——这是本书的理论原创点，与七项工程选型的性质完全不同。

第二层：七项工程选型（“不发明新数学”的正确理解）

七个理论工具（SE(3)、HTN、STL、CBF、混合动力系统、Brooks 分层控制、EKF）均来自已发表的成熟学术文献，EICPS 的贡献不在于这些工具本身，而在于：

选对：论证为什么这七个工具的组合能覆盖工程问题的完整约束空间，而其他组合（如纯学习方法、仅 CBF 而无 HTN）不能
配好：精确指定每个工具负责哪个子问题、工作在哪个时间尺度、通过什么接口与上下层交互

“不发明新数学”是一个工程方法论立场，不是在声称缺乏创新。它的含义是：当成熟工具已能满足需求时，应优先利用已有数学保证安全性和可验证性，而不是用尚未充分验证的新方法替代。选型本身的贡献在于识别问题约束、论证选型充分性，而非推导新定理。

第三层：接口设计与 EvidencePack（原创工程集成贡献）

七个工具不会自动协同工作。EICPS 的工程原创贡献在于设计了让它们连接的机制：

集成贡献	内容	为什么是原创
接口 A 协议	STL 规约包 + ETL 任务包的序列化格式；异步下行、事件驱动上行；ZOH 降级模式	跨频、异步、安全降级三者同时满足的接口规范没有现成标准
接口 B 协议	EtherCAT 实时报文格式；关节索引、 $\tau_{ref}$ 、时间戳、安全标志位的组合规范	与 Spine 层 CBF 输出直接对接的报文设计
EvidencePack	$\{P,\, A,\, x_{act},\, \varphi,\, \rho^*,\, v\}$ 六元组；机器可读的任务执行证据链	将 STL 验证结果结构化为可审计的法证证据，现有 MPC/CBF 文献无此定义

简言之：EST 是”用什么语言描述问题”（理论层），七项选型是”用什么工具解决问题”（工具层），接口设计 + EvidencePack 是”如何让工具一起工作并留下证据”（集成层）。三层各有来源，缺一不可。

→ 数学讲义第七讲：EICPS 完整数学图谱给出上述三层的完整形式化汇总。

EICPS 架构

图中从上至下依次是 Brain（蓝）→ 接口 A（紫）→ Spine（绿）→ 接口 B（琥珀）→ Body（琥珀），右侧时间尺度标尺标注了每层的频率段，顶部为七个理论工具的来源标签。以下逐层解读。

Brain 层：语义规划与决策（~1 Hz）

Brain 层由 VLA / LLM 语言-视觉-行动模型承担，工作在秒级，对应图中蓝色区域的四个子模块：

语义规划：接收自然语言工单，理解意图，结合 HTN 进行分层任务分解，生成 ETL 任务图
Guard 评估：持续检测是否满足 Jump 触发条件（如任务完成、安全边界迫近、环境突变）
重置映射：模态切换时执行 $x^+ = g(x)$ ，完成相位对齐与状态重置（Bumpless Transfer）
Jump 指令下发：将语义指令序列化为 STL 规约包，经接口 A 下发给 Spine

Brain 层的核心约束：不进入实时控制链。它只做规划和决策，不直接驱动电机。所有安全关键判断由 Spine 层独立执行，Brain 的幻觉无法直接传播到物理动作。

→ 具身空间几何 · 分层控制 · 任务切换机制

接口 A：语义-动力学边界

接口 A 是 Brain 与 Spine 之间的协议层，对应图中紫色双向箭头：

下行（实线，~1 Hz）：Brain 将 STL 规约 + ETL 任务包打包下发，完成从语义流形 $\mathcal{M}_{sem}$ 到物理流形切空间 $T_x\mathcal{M}_{phy}$ 的投影。Spine 收到后立即生效，旧指令被覆盖。

上行（虚线，按需触发）：Spine 将当前结构谱状态压缩后汇报给 Brain，包括 STL 鲁棒度 $\rho$ 、安全边界余量、模态状态。Brain 据此判断是否需要重新规划。

两个方向异步、不对称——下行低频主动推送，上行事件驱动。当 Brain 无响应时，Spine 依靠 ZOH（零阶保持）维持最后一次接收的指令继续运行，不等待。

→ 接口协议 A/B 详细规范

Spine 层：实时安全控制核心（~1 kHz）

Spine 层是系统的安全核心，对应图中绿色区域的五个并发模块：

状态估计（EKF / PINN）：以 1kHz 运行，利用扩展卡尔曼滤波跨频重建物理状态 $\hat{x}(t) \in \mathcal{M}_{phy}$ ，弥补传感器采样率不一致的问题。PINN 物理神经网络提供动力学先验，提升估计精度。

实时安全监控（CBF）：控制屏障函数实时求解 QP 问题，强制 $h(x) \geq 0$ ，保证系统状态始终在安全集内。当 CBF 约束与 Brain 指令冲突时，CBF 优先——这是”脊髓反射弧”的工程实现。

跨频调度（混合动力系统）：管理连续执行（Flow： $\dot{x} = f(x, u)$ ）与离散切换（Jump： $x^+ = g(x)$ ）的状态机。Zeno 检测防止无限快速切换，最小驻留时间保证每个模态有足够执行时间。

安全约束验证（STL-RHC）：以滚动时域控制（RHC/MPC）在线求解 STL 约束满足问题，持续计算鲁棒度 $\rho$ 。 $\rho > \rho_{warn}$ 正常执行， $0 < \rho \leq \rho_{warn}$ 预警上报， $\rho \leq 0$ 强制 Jump 到 FAILSAFE 模态。

传感器融合（ZOH）：多模态传感器数据（视觉/力觉/本体）融合压缩，通过零阶保持（ZOH）打包上报 Brain。Brain 侧看到的是结构化状态摘要，不是原始高频信号。

→ 状态估计 · 安全约束验证 · 实时安全监控 · 跨频调度

接口 B：动力学-物理边界

接口 B 是 Spine 与 Body 之间的高频同步通道，对应图中琥珀色双向箭头：

下行：Spine 输出参考力矩 $\tau_{ref}$ ，经 EtherCAT 工业总线（≤1ms 时延）发送给电机驱动单元。这是 Spine 层控制律的物理出口，格式严格定义（关节索引、力矩值、时间戳、安全标志位）。

上行：Body 层编码器、IMU、力觉、触觉传感器的原始数据以高频回流到 Spine 层，作为状态估计和安全监控的输入。接口 B 不经过任何软件过滤——这保证 Spine 看到的是真实物理状态。

Body 层：物理执行（微秒级）

Body 层是纯粹的物理执行单元，对应图中最下方的琥珀色区域，不含任何决策逻辑：

电机驱动：FOC 矢量控制，PWM 调制频率 ~10 kHz，通过 EtherCAT 接收 $\tau_{ref}$ 并转化为相电流
末端执行器：机械臂关节、行走机构、检修作业工具，负责生成物理轨迹和接触/碰撞事件
传感器采集：编码器（位置/速度）、IMU（姿态）、视觉（RGB-D）、力觉（六轴力矩）、触觉，原始数据经接口 B 上行至 Spine

Body 层所有”该不该动”的判断都在 Spine 层完成。Body 只执行，不判断。

→ 系统部署架构 · 接口协议 A/B