Arbiter：Zephyr RTOS的确定性推理与安全策略引擎

专为资源受限嵌入式系统设计的确定性推理引擎，通过声明式YAML模型定义安全策略，编译为C代码运行，支持功能安全认证流程。

• 原作者/维护者: BitConcepts
• 来源平台: GitHub
• 原始标题: arbiter
• 原始链接: https://github.com/BitConcepts/arbiter
• 发布时间: 2026年5月31日
• 许可证: MIT

当大语言模型在云端和高端设备上蓬勃发展时，资源极度受限的嵌入式系统（微控制器、实时操作系统）却面临一个根本性的矛盾：它们既需要智能化的决策能力，又必须满足严格的功能安全（Functional Safety）要求。传统的AI推理往往是概率性的、资源消耗不确定的，这与汽车电子、工业控制、医疗设备等领域的安全标准格格不入。

Arbiter 项目正是为了解决这一矛盾而生。它是一个专为 Zephyr RTOS 设计的确定性推理与安全策略引擎，让嵌入式设备能够在严格的安全约束下执行智能决策。

ARB（Zephyr Reasoning Model）是一种声明式的YAML模型格式，用于表达事实、规则、模式、危险、安全目标和动作。它的设计理念是：将复杂的决策逻辑从代码中抽离，用高层次的声明式语言描述，然后编译成确定性的C代码。

一个典型的ARB模型包含以下要素：

Facts（事实）: 定义系统感知的状态变量，如传感器读数、GPIO状态等。每个事实可以标注类型、单位、取值范围、数据源和过期时间。

Modes（模式）: 定义系统的运行模式，如正常模式、降级模式、安全关断模式。模式转换是安全策略的核心。

Rules（规则）: 声明式的条件-动作规则，使用类似自然语言的语法描述安全约束。例如"当急停按钮激活时，切换到安全关断模式并禁用电机PWM"。

Actions（动作）: 定义可执行的操作，可以是回调函数、模式切换或系统调用。

Arbiter 采用编译时模型生成策略，整个流程分为三个阶段：

模型编写阶段: 开发者使用YAML编写 .arb.yaml 文件，描述系统的安全策略和决策逻辑。这种声明式方法让安全工程师能够专注于"什么"而不是"如何实现"，降低出错概率。

编译阶段: arbiterc 编译器验证模型的语法和语义，生成对应的C源代码和头文件。编译器支持严格模式检查，确保模型符合安全配置文件的要求。生成的C表是主要的安全路径，可选的二进制blob格式需要额外的安全论证。

运行时阶段: Zephyr RTOS 上的 libarbiter 库执行编译后的模型。运行时保证确定性——相同的输入在相同的运行时版本下总是产生相同的输出和追踪记录。

Arbiter 的设计围绕功能安全展开，遵循以下核心原则：

确定性（Deterministic）: 相同的模型、相同的输入快照、相同的运行时版本，总是产生相同的输出和追踪。这是安全关键系统的基本要求，支持可重现的故障分析。

有界性（Bounded）: 所有内存使用、执行时间和资源消耗都在编译时静态计算和限制。没有动态内存分配（初始化后禁止堆分配），没有递归，没有无界循环。

严格安全配置文件: 安全严格的配置文件禁止浮点运算、递归、非确定性构造。这种限制看似严苛，但正是功能安全认证（如IEC 61508 SIL等级）所要求的。

无运行时YAML解析: 模型在编译时完全处理，运行时只执行预编译的C表。这消除了解析错误和运行时开销。

以下是一个电机安全策略的简化示例：

arb_version: 0.1
model: motor_safety_policy

facts:
  - id: motor.speed_rpm
    type: uint32
    range: [0, 12000]
    stale_after_ms: 20
    safety_relevant: true

  - id: estop.active
    type: bool
    safety_relevant: true

modes:
  - id: mode.normal
  - id: mode.degraded
  - id: mode.safe_shutdown

rules:
  - id: guard_estop_shutdown
    class: safety_guard
    when:
      all:
        - fact: estop.active
          op: "=="
          value: true
    then:
      set_mode: mode.safe_shutdown
      action: disable_motor_pwm
      criticality: safety_critical

这个例子展示了急停按钮触发时的安全响应：当急停激活时，系统立即切换到安全关断模式并禁用电机驱动。

Arbiter 明确声明目前尚未通过任何功能安全标准认证，但项目提供了ASIL D / SIL 4的认证准备路线图。这包括：

• 完整的安全手册（Safety Manual）
• 确定性证明文档
• 测试覆盖证据
• C API参考文档

对于需要功能安全认证的系统集成商，Arbiter 提供了起点和框架，但最终的认证责任在于集成方。