前言:
年底了,对于”搞不了艺术、所以搞技术“的工程师来说,喜爱活动方式似乎只有滑雪了。
在滑雪场的魔毯(上行的电动传送带)上,由于速度很慢且总急停,所以胡思乱想了一下,将功能安全的原理与实际中的事件相结合,似乎很有意思,待娓娓道来。
正文:
1、魔毯的急停
遇到紧急情况,滑雪场的工作人员会按下急停按钮。
急停之下,总会有几个人由于惯性而跌倒。
险情排除之后,魔毯会缓慢地启动。
那么,问题来了:既然启动时有缓慢启动的功能,为什么急停不可以设计成缓慢关闭呢?(也可称之“柔性关闭”)
仔细想来,问题很复杂,设计要严谨:
1)对伤者来说
假设有人滑雪板被夹住,缓慢关闭之下魔毯有继续向前的行程,可能会导致紧急情况升级
2)对于其他人来说
其他人,瞬间血液里会被注入*上腺激素,会极大地激发危险处理能力。
本着“扶伤”的目的,就设计成急停了。
2、王顾左右而言它,滑雪事小,汽车电子是大呀!
回到汽车电子中来,以EPS(电动助力转向)为例:
1)检测出轻微故障,可以柔性关闭
比如,检测出转速信号有问题。
由于在EPS系统中,转速信号只是为了确保蓄电池被发电机充着电呢,不会因为EPS而将蓄电池的电量耗尽。
在这种情况下,柔性关闭是可以的。
2)检测出重大故障,则急停
比如,检测出MCU有问题。
假设柔性关闭时需要该MCU执行的。既然该MCU已经出现问题,再由它来执行柔性关闭,那就很难保证能顺利关闭。那么,只能急停了。
好比你不能指望罪犯都100%会中止犯罪行为,将自己投入监狱。
3、初/中/高级雪道
功能安全标准中规定了ASIL A/B/C/D等4种等级。
比如,某车型的EPS被设定为ASIL C等级。
由于的控制器集成了很多很多的功能。同一个EPS控制器内,是可能存在这样的情况:
某功能的等级是ASIL A
某某功能的等级是ASIL B
某某某功能的等级是ASIL C
只不过由于众多功能中最严格的等级是ASIL C,所以整个系统的等级是ASIL C。
为什么要识别A/B/C/D等级呢?
跟雪道分为初级、中级、高级的道理类似,要隔离不同水平的滑雪者,避免受伤害。
在汽车电子中的实际意义就是:
MCU执行ASIL A等级的功能要小心
MCU执行ASIL B等级的功能要很小心
MCU执行ASIL C等级的功能要非常小心
MCU执行ASIL D等级的功能要非常非常小心
MCU执行ASIL A/B等级的功能时,MCU的冗余不是必要的。
但当MCU执行ASIL D等级的功能时,得用尽所有的设计方法,比如:
冗余---主/辅MCU、LDO的冗余、时钟的冗余、
高诊断覆盖率---ROM/RAM的ECC、CRC校验
等等......
4、保险
购买滑雪门票时,别忘了买保险。
如果实在避免不了滑雪者受伤,最后一道防线就是救治时保险会报销医疗费用。
乾坤大挪移回汽车电子来说,如果涉及行车安全的控制器终归要出问题的,那么就将风险降到最低。
ISO26262中ASIL D的失效率已经近乎**了,10 Fit=10^-8 1/h,即1千万分之一。
结尾:
我就喜欢做飞机,不管有没有人送我,我都会在上飞机的时候回头张望,不为别的,就为了空姐的一句话:“先生,您该登基了。”
附录:
序
1)文章题目起得吓人,但正文却“食之无味”,仅“管中窥豹/盲人摸象/坐井观天”地推测汽车电子研发工作;
2)正文按照标号1/2/3/4,以符合研发工程师强迫症的习惯;
3)行文追求朴素/简洁/凌厉的大实话和心里话,以符合研发工程师“外表朴素/内心艳丽/敏于行/讷于言”的特质;
4)结尾模仿相声的结尾(称作“攒底”),戛然而止,并鞠躬下台。
文章评论(4条评论)
登录后参与讨论
关闭
站长推荐
/2 
/2
-
返回顶部
-
dongbei06_409353400 2015-1-18 09:57
用户1362114 2015-1-17 17:51
dongbei06_409353400 2015-1-16 20:31
用户1663103 2015-1-16 16:47