前言：

        年底了，对于”搞不了艺术、所以搞技术“的工程师来说，喜爱活动方式似乎只有滑雪了。

        在滑雪场的魔毯（上行的电动传送带）上，由于速度很慢且总急停，所以胡思乱想了一下，将功能安全的原理与实际中的事件相结合，似乎很有意思，待娓娓道来。  

正文：

1、魔毯的急停

    遇到紧急情况，滑雪场的工作人员会按下急停按钮。

    急停之下，总会有几个人由于惯性而跌倒。

    险情排除之后，魔毯会缓慢地启动。

    那么，问题来了：既然启动时有缓慢启动的功能，为什么急停不可以设计成缓慢关闭呢？（也可称之“柔性关闭”）

    仔细想来，问题很复杂，设计要严谨：

    1）对伤者来说

    假设有人滑雪板被夹住，缓慢关闭之下魔毯有继续向前的行程，可能会导致紧急情况升级

    2）对于其他人来说

    其他人，瞬间血液里会被注入*上腺激素，会极大地激发危险处理能力。

    本着“扶伤”的目的，就设计成急停了。   

2、王顾左右而言它，滑雪事小，汽车电子是大呀！

    回到汽车电子中来，以EPS（电动助力转向）为例：

    1）检测出轻微故障，可以柔性关闭

    比如，检测出转速信号有问题。

    由于在EPS系统中，转速信号只是为了确保蓄电池被发电机充着电呢，不会因为EPS而将蓄电池的电量耗尽。

    在这种情况下，柔性关闭是可以的。

    2）检测出重大故障，则急停

    比如，检测出MCU有问题。

    假设柔性关闭时需要该MCU执行的。既然该MCU已经出现问题，再由它来执行柔性关闭，那就很难保证能顺利关闭。那么，只能急停了。

    好比你不能指望罪犯都100%会中止犯罪行为，将自己投入监狱。

3、初/中/高级雪道

    功能安全标准中规定了ASIL A/B/C/D等4种等级。

    比如，某车型的EPS被设定为ASIL C等级。

    由于的控制器集成了很多很多的功能。同一个EPS控制器内，是可能存在这样的情况：

    某功能的等级是ASIL A

    某某功能的等级是ASIL B

    某某某功能的等级是ASIL C

    只不过由于众多功能中最严格的等级是ASIL C，所以整个系统的等级是ASIL C。

    为什么要识别A/B/C/D等级呢？

    跟雪道分为初级、中级、高级的道理类似，要隔离不同水平的滑雪者，避免受伤害。

    在汽车电子中的实际意义就是：

    MCU执行ASIL A等级的功能要小心

    MCU执行ASIL B等级的功能要很小心

    MCU执行ASIL C等级的功能要非常小心

    MCU执行ASIL D等级的功能要非常非常小心

    MCU执行ASIL A/B等级的功能时，MCU的冗余不是必要的。

    但当MCU执行ASIL D等级的功能时，得用尽所有的设计方法，比如：

    冗余---主/辅MCU、LDO的冗余、时钟的冗余、

    高诊断覆盖率---ROM/RAM的ECC、CRC校验

    等等......

4、保险

   购买滑雪门票时，别忘了买保险。

   如果实在避免不了滑雪者受伤，最后一道防线就是救治时保险会报销医疗费用。

   乾坤大挪移回汽车电子来说，如果涉及行车安全的控制器终归要出问题的，那么就将风险降到最低。

   ISO26262中ASIL D的失效率已经近乎**了，10 Fit=10^-8 1/h，即1千万分之一。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。