Схемотехника "ответственных" частей блоков ESP, ABS, SRS, Как реализована защита от непреднамеренного срабатывания Опции

[syoma]

Зравствуйте
Нe для автотехники, а для другого ответственного применения интересует следующее:
В современных авто используется много электроники, неправильное функционирование которой может привести к отказу таких систем автомобиля, которые могут причинить вред человеку.
Например при неправильной работе блока АБС(например если он "подумает", что авто едет по льду) могут отказать тормоза на ровном асфальте. Или блок SRS может подумать, что произошло столкновение и выстрелить подушкой в морду водителю на ровном месте.

Но в реальной жизни таких случаев почти не бывает - при малейшей неисправности данные блоки просто отключаются, сигнализируя лампочкой на приборной панели и переходя ы "безопасный" режим.

Вопрос в том, что я понимаю, что можно сравнивать сигналы с разных датчиков, сравнивать и диагностировать таким образом входные сенсоры, но как обеспечивается в таких случаях безопасность, если сам контроллер сошел с ума - повредилась программа или еще какой сбой? И самое интересное, что делать если вдруг отказал выходной ключ - тот, который коммутирует актуатор или подает напряжение на пиропатрон. Как обеспечивается его диагностика и защита от того, чтобы ключ никаким образом случайно сам не включился?

Я думаю дело в интересной схемотехнике или аппаратном дублировании - и поэтому порошу - если кто изучал данный вопрос - поделитесь информацией. Может есть стандарты даже, где все это описано?

Спасибо.

[sadat]

В основном все завязываются на то, что понятие "программа сошла с ума" неприменимо, т.к. если стоит это допустить, то нужен двойной-тройной резерв.
Разработчики опираются на: правильность разводки ПП, применение спец.микроконтроллеров для авто-приложений (дополнительные защиты в виде CRC и т.д.), ватч-доги, мониторинг питания, суппрессоры-варисторы где можно, управляющие ключи с запасом и применение "многоходовки": один ключ подает +12в на нагрузку, через второй ключ идет замыкание на "землю", применение "интеллектуальных" ключей.
И, конечно, выходное тестирование со всеми видами ошибок и помех.

[Lerk]

Стандарты то есть, только вот достать их весьма проблематично. Во всяком случае достать стандарты на электровоспламенители для пиропатронов подушек безопасности мне не удалось

Системы защиты часто строят по принципу слежения за самим собой. Ну вот например у вас есть сигнал, который управляет силовым ключем. А вы этот сигнал пропускаете через дополнительный цифровой ключ, а также с соседнего контроллера следите за этим сигналом: укладывается ли его поведение в допустимые шаблоны? Если нет, то вы дополнительный ключ выключаете.

Что касается пиропатронов, то тут вы можете на плате сделать КЗ для этого пиропатрона, а размыкание этого КЗ повесить на отдельную микросхему. Короче говоря, вы можете сделать несколько степеней защиты и повесить их выполнение на физически разные контроллеры.

Ну и что касается "самовключения" силового ключа, то это уже из области фантастики - примитивное устройство, в поведении которого можно не сомневаться.

[sanya221]

Универсальных рецептов наверное нет. Все смотрится в привязке к конкретной задаче. В случаи с пиропатронами (не применительно к авто) к примеру паралельно цепи поджига стояло реле, шунтирующее пиропатрон постоянно замкнутыми контактами. И пока не будут соблюдены несколько условий реле не разомкнется. И уже совершенно другое устройство выдавало сигнал на поджиг. Таким образом реализовывалась полностью независимая аппаратная защита, плюс исключение срабатывания ПП от наведенных токов.
Ну и общие принципы- датчики должны обеспечивать возможность проконтролировать свою исправность, принятие решения о возникновении определенной ситуации желательно по нескольким независимым критериям, а главное перед началом работы тщательно прописать алгоритмику и возможные состояния. А ПО тщательно тестировать по заранее разработанной программе, загоняя во все возможные и невозможные состояния. Наиболее близки доступны наверное стандарты на тестирование авионики. Попробуйте порыть в этом направлении.
Ну и может немного поможет понять "идеологию" такого подхода вот Это

[Белый дед]

К сожалению, машины в целом становятся все более сложными и ненадежными.
Контролллер часто установлен в нижней части салона в негерметичном корпусе.
Даже плата не лакированная.
Немного воды - и полный выход из строя. Резервирования естественно нет.
О какой надежности здесь можно говорить?
Не так давно у нас замерзли отец с сыном на трассе.
На новой машине отказ контроллера.

[syoma]

Стандарты то есть, только вот достать их весьма проблематично. Во всяком случае достать стандарты на электровоспламенители для пиропатронов подушек безопасности мне не удалось

Было бы неплохо если бы Вы мне сказали номера стандартов. Я могу поискать.

Немного воды - и полный выход из строя. Резервирования естественно нет.
О какой надежности здесь можно говорить?

Ну как бы указанные мной системы безопасности должны отвечать опеределенным стандартам. Иначе никто б за руль такой машины не сел.

Контроллер двигателя в принципе к системам безопасности не относится, поэтому его надежность может быть любой.

Нашел UN-ECE 13. Там что-то есть вроде.

IEC 61508 там же

[haker_fox]

Контроллер двигателя в принципе к системам безопасности не относится, поэтому его надежность может быть любой.

Классно, когда движка глохнет на левом повороте на оживлённое дороге))) Ну или на перекрёстке, тоже на левом повороте... и тогда в правый борт....

Недавно разбирал ЭБУ Bosch 7.9.7+, почитать мою статейку можно тут. Так вот, приятно удивило действительно отсутствие лакировки платы, и как таковой защиты от внешней среды... Но может быть всё действительно не так страшно...

[alexvu]

Не в автоэлектронике, а в других ответственных случаях иногда используются микросхемы ключа со встроенным декодером, который (ключ) можно замкнуть только подачей спец. кода.
Спасает при сбоях контроллера. Но от ошибок программы и датчиков это не спасает.
Хотя это скорее экзотика.
Если можете написать подробнее про свою задачу, то можно что-то посоветовать.

[cant]

Недавно разбирал ЭБУ Bosch 7.9.7+, почитать мою статейку можно тут. Так вот, приятно удивило действительно отсутствие лакировки платы, и как таковой защиты от внешней среды... Но может быть всё действительно не так страшно...

если ЭБУ не будет ломаться, кто ж покупать новый будет? отсюда ноги ростут...

относительно надежности ответсвенных узлов: всё, что может сломаться, делается так, чтобы в случае чего просто отключилось.

безопастность водителя прежде всего в руках его самого, а вся электроника призвана только помочь....

такая идеология четко прослеживается у всех производителей: надежны только базовые узлы - тормоза и рулевое

[Lerk]

Было бы неплохо если бы Вы мне сказали номера стандартов. Я могу поискать.

USCAR (11/1999)
BMW QV 65011 (07/2003)
VW TL 80150 (04/2000)
Toyota TSF 6716G (03/2000)
AK-LV 16 (03/2006)

Насколько я понимаю, они все об одном, только от разных компаний.

[haker_fox]

тормоза и рулевое

Тормоза - да, а вот рулевое... ходили истории, что первые версии ЭМУР в "калинах" иногда подкручивали произвольно руль... Если это правда (а почему бы и нет?), то это очень страшно... я чуть было в своей машине его вообще не отключил... но потом оставил. Хотя был случай из-за подгоревшей проводки в свое время мой ЭМУР начал прямо в поездке терять питание, причём оно на него подавалось импульсами из-за ненадежного контакта. Спонтанно и с частотой раз 5 в сек... Так вот, он не разу не сбойнул, и не повернул мне руль))) Я просто ехал без усилителя)))

НУ и где-то тут недавно поднималась история о том, как разгонялись тойты, в которых была электронная педаль газа... Были жертвы.

отключилось.

Ну в целом это даёт шанс на спасение)))

Мне вот за самолеты страшно, где отсутствует механическое управление и вытеснено электронным...

[kolobok0]

...Мне вот за самолеты страшно, где отсутствует механическое управление и вытеснено электронным...

там все системы сдублированы и независимые. плюс в случае чп - пока не разберутся в причинах, запрет на использование.
Этого вообще нет в авто теме. А техническое состояние во многих ДТП не последний фактор, увы.

[Lerk]

НУ и где-то тут недавно поднималась история о том, как разгонялись тойты, в которых была электронная педаль газа... Были жертвы.

Это называется ССЗБ - если педаль заело, коробку в N и все ок. Тотальная техническая безграмотность водителей приводит к куда большим жертвам.

там все системы сдублированы и независимые. плюс в случае чп - пока не разберутся в причинах, запрет на использование.
Этого вообще нет в авто теме. А техническое состояние во многих ДТП не последний фактор, увы.

Есть. На одной из моделей infiniti стоит электронное рулевое. Но. Там стоит три ЭБУ с мажорированием, а на случай выхода из строя их всех есть схема ввода в работу некоей механики, которая возвращает прямую связь руль-колеса.

[Doka]

в копилку (поскольку автора интересует нe для автотехники, а для другого ответственного применения):

есть целая серия стандартов по построению железа для авионики.
RTCA/DO-160, Environmental Conditions and Test Procedures for Airborne Equipment
RTCA/DO-254, Design Assurance Guidance For Airborne Electronic Hardware
etc..

[syoma]

(поскольку автора интересует нe для автотехники, а для другого ответственного применения)

Да как раз для автотехники больше подходит.

Потому-что я вижу четкую разница в требованиях к "ответственным" узлам в авионике и автотехники. И она простая:
- в авиации/космосе нельзя, чтобы отказавший узел просто отключился. Самолет в воздухе не остановишь и сам он не приземлится. Т.е. защитное отключение просто не допустимо.
- в автомобиле или системе защиты тех же электростанций это допустимо - отказал "ответственный" узел - безопасное отключение. Да - это иногда связано с потерей денег, но безопасность при этом обеспечивается.

Прикол в том, что вот такая небольшая разница в требованиях приводит к полностью разным решениям и изменяет цену таких решений на несколько порядков.