嵌入式控制系統設計/惡劣環境

惡劣環境是指任何可能阻止系統（任何複雜程度或任何級別）正確執行其功能的因素。

作為嵌入式系統設計師，應該確保在開發階段將惡劣環境考慮在內。雖然現有的遇到惡劣環境的系統也可以得到很好的保護，但在設計階段就考慮惡劣環境是有幫助的，這樣可以避免因系統設計缺陷而引入惡劣環境。除了對系統性能有積極的影響外，針對惡劣環境的措施可能會對其他系統引數產生負面影響，例如經濟成本、重量、功耗等。但即使設計中包含了應對惡劣環境的必要措施，系統故障也不總是不可避免的。如果發生故障，系統可能會以多種方式發生故障。這就是故障模式出現的原因。當針對惡劣環境的措施失效時，需要以正確的方式觀察故障模式。

在本節中，我們將嘗試介紹一些處理惡劣環境的基本設計規則。

惡劣環境的例子

以下是一些可能存在的惡劣環境的非詳盡列表

極端溫度（航空航天：-200 °C 至 +150 °C）
過電流，過電壓由於雷暴或啟動電動機造成
電磁輻射來自其他裝置
來自電網的干擾（50 Hz 或 60 Hz）
靜電放電
RoboCup 機器人會遇到對方足球隊的負面阻力
軟體病毒和其他惡意軟體
終端使用者調整嵌入式控制系統以改變裝置的效能（例如，調整汽車的電子控制單元或發動機控制單元 (ECU) 會嚴重破壞其排放效能）
通訊訊號（GPS、手機）在隧道或電梯內無法接收到（法拉第籠）
終端使用者使用不當（無意產生溢位）
停電
機械衝擊

在接下來的討論中，我們將更詳細地研究上述列表中的某些主題。

惡劣環境的後果

系統執行不正常可能導致的後果包括

系統損壞
由於生產停滯導致的巨大經濟損失
對特定系統使用者的生命威脅

電磁相容性

EMC 在維基百科中有廣泛的討論。這裡我們將簡要總結一下這種現象，以便儘快瞭解設計對策。電氣裝置的正常執行可能會受到電磁輻射的無意產生、傳播或接收的影響。因此，電磁輻射可能構成一種惡劣的環境。為了不受電磁輻射的影響，裝置需要與其環境具有電磁相容性。EMC 可分為兩個現象：發射和抗擾度。這種細分意味著裝置不應發射過多的輻射，但另一方面也應能抵抗其他裝置發射的輻射。對於嵌入式控制系統來說，克服這兩個現象是一個設計要求。在歐盟，歐盟指令 2004/108/CE 建議在將裝置放置CE 標籤之前對其進行 EMC 檢查。

電磁波的來源

調頻廣播
Wifi
防盜裝置
電子硬體：印刷電路板上間距小於其傳輸訊號波長的線之間產生的感應耦合。
雷擊會在通訊線路中感應出電磁波。
來自電網的干擾（50 Hz 或 60 Hz）
熒光燈（100 Hz 或 120 Hz）
太陽耀斑

危害

太陽表面產生的電磁輻射可以到達地球大氣層，並干擾地面通訊。Paul Kintner Jr. 教授和 Alessandro Cerruti（康奈爾大學 [1]）發現，由於太陽耀斑，地球白天側的 GPS 訊號中斷了幾分鐘。這對於汽車導航來說只是一種小小的不便，但對於航空航天導航和石油平臺的穩定來說可能是危險的。航空航天行業透過使用陀螺儀作為備份來實現冗餘。實際上，陀螺儀可以追溯到 GPS 時代之前。同樣，更昂貴的汽車導航系統也可以配備陀螺儀，作為隧道中訊號較弱時的備份。在未來航空航天嵌入式控制系統的設計中，設計師應考慮到這些太陽耀斑，因為預計它們會在 2011-2012 年導致 GPS 訊號中斷數小時。
暴露在電磁波下的醫療應用可能會對生命構成威脅，例如心臟起搏器。
光電二極體會遇到 100 Hz 噪聲成分（淨頻率的 2 倍），來自熒光燈管。這可能會導致紅外通訊裝置做出錯誤的決策。
如果通訊電纜受到附近電力線（50 Hz 或 60 Hz）的影響，會導致資料丟失

解決方案

如前所述，EMC 問題表現為兩個領域：即發射和抗擾度。不言而喻，可以在這兩個領域採取對策。此外，針對發射的對策往往與裝置抗擾度一樣有效，反之亦然。

發射解決方案

避免不必要的操作。必要的切換應儘可能地緩慢進行。
噪聲電路（具有大量切換活動）應在物理上與設計中的其他部分分離。
使用諧波濾波器。

抗擾度解決方案

保險絲、跳閘開關和斷路器。
瞬態吸收器。

互惠解決方案

去耦電容（1 到 100 µF）（小型區域性能量儲備；這些在瞬態、高電流需求期間為電路提供電流，防止電源軌上的電壓因瞬時電流負載而下降）（線路濾波器、訊號濾波器）
射頻扼流圈：扼流圈是將交流電流與無線電電路的某些區域隔離開的電感。
RC 元件：RC 低通濾波器可以濾除交流。
遮蔽外殼和線路：總是存在於導電材料中。雖然並非所有導電材料都是金屬，但遮蔽外殼大多由金屬製成。電磁遮蔽充當法拉第籠。法拉第籠遮蔽來自內部到外部的電磁輻射，反之亦然，從而提供相互保護。籠的網格尺寸應小於要遮蔽的波長。的應用法拉第籠是
- 微波爐在視窗前配備了一個網格。該網格的網格尺寸小於典型微波的波長（1 毫米 - 1 米）。但是，可見光 (400-700 奈米) 仍然可以穿透，以便使用者可以清楚地看到正在加工的食物。
- 塑膠外殼不能充當法拉第籠，但與金屬外殼相比，它們在美學上更適合消費產品。可以透過在塑膠外殼的內部塗上金屬噴霧來結合美觀和 EMC。確保天線能夠正常訪問外殼外部。
- 商店扒竊者經常用鋁箔包裹 RFID 晶片。這也形成了一個法拉第籠，防止警報被觸發。
- 美國護照配備了 RFID 晶片，可以在機場海關遠端讀取。但是，為了保護所有者的隱私，該護照不應該在任何時間被讀取。這就是為什麼這些護照在遮蔽套中提供，充當法拉第籠。
在 PCB 設計中避免天線結構，例如迴圈電流環路或不平衡傳輸線。
請記住，無線電通訊（GPS 等）可能會因自然原因（太陽耀斑）或人為原因（軍事敵人、恐怖分子）而中斷。因此，在至關重要的系統中（例如飛機、軍用車輛），應構建一些冗餘。在 GPS 導航的特定情況下，通常使用陀螺儀來克服訊號死區。
提高訊號源的傳輸功率。請注意，這可能會受到健康法規的限制。
在接收器中實現弱訊號跟蹤演算法，以便它們可以在更糟糕的情況下檢測到訊號，例如太陽風。請注意，此措施可能會與其他引數相矛盾，例如接收器的經濟成本、重量、功耗等。

停電

一個停電可能持續幾毫秒到幾小時，甚至幾天。長時間停電可以透過安裝不間斷電源 (UPS) 來克服。各種型別和尺寸的 UPS 均可供選擇。對於小型電子裝置，電池可以完成這項工作，對於大型工廠、醫院和系統體系（電信網路），通常使用柴油發電機。UPS 的選擇和控制本身就是一個學科，在網路和文獻中廣泛存在。

電壓下降

當電源電壓僅降低幾毫秒時，稱為電壓下降或掉電。這些短暫的中斷遠比長時間停電更頻繁。根據 [Schneider, p. 51-58]，10 毫秒的中斷每 200 小時可能發生一次，而長時間中斷大約每 10,000 小時發生一次。電壓下降會導致生產停工，而停工時間遠遠超過下降本身。根據 [Terörde, p. 282]，100 毫秒的電壓下降會導致 24 小時的生產停工。

危害

電動交流電機驅動器對電壓下降非常敏感。交流電機本身可以完美地應對電源的瞬態變化。交流電源和交流電機之間有一個直流母線，其中包含一個大型電容器，用於平滑直流。當電源側發生電壓下降時，該電容器中的能量會在幾毫秒內被電機消耗掉。發動機驅動的控制迴路從該直流母線汲取能量。一旦該直流母線低於預定電壓，逆變器將關閉以避免可能的損壞。使用離線控制器，電機和生產過程將無法控制，這會導致經濟損失。

解決方案

人們可能會擴大直流環節中的電容器。但這個電容器已經是主要成本專案了。擴大它會使驅動器更加昂貴。此外，人們可能會想知道是否存在任何電容器能夠滿足多千瓦電動機的需求。
穿越方案或動能緩衝：克服電壓下降最有趣的方法是回收儲存在電機及其負載的旋轉質量中的機械能。如果發生電壓下降，電機將以發電機模式執行，併產生少量電力以維持直流母線並使控制邏輯保持活動。實際上，這歸結為再生制動。本質上，存在一個電壓下降檢測機制，它會啟用預先程式設計的穿越方案。這會在幾毫秒內逆轉電力流動。當然，電機會慢下來，因為這是再生制動。電機中的動能是有限的，但應該足以滿足電壓下降的持續時間。當電源故障持續存在時，電機將失去所有機械能，無法重新啟動。最終，控制邏輯將關閉。但至少可以以受控的方式停止該過程，而不會造成重大損壞。這個概念具有創新性，在行業中還沒有普遍應用，但未來可能會應用。在 [Terörde p. 283] 中可以找到詳細的解釋。

參考文獻

康奈爾大學：關於太陽耀斑和 GPS 的文章
Gerd Terörde，《電機傳動與控制技術》，2004 年。
F.J. Schneider，《德意志聯邦共和國公共電力供應中的電壓下降和停電》，1985 年。