嵌入式控制系统设计/恶劣环境

恶劣环境是指任何可能阻止系统（任何复杂程度或任何级别）正确执行其功能的因素。

作为嵌入式系统设计师，应该确保在开发阶段将恶劣环境考虑在内。虽然现有的遇到恶劣环境的系统也可以得到很好的保护，但在设计阶段就考虑恶劣环境是有帮助的，这样可以避免因系统设计缺陷而引入恶劣环境。除了对系统性能有积极的影响外，针对恶劣环境的措施可能会对其他系统参数产生负面影响，例如经济成本、重量、功耗等。但即使设计中包含了应对恶劣环境的必要措施，系统故障也不总是不可避免的。如果发生故障，系统可能会以多种方式发生故障。这就是故障模式出现的原因。当针对恶劣环境的措施失效时，需要以正确的方式观察故障模式。

在本节中，我们将尝试介绍一些处理恶劣环境的基本设计规则。

以下是一些可能存在的恶劣环境的非详尽列表

• 极端温度（航空航天：-200 °C 至 +150 °C）
• 过电流，过电压 由于雷暴或启动电动机造成
• 电磁辐射 来自其他设备
• 来自电网 的干扰（50 Hz 或 60 Hz）
• 静电放电
• RoboCup 机器人会遇到对方足球队的负面阻力
• 软件病毒和其他恶意软件
• 最终用户调整嵌入式控制系统以改变设备的性能（例如，调整 汽车的电子控制单元或发动机控制单元 (ECU) 会严重破坏其排放性能）
• 通信信号（GPS、手机）在隧道或电梯内无法接收到（法拉第笼）
• 最终用户使用不当（无意产生溢出）
• 停电
• 机械冲击

在接下来的讨论中，我们将更详细地研究上述列表中的某些主题。

系统运行不正常可能导致的后果包括

• 系统损坏
• 由于生产停滞导致的巨大经济损失
• 对特定系统用户的生命威胁

EMC 在维基百科中有广泛的讨论。这里我们将简要总结一下这种现象，以便尽快了解设计对策。电气设备的正常运行可能会受到电磁辐射 的无意产生、传播或接收的影响。因此，电磁辐射可能构成一种恶劣的环境。为了不受电磁辐射的影响，设备需要与其环境具有电磁兼容性。EMC 可分为两个现象：发射和抗扰度。这种细分意味着设备不应发射过多的辐射，但另一方面也应能抵抗其他设备发射的辐射。对于嵌入式控制系统来说，克服这两个现象是一个设计要求。在欧盟，欧盟指令 2004/108/CE 建议在将设备放置CE 标签 之前对其进行 EMC 检查。

• 调频广播
• Wifi
• 防盗装置
• 电子硬件：印刷电路板上间距小于其传输信号波长的线之间产生的感应耦合。
• 雷击会在通信线路中感应出电磁波。
• 来自电网 的干扰（50 Hz 或 60 Hz）
• 荧光灯（100 Hz 或 120 Hz）
• 太阳耀斑

• 太阳表面产生的电磁辐射可以到达地球大气层，并干扰地面通信。Paul Kintner Jr. 教授和 Alessandro Cerruti（康奈尔大学 [1]）发现，由于太阳耀斑，地球白天侧的 GPS 信号中断了几分钟。这对于汽车导航来说只是一种小小的不便，但对于航空航天导航和石油平台的稳定来说可能是危险的。航空航天行业通过使用陀螺仪作为备份来实现冗余。实际上，陀螺仪可以追溯到 GPS 时代之前。同样，更昂贵的汽车导航系统也可以配备陀螺仪，作为隧道中信号较弱时的备份。在未来航空航天嵌入式控制系统的设计中，设计师应考虑到这些太阳耀斑，因为预计它们会在 2011-2012 年导致 GPS 信号中断数小时。
• 暴露在电磁波下的医疗应用可能会对生命构成威胁，例如心脏起搏器。
• 光电二极管会遇到 100 Hz 噪声成分（净频率的 2 倍），来自荧光灯管。这可能会导致红外通信设备做出错误的决策。
• 如果通信电缆受到附近电力线（50 Hz 或 60 Hz）的影响，会导致数据丢失

如前所述，EMC 问题表现为两个领域：即发射和抗扰度。不言而喻，可以在这两个领域采取对策。此外，针对发射的对策往往与设备抗扰度一样有效，反之亦然。

• 避免不必要的操作。必要的切换应尽可能地缓慢进行。
• 噪声电路（具有大量切换活动）应在物理上与设计中的其他部分分离。
• 使用谐波滤波器。

• 保险丝、跳闸开关和断路器。
• 瞬态吸收器。

• 去耦电容（1 到 100 µF）（小型局部能量储备；这些在瞬态、高电流需求期间为电路提供电流，防止电源轨上的电压因瞬时电流负载而下降）（线路滤波器、信号滤波器）
• 射频扼流圈：扼流圈是将交流电流与无线电电路的某些区域隔离开的电感。
• RC 元件：RC 低通滤波器可以滤除交流。
• 屏蔽外壳和线路：总是存在于导电材料中。虽然并非所有导电材料都是金属，但屏蔽外壳大多由金属制成。电磁屏蔽充当法拉第笼。法拉第笼屏蔽来自内部到外部的电磁辐射，反之亦然，从而提供相互保护。笼的网格尺寸应小于要屏蔽的波长。的应用法拉第笼是
  • 微波炉在窗口前配备了一个网格。该网格的网格尺寸小于典型微波的波长（1 毫米 - 1 米）。但是，可见光 (400-700 纳米) 仍然可以穿透，以便用户可以清楚地看到正在加工的食物。
  • 塑料外壳不能充当法拉第笼，但与金属外壳相比，它们在美学上更适合消费产品。可以通过在塑料外壳的内部涂上金属喷雾来结合美观和 EMC。确保天线能够正常访问外壳外部。
  • 商店扒窃者经常用铝箔包裹 RFID 芯片。这也形成了一个法拉第笼，防止警报被触发。
  • 美国护照配备了 RFID 芯片，可以在机场海关远程读取。但是，为了保护所有者的隐私，该护照不应该在任何时间被读取。这就是为什么这些护照在屏蔽套中提供，充当法拉第笼。
• 在 PCB 设计中避免天线结构，例如循环电流环路或不平衡传输线。
• 请记住，无线电通信（GPS 等）可能会因自然原因（太阳耀斑）或人为原因（军事敌人、恐怖分子）而中断。因此，在至关重要的系统中（例如飞机、军用车辆），应构建一些冗余。在 GPS 导航的特定情况下，通常使用陀螺仪来克服信号死区。
• 提高信号源的传输功率。请注意，这可能会受到健康法规的限制。
• 在接收器中实现弱信号跟踪算法，以便它们可以在更糟糕的情况下检测到信号，例如太阳风。请注意，此措施可能会与其他参数相矛盾，例如接收器的经济成本、重量、功耗等。

一个停电可能持续几毫秒到几小时，甚至几天。长时间停电可以通过安装不间断电源 (UPS) 来克服。各种类型和尺寸的 UPS 均可供选择。对于小型电子设备，电池可以完成这项工作，对于大型工厂、医院和系统体系（电信网络），通常使用柴油发电机。UPS 的选择和控制本身就是一个学科，在网络和文献中广泛存在。

当电源电压仅降低几毫秒时，称为电压下降或掉电。这些短暂的中断远比长时间停电更频繁。根据 [Schneider, p. 51-58]，10 毫秒的中断每 200 小时可能发生一次，而长时间中断大约每 10,000 小时发生一次。电压下降会导致生产停工，而停工时间远远超过下降本身。根据 [Terörde, p. 282]，100 毫秒的电压下降会导致 24 小时的生产停工。

电动交流电机驱动器对电压下降非常敏感。交流电机本身可以完美地应对电源的瞬态变化。交流电源和交流电机之间有一个直流母线，其中包含一个大型电容器，用于平滑直流。当电源侧发生电压下降时，该电容器中的能量会在几毫秒内被电机消耗掉。发动机驱动的控制回路从该直流母线汲取能量。一旦该直流母线低于预定电压，逆变器将关闭以避免可能的损坏。使用离线控制器，电机和生产过程将无法控制，这会导致经济损失。

• 人们可能会扩大直流环节中的电容器。但这个电容器已经是主要成本项目了。扩大它会使驱动器更加昂贵。此外，人们可能会想知道是否存在任何电容器能够满足多千瓦电动机的需求。
• 穿越方案或动能缓冲：克服电压下降最有趣的方法是回收储存在电机及其负载的旋转质量中的机械能。如果发生电压下降，电机将以发电机模式运行，并产生少量电力以维持直流母线并使控制逻辑保持活动。实际上，这归结为再生制动。本质上，存在一个电压下降检测机制，它会激活预先编程的穿越方案。这会在几毫秒内逆转电力流动。当然，电机会慢下来，因为这是再生制动。电机中的动能是有限的，但应该足以满足电压下降的持续时间。当电源故障持续存在时，电机将失去所有机械能，无法重新启动。最终，控制逻辑将关闭。但至少可以以受控的方式停止该过程，而不会造成重大损坏。这个概念具有创新性，在行业中还没有普遍应用，但未来可能会应用。在 [Terörde p. 283] 中可以找到详细的解释。

• 康奈尔大学：关于太阳耀斑和 GPS 的文章
• Gerd Terörde，《电机传动与控制技术》，2004 年。
• F.J. Schneider，《德意志联邦共和国公共电力供应中的电压下降和停电》，1985 年。