断电情况突现，汽车比飞机安全？

2008-01-24 10:38:02   作者：   来源：汽车电子设计

关键字：安全关键 电力 汽车供应商 功能 飞机工业 防滑系统 故障模式 轿车 电子系统 ADAC

　　如果遇到完全断电的事故，飞机就会失事，但轿车只会变得不太舒适而已——尽管汽车中的安全关键电子系统越来越多。至少，这是汽车产业做出的承诺。

　　在BA 038航班在英国希思罗机场降落前几分秒钟，据称飞机的全部电源系统失效。结果全部电子系统显然失灵，这架载有152人的波音777飞机一头栽向地面。

　　由于现在的轿车越来越依赖电子系统，甚至安全关键功能也是如此，这就存在一个显而易见的问题：如果在采用线传控制(x-by-wire)的轿车中电源系统失效，会出现什么事情？转向与刹车等关键功能对电力系统的依赖程度有多高？

　　据德国汽车俱乐部ADAC，对于今天的汽车来说，失去电力造成最严重后果的情况并不少见。相反，电力问题是最常见的故障原因。在2006/2007年的250万次中作业中，ADAC故障救援者记录的电池问题是故障原因的次数达85万次。(当轿车长期闲置时，这些问题所占的比例更大。)

　　但各地的汽车OEM厂商断言，虽然在电力中断时复杂的电子子系统肯定会停止工作，但比较重要的和安全关键的功能并不完全依赖电力。关键在于冗余，即使汽车工业与飞机工业有不同的做法。对于飞机来说，安全问题至关重要。

　　但是，为了保证汽车达到可与飞机媲美的安全程度，工程师采取了不同的概念。这种做法的名称是“功能安全(functional safety)”。工程服务提供商电子系统安全主管Martin Schmidt表示：“在最近四五年来里，功能安全意识显著提高。”对于安全相关的汽车系统设计来说，存在相应的标准，全球各地必须遵守。但据Schmidt，IEC 61508包含针对功能安全的全球指南，工程师目前在为汽车工业准备ISO 标准WD 26262，它将更详细地描述设计工程师如何确保其系统显示Schmidt所说的分级故障模式。

　　汽车供应商Bosch Group的一位发言人介绍说，分级故障模式的意思是：如果一个电子刹车系统出现失灵，则内部自检首先关掉最复杂的功能，尽量维持比较基本的功能保持工作。“电子系统进行自我监控。如果软件发现有故障苗头，则它首先关掉ESP(电子稳定程序)，然后是防滑系统，最后是防抱死系统(ABS)。在任何情况下，即使失去电力，还会有机械或液压系统维持基本功能。”

　　因此，在出现电力中断的情况下，对于轿车驾驶者来说，最糟糕结果也不会象飞机那样严重。