VehSwHwDeveloper-优快云博客

原创 Delay 的应用艺术（五）——用 Delay 实现“锁存”，让结论一旦成立就不被推翻

摘要：在ASW工程中，锁存机制用于固化系统判断结论，防止结论被后续条件轻易推翻。以电动助力转向系统为例，当判断传感器不可信后，即使信号恢复，该结论在本次点火周期内仍保持锁定，确保功能安全。锁存通过Delay结构实现，将判断结果而非原始条件进行冻结，与简单记忆有本质区别。这种机制使系统行为具有确定性，避免判断摇摆，是功能安全ASW的重要特征。锁存适用于安全关键、系统可用性及用户感知相关的判断场景。

2026-01-06 22:20:11 9

原创 Delay 的应用艺术（四）用 Delay 捕捉“边沿”，让 ASW 看懂“瞬间发生的事”

本文探讨了ASW建模中如何处理瞬间事件的工程问题。通过电动座椅"首次到位动作"的案例，指出用持续条件判断瞬间事件会导致重复触发的问题。文章提出使用Delay构造边沿信号来区分"到达瞬间"和"持续状态"，详细介绍了通过比较当前值和前一拍值来生成脉冲信号的方法。这种边沿建模能准确捕捉首次发生事件，避免状态混淆，相比Stateflow方案更简单可靠。文中还提示了信号抖动处理等工程细节，强调区分"事件"和"状态"是成

2026-01-06 22:18:54 10

原创 Delay 的应用艺术（三）用 Delay 实现“状态保持”，让 ASW 不被条件牵着鼻子走

摘要：在ASW设计中，状态保持（Hold）是关键但常被忽视的问题。以舱内鼓风机为例，条件驱动模型（如温差触发档位切换）会导致频繁动作，影响用户体验。工程实际需要“状态优先于条件”——通过Delay结构实现状态延续性，确保进入果断（满足Enter阈值）、退出克制（需满足更严格的Exit阈值），从而避免信号抖动引发的频繁切换。状态保持适用于机械惯性大、用户感知敏感或功能安全要求高的场景，相比滤波或Stateflow方案更轻量且稳定。这一设计体现了ASW从条件判断到系统行为的进化核心。

2026-01-06 22:17:13 7

原创 Delay 的应用艺术（二）——用 Delay 构造“记忆”，让 ASW 知道发生过什么

摘要：ASW模型中的Delay功能赋予了系统"记忆"能力，使其能记录历史事件而非仅判断当前状态。以电加热模块为例，传统模型仅根据当前温度判断是否限功率，会导致功率反复抖动。通过Delay构建的"最小记忆单元"（OverTempMemory = OverTempDetected OR OverTempMemory_z1）能稳定记录过温事件，使系统在整个点火周期保持限功率状态。这种实现方式比Stateflow更简洁高效，特别适合低性能MCU。记忆功能是ASW从"

2026-01-06 22:15:34 5

原创 Delay 的应用艺术（一）——用 Delay 构造“反馈”，让 ASW 控制具备工程质感

本文通过电子水泵控制案例，阐述了Delay在ASW控制中的核心作用。不同于简单的信号延迟，Delay作为反馈机制能显著改善系统行为：1）使控制输出连续渐进而非突变；2）形成隐式稳定性约束；3）将调试重点转向系统响应节奏。相比被动滤波，这种主动修正结构更具工程价值，应置于ASW应用层执行器命令生成环节。该方案在MCU实现中资源友好，能避免传统控制方法导致的抖动、不可预测等问题。本质上，Delay构建的反馈路径让系统具备"记忆"，使其行为更稳定、可解释且易于维护，是成熟控制系统的关键特征。

2026-01-06 21:47:31 8

原创 Delay 不是延迟，而是系统的“记忆”——从一个连续控制场景，看 ASW 中反馈建模的真正用法

本文探讨了Delay在电子节气门控制系统中的关键作用。通过案例分析表明，Delay模块通过记录历史状态，帮助系统实现趋势判断、稳定性识别和指令惯性控制。相比传统PID控制，引入Delay的系统能够更有效地抑制抖动、避免来回修正，且仅需简单运算即可实现。这种基于时间维度的控制策略特别适合低性能MCU，仅需静态变量存储和加减运算，就能让系统具备"记忆"能力，从而做出更平顺、稳定的控制决策。Delay虽不起眼，但已成为成熟ASW模型中不可或缺的核心组件。

2026-01-06 21:41:29 493

原创被严重低估的 Delay 模块——ASW 中“反馈建模”的底层武器与工程艺术

摘要：Simulink中的Delay模块在工程应用中远超"信号延迟"功能，实质是轻量级状态存储元件。其核心价值在于以最低算力实现反馈、记忆和状态保持，可替代复杂状态机完成边沿检测、信号消抖、故障确认等功能。工程实践中，Delay结合比较器能构建高效状态机，通过delta运算实现信号变化率分析，配合限幅滤波处理噪声问题。成熟工程师善用Delay实现历史状态反馈、锁存控制等，避免过度依赖Stateflow，显著降低MCU负担。这种将时间维度引入控制逻辑的方法，是ASW建模从单纯逻辑计算转向系

2026-01-06 21:34:28 10

原创从“能跑”到“能量产”：Simulink / Stateflow 工程模型的实现细节拆解

本文以电动执行器控制为例，阐述了成熟ASW模型的构建方法论。核心要点包括：状态需编码而非语义压缩，请求、裁决、输出必须三层分离，边沿检测要模块化，控制权切换需结构化表达，错误码应同步生成而非事后拼凑。文章强调Stateflow应专注状态保持，组合逻辑交由Simulink处理，最终形成"状态感知→请求生成→条件裁决→边沿事件→输出合成"的清晰链路。专业ASW模型的特点在于逻辑显性化、职责明确化，虽结构看似复杂但行为高度可预测，体现了量产级与实验模型的本质区别。

2026-01-06 21:26:23 9

原创深扒 Simulink + Stateflow 工程模型的“章法与心法”

本文探讨了成熟ASW建模者的核心思维方式，提炼出量产级控制模型的五个关键特征：1）使用语义枚举而非布尔值表达状态；2）建立独立的裁决层分离"请求"与"许可"；3）显式建模边沿事件；4）结构化处理控制权优先级；5）将错误码作为系统状态的组成部分。文章指出，专业ASW模型通过将系统意图结构化呈现（如用AND表达许可条件，用!=明确拒绝状态），虽然看似复杂，但能显著提升模型的可维护性和安全性。这种"工程化"建模方式的核心价值在于：使系统逻辑可视化、可追溯

2026-01-06 21:20:27 6

原创为什么你的 ASW 模型仿真 OK，实车却翻车

摘要：仿真与实车的核心差异在于时间假设：仿真中调度是理想的（顺序执行、严格延时），而实车存在任务边界、中断插队、信号跨周期等不确定性。常见问题包括：误将延时视为固定周期、跨任务信号同步错误、Stateflow转移滞后、初始化阶段信号不稳、采样率差异导致边沿漏检。解决方案包括显式化时间假设（明确延时周期、限制边沿检测范围、分层建模），并确保模型不依赖连续时间假设。ASW开发的关键在于尊重ECU的实际执行环境，而非仿真表象。

2026-01-06 21:09:06 4

原创当 Priority 遇到并行状态——Stateflow 执行顺序中最隐蔽、最危险的陷阱

摘要：并行状态在Stateflow中会放大优先级问题，因为多个状态块的执行顺序并非由语义决定，而是取决于调度顺序。以加热系统为例，当Control和Safety并行执行时，不同的执行顺序可能导致安全风险。正确的工程做法是：1）将安全逻辑集中在一个状态机中作为最高优先级；2）并行状态只做观察，裁决权集中处理。避免多个并行状态同时修改同一输出，Priority只能解决同一状态内的跳转顺序，无法跨状态仲裁执行顺序。并行状态是强大但容易被滥用的功能，复杂模型中真正的危险往往来自对执行顺序的错误假设。

2026-01-05 22:31:54 10

原创用三个工程案例理解 Stateflow 转移优先级的真正用法

摘要：本文通过四个案例揭示了Stateflow建模中过度依赖Priority数字的风险。案例一显示单纯依靠优先级会导致安全语义脆弱；案例二展示通过条件互斥重构可提升可读性和安全性；案例三警示重试机制中优先级误用的危险性；案例四强调优先级应作为"保险丝"而非核心逻辑。工程级设计应确保条件互斥清晰可见，使模型行为不依赖优先级也能被理解，从而提高可维护性和安全性。这种结构化方法使模型兼具可读性和鲁棒性，是专业工程实践的关键。

2026-01-05 22:28:45 6

原创用温度加热控制理解 Stateflow 有条件自转移的工程艺术

本文探讨了温控系统中Stateflow状态机的安全设计要点。通过加热器控制案例，揭示了看似简单的if-else逻辑背后隐藏的安全隐患。重点分析了HEAT_ON状态的设计艺术：采用"有条件自转移+多出口"结构，确保过温保护转移优先级最高，同时通过显式条件避免状态滞留风险。文章强调功能安全应通过状态机结构实现，而非分散的逻辑判断，特别是LOCKED状态的设计确保了不可逆的硬件级保护。这种设计在保证安全性的同时，也优化了MCU资源利用，使系统行为完全可预测和可审计。核心观点指出：安全设计的本质

2026-01-05 22:21:48 6

原创数字输出的短路、重驱与“打嗝式输出”

本文探讨了在Simulink和Stateflow中实现功能安全ASW(应用软件)建模的实践方法。文章指出输出保护不能仅依赖硬件，而需要软硬件协同完成，并分析了三类常见输出异常。重点推荐使用Stateflow构建集中式保护逻辑的状态机架构，详细阐述了包含INIT、OFF、ON、FAULT等核心状态的设计方案。文章还介绍了故障检测信号处理、重试次数管理、打嗝式输出定时等关键实现细节，强调这种建模方式具有逻辑集中、行为可解释、资源占用低等特点，特别适合在低端MCU上实现ASIL A-C级功能安全要求，且易于通过安

2026-01-05 22:12:08 5

原创高有效 / 低有效数字输出的 ASW 建模实践

摘要：本文探讨了Simulink/Stateflow中数字输出设计的功能安全要点。针对继电器、MOSFET等驱动场景，提出"功能语义与硬件极性解耦"的核心原则，强调输出极性错误会直接导致物理事故。文章推荐三层建模架构：功能逻辑层使用正语义、Stateflow管理输出状态、最后进行极性映射（推荐XOR实现）。该方案具有ASIL A-C安全等级适用性，能有效避免上电误动作，且计算成本极低。关键结论指出：输出极性是功能语义而非电气细节，应在ASW层集中处理，以确保系统的可审计性和量产可靠性。

2026-01-05 22:08:55 4

原创高有效 / 低有效数字开关的 ASW 建模实践

摘要：针对功能安全ASW开发中数字信号（如IGN、Enable等）的可靠性问题，提出基于Simulink/Stateflow的标准化建模方法。核心原则是：在逻辑处理前统一信号语义（如"功能请求真/假"），通过专用子系统集中处理极性（高/低有效），避免分散的反逻辑操作。采用计数器消抖替代滤波，在Stateflow中将信号状态化以明确行为。该方法通过分层架构（信号归一化→消抖→状态机→功能逻辑）实现ASIL A-C级要求，具有低资源消耗（纯整数运算）、高可追溯性特点，有效防止因极性混淆或信

2026-01-05 22:05:46 6

原创一个被锁死的输出，如何在 ASW 中“合规地存在”

摘要：本文基于Simulink建模实践，探讨高边输出模块的功能安全实现要点。针对SafetyReview提出的三个核心问题：1）初始化策略需区分上电期与运行期，引入InitDone信号确保安全状态；2）锁定恢复机制需通过诊断清除实现，并满足短路检测和输出关闭的前提条件；3）输出状态需明确定义为OFF/ON/COOLDOWN/LOCKED四种枚举值。文章强调异常处理后的生命周期管理比异常检测本身更重要，正确的状态机设计和诊断接口是实现功能安全审查通过的关键。最终生成的代码需保证初始化路径清晰、状态变更受控。

2026-01-05 21:09:34 7

原创一个高边输出在 ASW 中“反复尝试活过来”的全过程

本文介绍了车身/电驱ECU中12V高边输出的短路保护机制建模过程。初始方案仅实现短路立即关闭功能，后通过引入重驱计数、冷却时间、永久锁定等状态变量，逐步完善为"打嗝式输出"保护模型。该模型采用基础Simulink模块实现，包含3个关键状态变量：重驱计数器、冷却计时器和锁定标志，最终形成带有限次数重试、冷却间隔和永久锁定功能的完整保护逻辑。该方案避免了高频开关风险，满足功能安全要求，后被封装为可复用的标准模块应用于多个输出通道。整个建模过程展现了从简单需求到工程实现的完整思考路径。

2026-01-05 21:06:43 5

原创一个踏板信号在 ASW 中被“看懂”的过程

项目背景：电驱 ECU，10ms 周期 ASW（油门踏板百分比）

2026-01-05 21:02:07 379

原创一个 ASW 信号在真实项目中的“保命”过程

本文介绍了电驱控制器中CAN信号抖动问题的Simulink建模解决方案。针对DriverTorqueRequest信号偶发丢帧问题，通过三次迭代建模：首次直接置零方案导致控制扰动；改进为短时异常锁存值保持连续性；最终引入100ms超时机制，实现短时异常不影响功能、长时间异常安全降级。模型采用UnitDelay锁存值和计数器实现状态管理，生成清晰可读的C代码（含静态变量和条件判断）。该方案最终被封装为可复用的HoldWithTimeout模块，应用于20多个信号处理，平衡了控制连续性和功能安全需求，体现了将工

2026-01-05 20:57:45 190

原创从 ISO 26262 到 SOTIF 与 ISO/SAE 21434 的多维融合架构（工程化指南）

本文提出将智能汽车的功能安全（ISO 26262）、预期功能安全（SOTIF）和网络安全（ISO 21434）整合为统一保障框架。通过建立统一的需求-模型-代码-测试-证据追溯链，实现三类风险的协同管理。关键措施包括：1）联合风险识别，形成统一危险/威胁清单；2）一体化架构设计，建立三层防护机制；3）统一验证矩阵，合并三类测试用例；4）使用MBD工具实现需求可追溯。该框架能有效解决传统方法在接口处的漏洞，满足OEM对安全证据链的整合要求，最终通过统一的安全保障案例（Assurance Case）实现整体安全

2025-10-26 13:10:09 170

原创 ASIL-D系统FMEDA构建与诊断覆盖率分析实战

FMEDA（失效模式、影响及诊断分析）是功能安全领域的核心量化工具，通过三层结构（功能层、硬件层、诊断层）将系统可靠性转化为可测量指标。其核心在于计算诊断覆盖率、单点故障指标等参数，并建立与模型设计的双向映射。FMEDA实施需遵循系统边界定义、失效模式识别、诊断机制验证等步骤，最终形成可追溯的安全证据链。该工具实现了从定性安全理念到定量工程能力的转化，是构建ASIL-D级别安全系统的关键技术，其价值体现在将设计、验证与安全论证形成闭环，使安全性能具备可验证性和可追溯性。

2025-10-26 13:09:05 101

原创面向ASIL-D项目的安全架构实践

本文系统阐述了ASIL-D安全系统的工程化实现路径。首先解析ISO26262对ASIL-D系统的核心要求（SPFM≥99%、LFM≥90%），提出四级防护架构：硬件冗余、执行监控、系统降级和通信安全。重点剖析了Lockstep MCU、双ADC采样等硬件层安全机制，以及看门狗、输出反馈等执行层设计。在系统层面详细说明了降级、LimpHome和SafeOff三种安全状态及其转换逻辑。同时介绍了双ECU冷冗余架构的实现方法，包括主备切换机制和状态机建模。最后强调ASIL-D验证体系需覆盖从FMEDA到HIL的全

2025-10-26 13:07:43 112

原创从功能安全到SOTIF与Cybersecurity

智能汽车安全体系的三维演进随着智能汽车的发展，传统功能安全已无法满足需求。当前智能汽车安全包含三大维度：功能安全（ISO26262）防范硬件故障，SOTIF（ISO21448）解决算法误判，网络安全（ISO/SAE21434）抵御外部攻击。三者形成互补关系：功能安全保证系统可靠执行，SOTIF确保决策合理，网络安全防止恶意干扰。在工程实现上，可通过分层建模（Simulink/Stateflow）构建嵌套式安全壳，将AI不确定性转化为可控状态机逻辑。未来趋势是建立统一的安全认证体系（IAC），整合三类安全证

2025-10-26 13:06:57 86

原创功能安全Safety Case构建方法论

SafetyCase是功能安全体系的最终成果物，通过Claim-Argument-Evidence（CAE）结构系统性论证系统的安全性。它包含系统级、技术安全级和硬件/软件级三个层次，整合FMEDA定量分析、验证报告等证据，形成从安全目标到实现的全链路闭环。SafetyCase不仅是文档框架，更是连接安全理念与工程实现的桥梁，需通过形式化建模和可追溯性确保逻辑严密性，最终与SafetyManual共同构成完整的安全证据链。

2025-10-26 13:06:17 227

原创功能安全验证体系

功能安全验证体系从MIL到HIL实现软硬件协同闭环，确保故障可控、可检测、可验证。验证分为MIL（模型逻辑）、SIL（代码一致性）、HIL（实时响应）和VIL（整车测试）四个层级，每层需输出可追溯的验证报告。关键是通过自动化工具链执行故障注入测试，验证安全机制的有效性，形成从模型到实车的完整证据链，为功能安全认证提供支撑。验证体系需贯穿开发全流程，确保安全设计可落地、可验证。

2025-10-26 13:05:34 151

原创从Safety Manual到系统安全概念

功能安全工程的核心是构建完整的"证据链"，通过SafetyManual和FMEDA两大关键工具实现闭环验证。SafetyManual定义了芯片/软件的安全使用边界，包括安全机制、使用假设和验证建议；FMEDA则提供量化分析指标，计算诊断覆盖率。工程实施需分四步：1)解析供应商资料，明确可用安全机制；2)扩展系统级FMEDA；3)形成技术安全需求；4)建立验证矩阵。只有将设计、分析、验证三维闭环，才能形成具有说服力的SafetyCase，满足ISO26262标准对可验证性、可复现性的要求。

2025-10-26 13:04:46 154

原创功能安全项目中的商品化安全软件包体系

摘要：车规级MCU安全认证协议栈是实现ISO26262功能安全的关键基础软件层，需满足ASIL等级开发要求。MCUSafetyPackage提供已验证的安全机制（如自检库、FMEDA模板）以降低认证风险。认证协议栈必须包含安全手册、验证报告等合规证据。工程实践表明，ASILC/D项目必须采用认证软件方案，其优势在于：1）提供完整安全证据链；2）降低自研认证风险；3）符合OEM强制要求。实施时需在项目早期规划安全软件选型，并严格验证接口与诊断覆盖率。认证软件包是功能安全从理论到量产的必要保障。

2025-10-26 13:03:29 185

原创功能安全对策的硬件实现指南（深度篇）

本文从信号层、控制层、执行层和系统层四个维度，系统阐述了功能安全的硬件实现方案与工程设计思想。核心提出"软件决定安全策略，硬件决定安全可信度"的功能安全设计哲学，强调物理隔离、双路径冗余、检测先于控制等五大硬件设计原则。通过具体硬件方案与Simulink模型的对位实现，展示了从信号冗余到驱动锁存的完整工程化落地体系，为构建ASIL级安全防护提供了系统方法论。最终指出功能安全的本质不是避免错误，而是确保每个错误都有被硬件控制的确定性路径。

2025-10-26 13:02:33 126

原创功能安全的硬件工程化思想

摘要：功能安全需软硬件协同实现，形成"对策→信号→电路→驱动→物理响应"闭环。硬件安全分四层：信号层（冗余采样、隔离）、控制层（双MCU、看门狗）、驱动层（备份驱动、安全关断）、系统层（电源分区、Limp模式）。软件模型需与硬件设计严格对应，通过状态机、CRC校验等实现监控与切换。核心原则是构建多层防护的"洋葱结构"，确保每个软件对策都有硬件支撑，并通过仿真验证故障处理能力。真正的安全是模型与电路共同构成的数字孪生系统。

2025-10-26 13:01:46 430

原创功能安全工程化指南（下篇）

本文提出基于Simulink/Stateflow构建五层安全建模模板体系，实现功能安全的内化与标准化。体系包括：L1基础安全单元（防抖、限幅等）、L2安全功能模块（油门冗余等）、L3域级监控、L4整车协调和L5诊断验证层。通过模块化、参数化设计，确保安全对策的一致性、可验证性和可追溯性。关键是通过模型模板固化安全逻辑，使安全成为系统内在属性而非外部检测，提升工程实施效率与可靠性。

2025-10-26 13:00:15 158

原创功能安全工程化指南（上篇）

本文系统阐述了车身与动力域安全机制的设计要点，从信号层、控制层到执行层构建了全方位的安全防护体系。信号层通过冗余设计、可信性验证和去抖处理确保输入可靠性；控制层采用限幅、监督和超时监控防止算法失控；执行层通过安全锁存、故障降级和紧急断能实现安全响应。文章强调安全设计需转化为标准化建模单元，借助Simulink/Stateflow等工具将抽象理念具象化、结构化、可测试化，体现了"信任但要验证，行动但要克制"的工程哲学。

2025-10-26 12:59:22 276

原创功能安全的工程哲学（中篇）

摘要：文章探讨了车身域与动力域在功能安全设计上的差异与协同。车身域侧重逻辑防误，通过信号去抖、双条件触发、安全锁存等防止误操作；动力域强调物理防失控，采用冗余传感器、扭矩限幅、安全扭矩切断(STO)等应对能量风险。跨域协同需建立故障隔离机制与模式同步，通过"三权分立"(感知权、决策权、执行权)实现系统级安全。核心思想是构建容错体系，使系统在出错时仍能安全运行，体现"信任但验证"的安全哲学。

2025-10-26 12:58:15 146

原创功能安全的工程哲学

摘要：现代功能安全理念正在从传统的“停机式安全”转向“可控生存”模式。Limp模式不仅是降级运行，更是系统的自我防御策略，体现动态韧性。安全防御分为故障检测、安全退化和系统自愈三个层级，通过可逆状态设计和过渡管理实现动态平衡。未来的安全架构将融合自适应与学习能力，形成“检测-降级-恢复”的循环系统，使安全从静态防御升级为具备自我修复能力的动态韧性工程。

2025-10-26 12:57:25 103

原创功能安全对策的硬件实现指南（深度篇）

本文系统阐述了功能安全工程化落地的多层次硬件对策体系。从信号层到执行层，构建了"冗余感知-硬件隔离-状态锁存"的闭环防护架构：信号层采用双路传感器与隔离设计确保数据可信；控制层通过双MCU架构和看门狗实现失效检测；执行层重点部署STO安全扭矩关断和驱动锁存机制。文章强调"物理隔离是ASIL级防护基础"的核心原则，提出"双路径冗余"等五大硬件设计哲学，并指出Simulink模型需与硬件元件建立严格行为映射。最终形成"软件检测、硬件执行&qu

2025-10-26 12:55:29 820

原创 ASIL-D系统FMEDA构建与诊断覆盖率分析实战

FMEDA（失效模式、影响及诊断分析）是功能安全的核心量化工具，将FMEA、FTA与诊断分析结合，系统评估硬件可靠性。其三层结构涵盖功能定义、硬件失效模式识别及诊断机制设计，通过计算SPFM、LFM等指标验证系统安全。构建流程包括：定义安全目标→分解功能硬件→识别失效模式→设计诊断机制→验证覆盖率→生成安全证据。FMEDA与模型设计需双向映射，通过故障注入测试形成闭环验证，最终为安全论证提供量化依据。该体系将主观安全理念转化为可追溯的工程能力，是ASIL-D开发的必备方法论。

2025-10-25 21:37:01 631

原创面向ASIL-D项目的安全架构实践

《MCULockstep到双ECU冷冗余的ASIL-D安全架构实现》摘要：本文系统阐述了满足ISO26262 ASIL-D等级的安全系统设计方法。重点构建了四级防护体系：硬件层采用MCU Lockstep、双ADC等冗余设计；执行层部署看门狗和输出反馈；系统层实现多级降级模式；通信层采用E2E保护。详细解析了双ECU冷冗余架构的切换机制，并强调通过FMEDA到HIL的完整验证链确保诊断覆盖率≥90%。文章提出模型化开发建议，主张在Simulink/Stateflow中分层建模安全机制，实现从冗余逻辑到故障响

2025-10-25 21:35:57 471

空空如也

空空如也