4. Shutdown Circuit 設計指南（重點）

這一節是整份指南最重要的部分。Scrutineering 50% 的電氣檢查都圍繞著 SDC。

4.1 系統組成詳解

完整 SDC 串聯路徑（以典型設計為例）：

GLV+ (12V)
  │
  ├── [Cockpit E-Stop（常閉）]
  ├── [External E-Stop 1（常閉）]
  ├── [External E-Stop 2（常閉）]
  ├── [TSMS（Master Switch，常開，駕駛操作閉合）]
  ├── [MSMS（Maintenance Switch，常開）]
  ├── [HVD Interlock（HVD 插入時閉合）]
  ├── [Inertia Switch（正常時閉合）]
  ├── [BSPD_OK（正常時閉合）]
  ├── [IMD_OK（正常時閉合）]
  └── [AMS_OK（正常時閉合）]
           │
           ↓ SDC_CLOSED
  [AIR+ 線圈] + [AIR- 線圈]（並聯供電）
           │
          GND

每個節點的實作細節：

E-Stop 按鈕：使用**常閉（Normally Closed, NC）**按鈕。按下時斷路，觸發 SDC 開路。不要用 NO 按鈕然後軟體取反——這違反 Fail-safe 原則。

TSMS / MSMS：鑰匙開關或大型拔插開關。選型要注意電流額定值（SDC 電流雖然不大，但要可靠）。

Inertia Switch（慣性開關）：在碰撞加速度下自動斷路。選型參考 Ford 汽車用件或 Sensata 系列。注意：觸發後需要手動重置，比賽後必須記得確認。

4.2 常見設計錯誤

錯誤 1：用 GPIO 控制 SDC 路徑

❌ 錯誤做法：VCU 讀取感測器數值，判斷異常後才用 GPIO 關掉一個繼電器來斷 SDC。

✅ 正確做法：感測器直接驅動 SDC 節點上的繼電器或 Normally-Closed 觸點。VCU 可以「監測」SDC 狀態，但不能是 SDC 斷路的唯一手段。

原因：VCU 程式 bug、MCU 當機、電源異常 → GPIO 輸出可能不如預期 → 安全機制失效。

錯誤 2：AMS_OK / IMD_OK 用軟體輸出

❌ 錯誤做法：AMS MCU 偵測到異常，透過軟體設一個 GPIO 為 Low，控制繼電器斷路。

✅ 正確做法：使用看門狗電路（Watchdog） + 繼電器。AMS MCU 正常運行時持續餵狗（toggling output），Watchdog 電路正常 → 繼電器閉合。MCU 死機 → Watchdog 超時 → 繼電器斷路 → SDC 開路。

錯誤 3：SDC 佈線通過接線端子過多

接線端子增加接觸電阻，溫度循環後容易鬆動。建議：

SDC 路徑用焊接接頭而非插拔式端子（或使用高品質鎖緊式連接器）
定期做接觸電阻測試

錯誤 4：忽略 SDC 電流需求

SDC 電流 = AIR 線圈電流（通常 0.5A–2A 總計）。雖然不大，但要確保整條路徑（包括開關、繼電器觸點）的電流額定足夠，接觸電阻不造成壓降過大。

4.3 如何通過技術檢查（Scrutineering）

Scrutineer 通常會做的測試：

SDC 節點功能測試：逐一觸發每個 SDC 節點，確認 AIR 確實斷開（用電壓錶量 TS 電壓應降至 0）
BSPD 功能驗證：模擬煞車 + 大電流，確認 SDC 開路
AMS 功能驗證：模擬 Cell 過壓，確認 AMS_OK 斷路
IMD 功能驗證：可能要求你展示如何模擬絕緣故障
TSAL 驗證：TS > 60V 時 TSAL 是否亮起

準備技巧：

製作一份SDC 佈線圖，標明每個節點位置與線號，帶去 Scrutineering
每個節點旁邊貼上標籤（例如：「IMD_OK」、「AMS_OK」）
事先做完整的 SDC 測試記錄，帶文件給裁判看
模擬每個故障狀態並錄影，這是最有說服力的證明

⚠️ 踩過的坑：有車隊 Scrutineering 前才發現 BSPD 的電流閾值設定錯誤，當場無法通過。SDC 功能測試要在裝車前就完整驗證，不要留到 Scrutineering 再測。

小結

SDC 的設計原則就是三個字：硬體優先。所有安全功能的最終保障必須是硬體電路，軟體只是輔助監測。任何「但這樣軟體比較好寫」的妥協，都可能在關鍵時刻失效。