4. Shutdown Circuit 設計指南（重點）

4. Shutdown Circuit 設計指南（重點） 
 
 這一節是整份指南最重要的部分。Scrutineering 50% 的電氣檢查都圍繞著 SDC。 
 
 4.1 系統組成詳解 
 完整 SDC 串聯路徑（以典型設計為例）： 
 GLV+ (12V)
 │
 ├── [Cockpit E-Stop（常閉）]
 ├── [External E-Stop 1（常閉）]
 ├── [External E-Stop 2（常閉）]
 ├── [TSMS（Master Switch，常開，駕駛操作閉合）]
 ├── [MSMS（Maintenance Switch，常開）]
 ├── [HVD Interlock（HVD 插入時閉合）]
 ├── [Inertia Switch（正常時閉合）]
 ├── [BSPD_OK（正常時閉合）]
 ├── [IMD_OK（正常時閉合）]
 └── [AMS_OK（正常時閉合）]
 │
 ↓ SDC_CLOSED
 [AIR+ 線圈] + [AIR- 線圈]（並聯供電）
 │
 GND
 
 每個節點的實作細節 ： 
 E-Stop 按鈕 ：使用**常閉（Normally Closed, NC）**按鈕。按下時斷路，觸發 SDC 開路。不要用 NO 按鈕然後軟體取反——這違反 Fail-safe 原則。 
 TSMS / MSMS ：鑰匙開關或大型拔插開關。選型要注意電流額定值（SDC 電流雖然不大，但要可靠）。 
 Inertia Switch（慣性開關） ：在碰撞加速度下自動斷路。選型參考 Ford 汽車用件或 Sensata 系列。 注意：觸發後需要手動重置，比賽後必須記得確認。 
 4.2 常見設計錯誤 
 錯誤 1：用 GPIO 控制 SDC 路徑 
 ❌ 錯誤做法：VCU 讀取感測器數值，判斷異常後才用 GPIO 關掉一個繼電器來斷 SDC。 
 ✅ 正確做法：感測器直接驅動 SDC 節點上的繼電器或 Normally-Closed 觸點。VCU 可以「監測」SDC 狀態，但不能是 SDC 斷路的唯一手段。 
 原因 ：VCU 程式 bug、MCU 當機、電源異常 → GPIO 輸出可能不如預期 → 安全機制失效。 
 
 錯誤 2：AMS_OK / IMD_OK 用軟體輸出 
 ❌ 錯誤做法：AMS MCU 偵測到異常，透過軟體設一個 GPIO 為 Low，控制繼電器斷路。 
 ✅ 正確做法：使用 看門狗電路（Watchdog） + 繼電器。AMS MCU 正常運行時持續餵狗（toggling output），Watchdog 電路正常 → 繼電器閉合。MCU 死機 → Watchdog 超時 → 繼電器斷路 → SDC 開路。 
 
 錯誤 3：SDC 佈線通過接線端子過多 
 接線端子增加接觸電阻，溫度循環後容易鬆動。建議： 
 
 SDC 路徑用 焊接接頭 而非插拔式端子（或使用高品質鎖緊式連接器） 
 定期做接觸電阻測試 
 
 
 錯誤 4：忽略 SDC 電流需求 
 SDC 電流 = AIR 線圈電流（通常 0.5A–2A 總計）。雖然不大，但要確保整條路徑（包括開關、繼電器觸點）的電流額定足夠，接觸電阻不造成壓降過大。 
 4.3 如何通過技術檢查（Scrutineering） 
 Scrutineer 通常會做的測試 ： 
 
 SDC 節點功能測試 ：逐一觸發每個 SDC 節點，確認 AIR 確實斷開（用電壓錶量 TS 電壓應降至 0） 
 BSPD 功能驗證 ：模擬煞車 + 大電流，確認 SDC 開路 
 AMS 功能驗證 ：模擬 Cell 過壓，確認 AMS_OK 斷路 
 IMD 功能驗證 ：可能要求你展示如何模擬絕緣故障 
 TSAL 驗證 ：TS > 60V 時 TSAL 是否亮起 
 
 準備技巧 ： 
 
 製作一份 SDC 佈線圖 ，標明每個節點位置與線號，帶去 Scrutineering 
 每個節點旁邊貼上標籤（例如：「IMD_OK」、「AMS_OK」） 
 事先做完整的 SDC 測試記錄，帶文件給裁判看 
 模擬每個故障狀態並錄影 ，這是最有說服力的證明 
 
 
 ⚠️ 踩過的坑 ：有車隊 Scrutineering 前才發現 BSPD 的電流閾值設定錯誤，當場無法通過。SDC 功能測試要在裝車前就完整驗證，不要留到 Scrutineering 再測。 
 
 小結 
 SDC 的設計原則就是三個字： 硬體優先 。所有安全功能的最終保障必須是硬體電路，軟體只是輔助監測。任何「但這樣軟體比較好寫」的妥協，都可能在關鍵時刻失效。