基于高压看门狗定时器的汽车失效保护解决方案

摘要：绝大多数汽车电子系统需要监控电路监测失效容限和安全性。MAX16997/MAX16998看门狗定时器可理想满足这类监控需求，它们对微控制器(µC)正常工作条件下产生的周期脉冲进行检测，一旦侦测到电路或µC的失效状态，将立即切换到备份/冗余系统，采取“跛行回家”控制策略，从而避免汽车在中途抛锚，提供了一种汽车失效保护措施。

　　汽车设计中，越来越多的电子系统正在逐步替代机械功能—从引擎定时控制到刹车、方向盘控制—而电子系统相对容易发生故障，这就需要谨慎考虑系统的安全性，确保系统具备较高的故障容限。不应该在发生单点故障时将司机或乘客置于危险处境，至少能够使汽车“跛行”到大路以外或最近的维修站。当电子设备发生故障时，为确保汽车的安全行驶需要利用监控电路开启备份电路，安全地接管系统操作。

　　在纯机械系统的汽车时代，引擎依照机械方式产生的信号点燃空气燃料混合器。机械分配器则选择适当的火花塞，沿线传递信号。刹车系统则将作用在踏板上的压力通过刹车轴、刹车总泵、液压管传送到制动钳。离合器和油门只是简单地受控于连接在踏板上的一条钢缆。方向盘通过一个金属舵轮、转向轴、转向齿轮箱以及转向传动装置，控制车轮的转角。引擎控制也不同于我们如今使用的高度可靠的电子控制单元(ECU)，它没有计算机辅助刹车系统、离合器、油门或转向系统。当然，也不需要考虑µC失效、控制单元短路等状况，可能出现故障失效的机械装置仅有99个。但是，由于人们非常信任机械设备的可靠性，也很少考虑系统备份或故障容限问题。当然，一旦系统的某个装置出现故障，则很容易发生危险，即便没有发生危险，汽车也只能被抛锚在出事地点，不得不求助拖车将故障汽车拖至维修中心。

　　为了提高汽车驾驶的舒适度和便利性，汽车制造商需要为汽车提供电子装备，以获得更高效率、更清洁的环境以及更高的汽车行驶安全性。早期的ECU只能在发生故障时停止运行，特别是电子装置的工作取决于µC。如果µC失效时没有备用方案来避免发生危及生命的事故，对于用户和制造商都是无法接受的;设计中至少需要采用备用系统，将汽车就近行驶到维修站，由此，人们对故障容限的关注程度也迅速提高。根据实际需求，许多ECU开始配备“跛行回家”管理模式。

　　“跛行回家”模式

　　“跛行回家”模式指的是ECU内部的一种冗余功能，在物理架构上这是完全独立的一部分模拟电路，可以从待机模式下开启进入失效保护状态。这一模式允许汽车在发生电子系统失效时驶出道路，虽然不能保持原有的行驶性能，但可以确保安全。

　　新一代引擎ECU都带有监控器件，例如：看门狗定时器，用于测试ECU运转是否正常。一旦检测到工作异常，发现电子装置或µC失效(软件运行故障)，监控器件将开启“跛行回家”控制模式。例如，当汽车引擎故障灯点亮，汽缸只注入一半的燃料给发动机，此时引擎产生非常低的热量，但能够以适中的速度开动汽车，借助刚好支持汽车行驶的能量将汽车开回家或开到就近的汽车维修中心。

　　另外一个好的案例是新型汽车中的“车身控制计算机”，能够控制车窗升降、前车灯/尾灯、转向灯以及挡风玻璃的雨刷、汽车的自动换档控制。监控电路对ECU的工作状况进行监测，发生电路单元或µC工作故障时，将激活待机电路，降级行驶性能，例如：降低远光灯、尾灯/刹车灯的亮度，或者只保持第二档行驶。当然，这种状况下限制了汽车的最高速度，但汽车仍然保持工作，能够以“跛行回家”模式安全行驶，把车开到维修厂。

　　效果差么? 不，其实并不是。如果不是这样，你有可能仍然保持原有驾驶速度，而这可能导致车辆损毁;或者也可能让你哪都去不了，包括移至安全地带。

　　冗余

　　计算机控制应用的前景称为“电控操作”，动力系统内部和外部绝大多数机械控制系统已经由机电控制所替代。例如，相互连接的ECU电控装置已经替代了方向盘到车轮之间的所有机械单元。司机移动的方向盘位置将被检测并转换成数字电信号，传送给智能化机电传动装置，最终控制车轮动作。

　　电控刹车装置也采用汽车计算机、伺服电机或机电制动钳替代了早期的刹车轴、刹车总泵和刹车助力器等单元。

　　一般意义上讲，由于刹车或转向系统失灵将有可能危及生命，因此这些系统对安全性的要求更高，对故障容限的要求也更高。

　　工程师在这些新应用中设计了备份电路，构建完整的冗余电子控制和监控单元，冗余系统在物理结构上应该完全独立于主控单元，始终确保系统提供有效、安全的电控单元。ECU监控电路保持主系统的连续监测，发生故障时可切换到备份、冗余系统。冗余系统的应用原理在于多个控制单元同时发生故障的概率要远远小于单个ECU中单个故障点出现的概率。因此，冗余控制单元能够为汽车系统提供额外的安全保障。

　　高压看门狗的优势

　　考虑到安全性问题，汽车电子系统需要监控电路监测故障容限或安全性。MAX16997/MAX16998看门狗定时器可理想满足这类需求，通过对微控制器(µC)正常工作条件下产生的周期脉冲进行检测，侦测电路或µC的失效状态，一旦发生故障可立即切换到备份/冗余系统。

　　MAX16997/MAX16998具有超时和窗式看门狗监测功能，器件带有看门狗触发器输入(WDI)，提供漏极开路µC复位输出(RESET)和漏极开路冗余系统使能输出(ENABLE)。

　　对于MAX16998，复位门限可以由介于低压电源(例如：µC电源)、外部电压监测输入(RESETIN)和GND之间的外部电阻分压器(图1所示)设置。MAX16997可以在使能输入端(EN)读取KL15 (点火开关)的状态，在汽车启动后使能内部的监控定时器(图2)。这时，看门狗的超时周期延长到标称周期的8倍，为µC留出足够的开启时间。

　　图1. MAX16998高压看门狗定时器采用独立的下游低压电源(LDO)供电，为电池短路保护提供安全保护屏障，从而使器件能够在故障条件下可靠地切换到冗余电路。

　　图2. 类似于MAX16998，MAX16997能够在故障状态下安全地切换到冗余电路。它还具有高电平有效使能输入(EN)，用于开启或关闭看门狗定时器。

　　可以利用外部电容(分别置于SRT和SWT输入)独立设置复位延时(MAX16998)和看门狗超时，看门狗窗口监测可以由工厂预置在可调节看门狗周期的50%或75%。

　　18µA (典型值)超低工作电流使得MAX16997/MAX16998在汽车ECU应用中非常重要，因为这些电路始终处于开启状态。另外，这些器件提供3mm x 3mm、8引脚µMAX®封装，确保工作在-40°C至+125°C汽车级温度范围。

　　这些IC直接采用12V汽车电池供电，可以承受高达45V的电压瞬变(IN和ENABLE引脚)，而典型的看门狗定时器则是采用下游的低压电源(例如，5V)供电。因此，即使在下游电路断电或发生与地短路时，MAX16997/MAX16998也能保持工作并且安全地切换到冗余电路(通过触发ENABLE引脚)。为了使这些器件能够支持更高的故障容限，器件在RESET、WDI、EN和RESETIN引脚提供20V故障容限，甚至能够承受短路至汽车电池的电压(图1和图2)。由此可以看出，这些电路也提供了一个可靠的保护屏障，避免受下游高压电路故障失效的影响，备份电路应该从物理层面独立于“常规”控制电路，发生故障时能够安全地切换到备份模式。

　　MAX16997/MAX16998时序

　　上电后，当RESETIN引脚电压(VRESETIN)高于上电复位门限(VPON)时，RESET将在上电复位时间(tRESET)内持续保持低电平，随后变为高电平。同时，看门狗定时器开始计时(tWP)。如果在规定的开放时间窗口(tOW)内没有产生WDI触发信号，RESET将被再次置为低电平，复位µC。如果在连续的三次看门狗触发信号中，触发信号均处于关闭窗口(tCW)或在看门狗周期(tWP)结束之后，ENABLE信号将被置低，使系统切换至冗余电路。如果在连续的三次看门狗触发信号中，WDI触发信号又重新回到开放的看门狗周期窗口内(tWDI)，ENABLE将重新回到高电平，系统切换到正常工作模式(图3)。

　　图3. MAX16998时序图(窗式看门狗)

　　看门狗超时与窗式看门狗

　　MAX16997/MAX16998A提供标准的看门狗超时周期，而MAX16998B/D则提供窗式看门狗功能(图4)。根据实际应用对安全等级的要求选择不同类型的器件，调整看门狗超时确保在看门狗定时周期内将定时器清零，否则器件将产生复位信号。由此，可以利用这些看门狗检测程序运行的失效状态，例如，程序运行过缓或者是数字时钟(例如，晶振产生的时钟)速率降低;而窗式看门狗则需确保定时器在规定的时间窗口内将定时器清零，由此，它们可以检测到一些额外的故障，例如，程序运行过快或时钟过快，可以支持更高的安全等级。

　　图4. MAX16998看门狗定时周期(窗式看门狗)

　　图4中的第3种情况说明了在规定的时间窗口内触发WDI的情况;第1种情况则是错误地触发了WDI，信号过早地触发WDI从而产生故障指示，导致故障发生的原因是程序运行过快或振荡器时钟频率加快;第2种情况也是错误触发WDI的一种表现—看门狗触发信号输出延时过大，表明程序运行过缓或振荡器时钟频率变慢。

　　结论

　　故障容限和汽车安全性成为汽车电子设计的关键因素，为了提高汽车工作效率，改善舒适度并降低风险，需要高效管理系统的各个单元：硬件、软件、传感器、受动装置和操作单元。高压看门狗定时器，例如：MAX16997/MAX16998，为达到这一目标起到了关键作用。