高压看门狗如何提高车载系统安全性

　　汽车设计中，越来越多的电子系统正在逐步替代机械功能——从引擎定时控制到刹车、方向盘控制，而电子系统相对容易发生故障，这就需要谨慎考虑系统的安全性，确保系统具备较高的故障容限。不应该在发生单点故障时将司机或乘客至于危险处境，至少能够使汽车“跛行”到大路以外或最近的维修站。当电子设备发生故障时，为确保汽车的安全行驶需要利用监控电路开启备份电路，安全地接管系统操作。
　　在纯机械系统的汽车时代，引擎依照机械方式产生的信号点燃空气燃料混合器。机械分配器则选择适当的火花塞，沿线传递信号。刹车系统则将作用在踏板上的压力通过刹车轴、刹车总泵、液压管传送到制动钳。离合器和油门只是简单地受控于连接在踏板上的一条钢缆。方向盘通过一个金属舵轮、转向轴、转向齿轮箱以及转向传动装置，控制车轮的转角。引擎控制也不同于我们如今使用的高度可靠的电子控制单元(ECU)，它没有计算机辅助刹车系统、离合器、油门或操纵系统。当然，也不需要考虑?C失效、控制单元短路等状况，出现故障失效的因素主要是机械装置。但是，由于人们非常信任机械设备的可靠性，也很少考虑系统备份或故障容限问题。当然，一旦系统的某个装置出现故障，则很容易发生危险，即便没有发生危险，汽车也只能被抛锚在出事地点，不得不求助拖车将汽车拖至维修中心。
　　为了提高汽车驾驶的舒适度和便利性，汽车制造商需要为汽车提供电子装备，已获得更高效率、更清洁的环境以及更高的汽车行驶安全性。早期的ECU只能在发生故障时停止运行，特别是电子装置的工作取决于?C。如果?C失效时没有备用方案来避免发生危及生命的事故，对于用户和制造商都是无法接受的;设计中至少需要采用备用系统，将汽车就近行驶到维修站，由此，人们对故障容限的关注程度也迅速提高。根据实际需求，许多MCU开始配备“跛行回家”管理模式。
　　跛行回家管理模式
　　“跛行回家”模式指的是ECU内部的一种冗余功能，在物理架构上这是完全独立的一部分电路，可以从待机模式下开启进入失效保护状态。这一模式允许汽车在发生电子系统失效时驶出道路，虽然不能保持原有的行驶性能，但可以确保安全。
　　新一代引擎ECU都带有监控器件，例如：看门狗定时器，用于测试ECU运转是否正常。一旦检测到工作异常，发现电子装置或?C失效(软件运行故障)，监控器件将开启“跛行回家”控制模式。例如，当汽车引擎故障灯点亮，汽缸只注入一半的燃料给发动机，此时引擎产生非常低的热量，但能够以适中的速度开动汽车，借助刚好支持汽车行驶的能量将汽车开回家或开到汽车维修中心。
　　另外一个好的案例是新型汽车中的“车身控制计算机”，能够控制车窗升降、前车灯/尾灯、转向灯以及挡风玻璃的雨刷、汽车的自动换档控制。监控电路对ECU的工作状况进行监测，发生电路单元或?C工作故障时，将激活待机电路，降级行驶，例如：降低远光灯、尾灯/刹车灯的亮度，或者只保持第二档行驶。当然，这种状况下限制了汽车的最高速度，但汽车仍然保持工作，能够以“跛行回家”模式安全行驶，把车开到维修厂。
　　冗余
　　计算机控制应用称为“电控操作”，动力系统内部和外部绝大多数机械控制系统已经由机电控制所替代。例如，相互连接的ECU电控装置已经替代了方向盘到车轮之间的所有机械单元。司机移动的方向盘位置将被检测并转换成数字电子信号，传送给智能化机电传动装置，最终控制车轮动作。
　　电控刹车装置也采用汽车计算机、伺服电机或机电制动钳替代了早期的刹车轴、刹车总泵等单元。一般意义上讲，这些系统对安全性的要求更高，因而对故障容限的要求也更高。
　　工程师在这些应用中设计了备份电路，构建完整的冗余电子控制和监控单元，冗余系统在物理结构上应该完全独立于主控单元，始终确保系统提供有效、安全的电控单元。ECU监控电路保持主系统的连续监测，必要时可靠地切换到备份系统。
　　高压看门狗的优势
　　考虑到安全性问题，汽车电子系统需要监控电路监测故障容限或安全性。MAX16997/MAX16998看门狗定时器可理想满足这类需求，通过对微控制器(IC)正常工作条件下产生的周期脉冲进行检测，侦测电路或?C的失效状态，一旦发生故障可立即切换到备份/冗余系统。
　　MAX16997/MAX16998具有超时和窗式看门狗监测功能，器件带有看门狗触发器输入(WDI)，提供漏极开路?C 复位输出(RESET)和漏极开路冗余系统使能输出(ENABLE)。
　　对于MAX16998，复位门限可以由介于低压电源(例如：?C电源)、外部电压监测输入(RESETIN)和GND之间的外部电阻分压器(图1所示)设置。MAX16997可以在使能输入端(EN)读取KL15 (点火开关)的状态，在汽车启动后使能内部的监控定时器(图2)。这时，看门狗的超时周期延长到标称周期的8倍，为?C留出足够的开启时间。
　　


　　图1：MAX16998高压看门狗定时器采用独立的下游低压电源(LDO)供电，为电池短路保护提供安全保护屏障，从而使器件能够在故障条件下可靠地切换到冗余电路。
　　


　　图2：类似于MAX16998，MAX16997能够在故障状态下安全地切换到冗余电路。它还具有高电平有效使能输入(EN)，用于开启或关闭看门狗定时器。
　　可以利用外部电容(分别置于SRT和SWT输入)独立设置复位延时(MAX16998)和看门狗超时，看门狗窗口监测可以由工厂预置在可调节看门狗定周期的50%或75%。
　　18?A (典型值)超低工作电流使得MAX16997/MAX16998在汽车ECU应用中非常重要，因为这些电路始终处于开启状态。另外，这些器件提供3mm x 3mm、8引脚MAX封装，确保工作在-40°C至+125°C汽车级温度范围。
　　这些IC直接采用12V汽车电池供电，可以承受高达45V的电压瞬变(IN和ENABLE引脚)，而典型的看门狗定时器则是采用下游的低压电源(例如，5V)供电。因此，即使在下游电路断电或发生与地短路时，MAX16997/MAX16998也能保持工作并且安全地切换到冗余电路(通过触发ENABLE引脚)。为了使这些器件能够支持更高的故障容限，器件在RESET、WDI、EN和RESETIN引脚提供故障保护，能够承受20V的电压(图1和图2)。由此可以看出，这些电路也提供了一个可靠的保护屏障，避免受下游电路故障失效的影响，备份电路应该从物理层面独立于“常规”控制电路，发生故障时能够安全地切换到备份模式。
　　MAX16997/MAX16998时序
　　上电后，当RESETIN引脚电压(VRESETIN)高于上电复位门限(VPON)时，RESET将在复位时间(tRESET)内持续保持低电平，随后便为高电平。同时，看门狗定时器开始计时(tWP)。如果在规定的开放时间窗口(tOW)内没有产生WDI触发信号，RESET将被再次置为低电平，复位?C。如果在连续的三次触发中，触发信号均处于关闭窗口(tCW)或在看门狗周期(tWP)结束之后，ENABLE信号将被置低。如果在连续的三次看门狗触发信号中，WDI触发信号又重新回到开放的看门狗周期窗口内(tWDI)，ENABLE将重新回到高电平，系统切换到正常工作模式(图3)。
　　


　　图3：MAX16998时序图(窗式看门狗)。
　　看门狗超时与窗式看门狗
　　MAX16997/MAX16998A提供标准的看门狗超时周期，而MAX16998B/D则提供窗式看门狗功能(图4)。根据实际应用对安全等级的要求选择不同类型的器件，调整看门狗超时确保在看门狗定时周期内将定时器清零，否则器件将产生复位信号。由此，可以利用这些看门狗检测程序运行的失效状态，例如，程序运行过缓或者是数字时钟(例如，晶振产生的时钟)速率降低;而窗式看门狗则需确保定时器在规定的时间窗口内将定时器清零，由此，它们可以检测到一些额外的故障，例如，程序运行过快或时钟过快，可以支持更高的安全等级。
　　


　　图4：MAX16998看门狗定时周期(窗式看门狗)。
　　图4中的第三种情况说明了在规定的时间窗口内触发WDI的情况;第1种情况则是错误地触发了WDI，信号过早地触发WDI从而产生故障指示，导致故障发生的原因是程序运行过快或振荡器时钟频率加快;第2种情况也是错处触发WDI的一种表现——看门狗触发信号输出延时过大，表明程序运行过缓或振荡器时钟频率变慢。
　　本文小结
　　故障容限和汽车安全性成为汽车电子设计的关键因素，为了提高汽车工作效率，改善舒适度并降低风险，需要高效管理系统的各个单元：硬件、软件、传感器、受动装置和操作单元。高压看门狗定时器(如：MAX16997/MAX16998)为达到这一目标起到了关键作用。