中电网移动|移动中电网|高清图滚动区

高压看门狗定时器提高汽车系统安全性

随着电子系统接管汽车中的许多机械功能(从发动机正时到转向和制动),人们越来越关注容错能力。不应该有一个单点故障会阻止汽车至少“跛行”离开道路或到达最近的服务站。冗余系统、看门狗定时器和其他控制电路用于重新路由信号并执行其他功能,以确保车辆在发生故障时可以安全地离开道路。

介绍

现代高端汽车可以拥有多达 80 个电子控制单元 (ECU)。从控制发动机、制动和安全气囊展开的最复杂电路,到控制座椅和后视镜调节的更简单电路,这些电路各不相同。但与所有电子产品一样,有时会出错。所有计算机都可能崩溃。所有软件都可能存在错误。这就是“跛行回家模式”发挥作用的地方。

跛行回家模式

“跛行回家”是一种车辆操作模式,允许进入故障安全模式并允许车辆缓慢回家。实施跛行回家模式,以便故障汽车可以安全将乘客送回家,同时限制对汽车发动机和其他部件的损坏。跛行之家包括发动机管理系统和辅助安全设备,如灯和挡风玻璃刮水器,通常由车身控制单元(BCU)控制。

现代发动机管理系统具有自检功能,可定期检查来自发动机传感器的信号。例如,如果冷却液液位传感器读数低于临界液位,则发动机控制模块会将发动机切换到紧急模式。风扇立即打开,只有一半的气缸获得燃料。由于只有50%的气缸点火,发动机产生的热量要少得多,因为它以低功率运行。发动机可以以高达约50英里/小时(约80公里/小时)的中等速度移动车辆,并且有足够的动力将汽车送回家或最近的车库。虽然发动机管理系统必须确保发动机可以在减速模式下运行,但BCU必须确保保持其他基本车辆功能。

随着汽车中电子设备数量的增加和系统变得越来越复杂,使汽车故障安全变得越来越困难。通常的目标是确保不会有单点故障导致车辆无法移动。使用高度复杂的软件加剧了这个问题,而软件很难进行详尽的测试。

冗余

跛行家庭是将冗余引入系统的替代方案。在冗余系统中,如果主控制系统发生故障,则有另一个系统可以取代它。或者,使用轮询技术,其中轮询两个以上的处理器或逻辑电路,并且多数决定决定是否采取行动。其基本原理是,两个或多个系统同时发生故障的概率远小于单个系统发生故障的概率。真正冗余系统的缺点是成本和复杂性较高。在某些“线控”应用中,冗余是必不可少的。但是,在某些系统中,即使在处理器发生故障的情况下,如果可以维护有限的功能就足够了。

实现故障安全系统的一种方法是使用硬件看门狗电路,该电路必须由微控制器定期“维修”以避免系统复位。看门狗的使用是一种简单且低成本的技术,可确保在发生故障时所需的有限功能,并且不依赖于软件。

看门狗进步

基于上述考虑,MAX16997/MAX16998非常适合提高汽车应用中的系统安全性。这些高压看门狗定时器旨在为安全关键型微处理器控制的应用提供极高的可靠性和安全性。如果发生μC故障,看门狗被激活,器件可以安全地切换到冗余电路(图1和图2)。

poYBAGO9GEiAUFVXAAAaKs8cG2M223.gif?imgver=1
图1.MAX16998切换到后备电路。

pYYBAGO9GEqAKIl0AAAgTK2oveE461.gif?imgver=1
图2.MAX16997A典型应用示意图

MAX16997/MAX16998具有超时或窗口看门狗功能、用于上电/关断复位的外部电压监视、μC复位功能、使能输入和高电压容限系统使能输出。由于这些IC可以直接由12V汽车电池供电,并且瞬态电压容限高达45V,因此与标准的低压看门狗定时器器件不同,它们独立于低压电源工作。因此,如果下游电路由于硬件(HW)或软件故障而发生故障,这些监控电路将继续独立运行。

使IC更不受硬件故障的影响,低电平有效复位输出(/复位)、看门狗触发输入(WDI)、使能输入(EN)和外部电压监控输入(RESET IN)的额定电压为20V,可承受汽车电池电压短路。此功能为下游高压电气故障提供了强大的屏障,并保证在这种情况下安全地切换到冗余电路。

根据所需的安全级别,MAX16997/MAX16998可提供标准超时看门狗功能或时间窗看门狗功能。超时看门狗变体确保定时器的清晰信号发生在看门狗时间内;否则,他们将激活系统重置。因此,它们将检测软件故障,例如代码执行太慢或晶体振荡器运行缓慢。时间窗口看门狗可以识别更多故障。它确保计时器的清晰信号在正确的时间窗口内发生。因此,它还可以检测错误,例如代码执行速度过快或振荡器运行速度过快。

复位延迟和看门狗时间的时序可独立设置,每个功能使用一个外部电容器。打开的监视程序窗口的比率在出厂时设置为监视程序时间的 50% 或 75%。此外,复位门限电压可利用一个外部电阻分压器进行设置。

MAX16997可以读取KL15状态(EN),只有在点火导通时激活内部监控定时器。在这里,初始看门狗超时时间延长了八倍,以使微控制器有足够的时间启动。

每当/RESETIN电压低于其复位阈值或看门狗触发输入(WDI)读取错误触发时,/RESET被置为低电平。如果 WDI 输入连续三次读取不良触发信号,则/ENABLE 拉低。在μC清除看门狗(WDI引脚)后,连续三个周期成功/使能将再次变为高电平。

MAX16997/MAX16998采用8引脚μMAX®封装,工作在-40°C至+125°C汽车级温度范围。

结论

为了确保汽车系统安全故障并能够在功能降低模式下继续运行,需要冗余和/或跛行回家模式。MAX16997/MAX16998等产品显然为汽车系统实现家庭功能提供了一种简单的方法。

猜你喜欢
中电网移动|移动中电网|频道导航区