摘要：絕大多數(shù)汽車(chē)電子系統(tǒng)需要監(jiān)控電路監(jiān)測(cè)失效容限和安全性。MAX16997/MAX16998看門(mén)狗定時(shí)器可理想滿(mǎn)足這類(lèi)監(jiān)控需求，它們對(duì)微控制器(µC)正常工作條件下產(chǎn)生的周期脈沖進(jìn)行檢測(cè)，一旦偵測(cè)到電路或µC的失效狀態(tài)，將立即切換到備份/冗余系統(tǒng)，采取“跛行回家”控制策略，從而避免汽車(chē)在中途拋錨，提供了一種汽車(chē)失效保護(hù)措施。

　　汽車(chē)設(shè)計(jì)中，越來(lái)越多的電子系統(tǒng)正在逐步替代機(jī)械功能—從引擎定時(shí)控制到剎車(chē)、方向盤(pán)控制—而電子系統(tǒng)相對(duì)容易發(fā)生故障，這就需要謹(jǐn)慎考慮系統(tǒng)的安全性，確保系統(tǒng)具備較高的故障容限。不應(yīng)該在發(fā)生單點(diǎn)故障時(shí)將司機(jī)或乘客置于危險(xiǎn)處境，至少能夠使汽車(chē)“跛行”到大路以外或最近的維修站。當(dāng)電子設(shè)備發(fā)生故障時(shí)，為確保汽車(chē)的安全行駛需要利用監(jiān)控電路開(kāi)啟備份電路，安全地接管系統(tǒng)操作。

　　在純機(jī)械系統(tǒng)的汽車(chē)時(shí)代，引擎依照機(jī)械方式產(chǎn)生的信號(hào)點(diǎn)燃空氣燃料混合器。機(jī)械分配器則選擇適當(dāng)?shù)幕鸹ㄈ?，沿線(xiàn)傳遞信號(hào)。剎車(chē)系統(tǒng)則將作用在踏板上的壓力通過(guò)剎車(chē)軸、剎車(chē)總泵、液壓管傳送到制動(dòng)鉗。離合器和油門(mén)只是簡(jiǎn)單地受控于連接在踏板上的一條鋼纜。方向盤(pán)通過(guò)一個(gè)金屬舵輪、轉(zhuǎn)向軸、轉(zhuǎn)向齒輪箱以及轉(zhuǎn)向傳動(dòng)裝置，控制車(chē)輪的轉(zhuǎn)角。引擎控制也不同于我們?nèi)缃袷褂玫母叨瓤煽康碾娮涌刂茊卧?ECU)，它沒(méi)有計(jì)算機(jī)輔助剎車(chē)系統(tǒng)、離合器、油門(mén)或轉(zhuǎn)向系統(tǒng)。當(dāng)然，也不需要考慮µC失效、控制單元短路等狀況，可能出現(xiàn)故障失效的機(jī)械裝置僅有99個(gè)。但是，由于人們非常信任機(jī)械設(shè)備的可靠性，也很少考慮系統(tǒng)備份或故障容限問(wèn)題。當(dāng)然，一旦系統(tǒng)的某個(gè)裝置出現(xiàn)故障，則很容易發(fā)生危險(xiǎn)，即便沒(méi)有發(fā)生危險(xiǎn)，汽車(chē)也只能被拋錨在出事地點(diǎn)，不得不求助拖車(chē)將故障汽車(chē)拖至維修中心。

　　為了提高汽車(chē)駕駛的舒適度和便利性，汽車(chē)制造商需要為汽車(chē)提供電子裝備，以獲得更高效率、更清潔的環(huán)境以及更高的汽車(chē)行駛安全性。早期的ECU只能在發(fā)生故障時(shí)停止運(yùn)行，特別是電子裝置的工作取決于µC。如果µC失效時(shí)沒(méi)有備用方案來(lái)避免發(fā)生危及生命的事故，對(duì)于用戶(hù)和制造商都是無(wú)法接受的;設(shè)計(jì)中至少需要采用備用系統(tǒng)，將汽車(chē)就近行駛到維修站，由此，人們對(duì)故障容限的關(guān)注程度也迅速提高。根據(jù)實(shí)際需求，許多ECU開(kāi)始配備“跛行回家”管理模式。

　　“跛行回家”模式

　　“跛行回家”模式指的是ECU內(nèi)部的一種冗余功能，在物理架構(gòu)上這是完全獨(dú)立的一部分模擬電路，可以從待機(jī)模式下開(kāi)啟進(jìn)入失效保護(hù)狀態(tài)。這一模式允許汽車(chē)在發(fā)生電子系統(tǒng)失效時(shí)駛出道路，雖然不能保持原有的行駛性能，但可以確保安全。

　　新一代引擎ECU都帶有監(jiān)控器件，例如：看門(mén)狗定時(shí)器，用于測(cè)試ECU運(yùn)轉(zhuǎn)是否正常。一旦檢測(cè)到工作異常，發(fā)現(xiàn)電子裝置或µC失效(軟件運(yùn)行故障)，監(jiān)控器件將開(kāi)啟“跛行回家”控制模式。例如，當(dāng)汽車(chē)引擎故障燈點(diǎn)亮，汽缸只注入一半的燃料給發(fā)動(dòng)機(jī)，此時(shí)引擎產(chǎn)生非常低的熱量，但能夠以適中的速度開(kāi)動(dòng)汽車(chē)，借助剛好支持汽車(chē)行駛的能量將汽車(chē)開(kāi)回家或開(kāi)到就近的汽車(chē)維修中心。

　　另外一個(gè)好的案例是新型汽車(chē)中的“車(chē)身控制計(jì)算機(jī)”，能夠控制車(chē)窗升降、前車(chē)燈/尾燈、轉(zhuǎn)向燈以及擋風(fēng)玻璃的雨刷、汽車(chē)的自動(dòng)換檔控制。監(jiān)控電路對(duì)ECU的工作狀況進(jìn)行監(jiān)測(cè)，發(fā)生電路單元或µC工作故障時(shí)，將激活待機(jī)電路，降級(jí)行駛性能，例如：降低遠(yuǎn)光燈、尾燈/剎車(chē)燈的亮度，或者只保持第二檔行駛。當(dāng)然，這種狀況下限制了汽車(chē)的最高速度，但汽車(chē)仍然保持工作，能夠以“跛行回家”模式安全行駛，把車(chē)開(kāi)到維修廠(chǎng)。

　　效果差么? 不，其實(shí)并不是。如果不是這樣，你有可能仍然保持原有駕駛速度，而這可能導(dǎo)致車(chē)輛損毀;或者也可能讓你哪都去不了，包括移至安全地帶。

　　冗余

　　計(jì)算機(jī)控制應(yīng)用的前景稱(chēng)為“電控操作”，動(dòng)力系統(tǒng)內(nèi)部和外部絕大多數(shù)機(jī)械控制系統(tǒng)已經(jīng)由機(jī)電控制所替代。例如，相互連接的ECU電控裝置已經(jīng)替代了方向盤(pán)到車(chē)輪之間的所有機(jī)械單元。司機(jī)移動(dòng)的方向盤(pán)位置將被檢測(cè)并轉(zhuǎn)換成數(shù)字電信號(hào)，傳送給智能化機(jī)電傳動(dòng)裝置，最終控制車(chē)輪動(dòng)作。

　　電控剎車(chē)裝置也采用汽車(chē)計(jì)算機(jī)、伺服電機(jī)或機(jī)電制動(dòng)鉗替代了早期的剎車(chē)軸、剎車(chē)總泵和剎車(chē)助力器等單元。

　　一般意義上講，由于剎車(chē)或轉(zhuǎn)向系統(tǒng)失靈將有可能危及生命，因此這些系統(tǒng)對(duì)安全性的要求更高，對(duì)故障容限的要求也更高。

　　工程師在這些新應(yīng)用中設(shè)計(jì)了備份電路，構(gòu)建完整的冗余電子控制和監(jiān)控單元，冗余系統(tǒng)在物理結(jié)構(gòu)上應(yīng)該完全獨(dú)立于主控單元，始終確保系統(tǒng)提供有效、安全的電控單元。ECU監(jiān)控電路保持主系統(tǒng)的連續(xù)監(jiān)測(cè)，發(fā)生故障時(shí)可切換到備份、冗余系統(tǒng)。冗余系統(tǒng)的應(yīng)用原理在于多個(gè)控制單元同時(shí)發(fā)生故障的概率要遠(yuǎn)遠(yuǎn)小于單個(gè)ECU中單個(gè)故障點(diǎn)出現(xiàn)的概率。因此，冗余控制單元能夠?yàn)槠?chē)系統(tǒng)提供額外的安全保障。

　　高壓看門(mén)狗的優(yōu)勢(shì)

　　考慮到安全性問(wèn)題，汽車(chē)電子系統(tǒng)需要監(jiān)控電路監(jiān)測(cè)故障容限或安全性。MAX16997/MAX16998看門(mén)狗定時(shí)器可理想滿(mǎn)足這類(lèi)需求，通過(guò)對(duì)微控制器(µC)正常工作條件下產(chǎn)生的周期脈沖進(jìn)行檢測(cè)，偵測(cè)電路或µC的失效狀態(tài)，一旦發(fā)生故障可立即切換到備份/冗余系統(tǒng)。

　　MAX16997/MAX16998具有超時(shí)和窗式看門(mén)狗監(jiān)測(cè)功能，器件帶有看門(mén)狗觸發(fā)器輸入(WDI)，提供漏極開(kāi)路µC復(fù)位輸出(RESET)和漏極開(kāi)路冗余系統(tǒng)使能輸出(ENABLE)。

　　對(duì)于MAX16998，復(fù)位門(mén)限可以由介于低壓電源(例如：µC電源)、外部電壓監(jiān)測(cè)輸入(RESETIN)和GND之間的外部電阻分壓器(圖1所示)設(shè)置。MAX16997可以在使能輸入端(EN)讀取KL15 (點(diǎn)火開(kāi)關(guān))的狀態(tài)，在汽車(chē)啟動(dòng)后使能內(nèi)部的監(jiān)控定時(shí)器(圖2)。這時(shí)，看門(mén)狗的超時(shí)周期延長(zhǎng)到標(biāo)稱(chēng)周期的8倍，為µC留出足夠的開(kāi)啟時(shí)間。

　　圖1. MAX16998高壓看門(mén)狗定時(shí)器采用獨(dú)立的下游低壓電源(LDO)供電，為電池短路保護(hù)提供安全保護(hù)屏障，從而使器件能夠在故障條件下可靠地切換到冗余電路。

　　圖2. 類(lèi)似于MAX16998，MAX16997能夠在故障狀態(tài)下安全地切換到冗余電路。它還具有高電平有效使能輸入(EN)，用于開(kāi)啟或關(guān)閉看門(mén)狗定時(shí)器。

　　可以利用外部電容(分別置于SRT和SWT輸入)獨(dú)立設(shè)置復(fù)位延時(shí)(MAX16998)和看門(mén)狗超時(shí)，看門(mén)狗窗口監(jiān)測(cè)可以由工廠(chǎng)預(yù)置在可調(diào)節(jié)看門(mén)狗周期的50%或75%。

　　18µA (典型值)超低工作電流使得MAX16997/MAX16998在汽車(chē)ECU應(yīng)用中非常重要，因?yàn)檫@些電路始終處于開(kāi)啟狀態(tài)。另外，這些器件提供3mm x 3mm、8引腳µMAX®封裝，確保工作在-40°C至+125°C汽車(chē)級(jí)溫度范圍。

　　這些IC直接采用12V汽車(chē)電池供電，可以承受高達(dá)45V的電壓瞬變(IN和ENABLE引腳)，而典型的看門(mén)狗定時(shí)器則是采用下游的低壓電源(例如，5V)供電。因此，即使在下游電路斷電或發(fā)生與地短路時(shí)，MAX16997/MAX16998也能保持工作并且安全地切換到冗余電路(通過(guò)觸發(fā)ENABLE引腳)。為了使這些器件能夠支持更高的故障容限，器件在RESET、WDI、EN和RESETIN引腳提供20V故障容限，甚至能夠承受短路至汽車(chē)電池的電壓(圖1和圖2)。由此可以看出，這些電路也提供了一個(gè)可靠的保護(hù)屏障，避免受下游高壓電路故障失效的影響，備份電路應(yīng)該從物理層面獨(dú)立于“常規(guī)”控制電路，發(fā)生故障時(shí)能夠安全地切換到備份模式。

　　MAX16997/MAX16998時(shí)序

　　上電后，當(dāng)RESETIN引腳電壓(VRESETIN)高于上電復(fù)位門(mén)限(VPON)時(shí)，RESET將在上電復(fù)位時(shí)間(tRESET)內(nèi)持續(xù)保持低電平，隨后變?yōu)楦唠娖健Ｍ瑫r(shí)，看門(mén)狗定時(shí)器開(kāi)始計(jì)時(shí)(tWP)。如果在規(guī)定的開(kāi)放時(shí)間窗口(tOW)內(nèi)沒(méi)有產(chǎn)生WDI觸發(fā)信號(hào)，RESET將被再次置為低電平，復(fù)位µC。如果在連續(xù)的三次看門(mén)狗觸發(fā)信號(hào)中，觸發(fā)信號(hào)均處于關(guān)閉窗口(tCW)或在看門(mén)狗周期(tWP)結(jié)束之后，ENABLE信號(hào)將被置低，使系統(tǒng)切換至冗余電路。如果在連續(xù)的三次看門(mén)狗觸發(fā)信號(hào)中，WDI觸發(fā)信號(hào)又重新回到開(kāi)放的看門(mén)狗周期窗口內(nèi)(tWDI)，ENABLE將重新回到高電平，系統(tǒng)切換到正常工作模式(圖3)。

　　圖3. MAX16998時(shí)序圖(窗式看門(mén)狗)

　　看門(mén)狗超時(shí)與窗式看門(mén)狗

　　MAX16997/MAX16998A提供標(biāo)準(zhǔn)的看門(mén)狗超時(shí)周期，而MAX16998B/D則提供窗式看門(mén)狗功能(圖4)。根據(jù)實(shí)際應(yīng)用對(duì)安全等級(jí)的要求選擇不同類(lèi)型的器件，調(diào)整看門(mén)狗超時(shí)確保在看門(mén)狗定時(shí)周期內(nèi)將定時(shí)器清零，否則器件將產(chǎn)生復(fù)位信號(hào)。由此，可以利用這些看門(mén)狗檢測(cè)程序運(yùn)行的失效狀態(tài)，例如，程序運(yùn)行過(guò)緩或者是數(shù)字時(shí)鐘(例如，晶振產(chǎn)生的時(shí)鐘)速率降低;而窗式看門(mén)狗則需確保定時(shí)器在規(guī)定的時(shí)間窗口內(nèi)將定時(shí)器清零，由此，它們可以檢測(cè)到一些額外的故障，例如，程序運(yùn)行過(guò)快或時(shí)鐘過(guò)快，可以支持更高的安全等級(jí)。

　　圖4. MAX16998看門(mén)狗定時(shí)周期(窗式看門(mén)狗)

　　圖4中的第3種情況說(shuō)明了在規(guī)定的時(shí)間窗口內(nèi)觸發(fā)WDI的情況;第1種情況則是錯(cuò)誤地觸發(fā)了WDI，信號(hào)過(guò)早地觸發(fā)WDI從而產(chǎn)生故障指示，導(dǎo)致故障發(fā)生的原因是程序運(yùn)行過(guò)快或振蕩器時(shí)鐘頻率加快;第2種情況也是錯(cuò)誤觸發(fā)WDI的一種表現(xiàn)—看門(mén)狗觸發(fā)信號(hào)輸出延時(shí)過(guò)大，表明程序運(yùn)行過(guò)緩或振蕩器時(shí)鐘頻率變慢。

　　結(jié)論

　　故障容限和汽車(chē)安全性成為汽車(chē)電子設(shè)計(jì)的關(guān)鍵因素，為了提高汽車(chē)工作效率，改善舒適度并降低風(fēng)險(xiǎn)，需要高效管理系統(tǒng)的各個(gè)單元：硬件、軟件、傳感器、受動(dòng)裝置和操作單元。高壓看門(mén)狗定時(shí)器，例如：MAX16997/MAX16998，為達(dá)到這一目標(biāo)起到了關(guān)鍵作用。