隨著電子系統(tǒng)接管汽車中的許多機(jī)械功能（從發(fā)動(dòng)機(jī)正時(shí)到轉(zhuǎn)向和制動(dòng)），人們?cè)絹碓疥P(guān)注容錯(cuò)能力。不應(yīng)該有一個(gè)單點(diǎn)故障會(huì)阻止汽車至少“跛行”離開道路或到達(dá)最近的服務(wù)站。冗余系統(tǒng)、看門狗定時(shí)器和其他控制電路用于重新路由信號(hào)并執(zhí)行其他功能，以確保車輛在發(fā)生故障時(shí)可以安全地離開道路。

介紹

現(xiàn)代高端汽車可以擁有多達(dá) 80 個(gè)電子控制單元 （ECU）。從控制發(fā)動(dòng)機(jī)、制動(dòng)和安全氣囊展開的最復(fù)雜電路，到控制座椅和后視鏡調(diào)節(jié)的更簡單電路，這些電路各不相同。但與所有電子產(chǎn)品一樣，有時(shí)會(huì)出錯(cuò)。所有計(jì)算機(jī)都可能崩潰。所有軟件都可能存在錯(cuò)誤。這就是“跛行回家模式”發(fā)揮作用的地方。

跛行回家模式

“跛行回家”是一種車輛操作模式，允許進(jìn)入故障安全模式并允許車輛緩慢回家。實(shí)施跛行回家模式，以便故障汽車可以安全將乘客送回家，同時(shí)限制對(duì)汽車發(fā)動(dòng)機(jī)和其他部件的損壞。跛行之家包括發(fā)動(dòng)機(jī)管理系統(tǒng)和輔助安全設(shè)備，如燈和擋風(fēng)玻璃刮水器，通常由車身控制單元（BCU）控制。

現(xiàn)代發(fā)動(dòng)機(jī)管理系統(tǒng)具有自檢功能，可定期檢查來自發(fā)動(dòng)機(jī)傳感器的信號(hào)。例如，如果冷卻液液位傳感器讀數(shù)低于臨界液位，則發(fā)動(dòng)機(jī)控制模塊會(huì)將發(fā)動(dòng)機(jī)切換到緊急模式。風(fēng)扇立即打開，只有一半的氣缸獲得燃料。由于只有50%的氣缸點(diǎn)火，發(fā)動(dòng)機(jī)產(chǎn)生的熱量要少得多，因?yàn)樗缘凸β蔬\(yùn)行。發(fā)動(dòng)機(jī)可以以高達(dá)約50英里/小時(shí)（約80公里/小時(shí)）的中等速度移動(dòng)車輛，并且有足夠的動(dòng)力將汽車送回家或最近的車庫。雖然發(fā)動(dòng)機(jī)管理系統(tǒng)必須確保發(fā)動(dòng)機(jī)可以在減速模式下運(yùn)行，但BCU必須確保保持其他基本車輛功能。

隨著汽車中電子設(shè)備數(shù)量的增加和系統(tǒng)變得越來越復(fù)雜，使汽車故障安全變得越來越困難。通常的目標(biāo)是確保不會(huì)有單點(diǎn)故障導(dǎo)致車輛無法移動(dòng)。使用高度復(fù)雜的軟件加劇了這個(gè)問題，而軟件很難進(jìn)行詳盡的測試。

冗余

跛行家庭是將冗余引入系統(tǒng)的替代方案。在冗余系統(tǒng)中，如果主控制系統(tǒng)發(fā)生故障，則有另一個(gè)系統(tǒng)可以取代它。或者，使用輪詢技術(shù)，其中輪詢兩個(gè)以上的處理器或邏輯電路，并且多數(shù)決定決定是否采取行動(dòng)。其基本原理是，兩個(gè)或多個(gè)系統(tǒng)同時(shí)發(fā)生故障的概率遠(yuǎn)小于單個(gè)系統(tǒng)發(fā)生故障的概率。真正冗余系統(tǒng)的缺點(diǎn)是成本和復(fù)雜性較高。在某些“線控”應(yīng)用中，冗余是必不可少的。但是，在某些系統(tǒng)中，即使在處理器發(fā)生故障的情況下，如果可以維護(hù)有限的功能就足夠了。

實(shí)現(xiàn)故障安全系統(tǒng)的一種方法是使用硬件看門狗電路，該電路必須由微控制器定期“維修”以避免系統(tǒng)復(fù)位。看門狗的使用是一種簡單且低成本的技術(shù)，可確保在發(fā)生故障時(shí)所需的有限功能，并且不依賴于軟件。

看門狗進(jìn)步

基于上述考慮，MAX16997/MAX16998非常適合提高汽車應(yīng)用中的系統(tǒng)安全性。這些高壓看門狗定時(shí)器旨在為安全關(guān)鍵型微處理器控制的應(yīng)用提供極高的可靠性和安全性。如果發(fā)生μC故障，看門狗被激活，器件可以安全地切換到冗余電路（圖1和圖2）。

圖1.MAX16998切換到后備電路。

圖2.MAX16997A典型應(yīng)用示意圖

MAX16997/MAX16998具有超時(shí)或窗口看門狗功能、用于上電/關(guān)斷復(fù)位的外部電壓監(jiān)視、μC復(fù)位功能、使能輸入和高電壓容限系統(tǒng)使能輸出。由于這些IC可以直接由12V汽車電池供電，并且瞬態(tài)電壓容限高達(dá)45V，因此與標(biāo)準(zhǔn)的低壓看門狗定時(shí)器器件不同，它們獨(dú)立于低壓電源工作。因此，如果下游電路由于硬件（HW）或軟件故障而發(fā)生故障，這些監(jiān)控電路將繼續(xù)獨(dú)立運(yùn)行。

使IC更不受硬件故障的影響，低電平有效復(fù)位輸出（/復(fù)位）、看門狗觸發(fā)輸入（WDI）、使能輸入（EN）和外部電壓監(jiān)控輸入（RESET IN）的額定電壓為20V，可承受汽車電池電壓短路。此功能為下游高壓電氣故障提供了強(qiáng)大的屏障，并保證在這種情況下安全地切換到冗余電路。

根據(jù)所需的安全級(jí)別，MAX16997/MAX16998可提供標(biāo)準(zhǔn)超時(shí)看門狗功能或時(shí)間窗看門狗功能。超時(shí)看門狗變體確保定時(shí)器的清晰信號(hào)發(fā)生在看門狗時(shí)間內(nèi);否則，他們將激活系統(tǒng)重置。因此，它們將檢測軟件故障，例如代碼執(zhí)行太慢或晶體振蕩器運(yùn)行緩慢。時(shí)間窗口看門狗可以識(shí)別更多故障。它確保計(jì)時(shí)器的清晰信號(hào)在正確的時(shí)間窗口內(nèi)發(fā)生。因此，它還可以檢測錯(cuò)誤，例如代碼執(zhí)行速度過快或振蕩器運(yùn)行速度過快。

復(fù)位延遲和看門狗時(shí)間的時(shí)序可獨(dú)立設(shè)置，每個(gè)功能使用一個(gè)外部電容器。打開的監(jiān)視程序窗口的比率在出廠時(shí)設(shè)置為監(jiān)視程序時(shí)間的 50% 或 75%。此外，復(fù)位門限電壓可利用一個(gè)外部電阻分壓器進(jìn)行設(shè)置。

MAX16997可以讀取KL15狀態(tài)（EN），只有在點(diǎn)火導(dǎo)通時(shí)激活內(nèi)部監(jiān)控定時(shí)器。在這里，初始看門狗超時(shí)時(shí)間延長了八倍，以使微控制器有足夠的時(shí)間啟動(dòng)。

每當(dāng)/RESETIN電壓低于其復(fù)位閾值或看門狗觸發(fā)輸入（WDI）讀取錯(cuò)誤觸發(fā)時(shí)，/RESET被置為低電平。如果 WDI 輸入連續(xù)三次讀取不良觸發(fā)信號(hào)，則/ENABLE 拉低。在μC清除看門狗（WDI引腳）后，連續(xù)三個(gè)周期成功/使能將再次變?yōu)楦唠娖健?/p>

MAX16997/MAX16998采用8引腳μMAX?封裝，工作在-40°C至+125°C汽車級(jí)溫度范圍。

結(jié)論

為了確保汽車系統(tǒng)安全故障并能夠在功能降低模式下繼續(xù)運(yùn)行，需要冗余和/或跛行回家模式。MAX16997/MAX16998等產(chǎn)品顯然為汽車系統(tǒng)實(shí)現(xiàn)家庭功能提供了一種簡單的方法。

審核編輯：郭婷