|
汽車設計中,越來越多的電子系統正在逐步替代機械功能——從引擎定時控制到剎車、方向盤控制,而電子系統相對容易發生故障,這就需要謹慎考慮系統的安全性,確保系統具備較高的故障容限。不應該在發生單點故障時將司機或乘客至于危險處境,至少能夠使汽車“跛行”到大路以外或最近的維修站。當電子設備發生故障時,為確保汽車的安全行駛需要利用監控電路開啟備份電路,安全地接管系統操作。 在純機械系統的汽車時代,引擎依照機械方式產生的信號點燃空氣燃料混合器。機械分配器則選擇適當的火花塞,沿線傳遞信號。剎車系統則將作用在踏板上的壓力通過剎車軸、剎車總泵、液壓管傳送到制動鉗。離合器和油門只是簡單地受控于連接在踏板上的一條鋼纜。方向盤通過一個金屬舵輪、轉向軸、轉向齒輪箱以及轉向傳動裝置,控制車輪的轉角。引擎控制也不同于我們如今使用的高度可靠的電子控制單元(ECU),它沒有計算機輔助剎車系統、離合器、油門或操縱系統。當然,也不需要考慮?C失效、控制單元短路等狀況,出現故障失效的因素主要是機械裝置。但是,由于人們非常信任機械設備的可靠性,也很少考慮系統備份或故障容限問題。當然,一旦系統的某個裝置出現故障,則很容易發生危險,即便沒有發生危險,汽車也只能被拋錨在出事地點,不得不求助拖車將汽車拖至維修中心。 為了提高汽車駕駛的舒適度和便利性,汽車制造商需要為汽車提供電子裝備,已獲得更高效率、更清潔的環境以及更高的汽車行駛安全性。早期的ECU只能在發生故障時停止運行,特別是電子裝置的工作取決于?C。如果?C失效時沒有備用方案來避免發生危及生命的事故,對于用戶和制造商都是無法接受的;設計中至少需要采用備用系統,將汽車就近行駛到維修站,由此,人們對故障容限的關注程度也迅速提高。根據實際需求,許多MCU開始配備“跛行回家”管理模式。 跛行回家管理模式 “跛行回家”模式指的是ECU內部的一種冗余功能,在物理架構上這是完全獨立的一部分電路,可以從待機模式下開啟進入失效保護狀態。這一模式允許汽車在發生電子系統失效時駛出道路,雖然不能保持原有的行駛性能,但可以確保安全。 新一代引擎ECU都帶有監控器件,例如:看門狗定時器,用于測試ECU運轉是否正常。一旦檢測到工作異常,發現電子裝置或?C失效(軟件運行故障),監控器件將開啟“跛行回家”控制模式。例如,當汽車引擎故障燈點亮,汽缸只注入一半的燃料給發動機,此時引擎產生非常低的熱量,但能夠以適中的速度開動汽車,借助剛好支持汽車行駛的能量將汽車開回家或開到汽車維修中心。 另外一個好的案例是新型汽車中的“車身控制計算機”,能夠控制車窗升降、前車燈/尾燈、轉向燈以及擋風玻璃的雨刷、汽車的自動換檔控制。監控電路對ECU的工作狀況進行監測,發生電路單元或?C工作故障時,將激活待機電路,降級行駛,例如:降低遠光燈、尾燈/剎車燈的亮度,或者只保持第二檔行駛。當然,這種狀況下限制了汽車的最高速度,但汽車仍然保持工作,能夠以“跛行回家”模式安全行駛,把車開到維修廠。 冗余 計算機控制應用稱為“電控操作”,動力系統內部和外部絕大多數機械控制系統已經由機電控制所替代。例如,相互連接的ECU電控裝置已經替代了方向盤到車輪之間的所有機械單元。司機移動的方向盤位置將被檢測并轉換成數字電子信號,傳送給智能化機電傳動裝置,最終控制車輪動作。 電控剎車裝置也采用汽車計算機、伺服電機或機電制動鉗替代了早期的剎車軸、剎車總泵等單元。一般意義上講,這些系統對安全性的要求更高,因而對故障容限的要求也更高。 工程師在這些應用中設計了備份電路,構建完整的冗余電子控制和監控單元,冗余系統在物理結構上應該完全獨立于主控單元,始終確保系統提供有效、安全的電控單元。ECU監控電路保持主系統的連續監測,必要時可靠地切換到備份系統。 高壓看門狗的優勢 考慮到安全性問題,汽車電子系統需要監控電路監測故障容限或安全性。MAX16997/MAX16998看門狗定時器可理想滿足這類需求,通過對微控制器(?C)正常工作條件下產生的周期脈沖進行檢測,偵測電路或?C的失效狀態,一旦發生故障可立即切換到備份/冗余系統。 MAX16997/MAX16998具有超時和窗式看門狗監測功能,器件帶有看門狗觸發器輸入(WDI),提供漏極開路?C 復位輸出(RESET)和漏極開路冗余系統使能輸出(ENABLE)。 對于MAX16998,復位門限可以由介于低壓電源(例如:?C電源)、外部電壓監測輸入(RESETIN)和GND之間的外部電阻分壓器(圖1所示)設置。MAX16997可以在使能輸入端(EN)讀取KL15 (點火開關)的狀態,在汽車啟動后使能內部的監控定時器(圖2)。這時,看門狗的超時周期延長到標稱周期的8倍,為?C留出足夠的開啟時間。 圖1:MAX16998高壓看門狗定時器采用獨立的下游低壓電源(LDO)供電,為電池短路保護提供安全保護屏障,從而使器件能夠在故障條件下可靠地切換到冗余電路。 圖2:類似于MAX16998,MAX16997能夠在故障狀態下安全地切換到冗余電路。它還具有高電平有效使能輸入(EN),用于開啟或關閉看門狗定時器。 可以利用外部電容(分別置于SRT和SWT輸入)獨立設置復位延時(MAX16998)和看門狗超時,看門狗窗口監測可以由工廠預置在可調節看門狗定周期的50%或75%。 18?A (典型值)超低工作電流使得MAX16997/MAX16998在汽車ECU應用中非常重要,因為這些電路始終處于開啟狀態。另外,這些器件提供3mm x 3mm、8引腳?MAX?封裝,確保工作在-40°C至+125°C汽車級溫度范圍。 這些IC直接采用12V汽車電池供電,可以承受高達45V的電壓瞬變(IN和ENABLE引腳),而典型的看門狗定時器則是采用下游的低壓電源(例如,5V)供電。因此,即使在下游電路斷電或發生與地短路時,MAX16997/MAX16998也能保持工作并且安全地切換到冗余電路(通過觸發ENABLE引腳)。為了使這些器件能夠支持更高的故障容限,器件在RESET、WDI、EN和RESETIN引腳提供故障保護,能夠承受20V的電壓(圖1和圖2)。由此可以看出,這些電路也提供了一個可靠的保護屏障,避免受下游電路故障失效的影響,備份電路應該從物理層面獨立于“常規”控制電路,發生故障時能夠安全地切換到備份模式。 MAX16997/MAX16998時序 上電后,當RESETIN引腳電壓(VRESETIN)高于上電復位門限(VPON)時,RESET將在復位時間(tRESET)內持續保持低電平,隨后便為高電平。同時,看門狗定時器開始計時(tWP)。如果在規定的開放時間窗口(tOW)內沒有產生WDI觸發信號,RESET將被再次置為低電平,復位?C。如果在連續的三次觸發中,觸發信號均處于關閉窗口(tCW)或在看門狗周期(tWP)結束之后,ENABLE信號將被置低。如果在連續的三次看門狗觸發信號中,WDI觸發信號又重新回到開放的看門狗周期窗口內(tWDI),ENABLE將重新回到高電平,系統切換到正常工作模式(圖3)。 圖3:MAX16998時序圖(窗式看門狗)。 看門狗超時與窗式看門狗 MAX16997/MAX16998A提供標準的看門狗超時周期,而MAX16998B/D則提供窗式看門狗功能(圖4)。根據實際應用對安全等級的要求選擇不同類型的器件,調整看門狗超時確保在看門狗定時周期內將定時器清零,否則器件將產生復位信號。由此,可以利用這些看門狗檢測程序運行的失效狀態,例如,程序運行過緩或者是數字時鐘(例如,晶振產生的時鐘)速率降低;而窗式看門狗則需確保定時器在規定的時間窗口內將定時器清零,由此,它們可以檢測到一些額外的故障,例如,程序運行過快或時鐘過快,可以支持更高的安全等級。 圖4:MAX16998看門狗定時周期(窗式看門狗)。 圖4中的第三種情況說明了在規定的時間窗口內觸發WDI的情況;第1種情況則是錯誤地觸發了WDI,信號過早地觸發WDI從而產生故障指示,導致故障發生的原因是程序運行過快或振蕩器時鐘頻率加快;第2種情況也是錯處觸發WDI的一種表現——看門狗觸發信號輸出延時過大,表明程序運行過緩或振蕩器時鐘頻率變慢。 本文小結 故障容限和汽車安全性成為汽車電子設計的關鍵因素,為了提高汽車工作效率,改善舒適度并降低風險,需要高效管理系統的各個單元:硬件、軟件、傳感器、受動裝置和操作單元。高壓看門狗定時器(如:MAX16997/MAX16998)為達到這一目標起到了關鍵作用。 |
