基于高壓看門狗定時(shí)器的汽車失效保護(hù)解決方案
摘要:絕大多數(shù)汽車電子系統(tǒng)需要監(jiān)控電路監(jiān)測失效容限和安全性。MAX16997/MAX16998看門狗定時(shí)器可理想滿足這類監(jiān)控需求,它們對(duì)微控制器(µC)正常工作條件下產(chǎn)生的周期脈沖進(jìn)行檢測,一旦偵測到電路或µC的失效狀態(tài),將立即切換到備份/冗余系統(tǒng),采取“跛行回家”控制策略,從而避免汽車在中途拋錨,提供了一種汽車失效保護(hù)措施。
本文引用地址:http://cafeforensic.com/article/187720.htm汽車設(shè)計(jì)中,越來越多的電子系統(tǒng)正在逐步替代機(jī)械功能—從引擎定時(shí)控制到剎車、方向盤控制—而電子系統(tǒng)相對(duì)容易發(fā)生故障,這就需要謹(jǐn)慎考慮系統(tǒng)的安全性,確保系統(tǒng)具備較高的故障容限。不應(yīng)該在發(fā)生單點(diǎn)故障時(shí)將司機(jī)或乘客置于危險(xiǎn)處境,至少能夠使汽車“跛行”到大路以外或最近的維修站。當(dāng)電子設(shè)備發(fā)生故障時(shí),為確保汽車的安全行駛需要利用監(jiān)控電路開啟備份電路,安全地接管系統(tǒng)操作。
在純機(jī)械系統(tǒng)的汽車時(shí)代,引擎依照機(jī)械方式產(chǎn)生的信號(hào)點(diǎn)燃空氣燃料混合器。機(jī)械分配器則選擇適當(dāng)?shù)幕鸹ㄈ?,沿線傳遞信號(hào)。剎車系統(tǒng)則將作用在踏板上的壓力通過剎車軸、剎車總泵、液壓管傳送到制動(dòng)鉗。離合器和油門只是簡單地受控于連接在踏板上的一條鋼纜。方向盤通過一個(gè)金屬舵輪、轉(zhuǎn)向軸、轉(zhuǎn)向齒輪箱以及轉(zhuǎn)向傳動(dòng)裝置,控制車輪的轉(zhuǎn)角。引擎控制也不同于我們?nèi)缃袷褂玫母叨瓤煽康碾娮涌刂茊卧?ECU),它沒有計(jì)算機(jī)輔助剎車系統(tǒng)、離合器、油門或轉(zhuǎn)向系統(tǒng)。當(dāng)然,也不需要考慮µC失效、控制單元短路等狀況,可能出現(xiàn)故障失效的機(jī)械裝置僅有99個(gè)。但是,由于人們非常信任機(jī)械設(shè)備的可靠性,也很少考慮系統(tǒng)備份或故障容限問題。當(dāng)然,一旦系統(tǒng)的某個(gè)裝置出現(xiàn)故障,則很容易發(fā)生危險(xiǎn),即便沒有發(fā)生危險(xiǎn),汽車也只能被拋錨在出事地點(diǎn),不得不求助拖車將故障汽車拖至維修中心。
為了提高汽車駕駛的舒適度和便利性,汽車制造商需要為汽車提供電子裝備,以獲得更高效率、更清潔的環(huán)境以及更高的汽車行駛安全性。早期的ECU只能在發(fā)生故障時(shí)停止運(yùn)行,特別是電子裝置的工作取決于µC。如果µC失效時(shí)沒有備用方案來避免發(fā)生危及生命的事故,對(duì)于用戶和制造商都是無法接受的;設(shè)計(jì)中至少需要采用備用系統(tǒng),將汽車就近行駛到維修站,由此,人們對(duì)故障容限的關(guān)注程度也迅速提高。根據(jù)實(shí)際需求,許多ECU開始配備“跛行回家”管理模式。
“跛行回家”模式
“跛行回家”模式指的是ECU內(nèi)部的一種冗余功能,在物理架構(gòu)上這是完全獨(dú)立的一部分模擬電路,可以從待機(jī)模式下開啟進(jìn)入失效保護(hù)狀態(tài)。這一模式允許汽車在發(fā)生電子系統(tǒng)失效時(shí)駛出道路,雖然不能保持原有的行駛性能,但可以確保安全。
新一代引擎ECU都帶有監(jiān)控器件,例如:看門狗定時(shí)器,用于測試ECU運(yùn)轉(zhuǎn)是否正常。一旦檢測到工作異常,發(fā)現(xiàn)電子裝置或µC失效(軟件運(yùn)行故障),監(jiān)控器件將開啟“跛行回家”控制模式。例如,當(dāng)汽車引擎故障燈點(diǎn)亮,汽缸只注入一半的燃料給發(fā)動(dòng)機(jī),此時(shí)引擎產(chǎn)生非常低的熱量,但能夠以適中的速度開動(dòng)汽車,借助剛好支持汽車行駛的能量將汽車開回家或開到就近的汽車維修中心。
另外一個(gè)好的案例是新型汽車中的“車身控制計(jì)算機(jī)”,能夠控制車窗升降、前車燈/尾燈、轉(zhuǎn)向燈以及擋風(fēng)玻璃的雨刷、汽車的自動(dòng)換檔控制。監(jiān)控電路對(duì)ECU的工作狀況進(jìn)行監(jiān)測,發(fā)生電路單元或µC工作故障時(shí),將激活待機(jī)電路,降級(jí)行駛性能,例如:降低遠(yuǎn)光燈、尾燈/剎車燈的亮度,或者只保持第二檔行駛。當(dāng)然,這種狀況下限制了汽車的最高速度,但汽車仍然保持工作,能夠以“跛行回家”模式安全行駛,把車開到維修廠。
效果差么? 不,其實(shí)并不是。如果不是這樣,你有可能仍然保持原有駕駛速度,而這可能導(dǎo)致車輛損毀;或者也可能讓你哪都去不了,包括移至安全地帶。
冗余
計(jì)算機(jī)控制應(yīng)用的前景稱為“電控操作”,動(dòng)力系統(tǒng)內(nèi)部和外部絕大多數(shù)機(jī)械控制系統(tǒng)已經(jīng)由機(jī)電控制所替代。例如,相互連接的ECU電控裝置已經(jīng)替代了方向盤到車輪之間的所有機(jī)械單元。司機(jī)移動(dòng)的方向盤位置將被檢測并轉(zhuǎn)換成數(shù)字電信號(hào),傳送給智能化機(jī)電傳動(dòng)裝置,最終控制車輪動(dòng)作。
電控剎車裝置也采用汽車計(jì)算機(jī)、伺服電機(jī)或機(jī)電制動(dòng)鉗替代了早期的剎車軸、剎車總泵和剎車助力器等單元。
一般意義上講,由于剎車或轉(zhuǎn)向系統(tǒng)失靈將有可能危及生命,因此這些系統(tǒng)對(duì)安全性的要求更高,對(duì)故障容限的要求也更高。
工程師在這些新應(yīng)用中設(shè)計(jì)了備份電路,構(gòu)建完整的冗余電子控制和監(jiān)控單元,冗余系統(tǒng)在物理結(jié)構(gòu)上應(yīng)該完全獨(dú)立于主控單元,始終確保系統(tǒng)提供有效、安全的電控單元。ECU監(jiān)控電路保持主系統(tǒng)的連續(xù)監(jiān)測,發(fā)生故障時(shí)可切換到備份、冗余系統(tǒng)。冗余系統(tǒng)的應(yīng)用原理在于多個(gè)控制單元同時(shí)發(fā)生故障的概率要遠(yuǎn)遠(yuǎn)小于單個(gè)ECU中單個(gè)故障點(diǎn)出現(xiàn)的概率。因此,冗余控制單元能夠?yàn)槠囅到y(tǒng)提供額外的安全保障。
高壓看門狗的優(yōu)勢
考慮到安全性問題,汽車電子系統(tǒng)需要監(jiān)控電路監(jiān)測故障容限或安全性。MAX16997/MAX16998看門狗定時(shí)器可理想滿足這類需求,通過對(duì)微控制器(µC)正常工作條件下產(chǎn)生的周期脈沖進(jìn)行檢測,偵測電路或µC的失效狀態(tài),一旦發(fā)生故障可立即切換到備份/冗余系統(tǒng)。
MAX16997/MAX16998具有超時(shí)和窗式看門狗監(jiān)測功能,器件帶有看門狗觸發(fā)器輸入(WDI),提供漏極開路µC復(fù)位輸出(RESET)和漏極開路冗余系統(tǒng)使能輸出(ENABLE)。
對(duì)于MAX16998,復(fù)位門限可以由介于低壓電源(例如:µC電源)、外部電壓監(jiān)測輸入(RESETIN)和GND之間的外部電阻分壓器(圖1所示)設(shè)置。MAX16997可以在使能輸入端(EN)讀取KL15 (點(diǎn)火開關(guān))的狀態(tài),在汽車啟動(dòng)后使能內(nèi)部的監(jiān)控定時(shí)器(圖2)。這時(shí),看門狗的超時(shí)周期延長到標(biāo)稱周期的8倍,為µC留出足夠的開啟時(shí)間。
圖1. MAX16998高壓看門狗定時(shí)器采用獨(dú)立的下游低壓電源(LDO)供電,為電池短路保護(hù)提供安全保護(hù)屏障,從而使器件能夠在故障條件下可靠地切換到冗余電路。
圖2. 類似于MAX16998,MAX16997能夠在故障狀態(tài)下安全地切換到冗余電路。它還具有高電平有效使能輸入(EN),用于開啟或關(guān)閉看門狗定時(shí)器。
評(píng)論