基于高壓看門狗定時器的汽車失效保護解決方案
可以利用外部電容(分別置于SRT和SWT輸入)獨立設置復位延時(MAX16998)和看門狗超時,看門狗窗口監(jiān)測可以由工廠預置在可調節(jié)看門狗周期的50%或75%。
18µA (典型值)超低工作電流使得MAX16997/MAX16998在汽車ECU應用中非常重要,因為這些電路始終處于開啟狀態(tài)。另外,這些器件提供3mm x 3mm、8引腳µMAX®封裝,確保工作在-40°C至+125°C汽車級溫度范圍。
這些IC直接采用12V汽車電池供電,可以承受高達45V的電壓瞬變(IN和ENABLE引腳),而典型的看門狗定時器則是采用下游的低壓電源(例如,5V)供電。因此,即使在下游電路斷電或發(fā)生與地短路時,MAX16997/MAX16998也能保持工作并且安全地切換到冗余電路(通過觸發(fā)ENABLE引腳)。為了使這些器件能夠支持更高的故障容限,器件在RESET、WDI、EN和RESETIN引腳提供20V故障容限,甚至能夠承受短路至汽車電池的電壓(圖1和圖2)。由此可以看出,這些電路也提供了一個可靠的保護屏障,避免受下游高壓電路故障失效的影響,備份電路應該從物理層面獨立于“常規(guī)”控制電路,發(fā)生故障時能夠安全地切換到備份模式。
MAX16997/MAX16998時序
上電后,當RESETIN引腳電壓(VRESETIN)高于上電復位門限(VPON)時,RESET將在上電復位時間(tRESET)內持續(xù)保持低電平,隨后變?yōu)楦唠娖?。同時,看門狗定時器開始計時(tWP)。如果在規(guī)定的開放時間窗口(tOW)內沒有產(chǎn)生WDI觸發(fā)信號,RESET將被再次置為低電平,復位µC。如果在連續(xù)的三次看門狗觸發(fā)信號中,觸發(fā)信號均處于關閉窗口(tCW)或在看門狗周期(tWP)結束之后,ENABLE信號將被置低,使系統(tǒng)切換至冗余電路。如果在連續(xù)的三次看門狗觸發(fā)信號中,WDI觸發(fā)信號又重新回到開放的看門狗周期窗口內(tWDI),ENABLE將重新回到高電平,系統(tǒng)切換到正常工作模式(圖3)。
圖3. MAX16998時序圖(窗式看門狗)
看門狗超時與窗式看門狗
MAX16997/MAX16998A提供標準的看門狗超時周期,而MAX16998B/D則提供窗式看門狗功能(圖4)。根據(jù)實際應用對安全等級的要求選擇不同類型的器件,調整看門狗超時確保在看門狗定時周期內將定時器清零,否則器件將產(chǎn)生復位信號。由此,可以利用這些看門狗檢測程序運行的失效狀態(tài),例如,程序運行過緩或者是數(shù)字時鐘(例如,晶振產(chǎn)生的時鐘)速率降低;而窗式看門狗則需確保定時器在規(guī)定的時間窗口內將定時器清零,由此,它們可以檢測到一些額外的故障,例如,程序運行過快或時鐘過快,可以支持更高的安全等級。
圖4. MAX16998看門狗定時周期(窗式看門狗)
圖4中的第3種情況說明了在規(guī)定的時間窗口內觸發(fā)WDI的情況;第1種情況則是錯誤地觸發(fā)了WDI,信號過早地觸發(fā)WDI從而產(chǎn)生故障指示,導致故障發(fā)生的原因是程序運行過快或振蕩器時鐘頻率加快;第2種情況也是錯誤觸發(fā)WDI的一種表現(xiàn)—看門狗觸發(fā)信號輸出延時過大,表明程序運行過緩或振蕩器時鐘頻率變慢。
結論
故障容限和汽車安全性成為汽車電子設計的關鍵因素,為了提高汽車工作效率,改善舒適度并降低風險,需要高效管理系統(tǒng)的各個單元:硬件、軟件、傳感器、受動裝置和操作單元。高壓看門狗定時器,例如:MAX16997/MAX16998,為達到這一目標起到了關鍵作用。
評論