高压看门狗如何提高车载系统安全性
火开关)的状态,在汽车启动后使能内部的监控定时器(图2)。这时,看门狗的超时周期延长到标称周期的8倍,为?C留出足够的开启时间。
图1:MAX16998高压看门狗定时器采用独立的下游低压电源(LDO)供电,为电池短路保护提供安全保护屏障,从而使器件能够在故障条件下可靠地切换到冗余电路。
图2:类似于MAX16998,MAX16997能够在故障状态下安全地切换到冗余电路。它还具有高电平有效使能输入(EN),用于开启或关闭看门狗定时器。
可以利用外部电容(分别置于SRT和SWT输入)独立设置复位延时(MAX16998)和看门狗超时,看门狗窗口监测可以由工厂预置在可调节看门狗定周期的50%或75%。
18?A (典型值)超低工作电流使得MAX16997/MAX16998在汽车ECU应用中非常重要,因为这些电路始终处于开启状态。另外,这些器件提供3mm x 3mm、8引脚?MAX?封装,确保工作在-40°C至+125°C汽车级温度范围。
这些IC直接采用12V汽车电池供电,可以承受高达45V的电压瞬变(IN和ENABLE引脚),而典型的看门狗定时器则是采用下游的低压电源(例如,5V)供电。因此,即使在下游电路断电或发生与地短路时,MAX16997/MAX16998也能保持工作并且安全地切换到冗余电路(通过触发ENABLE引脚)。为了使这些器件能够支持更高的故障容限,器件在RESET、WDI、EN和RESETIN引脚提供故障保护,能够承受20V的电压(图1和图2)。由此可以看出,这些电路也提供了一个可靠的保护屏障,避免受下游电路故障失效的影响,备份电路应该从物理层面独立于"常规"控制电路,发生故障时能够安全地切换到备份模式。
MAX16997/MAX16998时序
上电后,当RESETIN引脚电压(VRESETIN)高于上电复位门限(VPON)时,RESET将在复位时间(tRESET)内持续保持低电平,随后便为高电平。同时,看门狗定时器开始计时(tWP)。如果在规定的开放时间窗口(tOW)内没有产生WDI触发信号,RESET将被再次置为低电平,复位?C。如果在连续的三次触发中,触发信号均处于关闭窗口(tCW)或在看门狗周期(tWP)结束之后,ENABLE信号将被置低。如果在连续的三次看门狗触发信号中,WDI触发信号又重新回到开放的看门狗周期窗口内(tWDI),ENABLE将重新回到高电平,系统切换到正常工作模式(图3)。
图3:MAX16998时序图(窗式看门狗)。
看门狗超时与窗式看门狗
MAX16997/MAX16998A提供标准的看门狗超时周期,而MAX16998B/D则提供窗式看门狗功能(图4)。根据实际应用对安全等级的要求选择不同类型的器件,调整看门狗超时确保在看门狗定时周期内将定时器清零,否则器件将产生复位信号。由此,可以利用这些看门狗检测程序运行的失效状态,例如,程序运行过缓或者是数字时钟(例如,晶振产生的时钟)速率降低;而窗式看门狗则需确保定时器在规定的时间窗口内将定时器清零,由此,它们可以检测到一些额外的故障,例如,程序运行过快或时钟过快,可以支持更高的安全等级。
图4:MAX16998看门狗定时周期(窗式看门狗)。
图4中的第三种情况说明了在规定的时间窗口内触发WDI的情况;第1种情况则是错误地触发了WDI,信号过早地触发WDI从而产生故障指示,导致故障发生的原因是程序运行过快或振荡器时钟频率加快;第2种情况也是错处触发WDI的一种表现--看门狗触发信号输出延时过大,表明程序运行过缓或振荡器时钟频率变慢。
本文小结
故障容限和汽车安全性成为汽车电子设计的关键因素,为了提高汽车工作效率,改善舒适度并降低风险,需要高效管理系统的各个单元:硬件、软件、传感器、受动装置和操作单元。高压看门狗定时器(如:MAX16997/MAX16998)为达到这一目标起到了关键作用。
- Fox Electronics推出紧凑型3.3V F32K 32.768kHz振荡器系列(07-23)
- 工业级MCU的翘楚:集丰富模拟功能与片上资源于一身(09-14)
- 内置有看门狗定时器的系统复位IC(02-23)