看门狗定时器在汽车失效保护中起关键作用

北二桥头

看门狗定时器是单片机的一个组成部分，在单片机程序的调试和运行中都有着重要的意义。看门狗定时器（WDT，Watch Dog Timer）实际上是一个计数器，一般给看门狗一个大数，程序开始运行后看门狗开始倒计数。如果程序运行正常，过一段时间CPU应发出指令让看门狗复位，重新开始倒计数。如果看门狗减到0就认为程序没有正常工作，强制整个系统复位。

　　WatchDog还可以在你的程序陷入死循环的时候，让单片机复位而不用整个系统断电，从而保护你的硬件电路。看门狗定时器对微控制器提供了独立的保护系统，当系统出现故障时，在可选的超时周期之后，看门狗将以RESET信号作出响应，像x25045就可选超时周期为1.4秒、600毫秒、200毫秒三种。当你的程序死机时，x25045就会使单片机复位。

　　为了提高汽车驾驶的舒适度和便利性，汽车制造商需要为汽车提供电子装备，以获得更高效率、更清洁的环境以及更高的汽车行驶安全性。早期的ECU只能在发生故障时停止运行，特别是电子装置的工作取决于μC。如果μC失效时没有备用方案来避免发生危及生命的事故，对于用户和制造商都是无法接受的;设计中至少需要采用备用系统，将汽车就近行驶到维修站，由此，人们对故障容限的关注程度也迅速提高。根据实际需求，许多ECU开始配备“跛行回家”管理模式。

1  “跛行回家”模式

　　“跛行回家”模式指的是ECU内部的一种冗余功能，在物理架构上这是完全独立的一部分模拟电路，可以从待机模式下开启进入失效保护状态。这一模式允许汽车在发生电子系统失效时驶出道路，虽然不能保持原有的行驶性能，但可以确保安全。

　　新一代引擎ECU都带有监控器件，例如：看门狗定时器，用于测试ECU运转是否正常。一旦检测到工作异常，发现电子装置或μC失效（软件运行故障），监控器件将开启“跛行回家”控制模式。

　　另外一个好的案例是新型汽车中的“车身控制计算机”，能够控制车窗升降、前车灯/尾灯、转向灯以及挡风玻璃的雨刷、汽车的自动换档控制。监控电路对ECU的工作状况进行监测，发生电路单元或μC工作故障时，将激活待机电路，降级行驶性能，例如：降低远光灯、尾灯/刹车灯的亮度，或者只保持第二档行驶。当然，这种状况下限制了汽车的最高速度，但汽车仍然保持工作，能够以“跛行回家”模式安全行驶，把车开到维修厂。

2  冗余

　　计算机控制应用的前景称为“电控操作”，动力系统内部和外部绝大多数机械控制系统已经由机电控制所替代。例如，相互连接的ECU电控装置已经替代了方向盘到车轮之间的所有机械单元。司机移动的方向盘位置将被检测并转换成数字电信号，传送给智能化机电传动装置，最终控制车轮动作。

　　电控刹车装置也采用汽车计算机、伺服电机或机电制动钳替代了早期的刹车轴、刹车总泵和刹车助力器等单元。

　　工程师在这些新应用中设计了备份电路，构建完整的冗余电子控制和监控单元，冗余系统在物理结构上应该完全独立于主控单元，始终确保系统提供有效、安全的电控单元。ECU监控电路保持主系统的连续监测，发生故障时可切换到备份、冗余系统。冗余系统的应用原理在于多个控制单元同时发生故障的概率要远远小于单个ECU中单个故障点出现的概率。因此，冗余控制单元能够为汽车系统提供额外的安全保障。

3 高压看门狗的优势

　　考虑到安全性问题，汽车电子系统需要监控电路监测故障容限或安全性。MAX16997/MAX16998看门狗定时器可理想满足这类需求，通过对微控制器（μC）正常工作条件下产生的周期脉冲进行检测，侦测电路或μC的失效状态，一旦发生故障可立即切换到备份/冗余系统。

　　对于MAX16998，复位门限可以由介于低压电源（例如：μC电源）、外部电压监测输入（RESETIN）和GND之间的外部电阻分压器（图1所示）设置。MAX16997可以在使能输入端（EN）读取KL15 （点火开关）的状态，在汽车启动后使能内部的监控定时器（图2）。这时，看门狗的超时周期延长到标称周期的8倍，为μC留出足够的开启时间。

　　图1. MAX16998高压看门狗定时器采用独立的下游低压电源（LDO）供电，为电池短路保护提供安全保护屏障，从而使器件能够在故障条件下可靠地切换到冗余电路。

　　图2. 类似于MAX16998，MAX16997能够在故障状态下安全地切换到冗余电路。它还具有高电平有效使能输入(EN)，用于开启或关闭看门狗定时器。

　　可以利用外部电容(分别置于SRT和SWT输入)独立设置复位延时(MAX16998)和看门狗超时，看门狗窗口监测可以由工厂预置在可调节看门狗周期的50%或75%。

　　这些IC直接采用12V汽车电池供电，可以承受高达45V的电压瞬变(IN和ENABLE引脚)，而典型的看门狗定时器则是采用下游的低压电源(例如，5V)供电。因此，即使在下游电路断电或发生与地短路时，MAX16997/MAX16998也能保持工作并且安全地切换到冗余电路(通过触发ENABLE引脚)。为了使这些器件能够支持更高的故障容限，器件在RESET、WDI、EN和RESETIN引脚提供20V故障容限，甚至能够承受短路至汽车电池的电压(图1和图2)。由此可以看出，这些电路也提供了一个可靠的保护屏障，避免受下游高压电路故障失效的影响，备份电路应该从物理层面独立于“常规”控制电路，发生故障时能够安全地切换到备份模式。

4  MAX16997/MAX16998时序

　　上电后，当RESETIN引脚电压（VRESETIN）高于上电复位门限（VPON）时，RESET将在上电复位时间（tRESET）内持续保持低电平，随后变为高电平。如果在连续的三次看门狗触发信号中，WDI触发信号又重新回到开放的看门狗周期窗口内（tWDI），ENABLE将重新回到高电平，系统切换到正常工作模式（图3）。

5  看门狗超时与窗式看门狗

　　MAX16997/MAX16998A提供标准的看门狗超时周期，而MAX16998B/D则提供窗式看门狗功能(图4)。根据实际应用对安全等级的要求选择不同类型的器件，调整看门狗超时确保在看门狗定时周期内将定时器清零，否则器件将产生复位信号。

　　图4中的第3种情况说明了在规定的时间窗口内触发WDI的情况；第1种情况则是错误地触发了WDI，信号过早地触发WDI从而产生故障指示，导致故障发生的原因是程序运行过快或振荡器时钟频率加快；第2种情况也是错误触发WDI的一种表现—看门狗触发信号输出延时过大，表明程序运行过缓或振荡器时钟频率变慢。

　　

6  结论

　　故障容限和汽车安全性成为汽车电子设计的关键因素，为了提高汽车工作效率，改善舒适度并降低风险，需要高效管理系统的各个单元：硬件、软件、传感器、受动装置和操作单元。

6 k) @) u, O! h' k% K2 s

IC老和尚

“跛行回家”模式指的是ECU内部的一种冗余功能，在物理架构上这是完全独立的一部分模拟电路，可以从待机模式下开启进入失效保护状态。