隨著電子系統接管汽車中的許多機械功能（從發動機正時到轉向和制動），人們越來越關注容錯能力。不應該有一個單點故障會阻止汽車至少“跛行”離開道路或到達最近的服務站。冗余系統、看門狗定時器和其他控制電路用于重新路由信號并執行其他功能，以確保車輛在發生故障時可以安全地離開道路。

介紹

現代高端汽車可以擁有多達 80 個電子控制單元 （ECU）。從控制發動機、制動和安全氣囊展開的最復雜電路，到控制座椅和后視鏡調節的更簡單電路，這些電路各不相同。但與所有電子產品一樣，有時會出錯。所有計算機都可能崩潰。所有軟件都可能存在錯誤。這就是“跛行回家模式”發揮作用的地方。

跛行回家模式

“跛行回家”是一種車輛操作模式，允許進入故障安全模式并允許車輛緩慢回家。實施跛行回家模式，以便故障汽車可以安全將乘客送回家，同時限制對汽車發動機和其他部件的損壞。跛行之家包括發動機管理系統和輔助安全設備，如燈和擋風玻璃刮水器，通常由車身控制單元（BCU）控制。

現代發動機管理系統具有自檢功能，可定期檢查來自發動機傳感器的信號。例如，如果冷卻液液位傳感器讀數低于臨界液位，則發動機控制模塊會將發動機切換到緊急模式。風扇立即打開，只有一半的氣缸獲得燃料。由于只有50%的氣缸點火，發動機產生的熱量要少得多，因為它以低功率運行。發動機可以以高達約50英里/小時（約80公里/小時）的中等速度移動車輛，并且有足夠的動力將汽車送回家或最近的車庫。雖然發動機管理系統必須確保發動機可以在減速模式下運行，但BCU必須確保保持其他基本車輛功能。

隨著汽車中電子設備數量的增加和系統變得越來越復雜，使汽車故障安全變得越來越困難。通常的目標是確保不會有單點故障導致車輛無法移動。使用高度復雜的軟件加劇了這個問題，而軟件很難進行詳盡的測試。

冗余

跛行家庭是將冗余引入系統的替代方案。在冗余系統中，如果主控制系統發生故障，則有另一個系統可以取代它。或者，使用輪詢技術，其中輪詢兩個以上的處理器或邏輯電路，并且多數決定決定是否采取行動。其基本原理是，兩個或多個系統同時發生故障的概率遠小于單個系統發生故障的概率。真正冗余系統的缺點是成本和復雜性較高。在某些“線控”應用中，冗余是必不可少的。但是，在某些系統中，即使在處理器發生故障的情況下，如果可以維護有限的功能就足夠了。

實現故障安全系統的一種方法是使用硬件看門狗電路，該電路必須由微控制器定期“維修”以避免系統復位。看門狗的使用是一種簡單且低成本的技術，可確保在發生故障時所需的有限功能，并且不依賴于軟件。

看門狗進步

基于上述考慮，MAX16997/MAX16998非常適合提高汽車應用中的系統安全性。這些高壓看門狗定時器旨在為安全關鍵型微處理器控制的應用提供極高的可靠性和安全性。如果發生μC故障，看門狗被激活，器件可以安全地切換到冗余電路（圖1和圖2）。

圖1.MAX16998切換到后備電路。

圖2.MAX16997A典型應用示意圖

MAX16997/MAX16998具有超時或窗口看門狗功能、用于上電/關斷復位的外部電壓監視、μC復位功能、使能輸入和高電壓容限系統使能輸出。由于這些IC可以直接由12V汽車電池供電，并且瞬態電壓容限高達45V，因此與標準的低壓看門狗定時器器件不同，它們獨立于低壓電源工作。因此，如果下游電路由于硬件（HW）或軟件故障而發生故障，這些監控電路將繼續獨立運行。

使IC更不受硬件故障的影響，低電平有效復位輸出（/復位）、看門狗觸發輸入（WDI）、使能輸入（EN）和外部電壓監控輸入（RESET IN）的額定電壓為20V，可承受汽車電池電壓短路。此功能為下游高壓電氣故障提供了強大的屏障，并保證在這種情況下安全地切換到冗余電路。

根據所需的安全級別，MAX16997/MAX16998可提供標準超時看門狗功能或時間窗看門狗功能。超時看門狗變體確保定時器的清晰信號發生在看門狗時間內;否則，他們將激活系統重置。因此，它們將檢測軟件故障，例如代碼執行太慢或晶體振蕩器運行緩慢。時間窗口看門狗可以識別更多故障。它確保計時器的清晰信號在正確的時間窗口內發生。因此，它還可以檢測錯誤，例如代碼執行速度過快或振蕩器運行速度過快。

復位延遲和看門狗時間的時序可獨立設置，每個功能使用一個外部電容器。打開的監視程序窗口的比率在出廠時設置為監視程序時間的 50% 或 75%。此外，復位門限電壓可利用一個外部電阻分壓器進行設置。

MAX16997可以讀取KL15狀態（EN），只有在點火導通時激活內部監控定時器。在這里，初始看門狗超時時間延長了八倍，以使微控制器有足夠的時間啟動。

每當/RESETIN電壓低于其復位閾值或看門狗觸發輸入（WDI）讀取錯誤觸發時，/RESET被置為低電平。如果 WDI 輸入連續三次讀取不良觸發信號，則/ENABLE 拉低。在μC清除看門狗（WDI引腳）后，連續三個周期成功/使能將再次變為高電平。

MAX16997/MAX16998采用8引腳μMAX?封裝，工作在-40°C至+125°C汽車級溫度范圍。

結論

為了確保汽車系統安全故障并能夠在功能降低模式下繼續運行，需要冗余和/或跛行回家模式。MAX16997/MAX16998等產品顯然為汽車系統實現家庭功能提供了一種簡單的方法。

審核編輯：郭婷