16 de enero de 2012

Nota de aplicación 4210 De alto voltaje temporizadores tipo watchdog para mejorar la seguridad de Sistemas de Automoción

 

Resumen: A medida que los sistemas electrónicos de hacerse cargo de muchas de las funciones de mecánico en un coche-que van desde la sincronización del motor de dirección y frenado, hay una creciente preocupación acerca de la tolerancia a fallos. No debería haber un único punto de fallo que impida un coche de por lo menos "cojera" de la carretera o lo que es la estación de servicio más cercano. Sistemas redundantes, temporizadores de vigilancia, y otros circuitos de control se utilizan para desviar las señales y realizar otras funciones que aseguran que un vehículo con seguridad se puede hacer de la carretera cuando se produce un error.

Introducción

Modernos coches de gama alta puede tener hasta 80 unidades de control electrónico (ECU). Estos varían desde los circuitos más sofisticados que controlan el motor, los frenos, y de despliegue del airbag, con otros más sencillos que el control del asiento y ajuste de los espejos laterales. Pero como con toda la electrónica, a veces las cosas salen mal. Todas las computadoras pueden estrellarse. Todo el software puede tener errores. Aquí es donde una "movilidad mínima modo de" entra en juego.

Limp-Hogar modo

"Limp casa" es un modo de funcionamiento del vehículo que permite a un a prueba de fallos modo que entró y permite que el vehículo sea conducido a casa lentamente. Para reparaciones de emergencia modo se implementó a fin de que un coche defectuoso puede llegar a sus pasajeros a casa a salvo, mientras limita el daño al motor del automóvil y otros componentes. Inicio Limp abarca tanto el sistema de control del motor y el equipo de seguridad auxiliares, tales como luces y limpiaparabrisas, que suelen ser controlados por la unidad de control del cuerpo (BCU).

Un moderno sistema de gestión del motor tiene una capacidad de auto-prueba que examina periódicamente las señales de los sensores del motor. Por ejemplo, si el sensor de nivel de líquido refrigerante se lee debajo del nivel crítico, el módulo de control del motor desconecta el motor en modo de emergencia. El ventilador se enciende inmediatamente y sólo la mitad de los cilindros de obtener combustible. Con sólo el 50% de los disparos cilindros, el motor genera mucho menos calor debido a que opera a baja potencia. El motor puede mover el vehículo a velocidades moderadas de hasta 50 mph sobre (unos 80kph) y tiene la potencia suficiente para conseguir el coche a casa o al taller más cercano. Mientras que el sistema de control del motor debe asegurarse de que el motor puede funcionar en un modo reducido, el BCU debe asegurarse de que otras funciones del vehículo básicas se mantienen.

Como el número de la electrónica en un aumento de coche y los sistemas se vuelven cada vez más complejas, cada vez es más difícil hacer un coche a prueba de fallos. El objetivo común es asegurar que no hay punto único de fallo que hace que el vehículo inmóvil. El problema se ve agravado por el uso de software de alta complejidad, que es muy difícil probar de manera exhaustiva.

Redundancia

Limp casa es una alternativa a la introducción de la redundancia en un sistema. En un sistema redundante, si el sistema de control principal falla, hay otro para ocupar su lugar. Por otra parte, una técnica de sondeo se utiliza en más de dos procesadores o circuitos lógicos son consultados y la decisión de la mayoría determina si se toma una acción. La razón es que la probabilidad de que dos o más sistemas no al mismo tiempo es mucho menor que la probabilidad de que un único sistema que falla. La desventaja de un sistema redundante verdad es su mayor costo y complejidad. En ciertos "by-wire" aplicaciones, la redundancia es esencial. Sin embargo, en algunos sistemas es suficiente que una funcionalidad limitada se puede mantener, incluso en el caso de un fallo en el procesador.

Una forma de implementar un sistema a prueba de errores es utilizar un hardware de circuito de vigilancia que deben ser "atendidas" por el microcontrolador periódicamente para evitar un reinicio del sistema. El uso de un organismo de control es una técnica sencilla y de bajo coste que asegura la funcionalidad limitada requerido en el caso de un fallo y no depende de software.

Los avances de vigilancia

Teniendo en cuenta las anteriores consideraciones, la MAX16997/MAX16998 son ideales para mejorar la seguridad del sistema en aplicaciones de automoción. Estos temporizadores de vigilancia de alta tensión están diseñados para proporcionar una fiabilidad extrema y la seguridad en materia de seguridad-críticos controlado por microprocesador aplicaciones. En el caso de un fallo μC, el organismo de control se activa y el dispositivo de seguridad puede cambiar a circuitos redundantes ( Figuras 1 y 2 ).

Figura 1.  El interruptor de MAX16998 a circuitos de respaldo.
Figura 1. El interruptor de MAX16998 a circuitos de respaldo.

Figura 2.  El diagrama MAX16997A aplicación típica.
Figura 2. El diagrama MAX16997A aplicación típica.

El tiempo de espera MAX16997/MAX16998 característica o ventana de vigilancia funciones externas de voltaje de supervisión por el poder hacia arriba / abajo reinicio, borrado de μC, las entradas de habilitación y un sistema de alto voltaje con tolerancia a permitir la salida. A medida que estos circuitos integrados pueden ser alimentados directamente desde la batería de coche de 12V y transitorios de voltaje de hasta 45V tolerante, que operan de forma independiente de un suministro de baja tensión, a diferencia de estándar de bajo voltaje de temporizador dedispositivos. Por lo tanto, si el circuito aguas abajo debido a una falla de hardware (HW) o de software, estassupervisión circuitos continuará operando independientemente.

Haciendo que el IC más inmune a los fallos HW, la salida de restablecer activo bajo (activo bajo RESET), organismo de control de entrada de disparo ( WDI ), permitir la entrada (EN) y el voltaje de entrada de control externo (RESET IN) son 20V nominal, a soportar un corto circuito a una tensión de la batería del coche. Esta característica proporciona una barrera sólida contra fallas eléctricas aguas abajo de alta tensión y garantiza la conmutación de circuitos redundantes de seguridad en esta condición.

Dependiendo del nivel de seguridad necesario, el MAX16997/MAX16998 puede proporcionar tanto las capacidades de vigilancia estándar de tiempo de espera o una función de control de tiempo de ventana. Variantes de tiempo de espera vigilante asegurar que clara señal del temporizador se produce en el tiempo de vigilancia, de lo contrario, se activará el reinicio del sistema. De este modo, se detecta una falla de software, tales como la ejecución de código con demasiada lentitud o un oscilador de cristal de baja velocidad. El organismo de control de tiempo de ventana puede reconocer más fallos. Se asegura de que la señal clara del temporizador se produce dentro de la ventana de tiempo correcta. Por lo tanto, además, puede detectar errores, como el código que se ejecuta demasiado rápido o un oscilador de funcionamiento rápido.

El tiempo de demora cero y el tiempo de vigilancia se pueden programar de forma independiente mediante un condensador externo para cada función. La relación de la ventana abierta de vigilancia se ajusta en fábrica en un 50% o 75% del tiempo de vigilancia. Además, el voltaje de umbral de reactivación se puede programar mediante un divisor resistivo de tensión externa.

El MAX16997 puede leer el estado KL15 (EN), y activa el temporizador interno supervisor de si la ignición está encendida. Aquí el tiempo de supervisión inicial de período se prolonga por un factor de ocho a dar un microcontrolador tiempo suficiente para poner en marcha.

Activo bajo RESET es asertada baja cuando la tensión RESETIN baja activa cae por debajo de su umbral de reactivación o la entrada de vigilancia de disparo (WDI) lee un disparo mal. Activo bajo ACTIVAR está tirando bajo si la entrada de WDI lee una señal de disparo mal tres veces consecutivas. Después de que el μC ha autorizado el organismo de control (WDI pin) tres períodos consecutivos con éxito activos de bajo ENABLE drogarse otra vez.

El MAX16997/MAX16998 vienen en un 8-pin μMAX ® paquete y están totalmente especificados en la industria automotriz de temperatura amplia (-40 ° C a +125 ° C).

Conclusión

Para asegurarse de que los sistemas de automoción de manera segura y no puede seguir funcionando en modo de funcionalidad reducida, la redundancia y / o modos de reparaciones de emergencia son necesarios. Productos como el MAX16997/MAX16998 claramente proporcionar un medio fácil de implementar para reparaciones de emergencia en la funcionalidad de los sistemas del automóvil. μMAX es una marca registrada de Cypress Semiconductor, Inc.

No hay comentarios:

Publicar un comentario