隨著汽車電子對於功能安全等級的要求提高,越來越多的汽車電子系統也採用了看門狗(Watchdog)功能來監測電源的安全性和可靠性,以滿足功能安全的要求。本文將介紹搭配看門狗的電源之分類、系統方塊圖、工作原理以及典型應用。

通常,我們將帶有看門狗的電源分為三類:

  • 基本型看門狗電源
  • 視窗型看門狗電源
  • 問答型看門狗電源

基本型看門狗電源

以意法半導體(ST)的線性穩壓器L4995為例,從其系統方塊圖(圖1)中可以看到,基本型看門狗電路一般有以下三種功能接腳:

圖1:
線性穩壓器L4995的系統方塊圖

基本功能接腳:包括Vin (電池輸入)、Vo (穩壓器電壓輸出)、GND (電線接地端) 用3個接腳來實現看門狗的功能:Wi (WD PWM輸入、Vcw (WD電容器接腳)、Res(重設) 保護功能(僅列出部份保護功能)負載電流限流、溫度關斷。

連接的微控制器(MCU)由看門狗輸入Wi監控。如果脈衝遺失,重設輸出接腳設置為低(圖2)。利用外部電容器Ctw,可以在較寬的範圍內設置脈衝序列時間。帶有看門狗的電路用恒流Icwd向電容器Ctw放電。如果達到較低的閾值Vwlth,則可重設看門狗。

圖2:
L4995工作原理。

每個Wi正邊緣將電流源從放電切換到充電。當達到較低的閾值時也會發生同樣的情況。當電壓達到上限時,電流從充電切換到放電,其結果是一個鋸齒波。Vcw為看門狗計時器電容器Ctw處的電壓。

視窗型看門狗

英飛凌(Infineon)的低壓差穩壓器TLE7273-2中所內建的看門狗即為視窗型看門狗,其系統方塊圖如圖3所示。

圖3:
低壓差穩壓器TLE7273-2系統方塊圖。

以德州儀器(TI)低壓差穩壓器TPS7A63xx-Q1為例,如圖4所示,每個看門狗視窗由一個打開的視窗和一個關閉的視窗組成,每個視窗的寬度約為看門狗視窗的50%。但有一個例外:看門狗初始化後第一個打開的視窗是看門狗視窗持續時間的8倍。除看門狗初始化後打開的視窗外,所有打開的視窗都是看門狗視窗寬度的一半。初始化時,看門狗只能在打開的視窗中接收服務(透過軟體、外部MCU等)。在關閉的視窗中維護的看門狗,或在打開的視窗中不維護的看門狗,會造成看門狗的報錯。

圖4:
TPS7A63xx-Q1內建看門狗的視窗持續時間。

問答型看門狗

用德州儀器(TI)的TPS65381 (用於安全關鍵型應用中的微處理器的多軌電源)之系統方塊圖(圖5)可用於示意帶有問答型看門狗的結構。

圖5:
TPS65381系統架構圖。

以下用DRV3205-Q1 (TI針對汽車安全應用的3電流感應放大器之三相馬達前置驅動器IC)的問答型看門狗來解釋具體的工作原理(圖6)。

圖6:
看門狗計時器簡化流程圖。

問答型看門狗透過SPI發送特定的訊息序列定期進行操作。根據MCU的請求,DRV3205-Q1向SPI上的MCU,鎖定在WDT_ANSWER權杖(token) U值暫存器中。MCU執行一系列固定的對權杖值進行算數運算,並將產生的權杖值返回給MCU通過寫入WDT_ANSWER應答暫存器的SPI。DRV3205-Q1設備驗證MCU是否返回權杖值在指定的時間視窗內產生(應答),並且權杖值響應(答案)正確。

  • 當MCU在正確的時間視窗內執行與看門狗相關的SPI通訊時,並返回正確計算的回應(答案),看門狗認為這是好事件。
  • 當MCU在正確的定時視窗外執行與看門狗相關的SPI通訊時,或返回錯誤計算的權杖回應(答案),或返回錯誤的正確答案順序,看門狗認為這是壞事件。
  • 當MCU在看門狗超時期間暫停看門狗相關的SPI通訊時視窗,看門狗將此視為無回應事件。
  • 內部計數器儲存wd_fail_cnt暫存器中的錯誤回應數,該暫存器觸發。
  • 如果wd_fail_cnt達到預先定義的限制,則失敗。透過在wd_fail_max中指定限制註冊後,可以為壞事件的數量設置一個緩衝區。

問答型看門狗目前用在對應功能安全等級ASIL-C/D的汽車系統中,例如EPS。但這個電路的缺點就是增加了控制軟體的複雜度,同時也增加了硬體的成本,需要依據具體的系統要求來選用。

綜上所述,汽車中帶有看門狗功能的電源依據不同的應用場合可以更適度地選用。需要在成本、複雜性、可靠性和功能安全等方面進行綜合權衡後得出一個折衷的選擇。

本文同步刊登於電子技術設計雜誌2019年8月號