英飛凌電源管理PMIC的安全應(yīng)用

摘要

本篇文檔主要用來(lái)介紹英飛凌電源管理芯片TLF35584的使用，基于電動(dòng)助力轉(zhuǎn)向應(yīng)用來(lái)介紹。包含一些安全機(jī)制的執(zhí)行。

TLF35584介紹

TLF35584是英飛凌推出的針對(duì)車輛安全應(yīng)用的電源管理芯片，符合ASIL D安全等級(jí)要求，具有高效多電源輸出通道，寬電壓輸入范圍,根據(jù)不同的型號(hào)有3.3V和5.0V兩種命名。可以為MCU提供600mA的電源，可以提供200mA的電源給通信，還可以提供精確的參考電壓給ADC使用，具有SPI通信，可以監(jiān)控和配置該芯片。我們以TLF35584QVVS2型號(hào)的使用來(lái)做介紹。TLF35584的封裝類型以及電壓分類如下表所示：

TLF35584系統(tǒng)框圖

管腳介紹

典型應(yīng)用框圖

安全功能

TLF35584提供了很多安全功能來(lái)保證系統(tǒng)的安全

輸出電源軌監(jiān)控

Vprereg

VQUC

VQST

VQVR

VVCI

VQT1, ?VQT2

VQCO

提供MCU外部安全機(jī)制的時(shí)序時(shí)間監(jiān)控服務(wù)

監(jiān)控MCU的SMU ?ERR輸出功能

監(jiān)控MCU的看門(mén)狗輸出服務(wù)

二次安全關(guān)斷能力

TSR

TSR01 -在所有產(chǎn)生和監(jiān)控的輸出電壓上檢測(cè)和響應(yīng)故障。違反將會(huì)導(dǎo)致系統(tǒng)級(jí)的單點(diǎn)失效

TSR02 -檢測(cè)并響應(yīng)MCU安全管理單元(SMU)的錯(cuò)誤觸發(fā)。違反會(huì)導(dǎo)致潛伏失效或者多點(diǎn)失效

TSR03 -檢測(cè)并響應(yīng)由MCU錯(cuò)誤觸發(fā)的定時(shí)監(jiān)控服務(wù)，違反會(huì)導(dǎo)致潛伏失效或者多點(diǎn)失效

TSR04 -內(nèi)部需要時(shí)激活二次關(guān)斷信號(hào)，違反TSR04可能會(huì)導(dǎo)致潛伏失效

安全功能應(yīng)用

安全路徑

安全路徑是信號(hào)鏈和電路使能并維持系統(tǒng)的安全狀態(tài)。對(duì)于一些TLF35584目標(biāo)應(yīng)用，達(dá)到了安全狀態(tài)

通過(guò)禁用執(zhí)行器、通信通道或整個(gè)系統(tǒng)。在這樣的系統(tǒng)中，安全路徑是安全停機(jī)路徑。

首要安全路徑

主要安全路徑不是由PMIC管理的，而是由MCU單片機(jī)控制的。因此，主安全路徑不依賴于PMIC的安全邏輯。通常,這類安全路徑是通過(guò)安全MCU建立的。該單片機(jī)可以使應(yīng)用程序始終處于安全狀態(tài)，使用的條件在有效范圍內(nèi)，外部安全機(jī)制可用。

二次安全路徑

二次安全路徑或者叫二次關(guān)斷路徑是通過(guò)PMIC的安全功能實(shí)現(xiàn)的。在PMIC的安全功能TSR需求中，系統(tǒng)的安全狀態(tài)是通過(guò)PMIC的安全狀態(tài)輸出達(dá)到的，也就是說(shuō)通過(guò)TLF35584的SS1和SS2輸出連接到系統(tǒng)電路可以釋放或者進(jìn)入安全狀態(tài)，這種機(jī)制可以在檢測(cè)到關(guān)鍵失效時(shí)候進(jìn)入安全狀態(tài)已達(dá)到安全目標(biāo)。

安全狀態(tài)

系統(tǒng)的安全狀態(tài)被認(rèn)為是沒(méi)有任何不合理的高水平風(fēng)險(xiǎn)的運(yùn)行模式

Assumption: [SM_00_01]

只要TLF35584處于安全狀態(tài)(通過(guò)激活二次安全關(guān)機(jī)路徑，即SS1/SS2處于低電平表示)，則子系統(tǒng)處于安全狀態(tài)。

TLF35584包括許多安全設(shè)計(jì)功能和安全機(jī)制，以支持實(shí)現(xiàn)技術(shù)安全分析總結(jié)報(bào)告中定義的安全級(jí)別的安全要求.

安全特性

安全特性概覽

安全特性如下圖中標(biāo)紅色部分所示

輸出電壓監(jiān)控

TLF35584為所有輸出提供了獨(dú)立的電源監(jiān)控功能，每一路輸出都包含獨(dú)立的過(guò)壓和欠壓監(jiān)控

帶隙基準(zhǔn)和內(nèi)部電壓監(jiān)控

所有的內(nèi)部電壓也會(huì)被監(jiān)控，如果出現(xiàn)異常會(huì)進(jìn)入POWNDOWN狀態(tài)。TLF35584包含兩路互相獨(dú)立的帶隙基準(zhǔn)參考電壓互相監(jiān)控對(duì)方的操作。如果超過(guò)某一預(yù)設(shè)的門(mén)限值，TLF35584將會(huì)產(chǎn)生一個(gè)中斷給到外部，MCU可以利用這個(gè)中斷做一些響應(yīng)。

熱關(guān)斷

TLF35584包含熱監(jiān)控以保護(hù)設(shè)備在高溫條件下?lián)p壞，內(nèi)部有多點(diǎn)的溫度保護(hù)來(lái)防止器件損壞，如果檢測(cè)到過(guò)溫，會(huì)產(chǎn)生中斷給到MCU， MCU應(yīng)當(dāng)作出一些反映，如可以關(guān)斷某路電源輸出。

錯(cuò)誤管腳監(jiān)控

TLF35584提供一個(gè)可以通過(guò)ERR腳監(jiān)控MCU的安全管理單元SMU，一個(gè)預(yù)定義的頻率范圍的翻轉(zhuǎn)方波信號(hào)必須給到TLF35584的ERR腳，如果是超過(guò)頻率范圍的信號(hào)給到ERR腳會(huì)引起報(bào)故障，TLF35584將會(huì)進(jìn)入INT狀態(tài)。默認(rèn)情況下ERR腳功能是使能的。

窗口看門(mén)狗

TLF35584包含一個(gè)窗口看門(mén)狗來(lái)監(jiān)控MCU的運(yùn)行，需要一定間隔內(nèi)收到觸發(fā)信號(hào)，可以通過(guò)WDI腳或者SPI，在一定的開(kāi)窗時(shí)間內(nèi)或者超時(shí)觸發(fā)都會(huì)被認(rèn)為是無(wú)效的看門(mén)狗觸發(fā)，無(wú)效看門(mén)狗觸發(fā)事件將會(huì)引起內(nèi)部錯(cuò)誤計(jì)數(shù)器加2，并且產(chǎn)生中斷，有效的看門(mén)狗觸發(fā)事件將會(huì)引起錯(cuò)誤計(jì)數(shù)減1，如果錯(cuò)誤計(jì)數(shù)器超過(guò)配置的門(mén)限值，TLF35584將會(huì)跳轉(zhuǎn)到INT狀態(tài)。默認(rèn)條件下窗口看門(mén)狗是使能的，需要注意的是窗口看門(mén)狗和功能看門(mén)狗是相互獨(dú)立的，可以同時(shí)使能使用。

功能看門(mén)狗

功能看門(mén)狗稍微復(fù)雜一些，也叫問(wèn)答看門(mén)狗，通過(guò)多個(gè)SPI通信幀完成。TLF35584產(chǎn)生一個(gè)問(wèn)題，同時(shí)心跳計(jì)數(shù)器開(kāi)始從0向上計(jì)數(shù)，直到心跳周期結(jié)束，心跳周期可以通過(guò)SPI調(diào)整配置，4個(gè)字節(jié)的響應(yīng)答案必須在心跳周期結(jié)束之前收到。最后一個(gè)收到的響應(yīng)必須同步寫(xiě)入同步寄存器以復(fù)位心跳計(jì)數(shù)器。如果接收到正確的答案響應(yīng)，認(rèn)為是一次有效的看門(mén)狗觸發(fā)事件，有效的看門(mén)狗觸發(fā)事件會(huì)導(dǎo)致內(nèi)部錯(cuò)誤計(jì)數(shù)器減1，無(wú)效的看門(mén)狗觸發(fā)事件將會(huì)導(dǎo)致內(nèi)部錯(cuò)誤計(jì)數(shù)器加2，并且產(chǎn)生中斷。如果錯(cuò)誤計(jì)數(shù)器超過(guò)預(yù)設(shè)的門(mén)限值，將會(huì)跳轉(zhuǎn)到INT狀態(tài)。默認(rèn)情況下功能看門(mén)狗是禁止的，和窗口看門(mén)狗可以獨(dú)立使用，互不干涉。

二次安全關(guān)斷能力

TLF35584具有二次安全關(guān)斷能力，在應(yīng)用中安全狀態(tài)輸出引腳SS1和SS2的狀態(tài)用來(lái)表明設(shè)備的安全狀態(tài)。

軟錯(cuò)誤檢測(cè)和修正

TLF35584通過(guò)一些寄存器提供了軟錯(cuò)誤的檢測(cè)和修正安全機(jī)制，包括單個(gè)位錯(cuò)誤的檢測(cè)和修正，以及兩個(gè)位錯(cuò)誤的檢測(cè)。兩個(gè)位錯(cuò)誤會(huì)引起中斷。

安全機(jī)制軟件需求

TLF35584在安全相關(guān)應(yīng)用中用作微處理器電源。安全機(jī)制必須由相應(yīng)的微處理器執(zhí)行，以保證系統(tǒng)的正確運(yùn)行。

SPI通信

來(lái)自微處理器的SPI通信用于配置TLF35584，服務(wù)看門(mén)狗和監(jiān)控狀態(tài)寄存器，由于SPI通信是用來(lái)傳輸安全相關(guān)信息的，因此需要采取措施保證其數(shù)據(jù)的完整性

奇偶校驗(yàn)

Assumption: [SM_SPI_01]

SPI通信中的奇偶校驗(yàn)位為每次通信進(jìn)行檢查。具有無(wú)效奇偶校驗(yàn)信息的數(shù)據(jù)必須被忽略。

奇偶校驗(yàn)位在SPI期間防止單比特故障和奇數(shù)比特錯(cuò)誤的故障溝通。為了提供更全面的誤差覆蓋范圍，可以考慮額外的措施。如果在讀操作過(guò)程中奇偶校驗(yàn)信息不正確，微處理器必須忽略數(shù)據(jù)和重做讀操作

如果寫(xiě)操作過(guò)程中的校驗(yàn)信息不正確，TLF35584將忽略該數(shù)據(jù)并產(chǎn)生中斷。微處理器應(yīng)該響應(yīng)中斷并檢查中斷源，即檢查是否SPI.PARE位置位。如果寫(xiě)操作失敗，微處理器應(yīng)該重復(fù)這個(gè)操作。

配置

Assumption: [SM_SPI_02]

write-verify-apply過(guò)程用于對(duì)安全相關(guān)配置的寫(xiě)訪問(wèn)。因此，數(shù)據(jù)應(yīng)是在寫(xiě)入數(shù)據(jù)之后和應(yīng)用于應(yīng)用程序之前進(jìn)行驗(yàn)證。預(yù)期配置的驗(yàn)證至少每次配置校驗(yàn)一次，并根據(jù)應(yīng)用程序可以重新配置。

所有與安全相關(guān)的配置寄存器(稱為“受保護(hù)的寄存器”)都由定義的LOCK/UNLOCK過(guò)程，允許在數(shù)據(jù)激活之前對(duì)其進(jìn)行驗(yàn)證。

清除狀態(tài)和中斷寄存器

所有狀態(tài)和中斷標(biāo)志在清除之前被正確讀取。掛起的中斷沒(méi)有正確清除服務(wù)

中斷信號(hào)

Assumption: [SM_INT_01]

根據(jù)具體的應(yīng)用，在將中斷信號(hào)用作安全功能的應(yīng)用中，對(duì)每個(gè)中斷信號(hào)的正確功能進(jìn)行驗(yàn)證。

中斷的處理，當(dāng)產(chǎn)生中斷，應(yīng)遵循：

可以實(shí)施超時(shí)，其到期應(yīng)視為測(cè)試失敗。持續(xù)時(shí)間超時(shí)時(shí)間應(yīng)根據(jù)所選擇的中斷源設(shè)置

讀取中斷狀態(tài)寄存器并驗(yàn)證中斷標(biāo)志是否與生成的特定中斷相匹配

中斷響應(yīng)

Assumption: [SM_INT_02]

微處理器檢查每個(gè)中斷事件的中斷源，并根據(jù)應(yīng)用程序做出反應(yīng)要求。

Assumption: [SM_INT_03]

如果通過(guò)中斷狀態(tài)標(biāo)志SYSSF.CFGE檢測(cè)到一個(gè)配置錯(cuò)誤，MCU應(yīng)該對(duì)設(shè)備進(jìn)行重新配置

復(fù)位輸出使用

Assumption: [SM_ROT_01]

TLF35584的復(fù)位輸出腳ROT連接到MCU的復(fù)位輸入引腳，當(dāng)有復(fù)位引腳輸出，主要安全路徑激活。

備用Stand-by LDO使用

Assumption: [SM_SBL_01]

在備用LDO用作微控制器的存儲(chǔ)器電源供給時(shí)，需要每個(gè)周期確認(rèn)驗(yàn)證下此LDO是否安全。

獨(dú)立的二次安全關(guān)斷路徑

Assumption: [SM_SS_01]

必須確保主要安全關(guān)斷路徑和二次安全關(guān)斷路徑的獨(dú)立性，不能存在任何的依賴關(guān)系。

一次關(guān)斷路徑或者腳主要關(guān)斷路徑由MCU控制。

Assumption: [SM_SS_02]

在將二次關(guān)斷路徑用作安全功能的應(yīng)用中，根據(jù)不同的應(yīng)用，要驗(yàn)證其正確的功能，每個(gè)周期至少需要一次安全功能驗(yàn)證。

窗口看門(mén)狗

Assumption: [SM_WWD_01]

在將窗口看門(mén)狗用作安全功能的應(yīng)用程序中，根據(jù)應(yīng)用至少在每個(gè)駕駛周期驗(yàn)證一次窗口看門(mén)狗的正確性

Assumption: [SM_WWD_02]

在將窗口看門(mén)狗用作安全功能的應(yīng)用程序中，其正確的功能包括微處理器復(fù)位信號(hào)ROT和安全狀態(tài)輸出的激活在每個(gè)周期至少驗(yàn)證一次。

功能看門(mén)狗

Assumption: [SM_FWD_01]

在將功能看門(mén)狗用作安全功能的應(yīng)用中，至少要驗(yàn)證其正確的功能，每個(gè)駕駛周期一次，取決于應(yīng)用程序。

Assumption: [SM_FWD_02]

在功能看門(mén)狗作為安全功能發(fā)布的應(yīng)用程序中，其正確的功能包括微處理器復(fù)位信號(hào)ROT和安全狀態(tài)輸出的激活在每次駕駛中至少驗(yàn)證一次，周期取決于應(yīng)用程序。

ERR引腳監(jiān)控

Assumption: [SM_ERR_01]

在將ERR引腳用作安全功能的應(yīng)用程序中，每次至少驗(yàn)證一次其正確功能，驅(qū)動(dòng)周期取決于應(yīng)用。

Assumption: [SM_ERR_02]

在ERR引腳用作安全功能的應(yīng)用中，其正確的功能包括微處理器復(fù)位信號(hào)ROT和安全狀態(tài)輸出的激活在每個(gè)駕駛周期至少驗(yàn)證一次。

請(qǐng)注意，測(cè)試程序的可用性取決于錯(cuò)誤引腳監(jiān)控的配置應(yīng)用:立即行動(dòng)與恢復(fù)延遲

監(jiān)控組件

Assumption: [SM_MON_01]

在監(jiān)控塊用作安全功能的應(yīng)用程序中，監(jiān)視器的正確功能，每個(gè)使用的監(jiān)視器每個(gè)驅(qū)動(dòng)周期至少驗(yàn)證一次對(duì)中斷信號(hào)的監(jiān)控。

Assumption: [SM_MON_02]

在監(jiān)控塊用作安全功能的應(yīng)用程序中，監(jiān)視器的正確功能在對(duì)每個(gè)已使用的監(jiān)視器至少進(jìn)行一次驗(yàn)證，以激活安全狀態(tài)輸出周期取決于應(yīng)用程序。

ABIST

ABIST的檢測(cè)由MCU發(fā)起請(qǐng)求

詳細(xì)執(zhí)行規(guī)則可以參考SM手冊(cè)要求，這里不在贅述。

監(jiān)控功能恢復(fù)

如果對(duì)設(shè)備的監(jiān)督功能的測(cè)試導(dǎo)致異?；蚴?，則相應(yīng)的監(jiān)督功能應(yīng)被認(rèn)為是非活性的，并應(yīng)考慮相應(yīng)的系統(tǒng)反應(yīng)以確保安全操作。由于缺乏監(jiān)督功能并不一定意味著違反了安全目標(biāo)，微控制器可以控制場(chǎng)景，以增加系統(tǒng)的可用性。進(jìn)一步講系統(tǒng)集成者可以預(yù)見(jiàn)恢復(fù)機(jī)制，使監(jiān)管恢復(fù)有效運(yùn)作。，如可以重新配置有問(wèn)題的配置，或者重啟TLF35584.

硬件需求

二次關(guān)斷路徑

Assumption: [SM_SS_03]

在應(yīng)用中要確保SS1和SS2的高電平輸出被認(rèn)為是使二次安全關(guān)斷路徑無(wú)效，低電平或者高阻態(tài)被認(rèn)為是激活安全關(guān)斷路徑的信號(hào)。

Assumption: [SM_SS_04]

SS1和SS2之間的延遲不能被視為安全特性

最大額定值

Assumption: [SM_ABS_01]

在任何操作下都不能違反數(shù)據(jù)手冊(cè)中電氣參數(shù)的最大額定值

電壓電流

溫度

外部器件的選擇

反相保護(hù)

因?yàn)門(mén)LF35584本身不能夠處理反相供電的情況，所以需要外部系統(tǒng)層的額外電路來(lái)處理電池電壓的反接情況。

輸入濾波

為了使TLF35584都在額定電氣參數(shù)范圍內(nèi)操作，強(qiáng)烈建議添加輸入濾波器，以限制電源線上的尖峰，相關(guān)的參數(shù)可以從TLF35584的EMC測(cè)試報(bào)告中獲取。

過(guò)流限制

強(qiáng)烈建議在管腳添加限流電阻，防止引腳的電流超過(guò)手冊(cè)的限制值。輸入電壓VST的限制主要靠前級(jí)降壓器件來(lái)提供可靠輸入。如我們的應(yīng)用中的LM5085.

主要分為兩類

一類是連接到電池電壓等級(jí)的ENA和WAK腳必須小心處理過(guò)流和反相，至少大于10K的串聯(lián)電阻

第二類是像SPI（SCS,SCL,SDI,SDO）,INT,ROT,WDI,SYN,EVC 至少串聯(lián)一個(gè)大于50歐姆的電阻，電阻布局的位置也需在系統(tǒng)級(jí)考慮。

ERR腳保護(hù)

在MCU的SMU故障輸出腳P33.8和TLF35584的ERR腳之間串聯(lián)大于1K的電阻。

電壓域的分離

強(qiáng)烈建議將ECU內(nèi)的高、低壓區(qū)分開(kāi)，在不同組的信號(hào)之間的電路以減少短路的風(fēng)險(xiǎn)。這可以通過(guò)在PCB布線中使用足夠的間隙來(lái)完成任何外部高壓和內(nèi)部低壓信號(hào)之間。在這種情況下應(yīng)給予特別考慮不同域的信號(hào)在引腳上連接。

外部被動(dòng)元器件

必須強(qiáng)制確保連接到TLF35584的外部器件在數(shù)據(jù)手冊(cè)要求的范圍內(nèi)，如輸出電感，電容等。外部器件組件的失效必須在系統(tǒng)層級(jí)覆蓋，可以使用冗余外部器件，提高系統(tǒng)層級(jí)的可靠性?？梢詤⒖紨?shù)據(jù)手冊(cè)有關(guān)外部器件要求更詳細(xì)的信息，這里只給出簡(jiǎn)單的要求

總結(jié)：

要根據(jù)自己的應(yīng)用選擇內(nèi)外安全機(jī)制去執(zhí)行，提高系統(tǒng)的安全。