NXP恩智浦 S32G电源管理芯片 VR5510 安全概念 Safety Concept (万字长文详
NXP恩智浦 S32G电源管理芯片 VR5510 安全概念 Safety Concept (万字长文详解,配21张彩图)1. 简介
本应用笔记描述了与S32G处置惩罚器和VR5510 PMIC相关的安全概念。该文档涵盖了S32G和VR5510的安全功能以及它们怎样相互作用,以确保对ASIL D安全完整性级别举行系统级覆盖。
本应用笔记介绍了针对S32G3应用的VR5510和PF5300 PMIC办理方案。所有具体的修改和更新都在第4.2节中描述。
2. S32G Overview
2.1 S32G 应用处置惩罚器
多功能的S32G处置惩罚器通过结合差别的特性,使得下一代车辆网关和架构成为大概:
[*]硬件安全。
[*]与PMIC VR5510和PMIC PF5300结合使用的汽车安全完整性品级(ASIL)D安全。
[*]高性能实时和应用处置惩罚。
[*]服务导向网关、域控制器和安全协处置惩罚器的网络加快。
[*]节能技术,如低功耗待机模式,与VR5510 PMIC结合使用。
2.2 S32G安全概念
S32G家族的安全概念是一种系统办理方案,旨在确保应用步调运行的平台能够防止随机硬件故障和共因故障。
该安全概念办理方案依赖于S32G芯片上的安全功能,并与外部装备(在本例中为PMIC VR5510)的安全功能接口举行交互。
PMIC VR5510提供了离芯片的安全机制,可以在S32G不再正常工作时管理系统转入到一个安全状态。VR5510还监控自身功能,并在发生内部故障时将系统转入到一个安全状态。
2.3 S32G/VR5510安全接口概览
以下部门提供了S32G和VR5510安全功能之间的接口概述。有关VR5510安全功能的更多详细信息,请参阅“S32G和VR5510安全功能”第4节。
https://img-blog.csdnimg.cn/img_convert/d2c26820850983ff8dcca4020d17c37f.png
2.3.1 芯片供应和电压监控
S32G上没有精密电压监测器。简单的供应电源存在检测器(SPD)旨在检测当供应从S32G断开连接时,而且只能在这种情况下检测到欠压条件。
VR5510监测所有S32G供电电压的欠压和过压情况,并具有可设置的阈值。当供电超出设置范围时,可以将VR5510设置为使S32G和系统进入安全状态。这个说法实用于S32G2和S32G3应用步调。
2.3.2 通讯接口和实时监控
通讯接口是双向和被以下使用:
[*]一个安全焦点用于在系统启动时设置VR5510
[*]一个安全焦点用于向VR5510指示S32G正常运行并提供VR5510状态信息以响应S32G的请求
S32G的存活指示涉及在VR5510上激活看门狗服务。看门狗的范例(简单或挑衅者)和服务时间窗口是可设置的。有关看门狗详细信息,请参见第4.4节“看门狗”部门。
2.3.3 复位控制和监控
复位接口是双向的和被使用:
[*]S32G的复位天生模块(MC_RGM)向VR5510指示S32G处于复位状态;
[*]VR5510可以在存在大概导致安全目标违规的故障时,逼迫S32G进入安全状态。
每当VR5510将S32G逼迫进入安全状态时,它同时指示一个与S32G状态指示无关的系统安全状态。
2.3.4 S32G错误监控 Error Supervision
错误收集和控制单元Fault collection and control unit (FCCU)在S32G上,是一个硬件单元,可以设置为在发生不可规复故障时通不对误输出引脚指示。
VR5510监测FCCU错误输出引脚,并确保在S32G发生不可规复故障时进入系统安全状态。
3. VR5510 和 PF5300 电源管理IC
3.1 VR5510描述
VR5510是S32G应用处置惩罚器的拟议电源管理集成电路(PMIC)。它是一款汽车多输出PMIC,主要用于网关、ADAS、V2X和信息娱乐应用。下面的方框图展示了其主要特点。
https://img-blog.csdnimg.cn/img_convert/52263fb5f2666a5879b6dc46e82036d2.png
VR5510被分为两个范畴:
[*]主要范畴,包罗多个高效的开关模式和线性电压调节器。
[*]安全范畴,具有加强的安全功能,具备故障输出掩护,并能够完全实现符合ASIL D尺度的安全导向系统划分。
这些域在电上是独立的,物理上也是隔离的。故障安全域由自己的参考电压和电流供应,具有自己的振荡器,而且复制了模拟路径以最小化共同缘故原由故障,并具有LBIST/ABIST来覆盖潜在故障。
3.2 VR5510 安全概论
VR5510的主要安全功能包罗:
[*] 七个独立的电压监测器,用于检测调节器的过压/欠压情况;
[*] 窗口看门狗:提供两种范例(简单或挑衅者);
[*] FCCU监控;
[*] 三个安全输出(PGOOD、RSTB、FS0B);
[*] 结合S32G实现故障规复计谋;
[*] 潜在故障检测(ABIST、LBIST)。
更多信息能够在VR5510安全手册中。
3.3 PF5300描述
PF5300是为了与S32G3应用处置惩罚器中的VR5510相配套而提出的PMIC。PF53集成了一个高性能12A降压转换器,以给高端汽车处置惩罚器供电。这种电流能力使得S32G3焦点可以得到供电。
时钟同步和扩频功能可低沉系统的电磁兼容问题。内置的功能安全特性有助于妥当产品计划和快速上市时间。
图3表现了PF53装备的功能模块图。
https://img-blog.csdnimg.cn/img_convert/c71711f843c93b4cb5430d406b810354.png
使用S32G3处置惩罚器的应用步调包罗QM版本的PF5300 PMIC。安全功能由VR5510 PMIC管理。有关硬件连接的更多详细信息,请参见 第4.2节“VR5510、PF5300和S32G3办理方案的安全硬件连接”。
4. S32G和VR5510安全功能
S32G-VNP-RDB3板是用作示例的参考计划板,用于展示本节中的电压监测连接和设置。
4.1 VR5510和S32G安全硬件连接
VR5510用于为S32G和多个外设(LPDDR4、CAN PHY等)提供电源。Figure 4展示了VR5510和S32G2装备的典型应用的模块和连接概述,包罗高级安全连接。
https://img-blog.csdnimg.cn/img_convert/94b07de598bb78c7e64fcc22fac9c257.png
[*]RSTB:在需要时用于重置应用处置惩罚器。当S32G请求或VR5510发生故障时,可以举行复位操作。
[*]PGOOD:连接到S32G的PORB引脚。用于指示所有电源输出是否正确。
[*]FS0B:安全别针用于将系统过渡到安全状态(例如可以连接到CAN PHY)。
[*]FCCU1/2负责监控S32G硬件错误输出。使用双稳态协议。
[*]看门狗:监控S32G上的软件故障。
[*]待机连接。
[*]STBY:此引脚在VR5510上内部连接到主域和安全域。安全域负责管理待机模式的进入。
4.2 VR5510,PF5300和S32G安全硬件连接办理方案
PF5300 BUCK的FB引脚应连接到S32G3的PMIC_SENSE,以避免电压降误差并优化电压精度。VR5510的VMON1应监测PF5300输出。
VR5510在待机模式下监测PF5300输出的放电情况。通过将EXT_STBY_DISCH_OTP位设置为1来启用外部放电监控。
VCOREMON应连接到VR5510 BUCK1输出。
HVLDO设置为开关模式,以跟踪PF5300 BUCK的输出电压。VDD_CORE和VDD_CORE_STBY域之间必须有最小电压降。将HVLDO_VMON_EN_OTP位设置为0可禁用HVLDOMON功能。
PF5300_PGOOD应该连接到VR5510的PSYNC引脚,以允许HVLDO过渡到开关模式。通过将PSYNC_PGOOD_EXT_OTP设置为1和PSYNC_EN_OTP设置为0来启用此功能。
Figure 5 表现了VR5510、PF5300和S32G3办理方案的安全连接。
https://img-blog.csdnimg.cn/img_convert/bdf66326021f9ba1e439554c9f0c7e98.png
4.3 FCCU监控
FCCU输入引脚用于向PMIC报告S32G硬件故障。VR5510在INIT_FS关闭后立即监视FCCU引脚。为此应用步调,FCCU引脚成对设置,因此FCCU_CFG = 01。
当检测到FCCU故障时,在INIT_FS阶段可以通过FCCU12_FS_IMPACT位对RSTB和/或FS0B上的失效安全反应举行设置。
4.3.1 FCCU对称监控
当FCCU12成对使用时,如图6所示,支持双稳态协议:
https://img-blog.csdnimg.cn/img_convert/af80ed70b9a71e2cdb31d0aedbb654d0.png
FCCU故障信号的极性在INIT_FS阶段可以通过FCCU12_FLT_POL位举行设置。默认情况下,FCCU12_FLT_POL=0(表示当FCCU1=0或者FCCU2=1时为故障水平)
当检测到FCCU故障时,根据设置会在RSTB和/或FS0B上触发故障安全反应。这个设置必须在INIT_FS阶段通过FCCU12_FS_IMPACT位举行设置。
S32G-VNP-RDB2硬件连接如图7所示。
https://img-blog.csdnimg.cn/img_convert/4c205931784e800c0c10ba4de6dc8b2e.png
在INIT_FS状态下,S32G必须正确设置FCCU引脚电平,以避免在退出INIT_FS状态时发生故障。
4.4 看门狗 Watchdog
VR5510具有一个看门狗,必须由处置惩罚器定期革新。这需要来自S32G的看门狗服务例程。如果未正确革新看门狗,则VR5510可以检测到S32G上的软件故障。
这个看门狗是用于Simple和Challenger看门狗的窗口化看门狗。一个良好的看门狗革新是在打开窗口期间正确响应的一种方式。而一个不良的看门狗革新则指在打开窗口期间出现错误响应,或者在关闭窗口期间没有举行任何看门狗革新,或者在关闭窗口期间正确响应了。
在一次良好或不良的看门狗革新之后,立即开始一个新的窗口期,以使MCU与分时看门狗保持同步。
图8表现了看门狗窗口错误的大概性。
https://img-blog.csdnimg.cn/img_convert/dc9a3d91997ba9a02c584dd31377f8f6.png
看门狗窗口的持续时间和占空比是可设置的。
在VR5510中,在初始化阶段INIF_FS期间,只能禁用看门狗。纵然在此阶段已经禁用了看门狗,也需要举行良好的看门狗革新来关闭INIT_FS。如果在INIT_FS阶段禁用了看门狗,则一旦INIT_FS关闭,禁用操作将见效。如果启用了看门狗,则MCU必须定期革新看门狗。
有关INIT_FS和看门狗的更多详细信息,请参考VR5510数据手册。
4.4.1 Simple Watchdog
简单看门狗使用了一个独特的种子。MCU可以将自己的种子发送到WD_SEED位域(FS_WD_SEED寄存器),或者可以使用默认值0x5AB2。在打开看门狗窗口期间,这个种子必须写入WD_ANSWER位域(FS_WD_ANSWER寄存器)。当效果正确时,看门狗窗口会重新启动。当效果不正确时,WD错误计数器会递增,而且看门狗窗口会重新启动。
在简单看门狗设置中,不能将0xFFFF和0x0000的值写入WD_SEED中。如果尝试写入0x0000或者0xFFFF,则报告通讯错误。
4.4.2 Challenger Watchdog
挑衅者监视器基于与MCU的问答过程。在初始化阶段(INIT_FS)中,MCU发送LFSR的种子或使用VR5510天生的默认LFSR值(0x5AB2),该值可在WD_SEED寄存器中获得。使用这个LFSR,MCU根据下面的公式举行盘算,并将效果写入WD_ANSWER寄存器。
https://img-blog.csdnimg.cn/img_convert/a0974a471adcee3630f70327aa5266e4.png
效果在打开看门狗窗口期间通过I2C发送,并由VR5510举行验证。当效果正确时,看门狗窗口被重新启动并天生一个新的LFSR。当效果不正确时,WD错误计数器增长,看门狗窗口被重新启动,而且LFSR值不会改变。
4.4.3 Watchdog error counter 看门狗错误计数
VR5510具有两个差别的计数器:看门狗错误计数器和看门狗革新计数器。看门狗计数计谋实用于Challenger看门狗和Simple看门狗。
https://img-blog.csdnimg.cn/img_convert/2e03e7618ca487ee01b26985e8f13d8f.png
装备中实现了看门狗错误计数器,用于过滤不正确的看门狗革新。每次发生看门狗故障时,装备将该计数器增长两个。每次乐成革新看门狗时,该计数器减少一个。这一原则确保循环的“正常/非常”活动收敛到故障检测上。
为了在应用中提供灵活性,在INIT_FS阶段可以通过设置WD_ERR_LIMIT寄存器来设置该计数器的最大值。
为了诊断目标,MCU可以读取看门狗错误计数器中的WD_ERR_CNT位域。
看门狗革新计数器用于递减故障错误计数器。每次正确革新看门狗时,看门狗革新计数器增长一。每当看门狗革新计数器到达其最大值(默认为6),而且下一个WD革新也是良好的,则故障错误计数器减少一。无论看门狗革新计数器处于何种位置,每次出现错误的革新看门狗时,将重置为零。
为了在应用中提供灵活性,可以在INIT_FS阶段通过WD_RFR_LIMIT寄存器设置看门狗革新计数器的最大值。
MCU可以通过WD_RFR_CNT位读取看门狗革新计数器的值,用于诊断目标。
4.4.4 MCU故障规复计谋
该函数扩展了看门狗窗口,允许微控制器实验故障规复计谋。目标是在故障事故后,防止微控制器在尝试规复应用步调时被重置。
当MCU通过其FCCU引脚触发故障时,装备会断言FS0B引脚,而且看门狗窗口持续时间自动变为一个开放的窗口(不再有任何工作周期)。在INIT_FS阶段,可以使用WDW_RECOVERY 位字段将此开放窗口持续时间设置为最大1024毫秒。
当FCCU引脚指示堕落误而且FS0B被断言时,从WD_WINDOW过渡到WDW_RECOVERY。
如果MCU在WDW_RECOVERY持续时间结束之前发送一个良好的看门狗革新信号,且FCCU引脚不再指示错误,则装备会切换回WD_WINDOW持续时间和相关的占空比。否则,将开始一个新的WDW_RECOVERY周期。
如果MCU在WDW_RECOVERY持续时间结束之前没有发送一个良好的看门狗革新信号,将会产生一个复位脉冲,而且故障安全状态机将返回到INIT_FS。
https://img-blog.csdnimg.cn/img_convert/2bd94da3080a087b504e20ccf56bee9d.png
4.5 电压监控
4.5.1 电压监控连接 Voltage monitor connections
表1表现了S32G-VNP-RDB2上用于S32G2和VR5510办理方案的电压监视器的所有设置/连接。
https://img-blog.csdnimg.cn/img_convert/0197c92b5f2cb0547019481518a52d56.png
表2表现了S32G-VNP-RDB3上用于S32G3、VR5510和PF5300办理方案的电压监视器上的所有设置/连接。
https://img-blog.csdnimg.cn/img_convert/bfa1bd6cb8c3842b2121a1bd1ab26b17.png
注意:有关此办理方案的监控连接的详细信息,请参阅第4.2节。
对于所有的电压监测器,过压/欠压安全反应可以通过I2C编程在专用的OV/UV_FS_IMPACT寄存器中举行。有关安全反应的更多详细信息,请参阅第6节“故障影响设置”。
默认情况下,故障反应是:
[*]欠压:只有FS0B引脚被断言,
[*]过压:FS0B和RSTB被断言,调节器关闭。
4.5.2 S32G2应用的VCOREMON连接和设置
VCOREMON用于监测连接到S32G2VDD_CORE电源轨的BUCK1/2输出电压。上述过压/欠压设置与SVS电压兼容。
保举的连接方式如图12所示。
https://img-blog.csdnimg.cn/img_convert/45dcd93c6cb56d1cf6ceff3923ab7aa5.png
OV OTP阈值的保举设置为6%。
UV OTP阈值的保举设置为-4.5%。
这些设置支持SVS用例。
VCOREMON用于监控连接到LPDDR4输入供应的BUCK1输出电压。
OV OTP阈值的保举设置为4.5%。
UV OTP阈值的保举设置为-4.5%。
4.5.3 S32G3应用的VCOREMON连接和设置
VCOREMON用于监测连接到LPDDR4输入供应的BUCK1输出电压。
OV OTP阈值的保举设置为4.5%。
UV OTP阈值的保举设置为-4.5%。
4.5.4. S32G2应用的VMON1连接和设置
VMON1用于监控LDO2稳压器。这些稳压器的输出电压设置为1.8V。
VR5510的VMON1应该监测PF5300的输出。VR5510在待机模式下监测PF5300输出的放电情况。通过将EXT_STBY_DISCH_OTP位设置为1,可以启用外部放电监测功能。
OV OTP阈值的保举设置为6%。
UV OTP阈值的保举设置为-4.5%。
https://img-blog.csdnimg.cn/img_convert/37d0f968e220837e900baab7c1095871.png
LDO2_MON1连接到VR5510的VMON1输入。使用电阻分压器将监视输入电压设置为0.8V。
OV OTP阈值的保举设置为5%。
UV OTP阈值的保举设置为-5%。
注意:电阻应该是0.1%范例的。
4.5.5 VMON1连接和S32G3应用的设置
VR5510的VMON1应该监控PF5300的输出。
保举的连接方式如图14所示。
https://img-blog.csdnimg.cn/img_convert/99d16eef31f2d3bf21bd3b3c98cb2f37.png
VR5510监控待机入口中PF5300输出的放电情况。通过将EXT_STBY_DISCH_OTP位设置为1,可以启用外部放电监测。
OV OTP阈值的保举设置为6%。
UV OTP阈值的保举设置为-4.5%。
4.5.6 VMON2连接和设置
VMON2用于监控BUCK3稳压器。该稳压器的输出电压设置为1.1V,用于供电LPDDR4。
https://img-blog.csdnimg.cn/img_convert/be2ec9ba94e3bd427b92d1937047eec9.png
OV OTP阈值的保举设置为4.5%。
UV OTP阈值的保举设置为-2.5%。
注意:电阻应选择0.1%型号。
4.5.7 VMON3连接和设置
VMON3用于监控VPRE调节器。该调节器的输出电压设置为3.3V。
https://img-blog.csdnimg.cn/img_convert/175fee9d91696804f3fe36aa6740d705.png
OV OTP阈值的保举设置为6%。
UV OTP阈值的保举设置为-4.5%。
注意:电阻应选择0.1%型号。
4.5.8 VMON4连接和设置
VMON4用于监控LDO1稳压器。该稳压器的输出电压设置为1.8V。
https://img-blog.csdnimg.cn/img_convert/46e8b6e649742ad79bba46e8b5340068.png
OV OTP阈值的保举设置为5%。
UV OTP阈值的保举设置为-5%。
注意:电阻应该是0.1%型号。
4.5.9 VDDIOMON连接和设置
VDDIOMON用于监控LDO3稳压器。该稳压器的输出电压设置为3.3伏特。
此监视器不需要外部电阻分压器。电压是通过OTP内部设置的。
OV OTP阈值的保举设置为5%。
UV OTP阈值的保举设置为-5%。
注意:电阻应选择0.1%型号。
4.5.10 HVLDOMON连接和设置(不包罗S32G3)
HVLDOMON用于监控HVLDO调节器。该调节器的输出电压为0.8V。
此监视器不需要外部电阻分压器。电压由OTP内部设置。
在正常情况下,此监视器检查HVLDO是否工作(开/关切换模式)。它并不精确地监测电压,由于电压已经被VCOREMON监测了。
OV OTP阈值的保举设置为7%。
UV OTP阈值的保举设置为7%。
对于S32G3办理方案,HVLDOMON被OTP禁用。
5. 运行模式 Modes of Operation
5.1 S32G和VR5510的启动序次
在从无电源状态下离开时,假定S32G由VR5510保持在上电复位(POR)状态,直到安全相关的电源供应线稳固在S32G的正常工作范围内。正确的监测范围必须通过OTP举行设置。
在这里,未供电状态也指待机模式,只有待机域保持通电。从待机模式退出类似于从完全未供电状态退出,在此过程中,S32G必须保持在POR状态,直到芯片的所有主要工作电源稳固。
5.1.1 启动流程图
https://img-blog.csdnimg.cn/img_convert/3a0bedefa75bd7a16748fa46189f0534.png
VR5510和S32G在供电电压稳固且处于S32G的安全工作模式之前会被保持复位状态。
5.1.2 VR5510 LBIST 和 ABIST
VR5510的故障安全状态机包罗一个逻辑内置自检(LBIST),用于验证安全监控逻辑的正确功能。每次上电复位(POR)或从待机唤醒后,都会实验LBIST。如果LBIST失败,则开释RSTB和PGOOD信号,但FS0B保持低电平且无法开释。
LBIST_PASS标志(FS_DIAG_SAFETY寄存器)可通过I2C用于MCU诊断。
VR5510的故障安全状态机包罗两个模拟内置自检(ABIST),用于验证安全模拟监测的正确功能。 ABIST1在每次POR之后或从待机唤醒后自动实验。由OTP确定在ABIST1期间检查哪个调节器。 ABIST2通过I2C请求在INIT_FS阶段之后实验。如果一个或两个ABIST失败,RSTB和PGOOD将被开释,但FS0B保持低电平且无法开释。
FS_DIAG_SAFETY寄存器中的ABIST1_OK和ABIST2_OK标志可通过I2C用于MCU诊断。
5.1.3 S32G LBIST and MBIST
在POR序列之后,作为初始引导序列的一部门,S32G上可用LBIST和MBIST。这些测试是可选的,而且必须根据需要举行设置。MBIST和LBIST被实现在多个分区中并行运行。只能运行经过验证的MBIST和LBIST测试序列。请参阅S32G RM自测控制单元部门,其中详细说明了经过验证的序列。
在设置的测试序列完成后,将举行一次破坏性重置。重置实验后,可以设置LBIST和MBIST的故障状态指示。大概的反应包罗进一步的重置或在ERROUT引脚上表现故障指示。没有故障指示是有用的设置,这意味着通过软件处置惩罚检测到的任何故障。
5.1.4 RSTB release,S32G启动
假设VR5510会将S32G的RESET_B输入保持低电平,直到电源稳固。这是为了防止引脚上出现干扰信号,使得芯片在复位时被其他系统误认为不在复位(RESET_B也是一个输出)。
5.1.5 INIT_FS in VR5510
当VR5510的ABIST1完成后,装备进入初始化阶段(INIT_FS)。RSTB和PGOOD引脚被开释,装备的初始化阶段开始。初始化持续时间是可编程窗口,基于WD_INIT_TIMEOUT_OTP位域(CFG_2_OTP寄存器)。
在初始化过程中,S32G可以修改VR5510的一些默认功能,例如看门狗、过压/欠压影响、ABIST2、FCCU监控、SVS和故障安全状态机设置。
5.1.6 Entry to runtime normal operation
一旦软件在安全启动阶段启动,S32G会设置MCU和VR5510上的安全功能。
在进入正常操作之前,S32G必须按照所示的序次实验以下步骤:
[*]将FCCU错误状态设置为“无故障”。
[*]通过第一个良好的看门狗革新结束INIT_FS状态。此革新必须在初始化持续时间到期之前发送。
[*]请求开释FS0B输出。
请参考VR5510数据手册以获取有关FS0B版本的更多详细信息。
当所有这些操作都完成后,系统可以进入正常运行阶段并实验应用步调的安全功能。
第一个有用的看门狗革新关闭INIT_FS。在初始化持续时间到期之前必须发送此革新。
5.1.7 Disabling watchdog and FCCU on INIT_FS
在VR5510上,只能通过I2C在INIT_FS期间禁用看门狗。
要禁用看门狗,需要修改FS_WD_WINDOW寄存器的看门狗窗口期设置位。WD_WINDOW必须设置为0x00,而且相反的数据必须写入FS_NOT_WD_WINDOW寄存器的NOT_WD_WINDOW位。请实验以下命令:
FS_WD_WINDOW=0x020B //Disable watchdog
FS_NOT_WD_WINDOW=0xFDF4
当装备退出INIT_FS状态时,FCCU监控开始。为了避免S32G引起的故障,必须将FCCU引脚置于正确状态,或者禁用FCCU监控。可以通过FS_I_SAFE_INPUTS寄存器的FCCU_CFG位来禁用FCCU监控。请写下以下命令。
Write
FS_I_SAFE_INPUTS=0x01CA
FS_I_NOT_SAFE_INPUTS=0xFE35
需要举行一次良好的看门狗革新才气退出Init_FS状态。正确答案必须写入FS_WD_ANSWER寄存器的WD_ANSWER位域中。请编写以下命令之一。
FS_WD_ANSWER= 0xA54D // Challenger watchdog refresh
FS_WD_ANSWER=0x5AB2 // Simple watchdog refresh
The list of commands are:
FS_WD_WINDOW=0x020B //Disable watchdog
FS_NOT_WD_WINDOW=0xFDF4
FS_I_SAFE_INPUTS=0x01CA
FS_I_NOT_SAFE_INPUTS=0xFE35
FS_WD_ANSWER= 0xA54D or FS_WD_ANSWER=0x5AB2 // Good watchdog to exitINIT_FS 在WD_INIT_TIMEOUT到期之前,必须先编写使得退出INIT_FS状态的看门狗革新。该计时器的值可以由CFG_2_OTP寄存器中的WD_INIT_TIMEOUT_OTP位举行设置。对于S32G OTP来说,该计时器为1024毫秒。
5.2 Runtime mode运行模式: WD refresh, FCCU monitoring safety output
在运行模式时,对于S32G的安全上下文的安全功能–在FMEDA中被确定为必要的安全机制,已经设置和测试,安全功能已经被实验。
安全情况的一个关键部门是为每个设置的安全机制中指示的故障设置故障收集和控制单元。反应可以是:
[*]报警状态软件规复 - 不会立即导致安全目标违规的故障可以通过停止服务例程处置惩罚,允许应用步调在设置的时间内尝试修复问题,而无需重置S32G并返回到正常运行。在这种情况下,通常不会向VR5510指示故障。
[*]故障状态软件规复 - 允许应用软件确定故障来源并在请求重置以规复安全情况时保存信息,此时通常会在NMI处置惩罚步调中向VR5510指示故障。
[*]硬件故障规复-导致立即举行硬件重置而无需任何软件实验的故障。该故障会被指示给VR5510。
在运行时,看门狗革新通常由主安全焦点(Cortex-M7焦点0)通过I2C接口举行。这样做是为了确保主安全焦点正常运行,并能可靠地对故障作出反应。
5.3 安全状态,安全反应 Safe state, safety reaction
当S32G未供电、外部指示故障和/或复位时,它处于安全状态。
当S32G在其错误输出引脚或复位引脚上指示故障时,必须设置VR5510以提供安全状态转换信号,以确保系统在S32G存在故障的情况下处于安全状态。
如果对故障的反应是复位,则安全状态是过渡性的,而且由于复位而重新启动安全功能。
5.3.1 Fault Error Counter
VR5510集成了一个可设置的故障错误计数器,用于盘算与装备本身相关的故障数目以及由外部事故引起的故障。
在POR或从待机状态规复后,故障错误计数器从1级开始。终极的故障错误计数器值用于进入深度失效安全模式。在INIT_FS阶段,该计数器的最大值可以通过FLT_ERR_CNT_LIMIT位举行设置,范围为2到12之间。
故障错误计数器有两个输出值:中间和终极。根据FLT_ERR_IMPACT寄存器的设置,中间值可以用于逼迫激活FS0B或天生RSTB脉冲以及FS0B激活。
5.3.2 VR5510 Deep Fail-safe state
深度故障安全状态是主状态机的一部门。
如果启用的调节器发生VPRE_FB_OV或温度关闭检测,或者故障安全状态机发出深度故障安全请求(DFS = 1),装备将制止操作并直接进入DEEP-FS模式,而不会启动关机序列。
当PWRON1引脚设置为零时,该装备将从深度故障安全模式退出到“从DEEP_FS唤醒”的状态。当启用自动重试时,VR5510也会退出深度故障安全模式。
S32G的默认设置启用了自动重试超时功能。装备在四秒后退出深度故障安全模式,且自动重试次数无穷制。
这个设置可以通过OTP举行修改。自动重试可以通过CFG_SM_2_OTP寄存器中的AUTORETRY_EN_OTP位来禁用。超时时间可以通过CFG_CLOCK_3_OTP寄存器中的AUTORETRY_TIMEOUT_OTP位设置为4秒或100毫秒。自动重试次数可以通过CFG_SM_2_OTP寄存器中的AUTORETRY_INFINITE_OTP位设置为15次或无穷次数。
当VSUP > VSUP_UVH且PWRON1> PWRON1VIH时,装备会重新启动。
5.4 Shutdown/Standby 下电/待机
系统的关机或待机入口大概包罗在软件控制下对S32G芯片上的硬件机制举行自检例程(通常使用错误注入)。这些测试应该在安全状态下举行,这需要S32G在FCCU的错误输出引脚上指示故障。
5.4.1 下电流程图
https://img-blog.csdnimg.cn/img_convert/e6015d0d62deaae5f57dfff855b26303.png
在对S32G举行关机测试之前,必须向VR5510发送一个请求,使其进入INIT_FS状态。这样可以防止VR5510对S32G的错误指示做出反应,并随后逼迫将S32G重置。
一旦VR5510处于INIT_FS状态,进入该状态的默认时间阈值为1024毫秒,而且所有测试必须在此时间之前完成。在此时间结束时,VR5510会逼迫举行系统复位。
一旦测试完成,S32G会请求VR5510关机或进入待机模式。有关待机模式的更多详细信息,请参见第7节“待机模式”。
6. 故障响应设置 Fault impact Configuration
在正常操作中,FS0B和RSTB被开释。每个故障对PGOOD、RSTB和FS0B引脚的影响可以举行设置。设置为断言RSTB和FS0B的故障会增长故障错误计数器。
如果没有通过故障断言RSTB和FS0B,则不会增长故障计数器。在这种情况下,只有标志可用于MCU诊断。
如果一个故障持续存在较长时间(始终断言RSTB),则8秒定时器启动。一旦8秒定时器到期,VR5510将转入深度失效安全状态。
https://img-blog.csdnimg.cn/img_convert/75af20645189cf26fe1b7f61a4a323ab.png
橙色单元格表示该反应不可设置。绿色单元格表示在初始化文件系统期间,PGOOD可以通过OTP举行设置,而RSTB/FS0B可以通过I2C举行设置。
如果RSTB2PGOOD_OTP = 0,则根据上表,RSTB和PGOOD引脚独立工作。如果RSTB2PGOOD_OTP = 1(S32G的默认设置),则RSTB和PGOOD引脚同时工作,而且除非检测到外部的RSTB或外部复位,否则所有断言RSTB的故障也会断言PGOOD。
7. Standby Mode 待机模式
7.1 待机描述 Standby description
在待机模式下,只有S32G的一部门被供电,因此只需提供部门电源。不必要的PMIC调节器在待机模式下被禁用。
为了启用待机请求,需要将S32G的PMIC_STBY_MODE_B引脚连接到VR5510的STBY引脚。为了在进入和退出待机模式时举行通讯,需要将S32G的PMIC_VDD_OK引脚连接到VR5510的STBY_PGOOD引脚。
7.2 待机进入 Standby entry
从运行模式切换到待机模式始于S32G内部。
在S32G内部,设置了待机RAM并请求所有运动制止。当所有运动制止后,设置正在关闭时运行的时钟,然后进入待机模式。然后,S32G请求将PMIC切换到待机模式。
在从运行模式切换到待机模式的过程中,应用软件使用I2C模块与VR5510举行通讯,以告知装备正在转入待机模式。这种通讯是通过向待机时间窗口寄存器写入实现的。
PMIC只有在来自S32G的有用STBY请求时才会转换到待机模式。为了启用此请求,将S32G的PMIC_STBY_MODE_B引脚连接到VR5510的STBY引脚上。
VR5510和S32G应用步调提供了一种安全的过渡到待机模式(OTP启用)。安全过渡需要在TIMING_WINDOW_STBY计时器到期之前举行I2C请求,然后举行STBY引脚转换。
如果TIMING_WINDOW_STBY过期,RSTB引脚将被断言。图20表现了VR5510的待机转换。
https://img-blog.csdnimg.cn/img_convert/6fd0469194714fc1c5861f4cbfbeb5ee.png
当安全逻辑Safety Logic接收到VALID_STBY请求时,它会向主逻辑Main Logic发送待机过渡请求,然后关闭。
主逻辑Main Logic启动STBY_TIMER。该计时器防止装备陷入待机模式。如果计时器超时,寄存器STBY_TIMER_G报告计时器过期,并使装备进入关闭模式。
主逻辑通过关闭禁用的调节器进入待机模式。在过渡到待机模式时,对于禁用的调节器没有关机序次。
在VR5510、PF5300和S32G3应用中,待机模式下PF5300将被关闭。有关待机模式的更多详细信息,请参阅AN12880《VR5510低功耗待机模式》。VR5510 low-power Standby mode
STBY_PGOOD功能验证所有禁用的调节器的输出电压是否低于预设阈值。STBY_PGOOD功能指示正确进入待机模式,将STBY_PGOOD断言为低电平。VR5510使用专用下拉电阻尽快放电调节器。
在待机模式下,为了避免对S32G举行复位,PGOOD和RSTB保持高电平。
现在两个装备都处于待机模式。VR5510等候来自S32G的唤醒请求。
7.3 退出待机模式 Standby exit
请求从S32G请求待机退出。在这种情况下,只需要STBY引脚转换,而且PMIC首先从正常模式过渡到正常模式。
图21表现了VR5510的退出过渡。
https://img-blog.csdnimg.cn/img_convert/cca34106efbcc191a0c95c3c2d79b62d.png
当MCU发出有用的待机退出请求时,STBY计时器将制止而且装备将被开启。开机序次是由OTP设置的序次举行的。在S32G3办理方案中,PF5300将按照电源开启序次举行设置。
当装备进入正常模式而且所有电压调节器都正确时,STBY_PGOOD引脚转换到高电平表示待机退出过渡已经正确完成。然后S32G就会退出待机模式。
7.4 待机故障反应 Standy fault reaction
VR5510可以在待机模式下检测到两种故障:待机计时器超时或POR触发。
在待机模式下,主逻辑中的运动待机计时器防止系统陷入待机模式。如果STBY计时器超时,装备将进入关闭模式,而且寄存器M_FLAG中的STBY_TIMER_G被设置为逻辑1。VR5510完全断电,导致S32G也关闭。接下来的上电序列由插槽完成,根据OTP设置。因此,装备举行完全重置。
在正常模式和待机模式下,装备监测VSUP、VPRE和VBOS。如果出现VSUP(VSUP<VSUP_POR)、VPRE(VPRE<VPRE_POR)或VBOS(VBOS<VBOS_POR)的丢失,系统将制止运行并直接进入关闭模式。
更多关于待机模式的示例和详细信息,请参考AN12880。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]