摘要
本篇文档紧张用来介绍英飞凌电源管理芯片TLF35584的利用,基于电动助力转向应用来介绍。包含一些安全机制的执行。
TLF35584介绍
TLF35584是英飞凌推出的针对车辆安全应用的电源管理芯片,符合ASIL
D安全等级要求,具有高效多电源输出通道,宽电压输入范围,根据差别的型号有3.3V和5.0V两种命名。可以为MCU提供600mA的电源,可以提供200mA的电源给通信,还可以提供精确的参考电压给ADC利用,具有SPI通信,可以监控和配置该芯片。我们以TLF35584QVVS2型号的利用来做介绍。TLF35584的封装范例以及电压分类如下表所示:
TLF35584体系框图
管脚介绍
PinSymbolFunction1BSGBoost driver ground:Connect this pin to ground at the low side of an external current senseresistor todecouple the driver noise from the sensitive ground. If step up pre regulatoroptionis not used, connect to ground.2VSTSupply voltage standby regulator, input:Connect this input to supply (battery) voltage with reverse protection diodeandcapacitor between pin and ground. An EMC filter is recommended.3ENAEnable Input:A positive edge signal at this pin will wake the device. In case of not usedconnectto ground.4WAKWake/Inhibit Input:A high level signal of defined length at this pin will wake the device. Incase of notused, connect to ground5QSTOutput standby LDO:Connect a capacitor as close as possible to pin.6AG1Analogue ground, pin 1:Connect this pin directly (low ohmic and low inductive) to ground.7AG2Analogue ground, pin 2:Connect this pin directly (low ohmic and low inductive) to ground.8AGS1Analogue ground, safety, pin 1:Connect this pin directly (low ohmic and low inductive) to ground.In case a safety switch is used, connect directly to the source of the NMOSused.9AGS2Analogue ground, safety, pin 2:Connect this pin directly (low ohmic and low inductive) to ground.In case a safety switch is used, connect directly to the source of the NMOSused.10SS2Safe state signal 2:Safe state output signal 2, sets the application into a safe state. Signal isdelayed against SS1, delay can be adjusted via SPI command.11SS1Safe state signal 1:Safe state output signal 1, sets the application into a safe state.12SDISerial peripheral interface, signal data input:SPI signalling port, connect to SPI port “data output” of micro processor toreceive commands during SPI communication.13SDOSerial peripheral interface, signal data output:SPI signalling port, connect to SPI port “data input” of micro processor tosendstatus information during SPI communication.14SCLSerial peripheral interface, signal clock:SPI signalling port, connect to SPI port “clock” of micro processor to clockthedevice for SPI communication.15SCSSerial peripheral interface, signal chip select:SPI signalling port, connect to SPI port “chip select” of micro processor toaddressthe device for SPI communication.16WDIWatchdog input, trigger signal:Input for trigger signal, connect the “trigger signal output” of the microprocessor tothis pin. In case of not used, leave open (internal pull-down).17ROTReset output:Open drain structure with internal pull-up current source. A low signal atthis pin indicates a reset event.18INTInterrupt signal:Push-pull-stage. A low pulse at this pin indicates an interrupt, the microprocessor shall read out the SPI status registers. Connect to a non maskableinterrupt port (NMI) of the micro processor core supply voltage.19SYNSynchronization output signal:Connect this output to the optional external switch mode post regulatorsynchronization input. The signal delivers the step down regulator switchingfrequency either in phase or shifted by 180° (selectable via SPI command). Theswitch mode post regulator shall synchronize to the rising edge. If not used,leave open.20ERRError signal input:Input for error signal from micro processor safety managing unit (SMU,internalfailure detection of the micro processor). Connect the “error signal output”of themicro processor to this pin.21EVCEnable external post regulator for core supply:Connect this pin to the enable input of the external post regulator. If notused, leaveopen.22MPSMicrocontroller programming support pin:Pull down this pin to ground for operation. Optionally, this pin can be usedformicrocontroller debugging and programming purposes. For details please refertoChapter 11.7.23SECConfiguration pin for external post regulator for core supply:Connect this pin to ground if the option external post regulator is not used.If theoption external post regulator is used, leave open.24FREFrequency adjustment pin:Connect pin to ground for low frequency range or leave open for high frequencyrange.25STUConfiguration pin for step up converter:Connect this pin to ground if the option step up pre regulator is not used. Iftheoption step up pre regulator is used, leave open.26VCIInput for optional external post regulator output voltage (coresupply):Connect an external resistor divider to adjust the over and under voltagethresholds of reset output signal ROT.If the option external post regulator is not used, leave open.27GSTGate stress pin:Not for customer use. Connect this pin directly (low ohmic and low inductive)toground.28AG3Analogue ground, pin 3:Connect this pin directly (low ohmic and low inductive) to ground.29QVROutput voltage reference:Connect a capacitor as close as possible to pin.30QUCOutput LDO_uC supply (micro processor supply):Connect a capacitor as close as possible to pin.31QCOOutput LDO_communication supply:Connect a capacitor as close as possible to pin.32QT2Output tracker 2:Connect a capacitor as close as possible to pin.33QT1Output tracker 1:Connect a capacitor as close as possible to pin.34N.C.Internally not connected:This pin is electrically not connected internally and can be keptopen/floating,connected to GND or any other signal. Consider neighboring signals forpotentialfailures.20ERRError signal input:Input for error signal from micro processor safety managing unit (SMU,internalfailure detection of the micro processor). Connect the “error signal output”of themicro processor to this pin.21EVCEnable external post regulator for core supply:Connect this pin to the enable input of the external post regulator. If notused, leaveopen.22MPSMicrocontroller programming support pin:Pull down this pin to ground for operation. Optionally, this pin can be usedformicrocontroller debugging and programming purposes. For details please refertoChapter 11.7.23SECConfiguration pin for external post regulator for core supply:Connect this pin to ground if the option external post regulator is not used.If theoption external post regulator is used, leave open.24FREFrequency adjustment pin:Connect pin to ground for low frequency range or leave open for high frequencyrange.25STUConfiguration pin for step up converter:Connect this pin to ground if the option step up pre regulator is not used. Iftheoption step up pre regulator is used, leave open.26VCIInput for optional external post regulator output voltage (coresupply):Connect an external resistor divider to adjust the over and under voltagethresholds of reset output signal ROT.If the option external post regulator is not used, leave open.27GSTGate stress pin:Not for customer use. Connect this pin directly (low ohmic and low inductive)toground.28AG3Analogue ground, pin 3:Connect this pin directly (low ohmic and low inductive) to ground.29QVROutput voltage reference:Connect a capacitor as close as possible to pin.30QUCOutput LDO_uC supply (micro processor supply):Connect a capacitor as close as possible to pin.31QCOOutput LDO_communication supply:Connect a capacitor as close as possible to pin.32QT2Output tracker 2:Connect a capacitor as close as possible to pin.33QT1Output tracker 1:Connect a capacitor as close as possible to pin.34N.C.Internally not connected:This pin is electrically not connected internally and can be keptopen/floating,connected to GND or any other signal. Consider neighboring signals forpotentialfailures.46DRGDriver output for external step up regulator power stage, connect togate:Gate of low side switch of step up pre regulator: Connect to the gate of anexternalN-channel mosfet, line to be straight and as short as possible. If step up preregulator option is not used, leave open.47RSHSense resistor for external step up regulator power stage, high side:Connect this pin to the high side of an external current sense resistor todeterminethe maximum current threshold through the external N-channel mosfet. If stepuppre regulator option is not used, connect to ground.48RSLSense resistor for external step up regulator power stage, low side:Connect this pin to the low side of an external current sense resistor todeterminethe maximum current threshold through the external N-channel mosfet. If stepuppre regulator option is not used, connect to ground.EP1Edge pin no 1:Keep area below this pin free of ground or other signals, do not solder thispin toground or any other signal. This pin must be kept free of soldering. EP2| Edge pin no 2:
Keep area below this pin free of ground or other signals, do not solder this
pin to
ground or any other signal. This pin must be kept free of soldering.|
EP3| Edge pin no 3:
Keep area below this pin free of ground or other signals, do not solder this
pin to
ground or any other signal. This pin must be kept free of soldering.|
EP4| Edge pin no 4:
Keep area below this pin free of ground or other signals, do not solder this
pin to
ground or any other signal. This pin must be kept free of soldering.|
Coolin
g Tab| GND| Cooling Tab.
Connect externally to GND and heat sink area.
典型应用框图
安全功能
TLF35584提供了很多安全功能来保证体系的安全
- 1. Vprereg
- 2. VQUC
- 3. VQST
- 4. VQVR
- 5. VVCI
- 6. VQT1, VQT2
- 7. VQCO
- 1. 监控MCU的SMU ERR输出功能
- 2. 监控MCU的看门狗输出服务
TSR01 -在所有产生和监控的输出电压上检测和相应故障。违反将会导致体系级的单点失效
TSR02 -检测并相应MCU安全管理单位(SMU)的错误触发。违反会导致埋伏失效大概多点失效
TSR03 -检测并相应由MCU错误触发的定时监控服务,违反会导致埋伏失效大概多点失效
TSR04 -内部需要时激活二次关断信号,违反TSR04可能会导致埋伏失效
安全功能应用
安全路径
安全路径是信号链和电路使能并维持体系的安全状态。对于一些TLF35584目的应用,到达了安全状态
通过禁用执行器、通信通道或整个体系。在这样的体系中,安全路径是安全停机路径。
首要安全路径
紧张安全路径不是由PMIC管理的,而是由MCU单片机控制的。因此,主安全路径不依赖于PMIC的安全逻辑。通常,这类安全路径是通过安全MCU创建的。该单片机可以使应用步伐始终处于安全状态,利用的条件在有效范围内,外部安全机制可用。
二次安全路径
二次安全路径大概叫二次关断路径是通过PMIC的安全功能实现的。在PMIC的安全功能TSR需求中,体系的安全状态是通过PMIC的安全状态输出到达的,也就是说通过TLF35584的SS1和SS2输出毗连到体系电路可以释放大概进入安全状态,这种机制可以在检测到关键失效时候进入安全状态已到达安全目的。
安全状态
体系的安全状态被以为是没有任何不合理的高水平风险的运行模式
Assumption: [SM_00_01]
只要TLF35584处于安全状态(通过激活二次安全关机路径,即SS1/SS2处于低电平表示),则子体系处于安全状态。
TLF35584包括很多安全设计功能和安全机制,以支持实现技术安全分析总结陈诉中定义的安全级别的安全要求.
安全特性
安全特性概览
安全特性如下图中标赤色部门所示
输出电压监控
TLF35584为所有输出提供了独立的电源监控功能,每一起输出都包含独立的过压和欠压监控
带隙基准和内部电压监控
所有的内部电压也会被监控,如果出现非常会进入POWNDOWN状态。TLF35584包含两路相互独立的带隙基准参考电压相互监控对方的操纵。如果超过某一预设的门限值,TLF35584将会产生一个停止给到外部,MCU可以利用这个停止做一些相应。
热关断
TLF35584包含热监控以掩护设备在高温条件下破坏,内部有多点的温度掩护来防止器件破坏,如果检测到过温,会产生停止给到MCU,
MCU应看成出一些反映,如可以关断某路电源输出。
错误管脚监控
TLF35584提供一个可以通过ERR脚监控MCU的安全管理单位SMU,一个预定义的频率范围的翻转方波信号必须给到TLF35584的ERR脚,如果是超过频率范围的信号给到ERR脚会引起报故障,TLF35584将会进入INT状态。默认环境下ERR脚功能是使能的。
窗口看门狗
TLF35584包含一个窗口看门狗来监控MCU的运行,需要一定间隔内收到触发信号,可以通过WDI脚大概SPI,在一定的开窗时间内大概超时触发都会被以为是无效的看门狗触发,无效看门狗触发变乱将会引起内部错误计数器加2,并且产生停止,有效的看门狗触发变乱将会引起错误计数减1,如果错误计数器超过配置的门限值,TLF35584将会跳转到INT状态。默认条件下窗口看门狗是使能的,需要留意的是窗口看门狗和功能看门狗是相互独立的,可以同时使能利用。
功能看门狗
功能看门狗稍微复杂一些,也叫问答看门狗,通过多个SPI通信帧完成。TLF35584产生一个题目,同时心跳计数器开始从0向上计数,直到心跳周期结束,心跳周期可以通过SPI调整配置,4个字节的相应答案必须在心跳周期结束之前收到。最后一个收到的相应必须同步写入同步寄存器以复位心跳计数器。如果接收到精确的答案相应,以为是一次有效的看门狗触发变乱,有效的看门狗触发变乱会导致内部错误计数器减1,无效的看门狗触发变乱将会导致内部错误计数器加2,并且产生停止。如果错误计数器超过预设的门限值,将会跳转到INT状态。默认环境下功能看门狗是克制的,和窗口看门狗可以独立利用,互不干涉。
二次安全关断能力
TLF35584具有二次安全关断能力,在应用中安全状态输出引脚SS1和SS2的状态用来表明设备的安全状态。
软错误检测和修正
TLF35584通过一些寄存器提供了软错误的检测和修正安全机制,包括单个位错误的检测和修正,以及两个位错误的检测。两个位错误会引起停止。
安全机制软件需求
TLF35584在安全相关应用中用作微处置惩罚器电源。安全机制必须由相应的微处置惩罚器执行,以保证体系的精确运行。
SPI通信
来自微处置惩罚器的SPI通信用于配置TLF35584,服务看门狗和监控状态寄存器,由于SPI通信是用来传输安全相关信息的,因此需要采取步伐保证其数据的完整性
奇偶校验
Assumption: [SM_SPI_01]
SPI通信中的奇偶校验位为每次通信举行查抄。具有无效奇偶校验信息的数据必须被忽略。
奇偶校验位在SPI期间防止单比特故障和奇数比特错误的故障沟通。为了提供更全面的毛病覆盖范围,可以考虑额外的步伐。如果在读操纵过程中奇偶校验信息不精确,微处置惩罚器必须忽略数据和重做读操纵
如果写操纵过程中的校验信息不精确,TLF35584将忽略该数据并产生停止。微处置惩罚器应该相应停止并查抄停止源,即查抄是否SPI.PARE位置位。如果写操纵失败,微处置惩罚器应该重复这个操纵。
配置
Assumption: [SM_SPI_02]
write-verify-
apply过程用于对安全相关配置的写访问。因此,数据应是在写入数据之后和应用于应用步伐之前举行验证。预期配置的验证至少每次配置校验一次,并根据应用步伐可以重新配置。
所有与安全相关的配置寄存器(称为“受掩护的寄存器”)都由定义的LOCK/UNLOCK过程,允许在数据激活之前对其举行验证。
清除状态和停止寄存器
所有状态和停止标记在清除之前被精确读取。挂起的停止没有精确清除服务
停止信号
Assumption: [SM_INT_01]
根据具体的应用,在将停止信号用作安全功能的应用中,对每个停止信号的精确功能举行验证。
停止的处置惩罚,当产生停止,应遵照:
可以实施超时,其到期应视为测试失败。连续时间超时时间应根据所选择的停止源设置
读取停止状态寄存器并验证停止标记是否与天生的特定停止相匹配
停止相应
Assumption: [SM_INT_02]
微处置惩罚器查抄每个停止变乱的停止源,并根据应用步伐做出反应要求。
Assumption: [SM_INT_03]
如果通过停止状态标记SYSSF.CFGE检测到一个配置错误,MCU应该对设备举行重新配置
复位输出利用
Assumption: [SM_ROT_01]
TLF35584的复位输出脚ROT毗连到MCU的复位输入引脚,当有复位引脚输出,紧张安全路径激活。
备用Stand-by LDO利用
Assumption: [SM_SBL_01]
在备用LDO用作微控制器的存储器电源供给时,需要每个周期确认验证下此LDO是否安全。
独立的二次安全关断路径
Assumption: [SM_SS_01]
必须确保紧张安全关断路径和二次安全关断路径的独立性,不能存在任何的依赖关系。
一次关断路径大概脚紧张关断路径由MCU控制。
Assumption: [SM_SS_02]
在将二次关断路径用作安全功能的应用中,根据差别的应用,要验证其精确的功能,每个周期至少需要一次安全功能验证。
窗口看门狗
Assumption: [SM_WWD_01]
在将窗口看门狗用作安全功能的应用步伐中,根据应用至少在每个驾驶周期验证一次窗口看门狗的精确性
Assumption: [SM_WWD_02]
在将窗口看门狗用作安全功能的应用步伐中,其精确的功能包括微处置惩罚器复位信号ROT和安全状态输出的激活在每个周期至少验证一次。
功能看门狗
Assumption: [SM_FWD_01]
在将功能看门狗用作安全功能的应用中,至少要验证其精确的功能,每个驾驶周期一次,取决于应用步伐。
Assumption: [SM_FWD_02]
在功能看门狗作为安全功能发布的应用步伐中,其精确的功能包括微处置惩罚器复位信号ROT和安全状态输出的激活在每次驾驶中至少验证一次,周期取决于应用步伐。
ERR引脚监控
Assumption: [SM_ERR_01]
在将ERR引脚用作安全功能的应用步伐中,每次至少验证一次其精确功能,驱动周期取决于应用。
Assumption: [SM_ERR_02]
在ERR引脚用作安全功能的应用中,其精确的功能包括微处置惩罚器复位信号ROT和安全状态输出的激活在每个驾驶周期至少验证一次。
请留意,测试步伐的可用性取决于错误引脚监控的配置应用:立即行动与规复延迟
监控组件
Assumption: [SM_MON_01]
在监控块用作安全功能的应用步伐中,监督器的精确功能,每个利用的监督器每个驱动周期至少验证一次对停止信号的监控。
Assumption: [SM_MON_02]
在监控块用作安全功能的应用步伐中,监督器的精确功能在对每个已利用的监督器至少举行一次验证,以激活安全状态输出周期取决于应用步伐。
ABIST
ABIST的检测由MCU发起请求
详细执行规则可以参考SM手册要求,这里不在赘述。
监控功能规复
如果对设备的监督功能的测试导致非常或失败,则相应的监督功能应被以为黑白活性的,并应考虑相应的体系反应以确保安全操纵。由于缺乏监督功能并不一定意味着违反了安全目的,微控制器可以控制场景,以增长体系的可用性。进一步讲体系集成者可以预见规复机制,使监管规复有效运作。,如可以重新配置有题目的配置,大概重启TLF35584.
硬件需求
二次关断路径
Assumption: [SM_SS_03]
在应用中要确保SS1和SS2的高电平输出被以为是使二次安全关断路径无效,低电平大概高阻态被以为是激活安全关断路径的信号。
Assumption: [SM_SS_04]
SS1和SS2之间的延迟不能被视为安全特性
最大额定值
Assumption: [SM_ABS_01]
在任何操纵下都不能违反数据手册中电气参数的最大额定值
电压电流
温度
外部器件的选择
反相掩护
因为TLF35584本身不能够处置惩罚反相供电的环境,所以需要外部体系层的额外电路来处置惩罚电池电压的反接环境。
输入滤波
为了使TLF35584都在额定电气参数范围内操纵,强烈发起添加输入滤波器,以限定电源线上的尖峰,相关的参数可以从TLF35584的EMC测试陈诉中获取。
过流限定
强烈发起在管脚添加限流电阻,防止引脚的电流超过手册的限定值。输入电压VST的限定紧张靠前级降压器件来提供可靠输入。如我们的应用中的LM5085.
紧张分为两类
一类是毗连到电池电压等级的ENA和WAK脚必须警惕处置惩罚过流和反相,至少大于10K的串联电阻
第二类是像SPI(SCS,SCL,SDI,SDO),INT,ROT,WDI,SYN,EVC 至少串联一个大于50欧姆的电阻,电阻布局的位置也需在体系级考虑。
ERR脚掩护
在MCU的SMU故障输出脚P33.8和TLF35584的ERR脚之间串联大于1K的电阻。
电压域的分离
强烈发起将ECU内的高、低压区分开,在差别组的信号之间的电路以淘汰短路的风险。这可以通过在PCB布线中利用充足的间隙来完成任何外部高压和内部低压信号之间。在这种环境下应给予特别考虑差别域的信号在引脚上毗连。
外部被动元器件
必须逼迫确保毗连到TLF35584的外部器件在数据手册要求的范围内,如输出电感,电容等。外部器件组件的失效必须在体系层级覆盖,可以利用冗余外部器件,进步体系层级的可靠性。可以参考数据手册有关外部器件要求更详细的信息,这里只给出简单的要求
总结:
要根据自己的应用选择内外安全机制去执行,进步体系的安全。
网络安全工程师(白帽子)企业级学习门路
第一阶段:安全基础(入门)
第二阶段:Web渗透(低级网安工程师)
第三阶段:进阶部门(中级网络安全工程师)
如果你对网络安全入门感爱好,那么你需要的话可以点击这里 |
