英飞凌TLF35584电源管理芯片中文手册解读【万字长文】
1. OverView总览
- 高效多电压供电芯片
- 串行升压和降压预调节器,适用于3.0至40V的宽输入电压范围,具有全面性能和低总功耗
- 通信供电的低压降稳压器5.0V/200mA(称为LDO_Com)
- 微控制器供电的低压降稳压器5.0 V/600 mA (TLF35584xxVS1) 或 3.3 V/600 mA (TLF35584xxVS2)(称为LDO_µC)
- 提供使能、同步输出信号和内部设备中的电压监测功能(添加到复位功能)以用于可选外部核心供应后稳压器
- ADC供应的5.0 V +/- 1% 的参考电***为Volt_Ref)
- 两个跟踪器用于跟随参考电源进行传感器供应,每个跟踪器具有150 mA 的当前能力(分别称为Tracker 1 和 Tracker 2)
- 待机稳压器5.0 V/10 mA (TLF35584xxVS1) 或 3.3 V/10 mA(TLF35584xxVS2) (称为LDO_Stby)
- 独立的带复位功能的电压监测模块
- 可配置的功能和窗口看门状况检测
- 16位SPI接口
- 安全状态控制,具有两个可编程延迟的安全状态信号
- 输入电压试验(过高时自动关闭)
- 环保产品(RoHS合规)
- 符合ISO26262标准
- AEC认证
2. Block Diagram
3. Pin Configuration
- RSL: 外部升压稳压器功率级的感应电阻,低侧:将此引脚连接到外部电流感应电阻的低侧,以确定通过外部N沟道MOSFET的最大电流阈值。如果不使用升压预稳压器选项,则连接到地。
- BSG: 提升驱动器地:将此引脚连接到外部电流感应电阻的低端接地,以隔离驱动器噪音与敏感地线。如果不使用升压预调节选项,则连接到地线。
- N.C.: 内部未连接:该引脚在电气上没有内部连接,可以保持开放/悬空状态,连接到GND或任何其他信号。请考虑相邻信号可能的故障。
- N.C.:
- VST: 供电电压待机稳压器,输入:将此输入与反向保护二极管和引脚地之间的电容连接到供应(电池)电压。建议使用EMC滤波器。
- N.C.:
- ENA: 使能输入:在该引脚上的正边沿信号将唤醒设备。如果未使用,请连接到地线。
- WAK: 唤醒/禁止输入:在该引脚上提供一个定义长度的高电平信号将会唤醒设备。如果不使用,请连接到地线。
- N.C.:
- QST:输出待机LDO:尽可能靠近引脚连接一个电容器。
- AG1: 模拟地线,引脚1:将此引脚直接连接到地(低电阻和低感性)。
- AGS1: 模拟地,安全,引脚1:将此引脚直接连接(低电阻和低感应)到地。如果使用了安全开关,则直接连接到所使用的NMOS的源。
- AGS2: 模拟地,安全,引脚2:将此引脚直接连接(低电阻和低感应)到地。如果使用了安全开关,则直接连接到所使用的NMOS的源。
- N.C.:
- SS2: 安全状态信号2:安全状态输出信号2,将应用程序置于安全状态。该信号相对于SS1延迟,延迟可以通过SPI命令进行调整。
- SS1: 安全状态信号1:安全状态输出信号1,将应用程序设置为安全状态。
- SDI: 串行外围接口,信号数据输入:SPI信令端口,连接到微处理器的SPI端口“数据输出”,以在SPI通信期间接收命令。
- SDO: 串行外围接口,信号数据输出:SPI信号端口,连接到微处理器的SPI端口“数据输入”,用于在SPI通信期间发送状态信息。
- SCL: 串行外围接口,信号时钟:SPI信号端口,连接到微处理器的SPI端口“时钟”,用于对设备进行SPI通信的时钟。
- SCS: 串行外围接口,信号芯片选择:SPI信号端口,连接到微处理器的SPI端口“芯片选择”以寻址用于SPI通信的设备。
- WDI: 看门狗输入,触发信号:将微处理器的“触发信号输出”连接到此引脚。如果不使用,请保持开放(内部下拉)。
- ROT: 重置输出:采用开漏结构和内部上拉电流源。该引脚的低电平信号表示发生了复位事件。
- INT: “中断信号:推挽级。该引脚上的低电平表示有一个中断,微处理器应读取SPI状态寄存器。连接到微处理器核心供电的不可屏蔽中断端口(NMI)上。”
- SYN: 同步输出信号:将此输出连接到可选的外部开关模式后级调节器同步输入。该信号以相位或180°偏移(通过SPI命令可选择)传递降压稳压器的开关频率。开关模式后级调节器应与上升沿同步。如果不使用,请保持空置。
- ERR: 错误信号输入:从微处理器安全管理单元(SMU,用于内部故障检测的微处理器)接收错误信号的输入。将微处理器的“错误信号输出”连接到该引脚上。
- EVC: 启用核心供电的外部后级稳压器:将此引脚连接到外部后级稳压器的使能输入。如果不使用,请保持开放状态。
- MPS: 微控制器编程支持引脚:将此引脚拉低接地以进行操作。可选地,该引脚可以用于微控制器的调试和编程目的。有关详细信息,请参阅第11.7章节。
- SEC: 外部核心供电的配置引脚:如果不使用外部后级稳压器选项,请将此引脚连接到地。如果使用了外部后级稳压器选项,则保持开放状态。
- FRE: 频率调整引脚:将引脚接地以实现低频范围,或者保持开放以实现高频范围。
- STU: 升压转换器的配置引脚:如果不使用升压预调节器选项,请将此引脚连接到地。如果使用了升压预调节器选项,则保持开放状态。
- VCI: 可选的外部后级稳压器输出电压输入:连接一个外部分压器以调整复位输出信号ROT的过/欠电压阈值。如果不使用外部后级稳压器选项,则保持开放状态。
- GST: “门压力引脚:非客户使用。将此引脚直接连接(低电阻和低感性)到地面。”
- N.C.
- N.C.
- AG2: 模拟地线,引脚2:将此引脚直接连接到地(低电阻和低感性)。
- AG3: 模拟地线,引脚3:将此引脚直接连接到地(低电阻和低感性)。
- N.C.
- QVR: 输出电压参考:尽可能靠近引脚连接一个电容器。
- QUC: 输出LDO_uC供电(微处理器供电):尽可能靠近引脚连接一个电容。
- SQUC: LDO_uC供电(微处理器供电)的感应连接:需外部连接至QUC/LDO_uC。
- QCO: 输出LDO通信供电:尽可能靠近引脚连接一个电容器。
- QT2: 输出跟踪器2:将电容器尽可能靠近引脚连接。
- SQT2: 感知连接追踪器2:外部连接到QT2/追踪器2。
- SQT1: 感应连接追踪器1:外部连接到QT1/追踪器1。
- QT1: 输出跟踪器1:将电容器尽可能靠近引脚连接。
- FB1: 步骤下降预调节器反馈输入加上线性后调节器和跟踪器的输入,引脚1:将步骤下降预调节器输出滤波电容与低阻抗、低感应连接直接连接到此引脚。始终与引脚FB1-FB4并联连接。
- FB2: 步骤:将前级稳压器反馈输入和线性后级稳压器以及跟踪器的输入连接到引脚2。使用低电阻和低感应连接方式,直接将前级稳压器输出滤波电容与该引脚相连。始终与引脚FB1-FB4并联连接。
- FB3: 将步进降压预调节器反馈输入和线性后级稳压器以及跟踪器的输入连接到引脚3:使用低电阻和低感应连接直接将步进降压预调节器输出滤波电容与该引脚并联连接。始终与引脚FB1-FB4并联连接。
- FB4: 将步进降压预调节器反馈输入和线性后级稳压器以及跟踪器的输入连接到引脚4:使用低电阻和低感应连接直接将步进降压预调节器输出滤波电容与该引脚并联连接。始终与引脚FB1-FB4并联连接。
- AG4: 模拟地,引脚4:将此引脚直接连接到地(低电阻和低感性)。
- PG2: 将预调节器电源地引脚2降低,将该引脚直接(低阻抗和低感应)连接到地线和预调节器输出电容的负极。始终与PG1引脚并联连接。
- PG1: 将预调节器电源地引脚下降,引脚1:将此引脚直接(低阻抗和低感性)连接到地和预调节器输出电容的负极。始终与PG2引脚并联连接。
- N.C.
- N.C.
- SW2: 将预调节器电源级输出降低,引脚2:将此引脚直接连接(低阻抗和低感性)到预调节器输出滤波器。始终与SW1引脚并联连接。
- SW1: 将预调节器电源级输出降低,引脚1:将此引脚直接(低阻抗和低感应)连接到预调节器输出滤波器。始终与SW2引脚并联连接。
- N.C.
- N.C.
- VS2: 供电电压降压预调节器,引脚2,输入:将此输入与升压预调节器的输出并联连接到VS1。如果不使用升压预调节器选项,则将其与带有反向保护二极管和引脚和地之间的电容并联连接到供应(电池)电压上。建议使用EMC滤波器。
- VS1: 供电电压降压预调节器,引脚1,输入:将此输入与VS2并联连接到升压预调节器的输出。如果不使用升压预调节器选项,则与VS2并联连接到带有反向保护二极管和引脚与地之间的电容的供电(电池)电压。建议使用EMC滤波器。
- N.C.
- N.C.
- DRG: 外部升压稳压器功率级的驱动输出,连接到门极:升压预稳压器低侧开关的门极:连接到外部N沟道MOSFET的门极,线路应尽可能直且短。如果不使用升压预稳压器选项,则保持开放状态。
- RSH: 外部升压稳压器功率级的感应电阻,高侧:将此引脚连接到外部电流感应电阻的高侧,以确定通过外部N沟道MOSFET的最大电流阈值。如果不使用升压预稳压器选项,则连接到地。
10. Wake Up Timer
10.1 简介
唤醒定时器是用于唤醒TLF35584的功能。在INIT、NORMAL和WAKE状态下,可以通过SPI设置唤醒定时器的值。该值存储在24位宽的唤醒定时器寄存器(WKTIMCFG0、WKTIMCFG1、WKTIMCFG2)中。唤醒定时器实现为一个由100 kHz或100 Hz时钟(时间基准)驱动的24位计数器。可以通过SPI选择时间基准。对于选择的100 kHz时间基准,计时器分辨率为10微秒,并且可以通过SPI配置10微秒到168秒之间的唤醒时间。对于选择的100 Hz时间基准,计时器分辨率为10毫秒,并且可以通过SPI配置10毫秒到1.9天之间的唤醒时间。
进入STANDBY或SLEEP状态时,计数器将加载唤醒定时器寄存器中的值并开始递减。当计数溢出时,计时器将从SLEEP或STANDBY状态下将设备唤醒。离开SLEEP状态后,会生成一个中断信号。
10.2 Electrical Characteristics
11. State Machine状态机
11.1 简介
该状态机描述了设备可能进入的不同操作状态。下图显示了状态机流程图,详细信息请参考以下页面。
描述:
- ON / OFF:开关打开或关闭,不可通过SPI命令进行配置
- ON*:在进入初始化状态后打开,然后可以通过SPI选择
- SELECTED:在前一个状态中可以通过SPI命令进行配置(打开或关闭),或者在LDO配置为SLEEP状态时由状态转换请求(DEVCTRL)选择。
- SELECTABLE:可以通过SPI命令在此状态下打开或关闭
- SELECTABLE**:POR后默认为打开,然后可以通过SPI选择
- ADJUSTED:由配置引脚定义是否存在,不能通过SPI命令进行配置
- ACTIVE:如INIT-State中所述
- SSC, SS1和SS2: 安全状态控制信号1和2
- LOW: 信号低电平
- HIGH: 信号高电平
- OV: 过压
- UV: 欠压
- StG: 短路到地
- TSD: 温度过高保护断电
- OC: 过流保护断电
- ABIST : 内置模拟自检测
- Comp BG1 <-> BG2 > 4% :两个带隙之间的差异大于4%
11.2 状态描述 Description of States
11.2.1 POWERDOWN-state 关机状态
只要未释放电源复位(POR),设备将处于关机状态。
11.2.2 INIT-state 初始状态
在INIT状态下,设备期望在INIT计时器内与µC进行有效的通信。否则将发生初始化超时。 INIT计时器从ROT上升沿开始。当满足三个边界条件时,INIT计时器停止:
- 从µC接收到有效的SPI通信
- 看门狗按默认配置或重新配置服务一次
- ERR监视正确服务(提供至少3个周期)或被配置为关闭。
11.2.3 NORMAL-state 正常状态
在正常状态下,设备为微控制器和应用程序提供电源。安全监控功能(如复位块和安全状态控制)处于活动状态。微控制器可以通过SPI命令配置设备的多个后级稳压器和唤醒定时器以适应这种状态。
11.2.4 STANDBY-state 待机状态
“STANDBY状态是一个低功耗状态,当应用程序长时间不使用时,微控制器可以进入该状态以将电流消耗降至最低。应用程序处于安全状态。”
11.2.5 SLEEP-state 休眠状态
“SLEEP状态是一个低功耗状态,当应用程序不使用时(例如微控制器处于停止模式),微控制器可以进入该状态以减少电流消耗。在之前的状态下,微控制器可以通过SPI命令配置调节器和安全功能的状态。应用程序处于安全状态。”
11.2.6 WAKE-state
"WAKE状态是NORMAL和低功耗状态SLEEP和STANDBY之间的中间状态。该状态提供与NORMAL状态相同的功能,但通过保持安全输出电平较低来确保应用程序处于最安全的状态。它应该被用于为系统正确且安全地重新进入NORMAL状态做准备,包括根据所选配置对看门狗和错误监控进行服务(至少3个周期)。此外,它还提供将设备转移到低功耗模式SLEEP和STANDBY的可能性。
如果LDO_µC的输出电流超过一定阈值ILDO_µC,att、识别到有效ENA或WAK信号或发送SPI命令GoToWake,则TLF35584从SLEEP或从过渡到SLEEP转换为WAKE状态。在NORMAL状态下使用ABIST也会引发进入WAKE状态的转换。
进入该状态时会生成一个中断,并根据其在NORMAL态下先前配置而激活监督功能(看门狗和ERR监控)。进入WAKE-state后,LDOs的配置恢复为先前NORMAL态下的配置。应用程序处于安全态。”
11.2.7 FAILSAFE-state
“FAILSAFE状态是在检测到严重故障后发生的。在FAILSAFE状态下,所有调节器都被关闭。应用程序处于安全状态。”
11.3 Transition Between States 状态转换
通过SPI命令请求的状态转换是在芯片选择(SCS)的有效上升沿触发的。
11.3.1 POWERDOWN -> INIT-state
当电源复位(POR)释放时,设备从POWERDOWN状态转移到INIT状态。只有满足以下所有条件时,才会释放POR:
- 在增加时,VVS高于VPD,hi
- 内部供应电压没有低压或过高电压
11.3.2 INIT -> NORMAL-state
先决条件:
- 根据默认配置或在INIT计时器内重新配置,需要对看门狗进行一次维护服务。
- ERR监视器需要在INIT计时器内提供有效信号(最少3个周期)或禁用。
- 如果激活了功能性看门狗,则需要提供有效的FWD触发。
- 必须考虑在提供服务后延迟60微秒,以确保正确释放内部验证信号。
触发事件:
- 只有通过SPI命令“转至正常状态”才能启动状态转换。
- 一个有效的SPI命令“转到NORMAL状态”(在引脚SCS上高电平时有效)将把设备从INIT状态移动到NORMAL状态。
- 复位引脚ROT保持高电平,因为在INIT状态下后级稳压器已经激活。
- 当芯片选择信号SCS上升沿为高电平时,安全状态信号SS1和SS2同时被拉高。(必须考虑根据表18的安全状态输出的内部反应时间)
11.3.3 Movements between NORMAL and SLEEP state
11.3.3.1 NORMAL -> SLEEP-state
先决条件:
- 选择LDO_µC电流监视器或绝对过渡计时器。
- 需要配置过渡延迟计时器ttr,del,否则将使用默认值。
- 可选地,需要定义LDO_µC电流阈值,否则将使用默认值。
触发事件:
- 状态转换仅由SPI命令“进入睡眠”引发。
异常情况:
- 如果在从过渡状态到睡眠状态的转换中检测到有效的ENA(边缘)或WAK(电平)信号,则设备将切换到唤醒状态并发送中断(在INT引脚上)。
- 如果激活了LDO_µC电流监视器,并且微控制器的电流消耗在过渡延迟计时器ttr,del到期之前未低于所选的LDO_µC电流阈值,则设备将切换到唤醒状态并发送中断(在INT引脚上)。
- 在应用SPI命令“进入睡眠状态”之前,如果使用看门狗,则应对其进行服务,以使SCS信号的正边缘位于窗口看门狗的“关闭窗口”之间。建议这样做是为了避免丢失看门狗触发和过渡命令“进入睡眠状态”之间的干扰。
- 在SPI命令“进入睡眠状态”后,片选(引脚SCS)的正边沿启动过渡。当片选高电平时,安全状态信号SS1被拉低到零,并且设备离开正常状态并进入过渡状态(到睡眠状态)。必须考虑到安全输出反应时间表中的内部反应时间。
- 当片选(引脚SCS)为高电平时,错误监测(引脚ERR)停止 - 切换可能会以引脚SCS处的正边沿结束。如果选择在睡眠状态下激活错误监测,则必须进行连续切换。
- 随着片选(引脚SCS)处于高电平时,在引脚SCS处的正边沿上停止窗口看门狗和功能性看门狗的监控。如果选择在睡眠状态下激活一个或两个看门狗,则必须进行连续看门狗服务。
- 复位引脚ROT保持高电平,因为后级稳压器未关闭。
- 如果选择了绝对过渡定时器,则设备将在过渡延迟时间ttr,del后从过渡态转移到睡眠态。过渡时间ttr,del可以通过SPI命令确定,在100微秒至1.6毫秒之间,默认设置为900微秒。在此过渡时间之后,应确保µC当前消耗量已降至低于LDO_µC监视阈值ILDO_µC,att以保持设备处于睡眠态。
- 如果启用了LDO_µC电流监视器,则µC从引脚QUC输出的电流必须在配置的最大过渡时间ttr,del内降至低于LDO_µC监测阈值ILDO_µC,att。过渡所需的时间取决于µC电流何时降至低于LDO_µC监测阈值ILDO_µC,att,如果低于该阈值则完成过渡。
- 延迟时间ΔtSS2后,安全状态信号SS2变为零。调整后的延迟时间ΔtSS2与过渡延迟时间ttr,del无关。
11.3.3.2 SLEEP -> WAKE-state
先决条件:
- 无
触发事件:
- SPI命令“转到唤醒”。
- 有效的唤醒信号(ENA或WAK)。
- LDO_µC电流超过配置的阈值。
- 如果启用,唤醒定时器已过期。
例外情况:
- 无
- 状态转换在没有过渡时间的情况下完成,并通过INT引脚上的中断指示。从SLEEP状态到过渡的触发事件可以从状态寄存器WKSF中读取。
- 所有三个监控功能(窗口看门狗、功能看门狗和错误监控)将恢复到之前NORMAL状态下的活动或非活动(关闭)条件。
- LDOs的配置将恢复为之前NORMAL状态下的活动或非活动(关闭)条件。
- 如果窗口看门狗在先前NORMAL状态中处于活动状态,则使用中断信号负边沿(在INT引脚上)窗口看门狗将打开第一个Open Window,此第一个Open Window 的时间取决于配置周期时间,并且是600毫秒(WDCYC = 1) 或60毫秒(WDCYC = 0) (如果窗口看门狗在SLEEP 状态未激活),并需要服务。如果窗口看门狗在SLEEP 状态已经激活,则需要连续服务。
- 如果功能看门狗在先前NORMAL 状态中处于活动状态,则使用中断信号负边沿( 在INT 引脚上),功能看门狐会启动心跳计时器并要求服务。 如果功能看守者 在睡眠期间一直保持激活则必须进行连续服务
- 如果在先前的正常状态下ERR引脚监控是活动的,在中断信号(在INT引脚上)的负边沿触发后,错误监控将再次变为活动状态。激活后最晚10毫秒内需要在ERR引脚上提供至少三个周期的切换信号。如果在睡眠状态下错误监控已经处于活动状态,则必须连续进行切换。
- 由于后级稳压器在SLEEP state 和WAKE state都是工作的,所以重置引脚ROT保持高电平不变。
- 安全信号SS1和SS2在SLEEP和WAKE两种状态下都保持低电平不变。
- 如果所有主动监控函数(窗口看守、功能性守卫和错误检测等)
11.3.3.3 WAKE -> SLEEP state
先决条件:
- 选择LDO_µC电流监视器或绝对过渡计时器。
- 需要配置过渡延迟计时器ttr,del,否则将使用默认值。
- 可选地需要定义LDO_µC电流阈值,否则将使用默认值。
触发事件:
- 状态转换仅由SPI命令“进入睡眠”引发。
异常情况:
- 如果在从过渡状态到睡眠状态的过程中检测到有效的ENA(边缘)或WAK(电平)信号,则设备将返回唤醒状态并发送中断(在INT引脚上)。
- 如果激活了LDO_µC电流监视器,并且微控制器的电流消耗未低于所选的LDO_µC电流阈值,在过渡延迟计时器ttr,del到期之前,设备将返回唤醒状态并发送中断(在INT引脚上)。
- 在应用SPI命令“进入睡眠状态”之前,如果使用看门狗,则应对其进行服务,以使SCS信号的正边缘位于窗口看门狗的“关闭窗口”之间。建议这样做是为了避免丢失看门狗触发和过渡命令“进入睡眠状态”之间的干扰。
- 在SPI命令“进入睡眠状态”后,片选(引脚SCS)的正边沿启动过渡。当片选高电平时,设备离开唤醒状态并进入过渡状态(到睡眠状态)。
- 当片选(引脚SCS)为高电平时,错误监测(引脚ERR)停止 - 切换可能会以引脚SCS处的正边沿结束。如果选择在睡眠状态下保持错误监测活动,则必须进行连续切换。
- 当片选(引脚SCS)处于高电平时,窗口看门狗和功能性看门狗的监控将停止。如果要选择在睡眠状态下保持一个或两个看门狗活动,则必须进行连续看门狗服务。
- 复位引脚ROT保持高电平,因为后级稳压器未关闭。
- 如果启用了LDO_µC电流监视器,则从QUC引脚输出的µC电流必须低于配置最大过渡延迟时间ttr,del内LDO_µC监视阈值ILDO_µC,att 。转换所需时间取决于µC电流何时低于LDO_µC监视阈值ILDO_µC,att ,如果低于该阈值则完成转换。
- 安全态信号SS1和SS2始终保持低电平。
11.3.4 Movements between NORMAL and STANDBY state
11.3.4.1 NORMAL -> STANDBY-state
先决条件:
- 选择LDO_µC电流监视器或绝对过渡计时器。
- 需要配置过渡计时器,否则使用默认设置。
- 可选地,需要定义LDO_µC电流阈值,否则使用默认设置。
触发事件:
- 状态转换仅由SPI命令“进入待机状态”启动。
异常情况:
- 如果在从过渡状态到待机状态的转换中检测到有效的ENA(边缘)或WAK(电平)信号,则设备将移至INIT状态并生成复位(ROT)。
- 如果激活了LDO_µC电流监视器,并且微控制器的当前消耗未低于所选的LDO_µC电流阈值,在过渡延迟计时器ttr,del到期之前,设备将移至INIT状态并生成复位(ROT)。
- 在应用SPI命令“进入待机状态”之前,如果使用看门狗,则应对其进行服务,以使SCS信号的正边缘位于窗口看门狗的“关闭窗口”之间。建议这样做是为了避免丢失看门狗触发和过渡命令“进入待机状态”之间的干扰。
- 在SPI命令“进入待机状态”后,片选(引脚SCS)的正边沿启动过渡。当片选高电平时,安全状态信号SS1和SS2会立即被拉低,并且没有延迟时间介于SS1和SS2之间。设备离开NORMAL状态并进入过渡状态(到STANDBY状态)。 (必须考虑根据表18确定安全状态输出的内部反应时间)
- 当片选(引脚SCS)为高电平时,错误监测(引脚ERR)停止 - 在引脚SCS上出现正边沿时可能结束切换。
- 在引脚SCS上出现正边沿时,窗口看门狗和功能性看门狗的监控也会停止。
- 成功从NORMAL转换到STANDBY状态后,在片选(引脚SCS)变高电平后经过一段过渡时间后将复位(ROT)拉低。
- 所有预调节器和所有后调节器(除了待机LDO - 它可以处于ON或OFF态),都会在完成重置(ROT)拉低后切断。
- 如果选择了绝对过渡计时器,设备将在过渡延迟时间ttr,del后从过渡状态转移到待机状态。过渡时间ttr,del可以通过SPI命令确定,范围为100微秒至1.6毫秒,默认设置为900微秒。
- 如果选择了LDO_µC电流监测器进行过渡,设备将在LDO_µC测量的电流消耗低于选定阈值之前的过渡延迟计时器ttr,del到期时,从过渡状态转移到待机状态。
11.3.4.2 STANDBY -> INIT state
先决条件:
- 无
触发事件:
- 有效的ENA(边缘)或WAK(电平)信号。
- 如果启用,唤醒定时器已过期。
例外情况:
- 无
- 根据电源顺序,所有预调节器和后调节器都会打开,除非LDO_Stby根据其配置保持打开或关闭(如上图所示的简化)。
- 一旦与微控制器相关的调节器VQUC或VVCI(如果启用)中最新的一个越过了相关的欠压复位阈值VRT,xxx,low,则开始电源复位延迟时间。
- 在电源复位延迟时间到期后,将设置复位信号(ROT)为高电平。
- 安全信号SS1和SS2将在待机状态和初始化状态下保持低电平。
11.3.4.3 INIT -> NORMAL state
关于这个状态转换,请参考第11.3.2章节
11.3.5 NORMAL -> WAKE state
关于这个状态转换,请参考第11.6.1章节中的ABIST描述
11.3.6 WAKE -> NORMAL-state
先决条件:
- 激活的监控功能(例如窗口看门狗、功能看门狗、ERR引脚监测)在活动唤醒状态下需要至少服务一次(对于ERR监测,最少为3个周期),如果它们在唤醒状态下重新启动/重新初始化(例如,在前一个睡眠状态中看门狗处于非活动状态)。
触发事件:
- 只有通过SPI命令“转到正常”才会启动状态转换。
例外情况:
- 无。
- 使能信号将被忽略。有效的使能(边沿)信号不会将设备从WAKE状态移动到NORMAL状态。
- 唤醒信号的状态将被忽略。有效的唤醒(电平)信号不会将设备从WAKE状态移动到NORMAL状态。
- 如果在WAKE状态下激活了窗口看门狗,则需要连续服务-与从WAKE状态转换到NORMAL状态无关。
- 如果在WAKE状态下激活了功能看门狗,则需要连续服务-与从WAKE状态转换到NORMAL状态无关。
- 错误监视器(在ERR引脚上,如果在WAKE态下激活)需要一个连续切换的信号-与从WAKE态过渡到NORMAL态无关-但至少要检测到3个周期才能接受进入NORMAL态的移动。
- 复位引脚ROT保持高电平,因为后级稳压器在WAKE和NORMAL两种模式下都处于活跃状态。
- 当片选高电平上升沿发生时(在SCS引脚),安全态输出SS1和SS2同时拉高。(根据表18中的内部反应时间来考虑安全态输出)
11.3.7 WAKE -> STANDBY state
先决条件:
- 选择LDO_µC电流监测器或绝对过渡计时器。
- 需要配置过渡计时器,否则使用默认设置。
- 可选地,需要定义LDO_µC电流阈值,否则使用默认设置。
触发事件:
- 状态转换仅由SPI命令“进入待机模式”引发。
异常情况:
如果在从过渡状态到待机状态的转换中检测到有效的ENA(边缘)或WAK(电平)信号,则设备将移至INIT状态并生成复位(ROT)。
如果激活了LDO_µC电流监测器,并且微控制器的电流消耗在过渡计时器到期之前未低于所选的当前阈值,则设备将移至INIT状态并生成复位(ROT)。
在应用SPI命令“进入待机状态”之前,如果使用看门狗,则应对其进行服务,以使SCS信号的正边缘位于窗口看门狗的“关闭窗口”之间。建议这样做是为了避免丢失看门狗触发和过渡命令“进入待机状态”之间的干扰。
SPI命令“进入待机状态”的正边缘启动芯片选择(引脚SCS)。在唤醒状态下,安全状态信号SS1和SS2为低电平,并将保持低电平以进行到待机状态的过渡。设备离开唤醒状态并进入过渡状态(到待机状态)。
当芯片选择(引脚SCS)高电平时,错误监测(引脚ERR)停止 - 切换可能会在引脚SCS处的正边沿结束。
随着芯片选择(引脚SCS)上升沿成功从唤醒到待机态转换后,在过渡时间后将复位(ROT)拉低。
所有预调节器和所有后调节器(除了待机LDO - 在待机态中可以打开或关闭)在完成重置(ROT)被拉低后切断。
如果选择了绝对过渡计时器,设备将在过渡时间ttr,del之后从过渡状态转移到待机状态。过渡时间ttr,del可以通过SPI命令确定,范围为100微秒至1.6毫秒,默认设置为900微秒。
如果选择了LDO_µC电流监测器用于过渡,设备将在LDO_µC测量到的电流消耗低于选定阈值且在过渡延迟计时器ttr,del到期之前,从过渡状态转移到待机状态。
11.3.8 FAILSAFE -> INIT state
先决条件:
- FAILSAFE计时器已过期。
触发事件:
- 在满足先决条件后自动触发转换。•有效的ENA(边缘)或WAK(电平)信号(仅在异常为真时需要)。
异常情况:
- 如果连续三次进入FAILSAFE且故障相同,则阻止自动触发的转换。
设备从FAILSAFE状态转换到INIT状态的最早时间是在最小的FAILSAFE时间tFAILSAFE,min之后发生,对于除了热关机以外的所有故障,该最小值为20毫秒。在热关机情况下,最小的FAILSAFE时间tFAILSAFE,min为1秒。如果在最小的FAILSAFE时间tFAILSAFE,min过期之前执行转换命令,则不会被执行。
进入INIT状态后,电压调节器将按照电源顺序逐渐升高。
当微控制器相关的稳压器VQUC、VVCI或VQST(根据先前的配置)中最新的一个越过相关的欠压复位阈值VRT,xxx,low时,电源上复位延迟时间开始计时。
在电源上复位延迟时间到期后,复位(ROT)被设置为高电平。
设备需要进行配置和初始化。在设备进入FAILSAFE状态之前,在配置寄存器中进行的所有设置都会丢失,除了LDO_Stby (RSYSPCFG0)和复位延迟时间 (DEVCFG1) 的配置。
在FAILSAFE状态下,安全状态信号SS1和SS2为低电平,并且在INIT状态下仍然保持低电平。
11.4 Reaction on detected faults 检测到故障后的反应
错误根据其严重程度分为4个不同的错误类别:
- 保持当前状态 - 影响外设但对微控制器没有直接风险的故障,通过中断指示以允许微控制器进行分析而不改变状态。
- 转到INIT - 中等严重性错误将设备返回到INIT状态并生成复位信号给微控制器。
- 转到FAILSAFE - 高风险损坏微控制器的关键错误。
- 转到POWERDOWN - 最高风险损坏自身和微控制器的最关键错误。
根据其严重性覆盖了这些错误类别,例如移动至POWERDOWN优先于移动至FAILSAFE,后者又优先于移动至INIT。
在本文档中,将转移到INIT、FAILSAFE和POWERDOWN的错误称为“触发状态转换的错误”。
11.4.1 Stay in current State
以下故障本身不会触发设备转移到另一个状态,但会通过中断事件指示故障:
- 检测到电压参考处的欠压、接地短路或过载检测
- 在跟踪器1或2处检测到过压、欠压或接地短路
- 在LDO_Com处检测到过压、欠压、接地短路或热关断
- 在预调节器处检测到欠压
- 在待机调节器处检测到过载
- 窗口/功能看门状况计数增加,但实际值仍低于阈值
- 错误监控恢复延迟时间激活且ERR信号停止切换。
- 热关断预警(降步前调节器和/或LDO_µC和/或LDO_Com)
- 带隙监视:如果两个带隙之间的偏差大于4%
由于微控制器供电关闭,在STANDBY和FAILSAFE状态下可能无法在INT引脚上看到中断。该事件存储在状态标志(IF, SYSSF, MONSF0, MONSF1, MONSF2, OTWRNSF,OTFAIL)中。
11.4.2 Transition into INIT State
以下故障将使设备从任何状态转为初始化状态:
- 检测到LDO_µC、Core_Sup adj.或LDO_Stby的欠压
- 检测到窗口/功能看门狗状态计数器溢出
- 停止检测到错误信号(立即反应模式)或停止或错误信号持续时间超过恢复延迟时间(恢复模式)
- INIT定时器连续一次或两次过期(INIT状态配置失败)
11.4.2.1 INIT -> INIT state due to detected fault
11.4.2.1.1 INIT -> INIT-state due to INIT timer expired for the first time
描述:
- 设备从INIT状态过渡到INIT状态(或停留在INIT状态)是发出“软复位”。如果所有µC相关电压处于有效范围内,则将引脚ROT拉低以进行重置延迟时间tRD。进入INIT状态后启动电源序列:重新激活禁用的输出,保持其他输出使能,除了LDO_Stby将保持其配置为开启或关闭。
11.4.2.1.2 INIT -> INIT-state due to INIT timer expired for the second time
描述:
- 设备从INIT状态转换到第二次INIT状态(或保持在INIT状态)时,会发出“硬复位”信号-引脚ROT被拉低并且所有输出都被禁用一段时间t,然后按照电源顺序重新启动(请参考第8.3章),除了LDO_Stby将恢复其配置为ON或OFF。
- ROT引脚将根据重置延迟时间trd释放。注意:还请参考从INIT到FAILSAFE的过渡。
11.4.2.2 NORMAL -> INIT state due to detected fault
描述:
- 设备从NORMAL状态转换为INIT状态,发出“软复位”-引脚ROT被拉低,并且除了LDO_Stby保持其配置为ON或OFF外,所有输出都被启用。在NORMAL状态下禁用的输出将再次开启。
- 这可能是由于µC相关电压VQUC、VQST或VVCI的欠压引起的,如图所示。欠压时间比短路检测时间tStG要短。一旦所有µC相关电压VQUC、VQST或VVCI恢复到有效范围内,重置延迟时间tRD就会开始计时。相应地释放ROT引脚。如果欠压时间超过了短路检测时间tStG,则首先会从NORMAL转换到INIT状态,然后,在短路检测时间tStG过期后,再从INIT转换到FAILSAFE状态。
- 如果使用了窗口看门狗错误计数器溢出(>ΣWWD)、功能看门狗错误计数器溢出(>ΣFWO)或错误指示(立即模式或恢复延迟时间模式),也可以触发“软复位”。在这种情况下,在ROT引脚的下降沿上将启动重置延迟时间tRD。请参考表11-8中的进入INIT状态的过渡时间。
- SS1将立即与ROT引脚一起拉低,选择性ΔtSS2之后SS2将被拉低。
- 请注意,在QUC上发生UV事件时,一个延迟的SS2信号将跟随供电自QUC而来的VQUC信号。
注:如果在配置的ΔtSS2过期之前将设备发送回NORMAL状态,则SS2将保持高电平而不变为低电平。
11.4.2.3 STANDBY -> INIT state due to detected fault
描述:
- 由于µC相关电压VQST的欠压,设备从待机状态转变为初始化状态,如图所示。欠压时间短于接地检测时间tStG。如果欠压时间长于接地检测时间tStG,则首先会从待机状态转变为初始化状态,然后在接地检测时间tStG过期后再从初始化状态转变为故障安全状态。
- 进入初始化状态后开始电源序列:重新激活禁用输出,除了LDO_Stby将保持其ON或OFF配置不变。
- 根据电源顺序启动并释放ROT的上电复位延迟时间。
- 在待机状态下,安全态信号SS1和SS2为低电平,并且在初始化状态下仍然是低电平
例外情况:
- 例外情况:内部供应电压过高或过低时始终会触发“硬复位”。请参考第8.3章节。
11.4.2.4 SLEEP -> INIT state due to detected fault
描述:
- 设备从睡眠状态转换为初始化状态,发出“软复位”信号-引脚ROT被拉低一段时间tRD,并且所有输出保持启用。在睡眠状态下禁用的输出将重新开启,除了LDO_Stby将保持其配置为ON或OFF。
- 这可能是由于µC相关电压VQUC、VQST或VVCI的欠压引起的,如图所示。欠压时间比短路检测时间tStG要短。当所有µC相关电压VQUC、VQST或VVCI恢复到有效范围时,重置延迟时间tRD开始计时。相应地释放ROT引脚。如果欠压时间长于短路检测时间tStG,则首先会从睡眠状态转换到初始化状态,然后,在短路检测时间tStG过期后,再从初始化状态转换到故障安全状态。
- 如果使用了窗口看门狗错误计数器溢出(>ΣWWO)、功能看门狗错误计数器溢出(>ΣFWO)或错误指示(立即模式或恢复延迟模式),也可以触发“软复位”。在这种情况下,在ROT引脚的下降沿上启动重置延迟时间tRD。请参考表11-8中的INIT状态切换时间。
- 安全态信号SS1和SS2在睡眠状态下为LOW,并且在初始化状态下仍然为LOW
例外情况:
- 例外情况:无论内部供电电压过高还是过低都会始终触发“硬复位”。请参阅第8.3章节。
11.4.2.5 WAKE -> INIT state due to detected fault
描述:
- 设备从WAKE状态转换为INIT状态,发出“软复位”-引脚ROT被拉低一段时间tRD,并且所有输出保持启用。在WAKE状态下禁用的输出将重新开启,除了LDO_Stby将保持其配置为ON或OFF。
- 这可能是由于µC相关电压VQUC、VQST或VVCI的欠压引起的,如图所示。欠压时间比短接到地检测时间tStG要短。当所有µC相关电压VQUC、VQST或VVCI恢复到有效范围时,重置延迟时间tRD开始计时。相应地释放ROT引脚。如果欠压时间长于短接到地检测时间tStG,则首先会从WAKE状态转换为INIT状态,然后,在短接到地检测时间tStG过期后,再从INIT状态转换为FAILSAFE状态。
- 如果使用了窗口看门狗错误计数器溢出(>ΣWWO)、功能看门狗错误计数器溢出(>ΣFWO)或错误指示(立即模式或恢复延迟时间模式),也可以触发“软复位”。在这种情况下,在ROT引脚的下降沿上启动重置延迟时间tRD。请参考表11-8中的进入INIT状态的过渡时间。
- 在WAKE状态下,“安全态信号”SS1和SS2处于低电平,并且在INIT状态下仍然处于低电平。
例外情况:
- 例外情况:无论何时内部供应电压过高还是过低都会始终触发“硬复位”。请参阅第8.3章。
11.4.3 Transition into FAILSAFE State
以下故障将使设备从任何状态转入FAILSAFE状态:
- 在LDO_µC处检测到过电压、接地短路或热关断
- 在Core_Sup adj.或LDO_Stby处检测到过电压或接地短路
- 在电压参考处检测到过电压
- 在预调节器处检测到过电压、接地短路1)(仅在初始化阶段的INIT状态下)或热关断
- 连续三次初始化失败(例如,INIT状态下的配置失败)
- BIAS电流监视器故障
- 监控块中温度超限导致的超温关断。
- 保险丝选择监视器故障
- 供应引脚(VS)上的过电压将触发过压保护并将设备切换至FAILSAFE状态(除STANDBY状态外)。
描述:
- 从INIT状态转变为FAILSAFE状态将由第11.4.3章节中提到的任何故障(外部或内部)引发。
- 如果尚未因µC相关调节器的欠压而拉低,那么一旦检测到MoveToFailsafe故障之一,引脚ROT将被拉低。
- 当设备从INIT转变为FAILSAFE状态时,无论是否处于过电压状态,所有调节器都将关闭。
- 在INIT状态下,安全状态信号SS1和SS2为LOW,并且在FAILSAFE状态下仍然保持LOW。
11.4.3.2 XXXX -> INIT -> FAILSAFE state due to detected fault
描述:
- 当检测到µC相关电压VQUC、VQST或VVCI的欠压时,将启动进入INIT状态的转换。(请参阅前一章节“进入INIT状态”)
- 一旦检测到欠压(在上述任何一个或多个调节器中),引脚ROT将被拉低。
- 安全状态信号SS1将与引脚ROT同时被拉低。
- 如果短路保持时间tStG超过了短路检测时间,则会检测到地线短路事件。
- 无论是否处于欠压状态,所有调节器都会在检测到地线短路后立即关闭。
- 设备从INIT状态转移到FAILSAFE状态。
- 在从INIT转移到FAILSAFE状态时,安全状态信号SS2将与之同时被拉低,即使延迟时间ΔtSS2尚未过期,因为LDO_µC已关闭(LDO_µC在INIT状态下打开,在FAILSAFE状态下关闭)。
11.4.3.3 NORMAL -> FAILSAFE state due to detected fault
描述:
- 当预调节器电压VPREREG或µC相关电压VQUC、VQST、VVCI或VQVR中的任何一个超过额定值时,将会从正常状态转变为故障安全状态。
- 一旦检测到超压事件(在上述提到的任何一个调节器中首先发生),引脚ROT将被拉低。
- 无论是否处于超压状态,当设备从正常状态转变为故障安全状态时,所有调节器都将关闭。
- 由于LDO_µC被关闭,因此安全状态信号会立即被拉低,并且引脚ROT也会变为低电平。
- 从正常状态转变为故障安全状态的触发条件是第11.4.3章节中提到的任何外部或内部故障情况。
- 如图52所示,在µC相关电压VQUC、VQST或VVCI短路至地时,首先会被检测为欠压事件,并使设备从正常状态转变为初始化状态。在短路检测时间tStG之后,设备将从初始化态进入故障安全态(请参考从初始化态到故障安全态的过渡)。
11.4.3.4 STANDBY -> FAILSAFE state due to detected fault
描述:
- 当图中所示的µC相关电压VQST出现过压时,将引发从待机状态到故障安全状态的转换。
- 在待机状态下,引脚ROT为低电平,并且在故障安全状态下保持低电平。
- 在待机状态下,安全状态信号SS1和SS2为低电平,并且在故障安全状态下仍然为低电平。
- 除了上述示例外,从待机状态转变为故障安全是由内部偏置电流监测器失效引发的。
- 当图52所示的µC相关电压VQUC、VQST或VVCI短路至地时,首先会被检测为欠压事件,并将设备从待机状态移动到初始化状态。经过短路检测时间tStG后,设备将从初始化态转移到故障安全态(请参阅从初始化态到故障安全态的转换)。
11.4.3.5 SLEEP -> FAILSAFE state due to Fault
描述:
- 当预调节器电压VPREREG或µC相关电压VQUC、VQST、VVCI或VQVR中的任何一个超过额定值时,将会从睡眠状态转换到故障安全状态。- 一旦检测到超压事件(在上述提及的一个或多个调节器中首先发生),引脚ROT将被拉低。
- 无论是否处于超压状态,当设备从睡眠状态转换为故障安全状态时,所有调节器都将关闭。•安全状态信号将保持与睡眠状态相同的低电平。
- 从睡眠状态转换为故障安全状态的触发条件是第11.4.3章节中提到的任何失败(内部或外部)。
- 如图52所示,µC相关电压VQUC、VQST或VVCI短路至地时,首先会被检测为欠压事件,并使设备从睡眠态转移到初始化态。在短路至地检测时间tStG后,设备将从初始化态进入故障安全态(请参考由初始化态向故障安全态的过渡)。
11.4.3.6 WAKE -> FAILSAFE state due to detected fault
描述:
- 当预调节器电压VPREREG或µC相关电压VQUC、VQST、VVCI或VQVR中的任何一个超过额定值时,将会从唤醒状态转变为故障安全状态。
- 一旦检测到超压事件(在上述提及的任何一个调节器中首先发生),引脚ROT将被拉低。
- 无论是否处于超压状态,当设备从唤醒状态转变为故障安全状态时,所有调节器都将关闭。
- 在唤醒状态下,安全信号保持低电平不变。
- 从唤醒状态转变为故障安全状态的触发条件是根据第11.4.3章节中提到的任何外部或内部故障情况来确定。
- 如图52所示,在µC相关电压VQUC、VQST或VVCI短路至地时,首先会被识别为欠压事件,并使设备从唤醒状态转变为初始化状态。经过短路至地检测时间tStG后,设备将从初始化态进入故障安全态(请参考由初始化态到故障安全态的过渡)。
11.4.3.7 Transition into FAILSAFE state due to thermal shutdown
描述:
- 任何状态转换到FAILSAFE状态都将由热关断(TSD)引发。
- 当检测到热关断时,引脚ROT将被拉低。
- 当设备从xxx转变为FAILSAFE状态时,所有调节器都将关闭,无论它们是否处于过温条件下。
- 在NORMAL状态之外,安全状态信号SS1和SS2会立即被拉低,并且引脚ROT也会被拉低,因为LDO_µC已经关闭。在其他任何状态下,安全状态信号SS1和SS2均为LOW并保持不变。
- 设备在热关断(TSD)后至少停留1秒钟才能进入FAILSAFE模式。
11.4.4 Transition into POWERDOWN-state
以下故障/事件将始终使设备处于最高优先级的POWERDOWN状态:
- 在降低时,VVS低于VPD,lo,min
- 检测到内部供电过压或欠压
11.5 Electrical Characteristics
11.6 Built In Self Test (BIST) Features
TLF35584提供了通过内置自检功能,借助外部µC测试某些观察函数的选项。这些功能在下面的章节中进行描述。
11.6.1模拟内置自检(ABIST)
TLF35584提供了测试比较器和评估逻辑的选项,这些逻辑与监控功能有关,有助于激活次要安全关闭路径并生成中断。此外,还可以测试与安全状态控制本身相关的其他比较器和评估逻辑(SSC过压看门狗和切换监视器)。通过内部ABIST控制器实现这一目标,该控制器在每个比较器上执行测试,并产生人工欠压、过压(或电流)条件,检查结果并生成需要由微处理器进行评估的信息,以判断ABIST操作是否成功执行。系统会生成以下关于ABIST操作的状态信息:
- 如果微处理器请求执行ABIST操作,在ABIST完成后会提供一个状态(ABIST_CTRL0.STATUS)。该状态需要由微处理器进行评估。所提供的状态只是一个GO-NOGO信息,即提供了特定被测试路径的信息。基本比较器功能已经得到测试,但没有对应阈值值进行测试。
对监测和安全相关输出功能的测试在系统中分为三个不同区域运行:
- 通过“仅比较”测试可以测试比较器及其相应去抖动逻辑的功能。此项测试通过在故障条件持续时间短于去抖动时间时生成故障条件来执行。因此,在检测到故障时既不触发次要安全关闭路径也不触发中断。在此期间只有选择性地对某些比较器进行了测试。如果选择多个比较器,则按固定顺序依次进行测试,并通过中断指示完成该项 测试。
- 比较包括其相应去抖动逻辑以及对相应安全关闭路径贡献度 的功能可以通过“完整性” 测试来验证
11.6.1.1 How to run the ABIST
在ABIST期间,必须根据微控制器的配置执行看门狗和错误监测。如果不这样做,将导致这些功能的故障事件,并相应地触发中断、复位或安全状态输出事件,从而干扰ABIST结果的正确分析。可通过受保护的寄存器访问禁用看门狗功能和/或错误监测来选择性地在ABIST操作期间进行。在这种情况下,无需进行服务。
在包括去毛刺逻辑的已执行ABIST过程中,由于ABIST功能引起的超出范围条件会触发并更新FLAG寄存器(SYSFAIL、INITERR、IF)以及状态信息(MONSF1、MONSF2、MONSF3),除了提供在与ABIST相关寄存器(ABIST_CTRL0到 ABIST_SELECT2)中提供的结果之外还需要考虑。
当内部硬件执行ABIST时,在受影响于ABIST控制逻辑且被认为会触发相应动作的任何事件发生时防止ROT被触发。此外,在第11.4章描述检测到故障后对检测到故障所采取反应方面,状态机也不会改变其状态。如果启动了对次要安全关闭路径有贡献且设备处于正常状态的ABIST,则状态机将从正常转移到唤醒状态。此外,在由于自身原因引起超出范围检测时所有电压都将保持启用。
11.7 Microcontroller Programming Support
TLF35584提供了微控制器编程支持功能,可用于避免由于窗口看门狗和INIT计时器内的错误监视触发丢失而导致周期性复位触发。通过将MPS引脚拉到5V来激活微控制器编程支持功能。最早应在启用电压参考时提供电压。因此,在微控制器编程期间,将MPS引脚连接到输出QVR可能是一个选项。
主动的微控制器编程支持功能对设备的正常操作进行以下更改:
- INIT计时器将停止。
- 阻止窗口看门狗故障计数溢出对复位ROT的贡献。
- 阻止功能看门狗故障计数溢出对复位ROT的贡献。
- 阻止错误监视对复位ROT的贡献。
由于只有看门狗和错误监视对复位函数的贡献被阻断/断开连接,状态机和安全状态控制功能不受影响。因此,窗口或功能看门狗故障计数溢出会触发“移至INIT”事件,但不会重置微控制器。
微控制器编程支持功能还可以根据状态机将TLF35584移动到任何其他状态。例如,在NORMAL模式下MPS引脚为高电平,并且存在看门狗错误计数溢出,则设备会进入INIT模式而不进行重置。
12. Safe State Control Function
12.1 Introduction
安全状态控制监视与安全相关的信号,并控制安全状态信号SS1和SS2。以下描述总结了对安全状态控制功能的贡献者以及调整它们的可能性。
操作原理:安全状态控制功能监测以下输入信号:
- 错误监测结果。预期在ERR引脚上的“错误”信号应为一个翻转信号。如果持续为低电平或高电平,则会被检测为错误。
- 微处理器相关调节器的过压和欠压情况(详见“监测功能”章节)。
- 无效窗口看门狗触发计数阈值比较器的结果。判断是否超过了“无效窗口看门狗触发”的阈值ΣWWO。
- 无效功能看门狗触发计数阈值比较器的结果。判断是否超过了“无效功能看门狗触发”的阈值ΣFWO。
- 温度关断信号(TSD),用于将设备置于故障安全状态。
- 内部时钟
- SPI状态转换请求。有效的GoToNORMAL命令会在其他边界条件满足时触发SS1/2信号变高电平。通过SPI命令将设备从NORMAL状态移出,将会使得SS1和2信号(可选延迟tSS2)变低电平。
以下安全状态控制函数的参数可以通过SPI进行编程,这些设置可以在初始化、正常、睡眠和唤醒状态下完成,在WWD和FWD配置以及错误引脚配置中包括通过受保护寄存器禁用各个功能(有关状态的描述,请参阅章节“状态机”):
- 无效看门狗触发次数,导致激活SS1和SS2:实现了两个看门狗触发故障计数器,一个用于窗口看门狗,另一个用于功能性看门狗。每个计数器在每次无效的看门狗触发时增加两个,并在每次有效的看门狗触发时减少一个(有效和无效的触发在功能性和窗口看门狗章节中有描述)。增加变化由中断指示。减少变化不会引起中断。阈值可以通过SPI命令为每个计数器单独编程。此功能可用于测试看门狗功能。
- 立即反应或恢复延迟反应,仅与输入信号ERR相关:该参数确定安全状态控制是否会立即对SMU指示的错误做出反应,还是在错误指示仍存在时延迟一定时间后再做出反应。在恢复延迟反应中,安全状态控制将生成一个中断并启动编程好的恢复延迟时间。如果在此时间内错误消失(意味着错误信号再次切换),安全状态控制将保持最安全输出SS1/2高电平。如果在此时间内错误信号未消失并维持错误指示(意味着错误信号未能再次切换),安全状态控制将在恢复延迟时间结束后激活安全状态信号SS1和SS2。
立即反应意味着信号检测延迟后作出反应。 - 恢复延迟时间ΔtREC,仅与输入信号ERR相关:只有当超过这个延迟时间才会导致激活安全状态信号SS1和SS2(表示有效ERR信号被侵害)。只有选择了恢复延迟时间模式才会启用这个延迟时间模式。”
来自微控制器安全管理单元(SMU)的错误信号在ERR引脚上
错误监控功能要求在微控制器的SMU正常运行时,在ERR引脚上提供一个确定时间的切换信号。这个切换信号被视为“存活”指示。如果出现错误,将通过一个恒定低电平信号来指示。恒定高电平信号也会被视为故障指示,可能是由短路引起的。结果将传递给安全状态控制。
描述:
状态转换请求= 微处理器可以通过SPI请求关闭次要安全关断路径(SS1/2高)。在正常状态下,微处理器可以通过SPI将设备移出正常状态来激活次要安全关断路径(SS1/2低)。
ERR = 错误引脚连接到微处理器的安全管理单元(SMU)
TSD = 热关断
ROT = 复位输出
ΣWWO = “无效WWD触发”数量,在安全状态控制后应激活窗口看门狗块中的安全状态信号SS1和SS2。
ΣFWO = 在安全状态控制激活安全状态信号SS1和SS2之后,功能看门狗模块中无效FWD触发次数
IMMEDIATE/RECOVERY = 区分对SMU信号的立即反应或恢复延迟时间,位于错误监测模块中
ΔtREC = SMU信号在ERR引脚上的恢复延迟时间,位于错误监测模块中
ΔtSS2 = 安全状态信号1和安全状态信号2之间的延迟时间
SS1 = 安全状态信号1
SS2 = 安全状态信号2
12.2 Electrical Characteristics
12.3 Reaction On Microprocessor Safety Management Unit (SMU - Pin ERR):
12.3.1 Immediate reaction on ERR monitoring failure
微处理器安全管理单元(SMU)通过在ERR引脚停止切换信号来指示严重错误,对错误信号的立即反应被设置为:
描述:
- ERR信号停止切换并保持低电平。
- 在检测时间ΔtDET,LF到期后,将其视为错误。
- ΔtDET,LF是从上次识别的下降沿开始计算的。
- 安全状态信号1(在引脚SS1处)被拉低。
- 可选延迟时间ΔtSS2之后,安全状态信号2(在引脚SS2处)被拉低。
描述:
- ERR信号停止切换并保持高电平。
- 在检测时间ΔtDET,LF到期后,将其视为错误。
- ΔtDET,LF是从上次识别的上升沿开始计算的。
- 安全状态信号1(在引脚SS1处)被拉低。
- 可选延迟时间ΔtSS2之后,安全状态信号2(在引脚SS2处)被拉低。
描述:
- ERR信号开始以频率fERR,无效,HF进行切换。
- 只要边到边时间小于检测时间ΔtDET,HF,就会将其识别为错误。- 安全状态信号1(在引脚SS1上)被拉低。
- 在可选的延迟时间ΔtSS2之后,安全状态信号2(在引脚SS2上)被拉低。
描述:
- ERR信号在高低时间变化时切换(占空比也可能有所变化),但tlow和thigh在有效范围内,介于tDET,HF和tDET,LF之间。
- 然后,在图中显示的ERR的低脉冲比检测时间tDET,LF更长。
- 只要边缘到边缘时间超过检测时间ΔtDET,LF,就会将其视为错误进行检测。
- 安全状态信号1(位于引脚SS1)被拉低。
- 随后,在可选延迟时间ΔtSS2之后,安全状态信号2(位于引脚SS2)也被拉低。(图中未显示)。
- 同样地,该条件也适用于高脉冲持续时间超过检测时间tDET,LF的情况。
描述:
- ERR信号在高低时间变化时切换(占空比也可能有所变化),但tlow和thigh在有效范围内,介于tDET,HF和tDET,LF之间。
- 然后,在图中显示的ERR的低脉冲比检测时间tDET,HF短。
- 只要边缘到边缘时间小于检测时间ΔtDET,HF,就会将其视为错误进行检测。
- 安全状态信号1(位于引脚SS1)被拉低。
- 随后经过可选延迟时间ΔtSS2(不在图中),安全状态信号2(位于引脚SS2)也被拉低。
- 同样地,该条件也适用于高脉冲小于检测时间tDET,HF的情况。
12.3.2 Recovery delay reaction on ERR monitoring failure
微处理器安全管理单元(SMU)通过在ERR引脚停止切换信号来指示严重错误,设置了错误信号的恢复延迟时间反应 - SMU被给予恢复的时间。
描述:
- ERR信号停止切换并保持低电平(或高电平)。
- 在检测时间ΔtDET,LF到期后,将其视为错误。
- ΔtDET,LF是从上次识别的边缘开始计算的。
- 检测后会生成一个中断来指示恢复延迟时间ΔtREC的开始。
- 安全状态信号1(在引脚SS1处)在ΔtREC过期后被拉低。
- 可选延迟时间ΔtSS2之后,安全状态信号2(在引脚SS2处)被拉低。
描述:
- ERR信号开始以频率fERR,invalid,HF进行切换。
- 只要边到边的时间小于检测时间ΔtDET,HF,就会将其识别为错误。
- 在检测后生成中断以指示恢复延迟时间ΔtREC的开始。
- 安全状态信号1(在引脚SS1上)在ΔtREC过期后被拉低。
- 安全状态信号2(在引脚SS2上)在可选延迟时间ΔtSS2之后被拉低。
描述:
- ERR信号停止切换并保持低电平(或高电平)。
- 在检测时间ΔtDET,LF到期后,将其视为错误。
- ΔtDET,LF是从上次识别的边缘开始计算的。
- 检测后会生成一个中断来指示恢复延迟时间ΔtREC的开始。
- 在ΔtREC到期之前,ERR信号恢复切换。
- 安全状态信号1(在引脚SS1上)和2(在引脚SS2上)始终保持高电平。
描述:
- ERR信号开始以频率fERR,invalid,HF进行切换。
- 只要边到边的时间小于检测时间ΔtDET,HF就会将其识别为错误。
- 在检测后生成中断以指示恢复延迟时间ΔtREC的开始。
- 在ΔtREC过期之前,ERR信号恢复切换为有效频率。
- 安全状态信号1(在引脚SS1上)和2(在引脚SS2上)始终保持高电平。
12.4 Reaction On Error Triggered State Transitions
复位输出(ROT)指示与微控制器相关的调节器的行为(详细信息请参阅电压监测和复位功能章节)。
描述:
- ROT信号的下降沿表示出现错误。
- 安全状态信号1(在SS1引脚上)会立即变为低电平,表示发生了错误。
- 安全状态信号2(在SS2引脚上)会在延迟时间ΔtSS2后变为低电平,该延迟时间由SPI命令设置。
- 请注意,在QUC发生UV事件时,将跟随VQUC的是一个延迟的SS2信号,因为它是由QUC提供的。
描述:
- ROT信号的下降沿表示错误发生
- 错误发生时,安全状态信号1(在SS1引脚上)立即变为低电平
- 当ROT引脚变为低电平时,供应后稳压器LDO_µC关闭,安全状态信号2(在SS2引脚上)与SS1同时变为低电平。
12.5 Reaction On Window Watchdog Output (WWO)
TLF35584具有实现的窗口看门狗故障计数器(WWDSTAT.WWDECNT)。每次无效的窗口看门狗触发时,计数器增加两个;每次有效的窗口看门狗触发时,计数器减少一个。(关于有效和无效触发的规定,请参考功能和窗口看门狗章节)。窗口看门狗故障计数器的状态写入所谓的窗口看门狗状态计数器。任何对窗口看门狗状态计数器进行递增操作都会引起中断。但是对其进行递减操作不会引起中断。窗口看门独立状态计数器的内容不能小于零。在初始化、正常和唤醒状态下可以更改激活安全状态信号SS1和SS2 ΣWWO 的阈值(WDCFG0.WWDETHR)。将该阈值ΣWWO(RWDCFG0.WWDETHR)与状态计数器内容进行比较。如果状态计数器内容等于或高于ΣWWO,则激活安全态信号SS1和SS2(低电平)。
描述:
阈值ΣWWO设置为6(示例)
无效的看门狗触发会将窗口看门狗状态计数器增加两个,这由中断指示
有效的看门狗触发会将窗口看门狗状态计数器减少一个,这不会被中断指示
状态计数器值7被识别为错误
当计数器状态发生变化时,安全状态信号1(在引脚SS1上)立即变为低电平。
通过SPI命令设置的延迟时间ΔtSS2后,安全状态信号2(在引脚SS2上)才会变为低电平。
12.6 Reaction On Functional Watchdog Output (FWO)
TLF35584具有实现的功能看门狗故障计数器(FWDSTAT1.FWDECNT)。每次无效的功能看门狗触发时,计数器增加两个;每次有效的功能看门狗触发时,计数器减少一个。(关于有效和无效触发的规定,请参考功能和窗口看门狗章节)。功能看门狗故障计数器的状态写入所谓的功能看门狗状态计数器。任何对功能看门狗状态计数器进行递增操作都会引起中断。但是对其进行递减操作不会引起中断。功能看门狗状态计数器的内容不能小于零。在初始化、正常和唤醒状态下可以更改激活安全状态信号SS1和SS2 ΣFWO 的阈值(WDCFG1.FWDETHR)。将状态计数器的内容与编程阈值ΣFWO (RWDCFG1.FWDETHR) 进行比较。如果状态计数器的内容等于或高于ΣFWO,则激活安全状态信号SS1 和 SS2 (低电平) 。
描述:
- 阈值ΣFWO设置为6(示例)
- 无效的看门狗触发将功能看门狗状态计数器增加两个,这由中断指示。
- 一个有效的看门狗触发会将功能性看门狗状态计数器减一,这不会被中断所指示。
- 状态计数器值为7被识别为错误。
- 安全状态信号1(在SS1引脚)在计数器状态改变后立即变低。
- 安全状态信号2(在SS2引脚)在延迟时间ΔtSS2之后才变低,该延迟时间由SPI命令设置。
12.7 Reaction On Thermal Shutdown (TSD)
温度过载时,热关断(TSD)会在芯片上发出信号:作为结果,所有预调节器和后调节器将立即关闭。
描述:
- TSD信号(内部)的上升沿被识别为错误
- 安全状态信号1(在引脚SS1处)在TSD上升沿时立即变低
- 当引脚ROT变低时,供应后稳压器LDO_µC关闭,安全状态信号2(在引脚SS2处)与SS1同时变低。
13 SPI - Serial Peripheral Interface
13.1 Introduction
主要功能:
串行外围接口总线或SPI总线是一种同步串行数据链路,以全双工模式运作。TLF35584在从机模式下通信,其中主控(µC)启动数据帧。TLF35584应通过专用芯片选择线进行寻址。这允许将其他从设备连接到SPI总线上。
数据传输:
为了开始通信,µC首先配置时钟,使用的频率小于或等于TLF35584支持的最大频率。µC拉低TLF35584的芯片选择来启动通信。
功能描述:
SPI基本访问:MOSI(SDI引脚)上的所有数据都在SPI时钟信号(SCL引脚)上升沿捕获,并在SPI时钟信号(SCL引脚)下降沿移位。SPIMaster对于MISO(SDO),需要采用相同的方法。读操作必须以CMD位为1’b0开头,写操作必须以CMD位为1’b1开头。
如果执行写操作,则将写入命令回送到SDO中。
如果执行读取操作,则计算输出数据流的奇偶校验值。计算所需数据包括1’b1、状态[5:0]和rd_data [7:0] 。如果输出数据流中“ 1”的数量是奇数,则将奇偶校验位设置为“ 1”,即XOR函数发送出所有15个比特之间。
对于写入数据进行奇偶校验检查,在进入FSM初始化状态、正常状态、唤醒状态或睡眠状态时可以随时通过SPI进行配置。在睡眠状态下,SPI具有较低的最大时钟频率,请参阅表19获取详细信息。
- 在写入过程中,来自MOSI的数据直接回路返回;在读取过程中,寻址寄存器的内容将在同一个SPI帧中提供。
- cmd位始终设置为1’b1。所有其他状态位都设置为零。
SPI错误:
- 写入时奇偶校验位错误,写入数据被忽略。
- 写入无效地址,写入数据被忽略。
- 当SCS为低电平时,SPI时钟周期数错误,写入数据被忽略,并且每个SPI时钟周期设备提供读取数据。
- 从无效地址读取(对于读取的数据,在MISO上返回所有数据位为零)。在此情况下,设备完成计算后奇偶校验位会发生反转/损坏。
- 无效的帧持续时间,写入数据被忽略,并且设备在tSPI_fl之后内部关闭SDO的输出驱动器。只要SCS低于tSPI_fl,则每个SPI时钟周期都提供读取数据。
- 如果SPI时钟周期数不等于16并且设备检测到无效的帧持续时间错误,则设置无效的帧持续时间状态标志和错误的SPI时钟周期数状态标志。如果发生了SPI错误,则会生成中断。仅当SCS已经变高或者超过了帧超时才会引发 SPI 错误中断。
13.2 SPI Write Access To Protected Registers
某些内部寄存器(SYSPCFG0、SYSPCFG1、WDCFG0、WDCFG1、FWDCFG、WWDCFG0和WWDCFG1)需要受到保护,以防止意外覆盖。可以通过读取PROTSTAT寄存器中的LOCK位来检查保护状态。只有在通过SPI发送专用的32位UNLOCK序列后才能对这些寄存器进行写访问。四个字节必须在没有其他SPI写访问之间发送。如果出现错误,则会重置序列检测,即必须重新发送UNLOCK序列。如果在其中发现对PROTCFG以外的任何其他寄存器的写访问,则会生成中断并将成功检测到的UNLOCK序列字节数设置为零。在INIT、NORMAL和WAKE状态下都可以访问受保护的寄存器。
UNLOCK序列由4个连续字节(1:0xAB;2:0xEF;3:0x56;4:0x12)组成,必须在没有其他SPI写访问的情况下发送。通过读取寄存器PROTSTAT可以检查每个写入字节的正确性。一旦成功执行了UNLOCK序列,就可以写入任何受保护配置请求寄存器。为了确保正确写入受保护配置请求寄存器,微控制器应该读回寄存器值并通过检查数据来验证其正确性。在读操作期间,将发送到受保护配置请求寄存器的数据位被反转返回,这意味着微控制器可以计算出读取和预期的寄存器数据的异或结果。如果注册数据正确,则结果应为0xFF。TLF35584不会检查注册中值的正确性。
只有在成功执行LOCK序列之后,才会由相应的函数捕获所有受保护配置请求寄存器的值。成功的LOCK序列包括一个32位的连续4字节序列(1: 0xDF; 2:0x34; 3:0xBE; 4:0xCA),在发送时不能有其他SPI写访问。可以通过读取PROTSTAT寄存器来检查每个写入字节的正确性。如果操作错误,则会重置序列检测,即需要发送新的LOCK序列。在这种情况下(LOCK序列之间有任何SPI写访问),将生成中断信号。一旦成功检测到LOCK序列,配置寄存器和所有内部功能都将使用受保护配置请求寄存器中的值进行更新。确保所有寄存器被正确配置是uC的责任,可以通过向特定寄存器写入新值或读取预期不变的寄存器来实现。不支持对受保护注册表进行部分重新配置,即仅对单个功能进行配置而不更改其他功能,因为成功执行LOCK序列时会将所有受保护配置请求注册表纳入到配置中(RSYSPCFG0、RSYSPCFG1、RWDCFG0、RWDCFG1、RFWDCFG、RWWDCFG0、RWWDCFG1)。
在LOCK序列之后,必须考虑最长60微秒的内部配置时间,以确保新配置被接受。受影响的功能包括:
- 所有看门狗配置寄存器(WWD和FWD)、
- 在设备处于SLEEP状态时启用WD、
- 所有错误引脚监控配置寄存器、
- 在FSM处于SLEEP状态时启用错误引脚监控、
- 一个专用寄存器来启用或禁用STDBY LDO、
- SS2延迟时间故障事件的配置不会导致FAILSAFE状态。
任何受保护的配置请求寄存器都可以进行读取访问。
13.3 SPI写入发起状态转换请求和调节器配置
状态机转换可以通过SPI命令来启动。如果期望任何可选择电压源(后调节器)的状态在下一个状态发生变化,这个信息必须与命令一起发送到同一个寄存器中。如果要更改特定电压源(后调节器)的设置但保持状态不变,则可以采用相同的方法。这基本上意味着SPI命令包含FSM的当前状态,但是对于可配置电压源(后调节器),有不同的设置。为了请求状态转换和/或LDO配置的更改,请求数据必须按照连续写入两个分离寄存器DEVCTRL和DEVCTRLN。写入DEVCTRLN的数据必须按位取反与写入DEVCTRL的数据进行比较。只有在两个寄存器连续写入之后(首先是DEVCTRL,然后是DEVCTRLN),并且在第二条命令结束时CS上升沿被接收时才会接受该请求。如果请求无效(错误序列或者 DEVCTRLN没有被反转为 DEVCTRL),它将被拒绝,并生成中断,并设置相应的状态标志(NO_OP) 。根据第11章中描述的状态机,在无效的状态转换请求情况下将忽略该请求而不会触发中断。
13.4 Registers Description
14 Interrupt Generation
实现了一个专用的中断生成模块,用于处理来自独立源的请求以生成中断。不同的请求者包括:
状态机情况下:
- 由于LDO_µC电流消耗超过选定阈值水平,无法成功执行所请求的状态转换,例如无法进入SLEEP状态。
- 成功执行了从SLEEP到WAKE的所请求的状态转换,即系统已经成功进入WAKE状态。只有在系统生成中断事件后,uC才能发送(额外)SPI命令。中断事件的目的是通知uC已成功执行了一次状态转换,并且系统能够以全速进行SPI通信。
如果未正确服务并配置看门狗以允许发生服务错误,即配置了超过2个的错误计数阈值,则会生成中断请求。在这种情况下,只有当错误计数阈值由于此错误而未超过时才会生成中断。
如果错误引脚监视块检测到错误并且配置为允许该错误在一定时间内发生(启用恢复延迟操作),则会生成中断请求。在这种情况下,如果通过错误引脚监视检测到了一个错误,并且恢复延迟尚未过期,则会请求中断。
基于第11.4章描述的定义系统反应,将生成中断请求。
通信LDO的过温警告和过温关闭
电压参考或待机LDO的过流条件
SPI块,在发生SPI错误时
ABIST操作已完成
受保护配置出现双位误差
生成一个中断,通知连接的uC发生了非严重的系统条件。这使得uC能够根据中断源执行适当的操作。存在一个单独的中断线,默认为高电平。所有内部中断源默认启用且无法禁用。在内部中断条件发生后,通过将中断线拉低至少tINT(最小脉冲宽度)来表示产生了一个中断信号。如果在tINT过期之后但是tINTTO过期之前通过SPI操作清除了所有IF寄存器标志,则会将中断线驱动为高电平。特殊情况:
- 如果通过将INT拉低来发出中断信号,并且在tINTTO时间内,uC没有清除所有中断状态标志,则INT将保持低电平直到tINTTO过期,但不会生成额外的中断。可以通过INTMISS状态标志获取有关待处理中断事件的信息。每次将中断线拉低时,此状态标志都会被清除。
- 如果通过将INT拉低来发出中断信号,并且在uC读取完中断位后,在使用过时信息来清除中断标志之后,IF寄存器的附加位被设置,则在tINTTO时间内,即使没有其他附加的内部中断条件发生,该中断线也会保持低电平,但不会生成额外的中断。可以通过一个状态标志获取有关待处理的 中 断 事 件 的 信 息。
- 在将中断线释放为高电平后,无论是否发生任何额外的内部中断条件,中断线都会保持高电平至少tINTTO时间。如果在延迟超时(tINTTO)期间发生新的中断事件,则会通过在延迟超时时间结束后生成一个新脉冲来进行信号传递。
所有中断源只能通过“写1清除”(w1c)的SPI操作来清除,即在中断寄存器中将相应位写为逻辑一将清除事件。中断事件采用两级方法进行组织。第一级(中断标志)提供有关不同组的中断事件的信息。第二级(状态标志)提供有关哪个特定事件引发了中断的详细信息。要处理一个中断,只需要写入中断标志寄存器(IF)即可。状态标志寄存器仅用于提供详细信息。但是所有状态标志也可以被清除。
建议使用的中断服务程序:
在uC检测到中断后,建议的中断服务例程需要通过SPI执行以下任务:
- 读取中断标志寄存器(IF)。
- 根据第一次读取的信息,读取状态标志寄存器(s)。
- 根据中断标志和状态标志采取适当的操作。
- 将特定状态标志写回状态标志寄存器以清除它们。
- 使用先前读取的值将中断标志寄存器(IF)写回以进行清除。
- 建议:再次读取中断标志寄存器(IF)以检查是否发生了另一个中断事件。如果是,则返回步骤2)。
- 如果所有位都被清除,则写回中断寄存器(IF)将释放中断线INT(满足中断时序要求)。
只有在释放给uC的复位信号之后才会产生中断。当uC的复位线仍处于活动状态时发生的中断事件不会在中断线上被标记,而是设置该事件的特定状态位。关于中断线时序的详细信息如下图所示:
如果没有清除所有中断状态标志,系统行为的详细信息如下图所示:
无论内部状态标志的当前状态如何,只要设置了该标志,就会产生中断。例如,如果第一次检测到SPI通信的奇偶校验错误,则设置标志SPISF.PARE并生成中断。此标志还将设置相应的SPI中断标志(IF.SPI)。如果未清除IF.SPI标志,但发生第二个SPI奇偶校验错误,则将生成新的中断。上述两个图示所示的时序将满足生成新中断的条件。
15 Window Watchdog And Functional Watchdog窗口狗和功能狗
15.1 Introduction简介
在TLF35584中实现了两种独立类型的监督:
具有可编程输入触发信号的独立窗口看门狗(WWD)(引脚WDI或通过SPI命令触发WWDSCMD寄存器)
一个独立的功能或问答监督(FWD)。
这些看门狗拥有独立的定时器和错误计数器,可以同时运行两个看门狗。
描述:
- 功能看门狗与窗口看门狗不同步,两者完全独立。
- 功能看门狗和窗口看门狗可以分别激活和停用。
- 看门狗的结果(有效或无效触发)由相关的看门狗故障计数器单独监控。
- 窗口看门狗的状态为WWO,可能有“有效WWD触发”或“无效WWD触发”的值。
- 功能看门狗的状态为FWO,可能有“有效FWD触发”或“无效FWD触发”的值。
- 对于安全状态控制,两个看门狗设置对其影响在章节"安全状态控制"中进行了描述以便更好理解。
15.2 Window Watchdog
Principle of Operation
窗口看门狗集成在TLF35584控制器。被监控的微控制器必须在“开放窗口”内定期触发。触发可以是WDI引脚上的下降沿,也可以是通过SPI命令写入WWDSCMD寄存器,具体取决于配置。这个触发终止了“开放窗口”。看门狗输出将向WWD故障计数器指示“有效”或“无效”的WWD触发。如果在“开放窗口”期间没有触发或者在“关闭窗口”期间有触发,则看门狗输出将向WWD故障计数器指示“无效的WWD触发”,并开始一个新的“开放窗口”。如果微控制器不能按正确时间触发窗口看门狗,则认为微控制器未按预期工作。TLF35584会通知微控制器,并在多次故障事件时进行复位。
Configuration配置
窗口看门狗的以下参数可以在INIT、NORMAL和WAKE状态下进行配置:
- 触发方式可以设置为引脚触发(引脚WDI)或通过SPI命令触发(寄存器WWDSCMD)。默认配置是通过SPI触发。
- 开放窗口和关闭窗口的长度可以根据应用需求通过SPI进行修改。(由周期时间WDCYC和开放OW以及关闭CW窗口的循环次数组合而成)
- 窗口看门狗故障计数器溢出的阈值可以通过SPI定义。
Initialization初始化
窗口看门狗在复位输出引脚ROT从低电平变为高电平时,将在初始化状态下激活。激活后,看门狗会打开一个称为“长开窗口”(LOW)的时间段tLOW。在“长开窗口”期间,窗口看门狗期望通过SPI提供有效的触发信号,如果保持默认配置,则忽略对看门狗触发引脚WDI的任何信号。这是为了避免启动和初始化过程中微控制器输出引脚出现干扰而导致WDI引脚错误触发。微控制器可以在“长开窗口”期间更改窗口看门狗的配置,以更改触发选择以及“打开窗口”和“关闭窗口”的时间。重新配置后,将使用新配置重新启动窗口看门狗。“打开窗口”将相应地开始,并期望由所选的触发输入进行有效触发。
如果在“长开窗口”期间没有进行有效的触发或看门狗配置,窗口看门狗将识别出一个“无效的WWD触发”。如果在存在无效的WWD触发时INIT计时器到期,将会发出所谓的“软复位”。在所谓的“软复位”之后,窗口看门狗会打开一个新的“长开窗口”,这不会通过中断来指示。重复使用“长开窗口”的次数是有限制的。如果在第二个连续的“长开窗口”内未正确触发窗口看门狗,则会发生正常或者所谓的“硬”复位,这意味着引脚ROT变为零,并且后级稳压器输出电压将被关闭。经过三个连续无效触发的“长开窗口”之后,状态机将使设备进入"故障安全状态(详见章节状态机)"。
Normal Operation 正常运行
“长开窗口”内的触发信号将终止“长开窗口”,并启动“关闭窗口”。 “关闭窗口”在没有无效触发的情况下具有固定的操作持续时间。在正常操作期间,“关闭窗口”不允许出现有效触发信号。如果在“关闭窗口”内收到有效触发信号,则看门狗会识别为“无效WWD触发”。这个无效触发将终止“关闭窗口”,并开始一个“打开窗口”。每次出现一次“无效WWD触发”,看门狗故障计数器就会增加两次。这通过中断来指示。
“封闭窗口”结束后,看门狗开始一个“打开窗口”。在“打开窗口”中,需要接收到有效的触发信号。如果在“打开窗口”期间接收到有效的触发信号,看门狗将终止“打开窗口”,并开始一个新的“封闭窗口”。如果在“打开窗口”期间没有接收到有效的触发信号,则看门狗会识别为“无效触发”,并将看门狗失败计数器增加两个,并启动一个新的“打开窗口”。这通过中断来指示。在正常操作中,只要接收到有效的触发信号,看门狗就会持续循环在"打开窗口"和"封闭窗口"之间。
Window watchdog output WWO
窗口看门狗输出(WWO)是一个内部信号:它连接到安全窗口看门狗故障计数器。WWO的值可以是“有效的WWD触发”或者“无效的WWD触发”。
描述:
- “触发器”可以是发送到WWDSCMD寄存器的SPI命令,也可以是在WDI引脚上有效的看门狗触发信号。
- “长开窗口”中的“无触发器”被视为“无效的WWD触发”,看门狗再次打开一个“长开窗口”。
- 在“长开窗口”内部的“触发器”被视为“有效的WWD触发”,看门狗关闭该“长开窗口”,并打开一个 “闭合窗口”。
- 在 “闭合窗口 ”内部 的 “ 触 发 器 ” 被 视 为 “ 无 效 的 W WD 触 发 ”。
- 在“关闭窗口”内的“无触发器”将看门狗移动到“打开窗口”,在“关闭窗口”结束后。
- 在“打开窗口”内的“触发器”被视为“有效的WWD触发”,看门狗关闭“打开窗口”并打开“关闭窗口”
- 在 “打开窗口”的情况下,“无触发器”被视为 “无效的WWD触发”。
Window watchdog trigger pin WDI
看门狗输入引脚WDI具有集成的下拉电流IWDI。看门狗输入WDI可以在“关闭窗口”内或以下“开放窗口”期间转为高电平。
Valid Trigger Signal at WDI
看门狗输入信号WDI以TSAM的周期进行定期采样。有效触发信号是从VWDI,high到VWDI,low的下降沿。为了提高对WDI输入上的噪声或故障的抵抗能力,至少需要两个高电平样本后跟两个低电平样本才能得到一个有效触发信号,其中第二个连续采样点测量低电平信号时被认为是有效触发。例如,如果在引脚WDI上的触发脉冲的前三个样本(两个高一个低)位于“关闭窗口”内,并且只有第四个样本(第二次低电平采样)位于“打开窗口”内,则看门狗输出WWO将指示“有效WWD触发”。
Invalid Triggering at WDI
在“打开窗口”期间未检测到触发信号,或者在“关闭窗口”期间检测到触发信号,被视为无效的触发。看门狗输出WDO会在“打开窗口”期间没有有效触发时立即指示“无效的触发”,或者如果在“关闭窗口”期间检测到一个触发信号,则立即指示"无效的触发"。
15.2.1 Timing Diagrams 时间图
15.2.1.1 Normal operation: Correct triggering 正常操作:正确触发
- “长开窗口”在ROT(监测微控制器相关电压)的复位输出变高时从INIT状态开始。如果在SLEEP中关闭了窗口看门狗,则第一个开放的窗口始于从SLEEP状态到WAKE状态的转换,这由中断指示。此第一个“开放窗口”的时间取决于配置的周期时间,并且为600毫秒(WDCYC = 1)或60毫秒(WDCYC = 0)。
- 在“长开窗口”期间,预计根据配置的触发选择有效地触发WWD。 “长开窗口”的最大时间是固定的,但一旦识别出“有效WWD触发”,它将被终止。
- 窗口看门狗现在进入“关闭窗口”。收到此第一个有效触发后,设备将被允许从INIT移动到NORMAL状态或从WAKE移动到NORMAL状态。
- “关闭窗口”具有固定持续时间tWD,CW(可以通过SPI命令确定)。它紧随着关闭“打开窗户”或“长时间打开”的有效触发信号而开始。“关闭窗户”期间不应应用任何触发信号。 WDI引脚上低至高的过渡不会被检测并且不会导致触发事件,
- 有效的触发信号立即终止了“打开式视图”,因此,“打开式视图”的时间是可变的,并取决于微控制器安排触发所需花费多少时间。这被计算为“Valid WWD triggering”。
15.2.1.2 Fault operation: No trigger in open window after initialization 故障操作:初始化后窗口未触发。
初始化超时和长开窗(LOW)的持续时间通常是相同的。通常情况下,初始化超时会在稍微早于或与LOW同时结束,这将跳过中断事件(1)。尽管由于给定的准确性,在“长开窗”内缺少有效触发可能会导致在LOW结束后出现中断事件,从而使窗口看门狗故障计数器增加两个。
INIT状态计时器首次到期。由于在INIT状态期间没有收到预期的有效触发窗口看门狗,因此将发出所谓的“软复位”:引脚ROT变为零,但后级稳压器输出电压保持打开。附加信息:如果在接下来的INIT阶段的“长开窗”内无法正确触发窗口看门狗,则将发出“硬复位”,这意味着引脚ROT将变为零,并且输出电压也将关闭。在INIT阶段第三次无效触发之后,设备将进入FAILSAFE状态。
在所谓的“软复位”引脚ROT在上电复位延迟时间trd后再次变高,并且看门狗打开一个“长开窗口”,给微控制器触发和同步到看门狗周期的机会。
有效的触发终止了“长开窗口”,这使得“长开窗口”的持续时间可变,取决于触发。这被计为一个“有效WWD触发”并开始一个“关闭窗口”。如果没有中断,则将窗口看门狗故障计数器减一。
接下来的“关闭窗口”持续时间为tWD,CW。在此期间进行的触发将被视为"无效WWD触发"。
15.2.1.3 Fault operation: No trigger in Open Window in steady state 故障操作:稳态下开窗口没有触发器。
- 在“打开窗口”结束后,如果缺少有效的触发,则会出现“无效的WWD触发”。这个事件通过中断来指示,窗口看门狗故障计数器增加两次。
- 一旦检测到“无效的WWD触发”,看门狗将启动一个新的“打开窗口”,持续时间为tWD,OW,以给微控制器触发和同步到看门狗周期的机会。
- 有效的触发终止了“打开窗口”,使得“打开窗口”的持续时间变量化,并取决于触发。这被计为一个“有效的WWD触发”,并开始一个“关闭窗口”。在没有中断产生的情况下,窗口看门狗故障计数器将减少一次。 附加信息:如果在“打开窗口”内出现多个“无效的WWD触发”,则窗口看门狗故障计数器将再次增加两次,直到达到配置阈值。在这种情况下,将进行复位操作。
- 在时间tWD,CW内,以下的“关闭窗口”将被视为“无效的WWD触发”。
引脚ROT的行为取决于ΣWWO的值。在上面的例子中,假设无效触发不会超过阈值ΣWWO。
15.2.1.4 Fault operation: False trigger in Closed Window after initialization 故障操作:初始化后关闭窗户时误触发。
在“关闭窗口”期间发生触发被称为“无效的WWD触发”。此事件由中断指示,并且窗口看门狗故障计数器增加两个。
“关闭窗口”将在“无效的WWD触发”下关闭。原本它会持续tWD,CW时间。虚假触发终止了“关闭窗口”,并启动了一个“打开窗口”,以给微处理器机会来同步到窗口看门狗周期。
在这个“开窗口”内,期望有一个有效的触发。有效的触发会终止“开窗口”,使得“开窗口”的持续时间变量化,并取决于触发情况。这被视为一个“有效的WWD触发”,并开始一个“关闭窗口”。在此期间,窗口看门狗故障计数器将减少一次而不会产生中断。
接下来的“关闭窗口”持续时间为tWD,CW。在此期间内进行的触发将被视为一个“无效的WWD触发”。
引脚ROT的行为取决于ΣWWO的值。在上面的例子中,假设无效触发不会超过阈值ΣWWO。
15.2.1.5 Fault operation: False trigger in Closed Window in steady state 故障操作:稳态下关闭窗户时误触发。
在“关闭窗口”期间发生的触发被称为“无效的WWD触发”。此事件通过中断表示,并且窗口看门狗故障计数器增加两个。
“关闭窗口”将以“无效的WWD触发”结束。原本它会持续时间tWD,CW。虚假触发终止了“关闭窗口”,并开始一个“打开窗口”,给微处理器提供同步到窗口看门狗周期的机会。
在这个“开窗口”内,期望有一个有效的触发。有效的触发会终止“开窗口”,使得“开窗口”的持续时间变量化,并取决于触发情况。这被视为一个“有效的WWD触发”,并开始一个“关闭窗口”。在此期间,窗口看门狗故障计数器将减少一次而不会产生中断。
接下来的“关闭窗口”持续时间为tWD,CW。在此期间内进行的触发将被视为一个“无效的WWD触发”。
引脚ROT的行为取决于ΣWWO的值。在上面的例子中,假设无效触发不会超过阈值ΣWWO。
15.2.2 Electrical characteristics
15.3 Functional Watchdog
Principle of Operation
TLF35584集成了一个功能性或问题/答案看门狗来监控微控制器。在稳态下,会生成一个问题(从表中取出),同时所谓的心跳计数器开始从零计数。心跳计数器会一直增加,直到心跳周期结束为止。心跳周期的持续时间设置为默认值,但可以通过SPI命令进行调整。问题由4位组成,预期答案由4个8位响应组成。这四个响应必须在心跳周期结束之前发送完毕。最后一个响应将被写入同步响应寄存器以重置心跳计数器。
Initialization
设备首次上电时,默认情况下功能看门狗是关闭的。可以通过SPI写入WDCFG0.FWDEN来启用它。
Configuration
功能看门狗可以在初始化、正常和唤醒状态下进行配置。
- “配置”意味着:根据应用的需求,通过SPI命令修改心跳周期的长度(由循环时间WDCYC和心跳WDHBTP的循环次数组合而成)。
- 功能看门狗故障计数器溢出的阈值可以通过SPI定义。心跳周期基于表25中指定的循环时间tCYCLE。
Normal Operation
问题是从表26中提取的,正确的回答在同一行中列出。响应序列必须保持不变,并且可以通过发送响应之前的响应计数器FWDSTAT0.
FWDRSPC来推导出来。对于表中定义的实际问题,对给定问题的正确回答应按照以下方式组成:四个连续的响应字节。
- 前三个回应将被写入FWDRSP中
- 最后一个回应应该被写入FWDRSPSYNC以重置心跳计时器
在心跳周期到期之前,必须编写完所有四个响应。如果完整的响应(32位)是正确的,并且最后一个响应字节是使用同步响应发送的,则心跳计数器将被重置为零。如果完整的答案(所有四个响应-32位)是正确的,则被视为“有效FWD触发”,功能看门狗错误计数器ΣFWO将减少1。如果最后一个响应是使用同步响应发送的,则心跳计数器将被重置,但如果答案错误,则被视为“无效FWD触发”,并且功能看门狗错误计数器ΣFWO增加2. 功能看门狗错误计数器ΣFWO溢出会触发“移至INIT”事件,重置心跳计数器并将功能看门狗错误计数器ΣFWO设置为零。
Functional watchdog output FWO
功能看门狗输出FWO是一个内部信号:它连接到FWD故障计数器。功能看门狗FWO输出的值可以是“有效的FWD触发”或“无效的FWD触发”。
15.3.1 Timing Diagrams
15.3.1.1 Normal operation: Correct triggering
- 生成一个新的问题,同时心跳计数器开始计数(假设在此之前已经发生了“有效FWD触发”)。
- 收到正确的响应(RESP3)。
- 收到正确的响应(RESP2)。
- 收到正确的响应(RESP1)。
- 收到正确同步的响应(RESP0)。所有响应都是正确的,响应序列是正确的,并且最后一个同步响应在心跳计数器溢出之前收到。心跳计数器将被重置为零。这被视为“有效FWD触发”,如果功能看门狗错误计数器值大于零,则将其减少1个。
- 生成一个新问题,同时心跳计数器开始计数。
15.3.1.2 Fault operation: Synchronization is missing
- 生成一个新的问题,同时心跳计数器开始计数(假设在此之前已经发生了“有效FWD触发”)。
- 收到正确的响应(RESP3)。
- 收到正确的响应(RESP2)。
- 收到正确的响应(RESP1)。
- 收到正确的响应(RESP0),但未同步(写入错误寄存器)。目前为止,所有响应都是正确的,响应序列也是正确的,并且最后一个未同步的响应在心跳计数器溢出之前收到。心跳计数器不会被重置并继续计数。这被视为“有效FWD触发”,功能看门狗错误计数器ΣFWO减少1个单位(如果功能看门狗错误计数器值大于零)。生成一个新问题。
- 心跳计数器仍然在增加,等待对新问题的答案。随着时间推移,心跳计数器将过期并发生溢出。这被视为“无效FWD触发”。功能看门狗错误计数器ΣFWO增加2个单位。重置心跳计数器。
- 心跳计时开始递增。没有生成新问题。
15.3.1.3 Fault operation: Answer is wrong
- 生成一个新的问题,同时心跳计数器开始计数(假设在此之前已经发生了“有效FWD触发”)。
- 收到正确的回答(RESP3)。
- 收到正确的回答(RESP2)。
- 收到错误的回答(RESP1)。
- 收到正确的回答(RESP0)。心跳计数器将被重置为零。完整的答案不正确。这被视为“无效FWD触发”。功能看门狗错误计数器ΣFWO增加2。心跳计数器被重置。
- 没有生成新问题,但是心跳计数器开始计数。
注意:如果将RESP2和RESP1混合在一起,则两个回答都会被视为不正确 - 回答必须按照正确的顺序发送。
15.3.1.4 Fault operation: Missing response
- 生成一个新的问题,同时心跳计数器开始计数(假设之前已经发生了“有效FWD触发”)。
- 收到正确的响应(RESP3)。
- 收到正确的响应(RESP2)。
- 缺少一个响应(RESP1)。
- 收到正确的响应(RESP0)。因此,最后一个响应不是真正的最后一个,而是倒数第二个,因为缺少了一个响应(在这个例子中是RESP1)。功能性看门狗将等待所有四个答案被写入,而心跳计数器继续计数。没有固定时间来发送所有四个答案,但它们必须按照正确顺序发送,在心跳计时器过期之前完成。
- 因为缺少了回复 RESP1 ,所以完整的答案不正确。尽管最后一次回复已同步,但心跳计时器不会被重置,并且会继续计数直到溢出。这被视为“无效FWD触发”。功能性看门狗错误计数器ΣFWO增加2。心跳计时器被重置。
- 不会生成新问题,并且心跳计时器开始递增。
16. Application Information
这是关于IC在其环境中使用的描述。