5.3.1 VDD6 降压开关模式电源

VDD6 降压开关模式电源的用途是降低作为前置稳压器的器件内的功率耗散。VDD6 电源将电池电压（主电源电压）范围调节至 6V。VDD6 输出用作 VDD5、VDD3/5、VDD1 的输入电压，还可以用于 VSOUT1 稳压器，具体取决于所需的 VSOUT1 输出电压。VDD6 电源用作前置稳压器，因此 VDD6 的输出精度低于其他集成稳压器。VDD6 电流容量设置为在 VDD5、VDD3/5、VDD1 和 VSOUT1 稳压器各自的最大输出电流下为其供电。应执行功率耗散和热分析，以确保 PCB 设计和热管理能够支持应用中需要的功率耗散。

该开关模式电源以固定频率自适应导通时间控制 PWM 运行。控制环路基于迟滞比较器。如果 VDD6 引脚上的感应电压低于迟滞比较器阈值，则该内部 N 通道 MOSFET 会在每个周期开始时打开。当 MOSFET 打开时，它会以最小 7% 的占空比（f_{clk_VDD6} 的 7%）导通。当迟滞比较器检测到 VDD6 引脚上的电压高于阈值时，MOSFET 会关闭。如果在发生时钟边沿事件时输出电压保持高于迟滞比较器，则 VDD6 稳压器可能会跳过一些脉冲。当 MOSFET 关闭时，外部肖特基二极管会在开关周期的其余部分对电感器中存储的能量进行再循环。对于 VBATP 引脚上低于大约 7V 的电源电压，VDD6 稳压器会进入压降模式（100% 占空比）。

电流限制电路为内部 MOSFET 提供了过大功率耗散保护。VDD6 稳压器还与 VDD3/5 稳压器共享过热保护电路。当该电路检测到过热情况时，器件会转换至待机模式（所有稳压器都关闭）。

由于 VDD6 稳压器的控制环路基于迟滞比较器，因此必须考虑输出上的有效电容以及输出电容的等效串联电阻 (ESR)。在运行电压（6V，直流偏置降额）下，输出电容器上的有效电容、容差、温度范围和使用寿命必须符合 VDD6 (C_VDD6) 的有效电容范围。电容器供应商应提供计算有效电容所需的降额数据。迟滞比较器还需要指定的 ESR，以确保运行正常。通常，低 ESR 陶瓷电容器用作输出电容，因此需要使用外部电阻器将总 ESR 调节至 C_VDD6 的指定 ESR 范围。实现正常运行的一般准则是 R_ESR = L/(15 × C_Effective)。使用较高的有效输出电容可实现较低的 ESR，这进而可以实现较低的电压纹波。此外，电感会影响系统：使用较低的电感值可实现较低的 ESR，不过，电感峰值电流将较高。

5.3.2 VDD5 线性稳压器

VDD5 引脚在整个温度和电池电源电压范围内可实现 5V ±2% 输出的稳压电源。需要使用低 ESR 陶瓷电容器以实现环路稳定。该电容器必须放置在靠近器件引脚的位置。电流限制对该输出进行接地短路保护。该输出还会在开通期间以及线路或负载瞬态期间限制输出电压过冲。

在进行初始 IGN 或 CANWU 循环通电后，该稳压器上的软启动电路会立即启动，所需时间通常为 1ms 至 2ms。该输出可能需要较大的输出电容器，以确保在负载瞬态期间输出不会降至低于所需的稳压规格。

结过热保护为内部 MOSFET 提供了过大功率耗散保护。如果 VDD5 引脚上发生过热情况，则通过清除 SENS_CTRL 寄存器中的 D4 位仅使 VDD5 稳压器关闭。要重新启用 VDD5 引脚，必须再次设置 SENS_CTRL 寄存器中的 D4 位。

5.3.3 VDD3/5 线性稳压器

VDD3/5 引脚是 3.3V 或 5V ±2% 过热和电池电源电压范围内的稳压电源。输出电压电平通过 SEL_VDD3/5 引脚进行选择（引脚开路将选择 3.3V，引脚接地将选择 5V）。在首次初始 IGN 或 CANWU 循环通电时直接对该选择引脚的状态进行采样和锁存。锁存之后，在首次初始 IGN 或 CANWU 循环通电之后该选择引脚状态的任何变化都不会更改初始选择的 VDD3/5 变压器状态。

需要使用低 ESR 陶瓷电容器以实现环路稳定。该电容器必须放置在靠近器件引脚的位置。电流限制对该输出进行接地短路保护。该输出还会在开通期间或者线路或负载瞬态期间限制输出电压过冲。

在进行初始 IGN 或 CANWU 循环通电后，该稳压器上的软启动电路会立即启动，所需时间通常为 1ms 至 2ms。该输出可能需要较大的输出电容器，以确保在负载瞬态期间输出不会降至低于所需的调节规格。

电流限制电路和结过热保护为内部 MOSFET 提供了过大功率耗散保护。如果在 VDD3/5 引脚上发生过热情况，TPS65381A-Q1 器件会进入待机模式（所有稳压器都关闭）。

5.3.4 VDD1 线性稳压器

VDD1 引脚是可调稳压电源（0.8V 至 3.3V）。该稳压器使用 ±2% 基准 (VDD1_SENSE)。外部反馈电阻分压器电阻器的容差会影响总体 VDD1 调节容差。为了降低片上功耗，使用了外部功率 NMOS。此外集成了环路控制器和栅极驱动器。TI 建议在外部功率 NMOS 的栅极和源极之间应用值介于 100kΩ 和 1MΩ 之间的电阻器。这样在开通期间或者线路或负载瞬态期间，VDD1 栅极输出受到限制，以防止栅极/源极过压应力。

在进行初始 IGN 或 CANWU 循环通电后，该稳压器上的软启动电路会立即启动，所需时间通常为 1ms 至 2ms。该软启动用于防止在启动时出现任何电压过冲。VDD1 输出可能需要较大的输出电容器，以确保在负载瞬态期间输出不会降至低于所需的调节规格。

VDD1 LDO 未配备用于外部 NMOS FET 的电流限制和过热保护功能。因此，建议通过 VDD6 引脚为 VDD1 引脚供电（请参阅Section 5.2）。这样，VDD6 引脚电流限制就用作 VDD1 引脚的电流限制，功率耗散也会受到限制。为了避免损坏外部 NMOS FET，建议所选 VDD1 引脚的电流额定值远高于最大指定 VDD6 电流限制。

如果未使用 VDD1 稳压器，则将 VDD1_G 和 VDD1_SENSE 引脚保持开路。VDD1_SENSE 引脚上的内部上拉器件可检测到连接开路并将 VDD1_SENSE 引脚上拉。这会强制调节环路降低 VDD1_G 输出。该机制还会屏蔽 VMON_STAT_2 寄存器中的 VDD1_OV 标志，因此还会屏蔽 VDD1 过压 (OV) 条件下的 ENDRV 引脚操作。这些操作与将 DEV_CFG1 寄存器中的 NMASK_VDD1_UV_OV 位清零等效。VDD1_SENSE 引脚上的该内部上拉器件还会在与 VDD1_SENSE 的连接开路时防止 MCU 内核电源上产生实际 VDD1 过压。因此，在这种情况下，VDD1 输出电压为 0V。

默认情况下，禁用 VDD1 监控。如果在应用中使用了 VDD1 引脚，那么 TI 建议在器件处于诊断状态时将 DEV_CFG1 寄存器中的 NMASK_VDD1_UV_OV 位设置为 1。利用该设置，可以在检测到 VDD1 欠压事件时驱动并延长外部 MCU 复位。

5.3.5 VSOUT1 线性稳压器

VSOUT1 稳压器是具有以下两种不同模式的稳压电源：跟踪模式和非跟踪模式。模式选择通过 VTRACK1 引脚实现。当 VTRACK1 引脚上施加的电压高于 1.2V 时，VSOUT1 引脚处于跟踪模式。当 VTRACK1 引脚接地短路时，VSOUT1 稳压器处于非跟踪模式。该模式选择在首次 VDDx 电源轨上升期间发生，并在首次 VDDx 上升结束后锁存。因此，VDDx 上升完成之后，VTRACK1 引脚上的任何变化都不再影响所选的跟踪或非跟踪模式。

在跟踪模式下，VSOUT1 稳压器跟踪 VTRACK1 引脚上的输入基准电压，并具有由外部电阻分压器决定的增益系数。VTRACK1 和 VSFB1 引脚之间的跟踪失调电压为 ±35mV。例如，该模式允许 VSOUT1 输出电压在跟踪 VDD3 (3.3V) 电源时为 5V。在单位增益反馈中，VSOUT1 输出电压可能直接遵循 VDD5 引脚或 VDD3 引脚。

在非跟踪模式下，VSOUT1 输出电压与 VSFB1 引脚上的 2.5V 固定基准电压成正比，并具有由外部电阻分压器决定的增益系数。该模式允许 VSOUT1 引脚电压为内部基准电压的任何倍数。

在跟踪和非跟踪模式下，VSOUT1 输出电压必须为 3.3V 或更高。VSOUT1 稳压器可以在指定限制内跟踪采用 3.3V 设置的 VDD3/5 引脚。

VSOUT1 稳压器具有用于降低内部功率耗散的单独输入电源。例如，对于 3.3V 或 5V 输出电压，VDD6 电源可以用作输入电源。对于大于 5V 的输出电压，VBATP 引脚可以用作输入电源。内部 FET 的最大功率耗散不得超过 0.6W，以避免过热（热关断）。

需要使用低 ESR 陶瓷电容器以实现环路稳定；该电容器必须放置在靠近器件引脚的位置。该电源会在开通期间或者线路或负载瞬态期间限制输出电压过冲。

该电源轨会超出 ECU，因此由电流限制为其提供外部机箱接地短路保护。电源轨可能在指定的短路电压范围 VSOUT1_SH 内在外部发生短路。如果输出可能在对指定的短路电压范围之外的电压短路，则需要提供额外的外部保护。

在启动时默认禁用 VSOUT1 稳压器。在 NRES 引脚释放后，MCU 可以通过使用 SPI 命令设置 SENS_CTRL 寄存器中的 D0 位来启用 VSOUT1 稳压器。在执行该 SPI 命令之后，该稳压器上的软启动电路会立即启动，所需时间通常为 1ms 至 2ms。该输出可能需要较大的输出电容器，以确保在负载瞬态期间输出不会降至低于所需的调节规格。无论是处于跟踪模式还是处于非跟踪模式，VSFB1 引脚都会在软启动完成后变至所需的值。

电流限制电路和结过热保护为内部 MOSFET 提供了过大功率耗散保护。如果 VSOUT1 引脚上发生过热情况，则通过清除 SENS_CTRL 寄存器中的 0 位仅使 VSOUT1 稳压器关闭。要重新启用 VSOUT1 引脚，首先必须在读取时清除 SAFETY_STAT 1 寄存器中的 2 位，然后必须再次设置 SENS_CTRL 寄存器中的 0 位。

VSOUT1 引脚电压可由 MCU 的 ADC 输入通过 DIAG_OUT 引脚进行观察（请参阅Section 5.4.9），这样就可以在启用 VSOUT1 LDO 之前检测到对任何其他电源的短路情况。

5.3.6 电荷泵

电荷泵用于通过 VBATP 电源生成过驱电压，而 VBATP 电源则用于驱动 VDDx 和 VSOUT1 电源轨中内部 NMOS FET 的栅极。电荷泵是迟滞架构，当 VCP 电压足够高时，CP_OV 位会设置并且电荷泵停止泵浦，直到 VCP 电压降至低于阈值，此时 CP_OV 位将清除并且电荷泵再次开始泵浦。通过线性稳压器 VCP12 和 VCP17 在内部为器件提供电荷泵过驱。此外，该过驱电压可以驱动用作电池反向保护的外部 NMOS FET 的栅极。传统电池反向阻断二极管相比，此类电池反向保护支持以更低的电池电压运行。在使用电荷泵 (VCP) 驱动 NMOS 的栅极以实现电池反向保护时，必须在 VCP 引脚和 NMOS FET 的栅极之间连接一个大约 10kΩ 的串行电阻（请参阅Section 5.2）。需要使用该串联电阻在 NMOS FET 的栅极被驱动至负电压时限制任何流出 VCP 引脚的电流，因为 VCP 引脚的绝对最大额定值由于连接至基板（接地）的寄生反向二极管被限制为 –0.3V。

电荷泵需要两个外部电容器、一个泵电容 (C_pump) 和一个储能电容 (C_store)。为在低电池电压下也能通过电荷泵提供足够的过驱电压，VCP 引脚上的外部负载电流必须小于 100µA。

5.3.7 唤醒

TPS65381A-Q1 器件具有两个唤醒引脚：IGN 和 CANWU。两个引脚都具有 2V 至 3V 的唤醒阈值以及 50mV 至 200mV 的迟滞。

IGN 唤醒引脚是电平敏感型引脚，能够以 IGN_deg 抗尖峰脉冲（滤波）时间进行抗尖峰脉冲。TPS65381A-Q1 器件为该 IGN 引脚提供电源锁存功能 (POST_RUN)，允许 MCU 决定何时通过 SPI 命令关断 TPS65381A-Q1 器件。为此，MCU 必须在 SPI SAFETY_FUNC_CFG 寄存器中设置 IGN 电源锁存位 4 (IGN_PWRL)，并且在 SPI 寄存器 DEV_STAT 位 0 (IGN) 上读取抗尖峰脉冲（滤波）IGN 引脚的取消锁存状态。要进入待机状态，MCU 必须清除 IGN_PWRL 位。为此，TPS65381A-Q1 器件必须处于诊断状态，因为该 SPI 寄存器仅在诊断状态下可写。IGN_PWRL 位也会在检测到 CANWU 唤醒事件后清除。此外，TPS65381A-Q1 器件可在 POST_RUN 期间检测到 IGN 唤醒事件后提供可选的到复位状态的转换（请参阅Figure 5-2）。

CANWU 引脚是电平敏感型引脚，能够以 CANWU_deg（滤波）时间进行抗尖峰脉冲。抗尖峰脉冲（滤波）CANWU 唤醒信号会锁存至 CANWU_L，允许 MCU 决定何时通过 WR_CAN_STBY SPI 命令关断 TPS65381A-Q1 器件。

IGN 和 CANWU 引脚是高电压引脚。如果这些引脚连接至具有瞬态的线路，则应在应用中提供适当的滤波和保护，以确保这些引脚处于指定的电压范围内。

5.3.8 复位延长

在上电事件期间，TPS65381A-Q1 器件会在 VDD3/5 和 VDD1 引脚越过各自的欠压阈值时通过 NRES 引脚以特定的延迟时间（复位延长时间）向外部 MCU 发送复位通知。

该复位延长时间可以通过 RESEXT 引脚与接地之间的电阻器从外部进行配置。在将 RESEXT 引脚接地短路时，最短复位延长时间通常为 1.4ms。对于 22kΩ 的外部电阻器而言，典型的复位延长时间为 4.5ms。

5.4.1 上电和断电行为

Figure 5-1 显示了上电和断电行为。

1. 在上电事件期间，模拟 BIST (ABIST) 会在 VDD6 轨电压高于欠压阈值后自动启动。如果 ABIST 启动失败，则器件会转换至安全状态。

2. 器件可能无法在 BIST 期间响应 MCU SPI 通信，因此如果 MCU 的引导速度快于 BIST，那么它应一直等到 BIST 完成才能使用 SPI 通信。如果 ABIST、LBIST 或者两者均启动失败，则器件会转换至安全状态。

3. ENDRV 引脚的电平大小取决于看门狗故障计数器 WD_FAIL_CNT[2:0]、ENABLE_DRV 位以及Figure 5-14 中显示的信号。MCU 只应在 WD_FAIL_CNT[2:0] 计数器低于 5 时设置 ENABLE_DRV 位。

Figure 5-1 上电和断电行为

1. 在 VBAT 缓慢下降情况下以及当 VDD3/5 轨电压配置为 5V 电源轨时，NRES 输出可能会在 VBAT 处于大约 6.3V 时被拉低。这是由 VDD3/5 电源轨上的欠压瞬态导致的。

2. 在 VBAT 缓慢上升情况下以及当 VDD3/5 轨电压配置为 5V 电源轨时，NRES 输出可能会在 VBAT 处于大约 6.6V 时被拉低。这是由 VDD3/5 电源轨上的欠压瞬态导致的。

3. 在类似的情况下，可以在 VDD5 和 VSOUT1 电源轨上观察到欠压瞬态。

Figure 5-2 IGN 电源锁存和 POST_RUN 复位

5.4.2 安全功能和诊断概述

TPS65381A-Q1 器件适用于汽车和工业安全相关 应用。下列监控和保护块可用提高诊断覆盖率并减小未检测到故障的比率：

• 电压监控器 (VMON)
• 针对安全模拟块的模拟内置自检 (ABIST) 诊断
• 针对安全控制器功能的逻辑内置自检 (LBIST)
• 时钟丢失监控器 (LCMON)
• 针对所有具有内部 FET 的电源的结温监控
• 针对所有电源的电流限制
• 用于外部监控诊断和调试的模拟多路复用器 (AMUX)
• 用于外部监控诊断和调试的数字多路复用器 (DMUX)
• 可配置为触发模式（打开和关闭窗口）或问答模式的看门狗
• 用于监控功能安全架构 MCU 的错误输出的 MCU 错误信号监控器 (ESM)
• 用于外部功率级或外设唤醒的受控和受保护使能输出 (ENDRV)
• 器件配置寄存器 CRC 保护
• 带奇偶校验的 SPI 命令解码器
• SPI 数据输出反馈校验
• 用于初始化外部 MCU 的复位电路
• EEPROM 模拟调整内容 CRC 保护
• 在检测到错误事件时具有安全状态的器件状态控制器

5.4.3 电压监控器 (VMON)

VBAT 电源电压、所有稳压器输出和内部生成的电压由电压监控器模块 (VMON) 进行监控。欠压或过压情况由相应的 VMON 寄存器状态标志位进行指示：

• 当电源处于规格范围之内时 VMON 标志位会清零
• 当电源超出容差范围时 VMON 标志位设置为 1

监控通过欠压和过压比较器实现。VMON 模块的基准电压 (BANDGAP_REF2) 独立于稳压器使用的系统基准电压 (BANDGAP_REF1)。尖峰脉冲滤波功能可确保在无 VMON 状态标志位错误设置的情况下进行可靠的监控。完整的 VMON 块由单独的电源引脚 VBAT_SAFING 供电。

VMON 比较器诊断涵盖在器件启动和上电期间执行的 ABIST 中，或者在器件处于诊断或活动状态时由外部 MCU SPI 请求通过 SPI 命令激活。每个受监控的电压轨均在相应的比较器输入上针对欠压和过压情况进行仿真，因此这会强制相应的比较器进行多次切换（处于由 ABIST 控制器监视和检查的切换模式）。在该自检过程中，受监控的电压轨自身不受影响，因此在其中的任何电压轨上都不会由于该自检发生实际欠压或过压事件。

Table 5-1 列出了所执行的电压监控概述。如此表所示，针对部分内部电源轨实施了过压保护。

5.4.4 TPS65381A-Q1 内部错误信号

Table 5-2 提供了有关 TPS65381A-Q1 器件内部错误信号以及这些信号对器件行为的影响的概述。

5.4.5 时钟丢失监控器 (LCMON)

LCMON 检测内部振荡器故障，包括：

• 振荡器时钟卡在高电平或卡在低电平
• 时钟频率降低

在释放上电复位 (NPOR) 之后，在上电事件期间会启用 LCMON。在器件正常运行（待机、复位、诊断、活动和安全状态）期间，时钟监控器保持活动状态。如果发生时钟故障：

• 器件转换至待机状态。
• 所有稳压器禁用。
• 数字内核重新初始化。
• 外部 MCU 复位置于低电平。
• 故障情况由 SAFETY_STAT_4 寄存器中的 LOCLK 位进行指示。

LCMON 具有由模拟 BIST (ABIST) 激活和监控的自检结构。当器件处于诊断状态或激活状态时，外部 MCU 可以随时重新检查 LCMON。已启用诊断对导致时钟监控器输出进行切换的时钟故障进行仿真。时钟监控器切换模式由 ABIST 进行检查，同时外部 MCU 可以在活动检测期间检查时钟丢失状态位是否设置。在该自检期间，实际振荡器频率 (4MHz) 不会由于该自检而变化。

5.4.6 模拟内置自检 (ABIST)

ABIST 是用于对关键模拟功能执行自检诊断的控制器和监控器电路：

• VMON 欠压和过压比较器
• 时钟监控器 (LCMON)
• EEPROM 模拟调整内容校验（CRC 保护）

在对 VMON 欠压和过压比较器进行自检期间，受监控的电压轨保持不变，因此在其中的任何电压轨上都不会由于这些自检发生实际欠压或过压事件。此外，在对时钟监控器进行自检期间，实际振荡器频率 (4MHz) 也不会因该自检而变化。

1. 有关任何 ABIST 功能失败对器件状态产生影响的信息，请参阅Section 5.4.19。

Figure 5-3 模拟 BIST 运行状态

ABIST 在每次发生器件上电事件或任何到复位状态的转换时激活。还可以通过在 SAFETY_BIST_CTRL 寄存器中设置 ABIST_EN 位由外部 MCU 运行 ABIST。在 ABIST 运行期间，器件无法监控稳压电源的状态，并且 ENDRV 引脚会被拉低。ABIST 运行时间大约为 300µs。还可以按照 MCU 请求在活动状态下执行 ABIST，具体取决于系统安全要求（如系统故障响应时间），在 ABIST 运行期间 ENDRV 引脚将处于低电平。

正在运行的 ABIST 在 SAFETY_STAT_3 寄存器的 ABIST_RUN 位（D0 位）中进行指示。该位在 ABIST 运行期间设置成 1，并在 ABIST 完成后清零。如果在处于诊断状态时发生 ABIST 故障（包括上电事件），则器件会进入安全状态，而不会将复位外部 MCU 的信号变为有效，并且 ABIST_ERR 状态标志在数字内核中保持锁存状态，直到 ABIST 成功运行。这允许外部 MCU 通过读取 SAFETY_STAT_3 寄存器中的 ABIST_ERR 位来检测 ABIST 故障。如果在处于活动状态时发生 ABIST 故障，则器件会设置 ABIST_ERR 状态标志，但不会发生任何状态转换。

5.4.7 逻辑内置自检 (LBIST)

逻辑 BIST (LBIST) 测试数字内核安全功能。LBIST 具有以下特性：

• 应用可控制的逻辑 BIST 引擎，该引擎向数字内核应用测试矢量。
• LBIST 向被测试的逻辑块提供卡在故障测试覆盖范围。
• LBIST 运行时间通常为 4.2ms (±5%)。在执行 LBIST 之后会等待 16ms（典型值）以填充 LBIST 所覆盖的数字滤波器。在此期间，ABIST 会运行。总 BIST 时间大约为 21ms。在 BIST 期间 SPI 寄存器可能不可用，因此在 BIST 正在运行时不应进行任何 SPI 读取或写入。
• LBIST 引擎具有作为失效防护功能的超时计数器。

在上电事件期间任何退出复位状态的转换都会在诊断状态下激活和运行 BIST（LBIST 以及 ABIST）。除非设置了 SAFETY_BIST_CTRL 寄存器中的 AUTO_BIST_DIS 位，否则任何其他退出复位状态的转换也会激活 BIST。

通过在 SAFETY_BIST_CTRL 寄存器中设置 LBIST_EN 位，MCU 可以运行 LBIST (BIST)。

在 BIST 运行期间，器件无法监控稳压电源的状态并且无法响应任何 SPI 命令，因此无法通过看门狗计时器监控 MCU 的状态。在 BIST 运行期间，ENDRV 引脚会被拉低，并且看门狗失效计数器会重新初始化为 5。在 BIST 完成之后，以下功能和寄存器会重新初始化：

• DEV_STAT
• SAFETY_STAT_2
• SAFETY_STAT_4
• SAFETY_STAT_5（但 FSM[2:0] 会立即更新以反映当前器件状态）
• WD_TOKEN_VALUE
• WD_STATUS
• SAFETY_CHECK_CTRL
• DIAG_CFG_CTRL
• DIAG_MUX_SEL

正在运行的 LBIST 在 SAFETY_STAT_3 寄存器的 LBIST_RUN 位（D1 位）中进行指示。该位在 LBIST 运行时设置成 1，并在 LBIST 完成后清零。在 LBIST 运行之后，整个 BIST 完成由 MCU 通过针对 LBIST_RUN 和 ABIST_RUN 位读取 0 进行确认。

如果在诊断状态下发生 LBIST 故障，则器件进入安全状态。外部 MCU 可以通过读取 SAFETY_STAT_3 寄存器中的 LBIST_ERR 位来检测 LBIST 故障。如果在处于活动状态时发生 LBIST 故障，则器件会设置 LBIST_ERR 状态标志，但不会发生任何状态转换。由于在 LBIST 期间会运行 ABIST，因此 ABIST_ERR 位也可以由 MCU 进行监控。

5.4.8 结温监控和电流限制

每个具有内部功率 FET 的 LDO 都具有结温监控和过热保护（热关断）功能。如果发生过热情况，则稳压电源仅在过热情况消除之后才能重新启用。

对于 VSOUT1 稳压器，过热情况会禁用稳压器并清除使能位 (VSOUT1_EN)，同时所有其他稳压器保持启用。当 VSOUT1 过热情况消失后，外部 MCU 必须重新设置使能控制位以重新启用稳压器。

VDD3/5 和 VDD6 稳压器共享过热保护电路。过热事件会禁用 VDD3/5 稳压器。如果 NMASK_VDD3/5_OT 设置为 1（默认设置），则器件会转换至待机状态。如果 NMASK_VDD3/5_OT 位清零，则在 VDD3/5 输出达到 VDD3/5 变压器的 UV 电平时器件会转换至复位状态。在两种情况下，NRES 引脚都会变为低电平并将外部 MCU 复位，ENDRV 引脚为低电平。TI 建议在 NMASK_VDD3/5_OT 位设置为 1 的情况下使用该器件。

对于 VDD5 稳压器，过热情况会清除 VDD5_EN 使能位并转换为复位状态。NRES 引脚会变为低电平并将 MCU 复位，ENDRV 引脚为低电平。所有其他稳压器都保持启用。当 VDD5 过热情况消失后，MCU 必须重新设置使能控制位以重新启用稳压器。

VDD6、VDD3/5、VDD5 和 VSOUT1 稳压器包含电流限制电路，用于提供功耗过大和热过载保护。

Table 5-3 提供了电源输出轨的过热和过流保护概述。

5.4.9 诊断多路复用器和诊断输出引脚 (DIAG_OUT)

未直接连接至 MCU 的模拟和数字信号由多路复用器切换至外部 DIAG_OUT 引脚。多路复用器通过 DIAG_MUX_SEL 寄存器来实现信号切换。数字信号会经过缓冲以具有足够的驱动能力。

该多路复用器通过反馈输入引脚状态或反馈内部模块自检状态或安全比较器输出来利用外部引脚互联测试。

A. 这些模拟信号以某个分压比多路输出

B. 如果应用必须使用 MCU ADC 测量模拟信号并使用 MCU GPIO 监控数字信号，则应用设计必须确保 GPIO 输入级不影响 ADC 测量。如果在 MCU 内无法隔离 MCU GPIO，则应用设计必须在外部实现必要的隔离。

Figure 5-4 诊断输出引脚 DIAG_OUT

如果 DIAG_OUT 引脚连接至 MCU 的混合模拟或数字输入引脚，则 TI 建议根据所需的信号类型（模拟或数字）同时配置该 MCU 输入引脚和 DIAG_OUT 引脚。DIAG_OUT 引脚上的信号类型（模拟或数字）可以通过 DIAG_CFG_CTRL 寄存器中的 MUX_CFG[1:0] 位进行配置。DIAG_OUT 多路复用器可以通过 DIAG_CFG_CTRL 寄存器中的位 7 全局启用和禁用。在禁用时，DIAG_OUT 引脚处于高阻状态（三态）。

5.4.10 看门狗计时器 (WD)

看门狗监视 MCU 是否正常运行。该看门狗需要 MCU 以特定的时间间隔发出特定的触发或消息，以检测 MCU 是否正常运行。当看门狗检测到 MCU 正常运行时，MCU 可以通过 ENABLE_DRV 位控制 ENDRV 引脚的逻辑电平。当看门狗检测到 MCU 未正常运行时，器件会将 ENDRV 引脚拉低。该 ENDRV 引脚可以在应用中用作控制信号，用于在 MCU 未正常运行时停用电源输出级（例如电机驱动器）。因此该功能称为看门狗启用功能。

看门狗具有两种不同的模式，其定义如下：

要选择 Q&A 模式，MCU 必须在处于诊断状态时在安全功能配置寄存器 (SAFETY_FUNC_CFG) 中设置 WD_CFG 位（位 5）。当看门狗以 Q&A 模式运行时，可以使用 MCU 错误信号监控器 (ESM)。

5.4.11 看门狗失效计数器、状态和失效事件

看门狗包含看门狗失效计数器 (WD_FAIL_CNT[2:0])，该计数器的值会因不良事件 的增加而递增或因良好事件 的增加而递减。当看门狗失效计数器的值大于等于 5 时，看门狗处于超范围状态并且 ENDRV 引脚处于低电平（看门狗启用功能禁用）。

当看门狗失效计数器小于等于 4 时，看门狗处于在范围内状态并且看门狗不再禁用看门狗启用功能。在这种情况下，在设置 ENABLE_DRV 控制位（在 SAFETY_CHECK_CTRL 寄存器中）或器件未检测到其他影响 ENDRV 引脚电平的错误时器件会上拉 ENDRV 引脚。

看门狗失效计数器独立于 SAFETY_FUNC_CFG 寄存器中看门狗复位配置位（位 3）WD_RST_EN 的状态运行。

看门狗失效计数器的响应方式如下：

• 每发生一个良好事件，将失效计数器递减一，一直到最小值零。
• 每发生一个不良事件，将失效计数器递增一，一直到最大值七。
• 每发生一个超时事件，将失效计数器增加一，一直到最大值七，并设置 TIME_OUT 标志（WD_STATUS 寄存器位 1）。

Section 5.4.14和Section 5.4.15中列出了良好事件、不良事件 和超时事件 的定义。

Figure 5-5 看门狗对 ENDRV 和复位的影响

当器件进入诊断状态（在经历复位状态之后）时以及器件从诊断状态转换至活动状态时，看门狗失效计数器初始化至计数 5。

当看门狗失效计数器达到计数 7 时，另一个不良事件不会更改计数器：计数器保持为 7。不过，如果看门狗复位启用（SAFETY_FUNC_CFG 寄存器中的 WD_RST_EN 位设置为 1），则在下次发生不良事件 或超时事件 (7 + 1) 时器件会进入复位状态并且通过拉低 NRES 引脚使 MCU 复位。在复位状态下，看门狗失效计数器会重新初始化为 5。如果在 WD_RST_EN 位设置为 1 时看门狗失效计数器为七，则器件无需另一个不良事件 或超时事件 即会立即进入复位状态。

5.4.12 看门狗序列

每个看门狗序列以窗口 1 开始，后跟窗口 2。当器件处于诊断状态时，MCU 可以分别使用 WD_WIN1_CFG 和 WD_WIN2_CFG 寄存器对窗口 1 的时间周期 (t_WIN1) 和窗口 2 的时间周期 (t_WIN2) 进行编程。当器件从复位状态转至诊断状态时，看门狗序列以默认的 t_WIN1 和 t_WIN2 时间周期开始。

使用Equation 1 和Equation 2 来计算 t_WIN1 时间周期的最小值和最大值。使用Equation 3 和Equation 4 来计算 t_WIN2 时间周期的最小值和最大值。

如果 MCU 在看门狗序列期间停止发送事件 或停止对看门狗进行喂狗，则看门狗会将该缺少来自 MCU 的响应的情况视为超时事件（无响应事件）。这会设置 TIME_OUT 状态位（WD_STATUS 寄存器中的位 1）并使看门狗失效计数器递增。下一个看门狗序列会紧随超时事件 启动。

基于窗口 1 和窗口 2 时间周期，看门狗序列和超时时间周期的计算方法如下：

看门狗使用器件的内部系统时钟（±5% 精度）作为用于创建 0.55ms 看门狗时间阶跃的时间基准。窗口 1 可能最多比编程的值短一个 0.55ms 看门狗时间阶跃，如Equation 1 中所示。

5.4.13 MCU 与看门狗的同步

要使 MCU 与看门狗序列同步，MCU 可以向 WIN1_CFG 或 WIN2_CFG 寄存器进行写入以启动新的看门狗序列。在 MCU 对 WIN1_CFG 或 WIN2_CFG 寄存器进行写入访问（即使在这些寄存器已锁定或器件处于活动或安全状态时）之后，器件会立即启动新的看门狗序列并使看门狗失效计数器递增。因此，对 WD_WIN1_CFG 或 WD_WIN2_CFG 寄存器的写入访问仅在该新的看门狗序列中生效。

当 MCU 与看门狗序列同步后，来自 MCU 的良好事件 会立即启动一个新的看门狗序列。这样，MCU 就会与该看门狗序列保持同步。

有关如何将 MCU 与 TPS65381A-Q1 看门狗进行同步的示例软件流程图，请参阅Figure 6-11。

5.4.14 触发模式（默认模式）

当器件从复位状态转至诊断状态时，看门狗以触发模式（默认模式）运行。第一个看门狗序列以默认的 t_WIN1 和 t_WIN2 时间周期开始。看门狗在 ERROR/WDI 引脚上接收来自 MCU 的触发。如果 ERROR/WDI 引脚上产生一个上升沿，然后在经过长于所需脉冲时间 t_{WD_pulse(max)} (32μs) 的时间后在 ERROR/WDI 引脚上产生一个下降沿，那么这就是一个触发。即使具有较长持续时间的先高后低波形也会被计为触发（如果上升沿和下降沿符合该要求）。

窗口 1（称为关闭窗口）是看门狗序列中的第一个窗口。在窗口 1 中接收到的触发是不良事件，会终止窗口 1，启动新的看门狗序列并设置 ANSWER_EARLY 标志。

窗口 2（称为打开窗口）紧随窗口 1。窗口 2 至少持续到接收触发。窗口 2 至多持续到编程设定的 t_WIN2 时间。在窗口 2（打开）中接收到的触发是良好事件。看门狗在窗口 2 中接收到触发后，新的看门狗序列会立即开始。

如果 MCU 在看门狗序列期间停止发送触发，则看门狗会将该缺少来自 MCU 的响应的情况视为超时事件（无响应事件）。这会设置 TIME_OUT 状态位（WD_STATUS 寄存器中的位 1）并使看门狗失效计数器递增。新的看门狗序列会紧随超时事件 启动。

TIME_OUT 标志有助于 MCU 软件将看门狗触发脉冲事件与所需的器件看门狗计时同步。在以这种方式进行同步时，MCU 会检测所设置的 TIME_OUT 标志。所设置的 TIME_OUT 标志指示超时事件 和新看门狗序列启动。MCU 应该发送带计时功能的触发，以便触发处于该新看门狗序列的窗口 2（打开）中。

在触发模式下，看门狗使用具有 t_{WD_pulse} 滤波器时间的抗尖峰脉冲滤波器和内部系统时钟来创建内部生成的看门狗脉冲（请参阅Figure 5-6 和Figure 5-7）。

ERROR/WDI 引脚上的触发的上升沿必须至少在窗口 2（打开）终止之前的 t_{WD_pulse(max)} 时间发生，以生成良好事件。

当器件处于诊断状态时，窗口 1（关闭）和窗口 2（打开）的窗口持续时间可以通过 WD_WIN1_CFG 和 WD_WIN2_CFG 寄存器进行编程。在触发模式下，窗口持续时间如下：

使用Equation 1 和Equation 2 来计算 t_WIN1 = t_WCW 时间周期的最小值和最大值。使用Equation 3 和Equation 4 来计算 t_WIN2 = t_WOW 时间周期的最小值和最大值。

立即向 WD_WIN1_CFG 或 WD_WIN2_CFG 寄存器写入新的窗口 1 或窗口 2 时间会开始新的看门狗序列并使看门狗失效计数器递增。即使在 WD_WIN1_CFG 寄存器和 WD_WIN2_CFG SPI 寄存器锁定时写入也会启动新的看门狗序列，因为器件未处于诊断状态或 SPI 命令 SW_LOCK 阻止对寄存器值进行写入更新。

如果在窗口 2（打开）窗口期间接收，则看门狗触发事件被视为良好事件，如果在窗口 1（关闭）窗口期间接收，则被视为不良事件。良好事件 会终止当前看门狗序列并启动新的看门狗序列，因此 MCU 和器件看门狗计时会保持同步。

良好事件、不良事件、超时事件、上电事件或断电事件会终止当前看门狗序列并启动新的看门狗序列。

A. 在窗口 2 中接收到良好事件 时，会在 1 个系统时钟周期（典型值 250ns）之后开始下一个看门狗序列。因此，窗口 2 的实际长度取决于 MCU 何时发送良好事件。

Figure 5-6 触发模式下良好事件的示范案例

A. 在发生超时事件 时，会在 1 个系统时钟周期（典型值 250ns）之后开始下一个看门狗序列。

B. 默认情况下 WD_RST_EN = 0。要启用在 WD_FAIL_CNT[2:0] = 7 +1 时通过看门狗进行复位，WD_RST_EN 必须设置为 1。WD_FAIL_CNT[2:0] = 7 +1 表示法意味着如果在 WD_RST_EN = 1 时 WD_FAIL_CNT[2:0] = 7，则下一个 (+ 1) 不良事件 或超时事件 将导致转换至复位状态。不过，当 WD_RST_EN = 0 时，WD_FAIL_CNT[2:0] 计数器不会递增至超过 7，并且看门狗不会导致转换至复位状态。

C. 在窗口 1 中接收到不良事件 时，会在 1 个系统时钟周期（典型值 250ns）之后开始下一个看门狗序列。因此，窗口 1 的实际长度取决于 MCU 何时发送不良事件。

Figure 5-7 触发模式下不良事件 和超时事件 的示范案例

5.4.15 Q&A 模式

在器件处于诊断状态时将 SAFETY_FUNC_REG 寄存器中的 WD_CFG 位设置为 1 可以将看门狗配置为 Q&A（问答）模式。在 Q&A 模式下，器件会在 WD_TOKEN_VALUE 寄存器中向 MCU 提供问题（或令牌）。MCU 会对问题执行一系列固定的算术运算，以计算所需的 32 位应答。该应答分为四个应答字节或响应。MCU 通过 SPI 以一次一个字节的方式将这些应答字节写入 WD_ANSWER 寄存器。器件验证 MCU 是否在指定的计时窗口内返回了应答字节以及应答字节是否正确。

当 MCU 在正确的看门狗窗口内按照正确的顺序发送针对当前问题计算的正确应答后，会发生良好事件。

发生以下事件之一时会发生不良事件：

• MCU 发送正确的应答字节，但不在正确的看门狗窗口中。
• MCU 发送的应答字节计算错误。
• MCU 以错误的顺序（序列）返回正确的应答字节。

如果 MCU 在看门狗序列期间停止发送应答字节，则看门狗会将该缺少来自 MCU 的响应的情况视为超时事件（无响应事件）。这会设置 TIME_OUT 状态位（WD_STATUS 寄存器中的位 1）并使看门狗失效计数器递增。新的看门狗序列会紧随超时事件 启动。

TIME_OUT 标志有助于 MCU 软件将看门狗应答计时与所需的器件看门狗计时同步。在以这种方式进行同步时，MCU 会检测所设置的 TIME_OUT 标志。所设置的 TIME_OUT 标志指示超时事件 和新看门狗序列启动。MCU 应该发送带计时功能的应答字节，以便它们处于新看门狗序列的正确窗口中。

5.4.15.2 Q&A 模式下的看门狗序列

在 MCU 写入第四个应答字节应答 0 (WD_TOKEN_RESP_0) 之后或在发生超时事件之后，Q&A 模式下的看门狗序列将终止。前一个看门狗序列终止之后，新的看门狗序列将启动。

当器件处于诊断状态时，窗口 1（打开）和窗口 2（关闭）的窗口持续时间可以通过 WD_WIN1_CFG 和 WD_WIN2_CFG 寄存器进行编程。在 Q&A 模式下，窗口持续时间如下：

Equation 11. t_{WOW_MIN}（Q&A 模式）= t_{WIN1_MIN}

where

• WOW 是看门狗打开窗口
  

Equation 12. t_{WOW_MAX}（Q&A 模式）= t_{WIN1_MAX}

where

• WOW 是看门狗打开窗口
  

Equation 13. t_{WCW_MIN}（Q&A 模式）= t_{WIN2_MIN}

where

• WCW 是看门狗关闭窗口
  

Equation 14. t_{WCW_MIN}（Q&A 模式）= t_{WIN2_MIN}

where

• WCW 是看门狗关闭窗口
  

使用Equation 1 和Equation 2 来计算 t_WIN1 = t_WOW 时间周期的最小值和最大值。使用Equation 3 和Equation 4 来计算 t_WIN2 = t_WCW 时间周期的最小值和最大值。

立即向 WD_WIN1_CFG 或 WD_WIN2_CFG 寄存器写入新的窗口 1 或窗口 2 时间会开始新的看门狗序列并使看门狗失效计数器递增。即使在 WD_WIN1_CFG 寄存器和 WD_WIN2_CFG SPI 寄存器锁定时写入也会启动新的看门狗序列，因为器件未处于诊断状态或 SPI 命令 SW_LOCK 阻止对寄存器值进行写入更新。

1. MCU 无需读取问题（令牌）。在窗口 1 或窗口 2 的任何位置，MCU 都可以开始提供正确的应答字节应答 3、应答 2、应答 1。只要应答是良好事件，就会在最后的应答 0 之后的 1 个系统时钟周期内生成新的问题（令牌）并启动新的看门狗序列。不良事件 或超时事件 会导致启动新的看门狗序列，不过不会生成新的问题（令牌）。

2. MCU 可能会在 WR_WD_ANSWER 命令之间放置其他 SPI 命令（即使重新请求问题也是如此）。只要四个正确的应答字节遵循正确的顺序并且第四个正确的应答字节在窗口 2 中提供，那么这些 SPI 命令对良好事件 检测就没有影响。

Figure 5-8 Q&A 模式下的看门狗序列

5.4.15.3 问题（令牌）生成

看门狗使用 4 位令牌计数器（Figure 5-9 中的 TOKEN_CNT[3:0] 位）和 4 位马尔可夫链来生成 4 位问题（令牌）。MCU 可以在 WD_TOKEN_VALUE 寄存器 TOKEN[3:0] 位中读取该问题。当令牌计数器递增时，看门狗会生成新的问题，这仅在看门狗检测到良好事件 时发生。当看门狗检测到不良事件 或超时事件 时，它不会生成新的问题。对于在 MCU 对 WD_WIN1_CFG 或 WD_WIN2_CFG 寄存器进行写入之后启动的看门狗序列，看门狗不会生成新的问题。

当令牌计数器从 1111b 转换为 0000b 时，它会向马尔可夫链提供一个时钟脉冲。当器件完成 LBIST（在从复位转换至诊断状态时进行手动 LBIST 运行或自动 LBIST 运行）后，问题计数器和马尔可夫链将设置为奇异默认值 0000b。为了离开奇异点，实施了反馈逻辑组合。

Figure 5-9 显示了用于问题（令牌）生成的逻辑组合。问题位于 WD_TOKEN_VALUE 寄存器 TOKEN[3:0] 位中。

令牌计数器与 WD_ANSW_CNT[1:0] 状态位（位于 WD_STATUS 寄存器中）的逻辑组合可生成参考应答字节，如Figure 5-9 中所示。

1. 值 0000b 是特殊种子，等于 0001b，在上电期间包含默认负载 0000b。

Figure 5-9 看门狗问题（令牌）生成

Figure 5-10 看门狗应答计算

5.4.16 MCU 错误信号监控器 (MCU ESM)

该模块通过 ERROR/WDI 输入引脚来监控从外部 MCU 发送至器件的错误情况。MCU ESM 可配置为监视两个不同的信号，具体取决于监视哪个功能安全架构 MCU 系列以及特定的 MCU 系列如何在错误或故障输出引脚上指示不正常的运行。MCU ESM 模式可通过 SAFETY_FUNC_CFG 寄存器中的 ERROR_CFG 位进行选择。

在 TMS570 模式下，ESM 检测具有可编程低电平脉冲持续时间阈值的低电平脉冲信号（请参阅Section 5.4.16.1）。当 ERROR_CFG 位设置为 1 时会选择该模式。在 PWM 模式下，ESM 检测具有可编程频率和占空比的 PWM 信号（请参阅Section 5.4.16.2）。当 ERROR_CFG 位清零（默认设置）时会选择该模式。PWM 模式可用作外部时钟监控器功能。

默认情况下 MCU ESM 处于停用状态。要将其激活，请将 SAFETY_CHECK_CTRL 寄存器中的 NO_ERROR 位清零。

低电平信号发送持续时间阈值（对于 TMS570 模式）或预期的低电平脉冲持续时间（对于 PWM 模式）可通过 SAFETY_ERR_PWM_L 寄存器进行设置。预期的 PWM 高电平脉冲持续时间（对于 PWM 模式）可通过 SAFETY_ERR_PWM_H 寄存器进行设置。当 SAFETY_ERR_STAT 寄存器中的 ERROR_PIN_FAIL 位设置为 1 时，会指示检测到的 MCU 信号发送错误。

当 TPS65381A-Q1 器件处于诊断状态时，MCU 可以对信号发送错误进行仿真（仿真故障注入），从而通过在 NO_ERROR 位清零（MCU ESM 启用）时检查 ERROR_PIN_FAIL 位的状态对错误信号监控器进行诊断检查（无需转换至安全状态）。

当 TPS65381A-Q1 器件处于活动状态时，监测到的 MCU 信号发送错误会导致转换至安全状态。专用 4 位错误计数器（SAFETY_ERR_STAT 寄存器中的 DEV_ERR_CNT[3:0] 位）对从活动状态到安全状态的转换进行计数。

该模块处于逻辑 BIST (LBIST) 覆盖范围之内。

5.4.16.1 TMS570 模式

当 ERROR/WDI 引脚处于低电平的时间长于由 SAFETY_ERR_PWM_L 寄存器以编程方式设置的时长时，会检测到错误情况。可编程时间范围为 5µs 至 1.28ms（典型值），阶跃为 5µs (±5%)。

必须根据 TMS570 MCU 检测错误或故障以及可能从错误或故障恢复或更正错误或故障所需的最长时间将 SAFETY_ERR_PWM_L 寄存器设置为所需的值。

低电平持续时间如下：

Equation 15. t_{TMS570_LOW_MIN} = (PWML[7:0]) × 5µs × 0.95

Equation 16. t_{TMS570_LOW_MAX}= (PWML[7:0] + 1) × 5µs × 1.05

使用Equation 15 和Equation 16 来计算低电平持续时间 t_{TMS570_LOW} 的最小值和最大值。Figure 5-11 显示了错误检测案例情形。

NOTE

SAFETY_ERR_PWM_L 寄存器 (PWML[7:0]) 应配置为寄存器中最低为 1 (01h)。

ERROR/WDI 引脚上的低电平脉冲监控实现方式如下：

• 当 NO_ERROR 位清零后，ERROR/WDI 引脚上的每个下降沿都会在一个系统时钟周期 (250ns ±5%) 内将低电平脉冲持续时间计数器重新初始化为 0。
• 在重新初始化之后，低电平脉冲计数器会在一个系统时钟周期 (250ns ±5%) 之后重新启动。
• 只要 ERROR/WDI 引脚处于低电平，低电平脉冲持续时间计数器就会每 5µs（精度为 ±5%）递增一次。ERROR/WDI 引脚上的上升沿会停止低电平脉冲持续时间计数器。
• 当低电平脉冲持续时间计数器等于 SAFETY_ERR_PWM_L 寄存器设置时，会检测到一个错误。

在检测到 MCU 信号发送错误之后，会在一个系统时钟周期 (250ns ± 5%) 内设置 SAFETY_ERR_STAT 寄存器中的 ERROR_PIN_FAIL 位。当器件处于活动状态时，再经过一个系统时钟周期之后会发生到安全状态的转换。

Figure 5-11 TMS570 模式下的错误检测案例情形

5.4.16.2 PWM 模式

在 ERROR/WDI 引脚上发生以下情况之一时，会检测到错误情况：

• ERROR/WDI 引脚高电平脉冲持续时间超出由 PWM_H 寄存器以编程方式设置的阈值。
• ERROR/WDI 引脚低电平脉冲持续时间超出由 PWM_L 寄存器以编程方式设置的阈值。

如果同时发生以下两种情况，则 MCU ESM 不会在 ERROR/WDI 引脚上检测到 MCU 信号发送错误：

• ERROR 引脚高电平脉冲持续时间小于由 PWM_H 寄存器以编程方式设置的阈值。
• ERROR 引脚低电平脉冲持续时间小于由 PWM_L 寄存器以编程方式设置的阈值。

预期高电平和低电平脉冲持续时间的可编程时间范围为 15µs 至 3.8ms（典型值），分辨率阶跃为 15µs (±5%)。当器件处于诊断状态时，高电平和低电平脉冲持续时间可通过 SAFETY_ERR_PWM_H 和 SAFETY_ERR_PWM_L 寄存器以编程方式进行设置。脉冲持续时间如下：

Equation 17. t_{PWM_HIGH_MIN} = (PWMH[7:0]) × 15µs × 0.95

Equation 18. t_{PWM_HIGH_MAX} = (PWMH[7:0] + 1) × 15µs × 1.05

Equation 19. t_{PWM_LOW_MIN} = (PWML[7:0]) × 15µs × 0.95

Equation 20. t_{PWM_LOW_MAX}= (PWML[7:0] + 1) × 15µs × 1.05

使用Equation 17 和Equation 18 来计算高电平脉冲持续时间 t_{PWM_HIGH} 的最小值和最大值。使用Equation 19 和Equation 20 来计算低电平脉冲持续时间 t_{PWM_LOW} 的最小值和最大值。

NOTE

SAFETY_ERR_PWM_H (PWMH[7:0]) 和 SAFETY_ERR_PWM_L (PWML[7:0]) 寄存器应配置为寄存器中最低为 1 (01h)。

高电平脉冲持续时间和低电平脉冲持续时间监视的实现方式如下：

低电平脉冲监视：

• 当 ERROR/WDI 引脚处于低电平时，ERROR/WDI 引脚上的每个下降沿或将 NO_ERROR 位从 1 设置为 0 会在一个系统时钟周期 (250ns ±5%) 内将低电平脉冲持续时间计数器重新初始化为 0。
• 在重新初始化之后，低电平脉冲计数器会在一个系统时钟周期 (250ns ±5%) 之后重新启动。
• 当 ERROR/WDI 引脚保持为低电平时，低电平脉冲持续时间计数器会每 15µs (±5%) 递增一次。
• 当低电平脉冲持续时间计数器等于 SAFETY_ERR_PWM_L 寄存器设置时，会检测到一个错误。

高电平脉冲监视：

• 当 ERROR/WDI 引脚处于高电平时，ERROR/WDI 引脚上的每个上升沿或将 NO_ERROR 位从 1 设置为 0 会在一个系统时钟周期 (250ns ±5%) 内将高电平脉冲持续时间计数器重新初始化为 0。
• 在重新初始化之后，高电平脉冲计数器会在一个系统时钟周期 (250ns ±5%) 之后重新启动。
• 当 ERROR/WDI 引脚保持为高电平时，高电平脉冲持续时间计数器会每 15µs（精度为 ±5%）递增一。
• 当高电平脉冲持续时间计数器等于 SAFETY_ERR_PWM_H 寄存器设置时，会检测到一个错误。

NOTE

ERROR/WDI 引脚是边沿触发型引脚，用于将 MCU 与 MCU ESM 模块同步，在诊断模式下，MCU 应开始发送所需的 PWM 信号。在第一个下降沿或上升沿，MCU ESM 会检测到该边沿并与该边沿同步启动内部计时器，因此 MCU 与 MCU ESM 会同步。MCU ESM 会在每个上升沿和下降沿与 MCU 重新同步。当处于诊断状态时，如果发生同步，则应该会清除 ERROR_PIN_FAIL 标志。

在检测到 MCU 信号发送错误之后，会在一个系统时钟周期 (250ns ±5%) 内设置 SAFETY_ERR_STAT 寄存器中的 ERROR_PIN_FAIL 位。当器件处于活动状态时，再经过一个系统时钟周期之后会发生到安全状态的转换。

Figure 5-12 PWM 模式下的错误检测案例情形

5.4.17 器件配置寄存器保护

该功能通过 SPI 写入访问保护和 CRC 校验来保护安全 SPI 映射寄存器。

寄存器访问保护包括两种独特的 功能：

• 在设置写入访问锁定保护之后无法对寄存器进行写入。可以通过软件或上电复位来清除锁定。
• 针对配置寄存器的 CRC 保护。

在 SPI 写入更新之后会在安全数据上发生 CRC，以验证是否已对 SPI 寄存器内容进行正确编程。CRC 控制器是一个诊断模块，可通过执行 CRC 来验证 SPI 映射寄存器空间的完整性。内容读入 CRC 控制器之后，会获取表示安全寄存器内容的签名。CRC 控制器的职责是为一组数据计算签名，然后将计算出的签名值与预先确定的良好签名值进行比较。预先确定的 CRC 签名值存储在 SAFETY_CFG_CRC 寄存器中。外部 MCU 使用 SAFETY_CHECK_CTRL 寄存器来启用 CRC 校验并使用 SAFETY_STAT_2 寄存器来监视状态。启用之后，会对配置寄存器执行 CRC 校验。如果检测到签名错误，将在 SAFETY_STAT_2 SPI 寄存器中设置 CFG_CRC_ERR 标志。器件状态和 ENDRV 引脚状态保持不变。如果检测到处于诊断状态的 TPS65381A-Q1 器件发生校验和错误，那么将 CFG_CRC_EN 位清零会使 TPS65381A-Q1 器件进入安全状态（ENDRV 引脚被拉低）。

采用了标准 CRC-8 多项式：X8 + X2 + X1 + 1

CRC 监控器测试处于逻辑 BIST 覆盖范围之内。

64 位字符串由 CRC 进行保护。以下寄存器受到保护：

• SAFETY_FUNC_CFG
• DEV_REV
• SAFETY_PWD_THR_CFG
• SAFETY_ERR_CFG
• WD_TOKEN_FDBK
• WD_WIN2_CFG
• WD_WIN1_CFG
• SAFETY_ERR_PWM_L
• DEV_CFG2
• DEV_CFG1（仅第 6 位）

Table 5-13 列出了 CRC 总线结构。

在外部 MCU 中，CRC 计算必须按字节执行并且从 64 位总线排序值的最低字节开始。最高有效位在位顺序中处于第一位。一次计算生成的 CRC 是下一次计算的种子值。初始种子值为 FFh。第八次按字节进行的计算的 CRC 结果是 CRC 签名值，该值必须存储在 SAFETY_CFG_CRC 寄存器中（请参阅Figure 5-13）。

Figure 5-13 CRC 计算逻辑

Table 5-14 列出了一些 CRC 计算示例。

如果 CRC 控制器在配置寄存器上检测到签名错误，则在执行后续的 EEPROM CRC 时必须非常小心。如果在配置寄存器中检测到签名错误，那么当 SAFETY_CHECK_CTRL 寄存器中的 CFG_CRC_EN 位清零后，在通过将 SAFETY_BIST_CTRL 寄存器中的 EE_CRC_CHK 位设置为 1 来执行 EEPROM CRC 之前，器件首先会报告 EEPROM 签名错误，即使 EEPROM 位没有错误也是如此。因此，如果在对配置寄存器执行 CRC 之后执行 EEPROM CRC，必须始终按以下顺序执行这些步骤：

1. 在 MCU 中计算 CRC8 并将其存储在 SAFETY_CFG_CRC 寄存器中。
2. 将 SAFETY_CHECK_CTRL 寄存器中的 CFG_CRC_EN 位设置为 1，以便对配置寄存器执行 CRC。
3. 在 SPI 命令将 CFG_CRC_EN 位设置为 1 之后（例如，在 NCS 上产生上升沿之后），等待至少 2.1µs 以便配置寄存器完成 CRC。
4. 在 SAFETY_STAT_2 寄存器的 CFG_CRC_ERR 位中读取配置寄存器 CRC 的结果。如果必须对配置寄存器执行连续 CRC，则将 SAFETY_CHECK_CTRL 寄存器中的 CFG_CRC_EN 位清零并重复从步骤 1 开始执行。如果必须对 EEPROM 寄存器执行 CRC，则转到步骤 5。

NOTE

后续的正确 EEPROM CRC（如步骤 5 中所述）会清除该 CFG_CRC_ERR 位。因此，TI 建议在执行 EEPROM CRC 之前读取该 CFG_CRC_ERR 位。

5. 将 SAFETY_BIST_CTRL 寄存器中的 EE_CRC_CHK 位设置为 1，以便对 EEPROM 寄存器执行 CRC。
6. 在 SPI 命令将 EE_CRC_CHK 位设置为 1 之后（例如，在 NCS 上产生上升沿之后），等待至少 811µs 以便 EEPROM CRC 完成。
7. 通过读取 EE_CRC_CHK 位来观察 EERPOM CRC 是否完成。当 EEPROM CRC 完成后，该 EE_CRC_CHK 位会清零。
8. 将 SAFETY_CHECK_CTRL 寄存器中的 CFG_CRC_EN 位清零。
9. 在 SAFETY_STAT_2 寄存器的 EE_CRC_ERR 位中读取 EEPROM CRC 的结果。
10. 返回到步骤 1。

NOTE

返回到步骤 1 不是必需的；也可以选择返回到步骤 2。

NOTE

当处于诊断状态时，可以在 SAFETY_CFG_CRC 寄存器中存储的值与通过 CRC8 涵盖的配置寄存器计算出的值之间出现不匹配时执行校验，以确认 CFG_CRC_ERR 位是否设置为 1。如果在 CFG_CRC_ERR 位设置为 1 时清除 CFG_CRC_EN，则器件会转换至安全状态，设置 EE_CRC_ERR 位，并且清除 CFG_CRC_EN 位。为了避免该到安全状态的转换，必须通过运行 EEPROM CRC（通过设置 EE_CRC_CHK 位）来清除 CFG_CRC_ERR 位。在运行 EPPROM CRC 时，会设置 EE_CRC_ERR 位。假设 EEPROM CRC 正常，EE_CRC_ERR 和 CFG_CRC_ERR 位都会清除。为了针对匹配的 CRC 检查 CFG_CRC_ERR 位是否为 0，匹配的 CRC 值应存储在 SAFETY_CFG_CRC 寄存器中。然后，必须将 CFG_CRC_EN 位清零并再次设置为 1，这将重新对配置寄存器运行 CRC，从而导致 CFG_CRC_ERR 位为 0。

5.4.18 启用和复位驱动器电路

Figure 5-14 显示了复位和启用电路。

Figure 5-14 复位和启用电路

ENDRV 引脚 采用 读回电路将外部 ENDRV 电平与在内部施加的 ENDRV 电平进行比较。该功能可检测 ENDRV 上拉或下拉组件中的任何可能故障。MCU 通过 ENDRV_ERR 位（SAFETY_STAT_4 寄存器中的位 1）检测故障。

当 ENDRV 输出打开并驱动至高电平后激活 ABIST 功能时，ENDRV 引脚会在 ABIST 持续时间内被拉低。这是 ENDRV 诊断的一部分，可验证用于禁用 ENDDRV 输出的所有监视功能并确认 ENDRV 输出可使用 ENDRV 读回路径进行控制。

NRES 引脚 具有 外部 NRES 电平读回功能。在 DIAG_OUT 引脚以及 NRES_ERR 位（SAFETY_STAT_3 寄存器中的位 5）上读取该值。

对于 ENDRV 引脚和 NRES 引脚，逻辑读回阈值电平通常为 400mV。

Figure 5-15 显示了 NRES 和 ENDRV 引脚针对任何 VDDx 欠压或过压条件的时序响应图。

1. 针对每种欠压或过压条件定义了信号抗尖峰脉冲时间，如Section 4中所述。

2. 通过外部电阻器值定义了 NRES 延长时间，如Section 4中所述。

Figure 5-15 NRES 和 ENDRV 引脚针对任何 VDDx 欠压或过压条件的时序响应图

5.4.19 器件运行状态

1. 复位状态：SPI、看门狗和 MCU ESM 处于复位状态；有关阻止从待机状态唤醒至复位状态的条件，请参阅Section 5.4.21。

2. 诊断状态：在转换至诊断状态时立即启动 BIST（LBIST 以及 ABIST）。有关禁用自动 BIST 运行、诊断状态超时和 MCU 可能对安全功能执行的诊断的选项，请参阅Section 5.4.22。在转换至诊断状态后，WD_FAIL_CNT 会立即重新初始化为 5。

3. 活动状态：在转换至活动状态期间，WD_FAIL_CNT 会重新初始化为 5。在活动状态期间，MCU 可能会执行某些安全功能诊断，有关更多详细信息，请参阅Section 5.4.23。

4. 安全状态：任何到安全状态的转换都会使 DEV_ERR_CNT[3:0] 递增。有关安全状态超时的详细信息，请参阅Section 5.4.24。

5. ENDRV 引脚电平依赖于 ENABLE_DRV 位、WD_FAIL_CNT[2:0] 计数器值以及 VDDx_OV（如Figure 5-14 中所示，处于诊断和活动状态）。

6. 可以在诊断、活动和安全状态下启用或禁用 VDD5 和 VSOUT1 稳压器。

Figure 5-16 器件控制器状态图

5.4.20 待机状态

当器件由 VBATP 和 VBAT_SAFING 电源供电时，待机状态是默认状态。该状态具有以下特性：

• 所有稳压器禁用。
• NRES 和 ENDRV 引脚处于低电平。
• 器件会由于以下原因从任何状态转换至待机状态：
  • 内部上电复位事件 (NPOR = 0)
  • VBATP 欠压事件 (VBATP_UV)
  • 抗尖峰脉冲 IGN = 0 且 IGN_PWRL = 0（清除了 IGN 电源锁存控制位）且 CANWU_L = 0
  • 时钟丢失检测 (LOCLK)
  • VDD3/5 过热事件 (VDD3/5_OT)（当 NMASK_VDD3/5_OT = 1 时）
  • DVDD 欠压事件 (DVDD_UV)
  • DVDD 过压事件 (DVDD_OV)
  • AVDD_VMON 过压或欠压事件 (AVDD_VMON_ERR)
  • VCP12 过压事件 (VCP12_OV)
  • VCP17 过压事件 (VCP17_OV)
  • 带隙错误：BG_ERR1 或 BG_ERR2
  • 在从 NPOR 事件退出之后的运行期间，EEPROM 校验失败（当从 NPOR 退出后运行 EE_CRC_CHK 时 EE_CRC_ERR = 1）
  • 器件错误计数 (DEV_ERR_CNT[3:0]) 大于或等于已编程的断电阈值 PWD_THR[3:0]

5.4.21 复位状态

复位状态具有以下特性：

• 在 IGNITION（IGN 引脚 = 高电平，抗尖峰脉冲 IGN 位 = 1）或 CANWU 引脚（CANWU 引脚 = 高电平，抗尖峰脉冲和锁存 CANWU_L 位 = 1）发出唤醒请求之后会从待机状态进入该状态。以下条件会阻止从待机状态到复位状态的转换，即使发生唤醒请求也是如此：
  • BG_ERR1
  • BG_ERR2
  • VCP17_OV
  • VCP12_OV
  • AVDD_VMON_ERR
  • EE_CRC_CHK 失败
• 在发生安全状态超时以及 DEV_ERR_CNT[3:0] 计数器小于已编程的 SAFE_LOCK_THR[3:0] + 1 后会从安全状态进入该状态。有关由 SAFE_TO[2:0] 和 NO_SAFE_TO 位设置的安全状态超时持续时间的详细信息，请参阅Section 5.4.24。
• 器件会由于以下原因从任何其他状态转换至复位状态：
  • VDD3/5 欠压事件 (VDD3/5_UV)
  • VDD5 过热事件 (VDD5_OT)（当 NMASK_VDD5_OT = 1 时）
  • VDD1 欠压事件 (VDD1_UV)（当 NMASK_VDD1_UV_OV = 1 时，这不是默认设置）
  • VBATP 过压事件 (VBATP_OV)（当 MASK_VBATP_OV = 0 时，这是默认设置）
  • 看门狗复位。在看门狗失效计数器 (WD_FAIL_CNT[2:0]) 达到值 7 并且发生另一个不良事件 (7+1) 之后会发生看门狗复位，这会在 WD_RST_EN = 1（非默认设置）时设置 WD_FAIL 标志
  • POST_RUN_RST = 1 并且 IGN_PWRL = 1 并且在 IGN 引脚上进行了重新启动（低电平后跟有效的高电平）
• VDDx 稳压器处于通电状态。
• NRES 和 ENDRV 引脚处于低电平。
• SPI、看门狗和 MCU ESM 处于复位状态。

5.4.22 诊断状态

诊断状态具有以下特性：

• 在 VDDx 稳压器升高并且复位延长完成之后会从复位状态进入诊断状态
• VDD5（默认启用）稳压器可以通过 VDD5_EN 位禁用，VSOUT1 稳压器可以通过 VSOUT1_EN 位启用（默认禁用）。
• NRES 引脚处于高电平。
• ENDRV 引脚的状态由 ENABLE_DRV 位、WD_FAIL_CNT[2:0] 计数器值和 VDDx 稳压器的过压监控 (VDDx_OV) 决定，如Figure 5-14 中所示。
• 可以配置和运行看门狗和 MCU 错误信号监控 (ESM) 功能。在 ERROR/WDI 引脚上检测到仿真故障时，MCU ESM 模块不会导致从诊断状态转换至安全状态。这允许 MCU 在诊断状态期间对 MCU ESM 和 ERROR/WDI 引脚运行诊断。
• MCU 应在该状态下执行所有器件自检和诊断（会引发故障以便对内部故障进行仿真并确认检测）。
• 在进入诊断状态后，看门狗失效计数器会立即重新初始化为 5。
• 从复位状态转换至诊断状态（包括从待机状态到发生上电事件）会激活 BIST（LBIST 以及 ABIST）。对于从诊断、活动或安全状态进入复位状态的情况，该自动 BIST 运行可以通过 AUTO_BIST_DIS 位禁用，但如果在上电时从待机状态进入复位状态，则无法禁用。
• 在转换至诊断状态时立即启动 BIST（LBIST 以及 ABIST）。
• 在诊断状态期间，MCU 可以执行任何安全功能（如看门狗、MCU ESM、ERROR/WDI 引脚、DIAG_MUX 引脚和针对寄存器的 CRC）诊断。TI 建议至少在每个上电周期运行一次诊断检查（处于诊断状态）。

NOTE

诊断状态超时：进入诊断状态后，如果 DIAG_EXIT_MASK 或 DIAG_EXIT 位未在 512ms（典型值）内设置为 1，则诊断状态超时间隔会到期，从而导致转换至安全状态。这还会在 SAFETY_ERR_STAT 寄存器中设置 ERROR_PIN_FAIL 和 WD_FAIL 位，并在 SAFETY_STAT_4 寄存器中设置镜像位 MCU_ERR 和 WD_ERR。器件错误计数 (DEV_ERR_CNT[3:0]) 会递增。只应在单个 SPI 写入命令中向 SAFETY_CHECK_CTRL 设置 DIAG_EXIT_MASK 或 DIAG_EXIT 位。将 DIAG_EXIT 位设置为 1 会导致转换至活动状态。将 DIAG_EXIT_MASK 位设置为 1 会导致器件保持在诊断状态（仅针对软件调试执行该操作）。

NOTE

用于软件调试的 DIAG_EXIT_MASK：当 DIAG_EXIT_MASK 位设置为 1 时，在诊断状态超时间隔到期之前，器件会保持在诊断状态，直到该位清除。诊断状态超时计时器在后台保持自由运行，但不会导致状态转换。当诊断状态超时间隔到期后，会自动设置 DIAG_EXIT 位（此外 DIAG_EXIT_MASK 位保持设置状态）并且器件会保持在诊断状态。对于到活动状态的受控转换，TI 建议通过单个 SPI 写入命令针对 SAFETY_CHECK_CTRL 寄存器清除 DIAG_EXIT_MASK 位并设置 DIAG_EXIT 位。如果 DIAG_EXIT_MASK 位和 DIAG_EXIT 位同时清除，则器件会保持在诊断状态，直到下一个诊断状态超时间隔到期，从而导致转换至安全状态，或者如果 DIAG_EXIT 位设置为 1，则在诊断状态超时之前，将器件转换为活动状态。

NOTE

在诊断状态下，如果通过将 LBIST_EN 位设置为 1 来启动 LBIST 手动运行，则必须考虑以下注意事项。将 LBIST_EN 位设置为 1 可将 DIAG_EXIT_MASK 位清零。如果 DIAG_EXIT_MASK 位用于将器件保持在诊断状态以进行软件调试，则在 LBIST 完成后必须再次将其设置为 1 以保持在诊断状态。诊断状态超时计数器仅在 LBIST 运行期间停止。在 LBIST 完成之后，超时计数器从最后的值继续计数。对于从诊断状态到活动状态的转换，DIAG_EXIT 位必须设置为 1。

5.4.23 活动状态

活动状态具有以下特性：

• 在 MCU 设置 DIAG_EXIT 位（在清除 ERROR_PIN_FAIL 和 WD_FAIL 位之后）之后，器件会从诊断状态进入活动状态。

NOTE

当处于诊断状态时，MCU 必须通过向 SAFETY_ERR_STAT 寄存器中的 ERROR_PIN_FAIL 位和 WD_FAIL 位写入 0 来进行清除，然后才能设置 DIAG_EXIT 位。清除这些位还会清除其镜像位 MCU_ERR 和 WD_ERR。否则，会切换到安全状态。

• NRES 引脚处于高电平。
• ENDRV 引脚的状态由 ENABLE_DRV 位、WD_FAIL_CNT[2:0] 计数器值和 VDDx 稳压器的过压监控 (VDDx_OV) 决定，如Figure 5-14 中所示。
• VDDx 稳压器处于打开状态，可以通过 VDD5_EN 位启用或禁用 VDD5 稳压器。可以通过 VSOUT1_EN 位启用或禁用 VSOUT1 稳压器。
• 在从诊断状态转换到活动状态期间，WD_FAIL_CNT[2:0] 计数器会重新初始化为 5。
• 看门狗和 MCU ESM 监控功能按照配置运行，但无法重新配置。
• 在活动状态期间，MCU 可以执行某些安全功能诊断，这些安全功能包括看门狗、DIAG_MUX 引脚、ABIST（大约 300µs，ENDRV 引脚将处于低电平）、LBIST（大约 21ms，ENDRV 引脚将处于低电平）以及针对寄存器的 CRC，具体取决于系统安全要求。

5.4.24 安全状态

安全状态具有以下特性：

• 可以从以下状态进入安全状态：
  • 活动状态：
    • MCU ESM（启用时）检测到的 ERROR/WDI 引脚上的信号错误。该转换是由 MCU 中的错误导致的，会设置 ERROR_PIN_FAIL 标志。
    • 在 NRES 引脚上检测到的读回错误，该错误会在 DIS_NRES_MON 清零（默认状态下为 1）时设置 NRES_ERR 标志。
  • 诊断状态：
    • 在发生诊断状态超时事件之后，在 DIAG_EXIT_MASK 位设置为 1 之前，使器件保持在诊断状态，或者在 DIAG_EXIT 位设置为 1 之前将器件转换至活动状态。
  • CFG_CRC_ERR = 1 并且 CFG_CRC_EN 清零
  • 在诊断状态下检测到 EE_CRC_ERR。
  • 在诊断状态下检测到 ABIST_ERR 或 LBIST_ERR。
  • 在退出诊断状态时，在设置 DIAG_EXIT 位之前 WD_FAIL 和 ERROR_PIN_FAIL 状态未清零。
• 每个到安全状态的转换都会使器件错误计数 DEV_ERR_CNT[3:0] 递增。
• 当 NO_SAFE_TO 位设置为 1（默认状态）并且 DEV_ERR_CNT[3:0] = SAFE_LOCK_THR[3:0] + 1 时，器件保持在安全状态。这允许在不引起复位以及转换至复位状态（由于安全状态超时）的情况下对 MCU 进行编程。
• NRES 引脚处于高电平。
• ENDRV 引脚处于低电平状态。
• VDDx 稳压器处于打开状态，可以通过 VDD5_EN 位启用或禁用 VDD5 稳压器。可以通过 VSOUT1_EN 位启用或禁用 VSOUT1 稳压器。

5.4.25 状态转换优先级

对于所有全局或可能的双重状态转换，存在以下优先级：

1. 优先级 I：所有待机状态转换条件
2. 优先级 II：所有复位状态转换条件
3. 优先级 III：所有安全状态转换条件

与列出的所有具有优先级编号的状态转换相比，所有其他状态转换的优先级更低。

5.4.26 上电复位 (NPOR)

器件会经历上电复位 (NPOR) 过程，这会重新初始化所有寄存器。导致 NPOR 的事件为：

• 模拟上电复位：
  • 时钟丢失检测 (LOCLK)
  • AVDD_VMON 过压或欠压事件 (AVDD_VMON_ERR)
  • DVDD 欠压事件 (DVDD_UV)
  • DVDD 过压事件 (DVDD_OV)
• 数字上电复位。这些错误可能会导致 NPOR。如果检测到的故障持续时间小于 6ms，则可能不会发生 NPOR。当 CANWU 或 IGN 状态保持为高电平时，器件会由于唤醒请求转换至复位状态。BIST 后重新初始化列表中的寄存器会在从复位状态转换至诊断状态时运行的 BIST 之后重新初始化（除非 AUTO_BIST_DIS = 1，这不是默认设置）。
  • VBATP 欠压事件 (VBATP_UV)
  • VDD3/5 过热事件 (VDD3/5_OT)（当 NMASK_VDD3/5_OT = 1 时）
  • AVDD 欠压事件 (AVDD_UV)
  • 器件 VMON 调整设置错误 (VMON_TRIM_ERROR)
  • 带隙错误：BG_ERR1 或 BG_ERR2
  • VCP12 过压事件 (VCP12_OV)
  • VCP17 过压事件 (VCP17_OV)

5.5.1 串行外设接口 (SPI)

器件与外部 MCU 之间的通信主要通过 SPI 总线进行，该总线是采用主从配置的全双工通信。外部 MCU 始终是 SPI 主设备，它在 SDI 引脚上发送命令请求并在 SDO 引脚上接收器件响应。TPS65381A-Q1 器件始终是 SPI 从设备，它接收命令并通过 SDO 线路向外部 MCU 发送响应（状态、测量的值）。

• SPI 是 4 引脚接口。
  • NCS - SPI 片选（低电平有效）
  • SCLK - SPI 时钟
  • SDI - SPI 从设备入/主设备出 (SIMO)
  • SDO - SPI 从设备出/主设备入（SOMI，三态输出）
• SPI 帧大小为 16 位。
• 速率高达 6 兆位/秒。
• 命令和数据转变为从 MSB 到 LSB 的顺序。
• 在 SCLK 的下降沿对 SDI 线路进行采样。
• 在 SCLK 的上升沿移出 SDO 线路。

SPI 通信从 NCS 下降沿开始，在 NCS 上升沿结束。NCS 高电平使 SPI 从设备接口保持在复位状态，SDO 输出处于三态。

5.5.1.5 SPI 帧概览

Figure 5-17 显示了完整的 16 位 SPI 帧概览：

SPI 主设备 (MCU) 和 SPI 从设备 (TPS65381A-Q1) 在 SCLK 下降沿接收数据，在 SCLK 上升沿传输数据。

Figure 5-17 16 位 SPI 帧

5.5.2 SPI 寄存器写入访问锁定（SW_LOCK 命令）

SW_LOCK 命令针对写入更新访问（通过 MCU 控制）为 SPI 寄存器提供保护。向器件发送包含数据 AAh 的 SW_LOCK 命令时，列出的寄存器将锁定，不会通过写入访问进行更新。要解锁 SPI 寄存器，应向器件发送包含数据 55h 的 SW_UNLOCK 命令。

5.5.3 SPI 寄存器（SPI 映射响应）

以下各部分列出了 SPI 寄存器。对于每个 SPI 寄存器，提供了位名称以及初始化的值（内部逻辑复位后的值）。

在每次从待机状态唤醒之后或在任何其他上电复位 (NPOR) 事件之后会初始化这些值。

在完成 LBIST 运行（包括在退出复位状态时运行的 LBIST）之后，会重新初始化以下功能和寄存器：

• DEV_STAT
• SAFETY_STAT_2
• SAFETY_STAT_4
• SAFETY_STAT_5（但 FSM[2:0] 会立即更新以反映当前器件状态）
• WD_TOKEN_VALUE
• WD_STATUS
• SAFETY_CHECK_CTRL
• DIAG_CFG_CTRL
• DIAG_MUX_SEL

会指示保留位 (RSV) 的初始化值，不过其中的某些位用于内部器件运行，应用软件应屏蔽这些位，因为它们可能不会保持且初始化值。

以下各部分也提供了各个位功能的说明。

5.5.4 器件安全状态和控制寄存器

5.5.5 看门狗计时器

5.5.6 传感器电源