作者: TI 工程师 刘靖伟
大家好,随着这些年的发展,越来越的汽车级应用中,都增加了功能安全等级要求这一概念。在这种发展趋势下,越来越多的带有功能安全特性的处理器以及外围的系统设计都会被重点关注。一般来说,在车载充电机,DCDC变换器,汽车牵引驱动器的设计中,对于已有现成方案的客户来说,如何在系统中增加一些功能安全的设计,让整个系统达到ASIL-B或者是ASIL-C甚至是ASIL-D,往往是大家关注的重点。TI目前所推广的Hercules系列功能安全处理器TMS570 可以达到ASIL-D的功能安全等级,是一套在维持原本设计架构基础不变的基础上,增加功能安全设计较为优化的方案。但随着车载系统的发展,CAN FD的需求被不断的提出,这使得一些没有CAN FD内置控制器的设计方案面临很大的短板。本文接下来重点介绍的TCAN4550-Q1方案,可以很好的解决在没有CAN FD控制器的控制器设计中,增加CAN FD功能,或者是在CAN FD接口数目不够用的场景下,额外增加一路CAN FD通讯的方案。
TCAN4550-Q1是一个内置了CAN FD PHY的SPI转CAN FD的控制器,通过了AEC Q100的认证,内置watchdog,+/- 58V BUS Fault Protection。支持ISO 11898- 1_2015 和 Bosch M-CAN Revision 3.2.1.1,并且可以达到ISO 11898-2_2016的要求。最高速率可达5Mbps,SPI时钟频率最高20MHz。TCAN4550-Q1的休眠唤醒支持远程唤醒模式,通过CAN总线上发送ISO Wake Up Pattern(WUP)即可实现。
http://www.ti.com/product/TCAN4550-Q1
介绍到这里,相信大家对TCAN4550-Q1的功能大致上有了个理解,对CPU侧的通讯是SPI,外部出去的数据即为CAN FD的接口。接下来大家可能会比较关心的问题是在一个功能安全体系中,如何进行系统设计来保障其功能安全的特性,达到一定的ASIL等级呢。
在使用TCAN4550-Q1的系统体系中,我们可以抽象出如下的拓扑结构,Node 1即为我们目前的系统设计。在这个系统中,我们需要注意三个部分:
Host MCU: 这个部分一般为功能安全处理器,比如TMS570等,一般本身从device level就具有功能安全等级的认证,并可会提供相关的功能安全手册等,以确认使用其设计的系统可以达到功能安全等级的目标。
TCAN4550-Q1:即CAN FD通讯部分,TI即将release这部分的认证以及相关的功能安全手册材料,以确认其可以在系统中达到相应的功能安全等级。
SPI通讯:这个部分更多的是从系统通讯的角度上,去认证其数据的完整性,和一般的SPI通讯设备的系统设计并没有差异。可用简单的冗余传递,再在MCU侧进行数据比对来证实其数据完整性。
目前我们看到的痛点问题,除了CAN FD的支持外,还有一个问题,就是对于现成的C2000或者是希望使用独立电源解决方案的系统中,如何应对供电不稳定,而防止CPU出现异常的行为。目前TPS3702系列电压监控产品可以很好的排查对CPU供电方面不稳定情况,应用起来也非常简单。
TPS3702可以及时检测到过压以及欠压的情形,并反馈给LDO/DCDC或者是相应的处理器侧。
在多路的电压监控场景下,可能需要多个TPS3702,需要提出的是TPS3702针对于不同的电压检测会有不同的尾缀料号,具体的可以参考TPS3702的datasheet:
http://www.ti.com/product/TPS3702
此外,针对于C2000的设计,如下的TI-Design,提供了一个非常好的参考:
http://www.ti.com/tool/TIDA-00392
Monitoring Voltage Rails on Delfino with TPS3702 Reference Design